Jaarverslag / 31 december 2004Download PDFJaarverslag 2004Download

jaarverslag 2004

I N H O U D

BEHOORT DAARTOE.

HET COLLEGE BESCHERMING PERSOONSGEGEVENS HOUDT KRACHTENS DE WET TOEZICHT OP DE NALEVING VAN DE NORMEN EN REGELS VOOR HET GEBRUIK VAN PERSOONSGEGEVENS.

ZO NODIG TREEDT HET CBP HANDHAVEND OP.

DE TOEZICHTHOUDER VERRICHT ZIJN TAKEN IN ONAFHANKELIJKHEID, STIMULEERT ZELFREGULERING EN VERANTWOORDT ZICH IN EEN OPEN GEDACHTEWISSELING

MET ALLE SECTOREN VAN DE SAMENLEVING.

doeleinden te gebruiken is toonaangevend in veel van de gevoerde maat- schappelijke debatten.”

samenstelling college en raad van advies pagina 6

Mr. Jacob Kohnstamm is per 1 augustus 2004 benoemd tot voorzitter van het CBP.

2004 in vogelvlucht pagina 8

De strijd tegen het terrorisme is noodzakelijk maar er is geen enkele reden het inzicht los te aten dat machtsuitoefening moet plaatsvinden binnen een systeem van checks and balances:

geen bevoegdheid zonder noodzaak en geen bevoegdheid zonder controle op de uitoefening ervan.

beleid van de toezichthouder pagina 22

Opinieonderzoek laat zien dat burgers een direct verband leggen tussen de manier waarop

(zij denken dat) publieke en private organisaties omgaan met hun gegevens en het vertrouwen dat zij in deze organisaties hebben.

activiteiten van het CBP pagina 31

De toezichthouder is actief op een breed terein: openbaar bestuur, politie en justitie,

arbeid en sociale zekerheid, zorg en welzijn, handel en diensten, telecommunicatie, tech- nologie en op internationaal gebied.

organisatie pagina 56

Veranderende tijden en een nieuwe voorzitter betekenden voor het CBP ook bezinning op rol en taakopvatting. Het CBP blijft welbewust een organisatie in verandering, ondanks de verhoogde extra belasting die dit met zich meebrengt.

bijlagen pagina 69

Overzichten van wetgevingsadviezen, onderzoeksrapporten, gedragscodes, modelregle- menten, documenten van de Europese Artikel 29-werkgroep en publicaties van het CBP.

english summary page 78

– Introduction by Jacob Kohnstamm, chairman of the Dutch DPA;

– Summary of activities and results in 2004; statement of goals for 2005.

2

jaarverslag 2004

De wens...

DNA, HETULTIEMEPERSOONSGEGEVEN, ISVERWERKTINHETLOGOVANHETCBP

De wens om steeds meer persoonsgegevens voor steeds meer doeleinden te gebruiken is toonaangevend in veel van de gevoerde maatschappelijke debatten.

Zonder te pretenderen een begin van een volledig beeld te schetsen, mogen als voor-

beelden dienen de discussie over de intensivering van de bestrijding van het

terrorisme, de invoering van het burgerservicenummer en de ingrijpende wijziging

van het ziektekostenstelsel waarbij marktwerking een grote rol moet spelen. Ook

moet genoemd worden de wens om tot intensieve vormen van uitwisseling van

persoonsgegevens te komen in het kader van de samenwerking tussen uiteenlopende

instellingen en organisaties die steeds vaker al dan niet vanuit een publieke taak

trachten te zamen een sluitend cliëntsysteem te vormen.

Private ondernemingen dienen gegevens over handelstransacties beschikbaar te stellen voor overheidsdoelstellingen en klantgegevens worden als informatiegrondstof gedeeld binnen conglomeraten. Technische doorbraken of de massale toepassing van bestaande techniek openen de weg naar tot voor kort ongekende mogelijkheden om het doen en laten van individuen te volgen, te analyseren, te beoordelen en hen dienovereenkomstig ook te behan- delen. Het veld waarop het CBP (College bescherming persoonsgegevens) toezicht houdt, is dus aan ingrijpende veranderingen onderhevig.

Bij de afweging tussen de wens of gevoelde noodzaak de persoonlijke levenssfeer

‘binnen te treden’ enerzijds en de krachtens de wettelijke bepalingen in acht te nemen zorgvuldigheid in de omgang met persoonsgegevens anderzijds, ontstaat als vanzelf- sprekend spanning. Om die ‘strijd’ tot een vruchtbare synthese te brengen is de mede- werking van de overheid, de private sector en het CBP nodig. Degenen die in de publieke en private sector vernieuwingen of veranderingen wensen te realiseren, zouden zich – beter dan thans veelal het geval is – rekenschap moeten geven van de uitgangspunten voor de bescherming van de persoonlijke levenssfeer om van daaruit te zoeken naar oplossingen voor eventuele dilemma’s. Voor het College bescherming persoonsgegevens geldt anderzijds dat het zich intensief rekenschap geeft of dient te geven van nieuwe maatschappelijke ontwikkelingen en eisen.

Het kader waarin het CBP vervolgens optreedt, is in hoge mate begrensd door de relevante wettelijke bepalingen en de daaruit af te leiden opdracht, waarbij de Wet bescherming persoonsgegevens – meer nog dan enkele andere wetten – het doen en laten van de toezichthouder bepaalt. De geschiedenis van de totstandkoming van de WBP en de ontwikkelingen sindsdien, stellen ons daarbij voor lastige dilemma’s.

Zoals altijd, als de wetgever tot codificatie overgaat van hetgeen in de praktijk is gegroeid dan wel in politiek-maatschappelijke zin als standaard wenselijk wordt geoor- deeld, gaat de aandacht na verloop van tijd veeleer uit naar de technische uitwerking van de wet dan naar het achter die technische uitwerking schuilgaande te beschermen goed of te realiseren doel. De toepassing van de wet in de praktijk oogt dan bovenal forma- listisch, terwijl het materiële belang aan het zicht wordt onttrokken. Anders gezegd: het CBP is in de ogen van sommigen eerder een ‘administratieve last’ dan de ‘privacy- waakhond’.

Mij treft verder als curieus dat het desbetreffende grondrecht uiteindelijk op grond van een Europese richtlijn die ten doel heeft om concurrentievervalsing tegen te gaan, in nationale wetgeving is omgezet. De bescherming van de consument lijkt meer nog dan de bescherming van de burger de drijfveer geweest te zijn om tot deze specifieke vorm van codificatie te komen. Dat is te meer opvallend omdat de centrale overheid in voor- komende gevallen, waarin de wettelijke bepalingen als te beperkend voor de te realiseren sectorspecifieke doelen worden gezien, nieuwe wetgeving tot stand kan brengen

waardoor alsnog kan worden voldaan aan de eisen die de WBP stelt aan de wijze waarop met persoonsgegevens dient te worden omgesprongen. De WBP lijkt daardoor in de publieke sector een aanzienlijk minder dwingend karakter te hebben dan in de private sector.

In het publieke debat is daarbij al enkele jaren sprake van een sterke erosie en poli-

tisering van de term privacy. De actieradius van het CBP wordt bepaald door de concreet

beschreven opdracht in de WBP om een bijdrage te leveren aan de bescherming van per-

soonsgegevens. In de wandeling wordt dat vaak privacybescherming genoemd. In het

4

jaarverslag 2004

maatschappelijke debat wordt veelal privacy in losse zin gebruikt zonder dat bij benadering wordt bepaald wat daar onder wordt verstaan. Sinds enkele jaren is

‘privacy’ voor velen bovendien een politieke steen des aanstoots geworden: een niet concreet gedefinieerd belang dat bestuurders en professionals ervan zou weerhouden om politiek en maatschappelijk gewenste doelen te realiseren. In uitlatingen van politici, bestuurders en andere ambtsdragers – bijvoorbeeld in de inmiddels traditioneel geworden verstrekkende nieuwjaarstoespraken van hoofd- commissarissen van politie – is kritiek op ‘privacy’ als obstakel voor optreden, op

‘privacy’ als schuilplaats voor wanbetalers, fraudeurs en andere kwaadwilligen een steeds terugkerende schaamlap voor het ontbreken van eigen daadkracht of succesvol optreden geworden.

Het ergerniswekkende van deze uitlatingen is dat zij zelden of nooit worden voorzien van voorbeelden waaruit valt af te leiden waar de schoen precies wringt. Voor zover concrete situaties worden opgevoerd waaruit zou moeten blijken dat de WBP (of enige andere wettelijke bepaling die ziet op bescherming van persoonsgegevens) realisering van politiek of maatschappelijk gewenste doelen werkelijk in de weg staat, is doorgaans bij nader inzien gebleken dat er eerder sprake was van onprofessioneel gedrag van degene die zich over het obstakel beklaagde, of er was sprake van – soms zeer – gebrekkige kennis van de mogelijkheden die de wet wel degelijk biedt.

