Kamerstuk
| Datum publicatie | Organisatie | Vergaderjaar | Dossier- en ondernummer |
|---|---|---|---|
| Tweede Kamer der Staten-Generaal | 1998-1999 | 25892 nr. 13 |
Authentieke versie (PDF)
Informatie
Gerelateerd
Printen
Delen
25 892
Regels inzake de bescherming van persoonsgegevens (Wet bescherming persoonsgegevens)
nr. 13
LIJST VAN VRAGEN EN ANTWOORDEN
Vastgesteld 13 juli 1999
De vaste commissie voor Justitie1 heeft de navolgende vragen naar aanleiding van de brief van de Minister van Justitie over regels inzake de bescherming van persoonsgegevens van 24 maart 1999 (25 892 nr. 9).
De regering heeft deze vragen beantwoord bij brief van 12 juli 1999.
De vragen en antwoorden zijn hieronder afgedrukt.
Is het niet mogelijk om ter toelichting op het wetsvoorstel nader te concretiseren wat onder «redelijkerwijs identificeerbaar» moet worden verstaan, in plaats van af te wachten wat het Europese Hof daar over enkele jaren wellicht over zal oordelen? (blz. 1).
In artikel 1, onder a, van het wetsvoorstel is overeenkomstig de richtlijn bepaald dat onder een persoonsgegeven moet worden verstaan: elk gegeven betreffende een geidentificeerde of identificeerbare natuurlijke persoon. Om te bepalen of een persoon op wie een gegeven betrekking heeft «geidentificeerd of identificeerbaar» is in de zin van de wet kunnen drie categorieën van gevallen worden onderscheiden. Het eerste geval is een verwerking van persoonsgegevens op naam: de Heer X heeft een krediet tot een bedrag Y van bank Z. In die situatie is vanzelfsprekend sprake van een persoonsgegeven. De tweede categorie gevallen is die waarbij gegevens niet direkt op naam zijn terug te vinden, doch de betrokken persoon met aanwending van beschikbare middelen alsnog kan worden achterhaald, bijvoorbeeld aan de hand van een nummer. Te denken valt aan een situatie waarbij een lijst van nummers met bijbehorende namen beschikbaar is, hetzij via openbare bron, (bijvoorbeeld het telefoonboek), hetzij via een bron die slechts raadpleegbaar is voor een bepaalde categorie van personen (bijvoorbeeld het kentekenregister door de politie of het nummer van een rekening door bankemployés). De met die nummers verbonden gegevens zijn – hoewel niet op naam – persoonsgegevens wegens de beschikbare mogelijkheid om met behulp van de nummers de identiteit van de betrokken personen te achterhalen. Daarnaast valt te denken aan situaties waarin een bijzondere eigenschap of combinatie van gegevens hetzij direct, hetzij door koppeling of vergelijking met andere beschikbare informatie identificatie van een persoon mogelijk maakt. Een combinatie van beroep, woonplaats en leeftijd is doorgaans sterk identificerend, ook als de identiteit van betrokkene niet meteen vermeld wordt. De derde categorie van gevallen ten slotte is die waarbij de identiteit van de betrokken personen niet of slechts met een disproportionele aanwending van geld, mankracht of middelen kan worden achterhaald. Deze laatste gegevens worden niet als persoonsgegevens aangemerkt. Dit doet zich bijvoorbeeld voor indien identificatie van personen door de computer vele dagen in beslag zou nemen. In die situatie dient er redelijkerwijs van te worden uitgegaan dat identificatie niet zal plaatsvinden en de wet derhalve niet van toepassing is. Het begrip «redelijkerwijs» is in dit verband ontleend aan overweging 26 van de richtlijn. Het wetsvoorstel sluit op dit punt volledig bij de richtlijn aan.
Handmatige bestanden vallen in principe niet onder de reikwijdte van de WBP. In sectorale wetgeving kunnen echter wel extra regels gesteld worden over bepaalde vormen van verwerking van persoonsgegevens. Is het juist dat in sectorale wetgeving kan worden bepaald dat een handmatig bestand wel onder de reikwijdte van de WBP valt?(blz. 2).
Voor zover het gaat om handmatig verwerkte persoonsgegevens is het wetsvoorstel – evenals de huidige Wet persoonsregistraties – alleen van toepassing indien die gegevens zijn opgenomen in een bestand of bestemd zijn om daarin te worden opgenomen. Van een «bestand» is blijkens artikel 1, onder c, van het wetsvoorstel alleen sprake indien de gegevens met het oog op hun toegankelijkheid volgens een vaste structuur zijn opgeslagen. Ongeordende dossiers vallen dus niet onder de wet. Vanwege de toepasselijkheid van de Wet bescherming persoonsgegevens op handmatige bestanden, is het overbodig in sectorale wetgeving te bepalen dat een handmatig bestand valt onder de reikwijdte van de genoemde wet. Wel is denkbaar dat in sectorale wetgeving aanvullende regels worden gesteld die ook van toepassing zijn op gegevens die niet in een bestand zijn opgenomen. Dat laatste is bijvoorbeeld gebeurd in de Wet geneeskundige behandelingsovereenkomst, waar regels zijn gesteld over persoonsgegevens in medische dossiers, ongeacht of deze dossiers nu wel of niet onder de Wet persoonsregistraties vallen.
De regering geeft in de brief een nadere uitleg van het begrip verantwoordelijke. Gesteld wordt onder meer dat het van de omstandigheden van het concrete geval zal afhangen hoe de beoordeling, aan wie de gegevensverwerking moet worden toegerekend, uitvalt. Is dit niet te open geformuleerd? (blz. 3).
Overeenkomstig artikel 2, onder d, van de richtlijn wordt in artikel 1, onder d, het begrip «verantwoordelijke» omschreven als de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. In de meeste gevallen is de betekenis van dit begrip helder. Als hoofdregel geldt dat degene die met betrekking tot doel en middelen van de gegevensverwerking juridisch bevoegd is, «verantwoordelijke» is in de zin van de wet. Deze benadering vormt reeds een belangrijke verbetering ten opzichte van de huidige Wet persoonsregistraties. Uit een van de evaluaties bleek dat bij de uitleg van het huidige begrip «houder» verschillende invalshoeken worden gekozen, hetgeen in de praktijk tot grote onduidelijkheid leidt. In de toekomst kan slechts degene die in formeel-juridische zin bevoegd is, als «verantwoordelijke » worden aangemerkt. De nadere uitleg in de brief van 24 maart jl. waarop in de vraag wordt gedoeld, heeft betrekking op de incidentele situatie waarin op basis van het formeel-juridische criterium niet een, maar twee of meer personen of organen in aanmerking komen om als «verantwoordelijke» te gelden in de zin van de wet. Dit kan zich bijvoorbeeld voordoen indien verschillende bedrijven een samenwerkingsverband aangaan terzake van het verzamelen, opslaan en verwerken van persoonsgegevens. In die specifieke situatie zal aan de hand van de feitelijke omstandigheden moeten worden bepaald aan wie uiteindelijk de desbetreffende gegevensverwerking moet worden toegerekend. Zoals in de vraag terecht wordt opgemerkt, betreft dit een open formulering. Dit is echter in de uitzonderlijke gevallen waarop zij betrekking heeft, onvermijdelijk. Uitdrukkelijk wordt hiermee ook bedoeld te voorkomen dat zich een situatie zou kunnen voordoen waarin geen verantwoordelijke kan worden aangewezen: de burger zou daarvan de dupe kunnen worden.
Artikel 5
Waarom is in artikel 5, eerste lid, de mentor, als bedoeld in de Wet mentorschap meerderjarigen, niet opgenomen?
De inhoud van artikel 5, eerste lid, komt in de voorgestelde tekst overeen met artikel 11, vierde lid, van de Wet persoonsregistraties. Het betreft situaties waarin de wettelijk vertegenwoordiger namens de betrokkene optreedt. In casu gaat het om het geven van toestemming voor de verwerking van persoonsgegevens. Aangezien een zodanige verwerking ook kan plaatsvinden in het kader van de «verzorging, verpleging, behandeling of begeleiding» in de zin van artikel 1:453, eerste lid, BW, ligt het in de rede dat een mentor ook terzake van de verwerking van persoonsgegevens binnen dat kader, namens de betrokkene optreedt. Naar aanleiding van de gestelde vraag hebben wij de situatie waarin ten aanzien van de betrokkene een mentorschap is ingesteld, aan artikel 5, eerste lid, toegevoegd. Wij verwijzen naar de nota van wijziging op dit punt.
Artikel 6
Is de clausule «in overeenstemming met de wet» in artikel 6 niet overbodig en verwarrend, aangezien dit voor iedere wet geldt?
Artikel 6 is de implementatie van artikel 6, eerste lid, onder a, van de richtlijn. Het brengt tot uitdrukking dat geen gegevensverwerking mogelijk is die niet in overeenstemming is met de wet. In dit opzicht is hij vergelijkbaar met bijvoorbeeld artikel 1 van het Wetboek van Strafvordering dat bepaalt dat strafvordering alleen plaats heeft op de wijze bij de wet voorzien. Wij hechten eraan ook in dit opzicht de richtlijn te volgen.
Artikel 8
Is er andere geldende wetgeving waarin het begrip «ondubbelzinnige toestemming» wordt gebruikt?
Nee.
Artikel 8
Wat is het verschil tussen het begrip «ondubbelzinnige toestemming» in artikel 8 onder a en «uitdrukkelijke toestemming» in artikel 23? Heeft de regering zich gerealiseerd dat door het gebruik van deze twee verschillende begrippen in de wet, artikel 23 zo moet worden gelezen dat uitdrukkelijke doch dubbelzinnige toestemming voldoende is?
Op grond van artikel 7, onder a, en 8, tweede lid, onder a, van de richtlijn zijn de lidstaten juridisch verplicht de begrippen «ondubbelzinnige toestemming» en «uitdrukkelijke toestemming» in hun wetgeving te introduceren. Het wetsvoorstel volgt op dit punt derhalve de richtlijn. In de memorie van toelichting (kamerstukken II 1997/98, 25 892, nr. 3, p. 66, 67) hebben wij beide begrippen nader toegelicht. Bij «ondubbelzinnige toestemming» dient elke twijfel te zijn uitgesloten over de vraag of de betrokkene zijn toestemming heeft gegeven en voor welke specifieke verwerkingen deze toestemming geldt. Uit het gedrag van de betrokkene moet derhalve ondubbelzinnig blijken dat hij instemt met de desbetreffende gegevensverwerking. «Uitdrukkelijke toestemming» gaat nog een stap verder. In dat geval dient de betrokkene door middel van een expliciete wilsuiting tot uitdrukking hebben gebracht dat hij toestemming verleent voor een hem betreffende gegevensverwerking. De vraag of voor de toepassing van artikel 23 uitdrukkelijke doch dubbelzinnige toestemming voldoende is, dient in het licht van het voorgaande ontkennend te worden beantwoord. Indien de toestemming «uitdrukkelijk» is gegeven, is zij tevens «ondubbelzinnig».
In verband met artikel 8, onderdeel e, merkt de regering het volgende op: «Gegevens die op grond van een publiekrechtelijke verplichting zijn vergaard, kunnen niet zonder meer worden gebruikt voor privaatrechtelijke doeleinden. Dit is in beginsel onverenigbaar met het oorspronkelijke doel waarvoor zij zijn vergaard». Wat wordt precies bedoeld met de termen «zonder meer» en «in beginsel»? Kan met voorbeelden worden aangegeven wanneer van deze termen gebruik zou worden gemaakt? Welk regime zou bijvoorbeeld moeten worden gehanteerd ten aanzien van werknemersgegevens? In hoeverre kunnen gegevens die zijn verzameld ten behoeve van uitvoering van sociale zekerheidswetgeving voor andere doeleinden worden gebruikt?
