25 892
Regels inzake de bescherming van persoonsgegevens (Wet bescherming persoonsgegevens)

nr. 9
BRIEF VAN DE MINISTER VAN JUSTITIE

Op 15 maart jl. heeft er een algemeen wetgevingsoverleg plaatsgevonden met de vaste commissie voor Justitie uit de Tweede Kamer (25 892, nr. 8) over het wetsvoorstel bescherming persoonsgegevens. Een groot deel van de vragen konden in het overleg mondeling worden beantwoord. Een aantal vragen zegde ik toe nog schriftelijk te beantwoorden.

Naar aanleiding van artikel 1, onder a, werd gevraagd of gegevens van het kadaster ook als persoonsgegevens moeten worden aangemerkt. Het kadaster bevat gegevens over onroerende zaken, panden, percelen, maar ook over eigendommen en de waarde van objecten, alsmede de mate waarin deze zijn bezwaard met een hypotheek. In het maatschappelijk verkeer worden deze gegevens gebruikt voor transacties met betrekking tot onroerend goed en beslissingen over financiering en belastingheffing. Dat deze gegevens ten dele kunnen worden aangemerkt als objectgegevens is niet beslissend. Als de betrokken eigenaar een natuurlijk persoon is, vertellen deze gegevens tevens iets over deze persoon en zijn daarom persoonsgegevens in de zin van de WBP. In het kadaster kan immers ieder nagaan wie eigenaar is van een bepaald pand. In dit opzicht sluit de WBP aan bij de WPR, zij het met dit verschil dat de WPR niet van toepassing is op openbare registers, zoals het kadaster, en de WBP wel. In het wetsvoorstel tot wijziging van bepalingen met betrekking tot de verwerking van persoonsgegevens (kamerstukken II, 1998/99, 26 410) wordt daarom in Hoofdstuk 7 een aantal nieuwe bepalingen in de Kadasterwet voorgesteld.

Het begrip «persoonsgegeven» is met de richtlijn een Europeesrechtelijk begrip geworden dat via de jurisprudentie van het Europese Hof van Justitie te Luxemburg nadere invulling zal krijgen. Ook het begrip «redelijkerwijs identificeerbaar» zal in die context uitwerking moeten krijgen. Een gegeven dat op een bepaald moment nog «redelijkerwijs niet identificeerbaar» is omdat identificatie een disproportionele aanwending van geld en middelen zou vergen, en daarom niet als persoonsgegeven kan worden aangemerkt, kan met voortschrijdende informatietechnologie tot een persoonsgegeven worden omdat de identificatie dan gemakkelijk is geworden. Het omslagpunt zal afhangen van de beoordeling van de mogelijkheden van de techniek in het concrete geval.

Met betrekking tot deze bepaling is verder om een nadere toelichting gevraagd op het context-criterium. Gedoeld wordt op de stelling in de memorie van toelichting dat gegevens – gezien de context waarin ze worden verwerkt – persoonsgegevens kunnen zijn indien de gegevens mede bepalend zijn voor de wijze waarop een persoon in het maatschappelijk verkeer wordt beoordeeld of behandeld. Een voorbeeld hiervan betreft het telefoonnummer. Zolang dit gegeven niet is toegekend aan een bepaalde persoon, is het geen persoonsgegeven omdat het niets zegt over een bepaalde persoon of de wijze waarop deze kan worden bereikt. Indien echter binnen een bedrijf een telefoonnummer wordt gebruikt door een vaste persoon en vervolgens het telefoonnummer wordt gebruikt om het belgedrag van betrokkene in kaart te brengen, is het telefoonnummer wel een persoonsgegeven. Aannemelijk is immers dat een zodanig gebruik van het gegeven consequenties heeft of kan hebben voor de persoon met wie het telefoonnummer in verband is gebracht. Een hiermee tot op zekere hoogte vergelijkbare situatie kan zich voordoen bij het gebruik van kentekens van auto's.

