25 892
Regels inzake de bescherming van persoonsgegevens (Wet bescherming persoonsgegevens)

nr. 11
BRIEF VAN DE MINISTERS VAN JUSTITIE EN VOOR GROTE STEDEN- EN INTEGRATIEBELEID

Met veel belangstelling hebben wij kennisgenomen van de nadere vragen die de vaste commissie voor Justitie heeft gesteld naar aanleiding van de brief van 24 maart 1999 (25 892, nr. 9). De ruime aandacht die de commissie besteedt aan het wetsvoorstel, stellen wij zeer op prijs. Het grote maatschappelijke belang van goede wetgeving ter bescherming van persoonsgegevens, wordt hierdoor nog eens nadrukkelijk onderstreept. In dat licht bezien zijn wij verheugd dat de commissie ons nog eens in de gelegenheid stelt op een aantal punten een nadere toelichting te geven. Naar wij hopen kunnen wij door middel van de antwoorden op de gestelde vragen, bijdragen aan een verdere verheldering van bepaalde onderdelen van het wetsvoorstel. In de bijgevoegde antwoorden (25 892, nr. 13) wordt verwezen naar een derde nota van wijziging. Deze is eveneens bijgevoegd (25 892, nr. 12).

Wij merken op dat sinds de indiening van het wetsvoorstel op 14 februari 1998 geruime tijd is verstreken. Er zijn inmiddels, mede als gevolg van de vele en indringende vragen en opmerkingen van de zijde van de fracties van uw Kamer, belangrijke wijzigingen aangebracht op onderdelen van het wetsvoorstel. Hierin heb ik aanleiding gezien om op hoofdlijnen nog eens uiteen te zetten wat de inhoud en strekking is van het wetsvoorstel naar de huidige stand van zaken. Deze uiteenzetting is als bijlage bijgevoegd.

Voorts delen wij mede dat wij via ambtelijke kanalen bij de commissie hebben vernomen dat thans voorbereidingen worden getroffen voor de aanvang van een infractieprocedure tegen de lidstaten die Richtlijn 95/46/EG nog niet hebben geïmplementeerd. In het kader van een dergelijke procedure kunnen hoge boetes worden opgelegd. In verband hiermee verzoeken wij u met klem om indien mogelijk, het wetsvoorstel spoedig plenair te behandelen.

Hoofdlijnen wetsvoorstel bescherming persoonsgegevens (25 892)

1. Inleiding

Sinds de indiening van het wetsvoorstel bescherming persoonsgegevens op 14 februari 1998 is geruime tijd verstreken en zijn inmiddels, mede als gevolg van de vele en indringende vragen en opmerkingen van de zijde van verschillende fracties in de Tweede Kamer, vergaande wijzigingen aangebracht op onderdelen van het wetsvoorstel. Niet alleen als gevolg van de schriftelijke behandeling van dit wetsvoorstel, maar ook ten gevolge van het debat van maatschappelijke groeperingen, is het wetsvoorstel ingrijpend gewijzigd. Er is daarom aanleiding om kort uiteen te zetten wat de inhoud en strekking van het wetsvoorstel is naar de huidige stand van zaken.

2. Algemene bepalingen

Wat betreft de definities is zo aangesloten bij de richtlijn. Onduidelijkheden die besloten liggen in de definities zijn inherent aan wetgeving die grondrechten beoogt te beschermen op een gebied van zich snel ontwikkelende informatietechnologie. Preciseringen in de wet leiden anders al gauw tot techniekafhankelijke oplossingen. De burger wordt beter beschermd indien de verduidelijkingen uit de jurisprudentie of sectorale regelgeving komen naar gelang de techniek zich ontwikkelt. Het wetsvoorstel volgt in dit opzicht de keuzes van de richtlijn.

Ik wil apart ingaan op het begrip «bestand». Wat betreft het begrip handmatig bestand van persoonsgegevens is, in samenhang met artikel 2, eerste lid, van de wet, verder aangesloten bij de in het kader van de Wpr ontwikkelde invulling van dit begrip. Bij de totstandkoming van de richtlijn is er voor gewaakt dat dit mogelijk zou zijn. De toepasselijkheid van de Wpr en Wbp sluit daarom op dit punt naadloos op elkaar aan: beide zijn van toepassing op handmatig gevoerde persoonsgegevens ten aanzien waarvan bijzondere maatregelen zijn genomen met het oog op raadpleging. Wel is onder de Wbp, in afwijking van de Wpr, in de wet zelf voor handmatige bestanden een algemene vrijstelling opgenomen van de meldingsplicht aan de toezichthouder. Slechts voor geautomatiseerde verwerkingen is er dus een verruiming van de toepasselijkheid van de wet. Geldt de Wpr voor «registraties», de Wbp geldt voor het ruimere begrip «gegevensverwerking».