In verband met artikel 8, onder e, zijn wij in de brief van 24 maart jl. ingegaan op het gebruik van publiekrechtelijke gegevens voor commerciele doeleinden. Hierbij wordt gedoeld op het met winstoogmerk gebruiken van gegevens door een private persoon voor een doelstelling die geen of een ververwijderde relatie heeft met de publiekrechtelijke doelstelling waarvoor de gegevens oorspronkelijk zijn verkregen. Vanwege de verschillende aard van de doelstellingen is een dergelijk gebruik in beginsel onverenigbaar als bedoeld in artikel 9, eerste lid. Onder bijzondere omstandigheden echter is dit wel toelaatbaar. Zo laat bijvoorbeeld de Wet gemeentelijke basisadministratie persoonsgegevens (GBA) commercieel gebruik van publiekrechtelijk verkregen gegevens toe indien compenserende maatregelen zijn genomen. Blijkens artikel 100, eerste lid, kan het procedurele voorschrift van een besluit bij gemeentelijke verordening, een dergelijke maatregel zijn. De gedachte is dat het in het GBA, als basisadministratie, om weinig privacy-gevoelige gegevens gaat. Ingevolge artikel 102 kan de burger bovendien geheimhouding vragen waardoor gegevensverstrekking op grond van artikel 100 onvoorwaardelijk wordt geblokkeerd. De verstrekking van gegevens op grond van artikel 100 zal ingevolge het wetsvoorstel houdende wijziging van bepalingen met betrekking tot de verwerking van persoonsgegevens (kamerstukken II 1998–1999, 26 410, nrs. 1–3) in de wet GBA nog verder worden genormeerd. Dat wetsvoorstel bevat in het kader van de transparantie van de gegevensverwerking voor de burger tevens bepalingen om de burger intensiever op de hoogte te brengen van zijn recht om door het vragen van geheimhouding verstrekking van gegevens in deze gevallen te voorkomen. Mede in dat licht bezien wordt commercieel gebruik van (een beperkte set) gegevens uit de GBA niet of althans niet zonder meer uitgesloten. Ook aan openbare registers, zoals het handelsregister en het kadaster, kunnen langs publiekrechtelijke weg verkregen gegevens onder bepaalde voorwaarden commercieel worden geexploiteerd. Een algemene constatering dat commerciëel gebruik van publiekrechtelijk vergaarde gegevens altijd verboden zou zijn, zou daarom feitelijk onjuist zijn. In het kader van de sociale-zekerheidswetgeving zal nader moeten worden bezien in hoeverre gegevens die ten behoeve van de uitvoering van die wetgeving zijn verzameld – mede gelet op het meer gevoelige karakter van die gegevens – voor andere doeleinden mogen worden gebruikt. Een dergelijke concrete invulling van de algemene eis van verenigbaar gebruik zal in de sectorale wetgeving moeten plaatsvinden. In het kabinetsstandpunt van maart 1999 over de «Structuur uitvoering werk en inkomen» is aangekondigd dat op basis van de WBP, specifieke regels voor het gebruik van gegevens in het kader van de sociale zekerheid nader in wetgeving zullen worden vastgelegd. Uit het genoemde standpunt blijkt reeds dat een bepaalde wijze van gebruik niet zal worden toegestaan. Zo kunnen persoonsgegevens die door de nieuwe uitvoeringsinstellingen zijn verzameld in het kader van de werknemersverzekeringen – anders dan met uitdrukkelijke toestemming – niet worden gebruikt bij de aanvraag van bijvoorbeeld een levensverzekering.
Artikelen 7, 8 en 9
Persoonsgegevens mogen slechts voor bepaalde doeleinden worden verzameld en verwerkt. Kan de regering helder uiteenzetten wanneer en op welke gronden hierop uitzonderingen mogelijk zijn?
Artikel 7 betreft de verzameling van persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Hierop zijn geen uitzonderingen. Hetzelfde geldt voor de in artikel 8 genoemde gronden op basis waarvan persoonsgegeven mogen worden verwerkt. Artikel 8 omvat derhalve een uitputtende opsomming van verwerkingsgronden. Op de eis inzake verenigbaar gebruik als bedoeld in artikel 9, eerste lid, zijn daarentegen wel uitzonderingen mogelijk. Onder bijzondere omstandigheden moet van bedoelde eis kunnen worden afgeweken ten behoeve van specifieke doeleinden, zoals bijvoorbeeld de opsporing van strafbare feiten of de veiligheid van de staat. Ter uitvoering van artikel 13 van de richtlijn wordt in artikel 43 van het wetsvoorstel geregeld onder welke voorwaarden bedoelde uitzonderingen toelaatbaar zijn.
Artikel 8
Artikel 8, onderdeel f, bepaalt dat persoonsgegevens mogen worden verwerkt indien dit noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke. Kan de regering nader uiteenzetten wat in deze open norm onder «gerechtvaardigd belang» wordt verstaan?
Het begrip «gerechtvaardigd belang» in artikel 8, onder f, is letterlijk overgenomen uit artikel 7, onder f, van de richtlijn. In de vraag wordt er terecht van uitgegaan dat het hier een open norm betreft. Het desbetreffende onderdeel is veel algemener van aard dan de onderdelen b tot en met e en daarmee in wezen een soort restbepaling. Een dergelijke bepaling is onvermijdelijk. Ook de huidige Wet persoonsregistraties is op dit punt in zodanig algemene termen geformuleerd. Artikel 4 van deze wet bepaalt dat een persoonsregistratie slechts wordt aangelegd voor een bepaald doel waartoe «het belang van de houder redelijkerwijs aanleiding geeft.» De particuliere belangen die tot gegevensverwerking aanleiding kunnen geven zijn zodanig divers van aard dat een concretisering in het kader van een algemene, voor alle maatschappelijke sectoren geldende privacywet niet mogelijk is. Artikel 8, onder f, dient dan ook veeleer als een algemeen afwegingskader dan als een concreet gedragsvoorschrift te worden beschouwd. Ook in EU-verband geldt deze norm als het maximaal haalbare resultaat. Dit laat onverlet dat de richtlijn een zekere indicatie geeft omtrent de vraag welke belangen als gerechtvaardigd dienen te worden beschouwd. Overweging 30 van de richtlijn noemt in dit verband expliciet het dagelijks beheer van ondernemingen en andere organisaties, alsmede direct marketing door een liefdadige instelling of door andere verenigingen of stichtingen, bijvoorbeeld van politieke aard. Voor specifieke sectoren kan een nadere invulling plaatsvinden door middel van zelfregulering of sectorale wetgeving. Overigens wijzen wij erop dat alleen een gerechtvaardigd belang niet voldoende is. Gegevensverwerking is blijkens artikel 8, onder f, alleen toelaatbaar indien deze met het oog op het desbetreffende belang ook «noodzakelijk» is. De plicht om de noodzaak van de verwerking aan te tonen berust bij de verantwoordelijke.
Artikel 9
Het oorspronkelijke artikel 9, tweede lid, dat een specificering van verenigbaar gebruik bevatte, is op aanraden van VNO-NCW geschrapt. Volgens de regering wordt daarmee aan de richtlijn voldaan. Leidt deze wijziging echter niet tot vaagheid en tot vergroting van de juridisering?
De schrapping van artikel 9, tweede lid, leidt inderdaad tot een toename van de risico's als in de vraag bedoeld. Als gevolg van deze wijziging sluit het wetsvoorstel echter dichter aan bij de letterlijke tekst van de richtlijn.
Gegevens op grond van een publiekrechtelijke verplichting vergaard, kunnen niet zonder meer worden gebruikt voor privaatrechtelijke doeleinden. Dit is in beginsel onverenigbaar met het oorspronkelijke doel waarvoor zij zijn vergaard. Tot zover is het standpunt helder. Maar daarna wordt wel erg gemakkelijk geaccepteerd dat er uitzonderingen op mogelijk zijn, mits met passende waarborgen. De wet zelf geeft echter nauwelijks aanknopingspunten voor wat nu zodanige waarborgen zijn, noch in welke gevallen reden sprake kan zijn geen onverenigbaarheid. Waarom worden de criteria niet opgenomen in de wet (in art. 9) die toch als Kaderwet moet kunnen werken. Graag een wat uitvoeriger beschouwing op dit punt.(blz. 3)
Op het gebruik van publiekrechtelijke gegevens voor commerciele doeleinden zijn wij reeds ingegaan in het antwoord op vraag 8. Zoals daar is opgemerkt is een dergelijk gebruik in beginsel onverenigbaar met het oorspronkelijke doel waarvoor de gegevens zijn verkregen. Zoals in de vraag terecht wordt opgemerkt is dat een helder uitgangspunt. Er zijn echter situaties denkbaar waarin vanwege de aard van de gegevens of in verband met compenserende waarborgen die kunnen worden getroffen, van dit uitgangspunt kan worden afgeweken. Deze waarborgen kunnen al naar gelang de omstandigheden verschillende vormen aannemen. Het kan zijn dat de betrokkene over het voorgenomen gebruik wordt geinformeerd, dan wel – een stap verder – in de gelegenheid wordt gesteld om zijn zienswijze hieromtrent te geven. De meest vergaande variant zou zijn indien aan de betrokkene voor het betreffende gebruik om toestemming wordt gevraagd. Wij verwijzen voorts naar de reeds bestaande voorbeelden die zijn gegeven in het antwoord op vraag 8 in verband met de gemeentelijke basisadministratie en de openbare registers. De hier geschetste benadering ligt overigens in het verlengde van het eerder door ons geschrapte artikel 9, tweede lid. Hierin werd bepaald dat bij de beoordeling of een verwerking onverenigbaar is met het oorspronkelijke doel, onder meer rekening moest worden gehouden met «de mate waarin jegens de betrokkene wordt voorzien in passende waarborgen». Met het schrappen van deze bepaling, hebben wij dan ook niet beoogd tot uitdrukking te brengen dat deze een inhoudelijk onjuiste uitleg gaf aan het begrip «onverenigbaar gebruik». Wij hadden slechts bezwaar tegen het feit dat het oorspronkelijke artikel 9, tweede lid, minder goed aansluit bij de letterlijke tekst van de richtlijn.
Artikel 9 lid 2 sub a.
Wordt het begrip verwantschap gebruikt in andere geldende wet- of regelgeving in de zorgsector, en zo ja, wat is daar de precieze betekenis van dit begrip?
In de wet- en regelgeving in de zorgsector komt het begrip «verwantschap» niet voor. Wel wordt dit begrip op meerdere plaatsen gebruikt in de wetgeving op het terrein van het personen- en familierecht. Uiteraard heeft het begrip «verwantschap» hier een andere betekenis. Voorts kan worden gewezen op artikel 1, onder f, van de Erkenningsregeling geschillencommissies consumentenklachten 1997 (Stcrt. 1996, 248). Hierin wordt in verband met de bevoegdheid van deze commissies het begrip «branche» omschreven als een groep ondernemers die dezelfde produkten op de markt brengen of «een andere verwantschap vertonen die aansluiting bij een zelfde geschillencommissie rechtvaardigen». Ten slotte kan worden gewezen op een begrip van dezelfde strekking in artikel 4, derde lid, van het Beneluxverdrag inzake de warenmerken. Hierin wordt het gebruik van een merk uitgesloten voor «soortgelijke waren».
De regering acht het gebruik van persoonsgegevens met betrekking tot de sociale zekerheidswetgeving voor commerciële doelen in beginsel onverenigbaar. Is deze materie in het licht van de privatisering van de sociale zekerheidsmarkt niet dusdanig specifiek dat er nadere regelgeving noodzakelijk is, zoals de Registratiekamer ook adviseert? (blz. 3).
In de brief van de minister naar aanleiding van de SUWI nota werd al aangegeven dat er voldoende waarborgen omtrent gegevensbeheer moeten komen, zowel uit oogpunt van privacybescherming als uit het oogpunt van concurrentievervalsing.
Welke nadere regelgeving omtrent persoonsgegevens ter uitvoering van sociale zekerheidswetgeving is de regering van plan neer te leggen in een nieuwe Organisatiewet Sociale Verzekeringen?
Op het onderwerp van deze vragen zijn wij hiervoor ingegaan in de antwoorden op de vragen 8 en 12. Inderdaad draagt de problematiek in het licht van de privatisering van de sociale zekerheid een zodanig specifiek karakter dat – ter nadere invulling van de Wet bescherming persoonsgegevens – sectorale regelgeving noodzakelijk is. In het kader van het kabinetsstandpunt van maart 1999 inzake de «Structuur uitvoering werk en inkomen» wordt ook nadere wetgeving op dit punt aangekondigd. De vraag hoe deze regelgeving moet luiden en welke specifieke waarborgen daarin moeten worden opgenomen, dient in dat kader aan de orde te komen.
Is het onder de Wet bescherming persoonsgegevens mogelijk dat voor statistische doeleinden marktonderzoek wordt verricht, met de resultaten waarvan een sociale typografie van bijvoorbeeld een wijk wordt gemaakt? (blz. 4).
Ja. Zolang het resultaat geen betrekking heeft op identificeerbare natuurlijke personen, is – ook al worden voor het verkrijgen van dat resultaat wel persoonsgegevens gebruikt – sprake van statistisch onderzoek. In dat geval is het soepeler regime van de wet van toepassing. Wij verwijzen naar artikel 9, tweede lid, van het wetsvoorstel. Dit sluit aan bij de huidige praktijk. De Registratiekamer heeft onder de werking van de Wet persoonsregistraties vastgesteld dat een postcode niet als een persoonsgegeven kan worden aangemerkt. Dit wordt anders indien een postcode zou worden gecombineerd met een huisnummer, omdat daarmee een individueel huishouden wordt geïdenitificeerd.
Geeft de Wet bescherming persoonsgegevens alleen rechtsbescherming aan individuen, of ook aan groepen mensen (bijvoorbeeld wijkbewoners) als de gegevenswerking niet betrekking heeft op tot individuen herleidbare gegevens, maar op gegevens met betrekking tot die groep?
Uit het antwoord op vraag 16 moge blijken dat dit niet het geval is. De richtlijn – en in het voetspoor daarvan het onderhavige wetsvoorstel – beschermt slechts individuele personen in verband met hun persoonsgegevens.