Naar aanleiding van artikel 1, onder c, werd gevraagd of de omvang van een handmatig bestand mede een criterium vormt voor de vaststelling of een dergelijk bestand. Dit is niet het geval. Evenals onder de WPR is slechts bepalend of maatregelen zijn genomen met het oog op een systematische ontsluiting van in het bestand opgenomen gegevens. Het kan hierbij gaan om een systematische opbouw van de dossiers volgens een vaste structuur die de toegang tot de inhoud van de dossiers gemakkelijk maakt of om het gebruik van een geautomatiseerde index ter ontsluiting van die dossiers. Deze vallen ook nu in beginsel onder de WPR. Dossiers waarbij dergelijke maatregelen niet zijn genomen, vallen niet onder de WPR en ook niet onder de WBP. Hieraan doet geen afbreuk dat de dossiers volgens een enkel criterium, bijvoorbeeld alfabetisch of op datum van binnenkomst worden opgeborgen. Dit laat onverlet dat sectorale wetgeving met regels over bepaalde vormen van verwerking van persoonsgegevens mede betrekking hebben op in die sector aanwezige ongeordende dossiers. Zo bevatten de artikelen 7: 446 e.v. BW over de geneeskundige behandelingsovereenkomst bepalingen over de verstrekking van persoonsgegevens door medische hulpverleners, ongeacht of deze zijn opgeslagen in dergelijke dossiers of in al dan niet geautomatiseerde bestanden die wel onder de WBP vallen. Zo bevat ook de artikelen 87 e.v. van de Organisatiewet sociale verzekeringen 1997 een gesloten regeling voor de omgang van persoonsgegevens in deze sector, afgesloten door een geheimhoudingsbepaling in artikel 98, die mede ziet op in dergelijke dossiers opgeslagen persoonsgegevens. Hetzelfde geldt voor de artikelen 123 e.v. van de Algemene bijstandswet. Voor zover deze wettelijke regimes geen bijzondere regels voor de desbetreffende sector bevatten, zijn, indien het gaat om gegevens die onder de WBP vallen, voor het overige de regels van de WBP van toepassing, bijvoorbeeld die over de informatie aan de betrokkene ingevolge de artikelen 33 en 34 WBP. Voor gegevens die onder de overheid berusten geldt de ambtelijke geheimhoudingsplicht zowel voor persoonsgegevens die onder de WBP vallen, als voor niet onder deze wet vallende dossiers. Voor al deze gegevens geldt dat bij een beroep op de Wet openbaarheid van bestuur de in artikel 10, tweede lid, onder e, voorgeschreven afweging moet worden gemaakt van het belang van openbaarheid tegen dat van de eerbiediging van de persoonlijke levenssfeer. Valt de afweging uit ten gunste van de openbaarheid dan gaat het, betreft het gegevens die onder de WBP vallen, om een verstrekking op grond van een wettelijke verplichting als bedoeld in artikel 8, onder c, van de WBP.

Wat betreft het begrip «verantwoordelijke» als bedoeld in artikel 1, onder d, is primair het formeel-juridische criterium van belang. In eerste instantie is de vraag wie juridisch bevoegd is om doel en middelen van de gegevensverwerking vast te stellen. In de meeste gevallen zal op grond van dit criterium duidelijk zijn wie als verantwoordelijke in de zin van de wet moet worden aangemerkt. Er zijn evenwel situaties waarin verschillende personen en instanties betrokken zijn bij de gegevensverwerking en de juridische bevoegdheid terzake onvoldoende helder is geregeld om te kunnen bepalen wie van die personen en instanties verantwoordelijke is. Burgers mogen daarvan niet de dupe worden. Een helder en eenduidig criterium is in dergelijke specifieke gevallen niet altijd voorhanden. Aan de hand van maatschappelijke verkeersopvattingen moet worden beoordeeld aan wie de betreffende gegevensverwerking moet worden toegerekend. Van de omstandigheden van het concrete geval zal afhangen hoe die beoordeling uitvalt. Deze benadering is niet ongebruikelijk. Bij de beantwoording van tal van rechtsvragen in het privaatrecht spelen de maatschappelijke verkeersopvattingen een belangrijke rol.