Wat was en is de essentie van hetgeen met de WBP beschermd dient te wor- den? En langs welke weg dient een en ander gerealiseerd te worden? In de Nederlandse grondwet, het Europees Verdrag voor de Rechten van de Mens, het Dataverdrag van Straatsburg en in de conceptgrondwet voor de Europese Unie is de beschermwaardigheid van de persoonlijke levenssfeer en als sequeel daarvan de bescherming van persoonsgegevens verwoord. De eerste waarde is de bescherming van de persoonlijke levenssfeer, de vrijwaring tegen onfatsoenlijke of ongeoorloofde inmenging in het leven van burgers. Dit heeft primair tot doel de burger in staat te stellen tot een relatieve mate van vrijheid van handelen.

Een ieder streeft daartoe naar enigerlei vorm van regie over wat anderen van hem of haar weten, over het beeld dat zij zich van hem of haar vormen.

Iedereen heeft er recht op en potentieel belang bij om in zekere mate zelf te kunnen bepalen of en zo ja op welke wijze verspreiding plaats mag vinden van de over hem of haar gegenereerde en opgeslagen informatie. Zelfbeschikking, autonomie en optimale individuele ontplooiing – in een democratische rechts- staat altijd relatief te duiden – zijn dus vanuit het gezichtspunt van de burger en de consument de kernwaarden die gemoeid zijn met de normen en de daaruit voortvloeiende regels voor de omgang met persoonsgegevens.

Als macht en machtsuitoefening gekoppeld worden aan persoonsgegevens,

kan een niet te rechtvaardigen beperking van de maatschappelijke mogelijk-

heden en ontplooiing van het individu daarvan het gevolg zijn. De technische

vertaling naar de maatschappelijke praktijk die in de WBP is gemaakt, komt er

op neer dat burgers en consumenten er recht op hebben en er op moeten

kunnen vertrouwen dat overheid en private sector fatsoenlijk, respectvol en

transparant met persoonsgegevens zullen omspringen.

In de hiernavolgende hoofdstukken van het jaarverslag 2004 passeren veel concrete casusposities en adviezen de revue, waarbij het CBP met de wet in de hand heeft getracht op hedendaagse wijze als toezichthouder zijn taak te ver- vullen. De zoektocht naar een aanvaardbare balans tussen ogenschijnlijk tegen- strijdige belangen van de bescherming van persoonsgegevens enerzijds en markt-, politieke of maatschappelijke noden anderzijds, is blijkens dit verslag een weerbarstige. Het is een legitieme vraag – die met regelmaat gesteld moet wor- den – of een enkele bepaling van de WBP ons in die zoektocht eerder in de weg staat dan behulpzaam is.

Een intensivering van de zoektocht naar de aanvaardbare balans is geboden, zowel voor het CBP als voor ‘verantwoordelijken’ – overheid en private partijen – en, zo het kan, op basis van wederkerigheid. Vertrouwen tussen mensen en organisaties in de samenleving wordt immers mede bepaald door de wijze waar- op de persoonlijke levenssfeer wordt gerespecteerd en door de wijze

waarop in het bijzonder met persoonsgegevens wordt omgesprongen. Kan het individu ‘meekijken’ en bepalen of en zo ja welke informatie over hem of haar circuleert? Hoe zijn checks and balances gerealiseerd zodat een effectieve con- trole op het verzamelen, verwerken en het verspreiden van persoonsgegevens mogelijk is?

Uiteindelijk staat het zoeken van de balans in dienst van de wijze waarop individuen vertrouwen kunnen geven aan de samenleving. Een samenleving die dat sociale kapitaal voor haar burgers weet te genereren, heeft een belangrijke randvoorwaarde geschapen voor welvaart en welzijn, voor een bloeiende civil

society, voor een samenleving die kracht en veiligheid vindt in cohesie.

J. Kohnstamm voorzitter

6

jaarverslag 2004

college 2004

mr. J. Kohnstamm

voorzitter

mr. dr. U. van de Pol

collegelid

drs. J.W. Broekema

collegelid

samenstelling

college en raad van advies

raad van advies 2004

R. Bandell

burgemeester van Dordrecht

prof. dr. T.M.A. Bemelmans

hoogleraar bestuurlijke informatiesystemen Technische Universiteit Eindhoven

mr. G.J.M. Corstens

raadsheer Hoge Raad

prof. mr. E.J. Dommering

hoogleraar informatierecht Universiteit van Amsterdam

mw. drs. A. van Es

oud-lid van de Tweede Kamer

prof. mr. H. Franken

hoogleraar informaticarecht Rijksuniversiteit Leiden

prof. mr. J.K.M. Gevers

hoogleraar gezondheidsrecht Universiteit van Amsterdam

buitengewone leden college 2004

drs. J.J. Borking

ICT; Privacy-Enhancing Technologies

prof. A.W. Neisingh RE RA

privacyaudits

directie

mw. mr. L. Gonçalves-Ho Kang You

collegelid OPTA, voorzitter Amnesty International

prof. mr. P.F. van der Heijden

hoogleraar arbeidsrecht Universiteit van Amsterdam

drs. A.I.M. Kool

oud-lid Verzekeringskamer

drs. R. van Ommeren

oud-lid Raad van Bestuur ABN-AMRO

drs. C.R. Rog

voorzitter commissie privacy VNO-NCW

D. Westendorp

oud-directeur Consumentenbond

H. de Zwart RE RA RO

privacyaudits

mw. C.E. Romanesko

directeur

U vindt het organogram van het CBP op pagina x >

2004

in vogelvlucht

8

jaarverslag 2004

De aanslagen in Madrid en de moord op Theo van Gogh hebben geleid tot een intensivering van het streven naar een veilige samenleving en in het bijzonder de bestrijding van terrorisme. In hoog tempo werd verruiming van de bevoegdheden van politie en justitie gerealiseerd of aangekondigd die ertoe zal leiden dat meer en meer gegevens van onverdachte burgers in politieregisters terecht zullen komen. De roep om meer bevoegdheden klonk al jaren, maar de terrorismedreiging sinds september 2001 heeft ruim baan gemaakt voor de overtuiging dat deze uitbreiding ook noodzakelijk is.

Het CBP onderschrijft vanzelfsprekend de noodzaak voor het kabinet om

effectieve maatregelen te nemen ter bestrijding van terrorisme. Internationale

verdragen, Europese regels, de Nederlandse grondwet en andere wetten

vereisen echter dat nieuwe bevoegdheden voldoen aan de maatstaf van nut en

noodzaak. Ook moet voorzien zijn in rechtsbescherming. In de strijd tegen ter-

rorisme is het wellicht nodig nieuwe wegen te bewandelen, maar er is geen

enkele reden het inzicht los te laten dat machtsuitoefening moet plaatsvinden

binnen een systeem van checks and balances: geen bevoegdheid zonder aan-

toonbare noodzaak en geen bevoegdheid zonder controle op de uitoefening

ervan.

Terrorisme en veiligheid

Terrorismebestrijding

In de ‘terrorisme’-brief van 10 september 2004 aan de Tweede Kamer kondigden de ministers van Justitie en van Binnenlandse Zaken en Koninkrijksrelaties nieuwe maat- regelen en bevoegdheden aan ter bestrijding van het terrorisme. Het kabinet zag onder meer uitgebreide verzameling, koppeling en analyse van informatie over groepen en personen als de sleutel tot het voorkomen van terrorisme. Daartoe achtte het kabinet uitbreiding van opsporingsbevoegdheden noodzakelijk. Het kondigde aan het wettelijk criterium - verdenking of redelijk vermoeden van betrokkenheid - voor toepassing van bevoegdheden als het aftappen van telefoons en het observeren af te zullen zwakken tot aanwijzingen. De informatie-uitwisseling tussen veiligheidsdiensten, politie, openbaar ministerie en IND zou geïntensiveerd worden via een informatieknooppunt, de

Contra-Terrorisme-infobox, waar data zullen worden gecombineerd en geanalyseerd. Uit de brief blijkt dat voor de overheid voldoende is dat een burger haar argwaan opwekt, om hem te kunnen observeren teneinde vast te stellen of de argwaan gerechtvaardigd is of niet.

In een publieke reactie op de voorstellen constateerde het CBP dat de noodzaak van uitbreiding van bevoegdheden tot het verzamelen van informatie niet was aangetoond.

De nieuwe bevoegdheden komen bovenop de per 1 september 2004 in werking getreden antiterrorismewetgeving. De reikwijdte van het Wetboek van Strafrecht werd uitgebreid door nieuwe strafbaarstellingen en door verhoging van de strafmaat voor het plegen van misdrijven met een terroristisch oogmerk. Samenspanning (d.w.z. het maken van af- spraken) tot terroristisch handelen is eveneens strafbaar gesteld. Met deze nieuwe wet- telijke bepalingen voor informatieverwerking is nog geen enkele ervaring opgedaan die zicht geeft op nut en noodzaak van de voorgestelde maatregelen. Daarbij komen nog de reeds ingevoerde of nog in te voeren bevoegdheden voor het onderscheppen van tele- communicatie en de bevoegdheid tot het opeisen van informatie bij bedrijven en andere organisaties.

Verder miskent de voorgenomen vergaande coördinatie van de informatie-

verzameling de gescheiden wettelijke taken en bevoegdheden van inlichtingendiensten en politie. De bescherming van de staatsveiligheid is primair een zaak van de

inlichtingendiensten. Deze hebben zeer vergaande bevoegdheden om reeds bij het enkele vermoeden dat de staatsveiligheid in het geding is informatie te verzamelen.