Artikel 13 en 14
Wordt het begrip «passende» in de artikelen 13 en 14 in andere geldende wet- of regelgeving gebruikt volgens de in de memorie van toelichting bij dit wetsvoorstel gegeven uitleg? (MvT blz. 98 en 99)
Het begrip «passende» wordt op veel plaatsen in de geldende wet- en regelgeving gebruikt, onder meer op het terrein van de sociale zekerheid, het onderwijs en de volkshuisvesting. De context waarin het begrip wordt gehanteerd is vaak verschillend. In artikel 13 van het onderhavige wetsvoorstel is hetzelfde begrip gehanteerd als in artikel 17, eerste lid, van de richtlijn. Het voorschrift komt overeen met het huidige artikel 8 van de Wet persoonsregistraties. Hierin wordt bepaald dat de houder met het oog op de beveiliging de «nodige» voorzieningen van technische en organisatorische aard moet treffen. «Nodige» en «passende» hebben in dit verband dezelfde betekenis. Voorts kan worden gewezen op de toelichting op artikel 138a van het Wetboek van Strafrecht inzake computervredebreuk, ingevoerd bij de wet van 23 december 1992 (Stb. 1993, 33). Hier wordt uitvoerig op dit begrip ingegaan in relatie tot het begrip «enige beveiliging» zoals dit toen is opgenomen in het Wetboek van Strafrecht. «Nodige» of «passende» beveiliging verwijst naar een relatie tussen de beveiliging en hetgeen wordt beveiligd, terwijl «enige» beveiliging een dergelijke relatie niet vereist. Verder kan op het terrein van de gegevensbescherming nog gewezen worden op artikel 12 van de Wet op het Centraal Bureau en de Centrale Commissie voor Statistiek waarin wordt bepaald dat het CBS «passende maatregelen» moet treffen om herkenning van afzonderlijke personen te voorkomen. Uit de wetsgeschiedenis blijkt dat dit artikel beoogt het CBS een zekere ruimte toe te kennen om het niveau van beveiliging te bepalen; deze is afhankelijk van de aard van het bestand. Ten slotte is artikel 11.3, eerste lid, van de recent totstandgekomen Telecommunicatiewet van belang. Hierin is terzake van de beveiliging van telecommunicatiegegevens een bepaling opgenomen die vrijwel identiek is aan artikel 13 van het onderhavige wetsvoorstel. Deze bepaling is eveneens gebaseerd op een Europese richtlijn.
Artikel 17, lid 1
Waarom is in artikel 17, lid 1 niet rekening gehouden met het feit dat gegevens van geloofsovertuiging van belang kunnen voor medische verrichtingen?
Met het feit dat gegevens inzake geloofsovertuiging van belang kunnen zijn voor medische verrichtingen, is rekening gehouden in artikel 21, derde lid. Op grond van deze bepaling mogen gegevens omtrent geloofsovertuiging in samenhang met medische gegevens worden verwerkt voor zover dit met het oog op een goede behandeling of verzorging van de betrokkene noodzakelijk is.
Het verbod op verwerking van persoonsgegevens betreffende iemands gezondheid geldt niet voor verzekeringsinstellingen (artikel 21, eerste lid, onderdeel b). Wat valt nu precies onder het begrip «verzekeringsinstellingen»? De regering stelt dat gegevens, verkregen voor de uitvoering van sociale zekerheid, zonder uitdrukkelijke toestemming niet commercieel mogen worden gebruikt voor andersoortige verzekeringen. Hoe is een zorgvuldige controle hierop mogelijk? Geldt het verbod voor andersoortige verzekeringen tevens voor andere bedrijven c.q. instellingen en commerciële activiteiten? (blz. 4).
Deze vraag is voor ons mede aanleiding artikel 21, eerste lid, onderdeel b, aan te passen. Verwezen zij naar de bijgevoegde nota van wijziging. Met deze aanpassing wordt beoogd aan te sluiten bij Wet toezicht verzekeringsbedrijf 1993, de Wet toezicht natura-uitvaartverzekeringsbedrijf en de Wet assurantiebemiddelingsbedrijf. Het thans in de bepaling opgenomen onderscheid tussen verzekeraars, tussenpersonen en sub-agenten biedt bovendien ook inhoudelijke verheldering ten opzichte van het brede begrip «verzekeringsinstelling». Met de vragensteller zijn wij voorts van mening dat een zorgvuldige en effectieve controle – mede met het oog op eventueel commercieel gebruik door verzekeraars van langs publiekrechtelijke weg verkregen gegevens – noodzakelijk is. Het is mede om die reden van groot belang dat het wetsvoorstel – in het voetspoor van de richtlijn – voorziet in een publiekrechtelijke toezichthouder die onafhankelijk van de branche met toereikende bevoegdheden kan optreden. Zo beschikt het College bescherming persoonsgegevens op grond van artikel 61 van het wetsvoorstel in samenhang met de Algemene wet bestuursrecht, over uitgebreide toezichthoudende bevoegdheden. Het betreft onder meer het vragen van inlichtingen, het vorderen van inzage in zakelijke gegevens, het onderzoeken van zaken en vervoermiddelen (incl. computerapparatuur) en het betreden van woningen. Indien de op grond van de wet geldende verplichtingen niet worden nageleefd, kan het college bestuursdwang toepassen. Voorts is van belang dat voor verzekeraars de Gedragscode verwerking persoonsgegevens verzekeringsbedrijf (Stcrt. 1998, 44) geldt die onder het regime van de huidige wetgeving is goedgekeurd door de Registratiekamer. Overigens gelden voor verzekeraars enerzijds en bedrijven in andere maatschappelijke sectoren anderzijds terzake van de verwerking van persoonsgegevens voor commerciele doeleinden, gelijkluidende verplichtingen.
Artikel 21, lid 1, sub a
Zijn kerkgenootschappen gerechtigd, ten behoeve van hun taak op het gebied van de geestelijke zorg, persoonsgegevens betreffende iemands gezondheid te verwerken, dit mede gelet op de tekst van artikel 8 van de richtlijn?
Nee. De verwerking van medische gegevens is in beginsel alleen toegestaan in de gevallen als bedoeld in artikel 21. Een basis voor de verwerking van medische gegevens door kerkgenootschappen is hierin niet opgenomen. Er bestaat naar onze mening geen noodzaak tot verwerking van medische gegevens door kerkgenootschappen. Dit kan derhalve alleen met uitdrukkelijke toestemming op basis van artikel 23, eerste lid, onder a. Wel kunnen kerkgenootschappen op grond van artikel 17 persoonsgegevens verwerken omtrent godsdienst.
Ziet verleende toestemming voor het toezenden van aanbiedingen verband houdende met een medisch gegeven, zoals in het voorbeeld van de apotheker, ook op medische gegevens B ongeacht de aard daarvan – die later met betrekking tot deze persoon zullen worden verzameld, of zal telkens opnieuw toestemming dienen te worden gegeven? (25 892, nr. 9 blz. 5)
Of opnieuw toestemming moet worden gevraagd, hangt af van de reikwijdte van de toestemming die eerder is gegeven. Gelet op artikel 1, onder h, van de richtlijn dient het te gaan om «informed consent»: het zal duidelijk moeten zijn dat de betrokkene het gebruik van gegevens daadwerkelijk zelf heeft gewild en voldoende geïnformeerd is geweest om de reikwijdte van zijn toestemming te overzien. Hij mag niet voor verrassingen worden gesteld. Dit sluit aan bij het algemene civiele recht. Artikel 3.36 BW en de daarop gebaseerde jurisprudentie kan blijkens artikel 3:59 BW ook op de toestemming op grond van het wetsvoorstel van toepassing worden geacht. Dit impliceert dat de betrokkene die op basis van aan hem verstrekte informatie in vertrouwen heeft ingestemd met een bepaalde verwerking of bepaalde verwerkingen, juridische bescherming geniet indien achteraf de verstrekte informatie onjuist of onvolledig blijkt te zijn. Binnen deze randvoorwaarde kan de toestemming ook betrekking hebben op toekomstige gegevensverwerkingen.
De regering erkent dat het bij genetische gegevens niet altijd om medische gegevens gaat. Is het dan niet beter om de bepaling van artikel 21 lid 4 apart in de wet op te nemen, in plaats van als onderdeel van de bepaling over persoonsgegevens betreffende iemands gezondheid? (blz. 5).
Hoe verhoudt het vierde lid van artikel 21 zich tot de andere leden van dat artikel? (blz. 5).
Op zichzelf is denkbaar dat artikel 21, vierde lid, van het wetsvoorstel in een afzonderlijk artikel wordt ondergebracht. Niettemin geven wij er de voorkeur aan indien de bepaling deel blijft uitmaken van het huidige artikel 21. Bij verwerking van genetische gegevens is er veelal een duidelijke samenhang met de gezondheid van de betrokkene of van derden. Dit blijkt ook uit de tekst van artikel 21, vierde lid, op basis waarvan zekere uitzonderingen mogelijk zijn «indien een zwaarwegend geneeskundig belang prevaleert». De samenhang met medische gegevens komt ook tot uitdrukking in Europese normstelling. In de Aanbeveling van de Raad van Europa over medische gegevens, zijn meer algemene bepalingen opgenomen over genetische gegevens. Het huidige artikel 21 sluit hierbij aan.
Kan de regering aangeven welke specifieke waarborgen er moeten worden ingebouwd alvorens branches wordt toegestaan om lijsten aan te leggen met strafrechtelijke gegevens van personen die leden van die brancheorganisatie benadelen of dreigen te benadelen? Verschillen deze per branche, zijn ze afhankelijk van het type gegeven, is de mate van onafhankelijk toezicht bepalend enz.? (blz. 5–6)
De noodzaak tot het creeren van waarborgen vloeit voort uit artikel 8, vijfde lid, van de richtlijn. Deze bepaling verplicht tot het stellen van «passende en specifieke waarborgen» voor het gebruik van strafrechtelijke gegevens door leden van branche-organisaties. De ratio daarvan is dat voorkomen dient te worden dat mensen die ooit met de strafrechter in aanraking zijn gekomen, ongerechtvaardigd of duurzaam van maatschappelijke voorzieningen worden uitgesloten. In het overleg met het bedrijfsleven bleek dat het niet mogelijk was uitputtend de inhoudelijke regels over de verwerking van strafrechtelijke gegevens in de wet neer te leggen. De praktijk is daarvoor te divers. Om die reden is een procedurele voorziening opgenomen voor de gevallen dat de wettelijke regels zelf geen inhoudelijke waarborgen bevat. Het betreft artikel 22, vierde lid, onder c, waarbij naar de bijzondere procedure voor voorafgaand onderzoek als bedoeld in artikel 31 wordt verwezen. De specifieke waarborgen worden dan nader bepaald in het kader van deze procedure. Per branche zal dan een specifiek op de situatie toegesneden regeling kunnen worden getroffen. De waarborgen die in concreto zullen worden getroffen zullen mede afhankelijk zijn van de mogelijkheden die in de desbetreffende branche voorhanden zijn om adequaat toezicht uit te oefenen.
Artikel 22 laat toe dat organisaties ter bescherming van zichzelf strafrechtelijke gegevens bijhouden van personen van wie zij het slachtoffer zijn geweest of dreigen te worden. Is het niet erg moeilijk te bepalen B en daarmee een bijzonder open norm B wanneer het gaat om personen van wie bedrijven het slachtoffer dreigen te worden? Kan de minister dit concretiseren? (blz. 5).
Artikel 22 maakt het mogelijk voor organisaties om strafrechtelijke gegevens te verwerken omtrent personen van wie zij het slachtoffer zijn geweest of dreigen te worden. Wij erkennen dat met name de clausule «dreigen slachtoffer te worden» een open norm bevat. Wij menen evenwel dat verantwoordelijken in staat moeten zijn om zich te beschermen tegen toekomstig crimineel gedrag. De verwerking van gegevens zal echter per individueel geval moeten kunnen worden gerechtvaardigd. Het behoren bij een bepaalde groep, tenzij deze groep redelijkerwijs in haar geheel als criminele groep kan worden aangemerkt, is onvoldoende grond voor een dergelijke gegevensverwerking. Evenmin kan verwerking over een onbepaalde groep personen plaatsvinden omdat niet valt uit te sluiten dat zich in de desbetreffende groep personen bevinden die zich schuldig maken aan strafbare feiten jegens de verantwoordelijke. Zou bij uitoefening van het recht op kennisneming of – indien dat wordt geweigerd – door tussenkomst van het College bescherming persoonsgegevens, blijken dat op onvoldoende gronden gegevens worden verwerkt, dan dienen deze te worden verwijderd en heeft de betrokkene, afhankelijk van de omstandigheden van het geval, recht op een schadevergoeding.
Is de regering bereid om in artikel 23 lid 1 sub b, voor «openbaar» het woord: «bewust» in te voegen, zodat duidelijk is dat de gegevens door de betrokkene overtuigd en vrijwillig openbaar zijn gemaakt?
Wij zijn hiervan geen voorstander. De toevoeging van het begrip «bewust» is een aanscherping ten opzichte van artikel 8, tweede lid, onder e, van de richtlijn. In de richtlijn is bewust gekozen voor een evenwicht tussen het recht op bescherming van de persoonlijke levenssfeer enerzijds en de vrijheid van informatievergaring anderzijds. Zouden alleen gegevens die «bewust» openbaar zijn gemaakt, kunnen worden verwerkt, dan zou bijvoorbeeld verwerking van allerlei informatie ontleend aan persberichten, niet meer kunnen plaatsvinden. Andere fundamentele rechten – zoals de persvrijheid – komen dan in het gedrang. Wij wensen daarom vast te houden aan de huidige tekst: deze sluit beter aan bij de richtlijn.
Kan de regering aangeven wat nu precies de status van de gedragscodes is? Wordt met «organisatie of organisaties» in artikel 25, eerste lid, hetzelfde bedoeld als «verantwoordelijke»? Hoe wordt gewaarborgd dat de codes inzichtelijk zijn voor de consument? Omdat de verklaring van het College bescherming persoonsgegevens facultatief is, kunnen gedragscodes ongezien worden ingevoerd. Het zicht op de gedragscodes is dus beperkt. Hoe oordeelt de regering hierover? Kan een consument het College benaderen met het verzoek een verklaring over een code af te geven? Is het op basis van de artikelen 25 en 26 mogelijk één of meer gedragscodes te maken die privacybescherming koppelen aan processen – die binnen de zorgsector plaatsvinden – in plaats van aan organisaties? Zou dit niet beter passen in het systeem van de zorgsector, dat eerder ziet op de gang van een patiënt dan op organisaties? (blz. 6).