Artikel 6 vormt een implementatie van artikel 6, eerste lid, onder a, van de richtlijn, dat voorschrijft dat gegevens «eerlijk en rechtmatig moeten worden verwerkt». In artikel 6 van de WBP keert het begrip «rechtmatig» terug als «in overeenstemming met de wet» en het begrip «eerlijk» in het begrippenpaar «behoorlijk en zorgvuldig». Het begrip «eerlijk» is ontleend aan het Angelsaksische begrip «fair processing», dat bezwaarlijk zonder meer in de Nederlandse rechtssfeer kan worden overgezet zonder een privacyspecifiek leerstuk te worden. Met het begrip «behoorlijk» is beoogd te verwijzen naar de beginselen van behoorlijk bestuur die meer voor de overheid gelden, terwijl met het begrip «zorgvuldig» is beoogd meer te verwijzen naar het leerstuk in het civiele recht van de onrechtmatige daad en wat in het maatschappelijk verkeer betaamt. Daarmee is het beoogd het privacyrecht beter in te bedden in het algemene Nederlandse recht, hoewel de begrippen in de WBP steeds moeten worden geïnterpreteerd tegen de achtergrond van het Europese recht waarin zij hun oorsprong vinden. Het begrippenpaar «fairly and unlawfully» van artikel 6, eerste lid, van de richtlijn is ontleend aan artikel 5, onder a, van het Verdrag inzake gegevensbescherming van Straatburg uit 1981 en hebben elk zelfstandige betekenis.

Naar aanleiding van artikel 9 is gevraagd of het gebruik van persoonsgegevens vergaard ter uitvoering van de sociale zekerheidswetgeving door verzekeraars voor het doen van commerciële aanbiedingen als onverenigbaar met het oorspronkelijk doel moet worden beschouwd. Gegevens die op grond van een publiekrechtelijke verplichting zijn vergaard, kunnen niet zonder meer worden gebruikt voor privaatrechtelijke doeleinden. Dit is in beginsel onverenigbaar met het oorspronkelijk doel waarvoor zij zijn vergaard. Dit sluit niet uit dat in sectorspecifieke wetgeving bijzondere voorzieningen, omgeven met passende waarborgen, worden getroffen. Daarbij kan enerzijds meer ruimte worden gegeven, zoals in de artikelen 99 en 100 van de Wet gemeentelijke basisadministratie persoonsgegevens. Anderzijds kan dergelijke wetgeving, indien het om gevoelige gegevens gaat, ook bepalen dat zelfs de toestemming van de betrokkene geen rechtvaardigingsgrond voor verwerking kan zijn. Artikel 8, tweede lid, onder a, van de richtlijn laat een dergelijk verdergaande beperking toe. Wanneer daarentegen een verzekeraar op louter civielrechtelijke basis een verzekeringscontract heeft gesloten en in dat verband persoonsgegevens verkrijgt, kan hij commerciële aanbiedingen over met dat contract verwante producten doen aan zijn klanten zolang deze op de mogelijkheid worden gewezen om bezwaar te maken en zij van deze mogelijkheid geen gebruik hebben gemaakt. Voor zover het gaat om medische gegevens, gelden de striktere regels van artikel 21.

Over artikel 9, tweede lid, is gevraagd of marktonderzoek onder deze bepaling valt. Het antwoord luidt bevestigend voor zover marktonderzoek onderzoek «voor statistische doeleinden» is. Dit is het geval indien het resultaat van het onderzoek geen op individuele personen identificeerbare gegevens bevat en er anderszins waarborgen zijn dat de daartoe vergaarde persoonsgegevens niet daarnaast voor andere doeleinden (kunnen) worden gebruikt.

Artikel 13 verplicht de technische en organisatorische maatregelen te treffen die nodig zijn om de verwerking van persoonsgegevens te laten verlopen in overeenstemming met de regels van de wet. Naar de mate waarin computerprogrammatuur zodanig is ingericht dat het feitelijk onmogelijk is om persoonsgegevens anders dan in overeenstemming van de regels van de wet te verwerken, wordt de controle op het gedrag van individuele ondergeschikten van de verantwoordelijke minder nodig. Onder het begrip «gegevensverwerking» valt blijkens artikel 1, onder b, ook het vergaren van persoonsgegevens. De maatregelen dienen derhalve er mede toe te strekken niet meer persoonsgegevens te verzamelen dan voor de doeleinden nodig zijn. Wanneer bijvoorbeeld (digitaal) cash wordt betaald, is het niet nodig iemands identiteit te kennen voor het leveren van een dienst. Deze bepaling impliceert in beginsel anonieme elektronische handel, tenzij de betrokkene toestemming geeft voor de verwerking van zijn gegevens. Uitzonderingen zijn denkbaar met het oog op fraudebestrijding. Aanscherping van artikel 13 is daartoe naar mijn oordeel niet nodig.