De politie dient pas informatie van met name de Algemene inlichtingen- en veiligheids- dienst te ontvangen als er sprake is van uitoefening van de politietaak. Het CBP

waarschuwde daarom voor een ontwikkeling waarbij informatie over veel onverdachte burgers van de dossiers van de veiligheidsdiensten terecht komt in de politieregisters.

In de geschetste plannen ontbrak ook een voorstel voor een adequate en structurele controle op het proces van het verzamelen en delen van informatie. Het zou een ernstige tekortkoming zijn als het kabinet hierin niet zou voorzien. Veel van de werkzaamheden zullen in het verborgene blijven, ook voor de personen die ten onrechte voorwerp van onderzoek zijn geweest. Des te noodzakelijker is het om controle op de uitoefening van deze vergaande overheidsmacht in te bouwen. De burger moet beschermd worden tegen terrorisme maar moet ook het vertrouwen kunnen behouden dat de overheid op recht- matige wijze haar vergaande bevoegdheden uitoefent.

Verkeersgegevens telecommunicatie

De al jaren in Europa spelende discussie over een bewaarplicht voor verkeersgegevens

ten behoeve van de opsporing, kreeg een nieuwe wending door de terroristische aan-

slagen in Madrid. Naar aanleiding hiervan nam de Europese Raad op 25 maart 2004 de

Verklaring betreffende de bestrijding van terrorisme aan. Daarin werd opgeroepen om

voorstellen te doen voor het komen tot een bewaarplicht voor verkeersgegevens door

10

jaarverslag 2004

Resultaten 2004

IN HET VORIGE JAARVERSLAG IS AANGEKONDIGD DAT IN2004 ZOU WORDEN GESTREEFD NAAR DE VOLGENDE RESULTATEN:

• Zieke werknemer

Het onderzoek naar de belangrijkste gegevensstromen omtrent de zieke werknemer en de daarbij behorende privacyregels heeft in mei 2004 geleid tot de publicatie van een naslagwerk met vuistregels voor de praktijk: De zieke werknemer en pri- vacy. Regels voor de verwerking van persoonsgegevenscan zieke werknemers.Het naslagwerk is onder de aandacht gebracht van de diverse bij reïntegratie zieke werknemers betrokken partijen en behoort tot de meest bekeken publicaties op de website.

• Politieregisters

Het in 2003 gestarte onderzoek naar de registers van de Criminele Inlichtingeneenheden bij acht regiokorpsen is in 2004 afgerond. De algemene bevindingen van het onderzoek zijn gepubliceerd.

• Onderzoek tapkamers

Het CBP is – later dan voorzien – eind 2004 gestart met de voorbereidingen van een onderzoek naar de privacyaspecten van de gegevensverwerking in de tapkamers van de politie in vervolg op het Onderzoek naar de waarborging van de ver- trouwelijke communicatie van advocaten bij de interceptie van telecommunicatie uit 2003. Het onderzoek zal pas in 2005 worden voltooid.

• Cameratoezicht

Voortbouwend op het onderzoek Cameratoezicht in de open- bare ruimte. Onderzoek naar de inzet van cameratoezicht in alle Nederlandse gemeenten(2003) is in december 2004 een studie gepubliceerd over de privacyaspecten van cameratoe- zicht op de openbare ruimte. Camera’s in het publieke domein.

Privacynormen voor het cameratoezicht op de openbare orde biedt gemeenten vuistregels voor besluitvorming en invoering van cameratoezicht. De studie is een van de meest bekeken publicaties op de website.

• Burgerservicenummer

Het realiseren van de Nationale Vertrouwensfunctie, een organisatie die tot taak krijgt de burger inzicht te geven in alle gegevensstromen op basis van het burgerservicenummer heeft in 2004 vertraging opgelopen. Helaas is het CBP in 2004 nog niet in de gelegenheid gesteld te beginnen met het toetsen van bestaande en nieuwe gegevensverwerkingen en met de voor- bereiding op de toekomstige ombudsfunctie. Deze voorberei- ding zal nu in 2005 mogelijk worden.

• Certificering

Het met NOREA en NIVRA uitgewerkte systeem van privacy- certificering is in 2004 in de praktijk getoetst aan de hand van proefcertificeringen. Het CBP heeft bijgedragen aan de beoor- deling van deze proefcertificeringen. Anders dan aanvankelijke beoogd en in nauw overleg met de partners is er uiteindelijk voor gekozen de eventuele opbouw van stelsels van certifice-

ring geheel aan marktpartijen over te laten. Het project is in februari 2005 afgesloten met de presentatie en publicatie van het document Contouren voor Compliance Handreiking voor de invulling van het Raamwerk Privacy Auditaan geïnteres- seerde organisaties.

• Invoering DBC-systematiek

Op het gebied van de zorg zal het CBP nauw betrokken blijven bij de ontwikkeling en invoering van de financierings- systematiek op basis van de Diagnose Behandeling Combinatie.

• Landelijke registraties in de zorg

In 2003 heeft het CBP een oriënterend onderzoek afgerond naar vijf landelijke registraties in de zorg. Later dan voorzien zijn in 2004 op basis van het onderzoek algemene bevindingen en normen voor landelijke zorgregistraties geformuleerd. Het rapport zal in 2005 worden gepubliceerd.

• Onderzoek privacybeleving

Het CBP heeft in 2004 door TNS Nipo Consult een onderzoek laten uitvoeren naar privacybewustzijn en privacybehoeften bij de Nederlandse burger. Dergelijke onderzoeken zijn in verschei- dene Europese landen reeds uitgevoerd. De resultaten zullen in 2005 worden gepubliceerd.

• Beleidsregels en 2e-lijnspositie

Het CBP heeft een aantal beleidsregels gepubliceerd voor het in behandeling nemen van zaken en de publiciteit daarover. In het kader van het streven naar een 2e-lijnspositie heeft CBP met enkele sector-, branche-, koepel- en beroepsorganisaties afspraken kunnen maken over informatie-uitwisseling en taak- verdeling bij voorlichting en klachtbehandeling.

• Organisatieontwikkeling

In 2004 is de afdeling Onderzoek operationeel geworden. Er is een begin gemaakt met de ontwikkeling van gedifferentieerde onderzoeksvormen en van risicoanalyse als instrument voor beleidsvorming. De afdeling heeft een belangrijke rol gespeeld bij het Nipo-onderzoek naar privacybeleving en heeft de mel- dingenanalyse 2004 uitgevoerd.

• CBP-website

Het CBP heeft eind oktober 2004 een nieuwe website online gebracht, gericht op een directere voorlichting aan betrok- kenen en verantwoordelijken. Het materiaal op de website is meer vraaggericht ontsloten. Het bezoek aan de website is sindsdien duidelijk gestegen.

telecommunicatieaanbieders. Het CBP heeft hierop gereageerd en leverde een substan- tiële bijdrage aan een advies van de Artikel 29-werkgroep – het samenwerkingsverband van de privacytoezichthouders in de EU – over de bewaarplicht, dat ook werd aan- geboden aan de betrokken vaste commissies van de Eerste en Tweede Kamer.

Voortbouwend op eerdere opinies sinds de jaren ’90 en uitspraken van het Europese Hof van Justitie was de werkgroep van oordeel dat de voorstellen voor een bewaarplicht voor alle verkeersgegevens niet voldoen aan de vereisten van artikel 8 van het Europees Verdrag voor de Rechten van de Mens (EVRM): voor het langdurig bewaren van alle ver- keersgegevens van onverdachte personen is geen noodzaak aangetoond. Een dergelijke systematische opslag is disproportioneel.

Passagiersgegevens

De uitkomst van de onderhandelingen tussen de Europese Commissie en de Verenigde Staten over de verstrekking van passagiersgegevens aan de VS bleef naar het oordeel van de Artikel 29-werkgroep op een aantal punten onder de maat. Desondanks heeft de Europese Commissie een positieve beslissing genomen over het beschermingsniveau in de VS. Het Europese Parlement bracht de kwestie voor het Europese Hof.

De Artikel 29-werkgroep heeft zich vervolgens geconcentreerd op een goede im- plementatie van de genomen besluiten. Daartoe werd een model gemaakt voor de infor- matievoorziening aan passagiers. Met de luchtvaartmaatschappijen is overleg gevoerd over de informatievoorziening aan passagiers. Ook heeft de werkgroep aangedrongen op een zo spoedig mogelijke overgang van pull naar push, dat wil zeggen van het openstel- len van de reserveringssystemen voor de Amerikaanse autoriteiten zodat deze de beno- digde gegevens kunnen verzamelen, naar de actieve aanlevering van de noodzakelijke gegevens door de maatschappijen zelf.

Identificatieplicht

Begin 2004 heeft het CBP de minister van Justitie geadviseerd het Wetsvoorstel uit- breiding identificatieplicht niet in te dienen. Het belangrijkste argument hiervoor was dat het wetsontwerp een algemene identificatieplicht voor de burger in het leven riep zowel ten overstaan van de politie als van andere toezichthouders. De wetgever schoot echter tekort in de noodzakelijke onderbouwing en rechtvaardiging van een dergelijke verplichting.