De speciale regels voor handmatige bestanden moeten worden onderscheiden van de verwerkingen voor uitsluitend persoonlijk of huishoudelijk gebruik. De wet is daarop in het geheel niet van toepassing, ongeacht of deze verwerkingen handmatig dan wel geautomatiseerd worden gevoerd. Dit was zo onder de Wpr en blijft zo onder de Wbp.

3. Algemene bepalingen

De artikelen 6 tot en met 11 bevatten veeleer algemene beginselen dan concrete gedragsvoorschriften. Gegeven de keuze van het Verdrag inzake gegevensbescherming van de Raad van Europa uit 1981, dat ook door de richtlijn wordt gevolgd, voor een omvattende regeling voor het verwerken van persoonsgegevens, is deze benadering onvermijdelijk. De betekenis van de beginselen voor de dagelijkse omgang met persoonsgegevens in de praktijk, is slechts te geven gedifferentieerd naar sector. De invulling daarvan wordt in eerste aanleg overgelaten aan zelfregulering. Een aanduiding van de hoogte van de administratieve lasten is echter pas mogelijk nadat deze excercitie is voltooid. Bij ontbreken van zelfregulering of sectorale wetgeving zal de rechter in concrete gevallen het recht toepassen, vergelijkbaar met hoe vanouds in een concreet geval de administratieve rechter beginselen van behoorlijk bestuur of de civiele rechter een onrechtmatige daad vaststelt.

De Europese Commissie heeft in een eerder stadium voorgesteld om op het niveau van de richtlijn voor de private sector een lichter regime op te nemen dan voor de publieke sector. De raadswerkgroep heeft dit echter in meerderheid afgewezen. De richtlijn heeft aldus een uniform algemeen regime voor alle vormen van gegevensverwerking. Het wetsvoorstel volgt deze keuze. Ik wijs echter op overweging 30 voorafgaande aan de tekst van de richtlijn die verduidelijkt dat «persoonsgegevens in het kader van wettige activiteiten zoals het dagelijks beheer van ondernemingen () kunnen worden gebruikt en aan derden verstrekt». Deze clausule is op verzoek van Nederland opgenomen naar aanleiding van ongerustheid indertijd bij de banken en verzekeraars over het toen voorliggende ontwerp van de richtlijn. Bij de sectorale invulling van de algemene beginselen kan hiermee rekening worden gehouden.

4. Bijzondere persoonsgegevens

De artikelen 17 tot en met 24 bevatten bijzondere regels voor bepaalde categorieën van gegevens. Met name over deze bepalingen heeft uitvoerig overleg met alle betrokkenen plaatsgehad, dat tot overeenstemming heeft geleid. Bestaande gewettigde praktijken blijven onverlet. Slechts de regeling van strafrechtelijk gegevens leverde bijzondere problemen op. Anders dan bij de andere persoonsgegevens bleek een sluitende inhoudelijke regeling niet mogelijk. In het algemeen is er een grote druk om strafrechtelijke gegevens te kunnen verkrijgen en te mogen verwerken. Een bijzondere afweging is in dergelijke gevallen in het geding. De resocialisatie van veroordeelden dient afgewogen te worden tegen het belang van de samenleving. Een duurzame uitsluiting van personen die ooit met de strafrechter in aanraking zijn geweest, is bovendien niet in het belang van de samenleving. Het regime voor verstrekkingen uit de Wet justitiële documentatie en de Wet politieregisters zal dergelijke verstrekkingen daarom nauwkeurig moeten regelen. De Wbp biedt in aanvulling op een soepel inhoudelijk regime voor de verwerking van strafrechtelijke gegevens, een bijzondere procedure1 voor gevallen dat dat regime toch niet toereikend zou blijken te zijn.

5. Gedragscode

De artikelen 25 en 26 over de gedragscode bieden het kader voor de reeds genoemde zelfregulering. Het systeem van de Wpr heeft model gestaan voor de richtlijn. Daarnaast biedt het systeem van de functionaris een kader voor zelfregulering. Beide instrumenten zijn facultatief, doch beogen aan te sluiten bij de Nederlandse rechtstraditie van regelgeving waarmogelijk in eigen kring. In geval van een dergelijke functionaris zal het toezicht van het College bescherming persoonsgegevens zich in de praktijk kunnen beperken tot het toezicht op diens functioneren. De bevoegdheden die in het wetsvoorstel zijn opgenomen, zijn mede daartoe geschikt.

