Jaarverslag 2001 - in vogelvlucht
C O L L E G E BESCHERMING P E R S O O N S G E G E V E N S
jaarverslag 2004INHOUD
IEDERE BURGER HEEFT RECHT OP BESCHERMING VAN ZIJN PERSOONLIJKE LEVENSSFEER.
EEN ZORGVULDIGE OMGANG MET ZIJN PERSOONSGEGEVENS DOOR ANDEREN
BEHOORT DAARTOE.
HET COLLEGE BESCHERMING PERSOONSGEGEVENS HOUDT KRACHTENS DE WET TOEZICHT
OP DE NALEVING VAN DE NORMEN EN REGELS VOOR HET GEBRUIK VAN PERSOONSGEGEVENS.
ZO NODIG TREEDT HET CBP HANDHAVEND OP.
DE TOEZICHTHOUDER VERRICHT ZIJN TAKEN IN ONAFHANKELIJKHEID, STIMULEERT
ZELFREGULERING EN VERANTWOORDT ZICH IN EEN OPEN GEDACHTEWISSELING
MET ALLE SECTOREN VAN DE SAMENLEVING.
1
de wens... (door Jacob Kohnstamm) pagina 2“De wens om steeds meer persoonsgegevens voor steeds meer doeleinden te gebruiken is toonaangevend in veel van de gevoerde maat-schappelijke debatten.”
samenstelling college en raad van advies pagina 6Mr. Jacob Kohnstamm is per 1 augustus 2004 benoemd tot voorzitter van het CBP.
2004 in vogelvlucht pagina 8De strijd tegen het terrorisme is noodzakelijk maar er is geen enkele reden het inzicht los te
aten dat machtsuitoefening moet plaatsvinden binnen een systeem van checks and balances:
geen bevoegdheid zonder noodzaak en geen bevoegdheid zonder controle op de uitoefening ervan.
beleid van de toezichthouder pagina 22Opinieonderzoek laat zien dat burgers een direct verband leggen tussen de manier waarop
(zij denken dat) publieke en private organisaties omgaan met hun gegevens en het vertrouwen
dat zij in deze organisaties hebben.
activiteiten van het CBP pagina 31De toezichthouder is actief op een breed terein: openbaar bestuur, politie en justitie,
arbeid en sociale zekerheid, zorg en welzijn, handel en diensten, telecommunicatie, tech-
nologie en op internationaal gebied.
organisatie pagina 56Veranderende tijden en een nieuwe voorzitter betekenden voor het CBP ook bezinning op
rol en taakopvatting. Het CBP blijft welbewust een organisatie in verandering, ondanks
de verhoogde extra belasting die dit met zich meebrengt.
bijlagen pagina 69Overzichten van wetgevingsadviezen, onderzoeksrapporten, gedragscodes, modelregle-
menten, documenten van de Europese Artikel 29-werkgroep en publicaties van het CBP.
english summary page 78– Introduction by Jacob Kohnstamm, chairman of the Dutch DPA;
– Summary of activities and results in 2004; statement of goals for 2005.
inhoud
2 jaarverslag 2004
De wens...
DN
A,
HET
ULT
IEM
EP
ERSO
ON
SGEG
EVEN
, IS
VER
WER
KT
INH
ETLO
GO
VA
NH
ETC
BP
De wens om steeds meer persoonsgegevens voor steeds meer doeleinden te
gebruiken is toonaangevend in veel van de gevoerde maatschappelijke debatten.
Zonder te pretenderen een begin van een volledig beeld te schetsen, mogen als voor-
beelden dienen de discussie over de intensivering van de bestrijding van het
terrorisme, de invoering van het burgerservicenummer en de ingrijpende wijziging
van het ziektekostenstelsel waarbij marktwerking een grote rol moet spelen. Ook
moet genoemd worden de wens om tot intensieve vormen van uitwisseling van
persoonsgegevens te komen in het kader van de samenwerking tussen uiteenlopende
instellingen en organisaties die steeds vaker al dan niet vanuit een publieke taak
trachten te zamen een sluitend cliëntsysteem te vormen.
< TERUG INHOUD VERDER >
3inleiding
Private ondernemingen dienen gegevens over handelstransacties beschikbaar te stellen voor
overheidsdoelstellingen en klantgegevens worden als informatiegrondstof gedeeld binnen
conglomeraten. Technische doorbraken of de massale toepassing van bestaande techniek
openen de weg naar tot voor kort ongekende mogelijkheden om het doen en laten van
individuen te volgen, te analyseren, te beoordelen en hen dienovereenkomstig ook te behan-
delen. Het veld waarop het CBP (College bescherming persoonsgegevens) toezicht houdt, is
dus aan ingrijpende veranderingen onderhevig.
Bij de afweging tussen de wens of gevoelde noodzaak de persoonlijke levenssfeer‘binnen te treden’ enerzijds en de krachtens de wettelijke bepalingen in acht te nemenzorgvuldigheid in de omgang met persoonsgegevens anderzijds, ontstaat als vanzelf-sprekend spanning. Om die ‘strijd’ tot een vruchtbare synthese te brengen is de mede-werking van de overheid, de private sector en het CBP nodig. Degenen die in de publiekeen private sector vernieuwingen of veranderingen wensen te realiseren, zouden zich –beter dan thans veelal het geval is – rekenschap moeten geven van de uitgangspuntenvoor de bescherming van de persoonlijke levenssfeer om van daaruit te zoeken naaroplossingen voor eventuele dilemma’s. Voor het College bescherming persoonsgegevensgeldt anderzijds dat het zich intensief rekenschap geeft of dient te geven van nieuwemaatschappelijke ontwikkelingen en eisen.
Het kader waarin het CBP vervolgens optreedt, is in hoge mate begrensd door de relevante wettelijke bepalingen en de daaruit af te leiden opdracht, waarbij de Wetbescherming persoonsgegevens – meer nog dan enkele andere wetten – het doen en latenvan de toezichthouder bepaalt. De geschiedenis van de totstandkoming van de WBP ende ontwikkelingen sindsdien, stellen ons daarbij voor lastige dilemma’s.
Zoals altijd, als de wetgever tot codificatie overgaat van hetgeen in de praktijk isgegroeid dan wel in politiek-maatschappelijke zin als standaard wenselijk wordt geoor-deeld, gaat de aandacht na verloop van tijd veeleer uit naar de technische uitwerking vande wet dan naar het achter die technische uitwerking schuilgaande te beschermen goedof te realiseren doel. De toepassing van de wet in de praktijk oogt dan bovenal forma-listisch, terwijl het materiële belang aan het zicht wordt onttrokken. Anders gezegd: hetCBP is in de ogen van sommigen eerder een ‘administratieve last’ dan de ‘privacy-waakhond’.
Mij treft verder als curieus dat het desbetreffende grondrecht uiteindelijk op grond vaneen Europese richtlijn die ten doel heeft om concurrentievervalsing tegen te gaan, innationale wetgeving is omgezet. De bescherming van de consument lijkt meer nog dan debescherming van de burger de drijfveer geweest te zijn om tot deze specifieke vorm vancodificatie te komen. Dat is te meer opvallend omdat de centrale overheid in voor-komende gevallen, waarin de wettelijke bepalingen als te beperkend voor de te realiserensectorspecifieke doelen worden gezien, nieuwe wetgeving tot stand kan brengenwaardoor alsnog kan worden voldaan aan de eisen die de WBP stelt aan de wijze waarop met persoonsgegevens dient te worden omgesprongen. De WBP lijkt daardoor inde publieke sector een aanzienlijk minder dwingend karakter te hebben dan in de privatesector.
In het publieke debat is daarbij al enkele jaren sprake van een sterke erosie en poli-tisering van de term privacy. De actieradius van het CBP wordt bepaald door de concreetbeschreven opdracht in de WBP om een bijdrage te leveren aan de bescherming van per-soonsgegevens. In de wandeling wordt dat vaak privacybescherming genoemd. In het
< TERUG INHOUD VERDER >
4 jaarverslag 2004
maatschappelijke debat wordt veelal privacy in losse zin gebruikt zonder dat bijbenadering wordt bepaald wat daar onder wordt verstaan. Sinds enkele jaren is‘privacy’ voor velen bovendien een politieke steen des aanstoots geworden: eenniet concreet gedefinieerd belang dat bestuurders en professionals ervan zouweerhouden om politiek en maatschappelijk gewenste doelen te realiseren. Inuitlatingen van politici, bestuurders en andere ambtsdragers – bijvoorbeeld in deinmiddels traditioneel geworden verstrekkende nieuwjaarstoespraken van hoofd-commissarissen van politie – is kritiek op ‘privacy’ als obstakel voor optreden, op‘privacy’ als schuilplaats voor wanbetalers, fraudeurs en andere kwaadwilligeneen steeds terugkerende schaamlap voor het ontbreken van eigen daadkracht ofsuccesvol optreden geworden.
Het ergerniswekkende van deze uitlatingen is dat zij zelden of nooit wordenvoorzien van voorbeelden waaruit valt af te leiden waar de schoen precieswringt. Voor zover concrete situaties worden opgevoerd waaruit zou moetenblijken dat de WBP (of enige andere wettelijke bepaling die ziet op beschermingvan persoonsgegevens) realisering van politiek of maatschappelijk gewenste doelen werkelijk in de weg staat, is doorgaans bij nader inzien gebleken dat ereerder sprake was van onprofessioneel gedrag van degene die zich over hetobstakel beklaagde, of er was sprake van – soms zeer – gebrekkige kennis vande mogelijkheden die de wet wel degelijk biedt.
Wat was en is de essentie van hetgeen met de WBP beschermd dient te wor-den? En langs welke weg dient een en ander gerealiseerd te worden? In deNederlandse grondwet, het Europees Verdrag voor de Rechten van de Mens, hetDataverdrag van Straatsburg en in de conceptgrondwet voor de Europese Unie isde beschermwaardigheid van de persoonlijke levenssfeer en als sequeel daarvande bescherming van persoonsgegevens verwoord. De eerste waarde is debescherming van de persoonlijke levenssfeer, de vrijwaring tegen onfatsoenlijkeof ongeoorloofde inmenging in het leven van burgers. Dit heeft primair tot doelde burger in staat te stellen tot een relatieve mate van vrijheid van handelen.
Een ieder streeft daartoe naar enigerlei vorm van regie over wat anderen vanhem of haar weten, over het beeld dat zij zich van hem of haar vormen.Iedereen heeft er recht op en potentieel belang bij om in zekere mate zelf tekunnen bepalen of en zo ja op welke wijze verspreiding plaats mag vinden vande over hem of haar gegenereerde en opgeslagen informatie. Zelfbeschikking,autonomie en optimale individuele ontplooiing – in een democratische rechts-staat altijd relatief te duiden – zijn dus vanuit het gezichtspunt van de burger ende consument de kernwaarden die gemoeid zijn met de normen en de daaruitvoortvloeiende regels voor de omgang met persoonsgegevens.
Als macht en machtsuitoefening gekoppeld worden aan persoonsgegevens,kan een niet te rechtvaardigen beperking van de maatschappelijke mogelijk-heden en ontplooiing van het individu daarvan het gevolg zijn. De technischevertaling naar de maatschappelijke praktijk die in de WBP is gemaakt, komt erop neer dat burgers en consumenten er recht op hebben en er op moeten kunnen vertrouwen dat overheid en private sector fatsoenlijk, respectvol entransparant met persoonsgegevens zullen omspringen.
< TERUG INHOUD VERDER >
5inleiding
In de hiernavolgende hoofdstukken van het jaarverslag 2004 passeren veel concrete casusposities en adviezen de revue, waarbij het CBP met de wet in dehand heeft getracht op hedendaagse wijze als toezichthouder zijn taak te ver-vullen. De zoektocht naar een aanvaardbare balans tussen ogenschijnlijk tegen-strijdige belangen van de bescherming van persoonsgegevens enerzijds enmarkt-, politieke of maatschappelijke noden anderzijds, is blijkens dit verslag eenweerbarstige. Het is een legitieme vraag – die met regelmaat gesteld moet wor-den – of een enkele bepaling van de WBP ons in die zoektocht eerder in de wegstaat dan behulpzaam is.
Een intensivering van de zoektocht naar de aanvaardbare balans is geboden,zowel voor het CBP als voor ‘verantwoordelijken’ – overheid en private partijen– en, zo het kan, op basis van wederkerigheid. Vertrouwen tussen mensen enorganisaties in de samenleving wordt immers mede bepaald door de wijze waar-op de persoonlijke levenssfeer wordt gerespecteerd en door de wijze waarop in het bijzonder met persoonsgegevens wordt omgesprongen. Kan hetindividu ‘meekijken’ en bepalen of en zo ja welke informatie over hem of haarcirculeert? Hoe zijn checks and balances gerealiseerd zodat een effectieve con-trole op het verzamelen, verwerken en het verspreiden van persoonsgegevensmogelijk is?
Uiteindelijk staat het zoeken van de balans in dienst van de wijze waaropindividuen vertrouwen kunnen geven aan de samenleving. Een samenleving diedat sociale kapitaal voor haar burgers weet te genereren, heeft een belangrijkerandvoorwaarde geschapen voor welvaart en welzijn, voor een bloeiende civil
society, voor een samenleving die kracht en veiligheid vindt in cohesie.
J. Kohnstamm
voorzitter
< TERUG INHOUD VERDER >
6 jaarverslag 2004
college 2004
mr. J. Kohnstamm
voorzitter
mr. dr. U. van de Pol
collegelid
drs. J.W. Broekema
collegelid
samenstellingcollege en raad van advies
< TERUG INHOUD VERDER >
7
raad van advies 2004
R. Bandell
burgemeester van Dordrecht
prof. dr. T.M.A. Bemelmans
hoogleraar bestuurlijke informatiesystemenTechnische Universiteit Eindhoven
mr. G.J.M. Corstens
raadsheer Hoge Raad
prof. mr. E.J. Dommering
hoogleraar informatierecht Universiteit vanAmsterdam
mw. drs. A. van Es
oud-lid van de Tweede Kamer
prof. mr. H. Franken
hoogleraar informaticarecht Rijksuniversiteit Leiden
prof. mr. J.K.M. Gevers
hoogleraar gezondheidsrecht Universiteit vanAmsterdam
buitengewone leden college 2004
drs. J.J. Borking
ICT; Privacy-Enhancing Technologies
prof. A.W. Neisingh RE RA
privacyaudits
directie
mw. mr. L. Gonçalves-Ho Kang You
collegelid OPTA, voorzitter Amnesty International
prof. mr. P.F. van der Heijden
hoogleraar arbeidsrecht Universiteit van Amsterdam
drs. A.I.M. Kool
oud-lid Verzekeringskamer
drs. R. van Ommeren
oud-lid Raad van Bestuur ABN-AMRO
drs. C.R. Rog
voorzitter commissie privacy VNO-NCW
D. Westendorp
oud-directeur Consumentenbond
H. de Zwart RE RA RO
privacyaudits
mw. C.E. Romanesko
directeur
U vindt het organogram van het CBP op pagina x >
samenstelling college en raad van advies
< TERUG INHOUD VERDER >
2004
in vogelvlucht
8 jaarverslag 2004
< TERUG INHOUD VERDER >
De aanslagen in Madrid en de moord op Theo van Gogh hebben geleid tot een
intensivering van het streven naar een veilige samenleving en in het bijzonder
de bestrijding van terrorisme. In hoog tempo werd verruiming van de
bevoegdheden van politie en justitie gerealiseerd of aangekondigd die ertoe zal
leiden dat meer en meer gegevens van onverdachte burgers in politieregisters
terecht zullen komen. De roep om meer bevoegdheden klonk al jaren, maar de
terrorismedreiging sinds september 2001 heeft ruim baan gemaakt voor de
overtuiging dat deze uitbreiding ook noodzakelijk is.
Het CBP onderschrijft vanzelfsprekend de noodzaak voor het kabinet om
effectieve maatregelen te nemen ter bestrijding van terrorisme. Internationale
verdragen, Europese regels, de Nederlandse grondwet en andere wetten
vereisen echter dat nieuwe bevoegdheden voldoen aan de maatstaf van nut en
noodzaak. Ook moet voorzien zijn in rechtsbescherming. In de strijd tegen ter-
rorisme is het wellicht nodig nieuwe wegen te bewandelen, maar er is geen
enkele reden het inzicht los te laten dat machtsuitoefening moet plaatsvinden
binnen een systeem van checks and balances: geen bevoegdheid zonder aan-
toonbare noodzaak en geen bevoegdheid zonder controle op de uitoefening
ervan.
Terrorisme en veiligheid
Terrorismebestrijding
In de ‘terrorisme’-brief van 10 september 2004 aan de Tweede Kamer kondigden deministers van Justitie en van Binnenlandse Zaken en Koninkrijksrelaties nieuwe maat-regelen en bevoegdheden aan ter bestrijding van het terrorisme. Het kabinet zag ondermeer uitgebreide verzameling, koppeling en analyse van informatie over groepen enpersonen als de sleutel tot het voorkomen van terrorisme. Daartoe achtte het kabinet uitbreiding van opsporingsbevoegdheden noodzakelijk. Het kondigde aan het wettelijkcriterium - verdenking of redelijk vermoeden van betrokkenheid - voor toepassing vanbevoegdheden als het aftappen van telefoons en het observeren af te zullen zwakken totaanwijzingen. De informatie-uitwisseling tussen veiligheidsdiensten, politie, openbaarministerie en IND zou geïntensiveerd worden via een informatieknooppunt, de Contra-Terrorisme-infobox, waar data zullen worden gecombineerd en geanalyseerd. Uitde brief blijkt dat voor de overheid voldoende is dat een burger haar argwaan opwekt,om hem te kunnen observeren teneinde vast te stellen of de argwaan gerechtvaardigd isof niet.
In een publieke reactie op de voorstellen constateerde het CBP dat de noodzaak vanuitbreiding van bevoegdheden tot het verzamelen van informatie niet was aangetoond.De nieuwe bevoegdheden komen bovenop de per 1 september 2004 in werking getredenantiterrorismewetgeving. De reikwijdte van het Wetboek van Strafrecht werd uitgebreiddoor nieuwe strafbaarstellingen en door verhoging van de strafmaat voor het plegen vanmisdrijven met een terroristisch oogmerk. Samenspanning (d.w.z. het maken van af-spraken) tot terroristisch handelen is eveneens strafbaar gesteld. Met deze nieuwe wet-telijke bepalingen voor informatieverwerking is nog geen enkele ervaring opgedaan diezicht geeft op nut en noodzaak van de voorgestelde maatregelen. Daarbij komen nog dereeds ingevoerde of nog in te voeren bevoegdheden voor het onderscheppen van tele-communicatie en de bevoegdheid tot het opeisen van informatie bij bedrijven en andereorganisaties.
Verder miskent de voorgenomen vergaande coördinatie van de informatie-verzameling de gescheiden wettelijke taken en bevoegdheden van inlichtingendienstenen politie. De bescherming van de staatsveiligheid is primair een zaak van de inlichtingendiensten. Deze hebben zeer vergaande bevoegdheden om reeds bij het enkele vermoeden dat de staatsveiligheid in het geding is informatie te verzamelen. De politie dient pas informatie van met name de Algemene inlichtingen- en veiligheids-dienst te ontvangen als er sprake is van uitoefening van de politietaak. Het CBPwaarschuwde daarom voor een ontwikkeling waarbij informatie over veel onverdachteburgers van de dossiers van de veiligheidsdiensten terecht komt in de politieregisters.
In de geschetste plannen ontbrak ook een voorstel voor een adequate en structurelecontrole op het proces van het verzamelen en delen van informatie. Het zou een ernstigetekortkoming zijn als het kabinet hierin niet zou voorzien. Veel van de werkzaamhedenzullen in het verborgene blijven, ook voor de personen die ten onrechte voorwerp vanonderzoek zijn geweest. Des te noodzakelijker is het om controle op de uitoefening vandeze vergaande overheidsmacht in te bouwen. De burger moet beschermd worden tegenterrorisme maar moet ook het vertrouwen kunnen behouden dat de overheid op recht-matige wijze haar vergaande bevoegdheden uitoefent.
Verkeersgegevens telecommunicatie
De al jaren in Europa spelende discussie over een bewaarplicht voor verkeersgegevensten behoeve van de opsporing, kreeg een nieuwe wending door de terroristische aan-slagen in Madrid. Naar aanleiding hiervan nam de Europese Raad op 25 maart 2004 deVerklaring betreffende de bestrijding van terrorisme aan. Daarin werd opgeroepen omvoorstellen te doen voor het komen tot een bewaarplicht voor verkeersgegevens door
9in vogelvlucht
< TERUG INHOUD VERDER >
10 jaarverslag 2004
< TERUG INHOUD VERDER >
Resultaten 2004IN HET VORIGE JAARVERSLAG IS AANGEKONDIGD DAT IN 2004
ZOU WORDEN GESTREEFD NAAR DE VOLGENDE RESULTATEN:
• Zieke werknemerHet onderzoek naar de belangrijkste gegevensstromen omtrent
de zieke werknemer en de daarbij behorende privacyregels
heeft in mei 2004 geleid tot de publicatie van een naslagwerk
met vuistregels voor de praktijk: De zieke werknemer en pri-
vacy. Regels voor de verwerking van persoonsgegevenscan
zieke werknemers. Het naslagwerk is onder de aandacht
gebracht van de diverse bij reïntegratie zieke werknemers
betrokken partijen en behoort tot de meest bekeken publicaties
op de website.
• PolitieregistersHet in 2003 gestarte onderzoek naar de registers van de
Criminele Inlichtingeneenheden bij acht regiokorpsen is in 2004
afgerond. De algemene bevindingen van het onderzoek zijn
gepubliceerd.
• Onderzoek tapkamersHet CBP is – later dan voorzien – eind 2004 gestart met de
voorbereidingen van een onderzoek naar de privacyaspecten
van de gegevensverwerking in de tapkamers van de politie in
vervolg op het Onderzoek naar de waarborging van de ver-
trouwelijke communicatie van advocaten bij de interceptie van
telecommunicatie uit 2003. Het onderzoek zal pas in 2005
worden voltooid.
• CameratoezichtVoortbouwend op het onderzoek Cameratoezicht in de open-
bare ruimte. Onderzoek naar de inzet van cameratoezicht in
alle Nederlandse gemeenten (2003) is in december 2004 een
studie gepubliceerd over de privacyaspecten van cameratoe-
zicht op de openbare ruimte. Camera’s in het publieke domein.
Privacynormen voor het cameratoezicht op de openbare orde
biedt gemeenten vuistregels voor besluitvorming en invoering
van cameratoezicht. De studie is een van de meest bekeken
publicaties op de website.
• BurgerservicenummerHet realiseren van de Nationale Vertrouwensfunctie, een
organisatie die tot taak krijgt de burger inzicht te geven in alle
gegevensstromen op basis van het burgerservicenummer heeft
in 2004 vertraging opgelopen. Helaas is het CBP in 2004 nog
niet in de gelegenheid gesteld te beginnen met het toetsen van
bestaande en nieuwe gegevensverwerkingen en met de voor-
bereiding op de toekomstige ombudsfunctie. Deze voorberei-
ding zal nu in 2005 mogelijk worden.
• CertificeringHet met NOREA en NIVRA uitgewerkte systeem van privacy-
certificering is in 2004 in de praktijk getoetst aan de hand van
proefcertificeringen. Het CBP heeft bijgedragen aan de beoor-
deling van deze proefcertificeringen. Anders dan aanvankelijke
beoogd en in nauw overleg met de partners is er uiteindelijk
voor gekozen de eventuele opbouw van stelsels van certifice-
ring geheel aan marktpartijen over te laten. Het project is in
februari 2005 afgesloten met de presentatie en publicatie van
het document Contouren voor Compliance Handreiking voor
de invulling van het Raamwerk Privacy Audit aan geïnteres-
seerde organisaties.
• Invoering DBC-systematiekOp het gebied van de zorg zal het CBP nauw betrokken
blijven bij de ontwikkeling en invoering van de financierings-
systematiek op basis van de Diagnose Behandeling Combinatie.
• Landelijke registraties in de zorgIn 2003 heeft het CBP een oriënterend onderzoek afgerond
naar vijf landelijke registraties in de zorg. Later dan voorzien
zijn in 2004 op basis van het onderzoek algemene bevindingen
en normen voor landelijke zorgregistraties geformuleerd. Het
rapport zal in 2005 worden gepubliceerd.
• Onderzoek privacybelevingHet CBP heeft in 2004 door TNS Nipo Consult een onderzoek
laten uitvoeren naar privacybewustzijn en privacybehoeften bij
de Nederlandse burger. Dergelijke onderzoeken zijn in verschei-
dene Europese landen reeds uitgevoerd. De resultaten zullen in
2005 worden gepubliceerd.
• Beleidsregels en 2e-lijnspositieHet CBP heeft een aantal beleidsregels gepubliceerd voor het
in behandeling nemen van zaken en de publiciteit daarover. In
het kader van het streven naar een 2e-lijnspositie heeft CBP
met enkele sector-, branche-, koepel- en beroepsorganisaties
afspraken kunnen maken over informatie-uitwisseling en taak-
verdeling bij voorlichting en klachtbehandeling.
• OrganisatieontwikkelingIn 2004 is de afdeling Onderzoek operationeel geworden. Er is
een begin gemaakt met de ontwikkeling van gedifferentieerde
onderzoeksvormen en van risicoanalyse als instrument voor
beleidsvorming. De afdeling heeft een belangrijke rol gespeeld
bij het Nipo-onderzoek naar privacybeleving en heeft de mel-
dingenanalyse 2004 uitgevoerd.
• CBP-websiteHet CBP heeft eind oktober 2004 een nieuwe website online
gebracht, gericht op een directere voorlichting aan betrok-
kenen en verantwoordelijken. Het materiaal op de website is
meer vraaggericht ontsloten. Het bezoek aan de website is
sindsdien duidelijk gestegen.
telecommunicatieaanbieders. Het CBP heeft hierop gereageerd en leverde een substan-tiële bijdrage aan een advies van de Artikel 29-werkgroep – het samenwerkingsverbandvan de privacytoezichthouders in de EU – over de bewaarplicht, dat ook werd aan-geboden aan de betrokken vaste commissies van de Eerste en Tweede Kamer.
Voortbouwend op eerdere opinies sinds de jaren ’90 en uitspraken van het EuropeseHof van Justitie was de werkgroep van oordeel dat de voorstellen voor een bewaarplichtvoor alle verkeersgegevens niet voldoen aan de vereisten van artikel 8 van het EuropeesVerdrag voor de Rechten van de Mens (EVRM): voor het langdurig bewaren van alle ver-keersgegevens van onverdachte personen is geen noodzaak aangetoond. Een dergelijkesystematische opslag is disproportioneel.
Passagiersgegevens
De uitkomst van de onderhandelingen tussen de Europese Commissie en de VerenigdeStaten over de verstrekking van passagiersgegevens aan de VS bleef naar het oordeelvan de Artikel 29-werkgroep op een aantal punten onder de maat. Desondanks heeft deEuropese Commissie een positieve beslissing genomen over het beschermingsniveau inde VS. Het Europese Parlement bracht de kwestie voor het Europese Hof.
De Artikel 29-werkgroep heeft zich vervolgens geconcentreerd op een goede im-plementatie van de genomen besluiten. Daartoe werd een model gemaakt voor de infor-matievoorziening aan passagiers. Met de luchtvaartmaatschappijen is overleg gevoerdover de informatievoorziening aan passagiers. Ook heeft de werkgroep aangedrongen opeen zo spoedig mogelijke overgang van pull naar push, dat wil zeggen van het openstel-len van de reserveringssystemen voor de Amerikaanse autoriteiten zodat deze de beno-digde gegevens kunnen verzamelen, naar de actieve aanlevering van de noodzakelijkegegevens door de maatschappijen zelf.
Identificatieplicht
Begin 2004 heeft het CBP de minister van Justitie geadviseerd het Wetsvoorstel uit-breiding identificatieplicht niet in te dienen. Het belangrijkste argument hiervoor wasdat het wetsontwerp een algemene identificatieplicht voor de burger in het leven riepzowel ten overstaan van de politie als van andere toezichthouders. De wetgever schootechter tekort in de noodzakelijke onderbouwing en rechtvaardiging van een dergelijkeverplichting.
Nog maar enkele jaren geleden concludeerde het tweede kabinet Kok dat een al-gemene identificatieplicht te ver zou gaan. De toelichting op het wetsvoorstel gaf geennieuwe argumenten en het kabinet voldeed daarmee niet aan de eis van het EVRM, artikel 8, lid 2 om de inbreuk op de persoonlijke levenssfeer voldoende te recht-vaardigen. Evenmin werd de mogelijkheid van discriminatoire en stigmatiserende effecten van het voorstel onderkend. De minister van Justitie heeft het advies van hetCBP grotendeels gevolgd. Op 1 januari 2005 is de uitgebreide en feitelijk algemene identificatieplicht van kracht geworden.
Camera's in het publieke domein
De belangstelling voor cameratoezicht is in de afgelopen jaren alleen maar toegenomen.Camera’s worden door het brede publiek ook geaccepteerd in de verwachting dat cameratoezicht effectief is. Cameratoezicht door de overheid nam vooral de laatste jarentoe. In 2003 heeft het CBP daarom onderzoek laten doen naar aard en omvang van hetcameratoezicht door de Nederlandse gemeenten. Uit dit onderzoek bleek onder meer dat20 procent van de gemeenten gebruik maakte van camera’s en dat in veel van diegemeenten de effectiviteit van het toezicht (nog) niet geëvalueerd was. In november2004 is vervolgens Camera’s in het publieke domein gepubliceerd met vuistregels voorbesluitvorming, uitgangspunten voor inrichting en uitvoering, rechten van betrokkenen,toezicht en evaluatie.
11in vogelvlucht
< TERUG INHOUD VERDER >
Reïntegratie Een zieke werknemer werd onverwacht door een reïntegra-
tiebedrijf gebeld met het verzoek om aan een reïntegratie-
traject deel te nemen. Zijn werkgever had het bedrijf in-
geschakeld om de zieke werknemer te helpen weer aan het
werk te gaan. Daarvoor had zijn werkgever ook persoons-
gegevens, waaronder een rapportage van de bedrijfsarts,
aan het reïntegratiebedrijf verstrekt. De werknemer was
van dit alles echter niet op de hoogte.
De werkgever bleek inderdaad niet aan zijn informatie-
verplichting op grond van de Wet bescherming persoons-
gegevens te hebben voldaan. De werkgever moest zijn
zieke medewerker over de verstrekking van diens persoons-
gegevens te informeren. De betreffende werknemer werd
onverwacht geconfronteerd met het feit dat vertrouwelijke
informatie waaronder ook medisch informatie, buiten zijn
medeweten om door zijn werkgever aan anderen was door-
gegeven. Dit voelde hij als een grote inbreuk op zijn
persoonlijke levenssfeer. Het gevolg was wantrouwen en
irritatie jegens de werkgever. Een dergelijke misser kan een
succesvolle reïntegratie in de weg staan.
Een ander kwestie is of deze werkgever de medische gege-
vens van zijn werknemer zonder diens toestemming aan
het reïntegratiebedrijf mag verstrekken. Op grond van de
wet mag de werkgever gegevens van een zieke werknemer
aan een reïntegratiebedrijf verstrekken voor zover die
noodzakelijk zijn voor het reïntegratietraject. Onder nood-
zakelijke gegevens vallen ook de visie van de bedrijfsarts,
zoals vastgelegd in het plan van aanpak en de algemene
conclusies van de probleemanalyse die de bedrijfsarts heeft
gemaakt. Dergelijke gegevens mogen dus wel verstrekt
worden. In dit geval moet de werkgever de werknemer
informeren maar hij heeft niet zijn toestemming nodig ●
Informatiehuishouding
De nieuwe WAO en de verzekeraars
Voor het nieuwe WAO-stelsel adviseerde het CBP meer duidelijkheid te scheppen overde posities die de verschillende partijen (werkgever, werknemer, UWV, reïntegratie-bedrijven en verzekeraars) ten opzichte van elkaar innemen als het gaat om het gebruikvan persoonsgegevens. De wijze waarop verzekeraars in het nieuwe stelsel om zullengaan met persoonsgegevens is onduidelijk en dat is onwenselijk.
Door de nieuwe taken op grond van de Wet werk en inkomen naar arbeidsvermogen,maar bijvoorbeeld ook door de nieuwe Zorgverzekeringswet, krijgen de financiële con-cerns waartoe de verzekeraars behoren, de beschikking over nog veel meer (medische)persoonsgegevens. Dat levert een potentieel machtige en invloedrijke informatie-positie op.
Verzekeraars erkennen overigens het belang van een zorgvuldige verwerking vanpersoonsgegevens. Wanneer de overheid nalaat hiervoor regels te stellen, is dat tijd-rovend en inefficiënt voor de uitvoerende partijen. Het CBP heeft dan ook met klem bijde minister van Sociale Zaken en Werkgelegenheid bepleit dat in de betreffende wet-geving helderheid wordt verschaft over de bevoegdheden en de beperkingen bij de verwerking van persoonsgegevens.
Diagnose Behandeling Combinaties
Naar aanleiding van het vaststellen van het privacyraamwerk door het ministerie vanVolksgezondheid, Welzijn en Sport (VWS) en Zorgverzekeraars Nederland, is met hetCBP overeengekomen dat een vervolg zou worden gegeven aan de privacybewusteinvoering van de Diagnose Behandeling Combinaties (DBC’s). Het delen van informatietussen de verschillende partijen zal zo moeten gebeuren dat de persoonlijke levenssfeervan de patiënt en het medisch beroepsgeheim minder worden geschaad. Het CBP heefteen adviserende rol gespeeld voor verschillende werkgroepen. Daarbij heeft het CBP ookzeer kritisch gekeken naar de opzet van het DBC Informatie Systeem. Er zijn met hetministerie van VWS en andere betrokken partijen afspraken gemaakt over minimalewaarborgen voor de komende periode. Dit periodieke overleg tussen CBP en partijen zalin 2005 worden voorgezet. Het CBP zal als toezichthouder zeer alert blijven op het na-komen van toezeggingen door partijen.
12 jaarverslag 2004
< TERUG INHOUD VERDER >
< TERUG INHOUD VERDER >
13in vogelvlucht
Nieuwe informatiehuishouding bij de politie
In de afgelopen jaren is bij de verschillende politiekorpsen een breed palet ontstaan vanverschillende ICT-toepassingen voor de uitvoering van dezelfde taken. Uiteindelijk isbesloten te komen tot landelijke uniformiteit op het gebied van de ICT. Als toezicht-houder op de verwerking van gegevens door de politie heeft het CBP op verzoek geadviseerd over de wettelijke regels die van invloed zijn bij de keuze van nieuwe systemen.
Daarnaast is ook de herziening van het wettelijk kader voor de informatiehuis-houding van de politie ter hand genomen. In 2004 is advies uitgebracht aan de ministervan Justitie over het conceptwetsvoorstel Wet politiegegevens. Het CBP kan zich vindenin de systematiek bij de verwerking van politiegegevens waarin de waarborgen toe-nemen naarmate de verwerking riskanter wordt voor betrokkenen. Er waren ook driebelangrijk punten van kritiek. Ten eerste zou er meer de nadruk moeten komen te liggenop de kwaliteit van gegevens die de politie verwerkt. In de tweede plaats heeft het CBPernstig bezwaar tegen de invoering van zogenaamde themaregisters, grote verzamel-ingen van gegevens over burgers die niet ergens van verdacht worden. Ten derde zou ereen duidelijke regeling moeten komen voor bewaartermijnen. Gegevens die niet meernodig zijn, zouden vernietigd moeten worden en niet almaar bewaard worden voor hetgeval aan de gegevens behoefte mocht ontstaan.
Nieuw Schengen Informatiesysteem
Het Schengen Informatiesysteem is bedoeld om de controle aan de buitengrenzen van deEuropese Unie te versterken. Alleen al de toetreding van nieuwe lidstaten tot de EUmaakt vernieuwing van dat systeem nodig. Ook kunnen in het systeem geen bio-metrische kenmerken worden opgenomen. De Gemeenschappelijke ControleautoriteitSchengen (GCA), onder voorzitterschap van het CBP, heeft in september 2004 een opinieuitgebracht over de ontwikkeling van het nieuwe Schengen Informatiesysteem (SIS II).De GCA vraagt aandacht voor de bescherming van persoonsgegevens al bij het ont-werpen van SIS II. De Europese Raad wordt opgeroepen het doel en de functies van hette bouwen systeem te verduidelijken zodat voldoende privacywaarborgen voor hetsysteem kunnen worden getroffen.
Europees visa-informatiesysteem
Er zijn plannen voor één visa-informatiesysteem voor de hele Europese Unie metgebruik van biometrische gegevens. Hierover heeft de Artikel 29-werkgroep in augustus2004 een officieel standpunt gepubliceerd. De werkgroep wijst erop dat de verwerkingvan biometrische gegevens aan een zeer nauwkeurige rechtmatigheidtoets moet voldoen,omdat de gevaren van misbruik van deze gegevens groot zijn. De werkgroep heeft grotebedenkingen tegen een routinematige en grootschalige opslag van biometrische gegevens en wil betrokken worden bij de verdere vormgeving van het visa-informatie-systeem.
Burgerservicenummer
Het beleid voor een ‘elektronische overheid’, een overheid die optimaal gebruik maaktvan informatietechnologie waaronder internet, is in 2004 neergelegd in het programma‘Andere overheid’. De introductie van een Burgerservicenummer (BSN) is een absolutevoorwaarde voor het welslagen van dit programma. Het programmabureau BSN werdopgericht met als opdracht het eind 2003 opgeleverde plan te verwezenlijken.