Nog maar enkele jaren geleden concludeerde het tweede kabinet Kok dat een al- gemene identificatieplicht te ver zou gaan. De toelichting op het wetsvoorstel gaf geen nieuwe argumenten en het kabinet voldeed daarmee niet aan de eis van het EVRM, artikel 8, lid 2 om de inbreuk op de persoonlijke levenssfeer voldoende te recht- vaardigen. Evenmin werd de mogelijkheid van discriminatoire en stigmatiserende effecten van het voorstel onderkend. De minister van Justitie heeft het advies van het CBP grotendeels gevolgd. Op 1 januari 2005 is de uitgebreide en feitelijk algemene identificatieplicht van kracht geworden.

Camera's in het publieke domein

De belangstelling voor cameratoezicht is in de afgelopen jaren alleen maar toegenomen.

Camera’s worden door het brede publiek ook geaccepteerd in de verwachting dat cameratoezicht effectief is. Cameratoezicht door de overheid nam vooral de laatste jaren toe. In 2003 heeft het CBP daarom onderzoek laten doen naar aard en omvang van het cameratoezicht door de Nederlandse gemeenten. Uit dit onderzoek bleek onder meer dat 20 procent van de gemeenten gebruik maakte van camera’s en dat in veel van die

gemeenten de effectiviteit van het toezicht (nog) niet geëvalueerd was. In november

2004 is vervolgens Camera’s in het publieke domein gepubliceerd met vuistregels voor

besluitvorming, uitgangspunten voor inrichting en uitvoering, rechten van betrokkenen,

tiebedrijf gebeld met het verzoek om aan een reïntegratie- traject deel te nemen. Zijn werkgever had het bedrijf in- geschakeld om de zieke werknemer te helpen weer aan het werk te gaan. Daarvoor had zijn werkgever ook persoons- gegevens, waaronder een rapportage van de bedrijfsarts, aan het reïntegratiebedrijf verstrekt. De werknemer was van dit alles echter niet op de hoogte.

De werkgever bleek inderdaad niet aan zijn informatie- verplichting op grond van de Wet bescherming persoons- gegevens te hebben voldaan. De werkgever moest zijn zieke medewerker over de verstrekking van diens persoons- gegevens te informeren. De betreffende werknemer werd onverwacht geconfronteerd met het feit dat vertrouwelijke informatie waaronder ook medisch informatie, buiten zijn medeweten om door zijn werkgever aan anderen was door-

irritatie jegens de werkgever. Een dergelijke misser kan een succesvolle reïntegratie in de weg staan.

Een ander kwestie is of deze werkgever de medische gege- vens van zijn werknemer zonder diens toestemming aan het reïntegratiebedrijf mag verstrekken. Op grond van de wet mag de werkgever gegevens van een zieke werknemer aan een reïntegratiebedrijf verstrekken voor zover die noodzakelijk zijn voor het reïntegratietraject. Onder nood- zakelijke gegevens vallen ook de visie van de bedrijfsarts, zoals vastgelegd in het plan van aanpak en de algemene conclusies van de probleemanalyse die de bedrijfsarts heeft gemaakt. Dergelijke gegevens mogen dus wel verstrekt worden. In dit geval moet de werkgever de werknemer informeren maar hij heeft niet zijn toestemming nodig ●

Informatiehuishouding

De nieuwe WAO en de verzekeraars

Voor het nieuwe WAO-stelsel adviseerde het CBP meer duidelijkheid te scheppen over de posities die de verschillende partijen (werkgever, werknemer, UWV, reïntegratie- bedrijven en verzekeraars) ten opzichte van elkaar innemen als het gaat om het gebruik van persoonsgegevens. De wijze waarop verzekeraars in het nieuwe stelsel om zullen gaan met persoonsgegevens is onduidelijk en dat is onwenselijk.

Door de nieuwe taken op grond van de Wet werk en inkomen naar arbeidsvermogen, maar bijvoorbeeld ook door de nieuwe Zorgverzekeringswet, krijgen de financiële con- cerns waartoe de verzekeraars behoren, de beschikking over nog veel meer (medische) persoonsgegevens. Dat levert een potentieel machtige en invloedrijke informatie- positie op.

Verzekeraars erkennen overigens het belang van een zorgvuldige verwerking van persoonsgegevens. Wanneer de overheid nalaat hiervoor regels te stellen, is dat tijd- rovend en inefficiënt voor de uitvoerende partijen. Het CBP heeft dan ook met klem bij de minister van Sociale Zaken en Werkgelegenheid bepleit dat in de betreffende wet- geving helderheid wordt verschaft over de bevoegdheden en de beperkingen bij de verwerking van persoonsgegevens.

Diagnose Behandeling Combinaties

Naar aanleiding van het vaststellen van het privacyraamwerk door het ministerie van Volksgezondheid, Welzijn en Sport (VWS) en Zorgverzekeraars Nederland, is met het CBP overeengekomen dat een vervolg zou worden gegeven aan de privacybewuste invoering van de Diagnose Behandeling Combinaties (DBC’s). Het delen van informatie tussen de verschillende partijen zal zo moeten gebeuren dat de persoonlijke levenssfeer van de patiënt en het medisch beroepsgeheim minder worden geschaad. Het CBP heeft een adviserende rol gespeeld voor verschillende werkgroepen. Daarbij heeft het CBP ook zeer kritisch gekeken naar de opzet van het DBC Informatie Systeem. Er zijn met het ministerie van VWS en andere betrokken partijen afspraken gemaakt over minimale waarborgen voor de komende periode. Dit periodieke overleg tussen CBP en partijen zal in 2005 worden voorgezet. Het CBP zal als toezichthouder zeer alert blijven op het na- komen van toezeggingen door partijen.

12

jaarverslag 2004

Nieuwe informatiehuishouding bij de politie

In de afgelopen jaren is bij de verschillende politiekorpsen een breed palet ontstaan van verschillende ICT-toepassingen voor de uitvoering van dezelfde taken. Uiteindelijk is besloten te komen tot landelijke uniformiteit op het gebied van de ICT. Als toezicht- houder op de verwerking van gegevens door de politie heeft het CBP op verzoek geadviseerd over de wettelijke regels die van invloed zijn bij de keuze van nieuwe systemen.

Daarnaast is ook de herziening van het wettelijk kader voor de informatiehuis- houding van de politie ter hand genomen. In 2004 is advies uitgebracht aan de minister van Justitie over het conceptwetsvoorstel Wet politiegegevens. Het CBP kan zich vinden in de systematiek bij de verwerking van politiegegevens waarin de waarborgen toe- nemen naarmate de verwerking riskanter wordt voor betrokkenen. Er waren ook drie belangrijk punten van kritiek. Ten eerste zou er meer de nadruk moeten komen te liggen op de kwaliteit van gegevens die de politie verwerkt. In de tweede plaats heeft het CBP ernstig bezwaar tegen de invoering van zogenaamde themaregisters, grote verzamel- ingen van gegevens over burgers die niet ergens van verdacht worden. Ten derde zou er een duidelijke regeling moeten komen voor bewaartermijnen. Gegevens die niet meer nodig zijn, zouden vernietigd moeten worden en niet almaar bewaard worden voor het geval aan de gegevens behoefte mocht ontstaan.

Nieuw Schengen Informatiesysteem

Het Schengen Informatiesysteem is bedoeld om de controle aan de buitengrenzen van de Europese Unie te versterken. Alleen al de toetreding van nieuwe lidstaten tot de EU maakt vernieuwing van dat systeem nodig. Ook kunnen in het systeem geen bio- metrische kenmerken worden opgenomen. De Gemeenschappelijke Controleautoriteit Schengen (GCA), onder voorzitterschap van het CBP, heeft in september 2004 een opinie uitgebracht over de ontwikkeling van het nieuwe Schengen Informatiesysteem (SIS II).

De GCA vraagt aandacht voor de bescherming van persoonsgegevens al bij het ont- werpen van SIS II. De Europese Raad wordt opgeroepen het doel en de functies van het te bouwen systeem te verduidelijken zodat voldoende privacywaarborgen voor het systeem kunnen worden getroffen.

Europees visa-informatiesysteem

Er zijn plannen voor één visa-informatiesysteem voor de hele Europese Unie met gebruik van biometrische gegevens. Hierover heeft de Artikel 29-werkgroep in augustus 2004 een officieel standpunt gepubliceerd. De werkgroep wijst erop dat de verwerking van biometrische gegevens aan een zeer nauwkeurige rechtmatigheidtoets moet voldoen, omdat de gevaren van misbruik van deze gegevens groot zijn. De werkgroep heeft grote bedenkingen tegen een routinematige en grootschalige opslag van biometrische

gegevens en wil betrokken worden bij de verdere vormgeving van het visa-informatie- systeem.

Burgerservicenummer

Het beleid voor een ‘elektronische overheid’, een overheid die optimaal gebruik maakt van informatietechnologie waaronder internet, is in 2004 neergelegd in het programma

‘Andere overheid’. De introductie van een Burgerservicenummer (BSN) is een absolute voorwaarde voor het welslagen van dit programma. Het programmabureau BSN werd opgericht met als opdracht het eind 2003 opgeleverde plan te verwezenlijken.