Deze vraag valt uiteen in verschillende deelvragen.
a. In het wetsvoorstel is overeenkomstig artikel 27 van de richtlijn een regeling omtrent gedragscodes opgenomen. De richtlijn is op dit punt in belangrijke mate geinspireerd door de huidige Nederlandse wetgeving. Het betreft een vorm van zelfregulering. Een kenmerk van zelfregulering is dat op basis van vrijwilligheid regels wordt opgesteld. De betrokken organisaties zijn uit dien hoofde vrij om te bepalen welke mate van verbindendheid zij aan de desbetreffende regels wensen toe te kennen. Dit laatste impliceert dat de status per gedragscode kan verschillen. Het is bijvoorbeeld mogelijk dat een gedragscode slechts aanbevelingen bevat. Deze zijn niet bindend. In de meeste gevallen echter hebben gedragscodes als lidmaatschapsverplichting een juridische binding via het verenigingsrecht. Een aantal bestaande codes verplichten tevens tot contractuele doorwerking van de regeling in contracten die leden sluiten met derden of zelfs in de arbeidsovereenkomst met hun werknemers. Overigens is onze verwachting dat verantwoordelijken ook in de gevallen waarin een gedragscode formeel-juridisch niet bindend is, zichzelf daaraan gebonden achten. In het algemeen zien verantwoordelijken en brancheorganisaties het primair als hun eigen belang om tot opstelling van een gedragscode over te gaan. Door naar buiten te tonen dat zorgvuldig met persoonsgegevens zal worden omgegaan, kunnen verantwoordelijken concurrentievoordeel behalen. Niet-naleving van de gedragscode zou vanuit dit oogpunt een ernstige aantasting van het belang van de desbetreffende verantwoordelijke kunnen betekenen en ligt dan ook niet in de lijn der verwachtingen.
b. Gedragscodes worden vastgesteld op het niveau van een bepaalde sector of branche. Zij worden doorgaans niet opgesteld door individuele verantwoordelijken, maar door een of meer brancheorganisaties waarbij in die branche werkzame verantwoordelijken zijn aangesloten. Artikel 27, tweede lid, van de richtlijn verwijst naar «beroepsverenigingen en andere vertegenwoordigers van andere categorieën van voor de verwerking verantwoordelijken». Met «organisatie of organisaties» in artikel 25, eerste lid, wordt derhalve niet hetzelfde bedoeld als «verantwoordelijke». Wel zal het steeds gaan om een organisatie of organisaties die een bepaalde categorie van verantwoordelijken vertegenwoordigen.
c. Op grond van het artikel 25, zesde lid, dient de gedragscode in het geval het College bescherming persoonsgegevens een verklaring heeft afgegeven, worden gepubliceerd in de Staatscourant. Is er geen verklaring afgegeven, dan is het de vrijheid van de desbetreffende organisatie(s) de gedragscode openbaar te maken. Wordt de gedragscode niet gepubliceerd of langs andere weg aan de betrokkene kenbaar gemaakt, dan heeft de code meer het karakter van een intern dienstvoorschrift. Krachtens geldend privaatrecht hebben particulieren de vrijheid daartoe. De betrokkene kan dan het uitwendig kenbaar gedrag – al dan niet gebaseerd op een intern dienstvoorschrift – (doen) toetsen aan de algemene normen van de wet, desgewenst met inschakeling van het College bescherming persoonsgegevens. Los daarvan achten wij het niet waarschijnlijk dat publicatie achterwege zal blijven indien organisaties in een bepaalde sector eenmaal besloten hebben tot het opstellen van een gedragscode. Op grond van de praktijk onder de huidige wet mag worden verwacht dat de desbetreffende organisaties vrijwel steeds in overleg zullen treden met het College om een verklaring als bedoeld in artikel 25, te verkrijgen. Zij hebben daar immers alle belang bij; een verklaring van het College (incl. publicatie) zal burgers als (potentiele) clienten het vertrouwen kunnen geven dat hun gegevens in goede handen zijn en vertegenwoordigt aldus een belangrijke commerciele waarde.
d. Zoals terecht in de vraag wordt opgemerkt is de verklaring van het College facultatief. Dit is inherent aan het karakter van zelfregulering. Dit brengt met zich dat formeel gezien slechts de organisatie of de organisaties die het initiatief hebben genomen om een gedragscode op te stellen, een verzoek kunnen indienen in de zin van artikel 25. Het staat echter – los van de procedure ex artikel 25 – elke burger vrij om het College te vragen of een gedragscode naar het oordeel van het College in overeenstemming is met de wet. Voorts kunnen betrokkenen vermeend onrechtmatig gedrag jegens hen aan de kaak stellen met behulp van de rechten die aan hen in de artikelen 45 tot en met 50 zijn toegekend.
Het is goed dat de subjectieve beoordeling van de gedragscode wordt geschrapt. Zou niet overwogen moeten worden nog iets meer mogelijkheden te creëren voor de minister om algemene regels te stellen ten aanzien van de bevoegdheidsuitoefening van het Cbp? Of acht de regering de huidige mogelijkheden al vrijwel alomvattend?(blz. 6).
Wij menen dat de bevoegdheden van de minister in het onderhavige wetsvoorstel op een toereikende wijze zijn geregeld. Daarbij dient in aanmerking te worden genomen dat verregaande invloed van de regering of de minister op de bevoegdheidsuitoefening door het College op gespannen voet kan komen te staan met de eis van artikel 28, eerste lid, van de richtlijn. Hierin wordt bepaald dat de nationale toezichthoudende autoriteiten hun taken in «volledige onafhankelijkheid» moeten kunnen verrichten. Dit geldt te meer daar ook de rijksoverheid zelf voorwerp van onderzoek door het College kan zijn. Niettemin kent het wetsvoorstel belangrijke controlemogelijkheden. Het College is verplicht in zijn bestuursreglement werkwijzen en procedures vast te stellen voor een zorgvuldig gebruik van zijn bevoegdheden. Het reglement behoeft de goedkeuring van de minister. Los daarvan staat de bevoegdheidsuitoefening door het College onder controle van de rechter. Tegen besluiten van het College kan beroep worden ingesteld bij de bestuursrechter.
Kan artikel 27 niet duidelijker worden geredigeerd? Zou de regering hierbij ook een wijziging van de volgorde van de artikelleden willen overwegen? Welke criteria worden aangelegd voor de uitzondering op de meldingsplicht voor handmatige bestanden? (blz. 6).
Deze vraag valt uiteen in twee deelvragen.
a. Naar aanleiding van deze vraag zijn artikel 27, eerste en derde lid, samengevoegd. Dit ligt in lijn met de wens zoals die tijdens het wetgevingsoverleg van 15 maart jl. is uitgesproken. Daarmee wordt ook dichter aangesloten bij de letterlijke tekst van artikel 18, eerste lid, van de richtlijn. We verwijzen naar de derde nota van wijziging.
b. Op grond van artikel 27, tweede lid, behoeven handmatige bestanden – behoudens het incidentele geval waarin voorafgaand onderzoek moet plaatsvinden ex artikel 31 – niet gemeld te worden. Dit vloeit voort uit de richtlijn. Als gevolg hiervan behoeven voor de vrijstelling van de meldingsplicht voor handmatige bestanden geen nadere criteria te worden ontwikkeld: de vrijstelling ligt reeds in de wet zelf besloten. Voor de vrijstelling van de meldingsplicht voor geautomatiseerde verwerkingen geldt op grond van artikel 18, tweede lid, van de richtlijn als criterium dat het onwaarschijnlijk is dat als gevolg van de verwerking een inbreuk op de rechten en vrijheden van de betrokkenen zal plaatsvinden. Dit criterium is overgenomen in artikel 29, eerste lid, van het wetsvoorstel. In het concept-Vrijstellingsbesluit – dat tijdens het wetgevingsoverleg van 15 maart jl. aan de vaste commissie ter hand is gesteld – wordt dit nader uitgewerkt. In het algemeen gesproken zijn verwerkingen die standaard zijn en waarvan in het algemeen bekend is dat deze voorkomen, van de meldingsplicht uitgesloten. Voorbeelden zijn personeelsadministraties, salarisadministraties, ledenadministraties en abonnementenadministraties.
De artikelen 33 en 34 gaan over informatieverstrekking aan de betrokkene. Hoe beoordeelt de regering het feit dat artikel 34 minder bescherming biedt dan artikel 33, terwijl bij artikel 33 de betrokkene zelf is betrokken en bij artikel 34 de gegevens via een derde worden verkregen? Op het moment dat de verantwoordelijke meedeelt wie hij is en wat hij met de gegevens wil, zou hij betrokkene ook moeten wijzen op het recht van verzet. In het wetgevingsoverleg werd hierover opgemerkt (blz. 26): «Wat betreft het wijzen op het recht van verzet, geldt in het algemeen dat de verantwoordelijke de betrokkene moet wijzen op alle omstandigheden die nodig zijn om een behoorlijke en zorgvuldige verwerking te waarborgen. Wanneer dat kan, moet dus gewezen worden op het recht van verzet. Is dit niet te vaag? Kan van alle bedrijven worden verwacht dat ze zelf bedenken dat het wijzen op het recht van verzet een logisch gevolg is van het vereiste van een zorgvuldige verwerking? Waarom zou deze plicht niet expliciet kunnen worden opgenomen? Is het juist dat de artikelen 33 en 34 niet van toepassing zijn op persoonsgegevens die nu al zijn opgenomen in een persoonsregistratie? (blz. 6).
Deze vraag valt uiteen in verschillende deelvragen.
a. De verschillen tussen de artikelen 33 en 34 waar in de vraag op wordt gedoeld, vloeien rechtstreeks voort uit de artikelen 10 en 11 van de richtlijn. De reden voor deze verschillen is gelegen in de aard van de relatie met de betrokkene. In het geval van artikel 33 is er een direct contact tussen de betrokkene en (een vertegenwoordiger van) de verantwoordelijke. De gegevens worden rechtstreeks bij de betrokkene zelf verzameld. Het contact met de betrokkene maakt het mogelijk de betrokkene te informeren over de identiteit van de verantwoordelijke en het doel van de gegevensverwerking als de betrokkene daarvan niet reeds op de hoogte is. De situatie waarin informatie niet van de betrokkene wordt verkregen – geregeld in artikel 34 – is een geheel andere. Zou men daarin evenzeer eisen dat hij in alle gevallen wordt geïnformeerd, dan zou men van de verantwoordelijke eisen dat hij in alle gevallen alsnog de betrokkene opspoort. Er is immers geen sprake van een direct contact. In de gevallen waarin de betrokkene kan worden opgespoord, dient deze – conform de hoofdregel van artikel 34 – alsnog door de verantwoordelijke te worden geïnformeerd. In sommige gevallen zal dit echter onmogelijk blijken dan wel een inspanning vergen die in geen verhouding staat tot het doel dat men wil dienen. Daarom is voor dat soort gevallen in artikel 34, vierde lid, bepaald dat dergelijke informatie achterwege kan blijven.
b. In de vraag wordt terecht geconstateerd dat de verantwoordelijke krachtens de artikel 33, derde lid en 34, derde lid, de betrokkene slechts moet informeren terzake van het recht van verzet voor zover dat nodig is om een behoorlijke en zorgvuldige verwerking te waarborgen. De betreffende bepalingen volgen letterlijk de richtlijn. Een absolute plicht om in het kader van de artikelen 33 en 34 in alle gevallen waarin het recht van verzet geldt de betrokkene daarover te informeren, gaat ons te ver. Daarbij dient in aanmerking te worden genomen dat de verantwoordelijke in geval van verwerking ten behoeve van direct marketing, reeds op grond van artikel 41 verplicht is om de betrokkene regelmatig te wijzen op het recht van verzet. Deze verplichting vloeit voort uit artikel 14 van de richtlijn.
c. Voor persoonsgegevens die nu al zijn opgenomen in een persoonsregistratie geldt de huidige wet. In artikel 28 van de Wet persoonsregistraties is een informatieplicht die vergelijkbaar is met de artikelen 33 en 34. Laatstgenoemde bepalingen zijn van toepassing op verwerkingen die plaatsvinden na het moment van inwerkingtreding van de nieuwe wet.
Kan de regering ingaan op de suggestie om een landelijk klachtloket in te richten, dat zou kunnen doorverwijzen naar bijvoorbeeld een functionaris of het College en dat tevens inlichtingen zou kunnen verschaffen over een eventuele gedragscode? Het gaat hierbij niet om toepassing van artikel 33. Waar zou een dergelijk klachtloket onder te brengen zijn? (blz. 6).