Er zijn een aantal vragen gesteld over het hoofdstuk bijzondere persoonsgegevens. Het verbod van artikel 16 wordt in de artikelen 17 tot en met 23 opgeheven voor bepaalde vormen van gegevensverwerking. Opheffing van dit verbod betekent dat persoonsgegevens kunnen worden verwerkt onder de voorwaarden van de artikelen 6 tot en met 15. In het voetspoor van de richtlijn kent de WBP in dit opzicht een gelaagde structuur. Conform de structuur van artikel 8 van de richtlijn worden eerste de bijzondere vrijstellingen behandeld waarna een meer algemene slotbepaling in artikel 23 volgt.

De vraag is gesteld of in artikel 21, eerste lid, onder a, niet van «verzekeraars» in plaats van «verzekeringsinstellingen» zou moeten worden gesproken. Het eerste begrip is beperkter omdat daaronder niet vallen de assurantietussenpersonen en de uitvoeringsorganen van de sociale zekerheid. Ook deze laatste dienen echter voor hun goed functioneren de mogelijkheid te hebben om medische gegevens te verwerken. Hierboven heb ik echter reeds aangegeven dat het gebruik van gegevens die zijn verkregen voor de uitvoering van de sociale zekerheid, voorgeschreven bij wet, zonder uitdrukkelijke toestemming, onverenigbaar is met het commerciële gebruik van diezelfde gegevens voor andersoortige verzekeringen.

Het voorbeeld uit de memorie van toelichting over direct marketing door een opticien richting zijn klanten die contactlenzen hebben, heeft de aandacht getrokken. Wellicht is het dienstig iets over de achtergronden te belichten. Een voorstel in Brussel om direct marketing in alle gevallen afhankelijk te maken van de toestemming van de betrokkene heeft het niet gehaald. Aan de voorstanders van dit voorstel moest echter worden toegegeven dat een dergelijke toestemming wel is vereist in geval van gevoelige gegevens, zoals medische gegevens. Zoals elke grens die wordt getrokken vragen oproept over casusposities die net aan de ene of de andere kant van de getrokken lijn liggen, zo geldt dat ook hier. Om naar aanleiding van vele vragen duidelijk te maken wat de implementatie van de richtlijn nu precies betekent, is dit scherpe voorbeeld in de memorie van toelichting opgenomen. Aannemende dat het gegeven dat iemand contactlenzen draagt, als een medisch gegeven moet worden aangemerkt, vloeit uit de gemaakte keuze voort dat voor direct marketing in dat verband voorafgaande toestemming is vereist. Ik zie niet goed hoe een andere afbakening tot een duidelijker regeling zou kunnen leiden. De richtlijn laat direct marketing met gevoelige gegevens toe indien daarvoor voorafgaand uitdrukkelijk toestemming is gegeven. Het is dus mogelijk dat bij het aangaan van een klantrelatie de opticien of de apotheker de betrokkene vraagt of hij gediend is met aanbiedingen verband houdend met een medisch gegeven.

Het vierde lid van dit artikel beperkt het gebruik van genetische gegevens tot de persoon bij wie deze zijn verkregen. Gebruik van deze gegevens met betrekking tot andere personen in dezelfde genetische lijn, is niet toegestaan. De voorgenomen regeling van het DNA-onderzoek in het Wetboek van Strafvordering vormt hierop geen uitzondering. Deze regeling bepaalt slechts wanneer, hoe en van wie DNA-gegevens kunnen worden afgenomen en hoe lang deze gegevens kunnen worden bewaard, doch zet de bepaling in de WBP niet opzij. De onderhavige bepaling geeft uitdrukking aan het rechtsbeginsel dat individuen als zelfstandige entiteiten in ons recht worden bejegend en niet als onderdeel van eenzelfde genetische lijn. De vraag kan rijzen of het bij deze gegevens altijd om medische gegevens gaat. In de recente Aanbeveling van de Raad van Europa over gegevensbescherming en medische gegevens komen ook enige bepalingen voor over genetische gegevens welke een werking hebben ook buiten de strikt medische omgeving. Er bestaat internationaal overeenstemming dat genetische gegevens uit een oogpunt van bescherming van de persoonlijke levenssfeer in de regel nog gevoeliger zijn dan andere medische gegevens. De mogelijk in de naaste toekomst te verwachten vlucht van de biotechnologie en de daaruit voortvloeiende mogelijkheden om eigenschappen over personen te voorspellen op grond van gegevens die van anderen in dezelfde genetische lijn zijn verzameld, maken een strikte bescherming wenselijk. De context van de richtlijn dwingt ertoe in het wetsvoorstel de verwerking van genetische gegevens ook in deze context te regelen. De bepaling kan worden gezien als een interpretatie van het begrip «onverenigbaar gebruik» op het niveau van de wet in formele zin: het gebruik van deze gegevens afkomstig van de ene persoon voor welk doel dan ook is onverenigbaar met het gebruik van deze gegevens met betrekking tot een ander (in dezelfde genetische lijn).