Het kabinet nam onverwachts het besluit het Burgerservicenummer – in strijd met

eerdere toezeggingen – ook in de zorgsector in te voeren. Zorginstellingen en zorg-

verzekeraars zullen verplicht worden ermee te werken. Het gebruik van een uniek

identificerend persoonsnummer in de zorg brengt risico’s met zich mee. Grootschalige

koppeling van (patiënten-)gegevens wordt makkelijker en misbruik daardoor een-

14

jaarverslag 2004

voudiger. Een apart zorgidentificatienummer – een waarborg tegen te gemakkelijke ver- spreiding van gegevens van patiënten en zorgbehoevenden – bleek echter in de politieke en maatschappelijke constellatie niet meer haalbaar. Het CBP is daarop akkoord gegaan met het gebruik van het BSN in de zorgsector, mits dit vergezeld zou gaan van com- penserende waarborgen, waaronder betrouwbare autorisatieprocedures voor het gebruik van medische gegevens die met het nummer ontsloten worden.

Het CBP zal in 2005 meewerken aan de voorbereiding van de zogeheten nationale vertrouwensfunctie die voorziet in structureel toezicht in de vorm van onder meer één loket waar burgers met vragen en klachten over het BSN terechtkunnen.

Gedragscodes

In 2004 konden vijf sectorale gedragscodes goedgekeurd worden. Na een jarenlang voor- traject, waarin het CBP de branchevereniging heeft trachten te ondersteunen, kon begin 2004 de gedragscode voor de particuliere recherche worden goedgekeurd (zie ook hierna p.37).

De Koninklijke Beroepsorganisatie van Gerechtsdeurwaarders ontwikkelde een gedragscode met regels voor de bijzondere situatie dat gerechtsdeurwaarders als open- baar ambtenaar optreden en daarnaast ook commerciële diensten (bijv. incasso)

verlenen. Het is noodzakelijk dat zij de informatie verkregen uit hoofde van hun bijzondere wettelijke bevoegdheden als ambtenaar niet zondermeer gebruiken voor de niet-ambtelijke werkzaamheden.

De brancheorganisatie voor Werving, Search en Selectie (OAWS) herzag en actualiseerde haar gedragscode die aangeeft voor welke doeleinden persoonsgegevens van potentiële kandidaten mogen worden verwerkt. Ook de Code Goed Gedrag, een gedragscode voor gezondheidsonderzoek, is herzien en werkt regels voor de omgang met patiëntgegevens in gezondheidsonderzoek uit. Nieuw is de Gedragscode voor verwerking van persoons-

gegevens bij onderzoek en statistiek, die werd opgesteld door drie organisaties, de

Vereniging voor Beleidsonderzoek, de Vereniging voor Statistiek en Onderzoek en de MarktOnderzoekAssociatie.nl.

Adrescontrole door Interpay

Naar aanleiding van een klacht heeft het CBP onderzoek gedaan naar de wijze waarop een charitatieve stichting en Interpay BankGiroCentrale (Interpay) bleken samen te wer- ken voor direct marketing. Interpay verwerkt jaarlijks miljarden financiële transacties voor banken en financiële instellingen en beschikt daardoor over uitstekend bij- gehouden gegevens van iedereen met een bankrekening.

De stichting liet voor het versturen van donatieverzoeken het eigen adressenbestand actualiseren door Interpay.

Interpay verleende deze dienst tegen betaling. Het bedrijf verstrekte – in feite namens de banken – daartoe de juiste naam- en adresgegevens van de personen van wie de

charitatieve stichting de brieven met verzoeken om een bij- drage onbesteld terug kreeg. De stichting kon zo het (potentiële) donateurbestand systematisch actualiseren.

Het uitvoeren van een dergelijke adrescontrole is in strijd met de gedragscode voor financiële instellingen, opgesteld door de sector en in februari 2003 goedgekeurd door het CBP. Interpay heeft naar aanleiding van de uitspraak van het CBP in oktober 2004 besloten alle zogenaamde NAW-dienstverlening voor onbepaalde tijd stop te zetten.

De banksector heeft inmiddels laten weten met deze commerciële adressencontrole te stoppen ●

Zorgverzekeraars Nederland, branchevereniging voor zorgverzekeraars, is in 2004 gestart met het opstellen van gedragsregels voor onder meer het gebruik van de vele medische gegevens die de zorgverzekeraars ontvangen in het kader van het declareren van zorg. Ook zullen regels worden opgesteld voor het onderzoeken van fraude door een instelling, hulpverlener of verzekerde. Het gaat om een toevoeging op de

Gedragscode Verwerking Persoonsgegevens van de financiële instellingen. De verwach- ting is dat deze gedragsregels in de zomer van 2005 van een goedkeurende verklaring kunnen worden voorzien.

Toezicht

De jaarlijkse Voorjaarsconferentie van de privacytoezichthouders in de Europese Unie, die in 2004 door het CBP werd georganiseerd in Rotterdam, stond geheel in het teken van effectieve methoden en arrangementen van toezicht. De driedaagse conferentie werd op 22 april geopend door de minister van Justitie, mr. J.P.H. Donner, die opriep tot ver- dere samenwerking bij het toezicht op de rechtshandhaving in Europa binnen de zoge- naamde derde pijler, het beleidsterrein van justitie en binnenlandse zaken. De Europese privacytoezichthouders hebben inmiddels hun samenwerking bij advisering en toezicht op het terrein van politie en justitie geïntensiveerd.

Toezicht op de Europese samenwerking van politie en justitie

De nationale toezichthouders in de Europese Unie oefenen gezamenlijk toezicht uit op de instellingen waarin de nationale politie- en justitieautoriteiten in Europa samen- werken (o.a. Europol en Schengen). Zij doen dit via de zogenaamde Gemeenschappelijke Controleautoriteiten en -organen. In 2004 zijn deze toezichthoudende organen op de gegevensverwerkingen (Schengen, Europol, Douane en Eurojust) voor het eerst

gezamenlijk bijeengekomen met het oog op een krachtiger advisering in de derde pijler.

Zij gaven onder meer een reactie op de onderzoeksvragen van een commissie van het Britse Hogerhuis over terrorismebestrijding in de Europese Unie en de bescherming van de persoonlijke levenssfeer.

De toezichthouders pleitten voor verbetering van de bescherming van de funda- mentele rechten van het individu ten aanzien van zijn persoonsgegevens en van het toezicht daarop. De bestaande internationale wet- en regelgeving is daarvoor niet vol- doende. Gelet op de toenemende schaal van de gegevensverwerkingen, vaak ook van gegevens van onverdachte personen, is er behoefte aan nieuwe specifieke regels voor de politiesector.

Particuliere opsporing

Voor de sector van de particuliere opsporing is in 2004 een bijzonder toezicht- arrangement geschapen. De Wet op de particuliere beveiligingsorganisaties en recherchebureaus normeert weliswaar de sector, maar het ontbrak aan regels voor de uitvoering van onderzoeken en de verdere verwerking van de verzamelde gegevens. De reikwijdte van de gedragscode van de Vereniging van Particuliere Beveiligings-

organisaties, die hierin voorziet, is verbreed doordat de minister van Justitie deze in een

ministeriële regeling verplicht heeft gesteld voor alle recherchebureaus. Voor het

toezicht op de naleving hebben het CBP en de minister van Justitie een samenwerkings-

overeenkomst gesloten.

16

jaarverslag 2004

Doelen 2005

IN2005ZULLEN MET NAME DE VOLGENDE RESULTATEN WORDEN NAGESTREEFD:

• Veiligheid en privacy

Veiligheid en privacy zijn niet noodzakelijk tegengesteld. Het streven van de overheid naar een veel sterkere informatieposi- tie ten aanzien van (veelal onverdachte) burgers stelt principië- le vragen wel op scherp. Het toezicht op het gebruik van bevoegdheden en de over burgers verzamelde informatie is ten onrechte nog onvoldoende geregeld. Waar toezicht en controle wel zijn geregeld, is er soms sprake van een gebrekkige nale- ving van de regels. Het CBP zal in 2005 in aansluiting op de ontwikkelingen op het gebied van terrorismebestrijding en vei- ligheid zijn standpunten kenbaar maken en zich beraden op uit te voeren onderzoeken naar de naleving van privacyregels op dit gebied.

• Bijzondere politieregisters

Het CBP beschouwt het als zijn taak structureel toezicht uit te oefenen op de bijzondere politieregisters omdat deze niet of nauwelijks toegankelijk zijn voor burgers of de rechter. Het CBP zal in 2005 opnieuw onderzoek doen in enkele registers en een rapport met de algemene bevindingen publiceren.

• Particuliere recherche

In 2005 zal met een steekproef onderzoek worden gedaan naar naleving van de sectorale gedragscode door particuliere recher- chebureaus.

• Risicoselectie

Profilering is het beoordelen van individuen op basis van groepskenmerken. Het gaat om insluiting en uitsluiting van mensen op basis van een analyse aan de hand van een profiel.

Profilering bergt het risico van oneerlijke behandeling in zich.