Wij zijn het eens met de aan een landelijk klachtenloket ten grondslag liggende gedachte dat er een toegankelijke voorziening behoort te zijn waar de burger met eventuele vragen, inlichtingen of klachten terecht moet kunnen. Naar onze mening echter is daarin reeds voorzien in het wetsvoorstel. Het College bescherming persoonsgegevens zal onder de nieuwe wet – evenals de Registratiekamer onder de huidige Wet persoonsregistraties – fungeren als landelijke klachteninstantie. Krachtens artikel 60 van het wetsvoorstel heeft het College ook de bevoegdheid op verzoek van burgers een onderzoek in te stellen. De praktijk laat voorts zien dat het College zal functioneren als vraagbaak voor burgers en verantwoordelijken. Uiteraard kan het College ook informatie verstrekken over de inhoud van gedragscodes. Verder is bij het College bekend of er in een bepaald bedrijf of in een bepaalde branche een functionaris werkzaam is. Deze dient immers op grond van artikel 63, derde lid, bij het College te worden gemeld. Ook daarover kan het College derhalve de burger informeren. Ten slotte is het de bedoeling dat het College onder meer door het onderhouden van een website die toegankelijk is via Internet, zijn dienstverlening aan het publiek inhoud kan geven. Gezien het voorgaande menen wij dat er naast het College geen behoefte is aan een afzonderlijk landelijk klachtenloket.
Artikel 36
Als een betrokkene zijn gegevens wil veranderen of verwijderen, moet de verantwoordelijke de verzoeker berichten of hij aan het verzoek zal voldoen (artikel 36, tweede lid). Hierbij is niet tevens de verplichting opgenomen de verzoeker te wijzen op het recht van verzet. Voor overheidsorganen bestaat deze verplichting echter wel volgens de Algemene wet bestuursrecht. Voor commerciële ondernemingen geldt deze verplichting dus niet. Acht de regering dit verschil tussen publieke en private instanties niet ongewenst?
Voor zover in de vraag wordt verwezen naar de Algemene wet bestuursrecht nemen wij aan dat gedoeld wordt op artikel 3:45, eerste lid. Hierin wordt bepaald dat indien tegen een besluit bezwaar kan worden gemaakt of beroep kan worden ingesteld, daarvan bij de bekendmaking en bij de mededeling van het besluit melding wordt gemaakt. In artikel 45 van het wetsvoorstel zijn bepaalde beslissingen voor zover zij door bestuursorganen zijn genomen, als besluit aangemerkt in de zin van de Algemene wet bestuursrecht. Dit heeft onder meer tot gevolg dat indien een bestuursorgaan een beslissing neemt als bedoeld in artikel 36, op grond van artikel 3:45 Awb aan de burger moet worden medegedeeld dat hij tegen die beslissing bezwaar kan maken of beroep kan instellen. Eenzelfde verplichting geldt niet voor verantwoordelijken in de particuliere sector. Dit verschil vloeit evenwel niet voort uit het onderhavige wetsvoorstel, maar uit algemene verschillen in rechtsbescherming tussen het bestuursrecht enerzijds en het privaatrecht anderzijds. Naar ons oordeel gaat heroverweging van deze verschillen het bestek van het wetsvoorstel te buiten. Overigens is in artikel 41, derde lid, van het wetsvoorstel conform artikel 14 van de richtlijn wel een belangrijke, specifieke informatieverplichting opgenomen die met name van betekenis voor de particuliere sector. Op grond hiervan dienen betrokkenen te worden gewezen op de mogelijkheid van hun recht van verzet bij het voornemen persoonsgegevens te gebruiken voor direct marketing.
Artikel 39 vormt de basis voor een algemene maatregel van bestuur die de verantwoordelijke toestaat een bepaald bedrag aan de betrokkene in rekening te brengen indien deze gebruik maakt van zijn recht op kennisneming van zijn gegevens. Kan de regering reeds nu, in het kader van de behandeling van de wet, meedelen hoe het zit met de kosten voor de burger bij het opvragen van gegevens? Houdt de regering in dit verband rekening met het feit dat in de gegevenshandel veel wordt verdiend? (blz. 6).
Wij zijn voornemens het bestaande regime krachtens de algemene maatregel van bestuur als bedoeld in artikel 36 van de Wet persoonsregistraties te handhaven. Dit betekent dat in de regel maximaal tien gulden in rekening kan worden gebracht. Wanneer de uitoefening van dat recht leidt tot verstrekking van meer dan vijftig pagina's kan een hoger bedrag dan tien gulden worden verlangd. Ook geldt een tarief van ten hoogste honderd gulden bij verstrekking anders dan op papier, of indien bijzondere recherches nodig zijn om de gegevens te verkrijgen. Het oude systeem van voor oktober 1998 waarbij nimmer meer dan tien gulden kon worden gevraagd, bleek in de praktijk, vooral in de gezondheidszorg, soms onbillijk uit te werken. Op initiatief van de Registratiekamer is daarom een meer genuanceerde regeling tot stand gebracht.
Hoever is de regering gevorderd met de concept-algemene maatregel van bestuur die een regeling moet vormen van eventuele vergoedingen voor het recht op kennisneming door betrokkene? Is de regering bereid om over de inhoud van deze algemene maatregel van bestuur nader met de Kamer van gedachten te wisselen? (blz. 6).
De in de vraag bedoelde algemene maatregel van bestuur zal inhoudelijk niet afwijken van de huidige algemene maatregel van bestuur ex artikel 36 van de Wet persoonsregistraties. Wij verwijzen naar het antwoord op vraag 34. Wel zijn enkele redactionele aanpassingen nodig. Het daartoe bestemde ontwerp-besluit dient nog aan de ministerraad te worden voorgelegd. Indien de Kamer zich niet met de hier geschetste lijn kan verenigen, zijn wij gaarne bereid daarover met de Kamer nader van gedachten te wisselen.
Per AMvB kan mogelijk worden gemaakt dat voor het gebruik maken van het recht op kennisneming van iemands eigen gegevens een bedrag in rekening gebracht worden. Gaat het hier om een bijdrage in de kosten of kan ook meer dan de kostprijs in rekening worden gebracht? Wordt in de AmvB ook een maximum bedrag vastgesteld? Waarom is het zgn tientjes-AmvB niet voldoende?(blz. 6).
Wij verwijzen naar het antwoord op vraag 34. Het daar geschetste regime houdt in dat niet meer dan de reële kosten mogen worden verlangd, doch met een maximum als aangegeven in de desbetreffende algemene maatregel van bestuur. In de meeste gevallen zal het gaan om een bedrag van tien gulden.
Aan welke vereisten moet worden voldaan ingeval van gegevensvergaring voor direct marketing (artikel 41)? Aan welke eisen moet worden voldaan ingeval van gegevensvergaring voor secundair gebruik? Is dit überhaupt wel toegestaan, gezien de artikelen 7 en 9? Aan welke vereisten moet worden voldaan ingeval van gebruik van eerder vergaarde persoonsgegevens, door ofwel dezelfde verantwoordelijke ofwel een derde? Bij telefonische colportage wordt niet gewezen op de mogelijkheid van het doen van verzet. Mensen blijken telefonische benadering van marketing bedrijven irritant te vinden. Hoe denkt de regering hierover? Is het niet oneigenlijk om bij schriftelijke benadering wel te wijzen op het recht van verzet, en bij telefonische benadering niet? De verplichting om de mogelijkheid van verzet te melden bestaat niet als het gaat om bijvoorbeeld reclame onderaan een bankafschrift. Het argument is dat dit geen boodschap is die daartoe aan de betrokkene is toegezonden. Laat dit nu niet te veel ruimte voor het omzeilen van de verplichting van artikel 41, vierde lid? Is de regering bekend met het feit dat veel telemarketingbedrijven zich niet aan de gedragscode van de branche houden? Verwacht zij dat dit na invoering van de Wbp problemen zal opleveren? Is het de regering bekend dat in andere EU-landen naar aanleiding van de implementatie van de richtlijn juist een maatschappelijk debat is ontstaan over de wenselijkheid van telemarketing? (blz. 6 e.v.).
De vraag valt uiteen in verschillende deelvragen.
a. Voor vergaring van persoonsgegevens voor direct marketing-doeleinden zijn dezelfde wettelijke regels van toepassing als voor verwerking van persoonsgegevens voor andere doeleinden. De in hoofdstuk 2 van de wet opgenomen voorwaarden gelden derhalve onverkort voor gegevensverwerking ten behoeve van direct marketing. Voorts geldt dat wanneer gegevens (mede) voor direct marketing worden vergaard, de betrokkene hiervan op grond van artikel 33 of 34 op de hoogte moet worden gesteld.
b. Voor secundair gebruik van persoonsgegevens voor direct marketing is met name de eis van verenigbaar gebruik van belang. Terecht wordt er in de vraag van uitgegaan dat artikel 9 op dit punt grenzen stelt. In dit artikel staat centraal de relatie tussen enerzijds het gebruik dat van gegevens wordt gemaakt en anderzijds de doeleinden waarvoor de gegevens zijn verkregen. Secundair gebruik dient met de oorspronkelijke doeleinden «verenigbaar» te zijn. Toegespitst op direct marketing betekent dit dat secundair gebruik mogelijk is wanneer het gaat om reclame voor produkten die in een zeker verband staan met het oorspronkelijke doel waarvoor de gegevens zijn verzameld. Van belang in dat kader is het verwachtingspatroon dat de consument met betrekking tot het gebruik van zijn gegevens door marktpartijen redelijkerwijs mag hebben. Burgers moeten er van uit kunnen gaan dat zij niet benaderd worden voor produkten die slechts in een ver verwijderd verband staan tot het oorspronkelijke doel waarvoor de op die burgers betrekking hebbende persoonsgegevens zijn verzameld.
c. Voor de vraag of voldaan is aan de norm van verenigbaar gebruik is in juridische zin niet relevant of de gegevens worden gebruikt door dezelfde verantwoordelijke als die de gegevens eerder heeft vergaard, dan wel door een derde. Los van degene die verwerkt gaat het om de verenigbaarheid tussen het gebruik en de doeleinden waarvoor de gegevens eerder zijn verzameld. Niettemin mag worden aangenomen dat in de praktijk gebruik door dezelfde verantwoordelijke vaker met artikel 9 in overeenstemming is. Immers een verantwoordelijke die eerder door hemzelf verkregen gegevens opnieuw gebruikt, zal – gelet op het feit dat de verantwoordelijke vaak alleen activiteiten ontplooit binnen een duidelijk afgebakende maatschappelijke sector – dit relatief vaak doen voor hetzelfde doel waarvoor hij de gegevens heeft verzameld dan wel voor een doel dat daarmee sterk verband houdt. Bij grote bedrijven die actief zijn op uiteenlopende terreinen behoeft het laatste echter niet op te gaan.
d. Wij zijn er ons ervan bewust dat burgers telefonische benadering door marketing bedrijven vaak niet op prijs stellen. In de vraag wordt terecht hierop gewezen. Uit de wet vloeit dan ook voort dat ook in geval van telefonische benadering gebruik van gegevens alleen is toegestaan indien is voldaan aan de normen van hoofdstuk 2 van de wet. Een voorschrift dat ertoe zou strekken ook in mondelinge contacten steeds te wijzen op het recht van verzet, gaat ons echter te ver. Het zou de duur van vele telefoongesprekken verlengen, met alle kosten van dien. Voorts menen wij dat een dergelijke verplichting moeilijk handhaafbaar is. Wij hebben er om die reden van afgezien om de informatieverplichting zich ook tot telefonische contacten te laten uitstrekken.
e. Naar ons oordeel is geen sprake van gebruik van persoonsgegevens voor direct marketing, indien bij toezending van bijvoorbeeld een bankafschrift daarop tevens aandacht wordt gevraagd voor een nieuw produkt. De persoonsgegevens zijn dan immers niet gebruikt om de betrokkene te selecteren met het oog op direct marketing. Wij beschouwen dit dan ook niet als een mogelijkheid om de verplichting van artikel 41, vierde lid, te omzeilen.
f. Voor zover telemarketingbedrijven zich niet houden aan de gedragscode van hun branche, achten wij dit ongewenst. Na de inwerkingtreding van de Wet bescherming persoonsgegevens zullen er meer mogelijkheden zijn om tegen eventuele onregelmatigheden op te treden. Het College bescherming persoonsgegevens zal over meer handhavingsmogelijkheden beschikken dan thans het geval is. Voorts wordt nu in de wet vastgelegd dat de burger via het recht van verzet kan verhinderen dat hij langs telefonische of andere weg voor direct marketing-doeleinden benaderd wordt.
g. Het is ons bekend dat ook in andere EU-landen telemarketing onderwerp van bespreking is.
Dit vindt zijn weerslag in nieuwe initiatieven in EU-verband. Het onderwerp komt terug in verschillende richtlijnen. Artikel 12 over ongevraagde oproepen van de richtlijn 97/66/EG van 15 december 1997 over persoonsgegevens in de telecommunicatiesector is reeds geïmplementeerd in artikel 11.7 van de Telecommunicatiewet. In artikel 10 van de richtlijn 97/7/EG van 20 mei 1997 betreffende de bescherming van de consument bij op afstand gesloten overeenkomsten wordt eveneens het gebruik voor direct marketing van faxen en geautomatiseerde oproepsystemen zonder toestemming van de betrokkene verboden. Verder is het onderwerp aan de orde in de artikelen 6 en 7 van het ontwerp van de richtlijn elektronische handel. Daarin wordt voorgeschreven dat ongevraagde commerciële communicatie per e-mail duidelijk en ondubbelzinnig als zodanig herkenbaar moet zijn. Wij juichen deze ontwikkelingen toe. Het gemak waarmee in de toekomst grensoverschrijdend via telemarketing commerciële aanbiedingen kunnen worden gedaan, doet de behoefte aan normstelling op EU-niveau toenemen. De verschillende aldus tot stand gekomen regelingen zullen tezijnertijd hetzij in de Wet bescherming persoonsgegevens, hetzij in sectorale regelgeving moeten worden geïmplementeerd.