6. De melding bij het Cbp

De artikelen 27 tot en met 32 regelen de melding bij het Cbp en in bijzondere gevallen het voorafgaand onderzoek. De bepalingen volgen nauwgezet de richtlijn. Het is de bedoeling maximaal gebruik te maken van de mogelijkheden om gegevensverwerkingen vrij te stellen van melding. Voor handmatige bestanden doet de wet dit zelf al. De richtlijn verplicht tot een regeling van het voorafgaand onderzoek. Voor de reeds genoemde bijzondere procedure voor de verwerking van strafrechtelijke gegevens is hiervan gebruik gemaakt.

7. De mededelingsplicht jegens de betrokkene

De artikelen 33 tot en met 45 beogen de betrokkene in staat te stellen greep te houden op de gegevens die omtrent hem circuleren (consumer empowerment). Afhankelijk van zijn persoonlijke privacy-beleving kan hij dan zaken hun beloop laten dan wel optreden. Wederom volgt de wettekst vrij nauwkeurig de richtlijn. Slechts preciseert artikel 33 het moment waarop in een contact tussen de verantwoordelijke en de betrokkene de voorgeschreven informatie behoort te worden uitgewisseld: voorafgaand aan het moment waarop de betrokkene de gegevens verstrekt. Dit stelt de betrokkene in staat om te toetsen of hij de gevraagde gegevens voor dat doel wel wil verstrekken.

8. Rechten van de betrokkene

De artikelen 35 tot en met 42 beschrijven de rechten van de betrokkene. Het recht op kennisneming en verbetering bevatten geen substantiële wijzigingen ten opzichte van de Wpr.

Een vernieuwing in de Wbp is het recht van verzet. Dit geeft de betrokkene een wapen in handen wanneer hij meent dat zijn gegevens ten onrechte worden verwerkt. Ook dit is een uitwerking van het beginsel van «consumer empowerment». Maakt de betrokkene van dit (subjectieve) recht gebruik, dan dient te worden bezien of het verzet gerechtvaardigd is. Daarbij worden dan in dat individuele geval de belangen van betrokkene tegen die van de verantwoordelijke afgewogen. In eerste aanleg doet dit de verantwoordelijke. Indien de betrokkene het met dit resultaat niet eens is, kan hij de rechter om een beslissing vragen.

Slechts in het geval van verwerking ten behoeve van direct marketing is er een absoluut recht van de betrokkene. Hij moet ook op dat recht worden gewezen en in de gelegenheid worden gesteld om daarvan effectief gebruik te maken.

9. Uitzonderingen en beperkingen

De artikelen 43 en 44 bevatten in de bewoordingen van de richtlijn de uitzonderingen en beperkingen op de eerder genoemde beginselen. Zij herhalen in andere bewoordingen de inhoud van de artikelen 11, tweede lid, en 18, derde lid, WPR. Deze uitzonderingen gaan alle terug op artikel 9 van het Verdrag inzake gegevensbescherming uit 1981. Zij volgen de regeling van de richtlijn.

10. Rechtsbescherming

De artikelen 45 tot en met 50 regelen de rechtsbescherming van de betrokkene. Uit de evaluaties is gebleken dat het systeem van de Wpr gebrekkig werkte. In dit procedurele deel is daarom het onderscheid tussen de publieke en private sector hernomen, aansluitend bij de rechtsontwikkeling in Nederland met betrekking tot de Algemene Wet bestuursrecht. Wij verwachten dat de jurisprudentie langs deze gescheiden beroepsgangen beter de bijzonderheden van de onderscheiden sectoren waarop zij betrekking hebben, tot uitdrukking zullen brengen dan onder de Wpr. De risico-aansprakelijkheid onder de Wpr valt onder de richtlijn niet meer te handhaven en is afgezwakt in het voordeel van het bedrijfsleven. Wel blijft de verantwoordelijke aansprakelijk voor doen en nalaten van de in zijn opdracht handelende bewerker.

11. Toezicht

De artikelen 51 tot en met 61 regelen het publiekrechtelijk toezicht. Het College bescherming persoonsgegevens dient op grond van artikel 28 van de richtlijn te beschikken over onderzoeksbevoegdheden, effectieve bevoegdheden op in te grijpen en de bevoegdheid om in rechte op te treden. Artikel 61 van het wetsvoorstel bevat de onderzoeksbevoegdheid. Deze sluit aan bij die van de Wpr. De bevoegdheid om in te grijpen is nieuw. Aansluitend bij de bestaande regeling in de Algemene Wet bestuursrecht, daaronder begrepen de rechtsbescherming tegen vermeend onjuist gebruik, is gekozen voor het instrument van de bestuursdwang. Dat past in het Nederlandse rechtsstelsel. De bevoegdheid om in rechte op te treden vloeit reeds voort uit de Algemene Wet bestuursrecht en het Wetboek van Burgerlijke Rechtsvordering. Voor het overige zijn de bepalingen uit de Wpr over de inrichting van de Registratiekamer overgenomen. Nieuw zijn de onderworpenheid van het College aan het toezicht van de Nationale ombudsman en het bestuursreglement dat moet worden goedgekeurd door de Minister van Justitie.