Het kabinet nam onverwachts het besluit het Burgerservicenummer – in strijd meteerdere toezeggingen – ook in de zorgsector in te voeren. Zorginstellingen en zorg-verzekeraars zullen verplicht worden ermee te werken. Het gebruik van een uniek identificerend persoonsnummer in de zorg brengt risico’s met zich mee. Grootschaligekoppeling van (patiënten-)gegevens wordt makkelijker en misbruik daardoor een-
14 jaarverslag 2004
< TERUG INHOUD VERDER >
voudiger. Een apart zorgidentificatienummer – een waarborg tegen te gemakkelijke ver-spreiding van gegevens van patiënten en zorgbehoevenden – bleek echter in de politiekeen maatschappelijke constellatie niet meer haalbaar. Het CBP is daarop akkoord gegaanmet het gebruik van het BSN in de zorgsector, mits dit vergezeld zou gaan van com-penserende waarborgen, waaronder betrouwbare autorisatieprocedures voor het gebruikvan medische gegevens die met het nummer ontsloten worden.
Het CBP zal in 2005 meewerken aan de voorbereiding van de zogeheten nationalevertrouwensfunctie die voorziet in structureel toezicht in de vorm van onder meer éénloket waar burgers met vragen en klachten over het BSN terechtkunnen.
Gedragscodes
In 2004 konden vijf sectorale gedragscodes goedgekeurd worden. Na een jarenlang voor-traject, waarin het CBP de branchevereniging heeft trachten te ondersteunen, kon begin2004 de gedragscode voor de particuliere recherche worden goedgekeurd (zie ook hiernap.37).
De Koninklijke Beroepsorganisatie van Gerechtsdeurwaarders ontwikkelde eengedragscode met regels voor de bijzondere situatie dat gerechtsdeurwaarders als open-baar ambtenaar optreden en daarnaast ook commerciële diensten (bijv. incasso) verlenen. Het is noodzakelijk dat zij de informatie verkregen uit hoofde van hun bijzondere wettelijke bevoegdheden als ambtenaar niet zondermeer gebruiken voor deniet-ambtelijke werkzaamheden.De brancheorganisatie voor Werving, Search en Selectie (OAWS) herzag en actualiseerdehaar gedragscode die aangeeft voor welke doeleinden persoonsgegevens van potentiëlekandidaten mogen worden verwerkt. Ook de Code Goed Gedrag, een gedragscode voorgezondheidsonderzoek, is herzien en werkt regels voor de omgang met patiëntgegevensin gezondheidsonderzoek uit. Nieuw is de Gedragscode voor verwerking van persoons-gegevens bij onderzoek en statistiek, die werd opgesteld door drie organisaties, deVereniging voor Beleidsonderzoek, de Vereniging voor Statistiek en Onderzoek en deMarktOnderzoekAssociatie.nl.
Adrescontrole door Interpay
Naar aanleiding van een klacht heeft het CBP onderzoek
gedaan naar de wijze waarop een charitatieve stichting en
Interpay BankGiroCentrale (Interpay) bleken samen te wer-
ken voor direct marketing. Interpay verwerkt jaarlijks
miljarden financiële transacties voor banken en financiële
instellingen en beschikt daardoor over uitstekend bij-
gehouden gegevens van iedereen met een bankrekening.
De stichting liet voor het versturen van donatieverzoeken
het eigen adressenbestand actualiseren door Interpay.
Interpay verleende deze dienst tegen betaling. Het bedrijf
verstrekte – in feite namens de banken – daartoe de juiste
naam- en adresgegevens van de personen van wie de
charitatieve stichting de brieven met verzoeken om een bij-
drage onbesteld terug kreeg. De stichting kon zo het
(potentiële) donateurbestand systematisch actualiseren.
Het uitvoeren van een dergelijke adrescontrole is in strijd
met de gedragscode voor financiële instellingen, opgesteld
door de sector en in februari 2003 goedgekeurd door het
CBP. Interpay heeft naar aanleiding van de uitspraak van
het CBP in oktober 2004 besloten alle zogenaamde
NAW-dienstverlening voor onbepaalde tijd stop te zetten.
De banksector heeft inmiddels laten weten met deze
commerciële adressencontrole te stoppen ●
15in vogelvlucht
< TERUG INHOUD VERDER >
Zorgverzekeraars Nederland, branchevereniging voor zorgverzekeraars, is in 2004gestart met het opstellen van gedragsregels voor onder meer het gebruik van de velemedische gegevens die de zorgverzekeraars ontvangen in het kader van het declarerenvan zorg. Ook zullen regels worden opgesteld voor het onderzoeken van fraude dooreen instelling, hulpverlener of verzekerde. Het gaat om een toevoeging op deGedragscode Verwerking Persoonsgegevens van de financiële instellingen. De verwach-ting is dat deze gedragsregels in de zomer van 2005 van een goedkeurende verklaringkunnen worden voorzien.
Toezicht
De jaarlijkse Voorjaarsconferentie van de privacytoezichthouders in de Europese Unie,die in 2004 door het CBP werd georganiseerd in Rotterdam, stond geheel in het tekenvan effectieve methoden en arrangementen van toezicht. De driedaagse conferentie werdop 22 april geopend door de minister van Justitie, mr. J.P.H. Donner, die opriep tot ver-dere samenwerking bij het toezicht op de rechtshandhaving in Europa binnen de zoge-naamde derde pijler, het beleidsterrein van justitie en binnenlandse zaken. De Europeseprivacytoezichthouders hebben inmiddels hun samenwerking bij advisering en toezichtop het terrein van politie en justitie geïntensiveerd.
Toezicht op de Europese samenwerking van politie en justitie
De nationale toezichthouders in de Europese Unie oefenen gezamenlijk toezicht uit opde instellingen waarin de nationale politie- en justitieautoriteiten in Europa samen-werken (o.a. Europol en Schengen). Zij doen dit via de zogenaamde GemeenschappelijkeControleautoriteiten en -organen. In 2004 zijn deze toezichthoudende organen op degegevensverwerkingen (Schengen, Europol, Douane en Eurojust) voor het eerst gezamenlijk bijeengekomen met het oog op een krachtiger advisering in de derde pijler.Zij gaven onder meer een reactie op de onderzoeksvragen van een commissie van hetBritse Hogerhuis over terrorismebestrijding in de Europese Unie en de bescherming vande persoonlijke levenssfeer.
De toezichthouders pleitten voor verbetering van de bescherming van de funda-mentele rechten van het individu ten aanzien van zijn persoonsgegevens en van het toezicht daarop. De bestaande internationale wet- en regelgeving is daarvoor niet vol-doende. Gelet op de toenemende schaal van de gegevensverwerkingen, vaak ook vangegevens van onverdachte personen, is er behoefte aan nieuwe specifieke regels voor depolitiesector.
Particuliere opsporing
Voor de sector van de particuliere opsporing is in 2004 een bijzonder toezicht-arrangement geschapen. De Wet op de particuliere beveiligingsorganisaties en recherchebureaus normeert weliswaar de sector, maar het ontbrak aan regels voor deuitvoering van onderzoeken en de verdere verwerking van de verzamelde gegevens. Dereikwijdte van de gedragscode van de Vereniging van Particuliere Beveiligings-organisaties, die hierin voorziet, is verbreed doordat de minister van Justitie deze in eenministeriële regeling verplicht heeft gesteld voor alle recherchebureaus. Voor het toezicht op de naleving hebben het CBP en de minister van Justitie een samenwerkings-overeenkomst gesloten.
16 jaarverslag 2004
< TERUG INHOUD VERDER >
Doelen 2005IN 2005 ZULLEN MET NAME DE VOLGENDE RESULTATEN WORDEN
NAGESTREEFD:
• Veiligheid en privacyVeiligheid en privacy zijn niet noodzakelijk tegengesteld. Het
streven van de overheid naar een veel sterkere informatieposi-
tie ten aanzien van (veelal onverdachte) burgers stelt principië-
le vragen wel op scherp. Het toezicht op het gebruik van
bevoegdheden en de over burgers verzamelde informatie is ten
onrechte nog onvoldoende geregeld. Waar toezicht en controle
wel zijn geregeld, is er soms sprake van een gebrekkige nale-
ving van de regels. Het CBP zal in 2005 in aansluiting op de
ontwikkelingen op het gebied van terrorismebestrijding en vei-
ligheid zijn standpunten kenbaar maken en zich beraden op uit
te voeren onderzoeken naar de naleving van privacyregels op
dit gebied.
• Bijzondere politieregistersHet CBP beschouwt het als zijn taak structureel toezicht uit te
oefenen op de bijzondere politieregisters omdat deze niet of
nauwelijks toegankelijk zijn voor burgers of de rechter. Het CBP
zal in 2005 opnieuw onderzoek doen in enkele registers en een
rapport met de algemene bevindingen publiceren.
• Particuliere rechercheIn 2005 zal met een steekproef onderzoek worden gedaan naar
naleving van de sectorale gedragscode door particuliere recher-
chebureaus.
• RisicoselectieProfilering is het beoordelen van individuen op basis van
groepskenmerken. Het gaat om insluiting en uitsluiting van
mensen op basis van een analyse aan de hand van een profiel.
Profilering bergt het risico van oneerlijke behandeling in zich.
Het CBP organiseert dit jaar een expert meeting over risicose-
lectie. Op basis van de uitkomsten hiervan zal het besluiten of
het de privacyregels voor het gebruik van groepsprofielen bij
risicoselectie uitwerkt in een publicatie.
• Internet en privacyHet internet confronteert gebruikers met vragen over hun pri-
vacy, de veiligheid van hun persoonsgegevens en het mogelijke
misbruik daarvan. Het internet stelt ook het CBP voor nieuwe
vragen over zijn bevoegdheid als toezichthouder en een effec-
tief toezicht op internet. Het CBP zal zijn positie als toezicht-
houder ten aanzien van internet bepalen en publiceren.
Daartoe behoort ook het formuleren van specifieke normen op
enkele gebieden. De focus zal liggen op publicaties op websi-
tes, met als invalshoek de privacyproblemen die burgers in de
alledaagse praktijk op het internet ondervinden.
• InformatieplichtOverheden, bedrijven en andere organisaties hebben de wette-
lijke plicht om mensen van wie zij persoonsgegevens gebrui-
ken, hiervan op de hoogte te stellen. Het naleven van deze
informatieplicht is een belangrijke waarborg dat burgers hun
rechten kunnen uitoefenen met betrekking tot hun persoons-
gegevens. Het CBP zal in 2005 extra aandacht
besteden aan de informatieplicht, zowel in de voorlichting als
door middel van onderzoek. De naleving van de informatie-
plicht zal worden onderzocht, in het bijzonder ook bij particu-
liere recherchebureaus en bij de bestrijding van fraude in de
sociale zekerheid.
• MeldingsplichtonderzoekOok in 2005 zal het CBP op basis van een analyse van het
openbaar register van meldingen een steekproefsgewijs onder-
zoek in diverse sectoren uitvoeren naar de naleving van de
meldingsplicht.
• Administratieve lasten Het CBP zal voorstellen doen ter vermindering van de admi-
nistratieve lasten voor bedrijven (en overheden) met behoud
van het huidige beschermingsniveau voor persoonsgegevens.
In aansluiting op eind 2004 gedane voorstellen zal het CBP in
overleg treden met de minister van Justitie, onder meer over
verruiming van de vrijstelling van de meldingsplicht. Het CBP
zal ook voorstellen de vergunningplicht voor doorgifte buiten
de EU af te schaffen indien bedrijven gebruik maken van de
door de Europese Commissie goedgekeurde modelcontracten.
• Binding Corporate Rules Het CBP zal actief bijdragen aan een vereenvoudiging van de
regels voor de doorgifte van persoonsgegevens naar verant-
woordelijken buiten de Europese Unie. Onder meer zal het CBP
streven naar Europese afspraken over een uniforme procedure
voor het aanvragen van vergunningen en over een gecoördi-
neerde afhandeling van vergunningaanvragen gebaseerd op
zogenaamde binding corporate rules (BCR’s): instrumenten van
zelfregulering voor de verwerking van persoonsgegevens
binnen internationaal werkende concerns.
• SamenwerkingsverbandenSamenwerkingsverbanden voor het aanpakken van maatschap-
pelijke problemen (veiligheid, overlast in wijken, bemoeizorg,
jeugdzorg) staan sterk in de belangstelling. Privacywetgeving
wordt daarbij vaak – en vaak ten onrechte – als belemmering
genoemd. Het CBP zal bijdragen aan de verheldering van de
regels voor de noodzakelijke uitwisseling van persoonsgege-
vens in samenwerkingsverbanden. In april 2005 organiseert het
CBP en symposium over privacy in samenwerkingsverbanden.
Met de beroepsvereniging voor toezichthouders Vide zal het
CBP een symposium organiseren voor inspecties over hun
positie als deelnemer in samenwerkingsverbanden en als toe-
zichthouder op organisaties die participeren in samenwerkings-
verbanden.
17in vogelvlucht
< TERUG INHOUD VERDER >
• Toezicht en toezichthoudersHet CBP streeft naar efficiënt en effectief toezicht op de nale-
ving van de regels voor de verwerking van persoonsgegevens.
Koepel- en brancheorganisaties zullen worden aangesproken
op hun verantwoordelijkheid voor zelfregulering, onder meer
door de publicatie van een handreiking voor compliance-onder-
zoek. Het CBP stimuleert verder het aanstellen van functiona-
rissen voor de gegevensbescherming en richt zich in 2005 op
de kwaliteitsverbetering van dit interne toezicht.
Het CBP zal adviezen aan de minister van Justitie uitbrengen
gericht op het oplossen van knelpunten die voor andere toe-
zichthouders voortvloeien uit de Wet bescherming persoonsge-
gevens.
Met de OPTA zal een samenwerkingsovereenkomst worden
gesloten. Met het oog op doelmatig toezicht zal samenwerking
ook met diverse andere toezichthouders (o.a. IWI) worden
onderzocht.
Met de Commissie gelijke behandeling, de Nationale ombuds-
man en het Studie- en informatiecentrum mensenrechten
streeft het CBP ernaar in 2005 een advies aan de regering uit
te brengen over de wenselijkheid van een nationaal mensen-
rechteninstituut.
• Zorg en zekerheidInvoering van marktwerking en meer eigen verantwoordelijk-
heid staan centraal in beide sectoren. In beide stelsels krijgen
verzekeraars een regiefunctie toebedeeld, die leidt tot een
intensievere verzameling van vaak gevoelige gegevens over
individuele burgers en uitwisseling ervan binnen conglomera-
ten. Heldere regels voor het gebruik van persoonsgegevens
ontbreken echter.
Het CBP zal de privacyrisico’s verbonden aan de gedeeltelijke
privatisering van zorg- en zekerheidsstelsels aan de orde blijven
stellen. De introductie van het Diagnose Behandeling
Combinaties (DBC)-stelsel zal nauwlettend als toezichthouder
gevolgd worden. Verder zal een verkennend onderzoek bij
zorgverzekeraars worden verricht naar het gebruik van medi-
sche gegevens door een zorgverzekeraar.
Zorgverzekeraars Nederland (ZN) zal in 2005 het addendum bij
de gedragscode voor Financiële Instellingen herzien en uitbrei-
den met regels voor materiële controle en regels over het
gebruik van declaratiegegevens. Het zal dit addendum ter
goedkeuring aan het CBP voorleggen.
Ook zal een normatief kader gepubliceerd worden voor de
sociale diensten: een tiental uitgangspunten waaraan de sociale
diensten zich dienen te houden bij het verwerken van per-
soonsgegevens.
• BurgerservicenummerDe introductie van het burgerservicenummer (BSN) is nu het
centrale punt in de ontwikkeling van de informatie-infrastruc-
tuur van de overheid. Het CBP is intensief betrokken geweest
bij de voorbereiding van het stelsel. Door deelname in de
stuurgroep BSN en in de werkgroep Nationale
Vertrouwensfunctie (NVF) beoogt het CBP te verzekeren dat de
overeengekomen privacywaarborgen ook daadwerkelijk gerea-
liseerd worden. Het CBP zal in het kader van de NVF zelf ver-
antwoordelijk worden voor de nationale ombudsfunctie en de
toetsing van gegevensuitwisseling op basis van het BSN. In
2005 zal het CBP de implementatie van deze taken voorberei-
den.
• Evaluatie Wet bescherming persoons-gegevensHet CBP zal zich voorbereiden op een bijdrage aan de
evaluatie van de Wet bescherming persoonsgegevens die
is voorzien voor 2006 (artikel 80 WBP).
De evaluatie van de Europese privacyrichtlijn 95/46/EG in
2003 heeft geleid tot een werkprogramma voor de
Europese privacytoezichthouders. Een belangrijk onderdeel
daarvan is een vereenvoudiging van de regels voor door-
gifte van persoonsgegevens naar landen buiten Europa, met
name voor multinationale bedrijven. Met enkele andere
toezichthouders streeft het CBP naar de introductie van
zogenaamde Binding Corporate Rules (BCRs), bindende
gedragscodes voor de omgang met persoonsgegevens
binnen multinationale concerns.
Op 24 november 2004 vond hierover in Den Haag een
publieke hoorzitting plaats. Enkele multinationals hadden
BCRs opgesteld en tijdens de hoorzitting werden hun er-
varingen besproken. Ook werd besproken wat noodzakelijk
is om BCRs tot een Europees succes te maken. Het bedrijfs-
leven bleek vooral behoefte te hebben aan een eenvoudige,
snelle en duidelijke procedure om in de verschillende lan-
den van de Europese Unie goedkeuring te krijgen van
BCRs. Op grond van één BCR zouden vanuit de hele EU
gegevens moeten kunnen worden doorgeven naar ‘derde
landen’. In Nederland is de goedkeuring van enkele BCRs
in de afrondingsfase. Op Europees niveau werken de pri-
vacytoezichthouders aan een samenwerkingsprocedure voor
de behandeling van BCRs ●
Persoonsgegevens binnen multinationals
18 jaarverslag 2004
< TERUG INHOUD VERDER >
Wet werk en bijstand
Ten behoeve van het toezicht op de nieuwe Wet Werk en Bijstand hebben IWI en CBP hetvoornemen uitgesproken om in 2005 een samenwerkingsconvenant af te sluiten. Doorsamenwerking en kennisdelen zal effectiever en efficiënter toezicht kunnen wordengehouden. Samenwerking bevordert bovendien eenduidig toezicht omdat de normen-kaders waar de toezichthouders mee werken op elkaar kunnen worden afgestemd. Ookde toezichtdruk voor de onder toezicht gestelde organisaties kan zo worden verminderd.In het convenant zullen bijvoorbeeld afspraken worden gemaakt over het delen van toezichtinformatie en het elkaar wederzijds informeren over de uitkomsten van onder-zoeken.
Zorgverzekeringswet
De nieuwe Zorgverzekeringswet voorziet in een verplichte standaardzorgverzekeringvoor alle inwoners van Nederland. Het CBP heeft in 2004 op het wetsvoorstel geadviseerd meer concrete normen te stellen voor gebruik en uitwisseling van persoons-gegevens in het kader van zorgverzekeringen. Het structurele toezicht op de zorg-verzekeraars zal zich anders hoofdzakelijk beperken tot het signaleren van onrecht-matigheden op verzekeringstechnisch, financieel en administratief terrein. Toezicht opde verwerking van persoonsgegevens dient specifiek opgenomen te worden in het wets-voorstel, omdat ook op de verwerking van persoonsgegevens door de zorgverzekeraarsstructureel toezicht noodzakelijk is. Daarnaast is aanpassing van het addendum vanZorgverzekeraars Nederland (ZN) bij de Gedragscode Verwerking Persoonsgegevensvan de financiële instellingen nodig.
Spam
Ongevraagde, in grote hoeveelheden verzonden e-mail, beter bekend als spam, is hin-derlijk, lastig aan te pakken en jaagt Internet service providers – en daarmee hun klan-ten – op hoge kosten. Volgens recente schattingen is wereldwijd ongeveer driekwart vanalle e-mail spam. De Europese Richtlijn Elektronische Communicatie (2002/58) verbiedthet versturen van ongevraagde commerciële berichten en de Europese toezichthoudersop dit verbod werken samen in het zogenaamde Contact Network of Spam Authoritiesvoor informatie-uitwisseling en het faciliteren van samenwerking bij de handhaving vanhet verbod in de EU. Hiertoe is ook een samenwerkingsovereenkomst opgesteld.
In Nederland hebben de OPTA en het CBP op 19 oktober 2004 afspraken over samen-
19in vogelvlucht
< TERUG INHOUD VERDER >
werking ondertekend met betrekking tot het spamverbod, dat sinds 19 mei 2004 inNederland van kracht is. Het CBP zal zich primair richten op het toezicht op het ver-zamelen en gebruiken van e-mailadressen. Individuele klachten over spam kunnen worden gericht tot de OPTA via www.spamklacht.nl. De werkafspraken over spam vor-men de opmaat voor de uitwerking van een breder samenwerkingsprotocol in 2005.
Onderzoek en handhaving
Criminele inlichtingeneenheden
In 2003 en 2004 heeft het CBP onderzoek gedaan naar bijzondere politieregisters diegehouden worden door criminele inlichtingen eenheden (CIE) bij de regionale politie-korpsen. Het CBP is ingevolge de Wet politieregisters (Wpolr) toezichthouder op dewerking van de politieregisters. In die positie heeft het CBP toegang tot de inhoud vande CIE-registers. Die informatie wordt, met recht, vanwege de gevoelige aard ervan grotendeels van betrokkenen en het toezicht door de rechter, afgeschermd. Daarin ziethet CBP een bijzondere opdracht inhoudelijk op de CIE-registers toe te zien.
Bij het onderzoek heeft het CBP zich hoofdzakelijk gericht op controle aan de handvan de inhoud van de registers, daarnaast zijn ook enkele technische en organisatorischeaspecten in beschouwing genomen. Het algemene beeld uit het onderzoek is over-wegend positief te noemen. De onderzochte inhoudelijke aspecten bleken over het alge-meen in orde. Wat betreft de onderzochte technische en organisatorische aspecten bleekdat op een aantal punten niet wordt voldaan aan de voorschriften die door de wet- enregelgeving worden gesteld. De korpsen geven aan dat zij, in afwachting van een lande-lijk in te voeren informatiesysteem, geen aanpassingen zullen uitvoeren ten aanzien vande huidige systemen en werkwijzen.
Schengen Informatiesysteem
In 2004 heeft de Gemeenschappelijke Controleautoriteit Schengen aan de nationale controleautoriteiten van de lidstaten die aangesloten zijn op het Schengen Informatie-systeem (SIS), verzocht een onderzoek naar de gang van zaken bij het signaleren vanvreemdelingen in het systeem. Eind juni 2004 en eind december 2004 is gerapporteerdaan de GCA Schengen. Een aantal signaleringen hebben bij het CBP vragen opgeroepenen deze signaleringen zullen nader worden onderzocht.
Landelijke registraties in de zorg
Het CBP heeft in 2004 zijn onderzoek naar de werking van landelijke zorgregistratiesafgerond met een onderzoeksrapportage die in april 2005 gepubliceerd is. Het ver-kennende onderzoek had als kernvragen wat de patiënt weet van de registratie van zijngegevens in landelijke databanken, waarvoor deze registraties precies worden gebruikt,en of de gegevens in de registraties tot de persoon van de patiënt herleidbaar waren.Voor het verwerken van (indirect) herleidbare patiëntgegevens biedt de wet namelijkmaar beperkte mogelijkheden, gezien de gevoeligheid van de gegevens en het voor art-sen mede om die reden geldende beroepsgeheim.
Uit het onderzoek bij vijf landelijke registraties heeft het CBP de indruk gekregen datde onderzochte landelijke registraties over het algemeen redelijk tot goed omgaan metpersoonsgegevens. Ook bleek dat verbeteringen in bijna alle gevallen mogelijk en nood-zakelijk waren. De voornaamste te nemen maatregel is het beperken van de herleidbaar-heid van de gegevens tot individuele patiënten. Een aantal aanbevelingen is inmiddelsdoor de registraties overgenomen.
20 jaarverslag 2004
< TERUG INHOUD VERDER >
Naleving van de meldingsplicht
Bedrijven, organisaties en instellingen zijn op grond van de WBP verplicht ver-werkingen van persoonsgegevens te melden bij het CBP of de functionaris voor de gegevensbescherming tenzij er een vrijstelling geldt. Als een gegevensverwerking tenonrechte niet, onjuist of onvolledig gemeld is, kan het CBP een boete opleggen vanmaximaal 4500 Euro. Periodiek worden meldingen uit bepaalde sectoren of van bepaaldesoorten verwerkingen aan een nader onderzoek onderworpen. Dit doet het CBP ook naaraanleiding van klachten van betrokkenen.
Het jaarlijkse controleonderzoek is in 2004 uitgevoerd in drie sectoren, namelijk tele-communicatie, de geestelijke gezondheidszorg en de incassobranche. De onderzoekenzullen in 2005 afgerond worden, al dan niet met het opleggen van sancties.In vervolg op specifieke voorlichting aan telecomsector heeft het CBP bij een aantal aanbieders van telecommunicatiediensten (vaste en mobiele telefonie en internet) gecon-troleerd of aan de meldingsplicht was voldaan. Het onderzoek richtte zich met name opde melding van de verwerking van verkeersgegevens.
Bij enkele Geneeskundige gezondheidsdiensten (GGD’s) is onderzoek gedaan naarnaar de melding van de verwerking van persoonsgegevens in het kader van deOpenbare geestelijke gezondheidszorg (OGGZ). Deze verwerking houdt naar het oordeelvan de wetgever een bijzonder risico in voor de persoonlijke levenssfeer van de betrok-ken burgers; bij de melding dient daarom ook een onderzoek naar de rechtmatigheidvan de verwerking te worden aangevraagd bij het CBP, het zogenaamde voorafgaandonderzoek.
Uit de analyse van het WBP-Meldingenregister bleek dat het aantal meldingen doorincassobureaus sterk achterblijft. De controle in deze sector was er op gericht te onder-zoeken in hoeverre incassobureaus persoonsgegevens verwerken en in hoeverre zijterecht verwerkingen van persoonsgegevens niet gemeld hebben.
60.000
55.000
50.000
45.000
40.000
35.000
30.000
25.000
20.000
15.000
10.000
5.000
0jan
2003
feb mrt apr mei jun jul aug sep okt nov dec jan
2004
feb mrt apr mei jun jul aug sep okt nov dec
GRAFIEK BEZOEKERS WWW.CBPWEB.NL
21in vogelvlucht
< TERUG INHOUD VERDER >
Boetes voor gemeenten en bedrijven
In 2003 voerde het CBP de eerste steekproefsgewijze controle uit naar de naleving vande WBP-meldingsplicht bij een aantal gemeenten, zorgverzekeraars, interne en externearbodiensten en bij direct marketing bedrijven. Het aantal WBP-meldingen is na dezeeerste controles sterk gestegen, niet alleen in de onderzochte sectoren maar ook bij departiculiere recherchebureaus, de politie en in de zorgsector.
In totaal zijn voor deze eerste controle 50 onderzoeken verricht. In een aantal geval-len werd na het schriftelijke onderzoek aanvullend onderzoek ter plaatse gedaan tervaststelling van de feiten. Eind 2003 leidde de controle tot de eerste boetes bij eengemeente en twee bedrijven. In de loop van 2004 heeft het CBP in totaal 29 boetes van € 3.000 tot € 15.000 opgelegd. In een aantal gevallen heeft het CBP gebruik gemaakt vanzijn bevoegdheid om de boete te matigen, in het bijzonder als er sprake was - zoals bijgemeenten - van een groot aantal verwerkingen van persoonsgegevens. De voornaamsteoverweging hierbij was dat ook de gematigde boete zijn doel – de speciale en generalepreventie – zou bereiken.
De boetes zijn opgelegd aan 14 gemeenten, 3 direct marketing bedrijven, 3 zorg-verzekeraars en 9 arbodiensten. De meeste gemeenten hebben een bezwaarschrift inge-diend tegen de boete; enkele gemeenten hebben de boete inmiddels betaald. De privateorganisaties hebben op één na geen bezwaar gemaakt en hebben bijna allemaal betaald.Alle betrokken organisaties hebben inmiddels hun verwerkingen van persoonsgegevensbij het CBP gemeld.
Register van gestolen fietsen
De Stichting Aanpak Voertuigcriminaliteit vroeg om advies
over het opzetten van een register van gestolen fietsen.
Met een register zou het gemakkelijker kunnen worden
voor de politie om de eigenaren van gestolen fietsen te
traceren. In de toekomst zouden op basis van het register
ook fietsenhandelaren en consumenten via internet er
achter moeten kunnen komen of een bepaalde fiets gesto-
len is, dit om heling van gestolen fietsen te voorkomen.
Zo’n register lijkt een goed idee maar er moet wel wat voor
geregeld worden. Om in het register gegevens over diefstal
– met andere woorden strafrechtelijk gegevens – te mogen
verwerken en deze via internet openbaar te maken, is een
wettelijke basis noodzakelijk. De Wegenverkeerswet zou
dus gewijzigd moeten worden zodat het opzetten en behe-
ren van het register van gestolen fietsen een wettelijke taak
voor de Rijksdienst Wegverkeer wordt.
Met het oog op de beheersbaarheid en effectiviteit van
zo’n register verdient een landelijke aanpak de voorkeur
zowel voor het traceren van eigenaars door de politie als
voor het voorkomen van heling. Een voor iedereen via
internet raadpleegbaar register waarin gegevens over
gestolen fietsen worden vermeld, moet bovendien aan een
paar eisen voldoen. Er moeten duidelijke afspraken
gemaakt worden over de verantwoordelijkheid voor de
juistheid van de opgenomen gegevens en er mogen geen
ongewenste effecten zijn voor burgers die te goeder trouw
zijn ●
De samenleving moet erop kunnen rekenen dat toezicht en toezichthouders
gekenmerkt worden door onafhankelijkheid, transparantie en professionaliteit.
De Ambtelijke Commissie Toezicht II, die in het kader van haar taak in 2004
ook een rapport over het CBP heeft opgesteld, onderscheidt in het algemeen
een aantal samenhangende, kritische succesfactoren voor toezicht, waaronder:
• een heldere en consistente strategie gebaseerd op inzicht in de praktijk van
de naleving;
• integriteit van het toezicht, gewaarborgd door een goede functiescheiding
rond advisering en controle;
• een zo klein mogelijke toezichtdruk voor bedrijven en organisaties onder
meer door samenwerking met andere toezichthouders, en
• een goede publieke verantwoording en goed contact met belanghebbende
partijen.
Beleid van de toezichthouder
2222 jaarverslag 2004
< TERUG INHOUD VERDER >
Op al deze punten zijn in 2004 door het CBP wezenlijke vorderingen gemaakt. In 2005zal in de eerste plaats verder geïnvesteerd worden in het verzamelen van meer nalevinginformatie en verdieping van de risicoanalyse als basis voor onderzoek- enhandhavingstrategie.
Het CBP zag zich verder gesterkt in zijn overtuiging dat bescherming van de per-soonlijke levenssfeer burgers wel degelijk interesseert, juist als zij voor feitelijke dilemma’s in hun directe belevingssfeer worden gesteld. Onderzoek in 2004 uitgevoerddoor TNS NIPO Consult liet zien dat burgers een direct verband leggen tussen demanier waarop (zij denken dat) publieke en private organisaties omgaan met hun gege-vens en het vertrouwen dat zij in deze organisaties hebben, in weerwil van het achteloze“Ik heb toch niets te verbergen” waarmee zij privacydilemma’s rond veiligheid vaakafdoen. Uit het onderzoek bleek een stevige vertrouwenskloof gerelateerd aan debescherming van de persoonlijke levenssfeer.
Burgers, overheden en bedrijven mogen verwachten dat het CBP wezenlijke normenen afgesproken regels handhaaft en zonodig stevig optreedt. Bedrijven die investeren ineen integere omgang met persoonsgegevens, moeten kunnen rekenen op een level playing field. Burgers moeten kunnen rekenen op toezicht aangezien zij niet de mid-delen hebben om alleen de risico’s van fraude met of misbruik van hun gegevens te dragen. Het onderlinge vertrouwen in het maatschappelijk verkeer wordt zo versterktdoor een behoorlijke, zorgvuldige en rechtmatige omgang met persoonsgegevens.
Ook het vertrouwen in de overheid is direct gebaat bij de wijze waarop zij met degegevens van haar burgers omgaat. De normen voor het gebruik van persoonsgegevensbehoren tot de grondslagen van de democratische rechtsorde. Als spelregels zijn zijtevens uiterst bruikbaar voor een evenwichtige afweging van belangen bij het aanpak-ken van maatschappelijke problemen.
23beleid van de toezichthouder
< TERUG INHOUD VERDER >
Belastingdienst
Gemeenten
Politie
Uitkeringsinstanties
Banken en financiële instellingen
Werkgevers
Verzekeraars
Credit card maatschappijen
Incassobureau’s
Gerechtsdeurwaarders
Marktonderzoekbureau’s
Postorderbedrijven
Goede doelenorganisaties
Winkels
belang/vertrouwen
belang
vertrouwen
GRAFIEK BELANG/VERTROUWEN OP BASIS VAN NIPO-RAPPORT
0 10 20 30 40 50 60 70 80 90 100
< TERUG INHOUD VERDER >
Transparantie
De samenleving verwacht doortastend én zorgvuldig optreden van het CBP. Er kunnenimmers grote belangen op het spel staan voor organisaties wanneer het CBP eisen steltaan de naleving van de regels voor de bescherming van persoongegevens. Kwaliteit entransparantie van het optreden van de toezichthouder dienen steeds bewaakt te wordenen te voldoen aan maatschappelijke normen. Het CBP publiceerde daarom in 2004 in deStaatscourant en op de website een beleidsrichtlijn om inzicht te geven in de werkwijzevan het College bescherming persoonsgegevens bij de uitvoering van taken en werk-zaamheden.
De beleidsrichtlijn Uitgangspunten en beleidsregels werkwijze CBP geeft de uitgangs-punten voor onder meer het selectiebeleid bij een aantal taken. Om het brede werk-terrein van de bescherming van persoonsgegevens met een kleine organisatie te kunnendienen is een selectiebeleid noodzakelijk. De eerste versie van de beleidsregels bevathoofdstukken over de afhandeling van verzoeken om voorlichting, klachtenbehandeling,bemiddeling en de toepassing van bestuursdwang. Beleidsregels over de bevoegdheidom een boete op te leggen bij niet-naleving van de meldingsplicht werden reeds in 2003gepubliceerd en werden ongewijzigd in de beleidsrichtlijn opgenomen. Uitgangspuntenen beleidsregels aangaande andere taken zullen aan deze publicatie worden toegevoegd.
Administratieve lasten
Het CBP is zich bewust van de administratieve last die regelgeving veelal met zich mee-brengt en onderschrijft het belang van het kabinetsbeleid om te komen tot administratie-ve lastenverlichting. Ook voor de maatschappelijke steun voor de bescherming van persoonsgegevens is het noodzakelijk dat ondernemers niet geconfronteerd worden mette grote lasten als gevolg van de WBP. De minister van Justitie streeft daarom naar hetvereenvoudigen van de uitvoering van de wet voor de verantwoordelijken ter vermin-dering van de administratieve lasten. Het huidige beschermingsniveau voor de betrokkenen dient daarbij behouden te blijven en wijzigingen dienen te vallen binnen demarges van de Europese Richtlijn (95/46/EG). Het CBP heeft in december 2004 tien con-crete voorstellen gedaan die leiden tot administratieve lastenverlichting.
Als toezichthouder en ook als adviseur bij wetgeving zal het CBP het aspect van deadministratieve lasten ook verder in zijn oordeelsvorming betrekken. Daarbij zal uit-drukkelijk worden nagegaan op welke wijze administratieve lasten kunnen wordenbeperkt of verminderd met behoud van het gewenste niveau van bescherming.
Beleidsplan 2005-2008
Om doeltreffend en resultaatgericht uitvoering te geven aan zijn taken, actualiseert hetCBP na overleg met zijn Raad van Advies jaarlijks een meerjarig beleidsplan. In 2004 ishet beleidsplan voor de periode 2005-2008 vastgesteld. Hieronder worden daaruit devisie van het college op de rol van het CBP en de te volgen strategie samengevat. Eenspecifieke handhavingstrategie zal in 2005 uitgewerkt worden.
Positionering
De WBP legt de primaire verantwoordelijkheid voor een integer gebruik van persoons-gegevens bij overheden, bedrijven en andere maatschappelijke organisaties die per-soonsgegevens verwerken. De wet schept daarom ook mogelijkheden tot zelfreguleringvia gedragscodes en intern toezicht door functionarissen voor de gegevensbescherming.De burger heeft rechten om zelf actief toe te kunnen zien op het gebruik van zijn gegevens door verantwoordelijken. Daarnaast voorziet de wet in een onafhankelijke
jaarverslag 200424
toezichthouder, het CBP. In het maatschappelijke krachtenveld is het CBP dus slechtséén van de spelers, maar met een eigen rol die voortvloeit uit zijn bevoegdheden om dewettelijke normen zo nodig te handhaven. Het CBP-beleid zal in de periode 2005-2008de strategische beweging naar meer handhaving doorzetten.