Artikel 48
Artikel 48, dat een verplichting inhield om uitspraken door te sturen naar het College, is geschrapt. Dit doorsturen hoeft echter, zeker gezien de elektronische mogelijkheden, geen grote werklast voor de griffies met zich mee te brengen; het is praktisch niet meer dan een druk op de knop. Kan de regering hierop ingaan?
Baseert de minister zijn vertrouwen dat het CBP zodanig actief de ontwikkelingen zal volgen, dat de bepaling van het oorspronkelijke artikel 48 gemist kan worden, op overleg met de Registratiekamer? Wat was het standpunt van de Registratiekamer op dit punt?.
In de vraag wordt er terecht van uit gegaan dat de electronische mogelijkheden als in de vraag bedoeld, zijn toegenomen. Het probleem is echter dat men zich bij de griffie er steeds van bewust moet zijn om op het juiste moment van deze mogelijkheden gebruik te maken. De dagelijkse routine op de griffies is van dien aard dat dit soort specialistische bepalingen moeilijk uitvoerbaar is. De Registratiekamer heeft laten weten niet te hechten aan een dergelijke bepaling. In de praktijk zal het College – ook vanwege zijn veelvuldige betrokkenheid bij relevante uitspraken – in staat zijn ontwikkelingen zelfstandig te volgen. Het ligt overigens in het voornemen om binnen afzienbare tijd de jurisprudentie van de gerechten toegankelijk te maken via Internet.
Artikel 64, vierde lid
Wat is rechtens indien de functionaris en het College het niet eens worden in het overleg als bedoeld in artikel 64, vierde lid?
Het overleg als bedoeld in artikel 64, vierde lid, betreft een door de functionaris voorgenomen aanbeveling. Het staat de functionaris vrij om in zijn aanbeveling af te wijken van het standpunt van het College, zoals dat in bedoeld overleg naar voren is gekomen. De functionaris heeft immers terzake van zijn aanbevelingsbevoegdheid jegens de verantwoordelijke een eigen verantwoordelijkheid. Dit laat onverlet dat vervolgens het College kan overwegen om gebruik te maken van zijn handhavingsbevoegdheden. Op grond van artikel 65 kan het College jegens de verantwoordelijke onder wiens verantwoordelijkheid de functionaris werkt, bestuursdwang toepassen. Hiertegen staat bezwaar en beroep open.
Heeft de regering, naast de vaststelling dat figuur van de functionaris voor de gegevensbescherming vanouds in het Duitse recht bestaat, argumenten waarom deze in het Nederlandse recht moet worden geïntroduceerd? (25 892, nr. 9, blz. 8 en 9)
Had in de lijn van de overweging dat de functionaris voor de gegevensbescherming in het Duitse recht bestaat, niet veel meer voor de hand gelegen de functionaris níet te introduceren in het Nederlandse recht, en wel vanwege het feit dat alle lidstaten van de EU, op Duitsland na, deze figuur vanouds blijkbaar niet kennen? (25 892, nr. 9, blz. 8 en 9)
Over de introductie van de functionaris in de richtlijn is in EU-verband destijds uitvoerig gesproken. Toen tijdens de onderhandelingen in Brussel van de zijde van Duitsland de figuur van de functionaris werd aangedragen, is van Nederlandse kant in overleg met VNO/NCW getracht het toepassingsbereik ervan in het kader van de richtlijn uit te breiden. In Duitsland bestaat vanouds de figuur van de functionaris op het niveau van het individuele bedrijf. Op aandrang van Nederland is in de richtlijn geregeld dat een functionaris ook op brancheniveau kan worden aangesteld. Het Nederlandse bedrijfsleven toonde zich indertijd ingenomen met deze regeling. Het schept de mogelijkheid om verwerkingen die niet krachtens de in artikel 29 bedoeld algemene maatregel van bestuur zijn vrijgesteld, te melden bij een privacyfunctionaris op brancheniveau in plaats van bij het College bescherming persoonsgegevens. Tegen deze achtergrond lag het voor de hand het instituut van de functionaris in het wetsvoorstel op te nemen. Aanstelling van een functionaris is niet verplicht. Zij sluit echter blijkens een van de evaluaties van de Wet persoonsregistraties aan bij de behoefte die in de praktijk terzake is gebleken. Binnen verschillende organisaties in zowel de publieke als private sector is reeds een zodanige functionaris aangesteld. Het wetsvoorstel bouwt hierop voort. Een ander voordeel is dat in aanvulling op de werkzaamheden van het College, toezicht wordt uitgeoefend door een functionaris op een voor de desbetreffende organisatie, branche of sector geeigende wijze. Wij menen dat door deze vorm van zelfregulering een goede naleving van de wet kan worden bevorderd.
Over de functionaris voor de gegevensbescherming wordt opgemerkt (blz. 9): «De functionaris is niet verplicht onregelmatigheden bij het CBP te melden. De aantrekkelijkheid voor een verantwoordelijke om een dergelijke functionaris aan te stellen zou anders sterk onder druk komen te staan». Is dit geen vreemde redenering? Wordt niet eigenlijk het instituut van de functionaris ontkracht, zodat deze tenminste wordt ingesteld? Zou het niet beter zijn de functionaris ontslagbescherming te geven? Kennelijk moet voor iedere functionaris een civielrechtelijke grondslag aanwezig zijn. Hoe stelt de regering zich dit voor? Wat zijn de gevolgen als dit feitelijk niet gebeurt? Civielrechtelijk betekent immers: tussen de partijen zelf, dus zonder de overheid. Hoe zou de zorgsector moeten omgaan met privacyfunctionarissen op verschillende niveaus (instellingsniveau, regionaal niveau en landelijk niveau)? (blz. 8 e.v.).
Deze vraag bestaat uit een aantal deelvragen.
a. Wij hebben ervoor gekozen om de privacyfunctionaris geen meldingsplicht op te leggen, omdat wij menen dat dit beter past bij de aard van het instituut van de functionaris. Organisaties dienen in de gelegenheid te zijn door middel van interne voorzieningen onregelmatigheden binnenshuis te herstellen zonder dat deze meteen bij de officiële instanties behoeven te worden gemeld. Voorts zou door een dergelijke meldingsplicht verantwoordelijken onder wiens gezag privacyfunctionarissen werkzaam zijn onder omstandigheden gehouden zullen zijn zichzelf te belasten. Afgezien van mogelijke juridische bezwaren daartegen is de verwachting gerechtvaardigd dat als gevolg daarvan veel minder organisaties tot instelling van een dergelijke functionaris zullen overgaan. Wij achten dit onwenselijk. Daar staat uiteraard wel tegenover dat de overheid in casu het College over zijn handhavingsbevoegdheden blijft beschikken voor het geval dat ondanks de aanstelling van een functionaris, de naleving van de wet tekort zou schieten. De situatie moet worden vermeden dat de aanstelling van een functionaris zou kunnen worden misbruikt om zich te vrijwaren van overheidstoezicht. Anderzijds ligt het voor de hand dat indien een functionaris daadwerkelijk goed functioneert, de bemoeienis van het College een meer afstandelijke zal zijn.
b. Het toekennen van wettelijke ontslagbescherming aan de functionaris vinden wij te ver gaan. De aanstelling en het ontslag van de functionaris is de verantwoordelijkheid van de verantwoordelijke of de brancheorganisatie waar hij werkzaam is. Deze moeten naar ons oordeel de vrijheid hebben een functionaris die minder goed functioneert, andere werkzaamheden te laten verrichten. Het risico dat langs deze weg «lastige» functionarissen worden verwijderd achten wij niet groot. De kans dat in verband daarmee publiciteit ontstaat en het imago van het desbetreffende bedrijf of instelling wordt geschaad, is aanzienlijk. Een dergelijke handelwijze zal vermoedelijk aanleiding zijn voor het College om het toezicht te verscherpen.
c. De functionaris wordt aangesteld bij de organisatie waarbinnen hij werkzaam is. Werkt hij voor een brancheorganisatie dan is hij werkzaam ten behoeve van de bij die organisatie aangesloten leden. Binnen de particuliere sector zal de functionaris werken op civielrechtelijke basis. Hij is immers werknemer bij een bedrijf of bij een particuliere brancheorganisatie. Wij stellen ons voor dat dat in de regel op grond van een arbeidscontract zal zijn. In de vraag wordt er terecht van uitgegaan dat de overheid geen partij is bij een dergelijk contract. Voor een privacyfunctionaris binnen de publieke sector ligt dat anders. Doorgaans zal de functionaris dan ambtenaar zijn die krachtens het ambtenarenrecht is aangesteld. Los van de juridische basis waarop zij werkzaam zijn zullen de functionarissen zowel in de publieke als in de private sector beschikken over de bevoegdheden, zoals neergelegd in het wetsvoorstel.
d. Het is aan de organisaties die binnen een bepaalde sector werkzaam zijn, zelf om te bepalen of zij op verschillende niveaus privacyfunctionarissen wensen aan te stellen. Voor de zorgsector ligt dit niet anders dan voor andere sectoren. Indien binnen de zorgsector zou worden gekozen voor een functionaris die werkzaam is op brancheniveau kunnen wij ons voorstellen dat aanstelling van een dergelijke functionaris op instellingsniveau minder voor de hand ligt.
Welke andere EU lidstaten, naast Nederland en Duitsland, zullen deze functionaris voor de persoonsgegevens introduceren? (25 892, nr. 9, blz. 8 en 9)
Ons zijn – buiten de Bondsrepubliek Duitsland – geen andere landen bekend die de functionaris voor de gegevensbescherming in hun wetgeving introduceren.
Omvat de bevoegdheid tot het hanteren van bestuursdwang in het geval in strijd met de meldingsplicht wordt gehandeld, ook mede de bevoegdheid tot het opleggen van een dwangsom? Is het opleggen van een dwangsom een effectief middel om te bereiken dat alsnog de meldingsplicht wordt nageleefd, dit in tegenstelling tot de geschrapte bevoegdheid tot het opleggen van een bestuurlijke boete die slechts een sanctionerende werking achteraf bezit? Is mede daarom het hanteren van een bestuurlijke boete ongewenst? (blz.9)
Op niet-naleving van de meldingsplicht kan krachtens het huidige wetsvoorstel inderdaad op verschillende wijzen worden gereageerd. Op basis van artikel 5:32 Awb kan het College in plaats van de toepassing van bestuursdwang, een dwangsom opleggen. Deze kan slechts bewerkstelligen dat alsnog wordt gemeld. Wordt alsnog gemeld binnen de in de last onder dwangsom genoemde termijn, dan is de dwangsom niet verbeurd. De dwangsom kan derhalve niet als repressieve sanctie wegens nalatigheid dienen. De verantwoordelijke loopt bij nalatigheid geen onmiddellijk financieel risico, omdat hij altijd in de gelegenheid wordt gesteld de fout te herstellen. Bij de bestuurlijke boete is wel een direct financieel risico aanwezig.
Kan de regering meer informatie geven over de wetten waarin recent bestuurlijke boeten zijn geïntroduceerd en andere waarin nu juist van die mogelijkheid wordt afgezien?
In de volgende wetten is een bestuurlijke boete ingevoerd: de Algemene wet inzake rijksbelastingen, de Douanewet, enige sociale verzekeringswetten (AOW, AKW, Anw, WW, ZW, TW, WAO, AAW, WAZ, Wajong), sociale voorzieningswetten (Abw, IOAW, IOAZ, Wet inkomensvoorziening kunstenaars), Wet re-integratie gehandicapten, Coördinatiewet sociale verzekeringen (premieheffing), de Wet administratiefrechtelijke handhaving verkeersvoorschriften, de Wet op de particuliere beveiligingsorganisaties, de Wet geneesmiddelenprijzen, de Wet infectieziekten, de Mediawet (reclamevoorschriften resp. omroepbijdragen), de Huursubsidiewet, de Telecommunicatiewet, de Postwet en de Mededingingswet. Bij de Tweede Kamer is een aantal voorstellen aanhangig die de bestuurlijke boete in een aantal wetten introduceert. Het betreft: de Pensioen- en spaarfondsenwet c.a., Aanpassing Coördinatiewet sociale verzekeringen (premieheffing) en de Mijnbouwwet. Bij de Eerste Kamer zijn aanhangig voorstellen inzake de Arbeidsomstandighedenwet en wetgeving inzake het toezicht op financiële instellingen. Dit laatste impliceert wijzigingen op de Wet toezicht kredietwezen 1992, de Wet toezicht verzekeringsbedrijf 1993, de Wet toezicht natura-uitvaartverzekeringsbedrijf, de Wet toezicht beleggingsinstellingen, de Wet toezicht effectenverkeer 1995, de Wet inzake de wisselkantoren, de Wet melding zeggenschap in ter beurze genoteerde vennootschappen 1996 en de Wet financiële betrekkingen buitenland 1994. Van de mogelijkheid van een bestuurlijke boete is afgezien in het kader van de herijking van de publiekrechtelijke bedrijfsorganisatie. Daar is de voorkeur gegeven aan handhaving via het tuchtrecht, gelet op de ervaringen die daarmee in die sector zijn opgedaan. Daarnaast is in de Wet milieubeheer daarvan afgezien omdat de voorkeur werd gegeven aan experimenten met een variant van de strafrechtelijke transactie in handen van bestuursorganen.