Het CBP organiseert dit jaar een expert meeting over risicose- lectie. Op basis van de uitkomsten hiervan zal het besluiten of het de privacyregels voor het gebruik van groepsprofielen bij risicoselectie uitwerkt in een publicatie.

• Internet en privacy

Het internet confronteert gebruikers met vragen over hun pri- vacy, de veiligheid van hun persoonsgegevens en het mogelijke misbruik daarvan. Het internet stelt ook het CBP voor nieuwe vragen over zijn bevoegdheid als toezichthouder en een effec- tief toezicht op internet. Het CBP zal zijn positie als toezicht- houder ten aanzien van internet bepalen en publiceren.

Daartoe behoort ook het formuleren van specifieke normen op enkele gebieden. De focus zal liggen op publicaties op websi- tes, met als invalshoek de privacyproblemen die burgers in de alledaagse praktijk op het internet ondervinden.

• Informatieplicht

Overheden, bedrijven en andere organisaties hebben de wette- lijke plicht om mensen van wie zij persoonsgegevens gebrui- ken, hiervan op de hoogte te stellen. Het naleven van deze informatieplicht is een belangrijke waarborg dat burgers hun

rechten kunnen uitoefenen met betrekking tot hun persoons- gegevens. Het CBP zal in 2005 extra aandacht

besteden aan de informatieplicht, zowel in de voorlichting als door middel van onderzoek. De naleving van de informatie- plicht zal worden onderzocht, in het bijzonder ook bij particu- liere recherchebureaus en bij de bestrijding van fraude in de sociale zekerheid.

• Meldingsplichtonderzoek

Ook in 2005 zal het CBP op basis van een analyse van het openbaar register van meldingen een steekproefsgewijs onder- zoek in diverse sectoren uitvoeren naar de naleving van de meldingsplicht.

• Administratieve lasten

Het CBP zal voorstellen doen ter vermindering van de admi- nistratieve lasten voor bedrijven (en overheden) met behoud van het huidige beschermingsniveau voor persoonsgegevens.

In aansluiting op eind 2004 gedane voorstellen zal het CBP in overleg treden met de minister van Justitie, onder meer over verruiming van de vrijstelling van de meldingsplicht. Het CBP zal ook voorstellen de vergunningplicht voor doorgifte buiten de EU af te schaffen indien bedrijven gebruik maken van de door de Europese Commissie goedgekeurde modelcontracten.

• Binding Corporate Rules

Het CBP zal actief bijdragen aan een vereenvoudiging van de regels voor de doorgifte van persoonsgegevens naar verant- woordelijken buiten de Europese Unie. Onder meer zal het CBP streven naar Europese afspraken over een uniforme procedure voor het aanvragen van vergunningen en over een gecoördi- neerde afhandeling van vergunningaanvragen gebaseerd op zogenaamde binding corporate rules (BCR’s): instrumenten van zelfregulering voor de verwerking van persoonsgegevens binnen internationaal werkende concerns.

• Samenwerkingsverbanden

Samenwerkingsverbanden voor het aanpakken van maatschap- pelijke problemen (veiligheid, overlast in wijken, bemoeizorg, jeugdzorg) staan sterk in de belangstelling. Privacywetgeving wordt daarbij vaak – en vaak ten onrechte – als belemmering genoemd. Het CBP zal bijdragen aan de verheldering van de regels voor de noodzakelijke uitwisseling van persoonsgege- vens in samenwerkingsverbanden. In april 2005 organiseert het CBP en symposium over privacy in samenwerkingsverbanden.

Met de beroepsvereniging voor toezichthouders Vide zal het CBP een symposium organiseren voor inspecties over hun positie als deelnemer in samenwerkingsverbanden en als toe- zichthouder op organisaties die participeren in samenwerkings- verbanden.

• Toezicht en toezichthouders

Het CBP streeft naar efficiënt en effectief toezicht op de nale- ving van de regels voor de verwerking van persoonsgegevens.

Koepel- en brancheorganisaties zullen worden aangesproken op hun verantwoordelijkheid voor zelfregulering, onder meer door de publicatie van een handreiking voor compliance-onder- zoek. Het CBP stimuleert verder het aanstellen van functiona- rissen voor de gegevensbescherming en richt zich in 2005 op de kwaliteitsverbetering van dit interne toezicht.

Het CBP zal adviezen aan de minister van Justitie uitbrengen gericht op het oplossen van knelpunten die voor andere toe- zichthouders voortvloeien uit de Wet bescherming persoonsge- gevens.

Met de OPTA zal een samenwerkingsovereenkomst worden gesloten. Met het oog op doelmatig toezicht zal samenwerking ook met diverse andere toezichthouders (o.a. IWI) worden onderzocht.

Met de Commissie gelijke behandeling, de Nationale ombuds- man en het Studie- en informatiecentrum mensenrechten streeft het CBP ernaar in 2005 een advies aan de regering uit te brengen over de wenselijkheid van een nationaal mensen- rechteninstituut.

• Zorg en zekerheid

Invoering van marktwerking en meer eigen verantwoordelijk- heid staan centraal in beide sectoren. In beide stelsels krijgen verzekeraars een regiefunctie toebedeeld, die leidt tot een intensievere verzameling van vaak gevoelige gegevens over individuele burgers en uitwisseling ervan binnen conglomera- ten. Heldere regels voor het gebruik van persoonsgegevens ontbreken echter.

Het CBP zal de privacyrisico’s verbonden aan de gedeeltelijke privatisering van zorg- en zekerheidsstelsels aan de orde blijven stellen. De introductie van het Diagnose Behandeling

Combinaties (DBC)-stelsel zal nauwlettend als toezichthouder gevolgd worden. Verder zal een verkennend onderzoek bij zorgverzekeraars worden verricht naar het gebruik van medi- sche gegevens door een zorgverzekeraar.

Zorgverzekeraars Nederland (ZN) zal in 2005 het addendum bij de gedragscode voor Financiële Instellingen herzien en uitbrei- den met regels voor materiële controle en regels over het gebruik van declaratiegegevens. Het zal dit addendum ter goedkeuring aan het CBP voorleggen.

Ook zal een normatief kader gepubliceerd worden voor de sociale diensten: een tiental uitgangspunten waaraan de sociale diensten zich dienen te houden bij het verwerken van per- soonsgegevens.

• Burgerservicenummer

De introductie van het burgerservicenummer (BSN) is nu het centrale punt in de ontwikkeling van de informatie-infrastruc- tuur van de overheid. Het CBP is intensief betrokken geweest bij de voorbereiding van het stelsel. Door deelname in de stuurgroep BSN en in de werkgroep Nationale

Vertrouwensfunctie (NVF) beoogt het CBP te verzekeren dat de overeengekomen privacywaarborgen ook daadwerkelijk gerea- liseerd worden. Het CBP zal in het kader van de NVF zelf ver- antwoordelijk worden voor de nationale ombudsfunctie en de toetsing van gegevensuitwisseling op basis van het BSN. In 2005 zal het CBP de implementatie van deze taken voorberei- den.

• Evaluatie Wet bescherming persoons- gegevens

Het CBP zal zich voorbereiden op een bijdrage aan de evaluatie van de Wet bescherming persoonsgegevens die is voorzien voor 2006 (artikel 80 WBP).

De evaluatie van de Europese privacyrichtlijn 95/46/EG in 2003 heeft geleid tot een werkprogramma voor de

Europese privacytoezichthouders. Een belangrijk onderdeel daarvan is een vereenvoudiging van de regels voor door- gifte van persoonsgegevens naar landen buiten Europa, met name voor multinationale bedrijven. Met enkele andere toezichthouders streeft het CBP naar de introductie van zogenaamde Binding Corporate Rules (BCRs), bindende gedragscodes voor de omgang met persoonsgegevens binnen multinationale concerns.

Op 24 november 2004 vond hierover in Den Haag een publieke hoorzitting plaats. Enkele multinationals hadden

BCRs opgesteld en tijdens de hoorzitting werden hun er- varingen besproken. Ook werd besproken wat noodzakelijk is om BCRs tot een Europees succes te maken. Het bedrijfs- leven bleek vooral behoefte te hebben aan een eenvoudige, snelle en duidelijke procedure om in de verschillende lan- den van de Europese Unie goedkeuring te krijgen van BCRs. Op grond van één BCR zouden vanuit de hele EU gegevens moeten kunnen worden doorgeven naar ‘derde landen’. In Nederland is de goedkeuring van enkele BCRs in de afrondingsfase. Op Europees niveau werken de pri- vacytoezichthouders aan een samenwerkingsprocedure voor de behandeling van BCRs ●

Persoonsgegevens binnen multinationals

18

jaarverslag 2004

Wet werk en bijstand

Ten behoeve van het toezicht op de nieuwe Wet Werk en Bijstand hebben IWI en CBP het voornemen uitgesproken om in 2005 een samenwerkingsconvenant af te sluiten. Door samenwerking en kennisdelen zal effectiever en efficiënter toezicht kunnen worden gehouden. Samenwerking bevordert bovendien eenduidig toezicht omdat de normen- kaders waar de toezichthouders mee werken op elkaar kunnen worden afgestemd. Ook de toezichtdruk voor de onder toezicht gestelde organisaties kan zo worden verminderd.