Uitgangspunt voor het CBP-beleid is verantwoordelijkheden daar te laten waar zijhoren en te stimuleren dat overheden, bedrijven en andere organisaties daaraan ook zelfactief invulling geven. In die zin geeft het CBP de voorkeur aan een tweedelijnspositie,aan een rol als metatoezichthouder op een stelsel van gegevensbescherming waarin alle betrokken partijen een actief aandeel nemen. Sectorale gedragscodes en door organi-saties aangestelde functionarissen voor de gegevensbescherming ziet het CBP als belangrijke elementen van het toezichtarrangement. Vanuit deze tweedelijnspositie kanhet CBP zich bij voorrang richten op de taken waarvoor het speciaal is toegerust. Waarmogelijk wordt daarbij samengewerkt met andere toezichthouders.
Samenwerking met andere toezichthouders
Met diverse toezichthouders heeft het CBP overlappende bevoegdheden. Het CBP streefter naar met deze toezichthouders samen te werken. In 2004 is met diverse toezicht-houders (AFM, OPTA, IGZ, IWI) overleg gevoerd over samenwerking met het oog opeen doelmatiger toezicht. Samenwerking is niet alleen efficiënt voor de toezichthouders.Daarnaast kan daardoor ook de toezichtdruk (administratieve lasten) verminderen voorde onder toezicht staande organisaties.
Op 19 oktober 2004 hebben de voorzitters van de toezichthouders OPTA en CBPafspraken over samenwerking ondertekend met betrekking op het toezicht op de na-leving van het spamverbod zoals dat sinds 19 mei 2004 in Nederland van kracht is. Dezewerkafspraken zijn per 1 november 2004 in werking getreden en zullen in 2005 wordenopgenomen in een bredere overeenkomst.
In 2004 heeft het CBP overleg gevoerd met de Commissie gelijke behandeling, deNationale ombudsman en het Studie- en informatiecentrum mensenrechten over de wen-selijkheid van de instelling van een nationaal mensenrechteninstituut dat zal voldoenaan de Paris Principles (VN-resolutie 48/134 van 20 december 1993). De deelnemers aandit overleg zullen in 2005 de instelling van een onafhankelijk nationaal mensenrechten-instituut nader onderzoeken en voor eind 2005 een advies uit te brengen aan de rege-ring. De rol van de verschillende deelnemende organisaties zal in het advies aandachtkrijgen.
25beleid van de toezichthouder
< TERUG INHOUD VERDER >
HIV-mailing
Een zorgverzekeraar stuurde alle gebruikers van antiretrovi-
rale middelen in Amsterdam informatie over de vergoeding
van deze geneesmiddelen onder de verzekeringspolis. In
deze brief werd aangekondigd dat per 1 april 2004 deze
middelen alleen nog vergoed worden indien ze worden
voorgeschreven door een behandelaar verbonden aan een
erkend HIV-behandelcentrum. De brief liet er dus geen
twijfel over bestaan dat de geadresseerde medicatie in ver-
band met een Hiv-infectie kreeg.
Door deze mailing bestond er dus een reëel risico dat deze
persoonlijke informatie bij anderen terecht zou komen. De
post kan bijvoorbeeld verkeerd bezorgd worden of huisge-
noten zouden de brief kunnen openen. Een zorgverzekeraar
zou dus bij voorkeur via de hulpverlener gebruikers van
antiretrovirale medicijnen moeten informeren over een wij-
ziging in het voorschrijfbeleid. Als dit onmogelijk is moet
de zorgverzekeraar bij een dergelijke mailing aanvullende
maatregelen treffen. De inhoud van de brief moet zo alge-
meen mogelijk gehouden worden en de verzekeraar kan bij
de adressering ‘persoonlijk’ of ‘vertrouwelijk’ zetten om de
kans zo klein mogelijk te maken dat de brief door anderen
geopend wordt ●
Toezichtstrategie
De toezichtstrategie berust op het zogenaamde viersporenbeleid met aandacht zowelvoor het bevorderen van bewustwording, de praktijkgerichte uitwerking van wettelijkenormen en het onderzoek naar de implicaties en kansen van technologische ontwikkelin-gen voor de bescherming van persoonsgegevens, als voor het daadwerkelijk handhavenvan de normen.
De vier sporen vormen in onderlinge samenhang een beleidscyclus. Jaarlijks wordteen inschatting gemaakt van de risico’s op niet-naleving van de privacywetgeving en degevolgen daarvan voor de samenleving. Vervolgens wordt voor de geconstateerde risico’s bepaald in welk spoor van de beleidscyclus inzet van het CBP het meest effectiefis. Voor de rechtmatigheid van belastende onderzoeken en de houdbaarheid van sanctie-beslissingen is het van belang dat prioriteiten zo objectief en evenwichtig mogelijk wor-den vastgesteld om verwijt van onredelijkheid en willekeur bij het noodzakelijkerwijsselectieve karakter van het toezicht te vermijden. Het CBP spant zich in de systematiekvoor de inschatting van risico’s verder te ontwikkelen.
Onderzoekstrategie
De onderzoekstrategie van het CBP dient de onderbouwing van prioriteitenstellingen enin het bijzonder de handhavingstaak van het CBP. Het domein waarop het CBP toezichthoudt, is groot. Door systematisch gebruik te maken van verschillende onderzoeks-methoden beoogt het CBP de effectiviteit van zijn optreden voor de samenleving tevergroten. De afdeling onderzoek heeft daarom twee hoofdtaken: het doen van contro-lerende onderzoeken en het verzamelen en analyseren van nalevingsinformatie.
De onderzoekstrategie voorziet in het jaarlijks uitvoeren van een analyse van de risi-co’s die ontstaan door het niet naleven van de normen en regels voor de beschermingvan persoonsgegevens. Voor de inschatting van risico’s wordt gebruik gemaakt van ken-nis en informatie uit bijvoorbeeld klachten en voorlichtingscontacten die in de eigenorganisatie aanwezig is. Daarnaast worden vanzelfsprekend onderzoeksresultaten vanderden benut. Beleidsvoornemens van de overheid en andere signalen uit de samen-
De Raad Nederlandse Detailhandel (RND) kwam in 2004
met een uitgewerkt voorstel voor een waarschuwings-
register ter voorkoming en bestrijding van fraude in de
hele detailhandel. Met het waarschuwingsregister kun-
nen de deelnemende bedrijven voorkomen dat zij per-
soneel in dienst nemen dat vanwege fraude door één
van de andere deelnemende bedrijven is ontslagen.
Volgens gegevens van de RND gaat het om een relatief
kleine groep van 3 tot 4 duizend stelselmatige fraudeurs
op een totaal personeelsbestand in de detailhandel van
750.000 medewerkers (circa 0,5%).
De RND heeft de ernst en omvang van het frau-
deprobleem, het aantal preventieve maatregelen dat de
sector reeds heeft getroffen en het snelle personeels-
verloop als argumenten aangevoerd voor het opzetten
van een dergelijk register. Ondanks de maatregelen om
het probleem van de personeelsfraude aan te pakken,
blijft er behoefte aan aanvullende maatregelen ten
behoeve van screening in de sollicitatiefase.
Het CBP heeft de rechtmatigheid van het waar-
schuwingsregister getoetst en kwam tot het oordeel dat
het voorgestelde register rechtmatig is. Voor opname op
de lijst is de ernst van het incident belangrijk terwijl
ook aangifte bij de politie moet zijn gedaan. Het
gebruik van het waarschuwingsregister is verder alleen
te rechtvaardigen, als dit naast en niet in plaats van de
andere maatregelen van pre-employment screening
komt. Sollicitanten kan bijvoorbeeld ook worden
gevraagd een verklaring omtrent het gedrag te over-
leggen ●
Zwarte lijst frauderende werknemers
26 jaarverslag 2004
< TERUG INHOUD VERDER >
leving vormen eveneens een bron van informatie over potentiële risico’s en kansen omdeze risico’s in de toekomst te vermijden.
Vast onderdeel van de onderzoeksstrategie is het jaarlijkse, steekproefsgewijze onder-zoek naar de naleving van de meldingsplicht in verschillende sectoren.Verantwoordelijken worden daarbij gecontroleerd op kwantitatieve en kwalitatieveaspecten van de meldingsplicht. Dergelijk onderzoek bevordert de naleving van deregels voor de bescherming van persoongegevens (speciale en generale preventie), ver-groot de sectorkennis en versterkt de functie van het openbaar register van meldingen(transparantie).
Onderzoek en handhaving
Het toezicht op de naleving van de wettelijke normen vindt plaats door middel van controleonderzoeken. Dergelijke onderzoeken kunnen worden gestart naar aanleidingvan een klacht of andere signalen. Controleonderzoeken vinden ook systematisch plaatsop basis van vooraf vastgestelde beleidsdoelen en via de methode van steekproeven.
Door actief optreden van de toezichthouder met onderzoeken en interventies wordtzichtbaar gemaakt dat niet-naleving van de privacywetgeving tot consequenties kan lei-den. Hiermee is de generale preventie gediend. Bedrijven en instellingen moeten er opkunnen rekenen, dat hun inspanningen op dit punt niet door andere organisaties die ineen vergelijkbare positie verkeren, worden ondergraven. Op terreinen waar sprake isvan privacygevoelige dienstverlening én mededinging, zal dit aspect in toenemendemate een rol gaan spelen.
De afgelopen jaren is meermalen gebruik gemaakt van de sanctiemogelijkheden waarover het CBP beschikt en ook in 2005 krijgen onderzoek en handhaving prioritairaandacht. De lijn van 2001-2004 wordt hiermee voortgezet.
Communicatiestrategie
Communicatie is een wezenlijk instrument in de gehele cyclus van bewustwording vianormontwikkeling naar handhaving. Een goed gerichte en wel overwogen algemenevoorlichting kan de effectiviteit van het toezicht door het CBP sterk vergroten. Het CBPwerkt systematisch aan ‘zichtbaar toezicht’. Zichtbaarheid als toezichthouder – ook voorde burger – draagt bij aan het respect voor en de effectiviteit van het CBP als adviseurop het gebied van normontwikkeling, zowel in het wetgevingstraject als bij de organi-saties (publiek en privaat) in het veld.
27beleid van de toezichthouder
KPN en geheime telefoonnummersKoninklijke KPN NV verkocht sinds geruime tijd aan
anderen de adresgegevens van abonnees met een
geheim nummer voor direct marketing doeleinden. Het
aantal abonnees met een geheim nummer wordt geschat
op ongeveer 1 miljoen. Zij hebben doorgaans goede
redenen om hun adresgegevens niet via bijvoorbeeld de
telefoongids bekend te maken.
Het gezamenlijke onderzoek van CBP en OPTA bracht in
2003 aan het licht dat KPN eerder klanten met een
geheim nummer had toegezegd hun adresgegevens niet
voor direct marketing te zullen doorgeven aan anderen.
Na verandering van dit beleid zijn deze klanten hierover
niet geïnformeerd.
Begin 2004 sleepte de kwestie zich nog voort, terwijl
het in de kern ging om een wettelijke plicht van KPN
om klanten actief te informeren over hun wettelijke
rechten. Inmiddels heeft KPN door het actief toezenden
van een bijsluiter aan abonnees met een geheim num-
mer en het aanpassen van de privacybrochure voldaan
aan de door het CBP gestelde eisen.
Met een bijsluiter bij de telefoonrekening heeft KPN de
bestaande klanten met een geheim nummer geïnfor-
meerd. De privacybrochure Hoe gaat KPN om met uw
persoonsgegevens? is eveneens aangepast. Alle nieuwe
klanten van KPN en alle abonnees die van een gewoon
op een geheim nummer overstappen, zullen deze bro-
chure ontvangen. Alle bestaande en nieuwe abonnees
van KPN zijn of worden zo geïnformeerd over wat KPN
met hun adresgegevens doet en hoe zij eventueel kun-
nen voorkomen dat deze voor direct marketing worden
gebruikt ●
< TERUG INHOUD VERDER >
28 jaarverslag 2004
Het CBP zal zich in veranderende tijden als toezichthouder meer dan voorheen moe-ten bekommeren om (behoud van) het maatschappelijke en politieke draagvlak voor debescherming van de persoonlijke levenssfeer. Het zal nodig zijn bij het formuleren enuitdragen van standpunten nauwer aan te sluiten bij de ervaringen van zowel betrok-kenen (mensen in diverse maatschappelijk rollen en posities: burger, consument, patiënt,uitkeringsgerechtigde, etc.) als verantwoordelijken. Daartoe is het ook een voorwaardedat het CBP nog meer ‘luistert’, minder vanzelfsprekend vertrouwt op de zeggings-kracht van de wet, meer gebruik maakt van de visies en bevindingen van anderen, meerhet open maatschappelijke debat zoekt.
Juist met het oog op een effectieve uitvoering van zijn wettelijke taken – adviseur entoezichthouder – wil het CBP dus ook een stem in het maatschappelijke debat zijn.Deelname aan dat debat vergt een subtiele afstemming van deze drie rollen. In dezederde rol zal het CBP tegelijkertijd een actieve deelnemer en een bescheiden gespreks-partner moeten zijn. In deze dialoog zal de onafhankelijke toezichthouder mede invul-ling kunnen geven aan de gewenste horizontale verantwoording, de verantwoordingjegens burger en belanghebbenden (stakeholders) over de uitvoering van zijn taken ende resultaten van zijn optreden.
Prioriteiten 2005
De breedte van het toezichtdomein en de onvermijdelijk beperkte capaciteit van de toe-zichthouder dwingen het CBP heldere prioriteiten te stellen. Voor 2005 liggen deze bijde informatieplicht, het thema van de veiligheid, risicoselectie en internet. Deze keuzeszijn voortgekomen uit een kwalitatieve analyse van de risico’s voor de naleving van deregels voor de bescherming van persoonsgegevens en de persoonlijke levenssfeer.
Informatieplicht
Aan de informatieplicht zal bijzondere aandacht worden besteed in de algemene voor-lichting en bij onderzoeken. De stellige indruk bestaat dat de informatieplicht on-voldoende wordt nageleefd terwijl transparantie - iemand heeft zicht op wat er met zijnof haar gegevens gebeurt – een van de sleutels is tot de bescherming van de persoonlijkelevenssfeer. De informatieplicht stelt burgers in staat hun rechten uit te oefenen en eenonjuiste gegevensverwerking aan te vechten. Het CBP zal daarom de algemene voor-lichting intensiveren en een breed onderzoek doen naar de naleving van de informatie-plicht. Bijzondere aandacht zal worden besteed aan de naleving van de informatieplichtdoor het Openbaar Ministerie, de particuliere recherche en telecommunicatieaanbieders.Internationaal steunt het CBP de ontwikkeling van een uniform, gelaagd model voorinformatieverstrekking aan betrokkenen, een soort ‘privacyetiket’.
Zwarte lijst hypotheekfraudeZwarte lijsten bleven ook in 2004 als hulpmiddel bij de
bestrijding van fraude en criminaliteit in de belang-
stelling. De centrale vraag is hoe het belang van de
organisatie(s) zich verhoudt tot de consequenties van
plaatsing op de lijst voor een individu. De Wet
bescherming persoonsgegevens laat ruimte voor het
gerechtvaardigd belang dat bedrijven, organisaties en
instellingen kunnen hebben bij het gebruik van zwarte
lijsten. Zonder de juiste waarborgen voor de betrok-
kenen zijn zwarte lijsten echter verboden.
Aanbieders van hypothecaire financieringen wilden in
2004 een zwarte lijst om fraude terug te dringen. Een
vermoeden van fraude zou al voldoende zijn voor plaat-
sing op de lijst. Dit voorstel kon niet door de beugel.
Het plaatsen van personen op een breed toegankelijke
lijst op basis van niet meer dan vermoedens is ongeoor-
loofd, zeker wanneer een dergelijke vermelding voor de
betrokkene verstrekkende gevolgen kan hebben. Deze
zal immers niet meer of slechts onder zwaardere voor-
waarden een hypotheek kunnen afsluiten. De branche
heeft er inmiddels voor gekozen zich aan te sluiten bij
het reeds bestaande en door het CBP in 2002 goed-
gekeurde Incidentenwaarschuwingssysteem financiële
instellingen ●
< TERUG INHOUD VERDER >
29beleid van de toezichthouder
< TERUG INHOUD VERDER >
Veiligheid
In de strijd tegen het terrorisme zal het kabinet reeds aangekondigde maatregelen ennieuwe bevoegdheden invoeren. Uitgebreide verzameling, koppeling en analyse vaninformatie over (ook onverdachte) groepen en personen ziet het kabinet als de sleutel tothet voorkomen van terrorisme. Het CBP heeft in 2004 geconstateerd dat de noodzaakvan uitbreiding van bevoegdheden tot het verzamelen van informatie niet is aan-getoond. Ook was het CBP van mening dat structureel toezicht op de informatie die inhet kader van deze nieuwe bevoegdheden wordt vergaard, geboden is.
Het CBP onderschrijft vanzelfsprekend de noodzaak voor het kabinet om effectievemaatregelen te nemen ter bestrijding van het terrorisme. Internationale verdragen,Europese regels, de Nederlandse grondwet en andere wetten vereisen echter dat debeoogde verwerking van informatie over grote groepen onverdachte burgers voldoet aande maatstaf van nut en noodzaak en dat voorzien is in rechtsbescherming. Het CBP zalde veiligheidsdiscussie in 2005 op de voet volgen en adviseren over eventuele wets-voorstellen en nieuwe plannen aan de hand van het geschetste normatieve kader.
Risicoselectie
Het CBP zal in 2005 algemene spelregels voor risicoselectie op basis van groepsprofielenformuleren en deze uitwerken voor diverse sectoren waar profilering wordt gebruikt.Profilering en risicomanagement zijn legitiem maar het gaat om de grenzen. Bij risico-selectie worden individuen op basis van groepskenmerken beoordeeld. In essentie gaathet om in- en uitsluiting door middel van analyse van gegevens. Hierbij is niet alleen depersoonlijke levenssfeer in het geding, maar ook de maatschappelijke mogelijkheden vanpersonen die beoordeeld worden op basis van profielen waar ze in lijken te passen.
Na het dalen van de koersen eind jaren ‘90 zijn nogal
wat mensen die hebben belegd met geleend geld, in
financiële problemen geraakt. Een groot aantal personen
– ruim 100.000 – had in 2004 over contracten voor
zogeheten aandelenlease een geschil met Dexia Bank
Nederland NV. In rechtszaken werd uitgevochten of bij
de verkoop van deze financiële producten de zorgplicht
jegens deze klanten voldoende is nagekomen.
In het geding was onder meer de vraag of de aanbieder
zijn klanten voldoende over de risico’s had
geïnformeerd. De klantdossiers bij Dexia zouden hierin
meer inzicht kunnen bieden. Daarom vroegen veel
betrokkenen op grond van de Wet bescherming per-
soonsgegevens bij Dexia inzage in de over hen vast-
gelegde gegevens. De betrokken klanten stelden dat
Dexia hen een afschrift zou moeten geven van de docu-
menten die Dexia van hen had. Dexia stelde dat de
bank zich mocht beperken tot een overzicht van
beschikbare informatie.
Het CBP was van oordeel dat in het algemeen niet vol-
staan kon worden met een samenvatting van de gege-
vens. Voor de betrokkene cruciale informatie kan in een
samenvatting immers verloren raken. Een betrokkene
heeft daarom in principe recht op volledige kennis-
neming van de over hem verwerkte gegevens. Dat bete-
kent in de praktijk dat hij recht heeft op een afschrift.
Alleen zo kan een betrokkene opkomen voor zijn rech-
ten. Hierop kan alleen een uitzondering worden
gemaakt voor zover dat noodzakelijk is om de rechten
en vrijheden van – in dit geval – Dexia te beschermen.
Op een dergelijke uitzondering kan niet op voorhand in
alle geschillen een beroep worden gedaan ●
Inzage bij Dexia
30 jaarverslag 2004
< TERUG INHOUD VERDER >
Internet
Vragen rond internet en privacy – met name rond publicatie van persoonsgegevens opwebsites – zijn in 2004 meer aandacht gaan vragen. Eind 2003 heeft het Europese Hofvan Justitie in het Lindqvist-arrest de Privacyrichtlijn 95/46/EG ook van toepassing ver-klaard op internet. In 2004 heeft het CBP onderzocht wanneer uitingen op internet tebeschouwen zijn als verwerkingen voor journalistieke doeleinden. Meer in het algemeenzullen in 2005 antwoorden geformuleerd worden op de vragen waar internetgebruikerszich in de dagelijkse praktijk vooral mee geconfronteerd zien. In twee fundamentelekwesties moet positie worden gekozen, namelijk in welke gevallen en in welke mate hetCBP bevoegd is, en of het CBP als toezichthouder kan en wil optreden.
Organisatie
In 2004 is de nieuwe afdeling onderzoek van start gegaan. Daarmee is de organisatie-ontwikkeling voorzien in het formatieplan 2003 ‘In beweging voor toezicht en hand-having’ voltooid. Dit formatieplan beoogde de voorwaarden (o.a. functiescheiding) tescheppen voor het uitoefenen van de taken en sanctiebevoegdheden die het CBP in deWBP heeft gekregen. Hoewel de structurele wijzigingen in 2004 hun beslag hebbengekregen, bleef het aantal formatieplaatsen echter zowel om budgettaire redenen alsomwille van een zorgvuldige opbouw van de organisatie kleiner dan voorzien. De toe-zichthouder loopt daardoor op tegen de grenzen van het mogelijke voor de organisatie,hetgeen zal moeten leiden tot uitbreiding van het formatieplan of tot een marginali-sering van het toezicht op de WBP.
< TERUG INHOUD VERDER >
31activiteiten
openbaar bestuur pagina 32“De overheid lijkt een terughoudende houding ten aanzien van het binnentreden van de
persoonlijke levenssfeer meer en meer te verlaten onder brede verwijzing naar dringen-
de maatschappelijke problemen of behoeften.”
politie en justitie pagina 35“Het CBP waarschuwde voor de gevolgen van een vermenging van de taken van veilig-
heidsdiensten en politie waardoor informatie over vele onverdachte burgers terecht lijkt
te zullen komen in de politieregisters.”
arbeid en sociale zekerheid pagina 38“Door de nieuwe wettelijke taken, bijvoorbeeld door de nieuwe Zorgverzekeringswet,
krijgen financiële concerns de beschikking over nog veel meer (medische) persoons-
gegevens.”
zorg en welzijn pagina 41“In 2004 waarschuwde het CBP dat de combinatie van privatisering en deregulering
nadelige gevolgen heeft, zowel voor de privatisering als voor de privacy.”
handel en diensten pagina 44“Het CBP onderschrijft de kabinetsdoelstelling om te komen administratieve lasten-
verlichting volledig. Deze lastenverlichting kan bovendien de maatschappelijke steun
voor de bescherming van persoonsgegevens doen groeien.”
telecom pagina 47“In oktober 2004 hebben OPTA en CBP een samenwerkingsovereenkomst gesloten met
betrekking tot het spamverbod, zoals dat sinds 19 mei 2004 in Nederland van kracht is.”
technologie pagina 50“De Artikel 29-werkgroep wijst erop dat de verwerking van biometrische gegevens
steeds een zeer nauwkeurige rechtmatigheidsanalyse vereist omdat de gevaren bij mis-
bruik van deze gegevens groot zijn.”
internationaal pagina 52“In september 2004 hebben de privacytoezichthouders van de Europese lidstaten opge-
roepen tot de vorming van een adviesorgaan voor de derde pijler, het terrein van de
samenwerking van politie en justitie in Europa.”
activiteiten
< TERUG INHOUD VERDER >
32 jaarverslag 2004
Openbaar bestuurDe overheid en met de overheid vervlochten sectoren verschaffen zich steeds meer
mogelijkheden voor ‘gegevenssurveillance’: het op de voet volgen van de burger aan
de hand van digitale sporen die deze gedwongen op steeds meer plaatsen dient
achter te laten. De motieven achter het beleid zijn divers: het vergroten van de
veiligheid, het verbeteren van de dienstverlening, fraudebestrijding of bemoeizorg.
Met meer of minder instemming van de burger leidt deze ontwikkeling tot meer came-
ratoezicht op straat, een nationaal persoonsnummer (rond 1980 nog een schrikbeeld),
algemene identificatieplicht en steeds meer dienstverlening door de overheid via
internet.
De overheid lijkt de terughoudende houding ten aanzien van het binnentreden van
de persoonlijke levenssfeer ook buiten het terrein van de veiligheid meer en meer te
verlaten onder brede verwijzing naar dringende maatschappelijke problemen of
behoeften. Waarborgen voor de bescherming van persoonsgegevens die al bestonden
– een beperkte identificatieplicht – of die gerealiseerd zouden worden – sectorale
persoonsnummers – lijken zonder veel discussie opzij gezet te worden. Het CBP zag
daardoor in langdurige samenwerking geboekte resultaten bij het burgerservice-
nummer in 2004 weer onzeker worden.
DE
BU
RG
ERIS
STEE
DS
BET
ERB
EKEN
DD
OO
RT
OEZ
ICH
TEN
IDEN
TIF
ICA
TIE
PLI
CH
T
< TERUG INHOUD VERDER >
33
openbaar bestuur
openbaar bestuur
Camera's in het publieke domeinBedrijven en overheden zetten op grote schaal camera’s in voor de
beveiliging van gebouwen, goederen en personen. De belangstelling
voor cameratoezicht is in de afgelopen jaren sterk toegenomen.
Cameratoezicht is min of meer vanzelfsprekend geworden in super-
markten, winkelcentra, het openbaar vervoer en uitgaansgebieden.
Camera’s worden door het brede publiek ook geaccepteerd in de
verwachting dat cameratoezicht effectief is.
De Registratiekamer – de voorloper van het College bescher-
ming persoonsgegevens (CBP) – publiceerde al in 1997 een studie
over de mogelijkheden en grenzen van cameratoezicht. In beeld
gebracht gaf privacyregels voor het toepassen van cameratoezicht
zowel in het particuliere als het publieke domein. Doordat het
cameratoezicht door de overheid in de laatste jaren sterk toenam,
heeft het CBP in 2003 onderzoek laten doen naar aard en omvang
van het cameratoezicht door de Nederlandse gemeenten. Uit dit
onderzoek bleek onder meer dat 20 procent van de gemeenten
gebruik maakte van camera’s en dat in veel van die gemeenten de
effectiviteit van het toezicht (nog) niet geëvalueerd was.
In december 2004 is vervolgens Camera’s in het publieke
domein gepubliceerd met vuistregels voor besluitvorming, uitgangs-
punten voor inrichting en uitvoering, rechten van betrokkenen,
toezicht en evaluatie. Deze praktische verheldering van de privacy-
normen kan door gemeenten benut worden bij de besluitvorming
over de toepassing en inrichting van cameratoezicht ter handhaving
van de openbare orde.
Vanzelfsprekend zal het CBP deze normen ook hanteren bij het
toezicht op de praktijk van het cameratoezicht in het publieke
domein. Verder zal het CBP in samenwerking met belanghebbende
partijen in 2005 een modelverordening cameratoezicht publiceren.
Bij het parlement is een wetsvoorstel in behandeling om de
Gemeentewet te wijzigen, opdat cameratoezicht ter handhaving van
de openbare orde een expliciete wettelijke basis krijgt.
IdentificatieplichtBegin 2004 heeft het CBP de minister van Justitie geadviseerd het
Wetsvoorstel uitbreiding identificatieplicht niet in te dienen. Het
belangrijkste argument hiervoor was dat het wetsontwerp zonder
de noodzakelijke onderbouwing en rechtvaardiging van een der-
gelijke verplichting een algemene identificatieplicht voor de burger
in het leven riep.
Nog maar enkele jaren geleden concludeerde het tweede
paarse kabinet dat een algemene identificatieplicht te ver zou gaan:
een identificatieplicht werd slechts gerechtvaardigd geacht in een
aantal specifieke situaties, waarin de overheid de burger als poten-
tiële verdachte beschouwt, bijvoorbeeld bij de controle op ‘zwart
rijden’ in het openbaar vervoer en bij optreden tegen voetbal-
vandalisme. De toelichting op het wetsvoorstel gaf geen nieuwe
argumenten en het kabinet voldeed daarmee niet aan de eis van het
EVRM (artikel 8, lid 2) om de inbreuk op de persoonlijke levenssfeer
voldoende te rechtvaardigen.
Evenmin werd de mogelijkheid van discriminatoire en stig-
matiserende effecten van het voorstel onderkend. De uitoefening
door de politie van de bevoegdheid die het wetsvoorstel in het
leven riep, leek bovendien slechts controleerbaar op basis van een
aanzienlijke uitbreiding van de registratie van het gedrag van on-
verdachte burgers. De minister van Justitie heeft het advies van het
CBP grotendeels gevolgd. Er komt een evaluatie drie jaar na in-
werkingtreding ten aanzien van de werking. Deze evaluatie is met
name gericht op de handhaving van de leeftijdsgrens en op de
eventuele aanscherping van criteria voor bevoegdheidsverlening
aan de politie en toezichthouders. Er komen geen stelselmatige con-
troles, alleen controles die noodzakelijk zijn met het oog op een
goede taakuitoefening. De leeftijdsgrens is opgetrokken van twaalf
naar veertien jaar. Op 1 januari 2005 is de uitgebreide en feitelijk
algemene identificatieplicht van kracht geworden.
BurgerservicenummerHet beleid voor een ‘elektronische overheid’, een overheid die op-
timaal gebruik maakt van informatietechnologie waaronder internet,
is in 2004 neergelegd in het programma Andere overheid. De
beoogde nationale authenticatievoorziening – een voorziening voor
het online vaststellen van de elektronische identiteit van burgers –
werd omgedoopt tot DigiD. In 2003 verklaarde het CBP zich te
kunnen vinden in de uitgangspunten van de nationale authen-
ticatievoorziening onder verwijzing naar een aantal voorwaarden.
Het CBP blijft de ontwikkelingen op dit terrein volgen.
De introductie van een Burgerservicenummer (BSN) is een
bepalende voorwaarde voor het welslagen van het programma
Andere overheid; 2004 was voor het ministerie van Binnenlandse
Zaken en Koninkrijksrelaties het jaar van ‘geen woorden, maar
daden’. Het programmabureau BSN dat opdracht kreeg het eind
2003 opgeleverde plan te verwezenlijken, werd opgericht. Onder
druk van de minister Volksgezondheid, Welzijn en Sport nam het
kabinet onverwachts het besluit om de toch al ambitieus geplande
invoering van het BSN per 1 januari 2007 een jaar naar voren te
halen en bovendien het BSN ook in de zorgsector te gaan ge-
bruiken.
Een apart zorgidentificatienummer – een waarborg tegen te
gemakkelijke verspreiding van gegevens van patiënten en zorg-
behoevenden – bleek in de politieke en maatschappelijke situatie
geen haalbare kaart meer. Het CBP is daarop akkoord gegaan met
het gebruik van het BSN in de zorgsector, mits dit gepaard gaat met
compenserende waarborgen. Belangrijk onderdeel daarvan vormen
betrouwbare autorisatieprocedures voor het gebruik van medische
gegevens die met het BSN ontsloten worden.
Vervolgens bleken in 2004 afspraken over het stelsel van ver-
trouwensfuncties vastgelegd in bijlagen bij het implementatieplan
op losse schroeven te staan. Het overeengekomen stelsel van waar-
borgen voor de bescherming van persoonsgegevens begon af te
brokkelen. Dit wettelijk te verankeren stelsel bestaat op nationaal
niveau onder meer uit overkoepelend beleid en richtlijnen, een toet-
singskader, een ‘landkaart’ voor transparantie en een ombuds-
functie, met vergelijkbare elementen op sectoraal en organisatie-
niveau. In de Wet algemene bepalingen burgerservicenummer was
het stelsel niet terug te vinden. Daarnaast liep de voorbereiding van
de zogeheten nationale vertrouwensfunctie vertraging op.
Niettemin hoopt het CBP in 2005 een bijdrage te leveren aan de
feitelijke ontwikkeling van de nationale vertrouwensfunctie. Daarin
zal structureel toezicht verankerd zijn in de vorm van onder meer
één loket waar burgers met vragen en klachten over het BSN
terecht kunnen.
Toezicht op GBA-regelingenHet CBP heeft een toezichthoudende taak bij de uitvoering van de
Wet Gemeentelijke basisadministratie persoonsgegevens (GBA).
Gemeenten zijn op grond van deze wet verplicht hun zogeheten
GBA-regelingen toe te sturen aan het CBP. Het gaat om de beheers-
regeling, de regeling met betrekking tot de binnengemeentelijke
afnemers en de verstrekking van persoonsgegevens aan ‘vrije der-
< TERUG INHOUD VERDER >
34
activiteiten
jaarverslag 2004
den’. In de zomer van 2003 bleek dat ruim 130 gemeenten hadden
nagelaten afschriften van de regelingen aan het CBP te sturen.
De gemeenten werden door het CBP in de gelegenheid gesteld
om binnen vier weken alsnog deze afschriften in te sturen. Hoewel
het soms aanzienlijk langer duurde, en er in enkele gevallen ge-
wezen moest worden op de bevoegdheid tot bestuursdwang,
hebben in 2004 uiteindelijk alle Nederlandse gemeenten aan deze
wettelijke verplichting voldaan. Het CBP is tevreden over deze
complete naleving, maar benadrukt dat nieuwe regelingen en
wijzigingen in bestaande opnieuw aan het CBP gezonden moeten
worden.
Gegevens van leerlingen: DigidoorOok in de onderwijssector neemt de informatisering en de ver-
werking van leerlinggegevens toe, niet alleen ten behoeve van het
onderwijs maar ook in het kader van samenwerkingsverbanden met
andere organisaties. Het CBP heeft de indruk dat – meestal met de
beste bedoelingen – erg veel gegevens van leerlingen worden vast-
gelegd en dat de regels voor vrijstelling van de meldingsplicht bij de
toezichthouder al te ruim uitgelegd worden.
In 2004 werd het CBP door verontruste ouders gewezen op
DigiDoor. Deze internetdienst is in Almere in het leven geroepen
voor het overdragen van informatie vanuit het primaire onderwijs
naar het voortgezet onderwijs. De vraag van de ouders was erop
gericht om invloed uit te kunnen oefenen op welke gegevens er aan
wie werden doorgegeven. Volgens DigiDoor zelf gaat het om toets-
gegevens uit het Leerlingvolgsysteem en opmerkingen over het
niveau van rekenen, taal en lezen. Maar ook kan het formulier
informatie bevatten over zaken die van invloed kunnen zijn op de
prestaties op de vervolgschool, zoals faalangst, concentratie-
problemen, gezondheidsproblemen en – in uitzonderlijke gevallen –
problemen thuis. Het CBP is vervolgens een onderzoek gestart naar
de manier waarop DigiDoor rekening houdt met de vereisten voor
de bescherming van persoonsgegevens. Het onderzoek zal in 2005
worden afgerond.
Kentekenregister en direct marketingDe automobielbranche kent zogeheten belangenbehartigers: de
stichting RDC, Stidenda, stichting New Motive, en SABN. Op basis
van de ‘Regeling gegevensverstrekking Kentekenregister’ mogen
deze wettelijk daartoe aangewezen belangenbehartigers persoons-
gegevens uit het Kentekenregister ontvangen. Zij mogen deze
onder meer voor direct-marketing activiteiten van derden zoals
autobedrijven of -importeurs gebruiken. Zo kunnen autobedrijven
gerichte mailings versturen aan een daartoe geselecteerde doel-
groep autobezitters.
De regeling schrijft voor dat de belangenbehartigers passende
maatregelen nemen ter bescherming van de persoonlijke levenssfeer
van degenen over wie gegevens worden verstrekt. Over de manier
waarop dit moet gebeuren, bestond binnen de branche verschil van
mening. Op verzoek van een belangenbehartiger heeft het CBP zich
in september 2004 uitgesproken over hoe passende maatregelen
kunnen worden genomen. Het ging daarbij vooral om de manier
waarop autobezitters – de geregistreerden in het Kentekenregister –
dienen te worden geïnformeerd over de verstrekking van hun gege-
vens aan de belangenbehartigers. Wanneer gegevens door een
belangenbehartiger worden verkregen, dient deze de autobezitters
hierover te informeren. Alleen in het geval de betrokkene al op een
andere manier van deze vastlegging op de hoogte is, hoeft dat niet.
De minister van Verkeer en Waterstaat oordeelde al in 2001 dat de
verstrekking van gegevens voor commerciële doeleinden een te
grote inbreuk vormde op de persoonlijke levenssfeer van de betrok-
kene. Deze verstrekking is uiteindelijk met ingang van 1 maart 2007
verboden. Het CBP heeft de minister van Verkeer en Waterstaat
geadviseerd de belangenbehartigers te verplichten jaarlijks verant-
woording af te leggen over de naleving van de informatieplicht ■
Almere vandaag, 09-04
< TERUG INHOUD VERDER >
35politie en justitie
Politie en JustitieDe aanslagen in Madrid en de moord op Theo van Gogh hebben geleid tot een
intensivering van het streven naar een veilige samenleving en in het bijzonder de
bestrijding van terrorisme. In hoog tempo werd verruiming van de bevoegdheden van
politie en justitie gerealiseerd of aangekondigd. De roep om meer bevoegdheden
klonk overigens al jaren, maar de terrorismedreiging sinds september 2001 heeft ruim
baan gemaakt voor de overtuiging dat deze uitbreiding ook noodzakelijk is.