Is de regering van mening, dat met bestuurlijke dwang en strafrechtelijk optreden een toereikend handhavingsinstrumentarium wordt gerealiseerd, of acht zij de mogelijkheid van het opleggen van een bestuurlijke boete daarop een nuttige aanvulling? Indien het laatste het geval is: is het dan niet beter om, vooruitlopend op de regeling van bestuurlijke boeten in de Awb, reeds nu een (tijdelijke) bevoegdheid voor het opleggen van boeten in de WBP op te nemen? (blz. 9).
Tot nog toe is van strafrechtelijke handhaving geen sprake geweest. Wat geeft de regering de overtuiging, dat het strafrecht wel effectief benut zal (kunnen) worden onder de WBP, en legt dit dan weer niet een te grote druk op de strafrechtsketen? (blz. 9).
Wij zijn inderdaad van mening dat het wetsvoorstel met bestuursdwang, strafsancties, de in het wetsvoorstel neergelegde toezichts- en onderzoeksbevoegdheden van het College en de functionaris, alsmede met de aanwezige privaatrechtelijke handhavingsmogelijkheden, voorlopig toereikende mogelijkheden biedt tot handhaving van de wet. In de praktijk zal het strafrechtelijk instrumentarium naar onze verwachting slechts zelden daadwerkelijk worden aangewend. Indien een nalatige verantwoordelijke wordt gewezen op zijn plicht een gegevensverwerking te melden bij het College, verwachten wij dat het strafrecht als stok achter de deur vooralsnog voldoende zal zijn om naleving van die verplichting af te dwingen. In dat licht bezien zijn wij niet bevreesd voor een te grote druk op de strafrechtsketen. In hoeverre alsnog de bestuurlijke boete moet worden ingevoerd zal nader worden bezien naar aanleiding van de Awb, vierde tranche, mede in het licht van het functioneren van in zelfregulering ontwikkelde handhavingsinstrumenten.
Hoe verhoudt zich de terugwerkende kracht van artikel 79 tot het verdwijnen van het onderscheid publiek-privaat? (blz. 10).
Hoewel in de huidige Wet persoonsregistraties in bepaalde opzichten een onderscheid wordt gemaakt tussen de publieke en private sector, is dit onderscheid in de praktijk niet tot wasdom gekomen. Het verdwijnen van dit onderscheid onder de nieuwe wet zal daarom voor beide sectoren slechts tot zeer beperkte gevolgen leiden. Er bestaat in dit licht bezien geen aanleiding om in de sfeer van het overgangsrecht specifieke voorzieningen te treffen die specifiek op de publieke dan wel de private sector betrekking zouden moeten hebben.
Is de mengeling van bevoegdheden van het College (toezicht houden, normstellen, goedkeuren van gedragscodes, advisering, handhaving) de werkelijke reden voor het schrappen van de bestuurlijke boete, of is dit gedaan na aandringen van de kant van het bedrijfsleven? Bij de motivering voor het schrappen van de bestuurlijke boete kunnen kanttekeningen worden geplaatst. In de brief (blz. 9) wordt opgemerkt dat het naar verwachting gering aantal gevallen binnen de bestaande capaciteit en prioriteitstelling van het OM zal kunnen worden opgevangen. Dit is een geheel andere uitleg dan in de memorie van toelichting, waar juist een argument vóór invoering van de bestuurlijke boete was dat het OM niet zou toekomen aan de handhaving. Kan de regering alsnog motiveren waarom zij ervoor heeft gekozen de bestuurlijke boete te schrappen? Bovendien lost het ook niet het probleem van de mengeling van bevoegdheden van het College op. Hoe denkt de regering daarover? Zou de Inspectie voor de Volksgezondheid eventueel kunnen worden aangewezen als toezichthouder voor de zorgsector voor wat betreft gegevensverwerkingen in verband met de opgebouwde kennis? (blz. 9).
Deze vraag valt uiteen in verschillende deelvragen.
a. VNO/NCW hebben zich eerder op het standpunt gesteld dat in het wetsvoorstel te veel bevoegdheden aan het College zijn toegekend. Wij hebben hierin aanleiding gezien de bestuurlijke boete voorlopig te schrappen, mede gelet op de andere in het wetsvoorstel opgenomen handhavingsinstrumenten. Wij verwijzen naar het antwoord op de vragen 48 en 49. Zoals daar opgemerkt willen wij in een later stadium – mede in het licht van de Awb – nader bezien of invoering van de bestuurlijke boete alsnog aanbeveling verdient.
b. De in de vraag bedoelde passage in de memorie van toelichting heeft betrekking op de situatie zoals deze thans bestaat onder de Wet persoonsregistraties. Inderdaad is in de huidige situatie sprake van een handhavingstekort. In het wetsvoorstel worden echter verschillende nieuwe elementen geintroduceerd die een goede naleving sterk kunnen bevorderen. Daarbij kan in de eerste plaats worden gewezen op de toepassing van bestuursdwang (of de oplegging van een dwangsom). In veel gevallen zal dit instrument soelaas kunnen bieden. Anders dan de bestuurlijke boete is de toepassing van bestuursdwang deugdelijk geregeld in de Algemene wet bestuursrecht. Voorts nemen wij in aanmerking dat er krachtens het wetsvoorstel belangrijke privaatrechtelijke vormen van handhaving zullen bestaan, zoals de mogelijkheid op grond van gedragscodes geschillencommissies in te stellen. Daarnaast kan ook aanstelling van een functionaris binnen een bedrijf of een branche bijdragen aan de handhaving van de regels. Gezien deze mogelijkheden zal het strafrecht nog meer als ultimum remedium moeten gaan fungeren dan voorheen. Indien zich onverhoopt toch knelpunten terzake van de naleving van de meldingsplicht blijven voordoen, zal in overleg met het OM moeten worden bezien hoe deze situatie kan worden verbeterd.
c. De Inspectie voor de Volksgezondheid kan niet als toezichthouder voor de zorgsector worden aangewezen als bedoeld in het wetsvoorstel. Artikel 28, eerste lid, laatste volzin, van de richtlijn stelt als voorwaarde dat de nationale toezichthoudende autoriteiten «volledig onafhankelijk» zijn. Dit is bij genoemde inspectie niet het geval: deze werkt onder volledige ministeriele verantwoordelijkheid. Voor zover bedoeld zou zijn het toezicht door de Inspectie in de plaats te stellen van het toezicht door het College bescherming persoonsgegevens, zou bovendien versnippering van de toezichthoudende functie op het gebied van de bescherming van persoonsgegevens in de hand worden gewerkt. Wij achten dit onwenselijk. Dit laat echter onverlet dat het College bescherming persoonsgegevens – dat wel aan de eis van onafhankelijkheid voldoet – goed contact onderhoudt met de Inspectie voor de Volksgezondheid over ontwikkelingen op dat terrein, zoals ook thans reeds de Registratiekamer met uiteenlopende toezichthouders op deelterreinen regelmatig overleg voert. Beide organen kunnen elkaar wederzijds ondersteunen bij de uitoefening van hun taak.
Op welke wijze zal de regering de resultaten van het onderzoek van de Commissie Administratieve Lasten die staat onder leiding van de heer Slechte, verwerken in zijn oordeel over de administratieve lasten die de WBP met zich mee brengt? Is de regering van oordeel dat substantieel grotere lasten dan die volgens de verrichte bedrijfseffectenrapportages worden voorspeld aanleiding vormen voor bijstelling van de WBP? Wat is in dit licht het oordeel van de minister over het rapport van de projectgroep WBP die stond onder leiding van professor Kortmann? (p.10)
In een brief van 11 mei jl. heeft mijn ambtgenoot van Economische Zaken Uw Kamer het tussenrapport van de Commissie Administratieve Lasten aangeboden. De Commissie zal haar eindrapport tegen het eind van dit jaar uitbrengen. De minister van Economische Zaken heeft voorgesteld na ommekomst daarvan met Uw Kamer te overleggen over de aanbevelingen in het eindrapport. Inmiddels hebben wij met belangstelling kennisgenomen van het rapport van de projectgroep WBP die onder leiding stond van prof. mr. C.A.J.M. Kortmann. Naar aanleiding van dit rapport en de hierin voorspelde administratieve lasten is de vraag gesteld in hoeverre het wetsvoorstel in het licht van de eerder verrichte bedrijfseffectenrapportages bijstelling behoeft. Terecht worden de eerder verrichte bedrijfseffectenrapportages in het rapport besproken. Zij vormden het uitgangspunt bij de verdere vormgeving van de richtlijn in 1994. Mede op basis van de genoemde rapportages is de richtlijn aangepast en is de richtlijn uiteindelijk na herhaald overleg met de Tweede Kamer en met instemming van de toenmalige regering in oktober 1995 vastgesteld. Wij verwijzen ook naar de memorie van toelichting (par. 13, algemeen deel) waar een en ander aan de orde komt. In het licht van deze voorgeschiedenis gaat het thans om de vraag in hoeverre als gevolg van een mogelijk surplus van het wetsvoorstel ten opzichte van de richtlijn extra administratieve lasten worden veroorzaakt. Omtrent de administratieve lasten bevat de rapportage een kwantificering, uitgesplitst naar de desbetreffende onderdelen van het wetsvoorstel (p. 14). Hierover kan het volgende worden opgemerkt:
– De kosten betreffende de functionaris voor de gegevensbescherming worden door de projectgroep geschat op 450 miljoen gulden. Het betreft geen verplicht onderdeel van het wetsvoorstel. Mede op basis van de bestaande praktijk en de mogelijkheid die de richtlijn hieromtrent geeft, beoogt het wetsvoorstel een faciliteit te bieden die de toepassing van het wetsvoorstel onder omstandigheden kan vergemakkelijken. Voorts kan met de instelling van een functionaris een verantwoordelijke of een branche ook concurrentievoordeel behalen: klanten kunnen mede hierdoor het vertrouwen krijgen dat zorgvuldig met hun persoonsgegevens wordt omgegaan. Verantwoordelijken zijn echter vrij om van instelling van een functionaris af te zien. Om die reden achten wij het niet juist aanstelling van een functionaris als een administratieve last op te voeren die voortvloeit uit het wetsvoorstel.
– De kosten van de informatieverplichtingen ex artikel 33 en 34 van het wetsvoorstel worden door de projectgroep geraamd op 202 miljoen gulden. Ten opzichte van de huidige Wet persoonsregistraties is inderdaad sprake van een aanscherping van de informatieverplichting. Daar waar thans mededeling aan de betrokkene achterwege kan blijven indien deze «redelijkerwijs op de hoogte kan zijn», dient krachtens het wetsvoorstel vast te staan dat betrokkene «op de hoogte is». Deze aanscherping vloeit evenwel rechtstreeks voort uit de richtlijn en is derhalve niet het gevolg van het onderhavige wetsvoorstel. In het rapport (bijlage II) wordt er vervolgens op gewezen dat het wetsvoorstel in aanvulling op de richtlijn eist dat de mededeling moet worden gedaan «voor het moment van de verkrijging» van de gegevens. Dit geldt alleen indien de gegevens bij de betrokkene zelf worden verkregen (art. 33). In die situatie ligt het voor de hand dat tijdens het eerste contact met de betrokkene de identiteit van de verantwoordelijke en het doel van de gegevensverwerking wordt medegedeeld. Wordt dit uitgesteld tot later dan zal het veelal meer moeite kosten om de betrokkene op te sporen en te bereiken en dientengevolge juist kostenverhogend werken. Wij zien dan ook niet in waarom mededeling aan de betrokkene voor het moment van verkrijging extra administratieve lasten teweeg zou kunnen brengen, gelet op hetgeen de richtlijn hieromtrent voorschrijft.
– De kosten van het recht op verzet worden door de projectgroep geschat op 50 miljoen gulden. Inderdaad is dit recht nieuw ten opzichte van de huidige Wet persoonsregistraties. Het wetsvoorstel volgt hier evenwel nauwgezet de richtlijn. Terecht wordt in het rapport (bijlage II) opgemerkt dat het recht van verzet de verantwoordelijke niet onevenredig mag benadelen. In artikel 40, tweede lid, van het wetsvoorstel is dan ook conform de richtlijn bepaald dat het verzet alleen wordt gehonoreerd indien het «gerechtvaardigd» is. In deze norm ligt een afweging besloten in het kader waarvan ook de belangen van de verantwoordelijke dienen te worden meegewogen.
– De kosten van de meldingsplicht worden door de projectgroep structureel geraamd op 157 miljoen gulden. De artikelen 27 e.v. van het wetsvoorstel voegen niets toe aan artikel 18 en 19 van de richtlijn. Eerder hebben wij opgemerkt dat als gevolg van de richtlijn sprake zal zijn van een eenmalige lastenverzwaring in die zin dat niet-vrijgestelde verwerkingen overeenkomstig het nieuwe regime dienen te worden gemeld (kamerstukken II 1997–98, 25 892, nr. 3, p. 34). Structureel gezien betekent het nieuwe regime echter een aanmerkelijke lastenverlichting ten opzichte van de huidige Wet persoonsregistraties. Handmatige bestanden behoeven in beginsel niet meer te worden gemeld, het aantal gegevens dat moet worden gemeld is minder dan in de Wet persoonsregistraties, er bestaat de mogelijkheid om te melden bij de eigen privacyfunctionaris in plaats van bij het College, terwijl ten slotte het aantal vrijstellingen voor de meldingsplicht wordt uitgebreid. Over de vrijstellingen hebben wij het bedrijfsleven geraadpleegd aan de hand van een ontwerp-Vrijstellingsbesluit. De binnengekomen reacties worden thans verwerkt. Verder is ons bekend dat de Registratiekamer in overleg met de Kamers van Koophandel streeft naar een aanmeldingsprocedure voor de niet-vrijgestelde gegevensverwerkingen, die onnodige administratieve lasten vermijdt. Melding langs geautomatiseerde weg is daarbij één van de opties die onder ogen wordt gezien. Al met al verwachten wij dat ten opzichte van de situatie onder de Wet persoonsregistraties belangrijke vereenvoudigingen zullen worden gerealiseerd.