Daarnaast is nieuw de regeling van het privaatrechtelijk toezicht in de artikelen 62 tot en met 63 door de functionaris dat op vrijwillige basis kan worden ingevoerd. Deze figuur in de richtlijn is ontleend aan het Duitse recht. Het eerste verschil in de Wbp met de Duitse regeling is dat de Wbp niet tot de aanstelling van een functionaris verplicht. De verantwoordelijke die geen functionaris aanstelt valt onverkort onder het publiekrechtelijk toezicht. Daar dient hij ook de niet-vrijgestelde gegevensverwerkingen te melden. Stelt hij wel zo een functionaris aan, dan kan hij de meldingen bij deze doen plaatsvinden. Het publiekrechtelijk toezicht zal zich dan in de praktijk kunnen beperken tot het toezicht op de juiste taakuitoefening door de functionaris. Het tweede verschil met het Duitse recht is dat een functionaris ook kan worden aangesteld voor een groep van bedrijven of organisaties. Zo kan er op brancheniveau een dergelijk instituut worden ingesteld, die dan ook, indien er een gedragscode is, op de naleving van die code in die branche toezicht kan houden.

Het is niet de bedoeling dat de functionaris binnen de organisatie of de branche waar hij is aangesteld gaat optreden als verlengde arm van het publiekrechtelijk toezicht. Evenmin heeft hij een klokkeluidersfunctie. Schiet hij echter tekort dan achten wij de mogelijkheid van een optreden door het College onontbeerlijk. Zou het College geen mogelijkheden hebben om op te treden, dan zou een situatie kunnen ontstaan van regelgeving zonder handhaving.

12. Sancties

Ter uitvoering van het voorschrift van de richtlijn dat de toezichthouder moet zijn voorzien van effectieve sancties, is aangesloten bij de uitgewerkte regeling in de Awb inzake de bestuursdwang. De Awb voorziet in rechtsbescherming van de verantwoordelijke na een aanzegging dat bestuursdwang zal worden uitgeoefend bij de administratieve rechter. Daarnaast is er strafrechtelijke sanctie opgenomen, in hoofdzaak aansluitend bij de bestaande regeling in de Wpr. Het is de bedoeling dat deze als stok achter de deur werken bijvoorbeeld bij moedwillige nalatigheid om een niet-vrijgestelde gegevensverwerking te melden. De vraag of alsnog administratieve sancties in het wetsvoorstel moeten worden opgenomen wil ik bezien in het kader van de aanvulling van de Awb op dit punt, mede in het licht van het succes van handhavingsinstrumenten die via zelfregulering tot ontwikkeling komen. Indien nodig zal op dit punt de in artikel 80 bedoelde evaluatie naar voren moeten worden gehaald.

13. Gegevensverkeer met derde landen

De regeling van het gegevensverkeer met derde landen sluit nauw aan bij de richtlijn. Teneinde in het overleg binnen de Raad van Ministers van de EU te kunnen meepraten over beslissingen welke landen kunnen worden aangemerkt als een land met een passend beschermingsniveau, is het nodig dat dergelijke verwerkingen worden gemeld zolang de EU geen beslissing heeft genomen over een bepaald land. Op dit moment is het overleg gaande tussen de EU en de VS. De onderhandelingen worden namens de EU gevoerd door de Europese Commissie. Men komt dichter bij elkaar, maar er is nog geen consensus. De VS zal waarschijnlijk een testcase worden voor het overleg met andere landen. De beslissingen zijn van belang in het kader van de ontplooiing van de grensoverschrijdende elektronische handel.

14. Overgangstermijn

De richtlijn biedt een overgangstermijn aan om bestaande registraties aan te passen aan de normen van de Wbp. De registraties die waren ingericht in overeenstemming met de Wpr, kunnen wat betreft hun inhoud ongewijzigd blijven. Slechts op het punt van de gevoelige gegevens schrijft de richtlijn een preciezer regime voor. De overgangstermijn is voor deze gegevens is daarom langer. Voor persoonsgegevens wie al worden verwerkt op het moment van inwerkingtreding van deze wet, geldt dat deze niet hoeven worden meegedeeld aan de betrokkene. Het regime voor de mededelingsplicht geldt voor de categorieën van verwerkingen die nieuw zijn na het moment van inwerkingtreding.