Het CBP onderschrijft vanzelfsprekend de noodzaak voor het kabinet om effectieve
maatregelen te nemen ter bestrijding van terrorisme. Internationale verdragen,
Europese regels, de Nederlandse grondwet en andere wetten vereisen echter dat nieu-
we bevoegdheden voldoen aan de maatstaf van nut en noodzaak. Ook moet voorzien
zijn in rechtsbescherming. In de strijd tegen terrorisme is het wellicht nodig nieuwe
wegen te bewandelen, maar er is geen enkele reden het inzicht los te laten dat
machtsuitoefening moet plaatsvinden binnen een systeem van checks and balances:
geen bevoegdheid zonder noodzaak en geen bevoegdheid zonder controle op de uit-
oefening ervan.
INT
ENSI
VER
ING
VA
ND
EB
EST
RIJ
DIN
GV
AN
TER
RO
RIS
ME
36 jaarverslag 2004
TerrorismebestrijdingIn de ‘terrorisme’-brief van 10 september 2004 aan de Tweede
Kamer kondigden de ministers van Justitie en van Binnenlandse
Zaken en Koninkrijksrelaties nieuwe maatregelen en bevoegdheden
aan ter bestrijding van het terrorisme. Het kabinet zag onder meer
uitgebreide verzameling, koppeling en analyse van informatie over
groepen en personen als de sleutel tot het voorkomen van
terrorisme. Daartoe achtte het kabinet uitbreiding van opsporings-
bevoegdheden noodzakelijk. Het kondigde aan het wettelijk cri-
terium voor toepassing van bevoegdheden als het aftappen van
telefoons, internetgebruik en het observeren af te zullen zwakken
tot aanwijzingen. Momenteel is een verdenking of een redelijk
vermoeden van betrokkenheid vereist. De informatie-uitwisseling
tussen veiligheidsdiensten, politie, openbaar ministerie en IND zou
daarom geïntensiveerd worden via een informatieknooppunt, de
Contra-Terrorisme-infobox, waar data zullen worden gecombineerd
en geanalyseerd.
In een publieke reactie op de voorstellen constateerde het CBP
dat de noodzaak van uitbreiding van bevoegdheden tot het verza-
melen van informatie niet is aangetoond. De nieuwe bevoegdheden
komen bovenop de per 1 september 2004 in werking getreden
antiterrorismewetgeving. Het ging hierbij om uitbreiding van de
reikwijdte van het Wetboek van Strafrecht door nieuwe strafbaar-
stellingen en door verhoging van de strafmaat voor het plegen van
misdrijven met een terroristisch oogmerk. Voorts is samenspanning
(d.w.z. het maken van afspraken) tot terroristisch handelen straf-
baar gesteld. Met deze nieuwe wettelijke bepalingen voor infor-
matieverwerking is nog geen enkele ervaring opgedaan die zicht
geeft op nut en noodzaak van de maatregelen. Daarbij komen nog
de reeds ingevoerde of nog in te voeren bevoegdheden voor het
onderscheppen van telecommunicatie en de bevoegdheid tot het
opeisen van informatie bij bedrijven en andere organisaties. Het is,
aldus de brief van de ministers, voor de overheid voldoende dat een
burger haar argwaan opwekt om hem te kunnen observeren ten-
einde vast te stellen of de argwaan gerechtvaardigd is of niet.
Verder miskent de voorgenomen vergaande coördinatie van de
informatieverzameling de gescheiden wettelijke taken en bevoegd-
heden die inlichtingendiensten en politie hebben. Het CBP waar-
schuwde voor de gevolgen van een vermenging van de taken van
veiligheidsdiensten en politie. Het kabinet introduceert met de
Contra-Terrorisme-informatiebox een concept dat veel vragen
oproept. Onderzoek op grond van losse vermoedens en aannames
zal op grotere schaal gedeeld worden. Informatie over veel on-
verdachte burgers lijkt van de dossiers van de veiligheidsdiensten
terecht te zullen komen in de politieregisters.
De gevolgen van zo’n vermenging van functies kunnen zeer
ingrijpend zijn. De bescherming van de staatsveiligheid is primair
een zaak van de inlichtingendiensten. Deze hebben zeer vergaande
bevoegdheden om reeds bij het enkele vermoeden dat de staats-
veiligheid in het geding is, informatie te verzamelen. Het delen van
deze veelal ‘zachte’ informatie met de opsporingsdiensten mag pas
plaatsvinden, na zorgvuldige analyse en taxatie, indien sprake is van
een begin van verdenking dat er strafbare feiten worden beraamd
of gepleegd. Samenwerking is noodzakelijk voor terrorisme-
bestrijding, maar de politie moet geïnformeerd worden op het
moment dat er sprake is van uitoefening van de politietaak. Pas dan
kan informatie van met name de Algemene inlichtingen- en veilig-
heidsdienst worden ingebracht in een gemeenschappelijke infor-
matiebox.
In de geschetste plannen ontbrak ook een voorstel voor een ade-
quate en structurele controle op het proces van het verzamelen en
delen van informatie. Het zou een ernstige tekortkoming zijn als het
kabinet hierin niet zou voorzien. Veel van de werkzaamheden zullen
in het verborgene blijven, ook voor de personen die ten onrechte
voorwerp van onderzoek zijn geweest. Des te noodzakelijker is het
om controle op de uitoefening van deze vergaande overheidsmacht
in te bouwen. De burger moet beschermd worden tegen terrorisme
maar moet ook het vertrouwen kunnen behouden dat de overheid
op rechtmatige wijze haar vergaande bevoegdheden uitoefent.
Inmiddels heeft het CBP in 2005 zijn standpunt nader uit-
gewerkt in het advies over het conceptwetsvoorstel bijzondere
opsporingsbevoegdheden ter opsporing van terroristische misdrij-
ven. Omtrent de CT-infobox is het CBP niet nader geïnformeerd
door de betrokken ministers. De minister van Justitie heeft de
Tweede Kamer toegezegd de kamer schriftelijk nader te informeren.
TelefoontapsIn 2003 rondde het CBP een onderzoek af naar aanleiding van een
klacht van de Nederlandse Vereniging van Strafrechtadvocaten. Het
onderzoek betrof de waarborging van het verschoningsrecht van
advocaten bij de onderschepping van telecommunicatie. De minister
van Justitie heeft de uitkomst van het onderzoek van de hand
gewezen met een beroep op het Wetboek van strafvordering. Het
CBP heeft de minister van Justitie naar aanleiding hiervan in 2004
geadviseerd het Wetboek van strafvordering te wijzigen omdat het
verschoningsrecht van een hogere orde is. Ook startte het CBP een
onderzoek naar de naleving van de vernietigingsplicht van gesprek-
ken van zogenaamde geheimhouders in de tapkamers bij de politie.
Onderzoek criminele inlichtingeneenhedenIn 2003 en 2004 heeft het CBP onderzoek gedaan naar bijzondere
politieregisters die gehouden worden door criminele inlichtingen
eenheden (CIE) bij de regionale politiekorpsen. Het CBP is ingevolge
de Wet politieregisters (Wpolr) toezichthouder op de werking van
de politieregisters. In die positie heeft het CBP toegang tot de
inhoud van de CIE-registers. Die informatie wordt, met recht, van-
wege de gevoelige aard ervan grotendeels van betrokkenen en het
toezicht door de rechter, afgeschermd. Daarin ziet het CBP een bij-
zondere opdracht inhoudelijk op de CIE-registers toe te zien.
Bij het onderzoek heeft het CBP zich hoofdzakelijk gericht op
controle aan de hand van de inhoud van de registers, daarnaast zijn
ook enkele technische en organisatorische aspecten in beschouwing
genomen. Het CBP heeft bij een aantal CIE's in de registers zware
criminaliteit en het voorlopig register en het informantenregister
steekproefsgewijs onder meer gecontroleerd of de verplicht voor-
geschreven codes waren opgenomen, en of de integriteit van de
informatie behouden blijft gedurende de keten van vastlegging tot
verstrekking. De uitkomsten van het onderzoek heeft het CBP ter
kennis gebracht van de ministers van Binnenlandse Zaken en
Koninkrijksrelaties en van Justitie die beheers- c.q. gezags-
verantwoordelijkheid dragen.
Het algemene beeld uit het onderzoek is overwegend positief
te noemen. De onderzochte inhoudelijke aspecten bleken over het
algemeen in orde. Wat betreft de onderzochte technische en or-
ganisatorische aspecten bleek dat op een aantal punten niet wordt
voldaan aan de voorschriften die door de wet- en regelgeving
worden gesteld. De korpsen geven aan dat zij, in afwachting van
een landelijk in te voeren informatiesysteem, geen aanpassingen
activiteiten< TERUG INHOUD VERDER >
37politie en justitie
politie en justitiezullen uitvoeren ten aanzien van de huidige systemen en werk-
wijzen.
Nieuwe informatiehuishouding bij de politieVan oudsher heeft de politie een eigen wettelijk regime voor de ver-
werking van persoonsgegevens, de Wet politieregisters. Al geruime
tijd werd gewerkt aan een visie op de herziening van dit regime en
het CBP onderschreef de noodzaak om te komen tot herziening van
de wet. Tegelijkertijd was bij de verschillende politiekorpsen een
wild palet ontstaan van verschillende ICT-toepassingen voor de uit-
voering van dezelfde taken. Uiteindelijk is door de politie besloten
te komen tot landelijke uniformiteit op het gebied van de ICT. Ook
de herziening van het wettelijk kader voor de informatie-
huishouding van de politie is ter hand genomen.
Het CBP heeft bijgedragen aan beide ontwikkelingen. Als toe-
zichthouder op de verwerking van gegevens door de politie heeft
het CBP over technologische ontwikkelingen desgevraagd gead-
viseerd over de wettelijke regels die van invloed waren bij het kie-
zen van richting voor nieuwe systemen. Complicerende factor daar-
bij was dat ook het wettelijk regime zich in een overgangsfase
bevindt.
Een periode van ruim anderhalf jaar was nodig voor het tot
stand komen van een conceptwetsvoorstel voor herziening van de
Wet politieregisters. Het CBP heeft deelgenomen aan uitgebreid
vooroverleg met het ministerie van Justitie, het ministerie van
Binnenlandse Zaken en Koninkrijksrelaties, verschillende politie-
diensten en de bouwers van de nieuwe informatietechnologische
systemen voor de politie. In dat vooroverleg zijn ervaringen uit-
gewisseld, knelpunten besproken en is een visie gevormd op een
nieuw wettelijk regime.
Vervolgens heeft het CBP advies uitgebracht aan de minister
van Justitie over het conceptwetsvoorstel Wet politiegegevens. Het
CBP kan zich vinden in de opzet van een piramidale structuur voor
de verwerking van politiegegevens: dichter bij de top van de
piramide nemen de waarborgen toe naarmate de verwerking ris-
kanter wordt voor betrokkenen. Deze systematiek dient in de
meeste gevallen zowel de operationele behoefte van de politie om
gevoelige gegevens af te kunnen schermen, als het belang van de
burger dat zorgvuldig met zijn gegevens wordt omgegaan. Er waren
drie belangrijke punten van kritiek. In de eerste plaats zou meer
nadruk moeten komen te liggen op de kwaliteit van gegevens die
de politie verwerkt. Omdat de politie tot taak heeft de waarheid te
achterhalen, begint zij vaak te werken met gegevens waarvan de
juistheid niet vaststaat. Dat draagt grote risico’s voor betrokken bur-
gers in zich.
In de tweede plaats heeft het CBP ernstig bezwaar tegen de
invoering van zogenaamde themaregisters. In het voorstel worden
grote verzamelingen van gegevens voorzien over burgers die niet
ergens van verdacht worden. Het CBP kan zich weliswaar vinden in
versoepeling van het principe dat geen gegevens over onverdachte
personen worden verwerkt door de politie, maar in de thema-
registers dreigt het omgekeerde te gebeuren.
Tot slot heeft het CBP geadviseerd een duidelijke regeling op te
nemen voor bewaartermijnen. Uitgangspunt dient te zijn dat gege-
vens die niet meer nodig zijn, vernietigd worden en niet almaar
worden bewaard voor het geval in de toekomst aan de gegevens
behoefte mocht ontstaan.
Particuliere rechercheVeiligheid is in het huidige kabinetsbeleid niet alleen een taak van
de overheid. Burgers en bedrijven hebben een eigen verantwoor-
delijkheid. Particuliere opsporing en de beveiligingsbranche hebben
de afgelopen jaren een hoge vlucht genomen. Het CBP heeft
geconstateerd dat de beveiligingsbranche nog weinig persoons-
gegevens verwerkt. Op grond van de toenemende publiek-private
samenwerking, bijvoorbeeld in het kader van terrorismebestrijding,
valt echter aan te nemen dat dit snel zou kunnen veranderen. Het
CBP zal hierop alert blijven.
Particuliere opsporing bergt zeker gevaren in zich voor de
bescherming van de persoonlijke levenssfeer. De Wet op de par-
ticuliere beveiligingsorganisaties en recherchebureaus (Wpbr) nor-
meert de sector, maar het ontbreekt aan regels voor de uitvoering
van onderzoeken en de verdere verwerking van de verzamelde
gegevens. Na een jarenlang voortraject, waarin het CBP de
branchevereniging heeft trachten te ondersteunen bij een ver-
kenning van terrein en het formuleren van uitgangspunten, heeft
de branchevereniging eind 2003 een gedragscode ingediend bij het
CBP. Begin 2004 heeft het CBP hieraan een goedkeurende ver-
klaring kunnen afgeven.
Bijzonder is dat de minister van Justitie de gedragscode in een
ministeriële regeling verplicht heeft gesteld voor alle recherche-
bureaus. De reikwijdte van de gedragscode is daardoor belangrijk
uitgebreid. Recherchebureaus hoeven verder in het kader van hun
vergunningaanvraag niet meer een onderzoek door het CBP af te
wachten, wat leidt tot een aanmerkelijke verkorting van de door-
looptijd. Bureaus die zich niet houden aan de regels van de
gedragscode kunnen door de minister van Justitie, die vergunningen
verleent aan recherchebureaus, worden beboet. Uiteindelijk kan
zelfs de vergunning worden ingetrokken. Het CBP en de minister
van Justitie zijn inmiddels een samenwerkingsovereenkomst aan-
gegaan voor het toezicht op de naleving.
De gevoelige aard van de gegevens die in particulier onderzoek
worden vergaard, de methoden waarmee dat gebeurt en de ge-
volgen die onzorgvuldige verwerking voor de onderzochte kunnen
hebben, rechtvaardigen dat wordt voorzien in structureel toezicht
op de naleving van de gedragscode. Het CBP heeft als lid van de
begeleidingscommissie bij een onderzoek naar de mogelijkheden en
onmogelijkheden van toezicht op de particuliere veiligheidssector
hierop aangedrongen. De minister van Justitie ontving in 2004 het
definitieve onderzoeksrapport ■
< TERUG INHOUD VERDER >
38 jaarverslag 2004
Arbeid en sociale zekerheidZowel het zorgstelsel als het sociale zekerheidsstelsel maken grote veranderingen
door. Invoering van marktwerking en meer eigen verantwoordelijkheid van partijen
staan in beide sectoren centraal. De grote nadruk die vanuit de sociale zekerheidssec-
tor op een spoedige reïntegratie van bijvoorbeeld de zieke werknemer wordt gelegd,
vereist een directe betrokkenheid van de zorgsector bij dit doel. Het belang van een
integrale keten van sociale zekerheid en zorg wordt breed onderschreven.
Gesteld wordt dat een betere gegevensuitwisseling meer samenhang tussen beide
sectoren zou kunnen bewerkstelligen. Privacyregels worden door direct betrokken
partijen vaak gezien als een obstakel voor efficiënte gegevensuitwisseling. De stel-
selwijzigingen in de zorg en sociale zekerheid hebben daarom de aandacht van het
CBP. In 2004 heeft het CBP verscheidene malen advies uitgebracht over nieuwe
wetgeving op het terrein van de sociale zekerheid.
INT
EGR
ALE
KET
ENV
AN
SOC
IALE
ZEK
ERH
EID
ENZ
OR
G
< TERUG INHOUD VERDER >
39arbeid en sociale zekerheid
arbeid en sociale zekerheidReïntegratie Gegevensverwerking in het kader van de reïntegratie van werk-
nemers en uitkeringsgerechtigden wordt door het CBP al jaren
intensief gevolgd. Vanuit de behoefte om als toezichthouder meer
zicht te krijgen op de knelpunten in de uitvoeringspraktijk, werd in
het voorjaar van 2004 een verkennend onderzoek uitgevoerd bij
drie reïntegratiebedrijven die gespecialiseerd zijn in de reïntegratie
van bijstandsgerechtigden. Naar verwachting zal het rapport in het
voorjaar van 2005 gepubliceerd worden. Het onderzoek krijgt in
2005 een complement in een verkennend onderzoek bij een aantal
reïntegratiebedrijven dat trajecten verzorgt voor zieke werknemers.
De zieke werknemer en privacy Het CBP heeft op 12 mei 2004 het eerste exemplaar van De zieke
werknemer en privacy aan de staatssecretaris van Sociale Zaken en
Werkgelegenheid aangeboden. Deze studie geeft informatie over de
mogelijkheden en grenzen van het uitwisselen van gegevens van
zieke werknemers. Privacyregels staan de reïntegratie van de zieke
werknemer niet in de weg. De betrokken partijen mogen persoons-
gegevens van zieke werknemers die noodzakelijk zijn voor de reïn-
tegratie, met elkaar delen.
Bij werkgevers, arbodiensten, reïntegratiebedrijven, Uitkerings-
instituut Werknemersverzekeringen (UWV) en (verzuim) verzeke-
raars bestaat een toenemende behoefte aan informatie over de
zieke werknemer. Het gaat hierbij vaak om informatie over de
gezondheid van een werknemer die in een kwetsbare positie zit. In
De zieke werknemer en privacy zijn voor alle betrokken partijen
praktische vuistregels opgenomen om een juiste en zorgvuldige
omgang met gegevens van zieke werknemers te kunnen realiseren.
Tevens worden knelpunten in wet- en regelgeving rondom de zieke
werknemer gesignaleerd. In het gesprek met de staatssecretaris
heeft het CBP aangedrongen op uitwerking van wet- en regel-
geving om deze punten op te lossen.
Na publicatie heeft het CBP het rapport onder de aandacht van
de diverse belanghebbende partijen gebracht, zowel met presen-
taties op studiedagen en artikelen voor vaktijdschriften als ook door
actieve aanwezigheid op de Reïntegratiebeurs. Sinds de verschijning
is De zieke werknemer en privacy de meest geraadpleegde studie
op de website (6200 maal in 2004).
De nieuwe WAO en de verzekeraarsIn zijn adviezen over het nieuwe WAO-stelsel heeft het CBP aan-
gegeven dat er meer duidelijkheid moet komen over de posities die
de verschillende partijen (werkgever, werknemer, UWV, reïntegratie-
bedrijven en verzekeraars) ten opzichte van elkaar innemen.
Duidelijkheid hierover is van belang om te kunnen beoordelen
op grond waarvan de verschillende partijen persoonsgegevens
mogen verwerken en gerechtigd zijn om deze met elkaar uit te
wisselen.
Er bestaat met name onduidelijkheid over de rol die ver-
zekeraars zullen spelen in het nieuwe stelsel. Dit is onwenselijk. De
regiefunctie die verzekeraars is toegedacht, zal de komende jaren in
de praktijk gebracht worden. Verzekeraars – veelal onderdeel van
grote financiële concerns – beschikken al over zeer veel gegevens
omdat ze behalve ziektekostenverzekeraar ook vaak schade-,
levens- en pensioenverzekeraar zijn en financiële dienstverlening
binnen het bankwezen leveren. Door de nieuwe taken op grond van
de Wet werk en inkomen naar arbeidsvermogen, maar bijvoorbeeld
ook door de nieuwe Zorgverzekeringswet, krijgen deze financiële
concerns de beschikking over nog veel meer (medische) persoons-
gegevens. Dat levert een potentieel machtige en invloedrijke infor-
matiepositie op waarvan tot op heden niet voldoende duidelijk is of
en zo ja onder welke voorwaarden deze mag worden benut.
Verzekeraars erkennen overigens het belang van een zorg-
vuldige verwerking van persoonsgegevens. Zij hebben het CBP al
vaker laten weten ermee gediend te zijn indien duidelijke regels
worden gesteld. Wanneer de overheid nalaat regels te stellen, is dat
tijdrovend en inefficiënt voor de uitvoerende partijen. Het CBP heeft
dan ook met klem bij de minister van Sociale Zaken en Werk-
gelegenheid bepleit dat in de betreffende wetgeving helderheid
wordt verschaft over de bevoegdheden en de beperkingen voor
verzekeraars daar waar het gaat om de verwerking van persoons-
gegevens.
Samenwerking tussen IWI en CBP Het CBP heeft in 2003 en in 2004 een discussie gevoerd met de
minister van SZW en de Inspectie Werk en Inkomen (IWI) over de
reikwijdte van het toezicht op de uitvoering van de nieuwe Wet
Werk en Bijstand. Deze gesprekken waren onder andere van belang
om te bezien of samenwerking tussen beide toezichthouders
gewenst is en zo ja waaruit deze samenwerking zou kunnen
bestaan.
Inmiddels is zowel van de kant van IWI als CBP het voornemen
uitgesproken om in 2005 een samenwerkingsconvenant af te slui-
ten. Door samenwerking en het delen van kennis kan effectiever en
efficiënter toezicht worden gehouden op de uitvoeringspraktijk. Nu
komt het voor dat beide toezichthouders, soms zonder dat ze het
van elkaar weten, zich bezig houden met dezelfde problematiek.
Samenwerking bevordert bovendien eenduidig toezicht omdat de
normenkaders waar de toezichthouders mee werken op elkaar kun-
nen worden afgestemd.
Daarbij kan door samenwerking ook de toezichtsdruk voor de
onder toezicht gestelde organisaties worden verminderd. In het con-
venant zullen bijvoorbeeld afspraken worden gemaakt over het
delen van toezichtinformatie en het elkaar wederzijds informeren
over de uitkomsten van onderzoeken.
Zwarte lijst frauderende werknemers Zwarte lijsten verschenen in 2004 regelmatig in de media. De Raad
Nederlandse Detailhandel (RND) kwam in 2004 met een nieuw
voorstel voor een bedrijfstakbreed waarschuwingsregister ter voor-
koming en bestrijding van fraude in de detailhandel. Met het waar-
schuwingsregister kunnen de deelnemende bedrijven voorkomen
dat zij personeel in dienst nemen dat vanwege fraude door één van
de andere deelnemende bedrijven is ontslagen. Voor opname op de
lijst is de ernst van het incident een belangrijk criterium terwijl ook
aangifte bij de politie moet zijn gedaan.
De RND heeft de ernst en omvang van het fraudeprobleem,
het aantal preventieve maatregelen dat de sector reeds heeft
getroffen en het snelle personeelsverloop als argumenten aange-
voerd voor het voeren van een dergelijk register. Ondanks de diver-
se maatregelen die de sector reeds getroffen heeft om het probleem
van de personeelsfraude aan te pakken, blijft er behoefte aan aan-
vullende maatregelen voor screening in de sollicitatiefase. Het
gebruik van het waarschuwingsregister is alleen te rechtvaardigen,
als dit naast en niet in plaats van de andere maatregelen van pre-
employment screening (met name de verklaring omtrent het
gedrag) wordt ingezet. Het CBP heeft opnieuw de rechtmatigheid
< TERUG INHOUD VERDER >
< TERUG INHOUD VERDER >
40
activiteiten
jaarverslag 2004
van het waarschuwingsregister getoetst aan de normen van de WBP
en kwam tot het oordeel dat het voorgestelde register rechtmatig is.
Gedragscode Werving, Search en Selectie-branche In juli 2004 keurde het CBP de privacygedragscode van de branche-
organisatie voor Werving, Search en Selectie (OAWS) goed. De
gedragscode geeft aan voor welke doeleinden persoonsgegevens
van potentiële kandidaten mogen worden verwerkt en stelt voor-
waarden waaronder bepaalde persoonsgegevens van kandidaten
verstrekt kunnen worden aan opdrachtgevers. Daarnaast geeft de
gedragscode uitwerking aan de rechten van de betrokkenen en
geeft aan op welk moment zij geïnformeerd moeten worden over
de gegevens die van hen verwerkt worden. De OAWS was onder
de Wet persoonsregistraties (Wpr), in 1990, één van de eerste or-
ganisaties die een privacygedragscode opstelde. Deze gedragcode is
nu aangepast aan de WBP en heeft een geldigheidsduur van vijf
jaar ■
NRC, 12-04
< TERUG INHOUD VERDER >
41
Het zorgstelsel wordt in hoog tempo veranderd. De informatisering gaat gestaag door
en vraagt aandacht ter bescherming van het medisch beroepsgeheim. De belangrijk-
ste ontwikkeling is echter de introductie van meer marktwerking. Privatisering gaat in
de voorstellen voor het nieuwe zorgstelsel – net als bij de hervorming van de sociale
zekerheid – hand in hand met deregulering. In 2004 waarschuwde het CBP echter dat
de combinatie van privatisering en deregulering nadelige gevolgen heeft, zowel voor
de privatisering als voor de privacy.
Zorg en welzijn DE
CO
MB
INA
TIE
VA
NP
RIV
AT
ISER
ING
END
EREG
ULE
RIN
GH
EEFT
NA
DEL
IGE
GEV
OLG
ENV
OO
RP
RIV
AC
Y
zorg en welzijn
< TERUG INHOUD VERDER >
4242 jaarverslag 2004
De verzekeraars krijgen in de kabinetsplannen een prominente rol in
het sociale zekerheids- en zorgstelsel toegedacht. In de huidige
wetsvoorstellen wordt echter niet duidelijk geregeld wat deze regis-
seurs eigenlijk mogen doen met de gegevens waarover zij straks op
grond van onder meer de Zorgverzekeringswet zullen beschikken.
Door de nieuwe taken krijgen de verzekeraars – veelal onderdeel
van grote financiële concerns – nog veel meer (medische) persoons-
gegevens. Of en hoe de verzekeraars deze informatiepositie mogen
benutten is niet goed geregeld. Ook de zorgverzekeraars vinden
deze onzekerheid onwenselijk.
Het beleid van het CBP zal evenals in eerdere jaren gericht zijn
op het beschermen van het medisch beroepsgeheim en maatvoering
bij het verstrekken van medische persoonsgegevens. In 2004 heeft
het CBP onder meer adviezen uitgebracht over de Zorg-
verzekeringswet, de invoering van de Diagnose Behandeling
Combinaties (DBC’s), de AWBZ-brede zorgregistratie en gedrags-
regels voor zorgverzekeraars.
De nieuwe Zorgverzekeringswet De nieuwe Zorgverzekeringswet voorziet in een verplichte stan-
daard zorgverzekering die eigen verantwoordelijkheid en markt-
werking in de zorgsector moet bevorderen. In het advies op het
wetsvoorstel betoogt het CBP dat het noodzakelijk is om meer
concrete normen te stellen voor gebruik en uitwisseling van per-
soonsgegevens in het kader van zorgverzekeringen.
In de eerste plaats moet in de wetgeving zelf de basis voor het
regime voor informatieverwerking worden gelegd. Daarnaast is aan-
passing van het – concept – addendum van Zorgverzekeraars
Nederland (ZN) bij de Gedragscode Verwerking Persoonsgegevens
van de financiële instellingen nodig. Het is de bedoeling dat dit
addendum voorziet in meer specifieke regels in de omgang met
gezondheidsgegevens door zorgverzekeraars.
Het voorziene structurele toezicht op de zorgverzekeraars zal
zich hoofdzakelijk beperken tot het signaleren van onrechtmatighe-
den op verzekeringstechnisch, financieel en administratief terrein.
Het CBP heeft geadviseerd om het toezicht op de verwerking van
persoonsgegevens specifiek op te nemen in het wetsvoorstel omdat
ook op de verwerking van persoonsgegevens door de zorg-
verzekeraars structureel toezicht noodzakelijk is.
Diagnose Behandeling CombinatiesNaar aanleiding van het vaststellen van het privacyraamwerk door
het ministerie van VWS en Zorgverzekeraars Nederland, is met het
CBP overeengekomen dat een vervolg zou worden gegeven aan de
privacybewuste invoering van de Diagnose Behandeling Combi-
naties (DBC’s). Daartoe is gewerkt aan het uitdenken van manieren
om informatie te delen tussen de verschillende partijen op een wijze
die de persoonlijke levenssfeer van de patiënt en het medisch
beroepsgeheim minder schaadt en een betere beveiliging van gege-
vens oplevert. Het CBP heeft een adviserende rol gespeeld voor
verschillende werkgroepen. Daarbij heeft het CBP ook zeer
kritisch gekeken naar de opzet van het DBC Informatiesysteem. Er
zijn met het ministerie van VWS en andere betrokken partijen
afspraken gemaakt over minimum waarborgen voor de komende
periode. Dit periodieke overleg tussen CBP en partijen zal in 2005
worden voorgezet. Het CBP zal als toezichthouder zeer alert blijven
op het nakomen van toezeggingen door partijen. (Zie ook het jaar-
verslag 2003, p. 38-39.)
Gedragsregels voor zorgverzekeraars Zorgverzekeraars voeren een aantal (wettelijke) taken uit. Het is van
belang dat deze taken efficiënt kunnen worden uitgevoerd. Hiertoe
hebben zorgverzekeraars informatie over hun verzekerden nodig.
Zorgverzekeraars Nederland, branchevereniging voor zorg-
verzekeraars, heeft in 2004 het initiatief genomen tot het opstellen
van gedragsregels voor het gebruik van (medische) gegevens door
zorgverzekeraars. Met deze gedragsregels geeft Zorgverzekeraars
Nederland invulling aan de verantwoordelijkheid van zorg-
verzekeraars voor een zorgvuldige omgang met persoonsgegevens.
Het op te stellen privacykader zal onder meer aandacht besteden
aan het gebruik dat zorgverzekeraars mogen maken van de vele
medische gegevens die zij in het kader van het declareren van zorg
ontvangen. Ook zullen de zorgverzekeraars regels opstellen voor de
wijze waarop een zorgverzekeraar bij het onderzoeken van fraude
door een instelling, hulpverlener of cliënt te werk mag gaan. De
verwachting is dat deze gedragsregels in de zomer van 2005 door
het CBP van een goedkeurende verklaring kunnen worden voorzien.
ICT in de zorgICT in de zorg is al jaren een actueel onderwerp. In 2004 zijn er
allerlei ontwikkelingen geweest richting een gedigitaliseerd infor-
matiebeheer en -verkeer in de zorg. Ziekenhuizen en huisartsen-
posten zijn bezig informatiesystemen op te zetten die tot doel
hebben in zowel intramurale als extramurale informatiebehoefte te
voorzien. Veel ICT-projecten hebben als uiteindelijk doel de basis te
vormen voor een landelijk Elektronisch Patiënten Dossier. Bij het
ontwerp van dergelijke systemen moet rekening gehouden worden
met het medisch beroepsgeheim. Belangrijk is dat informatie-
systemen op een veilige manier worden gebruikt en beheerd.
Goede methoden om tot authenticatie en autorisatie van gebruikers
te komen zijn daarvoor cruciaal.
Burgerservicenummer in de zorg Het burgerservicenummer zal naar alle waarschijnlijkheid per
1 januari 2006 ingevoerd worden in de zorg. Zorginstellingen en
zorgverzekeraars zullen verplicht zijn met dit persoonsnummer te
werken. Het gebruik van een uniek identificerend persoonsnummer
in de zorg brengt risico’s met zich mee. Grootschalige koppeling van
(patiënten-)gegevens wordt makkelijker en misbruik daardoor een-
voudiger. Het CBP heeft de minister van VWS geadviseerd over de
noodzakelijke waarborgen rond de invoering van het burgerservice-
nummer in de zorg. Noodzakelijke waarborgen zijn onder meer het
beperken van toegang tot personen die hierover mogen beschikken
in verband met hun taken en het treffen van voorzieningen om
ongeoorloofd nevengebruik tegen te gaan. Ook moet het toezicht
op de verwerking van het persoonsnummer in de zorg goed
geregeld zijn. Onder deze voorwaarden heeft het CBP zich akkoord
verklaard met de invoering van het algemene burgerservicenummer
in de zorgsector, een voorstel dat ingaat tegen eerdere afspraken
over een apart persoonsnummer voor de zorgsector (zie ook p. 33).
Gedragscode voor gezondheidsonderzoek In 2004 heeft het CBP de Code Goed Gedrag, een gedragscode
voor gezondheidsonderzoek van een goedkeurende verklaring kun-
nen voorzien. De oude code met dezelfde naam was aan herziening
toe en de ook de termijn van goedkeuring daarvan was inmiddels
activiteiten
< TERUG INHOUD VERDER >
43zorg en welzijn
zorg en welzijnverstreken. De goedgekeurde code biedt nadere invulling van regels
voor de omgang met patiëntgegevens in gezondheidsonderzoek. De
code heeft betrekking op die gegevens waarop een medische
geheimhoudingsplicht rust.
Onderzoek Landelijke RegistratiesHet CBP heeft zijn onderzoek naar de werking van landelijke zorg-
registraties in 2004 afgerond met een onderzoeksrapportage die in
april 2005 gepubliceerd is. Het verkennende onderzoek had als
kernvragen wat de patiënt weet van de registratie van zijn gegevens
in landelijke databanken, waarvoor deze registraties precies worden
gebruikt, en of de gegevens in de registraties tot de persoon van de
patiënt herleidbaar waren. Voor het verwerken van (indirect) her-
leidbare patiëntgegevens biedt de wet namelijk maar beperkte
mogelijkheden, gezien de gevoeligheid van de gegevens en het
voor artsen mede om die reden geldende beroepsgeheim. De vraag
was dus ook of voor de verwerking van medische persoons-
gegevens in deze registraties een rechtmatige grondslag bestond.
Uit het onderzoek bij vijf landelijke registraties heeft het CBP
de indruk gekregen dat de onderzochte landelijke registraties over
het algemeen redelijk tot goed omgaan met persoonsgegevens. Uit
het onderzoek bleek echter ook dat verbeteringen in bijna alle
gevallen mogelijk en noodzakelijk waren. Het CBP achtte deze ver-
beteringen met relatief eenvoudige ingrepen mogelijk zonder dat
daardoor de waarde van de gegevens voor onderzoek beperkt zou
worden. De voornaamste te nemen maatregel is het zoveel mogelijk
beperken van de herleidbaarheid van de gegevens tot individuele
patiënten. Een aantal aanbevelingen is inmiddels door de registraties
overgenomen.
Samenwerking: Operatie JongZes ministeries hebben hun krachten gebundeld in Operatie Jong
met als doel meer samenhang in het jeugdbeleid te brengen. De lei-
draad is dat het kind centraal dient te staan in het jeugdbeleid, en
niet de instellingen of de ministeries. Onderdeel van de nieuwe aan-
pak is het zogeheten doorlopende dossier, een volgsysteem met oog
op een preventieve signalering van een mogelijk problematische
levensloop. In het kader van Operatie Jong worden de mogelijk-
heden verkend voor een (landelijke) verwijsindex voor dossiers over
risicojongeren. Samenwerking tussen allerlei instanties is daarbij
nodig. In de praktijk blijkt dat samenwerking belemmerd wordt
door onvoldoende kennis bij de partijen over de mogelijkheden die
er zijn om gegevens in het kader van een samenwerkingsverband
uit te wisselen. Het CBP is bereid rond Operatie Jong te adviseren
en voorlichting te geven. In januari 2005 verscheen het informatie-
blad Informatie delen in samenwerkingsverbanden. De privacy-
regels die gelden bij samenwerkingsverbanden zijn hierin toe-
gelicht ■
NRC, 11-04
< TERUG INHOUD VERDER >
44 jaarverslag 2004
Reductie van administratieve lasten voor het bedrijfsleven is een van de toon-
aangevende doelstellingen van het kabinet. Het CBP onderschrijft die doelstelling
volledig, omdat het realiseren hiervan in het belang is van het bedrijfsleven terwijl als
neveneffect de maatschappelijke steun voor de bescherming van persoonsgegevens
daardoor groter kan worden. In december 2004 heeft het CBP in een brief aan de
minister van Justitie tien concrete voorstellen geformuleerd die leiden tot
administratieve lastenverlichting zonder dat aan de door de minister gestelde rand-
voorwaarde, een vermindering van het huidig beschermingsniveau van persoons-
gegevens, wordt getornd. VNO-NCW heeft de voorstellen onderschreven onder hand-
having van de eigen suggesties.
Voor het huidige beschermingsniveau zijn het inzagerecht voor burgers en de
informatieplicht voor bedrijven en organisaties die persoonsgegevens verwerken,
essentieel.
Handel en dienstenINZ
AG
EREC
HT
ENIN
FOR
MA
TIE
PLI
CH
TZ
IJN
ESSE
NT
IEEL
< TERUG INHOUD VERDER >
45handel en diensten
Het inzagerecht geeft individuen zicht op wat er in hun geval met
de eigen gegevens gebeurd is. De informatieplicht vormt daarom
een belangrijke waarborg in het evenwicht tussen het belang van
bedrijven om persoonsgegevens te verwerken (bijvoorbeeld voor
direct marketing of fraudebestrijding) en het belang van het indi-
vidu bij bescherming van en respect voor zijn persoonlijke levens-
sfeer. Inzagerecht en informatieplicht dragen bij aan het vertrouwen
tussen bedrijf en (potentiële) consumenten en vergen met het oog
daarop een rendabele investering.