In het convenant zullen bijvoorbeeld afspraken worden gemaakt over het delen van toezichtinformatie en het elkaar wederzijds informeren over de uitkomsten van onder- zoeken.

Zorgverzekeringswet

De nieuwe Zorgverzekeringswet voorziet in een verplichte standaardzorgverzekering voor alle inwoners van Nederland. Het CBP heeft in 2004 op het wetsvoorstel

geadviseerd meer concrete normen te stellen voor gebruik en uitwisseling van persoons- gegevens in het kader van zorgverzekeringen. Het structurele toezicht op de zorg- verzekeraars zal zich anders hoofdzakelijk beperken tot het signaleren van onrecht- matigheden op verzekeringstechnisch, financieel en administratief terrein. Toezicht op de verwerking van persoonsgegevens dient specifiek opgenomen te worden in het wets- voorstel, omdat ook op de verwerking van persoonsgegevens door de zorgverzekeraars structureel toezicht noodzakelijk is. Daarnaast is aanpassing van het addendum van Zorgverzekeraars Nederland (ZN) bij de Gedragscode Verwerking Persoonsgegevens van de financiële instellingen nodig.

Spam

Ongevraagde, in grote hoeveelheden verzonden e-mail, beter bekend als spam, is hin- derlijk, lastig aan te pakken en jaagt Internet service providers – en daarmee hun klan- ten – op hoge kosten. Volgens recente schattingen is wereldwijd ongeveer driekwart van alle e-mail spam. De Europese Richtlijn Elektronische Communicatie (2002/58) verbiedt het versturen van ongevraagde commerciële berichten en de Europese toezichthouders op dit verbod werken samen in het zogenaamde Contact Network of Spam Authorities voor informatie-uitwisseling en het faciliteren van samenwerking bij de handhaving van het verbod in de EU. Hiertoe is ook een samenwerkingsovereenkomst opgesteld.

In Nederland hebben de OPTA en het CBP op 19 oktober 2004 afspraken over samen-

werking ondertekend met betrekking tot het spamverbod, dat sinds 19 mei 2004 in Nederland van kracht is. Het CBP zal zich primair richten op het toezicht op het ver- zamelen en gebruiken van e-mailadressen. Individuele klachten over spam kunnen worden gericht tot de OPTA via www.spamklacht.nl. De werkafspraken over spam vor- men de opmaat voor de uitwerking van een breder samenwerkingsprotocol in 2005.

Onderzoek en handhaving

Criminele inlichtingeneenheden

In 2003 en 2004 heeft het CBP onderzoek gedaan naar bijzondere politieregisters die gehouden worden door criminele inlichtingen eenheden (CIE) bij de regionale politie- korpsen. Het CBP is ingevolge de Wet politieregisters (Wpolr) toezichthouder op de werking van de politieregisters. In die positie heeft het CBP toegang tot de inhoud van de CIE-registers. Die informatie wordt, met recht, vanwege de gevoelige aard ervan grotendeels van betrokkenen en het toezicht door de rechter, afgeschermd. Daarin ziet het CBP een bijzondere opdracht inhoudelijk op de CIE-registers toe te zien.

Bij het onderzoek heeft het CBP zich hoofdzakelijk gericht op controle aan de hand van de inhoud van de registers, daarnaast zijn ook enkele technische en organisatorische aspecten in beschouwing genomen. Het algemene beeld uit het onderzoek is over- wegend positief te noemen. De onderzochte inhoudelijke aspecten bleken over het alge- meen in orde. Wat betreft de onderzochte technische en organisatorische aspecten bleek dat op een aantal punten niet wordt voldaan aan de voorschriften die door de wet- en regelgeving worden gesteld. De korpsen geven aan dat zij, in afwachting van een lande- lijk in te voeren informatiesysteem, geen aanpassingen zullen uitvoeren ten aanzien van de huidige systemen en werkwijzen.

Schengen Informatiesysteem

In 2004 heeft de Gemeenschappelijke Controleautoriteit Schengen aan de nationale controleautoriteiten van de lidstaten die aangesloten zijn op het Schengen Informatie- systeem (SIS), verzocht een onderzoek naar de gang van zaken bij het signaleren van vreemdelingen in het systeem. Eind juni 2004 en eind december 2004 is gerapporteerd aan de GCA Schengen. Een aantal signaleringen hebben bij het CBP vragen opgeroepen en deze signaleringen zullen nader worden onderzocht.

Landelijke registraties in de zorg

Het CBP heeft in 2004 zijn onderzoek naar de werking van landelijke zorgregistraties afgerond met een onderzoeksrapportage die in april 2005 gepubliceerd is. Het ver- kennende onderzoek had als kernvragen wat de patiënt weet van de registratie van zijn gegevens in landelijke databanken, waarvoor deze registraties precies worden gebruikt, en of de gegevens in de registraties tot de persoon van de patiënt herleidbaar waren.

Voor het verwerken van (indirect) herleidbare patiëntgegevens biedt de wet namelijk maar beperkte mogelijkheden, gezien de gevoeligheid van de gegevens en het voor art- sen mede om die reden geldende beroepsgeheim.

Uit het onderzoek bij vijf landelijke registraties heeft het CBP de indruk gekregen dat

de onderzochte landelijke registraties over het algemeen redelijk tot goed omgaan met

persoonsgegevens. Ook bleek dat verbeteringen in bijna alle gevallen mogelijk en nood-

zakelijk waren. De voornaamste te nemen maatregel is het beperken van de herleidbaar-

heid van de gegevens tot individuele patiënten. Een aantal aanbevelingen is inmiddels

door de registraties overgenomen.

20

jaarverslag 2004

Naleving van de meldingsplicht

Bedrijven, organisaties en instellingen zijn op grond van de WBP verplicht ver- werkingen van persoonsgegevens te melden bij het CBP of de functionaris voor de gegevensbescherming tenzij er een vrijstelling geldt. Als een gegevensverwerking ten onrechte niet, onjuist of onvolledig gemeld is, kan het CBP een boete opleggen van maximaal 4500 Euro. Periodiek worden meldingen uit bepaalde sectoren of van bepaalde soorten verwerkingen aan een nader onderzoek onderworpen. Dit doet het CBP ook naar aanleiding van klachten van betrokkenen.

Het jaarlijkse controleonderzoek is in 2004 uitgevoerd in drie sectoren, namelijk tele- communicatie, de geestelijke gezondheidszorg en de incassobranche. De onderzoeken zullen in 2005 afgerond worden, al dan niet met het opleggen van sancties.

In vervolg op specifieke voorlichting aan telecomsector heeft het CBP bij een aantal aanbieders van telecommunicatiediensten (vaste en mobiele telefonie en internet) gecon- troleerd of aan de meldingsplicht was voldaan. Het onderzoek richtte zich met name op de melding van de verwerking van verkeersgegevens.

Bij enkele Geneeskundige gezondheidsdiensten (GGD’s) is onderzoek gedaan naar naar de melding van de verwerking van persoonsgegevens in het kader van de

Openbare geestelijke gezondheidszorg (OGGZ). Deze verwerking houdt naar het oordeel van de wetgever een bijzonder risico in voor de persoonlijke levenssfeer van de betrok- ken burgers; bij de melding dient daarom ook een onderzoek naar de rechtmatigheid van de verwerking te worden aangevraagd bij het CBP, het zogenaamde voorafgaand onderzoek.

Uit de analyse van het WBP-Meldingenregister bleek dat het aantal meldingen door incassobureaus sterk achterblijft. De controle in deze sector was er op gericht te onder- zoeken in hoeverre incassobureaus persoonsgegevens verwerken en in hoeverre zij terecht verwerkingen van persoonsgegevens niet gemeld hebben.

60.000 55.000 50.000 45.000 40.000 35.000 30.000 25.000 20.000 15.000 10.000 5.000 0

jan 2003

feb mrt apr mei jun jul aug sep okt nov dec jan 2004

feb mrt apr mei jun jul aug sep okt nov dec GRAFIEK BEZOEKERS WWW.CBPWEB.NL

Boetes voor gemeenten en bedrijven

In 2003 voerde het CBP de eerste steekproefsgewijze controle uit naar de naleving van de WBP-meldingsplicht bij een aantal gemeenten, zorgverzekeraars, interne en externe arbodiensten en bij direct marketing bedrijven. Het aantal WBP-meldingen is na deze eerste controles sterk gestegen, niet alleen in de onderzochte sectoren maar ook bij de particuliere recherchebureaus, de politie en in de zorgsector.

In totaal zijn voor deze eerste controle 50 onderzoeken verricht. In een aantal geval- len werd na het schriftelijke onderzoek aanvullend onderzoek ter plaatse gedaan ter vaststelling van de feiten. Eind 2003 leidde de controle tot de eerste boetes bij een gemeente en twee bedrijven. In de loop van 2004 heeft het CBP in totaal 29 boetes van

€ 3.000 tot € 15.000 opgelegd. In een aantal gevallen heeft het CBP gebruik gemaakt van zijn bevoegdheid om de boete te matigen, in het bijzonder als er sprake was - zoals bij gemeenten - van een groot aantal verwerkingen van persoonsgegevens. De voornaamste overweging hierbij was dat ook de gematigde boete zijn doel – de speciale en generale preventie – zou bereiken.