– Ten slotte raamt de projectgroep een post van 45 miljoen voor juridisch advies. Terecht gaat het rapport er van uit dat bij invoering van nieuwe wetgeving in een overgangsfase juridische advisering noodzakelijk zal zijn. Het betreft hier evenwel geen gevolg dat specifiek optreedt bij het onderhavige wetsvoorstel. Evenmin kan worden gesteld dat eventuele kosten het gevolg zouden zijn van een surplus van het wetsvoorstel ten opzichte van de richtlijn.
In het licht van het voorgaande kan op basis van het rapport van de projectgroep WBP niet worden gesteld dat als gevolg van een surplus van het wetsvoorstel ten opzichte van de richtlijn extra lasten worden veroorzaakt. Wij zien in het rapport dan ook geen aanleiding het wetsvoorstel aan te passen.
Kan de regering uiteenzetten hoe de Wet op de geneeskundige behandelingsovereenkomst zich verhoudt tot de Wbp?
De verhouding tussen de Wet op de geneeskundige behandelingsovereenkomst en het onderhavige wetsvoorstel is dezelfde als die tussen de genoemde wet en de huidige Wet persoonsregistraties. De Wet geneeskundige behandelingsovereenkomst is een wet die voor de specifieke relatie tussen de medische hulpverlener en de patient een nadere invulling geeft aan bepaalde algemene beginselen van de Wet persoonsregistraties (in de toekomst van de Wet bescherming persoonsgegevens). Het betreft bijvoorbeeld de plicht omtrent de patient een dossier aan te leggen, de plicht om binnen drie maanden gegevens te vernietigen indien de patient daarom vraagt, specifieke regels omtrent verstrekking van gegevens uit het dossier en bepalingen inzake statistisch of wetenschappelijk onderzoek op het gebied van de volksgezondheid. De Wet inzake de geneeskundige behandelingsovereenkomst regelt andere zaken evenwel niet, zoals bijvoorbeeld de verwerking van gegevens die niet in het dossier worden opgenomen, de meldingsverplichting en het toezicht. Waar de Wet inzake de geneeskundige behandelingsovereenkomst geen bijzondere regels geeft, is gewoon de Wet bescherming persoonsgegevens van toepassing.
De nota «wetgeving voor de elektronische snelweg» (25 880) bevat een toetsingskader voor wetgeving die op enigerlei wijze van invloed is op elektronische handelen. Aangezien er op de elektronische snelweg ook wordt gewerkt met persoonsgegevens zou dit toetsingskader gehanteerd moeten worden op het voorliggende wetsvoorstel. Kan de regering aangeven wat de uitkomst was van de vergelijking met het toetsingskader uit de nota en voorzover dit nog niet gebeurd is kan de regering aangeven wanneer dit alsnog zal gebeuren en hoe de uitkomst hiervan zal worden verwerkt in het wetsvoorstel?
Aan de nota «Wetgeving voor de electronische snelweg» (kamerstukken II 1997/98, 25 880) en het onderhavige wetsvoorstel liggen grotendeels dezelfde gedachten ten grondslag. Kernthema's in verband met de rol van de wetgever zijn internationalisering, het streven naar zelfregulering, bescherming van fundamentele normen en waarden en technologie-onafhankelijkheid. Deze thema's zijn nadrukkelijk ook in het onderhavige wetsvoorstel aan de orde. Deels is de nota door het wetsvoorstel en de daaraan ten grondslag liggende EU-richtlijn geinspireerd, bijvoorbeeld met betrekking tot de gecontroleerde zelfregulering. In specifiekere zin kan over de verhouding tussen het in de nota neergelegde toetsingskader en het wetsvoorstel bescherming persoonsgegevens het volgende worden opgemerkt:
– Regelgeving op mondiaal niveau (1.1 en 1.2) terzake van bescherming van persoonsgegevens is tot dusverre niet mogelijk gebleken. In dat verband wordt in de nota gesteld (p. 200) dat het kabinet zal streven naar verdergaande internationale harmonisatie van privacynormen, in aanvulling op bestaande EU-privacyrichtlijnen. Thans krijgt als gevolg van artikel 25 EU-privacyrichtlijn al een zekere convergentie van privacynormen gestalte. Genoemde bepaling stelt als voorwaarde dat gegevensverkeer van de EU naar derde landen alleen mogelijk is indien het desbetreffende land voldoet aan «een adequaat niveau van bescherming». Met diverse landen van buiten de EU vinden op dit moment besprekingen plaats omtrent hetgeen als een adequaat niveau van bescherming moet worden aangemerkt.
– De in de richtlijn geintroduceerde mogelijkheid van zelfregulering (punt 2.1 tot en met 2.4) is ontleend aan de Nederlandse Wet persoonsregistraties. Deze lijn wordt doorgetrokken in het wetsvoorstel (zie m.n. artikel 25 en 26). Binnen het kader van de algemene beginselen is voor de meeste sectoren de ruimte geboden via zelfregulering aan te geven hoe deze beginselen uitwerken. Hieraan ligt mede de ook in de nota verwoorde gedachte ten grondslag dat gedragscodes gemakkelijker kunnen inspelen op de technologische turbulentie in een bepaalde sector dan publiekrechtelijke regelgeving. Een gedragscode kan ook voorzien in eigen handhavingsinstrumenten in aanvulling op het door de richtlijn geëiste, publiekrechtelijke toezicht. Het toetsingskader stelt verder enige voorwaarden aan de zelfregulering. Of deze voorwaarden zijn vervuld, kan worden bezien indien omtrent een ontwerp van een gedragscode een verklaring wordt gevraagd of deze een goede uitvoering is van de wet (art. 25, eerste lid). Artikel 26 van het wetsvoorstel voorziet in de eis van het toetsingskader dat bij gebrekkige zelfregulering plaatsvervangende regelgeving via algemene maatregel van bestuur kan worden vastgesteld. Uiteindelijk dient overheidsoptreden mogelijk te zijn. Dit dient nadrukkelijk ook tegen de achtergrond te worden gezien van punt 2.4 van het toetsingskader: de klassieke grondrechten van burgers met name het recht op eerbiediging van de persoonlijke levenssfeer – zijn in het geding.
– Het turbulente karakter van de technische ontwikkeling (punt 3.1 tot en met 3.7) vereist flexibel optreden van de wetgever. Mede in dat licht bezien is gekozen voor een afweging van normen op een zeker abstractieniveau in een kaderwet, waarbij de concrete invulling moet worden overgelaten aan sectorale regelgeving: hetzij zelfregulering hetzij van publiekrechtelijke aard. In de nota (punt 3.6) wordt ook als voorbeeld genoemd dat alle privacyregels worden opgenomen in een algemene privacywet (i.c. de Wet bescherming persoonsgegevens) en niet in verschillende op technologie gebaseerde sectorspecifieke wetten. Bij afwezigheid van sectorale regelgeving zal in concrete gevallen de rechter de naleving van de algemene beginselen moeten toetsen.
In het licht van het voorgaande zijn wij van mening dat het wetsvoorstel goed past in het toetsingskader van de hiervoor genoemde nota.
Kan nader worden gemotiveerd waarom wordt voorgesteld de naam Registratiekamer te vervangen in College bescherming persoonsgegevens?
De naam «Registratiekamer» achten wij gelet op de toekomstige situatie minder passend. Anders dan onder de Wet persoonsregistraties wordt het object van regelgeving niet meer gevormd door «registraties», maar door «verwerkingen van persoonsgegevens». Handhaving van de verwijzing naar registraties achten wij in dit licht bezien minder geschikt. De nieuwe naam van de toezichthouder sluit beter aan bij de naam van de nieuwe wet: Wet bescherming persoonsgegevens. Het voorstel om tot wijziging van de naam over te gaan was overigens afkomstig van de Registratiekamer.
Bestaat reeds overeenstemming met de VNG over de vraag hoe hoog de kosten voor lagere overheden door de invoering van deze wet zullen zijn en wie deze kosten voor zijn rekening zal nemen?
De kosten voor de lagere overheden zijn in het kader van de voorbereiding van de richtlijn onderzocht door het Instituut voor Onderzoek en Overheidsuitgaven (IOO) in 1994. Dit onderzoek schat de initiele kosten op 25 tot 50 miljoen gulden, uitgaande van beleid en programmatuur. Minstens de helft daarvan is gelokaliseerd bij de gemeenten. De jaarlijks weerkerende kosten worden geschat op 1 miljoen. Hetzelfde onderzoek bracht ook baten in kaart te weten, een verbeterde fraudebestrijding als gevolg van nieuwe mogelijkheden tot een onbelemmerde internationale uitwisseling van persoonsgegevens binnen de EU. Deze baten zijn moeilijk te becijferen. Over de vraag of de kosten door het Rijk behoren te worden vergoed, is in het kader van de voorbereiding van het wetsvoorstel het advies gevraagd van de landsadvocaat. Deze was van oordeel dat dit niet het geval was. Het vorige kabinet heeft dit oordeel overgenomen. Bij brief van 29 oktober 1997 is door Minister van Justitie, mede namens de Minister van Financien en de Staatssecretarissen van Binnenlandse Zaken, dit besluit aan de VNG medegedeeld. Wij sluiten ons daarbij aan. Overigens wijzen wij erop dat de VNG was vertegenwoordigd in de projectgroep, ingesteld door de Commissie-Slechte en aldaar haar inbreng heeft geleverd. Wij verwijzen naar ons commentaar hierboven op dat rapport.
Kan de regering aangeven hoe dit wetsvoorstel zich verhoudt tot het kabinetsstandpunt over (het beperken van) juridisering in het openbaar bestuur (26 360, nr. 1).
In het kabinetsstandpunt «Juridisering in het openbaar bestuur» (kamerstukken II 1998/99, 26 360, nr. 1) wordt juridisering niet alleen aangemerkt als een maatschappelijk probleem, maar ook mede in het licht van de eisen die een democratische rechtsstaat stelt als een onvermijdelijk en in belangrijke mate gewenst verschijnsel. Niettemin mag volgens hetzelfde kabinetsstandpunt van de wetgever worden verwacht dat hij onnodig juridiserende effecten van regelgeving zoveel mogelijk tracht te voorkomen. Daartoe dient de wetgever regelmatig wetgeving te evalueren en te blijven streven naar deregulering en harmonisatie. Naar ons oordeel is het wetsvoorstel hiermee in overeenstemming. Een zekere juridisering als gevolg van het wetsvoorstel is onontkoombaar en zelfs gewenst. Het betreft verplichte implementatie van een EU-richtlijn. De doelstellingen van deze richtlijn onderschrijven wij: zij dient mede ter waarborging van een klassiek grondrecht, te weten: het recht op privacy. Om onnodige regeldichtheid te voorkomen is echter zo dicht mogelijk aangesloten bij de tekst van de richtlijn. Overheid en bedrijfsleven hebben binnen het wettelijke kader ruimte om dit – mede gelet op in de desbetreffende sector levende behoefte – nader in te vullen. Het wetsvoorstel zal vijf jaar na inwerkingtreding worden geevalueerd. In dat kader zal worden bezien of het wetsvoorstel beantwoordt aan zijn doelstellingen.
XNoot
1Samenstelling: Leden: Van de Camp (CDA), Biesheuvel (CDA), Swildens-Rozendaal (PvdA), Scheltema-de Nie (D66), Kalsbeek-Jasperse (PvdA), Zijlstra (PvdA), Apostolou (PvdA), Middel (PvdA), Van Heemst (PvdA), voorzitter, Dittrich (D66), ondervoorzitter, Rabbae (GL), Rouvoet (RPF), Van Oven (PvdA), O. P. G. Vos (VVD), Van Wijmen (CDA), Patijn (VVD), De Wit (SP), Ross-van Dorp (CDA), Niederer (VVD), Nicolaï (VVD), Halsema (GL), Weekers (VVD), Van der Staaij (SGP), Wijn (CDA) en Brood (VVD).
Plv. leden: Balkenende (CDA), Verhagen (CDA), Wagenaar (PvdA), Van Vliet (D66), Arib (PvdA), Duijkers (PvdA), Kuijper (PvdA), Albayrak (PvdA), Barth (PvdA), De Graaf (D66), Karimi (GL), Schutte (GPV), Santi (PvdA), Van den Doel (VVD), Rietkerk (CDA), Rijpstra (VVD), Marijnissen (SP), Buijs (CDA), Passtoors (VVD), Van Blerck-Woerdman (VVD), Oedayraj Singh Varma (GL), De Vries (VVD), Van Walsem (D66), Eurlings (CDA) en Kamp (VVD).
Directe link
Kopieer de link naar uw clipboard
https://zoek.officielebekendmakingen.nl/kst-25892-13.html