Inzage bij DexiaNa het dalen van de beurskoersen eind jaren ‘90 zijn nogal wat
mensen die met geleend geld in aandelen hadden belegd, in finan-
ciële problemen geraakt. Een groot aantal personen heeft over
contracten voor zogeheten aandelenlease een geschil met Dexia
Bank Nederland NV. In rechtszaken wordt uitgevochten of bij de
verkoop van deze financiële producten de zorgplicht jegens deze
klanten voldoende is nagekomen. In het geding is de vraag of vol-
doende is beoordeeld of de potentiële klanten geen onverant-
woorde risico’s liepen bij het aangaan van een dergelijke overeen-
komst en of het bedrijf zijn klanten voldoende over de risico’s heeft
geïnformeerd. De klantdossiers bij Dexia zouden hierin meer inzicht
kunnen bieden. Daarom hebben veel betrokkenen op grond van de
WBP bij Dexia inzage gevraagd in de over hen vastgelegde gege-
vens.
De betrokken klanten stelden dat Dexia hen een afschrift zou
moeten geven van de documenten die Dexia van hen had. Dexia
stelde dat de bank zich mocht beperken tot een overzicht van
beschikbare informatie. Ook de wet gebruikt de term ‘overzicht’.
Het CBP heeft desgevraagd in deze kwestie een uitspraak gedaan
over de wijze waarop het recht op kennisneming in deze situatie
moest worden uitgelegd. Het standpunt van het CBP was dat in het
algemeen niet volstaan kon worden met een samenvatting van de
gegevens.
In zo’n samenvatting kan immers cruciale informatie verloren
gaan, terwijl detailgegevens, in de precieze context waarin deze zijn
verwerkt, bepalend kunnen zijn. Een betrokkene heeft daarom in
principe recht op volledige kennisneming van de over hem ver-
werkte gegevens. Dat betekent in de praktijk dat hij recht heeft op
een afschrift. Alleen zo kan een betrokkene opkomen voor zijn
rechten. Hierop kan echter een uitzondering worden gemaakt voor
zover dat noodzakelijk is om de rechten en vrijheden van – in dit
geval – Dexia te beschermen. Op een dergelijke uitzondering kan
niet op voorhand in alle lopende geschillen een beroep worden
gedaan.
Dexia heeft geen reden gezien zijn werkwijze in het licht van
de uitspraak van het CBP aan te passen. Uitspraken van de
geschillencommissie bankzaken en van civiele rechters zullen nu in
een oplossing moeten voorzien.
Adrescontrole door Interpay voor direct marketing Naar aanleiding van een klacht heeft het CBP onderzoek gedaan
naar de wijze waarop een charitatieve stichting en Interpay
BankGiroCentrale (Interpay) bleken samen te werken voor een vorm
van direct marketing. De stichting bleek het eigen adressenbestand
te actualiseren door het op systematische wijze opschonen en ac-
tualiseren van (potentiële) donateurgegevens. Interpay verstrekte
daartoe namens de banken naam- en adresgegevens van hun
cliënten op commerciële basis.
Het uitvoeren van een dergelijke adrescontrole is in strijd met
de gedragscode voor financiële instellingen, opgesteld door de sec-
tor en in februari 2003 goedgekeurd door het CBP. Interpay heeft
naar aanleiding van de uitspraak van het CBP in oktober 2004
besloten alle zogenaamde NAW-dienstverlening voor onbepaalde
tijd stop te zetten. De banksector heeft inmiddels laten weten met
deze commerciële adressencontrole te stoppen.
Kentekenregister en benzinepiratenHet fenomeen van automobilisten die zonder te betalen doorrijden
na het tanken – de zogenaamde benzinepiraten – heeft grote
publieke aandacht getrokken. Tankstationhouders vroegen om
toegang tot het kentekenregister om van benzinediefstal verdachte
doorrijders te kunnen achterhalen. De minister van Verkeer en
Waterstaat besloot dat deze personen tot betaling gemaand
konden worden door gerechtsdeurwaarders, die daartoe de
bevoegdheid kregen om de namen en adressen van benzinepiraten
op basis van het kentekennummer op te vragen bij de Rijksdienst
voor het wegverkeer.
De gekozen oplossing is echter strijdig met eerder verwoord
kabinetsbeleid. In 2001 heeft de toenmalige minister van Verkeer en
Waterstaat immers aangegeven dat er geen gegevens meer mogen
worden verstrekt uit publiekrechtelijke registers voor commerciële
doeleinden. Het incasseren van vorderingen is echter een commer-
ciële bedrijfsactiviteit en behoort niet tot de ambtelijke taak-
uitoefening van de gerechtsdeurwaarder.
Het CBP adviseerde de minister een minder ingrijpende op-
lossing te kiezen waarmee al ervaring is opgedaan. In de regio
Kennemerland geven gedupeerde pomphouders kentekens van
doorrijders door aan de politie. Deze beschouwt dit als een aangifte
van een strafbaar feit en verstrekt in het kader van slachtofferhulp
(op grond van de zogenaamde Wet Terwee) naam en adres-
gegevens van de doorrijder aan de pomphouder. De pomphouder
kan met deze gegevens de doorrijder schriftelijk verzoeken te be-
talen. Pas als dit niet gebeurt, onderneemt de politie actie en stelt
een strafrechtelijk onderzoek in. De praktijk wijst uit dat de aan-
geschreven doorrijders in veel gevallen alsnog betalen. Dit advies is
niet opgevolgd door de minister van Verkeer en Waterstaat, omdat
de voorgestelde aanpak van benzinedieven volgens de minister in
lijn is met het kabinetsbeleid, zowel op het gebied van de gege-
vensvertrekking als de ontlasting van het justitiële apparaat.
Chipkaart voor het openbaar vervoerOp 1 januari 2006 zullen volgens plan de eerste ‘echte’ chipkaarten
voor het openbaar vervoer worden uitgereikt. Binnen een jaar dient
dan de strippenkaart verleden tijd te zijn. Waar vervoersbedrijven
nu niet op personen herleidbaar inzicht hebben in het reisgedrag
van sommige reizigers (sterabonnementen, trajectkaarten) biedt de
chipkaart in principe de mogelijkheid om in detail vast te leggen
wie, waar en wanneer van het openbaar vervoer gebruik maken.
Het CBP heeft de afgelopen jaren daarom meermalen overlegd met
TransLink, de aanbesteder van de chipkaart, over een infrastructuur
die rekening houdt met het privacybelang van miljoenen reizigers.
De infrastructuur die nu wordt gebouwd, lijkt inderdaad zo te
worden ingericht dat deze de bescherming van persoonsgegevens
voldoende ondersteunt. Vervoersbedrijven beslissen echter zelf of
en op welke wijze zij van deze mogelijkheden gebruik zullen maken.
TransLink heeft het CBP voor de concretisering van een en ander
handel en diensten
< TERUG INHOUD VERDER >
46 jaarverslag 2004
activiteiten
doorverwezen naar de vervoersorganisaties zelf. In 2004 heeft het
CBP de NS, veruit de grootste vervoerder, herhaalde malen verzocht
om overleg over het gebruik dat het bedrijf gaat maken van de per-
soonsgegevens waarover zij straks dankzij de chipkaart kunnen
beschikken. De wettelijke normen schrijven immers voor dat niet
meer gegevens worden verwerkt dan noodzakelijk is voor het
beoogde doel: het betalen voor het gebruik van het openbaar
vervoer. Anoniem reizen moet een reële mogelijkheid blijven. Ook
dienen de gegevens goed beveiligd te worden. Begin 2005 heeft
overleg met de NS plaatsgevonden.
Zwarte lijst hypotheekfraudeZwarte lijsten als hulpmiddel bij de bestrijding van fraude en
criminaliteit stonden ook in 2004 in de belangstelling. De WBP laat
ruimte voor het gerechtvaardigd belang dat bedrijven, organisaties
en instellingen kunnen hebben bij het gebruik van zwarte lijsten.
Zonder de juiste waarborgen voor de betrokkenen zijn zwarte lijsten
echter verboden.
De centrale vraag is hoe het belang van de organisatie zich
verhoudt tot de consequenties van plaatsing op de lijst voor een
individu. Aanbieders van hypothecaire financieringen wilden in
2004 een zwarte lijst om fraude met hypotheken terug te dringen.
Vermoeden van fraude zou voldoende zijn voor plaatsing op de lijst.
Het CBP oordeelde dat zo’n handelwijze in strijd was met de WBP.
Het plaatsen van betrokkenen op een breed toegankelijke lijst op
basis van niet meer dan vermoedens is ongeoorloofd, zeker nu een
dergelijke vermelding voor de betrokkene verstrekkende gevolgen
kan hebben. Deze zal immers niet meer of slechts onder verzwaarde
condities een hypotheek kunnen afsluiten. De branche heeft naar
aanleiding van deze uitspraak ervoor gekozen zich aan te sluiten bij
het reeds bestaande en door het CBP in 2002 goedgekeurde
Incidentenwaarschuwingssysteem financiële instellingen ■
Volkskrant, 04-05
< TERUG INHOUD VERDER >
47telecom
De in telecommunicatiesystemen beschikbare informatie wordt steeds meer gebruikt
voor het leveren van allerlei diensten en voor opsporingsdoeleinden. Doordat er
steeds meer partijen in telecomketens samenwerken, raken de verantwoordelijkheden
van telecommunicatieaanbieders, dienstenaanbieders en opsporingsinstanties meer
en meer verstrengeld. Dit leidt bovendien tot ingewikkelder toezichtarrangementen.
Het is daarom lastiger geworden vast te stellen welke wettelijke bepalingen op welke
van de betrokken partijen van toepassing zijn, en welke toezichthouders daarop
controle uitoefenen. Het CBP tracht hierop een antwoord te vinden door onder meer
afspraken te maken met andere toezichthouders en voorlichting te geven aan de
sector.
Telecom STEE
DS
MEE
RPA
RT
IJEN
INT
ELEC
OM
KET
ENS
WER
KEN
SAM
EN
< TERUG INHOUD VERDER >
4848 jaarverslag 2004
NummeridentificatieMet een voorlichtingsprogramma beoogt het CBP helderheid te ver-
schaffen over de normering van belangrijke verwerkingen van per-
soonsgegevens in de telecommunicatiesector. Nummeridentificatie
vormde het eerste onderwerp. De schriftelijke consultatie van de
sector in het najaar van 2003 resulteerde mede dankzij de reacties
van de sector over interpretatie en toepassing van de bestaande
normering in een verduidelijking van de normen voor nummer-
identificatie. Het document Nummeridentificatie en de bescherming
van persoonsgegevens is gepubliceerd op de CBP-website en gaat
onder meer in op de toepasselijkheid van bepalingen rondom num-
meridentificatie voor verschillende diensten (ISDN, SMS, e-mail,
internettelefonie), de vraag wie de verantwoordelijke in de zin van
de WBP is, informatieverplichtingen en op de effectiviteit van
blokkeringen. De komende jaren zal het CBP ook andere onder-
werpen uitdiepen in directe samenspraak met belanghebbenden in
de sector.
Strafvordering in de telecommunicatie Op het raakvlak van strafvordering en telecommunicatie is de af-
gelopen tijd zeer veel wet- en regelgeving tot stand gekomen of
gewijzigd. Met het oog op de formulering van het (toezicht)beleid
zijn in 2004 eerst de opsporingsbevoegdheden op dit terrein geïn-
ventariseerd. Vervolgens is een beperkt aantal thema’s geselecteerd:
– de mogelijkheden en grenzen voor telecommunicatieaanbieders
om vrijwillig gegevens te bewaren en te verstrekken ten
behoeve van strafvordering;
– de verplichting om burgers die getapt zijn daarvan op de hoog-
te te stellen;
– de toenemende overlap van opsporingsbevoegdheden op tele-
communicatiegebied en het daarmee samenhangende risico
van oneigenlijk gebruik;
– de gevolgen van onrechtmatige verwerking van persoonsgege-
vens door telecommunicatieaanbieders voor hun mogelijkheden
om mee te werken aan strafvordering;
– de speciale positie van private (niet-openbare) telecommuni-
catienetwerken.
Over deze thema’s is in november 2004 een expertmeeting
gehouden waaraan deskundigen uit de telecommunicatiesector,
wetenschap en advocatuur deelnamen. De uitkomsten hiervan
vormen mede de basis voor het opstellen – in enkele gevallen
samen met Opta – van op de CBP-website te publiceren voor-
lichtingsteksten.
Spam Op 19 oktober 2004 hebben OPTA en CBP afspraken over samen-
werking ondertekend. De afspraken hebben betrekking op het
spamverbod, zoals dat sinds 19 mei 2004 in Nederland van kracht
is. Ongevraagde, in grote hoeveelheden verzonden e-mail, beter
bekend als spam, vormt een steeds groter maatschappelijk pro-
bleem. Spam is voor gebruikers hinderlijk en ongewenst, maar jaagt
Internet service providers – en daarmee hun klanten – op hoge
kosten door de enorme hoeveelheden spam die worden verzonden.
Volgens recente schattingen is wereldwijd inmiddels ongeveer drie-
kwart van alle verzonden e-mailberichten spam. Het internationale
karakter van spam en de niet zomaar te wijzigen communicatie-
protocollen die op internet gebruikt worden, maken het erg lastig
om spam tegen te gaan.
Samenwerking is daarom geboden. De beide toezichthouders
zullen elkaar informeren en bijstaan en beide colleges zullen zorg
dragen voor een consistente uitleg van begrippen uit de Wet
bescherming persoonsgegevens en de Telecommunicatiewet. Het
CBP zal zich primair richten op het toezicht op het verzamelen en
gebruiken van e-mailadressen. Mensen die last ondervinden van
ongevraagde commerciële e-mailtjes kunnen daarover klagen bij
OPTA via www.spamklacht.nl.
Samenwerking met OPTA De werkafspraken over spam vormden de opmaat voor de uit-
werking van een breder samenwerkingsprotocol tussen CBP en
OPTA. Deze samenwerking is ingegeven door het in werking treden
van een vernieuwde Telecommunicatiewet in 2004, ter implemen-
tatie van de Europese richtlijn 2002/58 betreffende privacy en
elektronische communicatie.
Hoofdstuk 11 van de Telecommunicatiewet gaat over de
bescherming van persoonsgegevens en de persoonlijke levenssfeer.
Behalve het verbod op spam zijn hierin onder andere geregeld:
nummeridentificatie, het gebruik van verkeers- en locatiegegevens,
het doorgeven van nummers ten behoeve van telefoontjes naar
alarmcentrales, het verbod op autodialers en spyware en de uit-
wisseling van persoonsgegevens voor telefoongidsen.
De regels voor de omgang met persoonsgegevens uit de Tele-
communicatiewet zijn niet uitputtend. Zij vormen een nadere uit-
werking van en soms een aanvulling op de normen uit de WBP.
OPTA ziet alleen toe op bepalingen uit de Telecommunicatiewet. De
bevoegdheid van het CBP is ruimer: zowel de WBP als de
Telecommunicatiewet als het om persoonsgegevens gaat. OPTA en
CBP achten het daarom wenselijk om ten aanzien van alle in hoofd-
stuk 11 van de Telecommunicatiewet genoemde onderwerpen
samen te gaan werken. Deze samenwerking zal worden vastgelegd
in een algemeen protocol, waarin ook de werkafspraken over spam
zullen worden opgenomen. Naar verwachting zal het samen-
werkingsprotocol in mei 2005 worden vastgesteld.
KPN informeert klanten over geheime nummerbeleid Koninklijke KPN NV (KPN) verkocht sinds geruime tijd de adresge-
gevens van abonnees met een geheim nummer aan anderen voor
direct marketing doeleinden. Het gezamenlijke onderzoek dat CBP
en OPTA in 2003 naar deze praktijk instelden, bracht aan het licht
dat KPN eerder klanten met een geheim nummer had toegezegd dit
niet te zullen doen. Na de verandering van het beleid zijn bestaande
klanten met een geheim nummer hierover niet geïnformeerd. In zijn
jaarverslag over 2003 sprak het CBP zijn teleurstelling uit over het
feit dat de kwestie zich begin 2004 nog voortsleepte, terwijl het in
de kern gaat om een wettelijke plicht van KPN om klanten actief te
informeren over hun wettelijke rechten.
Inmiddels heeft KPN door het actief toezenden van een bij-
sluiter aan abonnees met een geheim nummer en het aanpassen
van de privacybrochure voldaan aan de door het CBP gestelde
eisen. Met een bijsluiter bij de telefoonrekening heeft KPN de
bestaande klanten met een geheim nummer geïnformeerd en
gewezen op de mogelijkheid hiertegen verzet aan te tekenen. De
privacybrochure Hoe gaat KPN om met uw persoonsgegevens? is
eveneens aangepast. Alle nieuwe klanten van KPN en alle abonnees
die veranderen van een gids- en nummerinformatievermelding naar
een geheim nummer, zullen deze brochure ontvangen. Alle bestaan-
activiteiten
< TERUG INHOUD VERDER >
49telecom
telecomde en nieuwe abonnees van KPN zijn of worden zo geïnformeerd
over wat KPN met hun adresgegevens doet en hoe zij eventueel
kunnen voorkomen dat deze voor direct marketing worden
gebruikt.
Websites en privacyMet regelmaat krijgt het CBP vragen over internet en privacy. De
meeste daarvan gaan over de publicatie van persoonsgegevens op
websites:
– het plaatsen van gegevens op internet door werkgevers,
scholen, en verenigingen;
– registers, lijsten en gidsen op internet;
– foto’s op internet;
– genealogische informatie op internet.
Daarnaast is een aantal fundamentele vraagstukken nog niet
voldoende doordacht. Eind 2003 heeft het Europese Hof van Justitie
zich in het Lindqvist-arrest de Privacyrichtlijn 95/46/EG ook van
toepassing verklaard op internet. Bovendien bepaalde het hof dat
het publiceren van persoonsgegevens op internet niet zonder meer
neerkomt op het verstrekken van gegevens aan een land buiten de
EU.
Het CBP heeft in 2004 besloten om meer aandacht te geven
aan vraagstukken rondom de bescherming van persoonsgegevens
op internet. De focus zal daarbij in eerste instantie liggen op
publicatie van persoonsgegevens op websites. In 2004 is een eerste
aanzet geleverd door te kijken naar de vraag wanneer uitingen op
internet te beschouwen zijn als verwerkingen voor journalistieke
doeleinden; op zulke verwerkingen is de WBP weliswaar van toe-
passing, maar slechts in beperkte mate, wat onder meer inhoudt dat
het CBP er geen toezicht op houdt. Doel van het project is om in
2005 duidelijkheid te bieden over twee vragen: in welke gevallen en
in welke mate het CBP bevoegd is, en of het CBP dan als toezicht-
houder kan en wil optreden. Daarnaast zullen vuistregels worden
opgesteld voor de onderwerpen waarover het CBP veel vragen
ontvangt ■
Volkskrant, 04-05
< TERUG INHOUD VERDER >
50 jaarverslag 2004
Technologische ontwikkelingen zijn van grote invloed op de omgang met
persoonsgegevens en daarmee op de eerbiediging van de persoonlijke levenssfeer.
Het toenemende gebruik van internet, locatiegebonden telecommunicatiediensten,
elektronische bewaking van auteursrechten (Digital Rights Management) en
mogelijkheden voor identificatie op afstand van personen bieden tal van voordelen
voor bedrijven en consumenten, overheden en burgers. Deze ontwikkelingen roepen
evenzeer de vraag op naar de mate waarin de persoonlijke levenssfeer om wille van
die voordelen dreigt te worden aangetast. Tegelijkertijd biedt privacytechnologie
mogelijkheden om persoonsgegevens beter te beschermen.
TechnologieTEC
HN
OLO
GIE
ISV
AN
GR
OT
EIN
VLO
EDO
PD
EO
MG
AN
GM
ETP
ERSO
ON
SGEG
EVEN
S
51
technologie
technologie
< TERUG INHOUD VERDER >
Standaardisatie: ISO Privacy FrameworkStandaardisatie van privacytechnologieën speelt een belangrijke rol
bij het bevorderen van deze technologieën. Het CBP is daarom
voorstander van het ontwikkelen van wereldwijde standaards en
specificaties die betrekking hebben op de bescherming van per-
soonsgegevens. De bescherming van persoonsgegevens is echter
niet gebaat bij standaardisering die tot stand is gekomen zonder
voldoende betrokkenheid van (Europese) privacytoezichthouders.
Onder verantwoordelijkheid van de Internationale Organisatie voor
Standaardisatie (ISO) is in 2004 een voorstel gedaan voor een
wereldwijde privacystandaard en standaardisatie van privacytechno-
logieën, het Privacy Framework uit de ‘Draft International Standard
ISO/IEC 20886’.
Vanwege de onvolkomenheid hiervan riep de Internationale
werkgroep voor gegevensbescherming en telecommunicatie
(IWGDPT), waarvan het CBP deel uitmaakt, in 2004 alle nationale
privacytoezichthouders op bij de nationale standaardisatie- en nor-
malisatieorganisaties aan te dringen op een Framework dat in over-
eenstemming is met geldende privacywet- en regelgeving. Het CBP
heeft vervolgens bij het Nederlands Normalisatie-instituut (NEN)
aangedrongen op zorgvuldige bespreking van het Privacy
Framework en gewezen op de noodzaak van overleg en afstemming
voordat er op korte termijn mee ingestemd wordt. In september
2004 tijdens de internationale privacyconferentie in Wroclaw heb-
ben de toezichthouders zich uitgesproken tegen het voorstel. Eind
2004 is het voorstel teruggetrokken, nadat ISSEA en ISTPA, interna-
tionale associaties voor standaardisatie, hadden vastgesteld dat het
voorstel binnen ISO en de privacywereld controversieel was.
RFID: Radio Frequency Identification In 2004 heeft het CBP zich vooral gericht op het leveren van bijdra-
gen aan het reglementeren van het intensiever gebruik van Radio
Frequency Identification (RFID). Dit is een technologie waarmee
allerhande voorwerpen (van voertuigen, dieren en consumenten-
goederen tot bankbiljetten, paspoorten of toegangspasjes) voorzien
kunnen worden van kleine, uitleesbare zogenaamde tags (compu-
terchips). Wat de chip aan informatie geeft over het voorwerp en
wat de opvrager van de informatie (een RFID-lezer met bijbehorend
informatiesysteem) vervolgens met die gegevens kan doen, hangt er
van af.
De technologie maakt het in ieder geval mogelijk voorwerpen
per stuk op een goedkope wijze te voorzien van een uniek, gestan-
daardiseerd individueel nummer dat moeiteloos en vrijelijk uitgele-
zen kan worden. Dit kan enorme voordelen opleveren in logistieke
processen. Of een pallet, bijvoorbeeld, nog steeds alle artikelen
bevat die de verzender er op heeft geplaatst, kan automatisch door
de ontvanger bepaald worden. De technologie kan ook gebruikt
worden voor verbeterde toegangscontrole en het garanderen van
de herkomst van bijvoorbeeld medicijnen, geld of paspoorten.
Grootschalige toepassingen liggen in het verschiet omdat miniaturi-
sering en standaardisering de technische en economische belemme-
ringen voor een brede inzet van RFID zullen wegnemen. Allerlei
consumententoepassingen zijn denkbaar, waarvan sommige ook een
potentiële bedreiging van de privacy van de burger vormen. Als
bedrijven en andere organisaties ongemerkt informatie kunnen ver-
zamelen over voorwerpen die in verband kunnen worden gebracht
met een persoon, kan dat de weg openen naar grootschalige profi-
lering, ongelijke behandeling of naar het monitoren van individuen
en hun gedrag.
Alhoewel gebruik van RFID-technologie al gangbaar is voor toe-
gangscontrole en in de logistieke keten, zal het nog enige tijd duren
voordat het merendeel van de consumentenartikelen per item voor-
zien is van een tag waarin een unieke code is opgeslagen. Er lijkt
dus nog voldoende tijd te zijn om te onderzoeken of technische
aanvullingen ontwikkeld kunnen worden waarmee de voordelen van
de technologie behouden blijven, terwijl de nadelen kunnen worden
voorkomen of beperkt.
De ontwikkelingen gaan echter snel. Met het oog hierop heeft
het CBP in 2004 bijgedragen aan een nadere interpretatie van de
privacyregels bij toepassing van RFID. Het CBP neemt deel aan de
RFID-werkgroep van ECP.NL die onderzoekt in welke mate er nade-
re afspraken nodig zijn om het gebruik van RFID-tags in goede
banen te leiden. Resultaten van de werkgroep kunnen een aanzet
vormen voor zelfregulering in sectoren die gebruik willen maken
van de technologie. Het CBP heeft ook bijgedragen aan rapportages
in opdracht van de Artikel 29-werkgroep, het samenwerkings-
verband van de privacytoezichthouders in de EU-lidstaten. Daarbij
zijn ook voorstellen gedaan voor technische privacywaarborgen. De
rapportages zijn een richtsnoer voor verantwoorde toepassing van
RFID.
BiometrieDe toenemende behoefte aan identificatiemogelijkheden heeft ook
gezorgd voor een groeiende interesse voor biometrische applicaties.
Op de plannen voor één visa-informatiesysteem voor de hele
Europese Unie met gebruik van biometrische gegevens heeft de
Artikel 29-werkgroep in augustus 2004 gereageerd met Opinie
7/2004. De werkgroep wijst erop dat de verwerking van bio-
metrische gegevens steeds een zeer nauwkeurige rechtmatigheids-
analyse vereist omdat de gevaren van misbruik van deze gegevens
groot zijn. Er zijn verder grote reserves bij oplossingen die leiden tot
een routinematige en grootschalige opslag van biometrische gege-
vens. De werkgroep geeft nadrukkelijk aan betrokken te willen zijn
bij de verdere vormgeving van het visa-informatiesysteem.
Ook heeft het CBP bijgedragen aan het rapport over biometrie
van de adviescommissie T-PD bij de Raad van Europa. Het Verdrag
tot bescherming van personen met betrekking tot de geauto-
matiseerde verwerking van persoonsgegevens – in 1981 tot stand
gekomen in de Raad van Europa – was het eerste bindende inter-
nationale instrument op het gebied van gegevensbescherming. In
het rapport van de adviescommissie worden behalve de implicaties
van de verdragsprincipes voor biometrische toepassingen, ook de
sterke en zwakke kanten van biometrie behandeld. Ook worden cri-
teria voor het ontwerpen van de architectuur van biometrische
systemen geformuleerd. Het rapport onderstreept het belang van
maatregelen voor beveiliging en beheer alsook van dataminima-
lisatie en van maatregelen die doelbinding bevorderen. Voor burgers
is vooral van belang dat zij worden geïnformeerd opdat zij even-
tueel hun rechten kunnen uitoefenen.
Het CBP heeft overigens al in 1999, in de studie At face value,
aanbevelingen gedaan voor een goede omgang met biometrische
gegevens. Daarbij is er in het bijzonder op gewezen dat zowel
opslag van de data als verificatieprocessen gedecentraliseerd plaats
zouden moeten vinden ■
< TERUG INHOUD VERDER >
52 jaarverslag 2004
InternationaalOp de Voorjaarsconferentie van Europese privacytoezichthouders in Rotterdam,
georganiseerd door het CBP, werd onder de titel ‘the navigation of privacy’ een leven-
dige discussie gevoerd over het meest geschikte toezichtarrangement voor de
bescherming van de persoonlijke levenssfeer. Hoe kan de bescherming van privacy zo
goed mogelijk gewaarborgd worden in een veranderende samenleving en welke rollen
spelen toezichthouders daarbij? Het tweede thema was het toegenomen belang van
bescherming van persoonsgegevens in de sfeer van de Europese samenwerking door
politie en justitie.
De conferentie werd op donderdag 22 april officieel geopend door de minister van
Justitie, J.P.H. Donner. In zijn speech riep de minister op tot verdere samenwerking
bij het toezicht op de rechtshandhaving in Europa binnen de zogenaamde derde
pijler, het beleidsterrein van justitie en binnenlandse zaken. Door het ontbreken van
een geharmoniseerd stelsel van wetten en regels op dit terrein en het bestaan van
verschillende toezichthoudende autoriteiten, is het essentieel dat er goed wordt
samengewerkt. Besloten werd een planninggroep in te stellen bestaande uit de
voorzitters van de diverse internationale toezichthouders om deze samenwerking te
starten.
RO
TT
ERD
AM
VO
RM
DE
HET
TO
NEE
LV
OO
RD
EV
OO
RJA
AR
SCO
NFE
REN
TIE
20
04
53
internationaal
internationaal
< TERUG INHOUD VERDER >
In een speciaal programma voorafgaand aan de voorjaars-
conferentie brachten de Europese privacytoezichthouders een
bezoek aan Europol. Bij Europol stond het spanningsveld tussen de
opsporing van georganiseerde misdaad en de bescherming van pri-
vacy centraal. Na afloop van de conferentie was een werkbezoek
georganiseerd in samenwerking met het project Veilig Rotterdam.
Wroclaw: gegevensbescherming in de derde pijlerOp de voorjaarsconferentie in Rotterdam is ook besloten tot het
creëren van een platform voor discussie, dat immers voor de derde
pijler ontbreekt. Tijdens de internationale najaarsconferentie van
privacytoezichthouders in september 2004 in Wroclaw (Polen) heb-
ben de toezichthouders van de Europese lidstaten de Europese Raad
en de Europese Commissie opgeroepen tot de vorming van een
adviesorgaan op het terrein van de samenwerking van politie en
justitie in Europa. De versterking van justitiële en politiële samen-
werking maakt het noodzakelijk deze advisering te verankeren in de
structuur van de derde pijler.
Het CBP heeft de resolutie vervolgens onder de aandacht
gebracht van de Europese Commissie, het Europese Parlement en
tevens -in het kader van het Nederlandse voorzitterschap van de
Europese Unie- van de Nederlandse ministers van Justitie en van
Binnenlandse Zaken en Koninkrijksrelaties. De Europese privacy-
toezichthouders hebben inmiddels hun samenwerking bij advisering
en toezicht op het terrein van politie en justitie geïntensiveerd.
Toezichthouders in de derde pijlerDe nationale toezichthouders in de Europese Unie hebben een
gezamenlijke verantwoordelijkheid voor het toezicht op de instel-
lingen waarin de nationale politie- en justitieautoriteiten samen-
werken in Europa (o.a. Europol en Schengen). Dit toezicht wordt
uitgeoefend door de zogenaamde Gemeenschappelijke Controle-
autoriteiten en -organen (GCA’s). Gezien het belang van een
krachtiger advisering in de derde pijler zijn de toezichthoudende
organen voor Schengen, Europol, Douane en Eurojust in 2004 voor
het eerst gezamenlijk bijeengekomen. Het betrof onder meer het
opstellen van een gezamenlijke opinie op verzoek van het Britse
Hogerhuis. De opinie gaat in op onderzoeksvragen van een House
of Lords-commissie over terrorismebestrijding in de Europese Unie
en de bescherming van de persoonlijke levenssfeer.
De GCA’s pleiten voor verbetering van de bescherming van de
fundamentele rechten van het individu ten aanzien van zijn per-
soonsgegevens en van het toezicht daarop. De bestaande inter-
nationale wet- en regelgeving is daarvoor niet voldoende. Gelet op
de toenemende schaalvergroting van de gegevensverwerkingen,
waarin vaak gegevens van onverdachte personen worden
opgenomen, is er behoefte aan nieuwe specifieke regels voor de
politiesector die een voldoende bescherming garanderen.
Ontwikkeling nieuw SchengenInformatiesysteemHet CBP levert sinds januari 2004 de voorzitter van de GCA
Schengen. Tijdens het voorzitterschap van Nederland van de
Europese Unie in de tweede helft van 2004 heeft het CBP bij het
kabinet aangedrongen op politieke en juridische besluitvorming over
het Schengen Informatiesysteem. Dat systeem is bedoeld om de
controle aan de buitengrenzen van de EU te versterken. Onder
meer de toetreding van nieuwe lidstaten tot de Europese Unie
maakt vernieuwing van dat systeem nodig. Ook kunnen in het
systeem geen biometrische kenmerken worden opgenomen. In
september 2004 heeft de GCA Schengen een opinie uitgebracht
over de ontwikkeling van het nieuwe Schengen Informatiesysteem
(SIS II).
De GCA vraagt met nadruk aandacht voor de bescherming van
persoonsgegevens bij het ontwerpen van SIS II en roept de
Europese Raad op meer duidelijkheid te geven over het doel en de
functies van het te bouwen systeem. Alleen dan kan er ook worden
voorzien in een toereikend stelsel van waarborgen voor de verwer-
king van persoonsgegevens.
Onderzoek in het Schengen InformatiesysteemIn 2004 heeft de GCA Schengen aan de nationale controle-
autoriteiten van de lidstaten die aangesloten zijn op het SIS, ver-
zocht een onderzoek in te stellen naar de werking van artikel 96
van de Schengen Uitvoeringsovereenkomst. Dat artikel bepaalt
onder welke voorwaarden vreemdelingen in het SIS kunnen worden
gesignaleerd.
Het Korps Landelijke Politiediensten en de Immigratie- en
Naturalisatiedienst – gezamenlijk de nationale verantwoordelijke
voor het Schengen Informatiesysteem – zijn door het CBP als natio-
nale controleautoriteit voor Nederland verzocht hun medewerking
te verlenen aan het onderzoek. Het CBP heeft eind juni 2004 en
eind december 2004 gerapporteerd aan de GCA Schengen. Ten
aanzien van een aantal signaleringen zijn bij het CBP vragen gere-
zen. Het CBP zal die signaleringen nader onderzoeken.
Verkeersgegevens telecommunicatieDe al jaren in Europa spelende discussie over een bewaarplicht voor
verkeersgegevens ten behoeve van de opsporing, kreeg een nieuwe
wending door de terroristische aanslagen in Madrid. Naar aanleiding
hiervan nam de Europese Raad op 25 maart 2004 de Verklaring
betreffende de bestrijding van terrorisme aan. Daarin werd op-
geroepen om voorstellen te doen voor het komen tot een bewaar-
plicht voor verkeersgegevens door telecommunicatieaanbieders.
Een voorstel van vier EU-lidstaten was vervolgens aanleiding voor
een consultatiedocument van de Europese Commissie.
Het CBP heeft hierop gereageerd en leverde een substantiële
bijdrage aan een advies van de Artikel 29-werkgroep over de
bewaarplicht, dat ook werd aangeboden aan de betrokken vaste
commissies van de Eerste en Tweede Kamer. Voortbouwend op eer-
dere opinies sinds de jaren ’90 en uitspraken van het Europese Hof
van Justitie was de werkgroep van oordeel dat de voorstellen voor
een bewaarplicht voor alle verkeersgegevens niet voldoen aan de
vereisten van artikel 8 van het Europees Verdrag voor de Rechten
van de Mens (EVRM): voor het langdurig bewaren van alle ver-
keersgegevens van onverdachte personen is geen noodzaak aan-
getoond. Een dergelijke systematische opslag is disproportioneel.
PassagiersgegevensDe uitkomst van de onderhandelingen tussen de Europese
Commissie en de Verenigde Staten over de verstrekking van pas-
sagiersgegevens aan de VS bleef naar het oordeel van de Artikel
29-werkgroep op een aantal punten onder de maat. De werkgroep
54
Jaarverslag 2001 - in vogelvluchtactiviteiten
jaarverslag 2004
< TERUG INHOUD VERDER >
reageerde in haar Opinie 2/2004 op een verzoek van de Europese
Commissie om beoordeling van het bereikte compromis met de
Verenigde Staten. Desondanks heeft de Europese Commissie een
positieve beslissing genomen over het beschermingsniveau in de VS.
Het Europese Parlement bracht de kwestie voor het Europese Hof.
De Europese Commissie is van mening dat er voldoende juridi-
sche basis bestaat voor doorgifte van passagiersgegevens naar de
Verenigde Staten en acht het niveau van bescherming daar vol-
doende. Ondanks de geboekte vooruitgang in de onderhandelingen
– bijvoorbeeld het terugdringen van de bewaartermijn tot 3,5 jaar –
was de Artikel 29-werkgroep van oordeel dat de voorgestelde rege-
ling nog onvoldoende in lijn is met de Europese normen. Daarbij
stelt de werkgroep dat de bilaterale overeenkomst die de toegang
regelt van de Amerikaanse autoriteiten tot de reserveringssystemen
van de luchtvaartmaatschappijen, in overeenstemming zal moeten
zijn met artikel 8 EVRM en artikel 13 van de Europese privacyricht-
lijn.
De Artikel 29-werkgroep heeft zich vervolgens geconcentreerd
op een goede implementatie van de genomen besluiten. Daartoe
werd een model gemaakt voor de informatievoorziening aan passa-
giers. Met de luchtvaartmaatschappijen is overleg gevoerd over de
informatievoorziening aan passagiers. Ook heeft de werkgroep aan-
gedrongen op een zo spoedig mogelijke overgang van pull naar
push, dat wil zeggen van het openstellen van de reserverings-
systemen voor de Amerikaanse autoriteiten zodat deze de benodig-
de gegevens kunnen verzamelen, naar de actieve aanlevering van
de noodzakelijke gegevens door de maatschappijen zelf.
BCR: doorgifte van gegevens binnen multi-nationalsDe evaluatie van de Europese privacyrichtlijn 95/46/EG door de
Europese Commissie in 2003 heeft geresulteerd in een werkpro-
gramma ter verdere verbetering van de geharmoniseerde implemen-
tatie van de richtlijn. Hierin speelt de Artikel 29-werkgroep een cen-
trale rol. Een belangrijk onderdeel daarvan is een vereenvoudiging
van de regels voor doorgifte van persoonsgegevens naar landen
buiten Europa, met name voor multinationale bedrijven. Hiertoe
heeft het CBP in 2004 samen met andere toezichthouders gewerkt
aan de introductie van zogenaamde Binding Corporate Rules
(BCRs), bindende gedragscodes voor de omgang met persoonsge-
gevens binnen multinationale concerns.