De boetes zijn opgelegd aan 14 gemeenten, 3 direct marketing bedrijven, 3 zorg- verzekeraars en 9 arbodiensten. De meeste gemeenten hebben een bezwaarschrift inge- diend tegen de boete; enkele gemeenten hebben de boete inmiddels betaald. De private organisaties hebben op één na geen bezwaar gemaakt en hebben bijna allemaal betaald.

Alle betrokken organisaties hebben inmiddels hun verwerkingen van persoonsgegevens bij het CBP gemeld.

Register van gestolen fietsen

De Stichting Aanpak Voertuigcriminaliteit vroeg om advies over het opzetten van een register van gestolen fietsen.

Met een register zou het gemakkelijker kunnen worden voor de politie om de eigenaren van gestolen fietsen te traceren. In de toekomst zouden op basis van het register ook fietsenhandelaren en consumenten via internet er achter moeten kunnen komen of een bepaalde fiets gesto- len is, dit om heling van gestolen fietsen te voorkomen.

Zo’n register lijkt een goed idee maar er moet wel wat voor geregeld worden. Om in het register gegevens over diefstal – met andere woorden strafrechtelijk gegevens – te mogen verwerken en deze via internet openbaar te maken, is een wettelijke basis noodzakelijk. De Wegenverkeerswet zou dus gewijzigd moeten worden zodat het opzetten en behe-

ren van het register van gestolen fietsen een wettelijke taak voor de Rijksdienst Wegverkeer wordt.

Met het oog op de beheersbaarheid en effectiviteit van zo’n register verdient een landelijke aanpak de voorkeur zowel voor het traceren van eigenaars door de politie als voor het voorkomen van heling. Een voor iedereen via internet raadpleegbaar register waarin gegevens over gestolen fietsen worden vermeld, moet bovendien aan een paar eisen voldoen. Er moeten duidelijke afspraken gemaakt worden over de verantwoordelijkheid voor de juistheid van de opgenomen gegevens en er mogen geen ongewenste effecten zijn voor burgers die te goeder trouw zijn ●

De samenleving moet erop kunnen rekenen dat toezicht en toezichthouders gekenmerkt worden door onafhankelijkheid, transparantie en professionaliteit.

De Ambtelijke Commissie Toezicht II, die in het kader van haar taak in 2004 ook een rapport over het CBP heeft opgesteld, onderscheidt in het algemeen een aantal samenhangende, kritische succesfactoren voor toezicht, waaronder:

• een heldere en consistente strategie gebaseerd op inzicht in de praktijk van de naleving;

• integriteit van het toezicht, gewaarborgd door een goede functiescheiding rond advisering en controle;

• een zo klein mogelijke toezichtdruk voor bedrijven en organisaties onder meer door samenwerking met andere toezichthouders, en

• een goede publieke verantwoording en goed contact met belanghebbende partijen.

Beleid van

de toezichthouder

22

22

jaarverslag 2004

Op al deze punten zijn in 2004 door het CBP wezenlijke vorderingen gemaakt. In 2005 zal in de eerste plaats verder geïnvesteerd worden in het verzamelen van meer nalevinginformatie en verdieping van de risicoanalyse als basis voor onderzoek- en handhavingstrategie.

Het CBP zag zich verder gesterkt in zijn overtuiging dat bescherming van de per- soonlijke levenssfeer burgers wel degelijk interesseert, juist als zij voor feitelijke dilemma’s in hun directe belevingssfeer worden gesteld. Onderzoek in 2004 uitgevoerd door TNS NIPO Consult liet zien dat burgers een direct verband leggen tussen de manier waarop (zij denken dat) publieke en private organisaties omgaan met hun gege- vens en het vertrouwen dat zij in deze organisaties hebben, in weerwil van het achteloze

“Ik heb toch niets te verbergen” waarmee zij privacydilemma’s rond veiligheid vaak afdoen. Uit het onderzoek bleek een stevige vertrouwenskloof gerelateerd aan de bescherming van de persoonlijke levenssfeer.

Burgers, overheden en bedrijven mogen verwachten dat het CBP wezenlijke normen en afgesproken regels handhaaft en zonodig stevig optreedt. Bedrijven die investeren in een integere omgang met persoonsgegevens, moeten kunnen rekenen op een level playing field. Burgers moeten kunnen rekenen op toezicht aangezien zij niet de mid- delen hebben om alleen de risico’s van fraude met of misbruik van hun gegevens te dragen. Het onderlinge vertrouwen in het maatschappelijk verkeer wordt zo versterkt door een behoorlijke, zorgvuldige en rechtmatige omgang met persoonsgegevens.

Ook het vertrouwen in de overheid is direct gebaat bij de wijze waarop zij met de gegevens van haar burgers omgaat. De normen voor het gebruik van persoonsgegevens behoren tot de grondslagen van de democratische rechtsorde. Als spelregels zijn zij tevens uiterst bruikbaar voor een evenwichtige afweging van belangen bij het aanpak- ken van maatschappelijke problemen.

Belastingdienst

Gemeenten

Politie

Uitkeringsinstanties

Banken en financiële instellingen

Werkgevers

Verzekeraars

Credit card maatschappijen

Incassobureau’s

Gerechtsdeurwaarders

Marktonderzoekbureau’s

Postorderbedrijven

Goede doelenorganisaties

Winkels

belang/vertrouwen

belang vertrouwen

GRAFIEK BELANG/VERTROUWEN OP BASIS VAN NIPO-RAPPORT

0 10 20 30 40 50 60 70 80 90 100

Transparantie

De samenleving verwacht doortastend én zorgvuldig optreden van het CBP. Er kunnen immers grote belangen op het spel staan voor organisaties wanneer het CBP eisen stelt aan de naleving van de regels voor de bescherming van persoongegevens. Kwaliteit en transparantie van het optreden van de toezichthouder dienen steeds bewaakt te worden en te voldoen aan maatschappelijke normen. Het CBP publiceerde daarom in 2004 in de Staatscourant en op de website een beleidsrichtlijn om inzicht te geven in de werkwijze van het College bescherming persoonsgegevens bij de uitvoering van taken en werk- zaamheden.

De beleidsrichtlijn Uitgangspunten en beleidsregels werkwijze CBP geeft de uitgangs- punten voor onder meer het selectiebeleid bij een aantal taken. Om het brede werk- terrein van de bescherming van persoonsgegevens met een kleine organisatie te kunnen dienen is een selectiebeleid noodzakelijk. De eerste versie van de beleidsregels bevat hoofdstukken over de afhandeling van verzoeken om voorlichting, klachtenbehandeling, bemiddeling en de toepassing van bestuursdwang. Beleidsregels over de bevoegdheid om een boete op te leggen bij niet-naleving van de meldingsplicht werden reeds in 2003 gepubliceerd en werden ongewijzigd in de beleidsrichtlijn opgenomen. Uitgangspunten en beleidsregels aangaande andere taken zullen aan deze publicatie worden toegevoegd.

Administratieve lasten

Het CBP is zich bewust van de administratieve last die regelgeving veelal met zich mee- brengt en onderschrijft het belang van het kabinetsbeleid om te komen tot administratie- ve lastenverlichting. Ook voor de maatschappelijke steun voor de bescherming van persoonsgegevens is het noodzakelijk dat ondernemers niet geconfronteerd worden met te grote lasten als gevolg van de WBP. De minister van Justitie streeft daarom naar het vereenvoudigen van de uitvoering van de wet voor de verantwoordelijken ter vermin- dering van de administratieve lasten. Het huidige beschermingsniveau voor de

betrokkenen dient daarbij behouden te blijven en wijzigingen dienen te vallen binnen de marges van de Europese Richtlijn (95/46/EG). Het CBP heeft in december 2004 tien con- crete voorstellen gedaan die leiden tot administratieve lastenverlichting.

Als toezichthouder en ook als adviseur bij wetgeving zal het CBP het aspect van de administratieve lasten ook verder in zijn oordeelsvorming betrekken. Daarbij zal uit- drukkelijk worden nagegaan op welke wijze administratieve lasten kunnen worden beperkt of verminderd met behoud van het gewenste niveau van bescherming.

Beleidsplan 2005-2008

Om doeltreffend en resultaatgericht uitvoering te geven aan zijn taken, actualiseert het CBP na overleg met zijn Raad van Advies jaarlijks een meerjarig beleidsplan. In 2004 is het beleidsplan voor de periode 2005-2008 vastgesteld. Hieronder worden daaruit de visie van het college op de rol van het CBP en de te volgen strategie samengevat. Een specifieke handhavingstrategie zal in 2005 uitgewerkt worden.

Positionering

De WBP legt de primaire verantwoordelijkheid voor een integer gebruik van persoons- gegevens bij overheden, bedrijven en andere maatschappelijke organisaties die per- soonsgegevens verwerken. De wet schept daarom ook mogelijkheden tot zelfregulering via gedragscodes en intern toezicht door functionarissen voor de gegevensbescherming.

De burger heeft rechten om zelf actief toe te kunnen zien op het gebruik van zijn gegevens door verantwoordelijken. Daarnaast voorziet de wet in een onafhankelijke

jaarverslag 2004

24