Op 24 november 2004 organiseerde het CBP namens de werk-
groep hierover in Den Haag een publieke hoorzitting. Enkele multi-
nationals hadden BCRs opgesteld na het verschijnen van de opinie
van de Artikel 29-werkgroep in juni 2003. Tijdens de hoorzitting
werden de ervaringen van deze bedrijven besproken en werden best
practices uitgewisseld. Ook werd in kaart gebracht wat noodzakelijk
is om BCRs tot een Europees succes te maken.
Het bedrijfsleven gaf aan dat er vooral behoefte is aan een
eenvoudige, snelle en duidelijke procedure om in de verschillende
landen van de Europese Unie goedkeuring te krijgen van BCRs. Op
grond van één BCR zouden dan vanuit de hele EU gegevens kun-
nen worden doorgeven naar ‘derde landen’. In Nederland is de
goedkeuring van enkele BCRs in de afrondingsfase. De Artikel 29-
werkgroep werkt aan een samenwerkingsprocedure voor de behan-
deling van BCRs en heeft inmiddels een checklist opgesteld voor
bedrijven in de EU die BCRs willen opstellen. BCRs mogen geen
papieren tijger zijn, maar dienen te leiden tot een praktische, daad-
werkelijke naleving van regels voor de bescherming van persoons-
gegevens in de organisatie.
Bij de hoorzitting waren 30 vertegenwoordigers van het
bedrijfsleven aanwezig, evenals een consumentenorganisatie. De
Artikel 29-werkgroep komt met deze eerste publieke hoorzitting
ook tegemoet aan het verzoek om meer openheid, transparantie en
dialoog over de activiteiten van de werkgroep. De hoorzitting werd
afgesloten met het uitspreken van de verwachting dat in 2005 ver-
schillende nationale toezichthouders gezamenlijk met een aantal
BCRs kunnen instemmen.
Melding en gezamenlijke handhavingDe Artkel 29-werkgroep streeft ook naar een vereenvoudiging van
de meldingen van verwerkingen van persoonsgegevens bij de natio-
nale toezichthouders. De werkgroep heeft een document opgesteld
waarin de nationale best practices staan ten aanzien van de mel-
ding, de vrijstelling van melding en het interne toezicht door een
functionaris voor de gegevensbescherming. Verder bevat het aanbe-
velingen voor een goed en eenvoudig nationaal meldingssysteem en
een eerste aanzet voor een vereenvoudigd systeem van melding
voor bedrijven met meerdere vestigingen in de EU. Deze voorstellen
worden in 2005 verder uitgewerkt.
De werkgroep ziet ook de noodzaak van handhaving als onder-
deel van het toezichtarrangement. In 2004 zijn in de Complaints
workshop best practices op het gebied van handhaving besproken.
De Artikel 29-werkgroep kondigde publiekelijk aan dat in 2005 de
terreinen zullen worden geïnventariseerd die geschikt zijn voor een
gecoördineerde en gezamenlijke onderzoeks- en handhavingsactie.
Spam De Artikel 29-werkgroep heeft ook een opinie aangenomen over
het verbod in de Richtlijn Elektronische Communicatie (2002/58) op
het versturen van ongevraagde commerciële berichten. De Europese
toezichthouders op dit verbod werken samen in het zogenaamde
Contact Network of Spam Authorities, een forum voor informatie-
uitwisseling en faciliteren van samenwerking bij handhaving van het
spamverbod in de EU. Hiertoe is ook een samenwerkings-
overeenkomst opgesteld. (Zie voor meer informatie over spam en
nationale samenwerking bij het tegengaan van spam p. 48.)
BiometrieVoornemens om te komen tot een EU-breed visa-informatiesysteem
hebben er toe geleid dat de Artikel 29-werkgroep in augustus 2004
de opinie 7/2004 heeft geformuleerd over de aandachtspunten die
gelden rond de opname van biometrische elementen in verblijfsver-
gunningen en visa. In die opinie wordt gewezen op het gevaar van
misbruik van biometrische gegevens. Ook de adviescommissie bij de
Raad van Europa voor kwesties rond de bescherming van persoons-
gegevens (bekend als T-PD) heeft een opinie geformuleerd over de
betekenis van de principes voor de bescherming van data voor
toepassing van biometrie. (Zie voor meer informatie p. 51.) ■
55
internationaal
interationaal
< TERUG INHOUD VERDER >
Volkskrant, 04-05
56 jaarverslag 2004
< TERUG INHOUD VERDER >
Met de benoeming van Jacob Kohnstamm per augustus 2004 tot voorzitter van
het CBP is een nieuwe periode voor het CBP aangebroken. De benoeming valt
samen met een natuurlijk moment – drie jaar na de invoering van de WBP en
met een evaluatie in 2006 in het verschiet – voor reflexie op de werking van
de wet en de koers van de toezichthouder.
De nieuwe voorzitter heeft tijdens zijn inwerkperiode de tijd genomen om
met velen binnen en buiten de organisatie van gedachten te wisselen over de
rol en taak van het CBP. De organisatie is een spiegel voorgehouden over het
eigen functioneren. Bezinning op de rol en taakopvatting van het college, het
ambtelijk secretariaat en de onderlinge werkwijze is inmiddels uitgangspunt
voor aanpassingen die in 2005 verder vorm zullen krijgen.
Organisatie
< TERUG INHOUD VERDER >
57organisatie
Het CBP blijft daardoor welbewust een organisatie in verandering. College en directeurrealiseren zich terdege dat dit voor de medewerkers niet alleen een uitdaging maar ookeen verhoging van de belasting betekent. Het HRM-beleid houdt daarom de volle aan-dacht van de diverse verantwoordelijken De kwaliteit van het CBP is immers in hogemate afhankelijk van inzet en kwaliteit van de medewerkers.
Personeel en formatie
In 2004 is de nieuwe afdeling onderzoek van start gegaan en zijn de functieprofielengeactualiseerd en afgerond. Hiermee is de in het formatieplan 2003 ‘In beweging voortoezicht en handhaving’ gepresenteerde structuur ingevoerd. Het aantal beoogde for-matieplaatsen is echter vanwege het beschikbare meerjarige budget niet haalbaar gebleken. Bovendien is in 2004 omwille van een zorgvuldige opbouw en aanpassing vande organisatie de personele ontwikkeling en de uitbreiding met fte’s vertraagd.Daardoor is niet volledig gebruik gemaakt van de beschikbare financiële ruimte.
2002 2003 2004
m v m v m v
In dienst 6 9 5 6 2 3
Uit dienst 5 2 2 0 2 1
Bezetting einde jaar m / v 23 37 26 43 26 45
Bezetting einde jaar totaal 60 69 71
Mobiliteit 23% 3% 4%
In tijdelijke dienst 11 5 6 5 3
Fulltime in dienst 49 21 37 21 42
Gemiddelde bezetting (fte’s) 49,6 57,9 63,3
Bezetting einde jaar totaal (fte’s) 54,3 61,6 64,9
FORMATIE 2002-2004
2002 2003 2004
Fte’s Fte’s Fte’s
Uitzendkrachten 1,25 0,60 0,12
Stagiaires 0,75 0,80 1,80
OVERZICHT MEDEWERKERS BUITEN FORMATIE 2002-2004
< TERUG INHOUD VERDER >
58
2001 2002 2003 2004 progn.*
Wetgevingsadviezen 43 26 25 34 30
Gedragscodes 1 5 3 5 10Reglement WPR (tot 1 sept 2001) en WpolR 50 40 30 23 25
WBP-meldingen vanaf 1 sept 2001 591 7.863 13.083 4.028 8.000
Voorafgaand onderzoek 12 190 257 174 200Voorlichtingsverzoeken 1.204 686 725 821 550Internationale zaken 13 33 46 66 40Bijzondere gegevens 0 0 1 3 2
Gegevensverkeer derde landen 0 10 12 21 30
Bemiddeling en klachten 290 282 316 409 300
Ambtshalve onderzoek 24 11 73 56 70
Boete n.v.t. 0 3 35 25
Dwangsom n.v.t 0 1 3 5
Bestuursdwang n.v.t. 1 0 1 1
Beroep n.v.t. 1 2 2 4
Bezwaar 0 4 2 19 8
Wet openbaarheid bestuur 0 19 0 11 4
Publieksvoorlichting (telefonisch spreekuur) 4.979 5.715 5.330 3.426 5.000
Vragen WBP-melding (telefonisch spreekuur) 0 2.500 2.070 1.440 1.500
Publieksvoorlichting (via e-mail) 291 1.890 2.045 1.957 2.000
Klachten over het CBP 0 9 5 6 10
OVERZICHT VAN DE PRODUCTIE 2001–2004
* De prognose 2004 is opgenomen in het bestedingsplan 2004 en de meerjarenraming 2005-2008.
jaarverslag 2004
Ziekteverzuim
Het ziekteverzuim is in 2004 opnieuw iets toegenomen. In het Sociaal-Medisch-Teamwordt periodiek afgestemd met de bedrijfsarts en de personeelsfunctionaris en zonodiggezocht naar passende oplossingen. Een aandachtspunt blijft de werkdruk en de werk-drukbeleving. De koers die het CBP hier kiest, is een duidelijker prioritering en een verscherpt selectiebeleid op basis van beleidsregels als het gaat om verzoeken om advi-sering, klachtbehandeling en bemiddeling.
2002 2003 2004
Totaal ziekteverzuim excl. zwangerschap 6,27% 6,35% 6,5%
Waarvan langdurig verzuim 0 2,74% 0
Ouderschapsverlof 3 3 4
Verlof zwangerschap/bevalling 0 2 3
Kinderopvangplaatsen 4 4 8
Opleiding (euro’s x 1000) 99 84 145
Opleiding in % t.o.v. personele budget 3,47% 2,53% 4,00%
ZIEKTEVERZUIM EN OVERIGE PERSONELE INFORMATIE 2002–2004
Productie
Door de arbeidsintensieve produktie van zaken en ondanks de tweedelijnspositie is dewerkdruk onaanvaardbaar hoog opgelopen.
< TERUG INHOUD VERDER >
59organisatie
Voorlichting, bemiddeling en klachtbehandeling
Om de capaciteit die voor voorlichting, bemiddeling en klachtbehandeling wordt ingezette beheersen, wordt nadrukkelijk beleid gevoerd op het in behandeling nemen van der-gelijke verzoeken. De positionering van het CBP als tweedelijnsorganisatie komt ondermeer tot uitdrukking door een selectiebeleid ten aanzien van verzoeken van individueleorganisaties en individuele burgers. De criteria voor het selectiebeleid zijn vastgelegd inDe uitgangspunten en beleidsregels werkwijze CBP, gepubliceerd in de Staatscourant(Staatscourant nr. 190, van 4 oktober 2004) en op de website van het CBP. Een belangrijkcriterium is of het onderwerp waarover specifieke voorlichting wordt gevraagd in hetjaarplan prioriteit heeft. Indien een verzoek niet aan de criteria voldoet voor specifiekebeantwoording, wordt het verzoek met redenen omkleed als niet-opportuun afgewezenof door het frontoffice beantwoord met behulp van algemene informatie.
Ambtshalve onderzoek
Het aantal onderzoeken dat het CBP heeft kunnen instellen, is achtergebleven bij degewenste verwachtingen. Door de toename van de wetgevingsadvisering, de verzoekenom voorlichting, en de verzoeken om bemiddeling en klachtbehandeling, is het aantalnoodzakelijk geachte onderzoeken niet gehaald.
Toelichting op de productie
Wetgevingsadvies
Het aantal wetgevingsadviezen, een arbeidsintensief proces, is hoger dan verwacht. Hetbetreft vooral nieuwe wetsvoorstellen in het kader van veiligheid en terrorisme-bestrijding en de wijzigingen in het zorgstelsel.
WBP-meldingen
Het aantal nieuwe WBP-meldingen is lager dan verwacht. Dit kan enerzijds betekenendat de inhaalslag, nodig vanwege de invoering van de WBP, is voltooid. Anderzijds kanhet zijn dat de meldingsverplichting in bepaalde sectoren minder goed wordt nageleefd.Het CBP kiest op basis van een inschatting van de grootste nalevingrisico’s sectoren uitwaarbinnen steekproefsgewijs verantwoordelijken worden geselecteerd voor een na-levingonderzoek (zie onderdeel ambtshalve onderzoek en boete).
Wijze van melden 2002 2003 2004
Meldingsformulier 19% 24% 23%
Meldingsprogramma op diskette 47% 30% 25%
Meldingsprogramma via internet/email 33% 47% 52%
WIJZE VAN MELDEN ONDER MELDINGSBESLUIT WBP 2002–2004
2002 2003 2004
Meldingen WBP in openbaar register 8.454 21.537 25.565
Aangest. functionarissen voor de gegevensbesch. 97 148 170
Ingezonden gem. GBA-regelingen (WBP-aanpassing) 208 350 481
MELDINGEN WBP/FUNCTIONARISSEN/GBA-REGELINGEN 2002–2004
60 jaarverslag 2004
< TERUG INHOUD VERDER >
Taken van het CBP
• WetgevingsadviezenOp grond van artikel 51, tweede lid WBP dient het CBP om
advies te worden gevraagd over voorstellen van wet en
ontwerpen van algemene maatregelen van bestuur die geheel
of in belangrijke mate betrekking hebben op de verwerking van
persoonsgegevens. Dit vloeit direct voort uit Richtlijn 95/46/EG
en heeft ook betrekking op voorstellen die belangrijke
gevolgen hebben voor de verwerking van persoonsgegevens.
De uitvoering van deze adviestaak valt onder de bepalingen
van de Kaderwet adviescolleges (Stb. 1996, 378). Dat neemt
niet weg dat het CBP zich ook als toezichthouder kan wenden
tot de regering, al dan niet onder toezending van een kopie
aan een of beide Kamers van de Staten-Generaal. Ook maakt
het CBP wel gebruik van de mogelijkheid om te reageren op bij
de Tweede Kamer ingediende wetsvoorstellen. Ten slotte komt
het regelmatig voor dat vaste commissies uit de Tweede of
de Eerste Kamer het CBP uitnodigen om te reageren op aan-
hangige voorstellen.
• GedragscodesOp grond van artikel 25 WBP is het CBP belast met de toetsing
van gedragscodes die uitvoering geven aan de wettelijke
bepalingen. In de WBP is dit een belangrijk instrument om zelf-
regulering te stimuleren en de kwaliteit daarvan te waarborgen.
De goedkeuring van een gedragscode is meestal de afsluiting
van een intensief gezamenlijk traject, waarin bewustwording en
normering in een sector hand in hand gaan. In 2002 heeft het
CBP daartoe een handleiding ontwikkeld. De WBP voorziet
tevens in de mogelijkheid van bezwaar en beroep op de
bestuursrechter.
• ReglementenDe WBP voorziet, anders dan de WPR, niet meer in de
verplichting om voor bepaalde verwerkingen van persoons-
gegevens een reglement op te stellen. De opstelling van een
reglement kan echter wel een goed middel zijn om de
gegevensverwerking binnen organisaties te sturen of trans-
parant te maken. Verzoeken om zulke reglementen te toetsen,
neemt het CBP in principe slechts in behandeling als daarvoor
een bijzondere reden bestaat.
Ingevolge de Wet politieregisters zijn reglementen in bepaalde
gevallen onderworpen aan een toetsing vooraf in het kader
van een hoorprocedure. Tezamen met de portefeuillehouder
privacy van de politie vanuit de Raad van hoofdcommissarissen
heeft het CBP een werkwijze ontwikkeld voor de harmonisatie
van de inhoud van de reglementen en het stroomlijnen van de
procedure voor goedkeuring. Door deze werkwijze kan het
aantal procedures voor goedkeuring en het aantal meldingen
van tijdelijke registers worden beperkt.
• WBP-Melding Ingevolge artikel 27 van de WBP moeten geautomatiseerde
verwerkingen van persoonsgegevens vooraf worden gemeld bij
het CBP of een functionaris voor de gegevensbescherming,
tenzij het Vrijstellingsbesluit voorziet in een vrijstelling. Voor
het verrichten van de melding kan gebruik worden gemaakt
van een daartoe bestemd formulier, van een elektronisch
meldingsprogramma op diskette, of van een speciaal voor
verzending via e-mail geschikt programma. Alle meldingen
worden na verwerking opgenomen in een openbaar register en
zijn via de website van het CBP raadpleegbaar. Ook het over-
zicht van functionarissen voor de gegevensbescherming is op
de website raadpleegbaar.
• Voorafgaand onderzoekBepaalde categorieën van verwerkingen waaraan bijzondere
risico’s zijn verbonden, zijn krachtens artikel 31 van de WBP
onderworpen aan een voorafgaand onderzoek dat aan strakke
termijnen is gebonden. De verantwoordelijke mag een der-
gelijke verwerking niet starten gedurende de looptijd van dit
onderzoek. Het onderzoek resulteert meestal in een verklaring
omtrent de rechtmatigheid van de verwerking, die vatbaar is
voor rechtsbescherming op grond van de Algemene wet
bestuursrecht.
• VoorlichtingsverzoekenHet CBP wordt vaak benaderd met verzoeken om voorlichting
of advies over de interpretatie van de WBP of een andere
privacywet. De meest voorkomende verzoeken met een
standaardkarakter worden behandeld door het frontoffice als
deel van de publieksvoorlichting (telefonisch of via het e-mail-
piket). Verzoeken om voorlichting kunnen ook aanleiding zijn
voor verdergaande behandeling, diepgaande studie of een
principieel standpunt. Hierbij valt te denken aan de ont-
wikkeling van privacykaders voor nieuwe ontwikkelingen of
toetsingscriteria voor nieuwe producten en diensten. Dergelijke
verzoeken worden door het CBP steeds beoordeeld op hun
waarde in het kader van de toezichthoudende taak. Als zo-
danig vertegenwoordigen zij echter een aanzienlijke investering
in maatschappelijke preventie van onrechtmatig gedrag. Omdat
de beleidsvrijheid van het CBP in deze gevallen het grootst is,
bestaat er alle ruimte om daarbij nadere invulling te geven aan
het streven naar een tweedelijnspositie.
• Internationale zakenOp grond van artikel 51, eerste lid WBP houdt het CBP tevens
toezicht op de verwerking van persoonsgegevens in Nederland,
wanneer de verwerking plaatsvindt volgens het recht van een
ander land van de Europese Unie. Ingevolge artikel 61, zesde
lid WBP is het CBP desgevraagd verplicht aan toezicht-
houdende autoriteiten van de andere lidstaten van de Europese
Unie alle noodzakelijke medewerking te verlenen. Het Verdrag
van Straatsburg bevat vergelijkbare verplichtingen met
betrekking tot landen die daarbij partij zijn.
61organisatie
< TERUG INHOUD VERDER >
• Bijzondere gegevensArtikel 16 WBP bevat een verbod op de verwerking van
bijzondere persoonsgegevens (zoals godsdienst, ras,
politieke gezindheid, gezondheid en strafrechtelijk
verleden), tenzij de wet voorziet in een uitdrukkelijke
grondslag. Op grond van artikel 23, eerste lid, onder de
WBP, kan het CBP een ontheffing verlenen, indien dit
noodzakelijk is met het oog op een zwaarwegend
algemeen belang en passende waarborgen worden
geboden ter bescherming van de persoonlijke levenssfeer.
Ook hier is bezwaar en beroep (bestuursrechter) mogelijk.
• Doorgifte naar derde landenOp grond van artikel 77 lid 2 WBP heeft het CBP de taak
om de Minister van Justitie te adviseren over het toe-
kennen van een vergunning voor het doorgeven van
persoonsgegevens naar een land buiten de EU dat geen
waarborgen voor een passend beschermingsniveau biedt.
Het gezamenlijk beleid van de Minister en het CBP is eind
vorig jaar bekend gemaakt. De verzoeken van bedrijven
met internationale belangen om een vergunning beginnen
nu goed op gang te komen. De behandeling van ver-
zoeken door het CBP is er op gericht de Minister van
Justitie van een gedegen advies te voorzien zodat besluit-
vorming snel kan plaatsvinden.
Ook de samenwerking tussen de toezichthoudende auto-
riteiten wordt intensiever. Met zekere regelmaat bereiken
het CBP dan ook verzoeken om bijstand van buitenlandse
zusterinstellingen. Via een gemeenschappelijke, besloten
website kunnen de eenvoudigste verzoeken snel worden
afgewikkeld. In een aantal gevallen zijn nadere onder-
zoekshandelingen nodig.
• Bemiddeling en klachtenbehandelingHet CBP is op grond van artikel 47 WBP belast met de
behandeling van verzoeken om bemiddeling bij geschillen
over de uitoefening van het recht op inzage of correctie
van persoonsgegevens en over de uitoefening van het
recht op verzet. Deze procedure is mede bedoeld om de
rechter te ontlasten. Belanghebbenden kunnen er ook
voor kiezen om hun zaak voor te leggen aan de civiele of
administratieve rechter, of gebruik maken van een
geschillenregeling in een goedgekeurde gedragscode. Als
het CBP de bemiddeling heeft beëindigd, kan de zaak
alsnog aan de rechter worden voorgelegd. De rechter
kan besluiten om (opnieuw) het advies van het CBP in te
winnen. Verder kan het CBP op grond van artikel 60 WBP
op verzoek van een belanghebbende een onderzoek
instellen naar de naleving van het bepaalde bij of krach-
tens de wet. Daartoe beschikt het CBP over de nodige
onderzoeksbevoegdheden op grond van de WBP en de
Algemene wet bestuursrecht. Bij het aannemen van derge-
lijke verzoeken voert het CBP een restrictief beleid. De
mogelijkheid van toetsing door de Nationale Ombudsman
stelt echter hoge eisen aan deze afweging.
• Ambtshalve onderzoekenArtikel 60 WBP geeft het CBP de bevoegdheid om uit
eigen beweging een onderzoek in te stellen naar de
naleving van de wet. In de beoogde grotere nadruk op
toezicht en handhaving past dat het CBP in toenemende
mate gebruik zal maken van deze bevoegdheid. Aanpak
en diepgang van het ambtshalve onderzoek dienen per
geval bepaald te worden. Het onderzoek kan dus een
briefwisseling met verzoek om informatie behelzen of een
onderzoek ter plaatse inhouden, al dan niet in de vorm
van een audit, of een steekproef op meer plaatsen in een
sector, met de mogelijkheid van openbare rapportage over
de bevindingen. Het kan ook gaan om systematische
onderzoeken binnen bepaalde sectoren of om gerichte
onderzoeken (al dan niet met een privacyaudit) binnen
bepaalde overheidsorganisaties, instellingen of bedrijven.
• BoetesBij overtreding van de meldingsplicht is het CBP bevoegd
(artikel 66 WBP) om een bestuurlijke boete op te leggen
van 4.500 euro per verwerking, dan wel aangifte te doen
bij het Openbaar Ministerie.
Het CBP doet in eerste instantie door het uitvoeren van
sectoranalyses op het meldingenbestand onderzoek naar
de mate waarin een sector de meldingsverplichting
naleeft. Hierop worden naar deze sector gerichte stappen
ondernomen, voordat wordt overgegaan tot het beboeten
van individuele verantwoordelijken. Echter, naar aanleiding
van ter zake doende klachten, zal het CBP niet schromen
individuele gevallen te beboeten of aan te geven bij het
Openbaar Ministerie.
• Dwangsom en bestuursdwangBij andere overtredingen is het CBP bevoegd om gebruik
te maken van de bevoegdheid tot het opleggen van een
dwangsom of het toepassen van bestuursdwang. In al
deze gevallen is bezwaar en beroep mogelijk.
62 jaarverslag 2004
< TERUG INHOUD VERDER >
jaarverslag 200462
Algemene voorlichting (telefonisch spreekuur)
Het CBP heeft minder telefonische vragen afgehandeld omdat de openingstijden voortelefonisch spreekuur zijn teruggebracht van 17,5 uur per week naar 12 uur per week,ten gunste van meer tijd voor het produceren van informatiemateriaal.
Klachten over het CBP en heroverwegingen
Het CBP kan – gelet op de beperkte capaciteit – niet voldoen aan de verwachtingen vande individuele verantwoordelijke of burger. Daarom heeft het CBP in 2003 beleid ont-wikkeld waarin het CBP de gekozen tweedelijnsstrategie met een belangrijke plaats voorzelfregulering heeft geconcretiseerd. Het CBP krijgt als gevolg daarvan ook steeds meerte maken met verzoeken om heroverweging, bezwaar- en beroepszaken. De gevolgen –een toename van het aantal klachten en verzoeken om heroverweging – zijn thans dui-delijk voor het CBP zichtbaar. De individuele verantwoordelijke of burger legt zich nietzo maar neer bij deze aanscherping van de gekozen koers voor de behandeling van ver-zoeken. Medewerkers ervaren deze druk dagelijks, waardoor ook het ziekteverzuim lichttoeneemt. Het aantal klachten en heroverwegingen is in 2004 toegenomen ten opzichtevan 2003. De heroverwegingsverzoeken betroffen met name gevallen waarin het CBPweigerde om te bemiddelen of een klacht zelf te behandelen. Deze toename is vooral teverklaren uit de ontwikkeling van het CBP-beleid sinds de invoering van de WBP. Inreactie op de in gang gezette beweging naar meer handhaving wordt ook meer gebruikgemaakt van de middelen van rechtsbescherming. Om klachten zo veel mogelijk te voor-komen voert het CBP nadrukkelijk beleid op een zorgvuldige afhandeling van herover-wegingsverzoeken.
Klachten over het CBP
In de Algemene wet bestuursrecht is geregeld dat iedereen over de wijze waarop eenbestuursorgaan zich tegenover hem of haar heeft gedragen, een klacht kan indienen bijdat orgaan. Deze klachten moeten op een zorgvuldige wijze worden behandeld. Verdermoeten bestuursorganen zorgen voor registratie en publicatie van bij hem ingediendeschriftelijke klachten. Onderstaand overzicht geeft het aantal ingediende schriftelijkeklachten weer met de wijze van afdoening. Geen van de klachten heeft geleid tot eenvervolgklacht bij de Nationale Ombudsman.
2003 2004
Klachten ongegrond verklaard 2 3
Klachten gegrond verklaard 2 10
Minnelijke regeling/geen oordeel/ingetrokken/
andere wijze van afdoening/nog in behandeling 1 2
Nog in behandeling per einde van het jaar 0 2
Totaal aantal klachten 5 17
KLACHTEN OVER HET CBP 2003-2004
Heroverwegingen
Verzoeken om heroverweging (en klachten over het CBP) worden vaak ingediend, omdatmen het niet eens is met de weigering van het CBP om een onderzoek in te stellen opverzoek van belanghebbende. Men is het er niet mee eens dat de eigen klacht geen prio-riteit krijgt of dat het CBP deze niet van voldoende zwaarwegend belang acht om overte gaan tot een controlerend onderzoek.
< TERUG INHOUD VERDER >
63organisatie
Financiën
De personele kosten bleven 1,3 % onder het budget. Mede als gevolg van de wijziging inde samenstelling van het college is de vacatureruimte niet volledig benut. Voor watbetreft de materiële kosten zijn de uitgaven ten behoeve van de conferentie van deEuropese toezichthouders in Rotterdam lager uitgevallen dan begroot. Daarnaast is deoplevering van het functioneel ontwerp voor het nieuwe document management systeemvertraagd met als gevolg dat de uitgaven deels zijn doorgeschoven naar 2005.
Bezoldiging collegeleden
Bij Besluit rechtspositie leden College bescherming persoonsgegevens (Staatsblad 2001,382) is de bezoldiging van de voorzitter van het College vastgesteld op het maximumvan salarisschaal 18 van bijlage B van het Bezoldigingsbesluit BurgerlijkeRijksambtenaren 1984. Voor de overige leden geldt het maximum van schaal 17. Devoorzitter is op grond van artikel 22 a van het Bezoldigingsbesluit Rijksambtenaren 1984een toeslag toegekend en een representatievergoeding op grond van het Besluit ver-goeding representatiekosten rijkspersoneel.
Personele kosten
De personele kosten zijn te verdelen in kosten voor het primaire proces, voororganisatieontwikkeling en voor de bedrijfsvoering. Voor een deel van de bedrijfs-voeringstaken (PIOFAH) maakt het CBP gebruik van de stafdienst van het Paleis vanJustitie. Dit betreffen de P&O-taken, financiële administratie en facilitaire onder-steuning. Deze dienstverleningsovereenkomst is onderdeel van de materiële uitgaven.
2003 2004
Heroverwegingen ongegrond verklaard 14 18
Heroverwegingen gegrond verklaard 6 3
Minnelijke regeling/geen oordeel/ingetrokken/overige 0 1
Nog in behandeling per einde van het jaar 0 6
Totaal aantal Heroverwegingen 20 28
HEROVERWEGINGEN 2003-2004
2004 2005 2006 2007 2008
5.094 5.752 5.445 5.369 5.370
BEGROTING (STAND PER 9 MAART 2005, BEDRAGEN X 1000 EURO)
2002 2003 2004
Personeel 2.853,4 3.319,9 3.604,8
Materieel* 1.762,1 1.255,8 1.266,0
Totaal 4.615,5 4.575,7 4.870,8
BUDGETUITGAVEN 2002 - 2004 (BEDRAGEN X 1000 EURO)
* De huurlasten zijn hierin niet opgenomen; het ministerie van Justitie stelt de huisvesting beschikbaar.
64 jaarverslag 2004
< TERUG INHOUD VERDER >
2004
Personele kosten primair proces 2.400,8
Overhead (management, ondersteuning, bedrijfsvoering) 721,2
Extern ingehuurde expertise (onderzoek, certificering, archivering, beveiligingsaudit) 482,8
PERSONELE KOSTEN 2004 (UITGAVEN X 1000 EURO)
Uitgaven per beleidsterrein /sector
De keuzes voor inzet van de personele kosten zijn gemaakt op basis van het beleidsplanen de daarbij vastgestelde doelstellingen voor het jaar 2004. De tabel kosten per beleids-terrein/sector biedt inzicht in hoe het CBP zijn inspanningen heeft verdeeld over de verschillende aandachtsgebieden.
Uitgaven internationale samenwerking
Het belangrijkste forum voor het CBP in de eerste pijler van de Europese Unie is de Werk-groep van nationale toezichthouders als bedoeld in artikel 29 van Richtlijn 95/46/EG, dieoptreedt als adviseur van de Europese Commissie en als forum voor afstemming vanbeleid tussen de betrokken toezichthouders.
In het kader van de Raad van Europa neemt het CBP deel aan de werkzaamheden vande Adviescommissie (T-PD), bedoeld in artikel 18 van het Dataverdrag van Straatsburg,waarin ook niet-EU-lidstaten zijn vertegenwoordigd. Het CBP neemt verder deel aan dejaarlijkse Internationale en Europese Conferenties van privacytoezichthouders en aan dewerkzaamheden van diverse subgroepen, zoals de internationale werkgroep telecom enmedia (Berlijn-groep), de Europese werkgroep Politie en de Europese Complaints work-shops, waarin de Europese toezichthouders in concrete kwesties zoeken naar best practicesen onderlinge afstemming. In 2004 was het CBP gastheer voor de jaarlijkse conferentie vanEuropese privacytoezichthouders. Deze conferentie is gehouden in Rotterdam.
Maatschappelijke sectoren 2003 2004
Politie en Justitie 549 538
Arbeid & Sociale Zekerheid 342 305
Zorg & Welzijn 317 216
Openbaar bestuur 452 491
Telecommunicatie 333 350
Handel & Diensten 299 301
Internationale activiteiten
Internationaal 113 117
Audits voor gemeenschappelijke controle-autoriteiten 20 ?
Project PISA 90 –
Beleidsterrein technologie
Technologie 517 (+ onderzoek) 199
Beleidsterrein onderzoek
Onderzoek – 805
Beheer van meldingen en openbaar register
Bestandsbeheer 376 323
Communicatie
Communicatie 413 440
Frontoffice voor de sectoren 327 309
Interventie, bezwaar en beroep
Sancties en Rechtsbescherming 353 432
KOSTEN PER BELEIDSTERREIN/SECTOR 2003 - 2004 (UITGAVEN X 1000 EURO)
< TERUG INHOUD VERDER >
65organisatie
In de derde pijler van de Europese Unie maakt het CBP deel uit van de bij verdrag in-gestelde gemeenschappelijke controleorganen voor Schengen, Europol, Douane,Eurojust, Eurodac en Interpol, die alle beschikken over adviserende en controlerendebevoegdheden. Geschillen over de uitoefening van het recht op inzage en correctie bijEuropol worden in hoogste instantie beslist door een Beroepscomité waarin het CBP ookis vertegenwoordigd. In 2004 is het CBP opgetreden als voorzitter van de GCA voor hetSchengen informatiesysteem.
Efficiencywinst
Vermindering administratieve lasten
Het CBP heeft bij brief van 7 december 2004 de minister van Justitie voorstellen gedaanvoor vermindering van de administratieve lasten, met name door verruiming van devrijstellingen van melding. Indien de minister de voorstellen overneemt, zal naast eenvermindering van administratieve lasten voor het bedrijfsleven ook de administratievewerklast bij het CBP verminderen.
Invoering van modelreglementen
Korpsbeheerders zijn op grond van de WpolR verplicht de aanleg van tijdelijke registerste melden bij het CBP. Met de korpsbeheerders zijn afspraken gemaakt over het toepas-sen van een modelreglement voor de tijdelijke registers. Deze standaardisering betekentzowel voor de regiokorpsen als voor het CBP efficiencywinst. Voor het CBP bedraagtdeze 0,5 fte administratief (€ 15.000).
2003 2004
Internationaal overleg
Artikel 29-werkgroep (Richtlijn 95/46/EG) 55 48
Adviescommissie T-PD (artikel 18, Dataverdrag van Straatsburg 3 13
Berlijn-werkgroep 3 11
Europese Complaints workshop 33 12
Europese en mondiale Conferenties van privacytoezichthouders 97 49
Overig 50 36
OVERZICHT AANTAL REIS- EN VERGADERDAGEN INTERNATIONAAL OVERLEG*
* voorbereidingstijd en inhoudelijke inbreng is hier niet bij in begrepen.
2003 2004
Gemeenschappelijke controleorganen
GCA Schengen 21 14
GCO Europol* 30 26
Beroepscomité 5 5
GCA Douane 2 5
GCO Eurojust * 3 2
GCA Eurodac 1 11
GCO Interpol 6 0
OVERZICHT AANTAL REIS- EN VERGADERDAGEN (AFSTEMMING EN AUDITS)
* organisatie is in Nederland gevestigd.
66 jaarverslag 2004
< TERUG INHOUD VERDER >
‘Stapelen’: collectieve afhandeling van dossiers
In 2003 en in 2004 heeft het CBP in kwesties die dezelfde problematiek betroffen, dos-siers (voorafgaande onderzoeken, klachten en bemiddelingsverzoeken) 'gestapeld' methet oog op een efficiëntere werkwijze. Dit is onder andere gebeurd voor de vele vooraf-gaande onderzoeken naar verwerkingen van sociale diensten en incidentenregisters vanbanken. Bij klachtbehandeling en bemiddeling ging het bijvoorbeeld om verzoeken inzake KPN en Dexia (zie respectievelijk p. 48 en p 45).
Selectiviteit bij voorlichtingsverzoeken
In 2004 is het selectiebeleid bij schriftelijke voorlichtingsverzoeken verscherpt. Zie ookhierboven in de toelichting op de productiecijfers. Hierdoor is een groter aantal ver-zoeken behandeld door het frontoffice. Sinds 1999 handelt het frontoffice vele vragen eneenvoudige klacht- en bemiddelingszaken zelfstandig af. Vanuit deze vragen wordtinformatiemateriaal ontwikkeld dat via de website toegankelijk is. Website-statistiekenlaten zien dat deze aanpak succesvol is.
Afhandeling van verzoeken om voorlichting via e-mail
Het frontoffice verzorgt ook het zogenaamde e-mailpiket. Veel verzoeken om voor-lichting worden via e-mail gesteld. Sinds eind 2003 worden deze ook via e-mail afgehandeld. Hierdoor wordt structureel bespaard op de kosten van schriftelijke afhandeling en dossiervorming. Archivering geschiedt elektronisch volgens de richt-lijnen van de archiefwet.
Organisatie
In opdracht van het CBP heeft TNS NIPO Consult in 2004 onderzoek gedaan naar pri-vacybewustzijn en privacybehoeften bij de Nederlandse burger, waaronder ook debekendheid met de WBP en het CBP. Dergelijke onderzoeken zijn in verscheideneEuropese landen reeds uitgevoerd. De resultaten zijn begin 2005 beschikbaar gekomenen zullen worden gebruikt bij het maken van beleidskeuzes.
Onderzoek naar het CBP
Het CBP heeft op verzoek van het ministerie van Binnenlandse Zaken en Koninkrijks-relaties meegewerkt aan diverse onderzoeken. In het onderzoek naar het adviesstelselwerd gekeken naar de taken, de omvang ervan, de gevolgde werkwijze en naar de door-werking van de advisering. Daarnaast werd afzonderlijk onderzoek verricht naar debeloning en rechtspositie van de ambtelijke en politieke topstructuur. Ook heeft het CBPsamen met het ministerie van justitie een risicoanalyse voor de bedrijfsvoering op-gesteld op basis waarvan afspraken zijn gemaakt met het departement in het kader vande planning en control-cyclus.
Zelfevaluatie van het toezicht (ACT II)
Ten behoeve van de taakopdracht van de Ambtelijke Commissie Toezicht II (ACT II)heeft ook het CBP een zelfevaluatie uitgevoerd evenals het ministerie van Justitie. Deminister van Justitie is immers verantwoordelijk voor de Wet bescherming persoons-gegevens en is toezichthouder op het CBP als zelfstandig bestuursorgaan. De AmbtelijkeCommissie Toezicht II heeft vervolgens het conceptrapport van bevindingen met hetCBP besproken. Na vaststelling door de commissie is het rapport ‘Toetsing zelfevaluatietoezichtarrangement’ begin 2005 aangeboden aan de minister van Justitie en het CBP. In2005 zal het CBP met het ministerie van Justitie overleggen over de wijze waarop hier-aan een vervolg kan worden gegeven.
< TERUG INHOUD VERDER >
67organisatie
Informatiebeveiliging en integriteit
Naar aanleiding van een externe audit naar de maatregelen en procedures ter waar-borging van de exclusiviteit, integriteit, controleerbaarheid en continuïteit bij het CBP isin 2004 op onderdelen het beleid bijgesteld, zijn er maatregelen getroffen in de uit-voering en is een systeem voor periodieke controle geïmplementeerd. Het integriteits-beleid van het CBP wordt actief uitgedragen onder de medewerkers. Met het ministerievan Justitie zijn afspraken gemaakt omtrent de aanwijzing van vertrouwensfunctieswaarvoor de betrokken medewerkers aan een veiligheidsonderzoek worden onder-worpen.
Archivering
Naar aanleiding van het institutioneel onderzoek dat het CBP overeenkomstig de wet-telijke bepalingen (Archiefwet 1995) in 2003 heeft laten uitvoeren, heeft het NationaalArchief de goedkeuringsprocedure door de minister van Onderwijs, Cultuur enWetenschap in gang gezet. De Raad voor Cultuur heeft daartoe op 7 december 2004advies uitgebracht aan de minister over de ontwerp-selectielijst archiefbescheiden vanhet CBP over de periode vanaf 1989.
Automatisering
In 2004 heeft het CBP een ICT-dienstverlener opdracht verleend voor de ontwikkelingvan een functioneel ontwerp voor de inrichting van een nieuw document managementsysteem. Dit nieuwe systeem zal het bestaande systeem – een maatwerkpakket – vervangen.
Communicatie
Communicatie is een wezenlijke factor in de gehele cyclus van bewustwording naar normontwikkeling – ook in technisch opzicht - en handhaving. Een goed gerichte enweloverwogen informatievoorziening vergroot de effectiviteit van het toezicht. Het CBPbesteedt daarom veel aandacht aan de website en aan de persvoorlichting.
www.cbpweb.nl
De website van het CBP neemt een prominente plaats in bij voorlichting naar zowel debetrokkene (degene van wie persoonsgegevens worden gebruikt) als de verant-woordelijke (degene die persoonsgegevens van anderen verwerkt). Het CBP heeft in2004 de structuur van de website aangepast en opnieuw vormgegeven ter verbeteringvan de gebruiksvriendelijkheid voor de verschillende doelgroepen. De website is meervraaggericht opgebouwd en daarmee toegankelijker gemaakt voor de verschillende doel-groepen. De website voldoet in grote mate aan de criteria van Drempels Weg. De web-site-statistieken laten een toenemend gebruik van het aangeboden informatiemateriaalzien.
2003 2004
Gemiddeld aantal bezoekers per maand 39.270 44.931
Aantal abonnees elektronische nieuwsbrief per 31 december 2.600 4.069
Aantal downloads van Achtergrondstudies en verkenningen 50.864 52.446
Aantal downloads van Auditinstrumenten* 51.660 15.453
Aantal downloads WBP-meldingsprogramma 11.214 5.195
WEBSITEBEZOEK 2003-2004
* De auditinstrumenten zijn drie documenten met behulp waarvan verantwoordelijken de naleving van de WBPin de eigen organisatie kunnen evalueren en verbeteren: Quickscan, WBP-Zelf-Evaluatie en het Raamwerk Privacy Audit (2001).
68 jaarverslag 2004
< TERUG INHOUD VERDER >
-
BELEIDSAFDELING(24 fte)
openbaar bestuur
politie en justitie
zorg & welzijn
arbeid & sociale zekerheid
handel & diensten
telecom
technologie
internationaal
ONDERZOEK(7 fte)
risico analyse
meldingen onderzoek(handhavend)
sector onderzoek (controlerend)
ambtshalve onderzoek(handhavend)
model onderzoeks-instrumenten
audit framework en certificering
BEDRIJFSONDER-STEUNENDE DIENST(13,5 fte)
receptie
administratie primair proces
bestandsbeheer
meldingen
administratieve bedrijfsvoering
INTERVENTIE,BEZWAAR EN
BEROEP(5 fte)
juridische kwaliteit
sanctieoplegging
bezwaar en beroep
institutionele kwesties
MANAGEMENTONDERSTEUNING(secretariaat - 2,5 fte)
OOrrggaanniiggrraamm 22000044
COMMUNICATIE(7,5 fte)
publieksvoorlichting
frontoffice
persvoorlichting
webredactie en -beheer
publicaties
kennismanagement
communicatie
STAF(A&I,P&C,P&O - 4 fte)
DE DIRECTEUR
(1 fte)
HET COLLEGE
(3 leden)
Perscontacten
Het CBP heeft vrijwel dagelijks contact met landelijke media. Sinds juni 2003 wordt hetaantal perscontacten bijgehouden. Het aantal contacten is in 2004 toegenomen met nameals gevolg van de brede discussie over veiligheid en terrorisme.
Medium vanaf juni 2003 2004
Persbureaus 17 43
Landelijke dagbladen 34 92
Landelijke radio en televisie 76 150
Regionale kranten niet bekend 35
Regionale radio en televisie niet bekend 23
Relevante vakbladen 18 73
Opiniebladen niet bekend 9
Totaal 145 425
PERSCONTACTEN 2003-2004
< TERUG INHOUD VERDER >
69bijlagen
bijlagen
Wetsvoorstel bijzondere bevoegdheden tot opsporing
terroristische misdrijven 22 december 2004, z2004-1529
Besluit informatievoorziening WPO/WEC in strijd met
WBP 12 november 2004, z2004-1182
Wettelijke grondslag ontbreekt voor verstrekken medi-
sche gegevens aan DBC-Informatiesysteem
11 november 2004, z2004-1492
Inzet GPS op mesttransportvoertuigen (Meststoffen-
wet) 3 november 2004, z2004-1166
Beroepsgeheim steviger verankeren in Wetboek van
strafvordering (Wsv) 29 oktober 2004, z2002-0222
Wet politiegegevens: uitbreiding bevoegdheden vereist
ook waarborgen 1 september 2004, z2004-0467
Wetsvoorstel werk en inkomen naar arbeidsvermogen
(WIA) 30 juni 2004, z2004-0417
Conceptbesluit Documentatie vennootschappen
28 juni 2004, z2004-0400
Besluit beleidsinformatie jeugdzorg (Wet op de
Jeugdzorg) 27 juli 2004, z2004-0574
Tijdelijk besluit nummergebruik overheidtoegang-
voorziening 18 juni 2004, z2004-0694
Concept-Besluit sociale werkvoorziening en begeleid
werken (Wet Sociale Werkvoorziening en Wet Structuur
Uitvoering Werk en Inkomen) 3 juni 2004, z2004-0528
Zorgverzekeringswet (Zvw): structureel toezicht op
zorgverzekeraars noodzakelijk 12 mei 2004, z2004-0394
Wetsvoorstel Aanpassing aan het Cybercrime Verdrag
12 mei 2004, z2004-0287
Wettelijke grondslag voor gegevensverwerkingen SIOD
(SUWI) 26 april 2004, z2004-0341
Wetsvoorstel videoconferentie in het strafrecht
9 april 2004, z2003-1388
Doorgifte zwarte lijst van drugskoeriers met vervoers-
verbod (Wet bescherming persoonsgegevens, WBP)
8 april 2004, z2003-1323
Circulaire gegevensuitwisseling SVB – gemeenten
behoeft aanpassing 8 april 2004, z2004-0058
Voorstel aanpak doorrijders tanken strijdig met kabi-
netsbeleid (Regeling gegevensverstrekking
Kentekenregister) 6 april 2004, z2003-1299
Algemene wet inkomensafhankelijke regelingen
1 april 2004, z2004-0304
Wetsvoorstel Werk en Inkomen Kunstenaars
23 maart 2004, z2004-0030
Evaluatie DBC-stelsel moet in toekomst leiden tot ver-
minderde privacygevoeligheid (wetsvoorstel Wijziging
Ziekenfondswet, ZFW, Algemene Wet Bijzondere
Ziektekosten, AWBZ) 12 februari 2004, z2003-1433
Ontwerpnota verwerking van persoonsgegevens door
de politie (Wet politieregisters, Wpolr)
28 januari 2004, z2002-1397
Wijziging ontwerpbesluit DNA-onderzoek in strafzaken
27 januari 2004, z2003-1603
Marechaussee verstrekt gegevens drugskoeriers aan
luchtvaartmaatschappijen (Wet bescherming persoons-
gegevens, WBP) 12 januari 2004, z2003-1323
Dit overzicht bevat de voornaamste wetgevings-
adviezen van 2004. Vrijwel alle adviezen vanaf 1996
kunt u raadplegen op de website: www.cbpweb.nl.
Adviezen uit de periode 1991-1996 zijn ook op-
genomen in de bundel Persoonsgegevens beschermd,
van WPR naar WBP. Den Haag, Sdu uitgevers, 1999.
wetgevingsadviezen
< TERUG INHOUD VERDER >
70
bijlagen
jaarverslag 2004
Privacygedragscode voor werving en selectiebranche;
geldig tot 2 augustus 2009 (Staatscourant 2004, nr 144)
Gedragscode voor gezondheidsonderzoek "Goed
gedrag" (Stichting Federatie van Medisch
Wetenschappelijke Verenigingen, FMWV); geldig tot 19
april 2009 (Staatscourant 2004, nr 82)
Gedragscode voor verwerking van persoonsgegevens
bij onderzoek en statistiek (Vereniging voor
Beleidsonderzoek, de Vereniging voor Statistiek en
Onderzoek en de MarktOnderzoekAssociatie.nl); geldig
tot 24 maart 2009 (Staatscourant 2004, nr. 36)
Gedragscode gerechtsdeurwaarders ter bescherming
persoonsgegevens van de Koninklijke
Beroepsorganisatie van Gerechtsdeurwaarders (KBvG);
geldig tot 18 februari 2009 (Staatscourant 2004, nr. 33)
Privacygedragscode sector particuliere onderzoeksbu-
reaus van de Vereniging van Particuliere
Beveiligingsorganisaties (VPB); geldig tot 13 januari
2009 (Staatscourant 2004, nr. 7)
Alle gedragscodes zijn te vinden op www.cbpweb.nl
gedragscodesVoor onderstaande gedragscodes is in 2004 een verklaring van overeenstemming verleend onder de WBP.
< TERUG INHOUD VERDER >
71bijlagen
Aandachtsvestigingen (Stcrt. 2002, 243)
Arrestanten (Stcrt. 2002, 243)
Arrestatiebevelen (Stcrt. 2002, 243)
Bedrijfsprocessensysteem BPS (Stcrt. 2002, 243)
Bedrijven informatiesysteem en
waarschuwingsadressen (Stcrt. 2002, 243)
Bekeuringenafhandelingssysteem (Stcrt. 2002, 243)
Beperkingen besturen motorrijtuigen (Stcrt. 2002, 243)
Bureau financiële ondersteuning (Stcrt. 2002, 243)
Fraudebestrijding (Stcrt. 2002, 243)
Gegevensuitwisseling milieu-
criminaliteit (Stcrt. 2002, 243)
Gevonden en verloren goederen (Stcrt. 2002, 243)
Graffitibestrijding (Stcrt. 2002, 243)
Herkenningsdienstregister (Stcrt. 2004, 124)
In beslag genomen goederen (Stcrt. 2002, 243)
In bewaring genomen goederen (Stcrt. 2002, 243)
Inbraakbestrijding (Stcrt. 2002, 243)
Informantenregister (Stcrt. 2002, 100)
Informantenregister openbare orde (Stcrt. 2002, 238)
Internationale rechtshulp politie (Stcrt. 2002, 243)
Jeugd- en zedenzaken (Stcrt. 2002, 243)
Kabinetszaken (Stcrt. 2002, 243)
Meldkamer (Stcrt. 2002, 243)
Milieudelicten (Stcrt. 2002, 243)
Multipol (Stcrt. 2002, 243)
Openbare orde en informatie (Stcrt. 2002, 238)
Openbare orde taken Regionale
inlichtingendienst (Stcrt. 2002, 243)
Opkopers en helingbestrijding (Stcrt. 2002, 243)
Overvallenbestrijding (Stcrt. 2002, 243)
Permanent autoteam (Stcrt. 2002, 243)
Processen-verbaal en rapporten (Stcrt. 2002, 243)
Recidive (Stcrt. 2002, 243)
Rijverboden (Stcrt. 2002, 243)
Schietwapen incidentenregistratie-
en informatiesysteem (Stcrt. 2002, 243)
Signalen van mensenhandel (Stcrt. 2002, 13)
Technische recherchezaken (Stcrt. 2002, 243)
Tijdelijk Register (Stcrt. 2003, 131)
Vakantiecontrolekaarten (Stcrt. 2002, 243)
Vandalismebestrijding (Stcrt. 2002, 243)
Verdovende middelen (Stcrt. 2002, 243)
Voorlopig register (Stcrt. 2000, 198)
Zware criminaliteit (Stcrt. 2000, 198)
De politie werkt voor het uitoefenen van de politietaak
(artikel 1 en artikel 2 Politiewet) met politieregisters.
In artikel 12, eerste lid Wet politieregisters is de moge-
lijkheid gecreëerd om een modelreglement voor een
register vast te stellen, onder andere ter bevordering
van eenduidigheid en een efficiënte werkwijze. Degene
die een modelreglement heeft vastgesteld, kan het CBP
verzoeken te verklaren dat het model naar zijn oordeel
in overeenstemming is met de Wet politieregisters.
Beheerders van een register hoeven dan het CBP alleen
te informeren over het bestaan van een register en van
het model dat daarop van toepassing is. Mochten er
afwijkingen van het model zijn, dan moet vermeld
worden welke dat zijn. De modelreglementen zijn
beschikbaar op de website van het CBP:
www.cbpweb.nl.
modelreglementen vastgesteld voor politieregisters
< TERUG INHOUD VERDER >
72
bijlagen
jaarverslag 2004
25 November 2004 Declaration of the Article 29
Working Party on Enforcement (WP 101)
25 November 2004 - Opinion on More Harmonised
Information Provisions (WP 100)
9 November 2004 - Opinion 9/2004 on a draft
Framework Decision on the storage of data processed
and retained for the purpose of providing electronic
public communications services or data available in
public communications networks with a view to the
prevention, investigation, detection and prosecution of
criminal acts, including terrorism. [Proposal presented
by France, Ireland, Sweden and Great Britain
(Document of the Council 8958/04 of 28 April 2004)]
(WP 99)
29 November 2004 – Strategy Document (WP 98)
30 September 2004 - Opinion 8/2004 on the informa-
tion for passengers concerning the transfer of PNR
data on flights between the European Union and the
United States of America (Document 11733/04, WP 97)
11 August 2004 - Opinion 7/2004 on the inclusion of
biometric elements in residence permits and visas
taking account of the establishment of the European
information system on visas (VIS) (Document
11487/04, WP 96)
22 June 2004 - Opinion 6/2004 on the implementation
of the Commission decision of 14-V-2004 on the ade-
quate protection of personal data contained in the
Passenger Name Records of air passengers transferred
to the United States’ Bureau of Customs and Border
Protection, and of the Agreement between the
European Community and the United States of America
on the processing and transfer of PNR data by air car-
riers to the United States Department of Homeland
Security, Bureau of Customs and Border Protection.
(Document 11221/04, WP 95)
17 March 2004 - Joint Statement in response to the ter-
rorist attacks in Madrid (Document 10649/04, WP 93)
17 March 2004 - Work programme 2004 (Document
10650/04, WP 92)
17 March 2004 - Working Document on Genetic Data
(Document 12178/03, WP 91)
27 February - Opinion 5/2004 on unsolicited commu-
nications for marketing purposes under Article 13 of
Directive 2002/58/EC (Document 11601/03, WP 90)
11 February 2004 - Opinion 4/2004 on the Processing
of Personal Data by means of Video Surveillance
(Document 11750/02, WP 89)
11 February 2004 - Opinion 3/2004 on the level of pro-
tection ensured in Canada for the transmission of
Passenger Name Records and Advanced Passenger
Information from airlines (Document 10037/04, WP 88)
29 January 2004 - Opinion 2/2004 on the Adequate
Protection of Personal Data Contained in the PNR of
Air Passengers to Be Transferred to the United States'
Bureau of Customs and Border Protection (US CBP)
(Document 10019/04, WP 87)
23 January 2004 - Working Document on Trusted
Computing Platforms and in particular on the work
done by the Trusted Computing Group (TCG group)
(Document 11816/03, WP 86)
16 January 2004 - Opinion 1/2004 on the level of pro-
tection ensured in Australia for the transmission of
Passenger Name Record data from airlines (Document
10031/03, WP 85)
Deze documenten zijn te vinden op http://www.euro-
pa.eu.int/comm/internal_market/privacy/workin-
group/wp2004/wpdocs04_en.htm
documenten van de Werkgroep inzake de bescherming van persoons-
gegevens (artikel 29 van Richtlijn 95/46/EG)
< TERUG INHOUD VERDER >
73bijlagen
2004
• Algemene bevindingen, naar aanleiding van de
onderzoeken door het CBP naar de bijzondere
politieregisters van criminele inlichtingen eenheden
in 2003/2004, september 2004
2003 - 1996
• Cameratoezicht in de openbare ruimte: Onderzoek
naar de inzet van cameratoezicht in alle Nederlandse
gemeenten, november 2003.
• KPN informeert abonnees met geheim nummer
onvoldoende over direct marketing. Onderzoek naar
beleid omtrent 'geheime' nummers; bevindingen,
augustus 2003.
• Onderzoek naar de waarborging van de vertrouwe-
lijke communicatie van advocaten bij de interceptie
van telecommunicatie, juli 2003.
• Onrechtmatig, onbehoorlijk en onzorgvuldig. De
verwerking van persoonsgegevens door een handels-
informatiebureau voor rapportage van verhaalsinfor-
matie, april 2003.
• Sociale diensten: bijstandsdossier en privacy,
februari 2002.
• Privacy bij wetenschappelijk onderzoek en statistiek.
Kader voor een gedragscode, mei 2002.
• Elektronische overheid en privacy, december 2001.
• Onrechtmatige handelswijze van een handelsinfor-
matiebureau, mei 2001.
• Zorg voor gegevens bij indicatiestelling, augustus
2000.
• Politiegegevens beschermd, juni 2000.
• Verstrekken van gegevens door de Belastingdienst
voor bijdrage thuiszorg, april 2000.
• Screening van politiepersoneel moet volgens de
regels, februari 2000.
• Controle e-mailverkeer door werkgever, december
1999.
• Onderzoek naar handelsinformatiebureau Goderie
van Groen, november 1999.
• Uitbesteden van taken Algemene bijstandswet, sep-
tember 1999.
• Bijstanddossiers en bescherming persoonsgegevens,
juli 1999.
Rapporten kunt u doorgaans raadplegen op de website:
www.cbpweb.nl (onder publicaties).
• Verstrekken van gegevens door deurwaarders, juni
1999.
• Vastleggen en verstrekken van call detail records,
juni 1999.
• Verzekeringsmaatschappij verplicht Arbo-dienst tot
registratie en rapportage gegevens, juni 1999.
• Is Landelijk Alcohol en Drugs Informatiesysteem een
persoonsregistratie?, november 1999.
• Doorzenden voorlichtingsrapport reclassering na
toestemming, december 1998.
• Medicatiebewaking door centrale patiëntenregistra-
tie, oktober 1998.
• Beroepscode psychologen, juli 1998.
• Reglementering en beveiliging persoonsregistraties
door ministeries, juli 1998.
• Gegevens over honden en het verstrekken daarvan,
juli 1998.
• Gegevens uit controle door de
Rijksverkeersinspectie, juni 1998.
• Persoonsgebonden clubcard II, mei 1998.
• Persoonsgebonden clubcard, februari 1998.
• Meldpunt ongebruikelijke transacties, juli 1997.
• Videocamera’s Wallen Amsterdam, mei 1997.
• In beeld gebracht. Privacyregels voor het gebruik
van videocamera’s voor toezicht en beveiliging,
januari 1997.
• Als de telefoon wordt opgenomen. regels voor het
registreren, meeluisteren en opnemen van telefoon-
gesprekken van werknemers, november 1996.
onderzoeksrapporten 1996 - 2004
74 jaarverslag 2004
bijlagen< TERUG INHOUD VERDER >
achtergrondstudies en verkenningen (1994 – 2004) en brochures
In de serie Achtergrondstudies en verkenningen zijn
verschenen:
A.H.C.M. Smeets, Camera's in het publieke domein.
Privacynormen voor het cameratoezicht op de openbare
orde, College bescherming persoonsgegevens. A&V 28,
Den Haag, 2004
S. Lieon, mr. M. Th. van Munster-Frederiks, De zieke
werknemer en privacy. Regels voor de verwerking van
persoonsgegevens van zieke werknemers. A&V 27;
College bescherming persoonsgegevens, Den Haag 2004.
T.F.M. Hooghiemstra, Privacy bij ICT in de zorg.
Bescherming van persoonsgegevens in de informatie-
infrastructuur voor de gezondheidszorg.
A&V 26; College bescherming persoonsgegevens,
Den Haag 2002.
dr. J.A.G. Vermissen en mr. drs. A.C.M. de Heij,
Elektronische overheid en privacy. Bescherming van
persoonsgegevens in de informatie-infrastructuur van
de overheid. A&V 25; College bescherming persoonsge-
gevens, Den Haag 2002.
M.M.M. van Eijk en W.J. van Helden, Klant te koop,
Privacyregels voor adressenhandel. A&V 24; College
bescherming persoonsgegevens, Den Haag 2001.
G.W. van Blarkom, Beveiliging van persoonsgegevens.
A&V 23; Registratiekamer, Den Haag 2001.
J.A.G. Versmissen, Sleutels van vertrouwen, TTP’s, digi-
tale certificaten en privacy. A&V 22; Registratiekamer,
Den Haag 2001.
J.H.J. Terstegge, Goed werken in netwerken, regels voor
controle op e-mail en internetgebruik van werknemers.
A&V 21; tweede druk, herzien door drs. S. Lieon,
College bescherming persoonsgegevens, Den Haag
2002.
R. Buitenhuis, N.G.M. van Campen, W.J. van Helden,
H.H. de Vries, Bankverzekeraars en privacy, gegevens-
verwerking in financiële conglomeraten. A&V 20;
Registratiekamer, Den Haag 2000.
W.J. van Helden, Herkomst van de klant, privacyregels
voor etnomarketing. A&V 19; Registratiekamer,
Den Haag 2000.
R.W.A. Wishaw, De gewaardeerde klant, privacyregels
voor credit scoring. A&V 18; Registratiekamer, Den
Haag 2000.
M. Artz en M.M.M. van Eijk, Klant in het web.
Privacywaarborgen voor internettoegang. A&V 17;
Registratiekamer, Den Haag 2000 (niet meer
beschikbaar).
J. de Zeeuw, Informatieverstrekking. Ontheffing van
de fiscale geheimhoudingsplicht in het licht van
privacywetgeving. A&V 16; Registratiekamer,
Den Haag 2000.
R. Hes, J.J. Borking en T.F.M. Hooghiemstra, At face
value. On biometrical identification and privacy.
A&V 15; Registratiekamer, Den Haag 1999.
M.J.T. Artz, Koning Klant. Het gebruik van klantgege-
vens voor marketingdoeleinden. A&V 14; Registratie-
kamer, Den Haag 1999.
J.J. Borking e.a., Intelligent software agents and
privacy. A&V 13; Registratiekamer, Den Haag 1999 (niet
meer beschikbaar).
T.F.M. Hooghiemstra, Privacy & Managed care.
A&V 12; Registratiekamer, Den Haag 1998.
R. Hes en J.J. Borking, Privacy-enhancing technologies:
the path to anonimity. A&V 11 revised edition;
Registratiekamer, Den Haag 1998.
L. van Almelo e.a., Gouden bergen van gegevens. Over
datawarehousing, datamining en privacy. A&V 10;
Registratiekamer, Den Haag 1998 (niet meer
beschikbaar).
C. Zandee, Doelbewust volgen. Privacy-aspecten van
cliëntvolgsystemen en andere vormen van gegevensuit-
wisseling. A&V 9; Registratiekamer, Den Haag 1998.
J. de Zeeuw, Informatiegaring door de fiscus.
Privacybescherming bij derdenonderzoeken. A&V 8;
Registratiekamer, Den Haag 1998.
< TERUG INHOUD VERDER >
75bijlagen
B.J.P. Hulsman en P.C. Ippel, Gegeven: de Genen.
Morele en juridische aspecten van het gebruik van
genetische gegevens. A&V 7; Registratiekamer,
Den Haag 1996.
H.J.M. Gardeniers, Chipcards en privacy. Regels voor
een nieuw kaartspel. A&V 6; Registratiekamer,
Den Haag 1995.
H. van Rossum e.a., Privacy-enhancing technologies:
the path to anonymity, volume I and II. A&V 5;
Registratiekamer, Den Haag 1995. (niet meer beschik-
baar)
A.F. Rommelse, Zwarte lijsten. Belangen en effecten
van waarschuwingssystemen. A&V 4; Registratiekamer,
Rijswijk 1995.
brochures
Gedragscodes. Bescherming van persoonsgegevens
door zelfregulering
oktober 2002
Third countries. Transfers of Personal Data to
Countries outside the European Union
september 2002
Derde landen. De doorgifte van persoonsgegevens
naar landen buiten de Europese Unie/
Third countries. Transfers of Personal Data to
Countries outside the European Union
september 2002
Privacy: checklist voor de ondernemingsraad
april 2002
A.F. Rommelse, Ziekteverzuim en privacy. Controle
door de werkgever en verplichtingen van de werk-
nemer. A&V 3; Registratiekamer, Rijswijk 1995. (niet
meer beschikbaar)
J.P.M. van Casteren, Bevolkingsgegevens: Wie mag ze
hebben? Verstrekking van gegevens uit de GBA aan
vrije derden. A&V 2; Registratiekamer, Rijswijk 1995
(alleen elektronisch beschikbaar).
B.J.P Hulsman en P.C. Ippel, Personeels-
informatiesystemen - de Wet persoonsregistraties
toegepast. A&V 1; Registratiekamer, Rijswijk 1994
(alleen elektronisch beschikbaar).
Wet bescherming persoonsgegevens. Over de bescher-
ming van uw persoonlijke gegevens
augustus 2001
Functionaris voor de gegevensbescherming. Een hand-
reiking
augustus 2001
Mag het een bitje minder zijn? Over Privacy-Enhancing
Technologies
april 2001
Doe het zelf met privacy. Een toelichting op de Audit
Aanpak
2001
76 jaarverslag 2004
bijlagen< TERUG INHOUD VERDER >
informatiebladen
Informatiebladen voor de betrokkene, dat is degene
van wie persoonsgegevens worden gebruikt:
Als u gefilmd wordt met een videocamera, februari
2005
Uw gegevens bij de politie, oktober 2004 (geactuali-
seerd)
Als de politie gegevens over u vraagt, oktober 2004
Recht op infomatie, oktober 2004
Uw recht van verzet bij direct marketing oktober 2004
Correctie van uw persoongegevens oktober 2004
Uw persoonsgegevens beveiligd september 2003 (geac-
tualiseerd)
Inzage in uw persoonsgegevens juni 2004
Uw personeelsdossier juni 2004
Verstrekken van uw persoonsgegevens juni 2004
Opnemen van uw telefoongesprekken op de werkplek
juni 2004 (geactualiseerd)
Uw gegevens op een zwarte lijst juni 2004
Doorgifte van uw gegevens naar derde landen juni
2004 (geactualiseerd)
De functionaris voor de gegevensbescherming juni
2004 (geactualiseerd)
Verstrekken van uw personeelsgegevens
juni 2004 (geactualiseerd)
Geadresseerde reclame juni 2004 (geactualiseerd)
Verstrekken van uw gegevens uit ledenadministratie
maart 2004 (geactualiseerd)
Nummeridentificatie bij telefoonverkeer maart 2004
Rechten van de betrokkene maart 2004 (geactualiseerd)
De sociale dienst en uw persoonsgegevens maart 2004
(geactualiseerd)
Uw klacht en het CBP maart 2004 (geactualiseerd)
Bemiddeling door het CBP maart 2004 (geactualiseerd)
Het toetsen van uw kredietwaardigheid (creditscoring)
maart 2004 (geactualiseerd)
Het gebruik van kentekengegevens en uw privacy
maart 2004 (geactualiseerd)
Camera's op de werkplek maart 2004 (geactualiseerd)
Bewaartermijnen juli 2002
Informatiebladen voor de verantwoordelijke, dat is
degene die persoonsgegevens van anderen gebruikt
voor eigen doeleinden:
Cameratoezicht: als u mensen filmt februari 2005
Informatie delen in samenwerkingsverbanden januari
2005
Als de politie u vraagt persoonsgegevens te verstrek-
ken oktober 2004 (geactualiseerd)
Informatieplicht oktober 2004
Het recht van verzet bij direct marketing oktober 2004
Het bieden van correctie in persoongegevens
oktober 2004
Het geven van inzage in persoongegevens juni 2004
Personeelsdossiers juni 2004 (geactualiseerd)
Verstrekken van persoonsgegevens juni 2004
Opnemen telefoongesprekken op de werkplek juni
2004 (geactualiseerd)
Zwarte lijsten juni 2004
Doorgifte naar Derde Landen inzake uw gegevensver-
werkingen juni 2004 (geactualiseerd)
De functionaris voor de gegevensbescherming juni
2004 (geactualiseerd)
Camera's op de werkplek juni 2004 (geactualiseerd)
Verstrekken van personeelsgegevens aan derden
juni 2004 (geactualiseerd)
Verstrekken gegevens uit uw ledenadministratie
maart 2004 (geactualiseerd)
Melden en vrijstellingen maart 2004 (geactualiseerd)
Bemiddeling door het CBP inzake uw verwerkingen
maart 2004 (geactualiseerd)
Klachtenbehandeling door het CBP april 2003 (geactua-
liseerd)
Voorafgaand onderzoek september 2001
Publicaties van het CBP kunt u inzien en/of downloaden
van de website www.cbpweb.nl. Voor het toezenden van
gedrukte publicaties kunnen verzend- en handlingkosten in
rekening worden gebracht.
77bijlagen
< TERUG INHOUD VERDER >
Artz, mw. S.M., De reikwijdte van het begrip 'bestand',
Privacy & Informatie, nr. 5 - 2004, p. 212-215
Artz, mw. S.M., Symposium ‘Privacy op zijn plaats’ Ter
gelegenheid van het afscheid van mr. P.J. Hustinx als
voorzitter van het College bescherming persoons-
gegevens, Privacy en Informatie, nr. 3 - 2004, p. 114-
116
Artz, mw. S.M. en Lieon, mw. drs. S., Inzicht in de
ondernemingsraad over privacy op de werkplek (SDU,
juni 2004)
Blarkom RE, G.W. van, Certificering. Het certificaat
bescherming persoonsgegevens, Privacy & Informatie,
nr. 4 - 2004, p. 150-154
Fontein, mw. drs. M.A.H., Doorgiften naar derde lan-
den: Praktijkervaringen, Privacy & Informatie, nr. 5 -
2004, p. 206-211
Kohnstamm, mr. J., Is privacy een kabinetscrisis
waard?, Idee, tijdschrift van het Kenniscentrum D66,
nr. 6 - 2004, p. 20-21
Lieon, mw. drs. S. en Munster, mw. mr. M. Th.,
Privacyregels van de zieke werknemer in kaart
gebracht, Beursmagazine, 25 mei 2004, p. 13
Munster, mw. mr. M.Th., Verwerken van persoonsgege-
vens in de arbeidsrelatie, HRM Handboek in de prak-
tijk, aflevering 27, hoofdstuk 11/5- 4.4, 2004, p. 1-14
Munster, mw. mr. M.Th., Specifieke verwerkingen van
persoonsgegevens in de arbeidsrelatie, HRM
Handboek in de praktijk, aflevering 27, hoofdstuk 11/5
- 4.5, 2004, p. 1-24
Pol, mr. U. van de, Hoofdcommissarissen lokken eigen-
richting uit, Algemeen Politieblad, nummer 2, 2004, p.
1 en p. 7
Pol, mr. U. van de en Seumeren, mw. drs. N.M. van,
Sociale zekerheid: privatisering en deregulering gaan
niet samen, NRC Handelsblad, 1 november 2004,
p. 1 en 7
publicaties in kranten, tijdschriften en vakbladen 2004
< BACK CONTENTS NEXT >
78 annual report 2004
The desire...
DN
A,
TH
EU
LTIM
AT
EP
ERSO
NA
LD
ATA
, IS
VIS
UA
LIZ
EDIN
TH
EC
BP-L
OG
O
The desire to use increasing amounts of personal data for a growing number of
purposes is the prominent issue in many social debates. Without pretending to come
even close to a complete picture, the discussion about intensifying the combating of
terrorism, the introduction of the citizen’s personal identity number and the drastic
change to the health insurance system to incorporate market forces can serve as
examples. We must also mention the desire to arrive at more intensive exchange of
information between different institutions and organisations that increasingly try to
realise an interconnecting client system, for the fulfilment of a public task or other-
wise. Private enterprises are required to make data about commercial transactions
available for government purposes and customer data are shared within conglo-
merates as sources of information. Technological breakthroughs or the mass
application of existing technology open the door to previously unheard-of ways for
monitoring, analysing and assessing the actions of individuals and for treating them
according to the information compiled. Thus, the field supervised by the Dutch DPA
is currently changing drastically.
79introduction
< BACK CONTENTS NEXT >
Needless to say, tension arises in balancing the desire or perceived need for ‘invading’someone’s privacy on the one hand and the statutory requirements for the careful handling of personal data on the other hand. In order to bring this ‘battle’ to a pro-ductive synthesis the cooperation of the government, the private sector and the DutchDPA is needed. Those in the public and private sector who wish to realise innovations orchanges should – more so than is currently the case in most instances – realise the prin-ciples of the protection of personal privacy in order to use them to find solutions for pos-sible dilemmas. For the Dutch Data Protection Authority (DPA), on the other hand, therule applies that it is intensely aware – or should be aware – of new social developmentsand needs.
The framework within which the Dutch DPA then acts is, to a large extent, restrictedby the relevant statutory stipulations and the instruction to be derived from these sti-pulations, whereby the Personal Data Protection Act (WBP) – more so than a number ofother laws – determines the actions of the regulatory authority. The history of the realisation of the WBP, and the developments since then, provide us with complex dilem-mas in this respect.
As ever, if the legislator resorts to codification of that which has grown in everydaypractice or which is deemed to be desirable as a standard in a political-social sense, overthe course of time attention focuses more on the technical implementation of the lawthan on the matter to be protected or the objective to be realised which is hidden behindthis technical implementation. In these cases the application of the law looks mostly for-malistic, while the material interest is hidden from view. In other words: in the eyes ofsome parties the Dutch DPA is an ‘administrative burden’ rather than the ‘privacy watch-dog’.
It also strikes me as curious that the fundamental right in question was ultimately con-verted into national legislation on the basis of a European Directive that aims to combatunfair competition. More so than the protection of the citizen, it appears the protection of the consumer was the driving force to arrive at this specific form of codification. This is even more surprising because, in cases in which the statutory sti-pulations are considered too restrictive for the sector-specific objectives to be realised,the central government can introduce new legislation that can still make it possible forthe requirements the WBP imposes on the way personal data is handled to be met. TheWBP therefore appears to have a considerably less binding character in the public sectorthan in the private sector.
In the public debate there has, for some years, been a strong erosion and politicisationof the term ‘privacy’. The action radius of the Dutch DPA is determined by the concretelydescribed instruction in the WBP to make a contribution to the protection of personaldata. This is generally referred to as privacy protection. In the social debate the term ‘pri-vacy’ is also used in a casual sense without even a remote stipulation as to what thisrefers to. In recent years ‘privacy’ has, for many people, also become a political ‘bone of contention’: a vaguely defined interest that supposedly prevents ad-ministrators and professionals from realising politically and socially desirable objectives. In statements from politicians, administrators and other officials – for
< BACK CONTENTS NEXT >
80 annual report 2004
instance the now traditional far-reaching New Year’s addresses of Chiefs ofPolice – criticism of ‘privacy’ as an obstacle to action and as a hiding place fordefaulters, fraudsters and other malicious persons has become a recurring coverfor the lack of decisiveness or successful action on the part of organisation inquestion.
What is irritating about these statements is the fact that they are never orhardly ever accompanied by examples to demonstrate exactly what the problemis. Insofar as concrete situations are given as examples that are supposed toshow that the WBP (or any other statutory stipulation that provides for theprotection of personal data) actually obstructs the realisation of politically orsocially desirable objectives it usually becomes clear on closer consideration thatthere was in fact unprofessional conduct on the part of the party complainingabout the obstacle, or – sometimes very – limited knowledge of the possibilitiesthe Act most certainly does provide.
What was and is the essence of what the WBP is supposed to protect? Andhow must this protection be realised? The Dutch Constitution, the EuropeanConvention on Human Rights, the Strasbourg Data Convention and the draftConstitution for the European Union all document privacy protection and, conse-quently, the protection of personal data. The first value is the protection of per-sonal privacy, guarantees against offensive or unwarranted intrusion into the lifeof citizens. The primary objective of this protection is to enable citizens to havea certain freedom of action.
To this effect all individuals want some level of control over what othersknow about them, about the image others have of them. Everyone is entitled toand has an interest in being able to determine, to a certain extent, if, and if soin which way, distribution of information that is generated or stored about himor her is to take place. From the point of view of the citizen and consumer theright of self-determination, autonomy and individual development – always tobe relatively interpreted in a democratic state under the rule of law – are therefore the key values with respect to the norms and the resulting rules fordealing with personal data.
If power and the exercise of power are linked to personal data, an unjusti-fiable restriction of the social opportunities and development of the individualmay result. The technical ‘translation’ into everyday social practice that has beenmade in the WBP means that citizens and consumers are entitled to and must beable to rely on the fact that the government and the private sector will deal withpersonal data in a decent, respectful and transparent manner.
The following chapters of the 2004 annual report list many concrete statedcases and recommendations in which the Dutch DPA, with due observance ofthe law, has tried to fulfil its task as a regulatory authority in a contemporarymanner. The search for an acceptable balance between the seemingly conflictinginterests of protecting personal data on the one hand and market, political or
81introduction
< BACK CONTENTS NEXT >
social needs on the other is a recalcitrant one, as this report shows. It is a legi-timate question – and one that must be asked frequently – whether any singlestipulation in the WBP hinders us rather than helps us in this search.
An intensification of the search for an acceptable balance is advisable, bothfor the Dutch DPA and for ‘those responsible’– the government and private par-ties – and, if possible, one that is based on reciprocity. After all, trust betweenpeople and organisations in society is, in part, determined by the way personalprivacy is respected and more specifically the way in which personal data ishandled. Can the individual ‘look over the shoulder’ and determine if, and if sowhat, information is being circulated about him or her? In what way havechecks and balances been implemented so that effective control of the collection, processing and sharing of personal data is possible?
Ultimately, finding a good balance benefits the way in which individuals areable to give their trust to society. A society that is able to generate this socialcapital for its citizens has created an important boundary condition for pros-perity and well-being, for a blossoming civil society, for a society that findsstrength and safety in cohesion.
J. Kohnstamm
chairman
< BACK CONTENTS NEXT >
82 annual report 2004
Review of 2004The bombings in Madrid and the murder of Theo van Gogh have resul-
ted in an intensification of the pursuit of a safe society and in particu-
lar of the fight against terrorism. In short order a number of extensions
to the powers of the police and the Ministry of Justice were implemen-
ted or announced, which will result in more and more information on
citizens who are not suspects ending up in police files. For years there
have been calls for extended powers, but the increased threat of terro-
rism since September 11, 2001 has made way for a conviction that such
an extension is in fact necessary.
Needless to say, the Dutch DPA (Dutch Data Protection Authority)
supports the need for the Government to take effective measures to
combat terrorism. However, international treaties, European rules, the
Dutch Constitution and other laws demand that new powers meet the
joint criterion of usefulness and necessity. Legal protection must also
be provided for. It may be necessary to venture out in different directi-
ons in the battle against the new terrorism, but there is no reason to
give up the view that exercise of power and law enforcement must take
place within a system of checks and balances: no powers without
demonstrable necessity and no powers without the use of these powers
being monitored.
< BACK CONTENTS NEXT >
83review of 2004
Terrorism and safety
Combating terrorism
In their ‘terrorism’ memorandum to the Lower House on 10 September 2004, theMinister of Justice and the Minister of the Interior and Kingdom Relations announcednew methods and powers for combating terrorism. Among other things, the Governmentenvisaged comprehensive collection, linking and analysis of information about groupsand persons as the key to preventing terrorism. For this purpose, the Government deemed an extension to detection powers to be necessary. It announced it would reducethe legal criterion – ‘suspicion or reasonable suspicion of involvement’ – for the authorisation of such actions as tapping telephones, monitoring Internet use and sur-veillance to ‘indications of involvement’. The information exchange between securityservices, the police, the Public Prosecution Service and the IND (Immigration andNationalisation Service) was to be intensified by means of an information hub, theCounter-terrorism info box, where files would be combined and analysed. According tothe Ministers’ memorandum, for the Government the mere fact that a citizen acts sus-piciously is sufficient reason to put him under surveillance to assess whether the sus-picion is justified or not.
In a public response to the proposals the Dutch DPA came to the conclusion that thenecessity for an expansion of the powers to collect information had not been demon-strated. The new powers would be an addition to the anti-terrorism legislation that cameinto effect on 1 September 2004. The scope of the Criminal Code was expanded with newpenalisations and through increasing the sentences for criminal offences with terroristobjectives. Conspiracy (in other words making arrangements) to commit terrorist actsalso became a criminal offence. No experience has yet been gained with these new legalstipulations for information processing that provides an insight into the usefulness andnecessity of the proposed measures. Added to this there are the recently implemented oryet to be implemented powers to intercept telecommunications and the power to requestinformation from companies and other organisations.
Furthermore, the proposed far-reaching coordination of the gathering of informationfails to recognise the separate legal responsibilities and powers of intelligence servicesand the police. Protecting the security of the state is primarily the business of the in-telligence services. These services have far-reaching powers to collect information at themerest hint of suspicion that the security of the state is at risk. The police can only re-ceive information from, particularly, the General Intelligence and Security Service if thisaids them in their performance of police duties. The Dutch DPA therefore issued a war-ning against a development whereby information on a lot of citizens who are not sus-pects would leave the files of the security services to end up in the police files.
The proposed plans also lacked a proposal for the adequate and structural control ofthe process of collecting and sharing information. It would be a serious shortcoming ifthe Government did not provide for this control. A lot of the work carried out wouldremain hidden, also to persons who were the unjustified subject of an investigation. It istherefore all the more necessary to build in controls for the exertion of these far-reachingGovernment powers. Citizens must be protected against terrorism, but must also be able to have confidence that the Government will exercise its far-reaching powers legitimately.
< BACK CONTENTS NEXT >
84 annual report 2004
In 2005, meanwhile, the Dutch DPA has further defined its standpoint in the adviceon the draft legislative proposal regarding special detection powers to track terroristactivities. The Dutch DPA has not received any further information from the Ministers inquestion regarding the CT info box. The Minister of Justice has promised the LowerHouse to provide further written information on this subject.
Telecommunication records
The ongoing Europe-wide debate about a duty to retain telecommunication records forthe purpose of criminal detection was given a new slant in the aftermath of the terroristattacks in Madrid. As a result, the European Council adopted the Declaration onCombating Terrorism on 25 March 2004. This Declaration called for proposals for a man-datory traffic data retention for providers of telecommunication services. The DutchDPA responded to this call and made a substantial contribution to the advice issued bythe Article 29 Working Party – the collaboration of privacy regulators in the EU – in respect of the duty to retain records, which was also submitted to the relevant StandingCommittees in the Upper and Lower House. Building on earlier opinions issued sincethe Nineties and decisions made by the European Court of Justice, the Working Partyformulated the opinion that the proposals for a mandatory traffic data retention withregard to all telecommunication contravene the stipulations of Article 8 of the EuropeanConvention on Human Right (ECHR): no necessity for the long-term retention of all tele-communications traffic data of persons who are not suspects has been demonstrated.Such systematic storage of information is disproportional.
Passenger data
In the opinion of the Article 29 Working Party the outcome of the negotiations betweenthe European Commission and the United States regarding the transfer of passengerdata to the US remained below par on a number of points. Nonetheless, the EuropeanCommission has made a positive decision in respect of the level of protection in the US.The European Parliament brought the matter before the European Court.
The Article 29 Working Party subsequently focused on the proper implementation ofthe final decisions. To this effect a model was created for the provision of information topassengers. The airlines were consulted about the provision of information to passen-gers. The Working Party also urged the earliest possible transition from pull to push, inother words, from opening up the reservation system to the American authorities so thatthey can collect the information required, to the active supply of the necessary data bythe companies themselves.
Duty of identification
Early in 2004 the Dutch DPA advised the Minister of Justice against submitting the legis-lative proposal on the expansion of the duty of identification. The main argument forthis advice was that the legislative proposal created a general duty of identification forcitizens, both to the police and to other supervisory authorities. However, the legislatordid not sufficiently substantiate and justify such a duty of identification.
Only relatively few years ago the Kok Government concluded that a general duty ofidentification would be going too far. The clarification with the legislative proposal did not raise any new arguments and the Government therefore failed to meet the requirement in Article 8, paragraph 2, of the ECHR, which stipulates that infringements
85review of 2004
< BACK CONTENTS NEXT >
Results secured in 2004WITH REGARD TO THE OBJECTIVES SET FOR 2004 THE FOLLOWING
RESULTS HAVE BEEN ACHIEVED:
• Employee illnessIn May 2004 the investigation into the main data flows in
relation to employee illness and the associated privacy rules
resulted in the publication of a reference work with practical
rules of thumb: Employee illness and privacy - rules for the
processing of data on sick employees. The reference work was
brought to the attention of the various parties involved in the
reintegration of sick employees and is among the most viewed
publications on the website.
• Police files The investigation into the files of the Criminal Investigation
units of eight regional police forces that was started in 2003
was finalised in 2004. The general findings of the investigation
have been published.
• Investigation into wire tapping rooms At the end of 2004 – later than anticipated – the Dutch DPA
started the preparations for an investigation into the privacy
aspects of data processing in police wiretapping rooms, in a
follow-up to the 2003 Investigation into the safeguarding of
confidential communications of solicitors in the interception of
telecommunications. The investigation will not be completed
until 2005.
• Camera surveillance Building on the investigation Camera surveillance in public
spaces - an investigation into the deployment of camera
surveillance in all Dutch municipalities (2003) a study was
published in December 2004 on the privacy aspects of
camera surveillance in public areas. Cameras in the public
domain - privacy standards for camera monitoring of the
public order offers municipalities rules of thumb for
decision-making and implementation of camera surveillance.
The study is one of the most viewed publications on the
website.
• Citizens Service Number The realisation of the Nationale Vertrouwensfunctie, an
organisation that will be charged with providing citizens with
insight into all the information flows based on the citizens
service number, experienced a delay in 2004. Unfortunately in
2004 it was not yet made possible for the Dutch DPA to start
verifying existing and new data processing procedures and pre-
paring for the future Ombudsman function. This preparation
will now be realised in 2005.
• CertificationThe system of privacy certification devised in collaboration with
NOREA (professional association of IT auditors) and NIVRA
(Royal Dutch Institute of Registered Accountants) was tested in
practice in 2004 using experimental certifications. Deviating
from what was intended initially, and in close consultation with
the partners, the choice was eventually made to leave the
ultimate construction of certification systems entirely to the
market parties. The project was completed in February 2005
with a presentation and publication of the document entitled
Contours for Compliance - a guide for the definition of
standards within the Privacy Audit Framework to interested
organisations.
• Introduction of DBC systemIn the area of health care the Dutch DPA will remain closely
involved in the development and implementation of the
financing system based on the Diagnosis Treatment
Combination.
• National registers in the care sector In 2003 the Dutch DPA completed a preliminary investigation
into five national registers in the care sector. Later than an-
ticipated, general findings and standards for national care
registers were formulated in 2004 on the basis of the study.
• Investigation into the way privacy is experiencedIn 2004 the Dutch DPA instructed TNS Nipo consult (a market
research agency) to carry out a study into the way Dutch citi-
zens experience privacy and what their privacy requirements
are. Similar studies have already been carried out in a number
of European countries. The results will be published in 2005.
• Policy rules and 2nd line position The Dutch DPA has published a number of policy rules for the
treatment of certain categories of cases and the associated
publicity. In the context of the endeavour toward a 2nd line
position the Dutch DPA was able to reach agreements with a
number of sector, trade, umbrella and professional organi-
sations regarding information exchange and distribution of
tasks in the provision of information and processing of com-
plaints.
• Organisational developmentIn 2004 the Investigations department became operational. A
start was made on the development of differentiated research
formats and risk analysis as a tool for policy formulation. The
department played an important role in the Nipo study into the
way citizens experience privacy and also performed the 2004
notifications analysis.
• Dutch DPA websiteAt the end of October 2004 the Dutch DPA went live with a
new website aimed at providing more direct information to
data subjects and data controllers. The material on the website
has been made accessible in a more demand-focused way.
Since the website has been upgraded the number of visitors
has increased notably.
< BACK CONTENTS NEXT >
86 annual report 2004
of privacy must be sufficiently justified. Neither were the possible discriminatory andstigmatising effects of the proposal acknowledged. On 1 January the extended and defacto general duty of identification came into force.
Cameras in the public domain
The interest in video surveillance has only increased in recent years. The general publicalso accepts cameras, expecting video surveillance to be effective. Video surveillance,particularly on the part of the Government, has increased considerably in recent years.This is why, in 2003, the Dutch DPA initiated a study into the nature and scope of videosurveillance by Dutch municipalities. Among other things this study showed that 20 percent of municipalities use video cameras and that in many of these municipalitiesthe effectiveness of the video surveillance had not (yet) been evaluated. Subsequently, astudy entitled Cameras in the public domain was published in November 2004 withrules of thumb for decision-making, starting points for the placement and use of cameras, the rights of data subjects, monitoring and evaluation.
Administrative records
The new WAO (Occupational Disability Insurance Act) and the insurance companiesIn respect of the new WAO system the Dutch DPA advocated greater clarity about thepositions the various parties (employer, employee, UWV [employed persons' insuranceadministration agency], reintegration agencies and insurance companies) take up in relation to each other when it comes to the use of personal data. The way in which in-surance companies will deal with personal data in the new system is unclear, and this isnot a desirable situation.
As a result of the new tasks pursuant to the Work and Income based on EmploymentCapacity Act but also, for instance, the new Health Insurance Act, the corporate groupsof which the insurance companies are a part will have access to even more (medical)personal data. This creates the potential for a powerful and influential information position.
Insurance companies do, however, acknowledge the importance of the careful processing of personal data. If the Government fails to establish rules for this type ofprocessing it will be time-consuming and inefficient for the parties involved in the pro-cessing. The Dutch DPA has therefore urgently advocated to the Minister of SocialAffairs and Employment that clarity must be provided in the relevant legislation regar-ding the possibilities and limitations relating to the processing of personal data.
Diagnosis Treatment Combinations
Further to the formulation of the privacy framework by the Ministry of Health, Welfareand Sport (VWS) and Zorgverzekeraars Nederland (Association of Dutch HealthInsurers), it was agreed with the Dutch DPA that the privacy-conscious introduction ofthe Diagnosis Treatment Combinations (DBCs) would be given a follow-up. The sharingof information between the different parties must be done in such a way that there isless detriment to the patient’s privacy and to medical confidentiality. The Dutch DPAplayed an advisory role for a number of work groups. The Dutch DPA also took a criticallook at the structure of the DBC Information System. Agreements were reached with theMinistry of Health, Welfare and Sport and other parties involved regarding minimumguarantees for the coming period. These periodic meetings between the Dutch DPA and
87review of 2004
< BACK CONTENTS NEXT >
the different parties will continue in 2005. As the supervisory authority, the Dutch DPAwill remain very alert to the parties’ honouring of their promises.
New police information system
In recent years the different police forces have developed a colourful range of ICT appli-cations to perform the same tasks. Eventually the decision was made to try to achievecountrywide uniformity in the area of ICT. As the supervisory authority for the proces-sing of data by the police, the Dutch DPA was asked to advise regarding the statutoryrules that affect the choice of new systems.
In addition, work also commenced on the revision of the statutory framework for apolice information system. In 2004 the Minister of Justice received advice regarding thedraft legislative proposal on the Police Data Act. The Dutch DPA is able to agree with asystem for processing police data in which the guarantees increase as the processingconstitutes a greater risk for the data subjects involved. There were also three importantareas of criticism. Firstly, more emphasis is needed on the quality of data processed bythe police. Secondly, the Dutch DPA seriously objects to the introduction of so-calledtheme files: large collections of data about citizens who are not suspected of anything.Thirdly, clear regulations are required in respect of retention periods. Data that is nolonger required should be destroyed rather than retained indefinitely ‘just in case’ theinformation might be needed in future.
New Schengen Information system
The purpose of the Schengen Information system is to reinforce control on the outer bor-ders of the European Union. The simple fact that new member states have joined the EUmakes it necessary to update this system. Neither can biometric characteristics be inclu-ded in the system. In September 2004 the Joint Supervisory Authority (JSA) Schengen,under the presidency of the Dutch DPA, issued an opinion about the development of thenew Schengen Information System (SIS II). The JSA requests attention for the protectionof personal data even in the design stage of SIS II. The European Council is called uponto clarify the objective and functions of the new system so that sufficient privacy gua-rantees can be incorporated.
European visa information system
Plans exist for one visa information system for the entire European Union, using biome-tric data. The Article 29 Working Party published an opinion on these plans in August2004. The Work Group points out that the processing of biometric data must meet strin-gent lawfulness standards because the risk of abuse of such data is great. The WorkingParty has serious reservations about the routine, large-scale storage of biometric dataand wants to be involved in the further structuring of the visa information system.
Citizens Service Number
The policy for an ‘electronic Government’, a government that makes optimum use ofinformation technology, including the Internet, was outlined in 2004 in the programmeentitled ‘A different Government’. The introduction of the Citizens Service Number(BSN) is an absolute condition for the success of this programme. The BSN programagency was established with the instruction to implement the plan that was finalised atthe end of 2003.
< BACK CONTENTS NEXT >
88 annual report 2004
The Government unexpectedly made the decision – contrary to its earlier promises –to introduce the BSN in the health care sector as well. Health care institutions andhealth insurance companies will be obliged to use this number. The use of a unique per-sonal identification number in the health care sector has inherent risks. Large-scale lin-king of (patient) data becomes easier and, therefore, so does abuse. However, a separatecare identification number – a safeguard against the too-easy distribution of informationon patients and health care recipients – no longer proved feasible in the political andsocial arena. The Dutch DPA subsequently approved the use of the BSN in the healthcare sector, provided it was accompanied with compensatory guarantees, including reliable authorisation procedures for the use of medical data that becomes accessiblewith the number.
In 2005 the Dutch DPA will play a part in the preparation of the so-called NationaleVertrouwensfunctie, an organisation that provides for structural monitoring in the formof, among other methods, one office where citizens can take their questions and com-plaints about the BSN.
Codes of conduct
In 2004 it was possible to approve five sectoral codes of conduct. After a preparatoryprocess spanning many years, in which the Dutch DPA tried to support the sector association, the code of conduct for private investigation agencies was approved early in2004.
The Royal Professional Association of Court Bailiffs developed a code of conductcomprising rules for the special situation whereby court bailiffs act as public func-tionaries and also provide commercial services (for instance debt collection). It is essen-tial that they do not use the information obtained pursuant to their special legal statusas a civil servant in the performance of their non-public activities.
The sector organisation for Recruitment, Search and Selection (OAWS) revised andupdated its code of conduct that indicates for which purposes personal data of potentialcandidates can be processed. The ‘Good Behaviour Code of Conduct’, a code of conductfor health research, was also revised and rules for the processing of patient data inhealth research have been incorporated. New is the code of conduct for the processing ofpersonal data in research and statistics, which was formulated by three organisations:the Association for Policy Research, the Association for Statistics and Research and aprofessional association for market and policy researchers(MarktOnderzoekAssociatie.nl).
In 2004 Zorgverzekeraars Nederland, the sector association for health insurance companies, started on the formulation of rules of conduct for, among other things, theuse of the large quantities of medical data that health insurance companies receive inthe context of healthcare claims. Rules will also be formulated for the investigation offraud committed by an institution, care provider or insurant. This concerns an additionto the Code of Conduct for the Processing of Personal Data of the financial institutions.Expectations are that these rules of conduct can be furnished with an approval in thesummer of 2005.
89review of 2004
< BACK CONTENTS NEXT >
Supervision
The annual Spring Conference of the Data Protection Authorities in the European Union,which in 2004 was organised in Rotterdam by the Dutch DPA, focused on effectivesupervision methods and arrangements. The three-day conference was opened on 22 April by Minister of Justice J.P.H. Donner, who called for further collaboration insupervising the enforcement of law and order in Europe within the so-called third pillar,the policy area of the Ministries of Justice and Internal Affairs. The European privacyregulators have now intensified their collaboration in monitoring and advising on theareas of responsibility of the police and the Ministry of Justice.
Supervision of the European collaboration in law enforcement
The national Data Protection Authorities in the European Union jointly supervise theinstitutions in which the national police and Ministry of Justice authorities in Europecollaborate (among others Europol and Schengen), via the so-called Joint SupervisoryAuthorities and Bodies. In 2004 these supervisors of personal data processing (Schengen,Europol, Customs and Eurojust) met for the first time with a view to providing strongeradvice regarding the third pillar. Among other things, they issued a response to thequestions of a Commission of the British House of Lords regarding the combating of terrorism in the European Union and privacy protection.
The regulators advocated improvements to the protection of the fundamental rightsof the individual in respect of his personal data and the supervision thereof. Existinginternational legislation and regulations are not sufficient for this purpose. In view ofthe increasing scale of data processing, often including data on persons who are not sus-pects, there is a need for new specific rules for the police sector.
Private investigation
In 2004 a special supervisory arrangement was created for the private investigation sec-tor. The Act for Private Security Organisations and Detective Agencies does standardisethe sector, but rules for the realisation of investigations and the further processing of thedata collected in such investigations were lacking. The scope of the code of conduct ofthe Association of Private Security Organisations, which provides for this, was expan-ded because the Minister of Justice made this code of conduct mandatory for all privateinvestigation agencies by Ministerial decree. The Dutch DPA and the Minister of Justicehave entered into collaboration for the monitoring of compliance with this code of con-duct.
Work and Assistance Act
For the purpose of monitoring compliance with the new Work and Assistance Act theIWI (Work and Income Inspectorate) and Dutch DPA have expressed their intention toenter into a collaboration agreement in 2005. Through collaboration and the sharing ofknowledge more effective and efficient supervision will be possible. Collaboration alsopromotes unambiguous supervision because the standards used by the regulators can becoordinated. This can also lessen the regulatory pressure for organisations under super-vision. For example, the agreement will stipulate arrangements in respect of sharingsupervisory information and the mutual provision of information regarding the resultsof investigations.
< BACK CONTENTS NEXT >
90 annual report 2004
Objectives in 2005IN 2005 THE FOLLOWING ISSUES AND OBJECTIVES WILL BE
PRIORITISED:
• Security and privacySecurity and privacy are not necessarily mutually exclusive. The
Government’s endeavour to achieve a much stronger informa-
tion position with regard to citizens (who are mostly not sus-
pected of anything) does however raise some essential
questions. The supervision of the way certain powers are used
and of the information gathered on citizens is, wrongly, not yet
sufficiently regulated. Where supervision and control are regu-
lated, there is sometimes poor compliance with the rules. In a
response to the developments in the area of security and the
combating of terrorism the Dutch DPA will, in 2005, publish its
standpoints and consider the investigations that need to be
carried out into compliance with privacy rules in this area.
• Special police registers The Dutch DPA considers it one of its tasks to provide structu-
ral supervision of the special police registers, as these are not
or hardly accessible to citizens or to the courts. In 2005 the
Dutch DPA will once again investigate a number of files from
these registers and publish a report of its general findings.
• Private investigation agencies In 2005 the Dutch DPA will investigate compliance with the
sectoral code of conduct by private investigation agencies, by
means of a random check.
• Risk selection Profiling is the assessment of individuals on the basis of group
characteristics. This concerns inclusion and exclusion of people
on the basis of an analysis using a profile. Profiling has the
inherent risk of unfair treatment. This year the Dutch DPA will
organise an expert meeting on risk selection. Based on the
results of this meeting the Dutch DPA will decide whether it
will further define, in a publication, the privacy rules for the
use of group profiles in risk selection.
• Internet and privacyThe Internet confronts users with questions about their privacy,
the security of their personal details and the possible abuse of
these details. The Internet also confronts the Dutch DPA with
new questions about its authority as a regulator and the effec-
tive supervision of the Internet. The Dutch DPA will determine
and publish its position as a regulator in respect of the Internet.
This also includes the formulation of specific standards in a
number of areas. The focus will be on publications on websites,
seen from the angle of the privacy problems that citizens ex-
perience on the Internet in everyday practice.
• Information obligation Authorities, companies and other organisations have the sta-
tutory obligation to inform people whose personal data they
use of this fact and its purposes. Compliance with this infor-
mation obligation is an important guarantee that citizens are
able to exercise their rights in respect of their personal data.
The information obligation is being insufficiently complied with.
The Dutch DPA will pay extra attention to this in 2004, both in
its information provision and by means of investigations.
Compliance with the information obligation will be inves-
tigated, particularly also among private detective agencies and
in respect of combating Social Security fraud.
• Investigation of the notification obligation Also in 2005 the Dutch DPA will carry out a random check of
compliance with the notification obligation in a number of sec-
tors, based on an analysis of the public register of notifications.
• Administrative burden The Dutch DPA will formulate proposals for the reduction of
the administrative burden experienced by companies (and
authorities), whilst retaining the current level of protection of
personal data. Further to proposals made toward the end of
2004, the Dutch DPA will enter into consultations with the
Minister of Justice to discuss a broadening of the exemptions
of the notification obligation. The Dutch DPA will also suggest
that the permit obligation for the transfer of personal data out-
side the EU be abolished if companies use standard contracts
approved by the European Commission.
• Binding Corporate Rules The Dutch DPA will actively contribute to simplifying the rules
for the transfer of personal data to data controllers outside the
European Union. Among others the Dutch DPA will work
toward European agreements in respect of a uniform procedure
for applying for permits and in respect of co-ordinated pro-
cessing of permit applications based on so-called binding
corporate rules (BCRs): self-regulation tools for the processing
of personal data within companies operating on an inter-
national basis.
• Collaborations Collaborations aimed at dealing with social issues (safety, nui-
sance in neighbourhoods, outreach assistance, youth care) are
receiving a lot of attention. In this context privacy legislation is
often – and often wrongly – seen as an obstruction. The Dutch
DPA will contribute to clarifying the rules for the necessary
exchange of personal data in collaborations. In April 2005 the
Dutch DPA is organising a symposium on privacy in colla-
borations. Together with Vide, the professional association for
regulators, the Dutch DPA will organise a symposium for
inspectorates etc. about their position as a participant in
collaborations and as a regulator of organisations that par-
ticipate in collaborations.
91review of 2004
< BACK CONTENTS NEXT >
• Supervision and regulators The Dutch DPA aims for efficient and effective supervision of
compliance with the rules for processing of personal data.
Umbrella and trade organisations will be contacted regarding
their responsibility for self-regulation, among other means by
the publication of a guide for compliance assessment. The
Dutch DPA also stimulates the appointment of data protection
functionaries and, in 2005, will focus on the qualitative impro-
vement of this internal supervision.
The Dutch DPA will issue advice to the Minister of Justice
aimed at resolving obstacles the regulators are faced with as a
result of the Personal Data Protection Act.
The Dutch DPA will enter into a collaboration with the OPTA.
With a view to effective supervision, collaborations with vari-
ous other regulators (including the IWI) will also be assessed.
Together with the Equal Treatment Commission, the National
Ombudsman and the Study and Information Centre for Human
Rights, the Dutch DPA aims to advise the Government on the
desirability of a National Human Rights Institute.
• Health Care and Social Security The introduction of market mechanisms and increased indi-
vidual responsibility are focal points in both sectors. In both
systems insurance companies are given a prominent role that
will result in a more intensive collection of often sensitive data
on individual citizens and the exchange of this information
within conglomerates. However, clear rules for the use of per-
sonal data are lacking.
The Dutch DPA will continue to highlight the privacy risks
associated with the partial privatisation of health care and
security systems. As a regulator the Dutch DPA will closely
monitor the introduction of the Diagnosis Treatment
Combinations (DBC) system. An exploratory investigation
among health insurance companies into the use of medical
data by health insurers will also be carried out.
In 2005 the Association of Dutch Health Insurers (ZN) will re-
vise the addendum to the Code of Conduct for financial in-
stitutions and expand its scope with rules for material controls
and rules about the use of claim details. The Association will
submit this addendum to the Dutch DPA for approval.
A normative framework for the social services will also be
published: ten basic principles the social services must comply
with when processing personal data.
• Citizens Service Number The introduction of the citizens service number (BSN) is cur-
rently the focal point in the development of the Government
information infrastructure. The Dutch DPA was intensely in-
volved in the preparation of this system. Through participation
in the BSN steering committee and in the working party for the
Nationale vertrouwensfunctie (an organisation that will be
charged with providing citizens with insight into all the infor-
mation flows based on the citizens service number), the Dutch
DPA aims to ensure that the agreed privacy guarantees are in
fact realised. In the context of the Nationale vertrouwens-
functie the Dutch DPA itself will be responsible for the National
Ombudsman function and the verification of data exchange
based on the BSN and will be preparing for the implementation
of these tasks in 2005.
• Evaluation of the Personal Data ProtectionAct The Dutch DPA will prepare to make a contribution to the
evaluation of the Personal Data Protection Act, which is ex-
pected to take place in 2006 (Article 80 of the Personal Data
Protection Act).
< BACK CONTENTS NEXT >
92 annual report 2004
Health Insurance Act
The new Health Insurance Act provides for a mandatory standard of health insurancefor all residents. In 2004 the Dutch DPA advised that, in respect of the legislative pro-posal, more concrete standards be set for the use and exchange of personal data in thecontext of health insurance. The structural supervision of health insurance companieswould otherwise mainly be limited to highlighting unlawful situations in insurance-related, financial and administrative areas. Supervision of the processing of personaldata must also be specifically included in the legislative proposal because the processingof personal data by the health insurance companies also requires structural supervision.In addition the draft addendum of the Association of Dutch Health Insurers (ZN) withthe Code of Conduct for the Processing of Personal Data for financial institutions mustbe adjusted.
Spam
Unsolicited e-mails sent in large quantities, better known as spam, are a nuisance, aredifficult to eliminate and incur high costs for Internet service providers, and thereforefor their customers. According to recent estimates approximately three quarters of all e-mails sent worldwide are spam. The European Directive on ElectronicCommunications (2002/58) prohibits the sending of unsolicited commercial messagesand the European regulators supervising compliance with this prohibition work togetherin the so-called Contact Network of Spam Authorities to exchange information andfacilitate collaboration in the enforcement of the prohibition in the EU. A collaborationagreement has also been formulated for this purpose.
In the Netherlands the OPTA (Independent Post and Telecommunications Authority)and the Dutch DPA signed, on 19 October 2004, agreements regarding collaboration inrespect of the prohibition on spam, which in the Netherlands has been in force since 19 May 2004. The Dutch DPA will focus primarily on supervising the collection and useof e-mail addresses. Individual complaints regarding spam can be addressed to theOPTA via www.spamklacht.nl. The practical agreements about dealing with spam con-stitute a prelude toward a broader collaboration protocol in 2005.
Investigation and enforcement
Criminal investigation units
In 2003 and 2004 the Dutch DPA carried out investigations into special police registersheld by the criminal investigation units (CIE) of the regional police forces. Pursuant tothe Police Files Act (Wpolr) the Dutch DPA is the regulator supervising the use of thepolice files. In this position the Dutch DPA has access to the content of the CIE files.Because of their sensitive nature these files are, quite rightly, largely protected fromaccess by the registered persons involved and from supervision by the court. In this con-text the Dutch DPA considers it a special responsibility to substantively supervise theCIE files.
In its investigations the Dutch DPA focused mainly on checks based on the content ofthe files, and a number of technical and organisational aspects were also taken into con-sideration. The general picture emerging from the investigation is mostly positive. Thesubstantive aspects that were investigated generally proved to be in order. With regard
93review of 2004
< BACK CONTENTS NEXT >
to the investigated technical and organisational aspects it became clear that on a numberof points the rules imposed by legislation and regulations are not being met. The policeforces have indicated that, whilst awaiting an information system to be implemented ona national basis, they will not make any adjustments to the current systems andmethods.
Schengen Information system
In 2004 the JSA Schengen asked the national supervisory authorities of the member sta-tes linked to the Schengen Information System (SIS) for an investigation into the practiceof registering foreign nationals in the system. JSA Schengen received reports at the endof June 2004 and the end of December 2004. A number of registrations have raisedquestions for the Dutch DPA and these registrations will be investigated further.
National registers in the health care sector
In 2004 the Dutch DPA completed its investigation into the operation of nationalregisters in the health care sector with a report that was published in April 2005. Thekey questions of the exploratory investigation were: what does the patient know aboutthe registration of his data in national data banks, for what exact purposes are theseregisters used and can the information in these registers be traced back to the individualpatients. In view of the sensitivity of the information and the professional secrecy thatapplies to physicians, partly in view of this sensitivity, the law currently only offerslimited possibilities for the processing of (indirectly) traceable patient data.
The investigation of five national registers gave the Dutch DPA the impression thatthe investigated national registers generally handle the personal data reasonably well. It also emerged that, in nearly all cases, improvements were possible and necessary. Themain measure to be implemented is limiting the traceability of the data to individualpatients. A number of recommendations have now been adopted by the registers.
Compliance with the notification obligation
Pursuant to the Personal Data Protection Act (WBP) companies, organisations and in-stitutions are obliged to notify the processing of personal data to the Dutch DPA or theirData Protection Officer, unless there is an exemption. If data processing has wronglybeen notified incorrectly or incompletely, or has not been notified at all, the Dutch DPAcan impose a penalty to a maximum of 4,500 Euro. Notifications from certain sectors orregarding certain types of processing are periodically subjected to a further investi-gation. The Dutch DPA also carries out such investigations as a result of complaintsfrom data subjects.
In 2004 the annual investigation focused on three sectors, namely tele-communications, mental health care and the debt collection sector. The investigationswill be finalised in 2005 and sanctions may or may not be imposed.
As a follow-up to specific information provided to the telecom sector the Dutch DPAchecked whether a number of providers of telecommunications services (fixed and mobile telephony and Internet) complied with the notification obligation. This inves-tigation focused specifically on the notification of the processing of telecommunicationtraffic data.
In a number of Area Health Authorities (GGDs) the Dutch DPA investigated the notification of the processing of personal data in the context of the Public Mental Health
< BACK CONTENTS NEXT >
94 annual report 2004
Care (OGGZ). It is the legislator ’s opinion that this processing carries specific risks forthe privacy of the citizens involved; when notifying the Dutch DPA of the processing thedata controller must therefore also request an investigation into the lawfulness of theprocessing, the so-called preliminary investigation.
Analysis of the WBP notifications register showed that the number of notifications bydebt collection agencies lags behind considerably. Supervision in this sector was aimedat investigating to what extent debt collection agencies process personal data and towhat extent they rightly failed to notify the processing of personal data.
Penalties for municipalities and companies
In 2003 the Dutch DPA performed the first random check on the compliance with theWBP notification obligation among a number of municipalities, health insurance com-panies, internal and external Occupational Health & Safety services (arbodiensten) anddirect marketing companies. The number of WBP notifications increased strongly afterthese initial checks, not only in the investigated sectors but also among the privatedetective agencies, the police and in the health care sector.
A total of 50 investigations were carried out in the context of this initial check. In anumber of cases a supplementary check was carried out on site in order to establish thefacts. At the end of 2003 the random check resulted in the first penalties for a munici-pality and two companies.
In the course of 2004 the CPB imposed a total of 29 penalties ranging from € 3,000 to€ 15,000. In a number of cases the Dutch DPA used its authority to reduce the penalty,especially if, as in the case of municipalities, there was a high level of processing of per-sonal data. The main consideration was that even a reduced penalty would achieve itsobjective, namely a special and general preventative effect.
The aforementioned penalties were imposed on 14 municipalities, 3 direct marketingcompanies, 3 health insurance companies and 9 Occupational Health & Safety services.Most municipalities submitted an objection against the penalty; a number of munici-palities have now paid the penalty. None of the private organisations except one sub-mitted an objection and nearly all have now paid. All the organisations involved havenow notified the Dutch DPA of their processing of personal data.
95review of 2004
< TERUG INHOUD VERDER >
< TERUG INHOUD VERDER >
96
COLOFON
Jaarverslag 2004
©College bescherming persoonsgegevens, Den Haag, mei 2005.
Niets uit deze uitgave mag worden verveelvoudigd en/of openbaar gemaakt
door middel van druk, fotokopie, microfilm of op welke wijze dan ook,
zonder voorafgaande schriftelijke toestemming van het College bescherming persoonsgegevens.
Met medewerking van:
J.H.M. Baart, R.R.A. Beugelsdijk, J.W. Broekema, M.A.H. Fontein, N.W. Groenhart, W.J. van Helden,
G.O. van de Klashorst, J. Kohnstamm, P. Krul, S. Lieon, C.E. Romanesko, J.P. van Schoonhoven, N. van Seumeren,
B. Schippers, B. den Uyl, J.A.G. Versmissen.
Eindredactie: G.O. van de Klashorst
Ontwerp: Proforma en De Stal, ontwerpers en adviseurs (Miriam Monster)
Fotografie college: Mark Kohn
Vertaling: Amstelveens Vertaalburo
Druk: Deltahage B.V. (Den Haag)
Top Related