Artikel 22 laat toe dat organisaties ter bescherming van zichzelf strafrechtelijke gegevens bijhouden van personen van wie zij het slachtoffer zijn geweest of dreigen te worden. Gaat het om individuele bedrijven dan laat het tweede lid, onder b, dat toe. De consument is dan vrij een ander bedrijf te kiezen. De concurrentie op de markt vormt dan een waarborg tegen maatschappelijke uitsluiting. Gaat het om een gehele marktomvattende brancheorganisatie dan houdt deze vrijheid meestal op. Een compenserende maatregel is dan nodig. De personen die op deze grond worden geregistreerd plegen zich niet volgens dit criterium te organiseren zodat zij niet bij zelfregulering kunnen worden betrokken. Artikel 8, vijfde lid, van de richtlijn eist echter passende en specifieke waarborgen. Het College bescherming persoonsgegevens rest dan slechts als countervailing power. Dit kan dan volgens de procedure van een mogelijk voorafgaand onderzoek ingevolge artikel 31 WBP de voorgenomen verwerking van dergelijke gegevens mede toetsen op de aanwezigheid van specifieke waarborgen in de desbetreffende sector. De Registratiekamer heeft in het verleden laten blijken zwarte lijsten van koepelorganisaties binnen zekere randvoorwaarden toelaatbaar te achten.

De artikelen 25 en 26 gaan over de gedragscode. De desbetreffende bepalingen uit de WPR zijn overgenomen voor zover deze niet in de evaluaties besproken op de blzn. 36 e.v. van de memorie van toelichting zijn bekritiseerd. Bij nader inzien lijkt het mij beter toch nog wijzigingen aan te brengen. Bij nota van wijziging stel ik voor de woorden «naar het oordeel van het College» te laten vervallen. Een dergelijk subjectief element hoort niet thuis in de besluitvorming van een College dat geacht wordt de wet toe te passen. De uitspraak blijft een verklaring. Hij is daarmee declaratoir en vormt geen nieuw recht. De mededeling dat de uitspraak de recht niet bindt is daarmee inderdaad overbodig zoals verschillende van uw leden hebben aangevoerd. Ik stel in bijgaande nota van wijziging voor dit in de artikelen 25, zesde lid, en 32, vijfde lid, te laten vervallen. De uitspraak is geen goedkeuring in de strikte zin. Ik wijs op artikel 10.25 van de Algemene wet bestuursrecht, dat bepaalt dat een goedkeuring verwijst naar een vereiste toestemming om te kunnen gelden. Daar waar dit nog in de tekst voorkomt, stel ik bij bijgaande nota van wijziging voor dit te laten vervallen. Voor een gedragscode is de verklaring van het CBP geen vereiste om werking te kunnen hebben in het verband van de organisaties waarbinnen zij zijn vastgesteld.

De vraag of het niet informeren van de betrokkene ingevolge de artikelen 33 en 34 leidt tot onrechtmatigheid van de gegevensverwerking, wordt bevestigend beantwoord. De informatieverstrekking aan de betrokkene is onderdeel van een behoorlijke en zorgvuldige gegevensverwerking in de zin van artikel 6. Door het niet informeren van de betrokkene wordt een materiële norm uit hoofdstuk 2 geschonden, uiteraard tenzij één van de uitzonderingsgronden van artikel 34, vierde en vijfde lid, of de artikelen 43 en 44 van toepassing is.

Artikel 39 vormt de basis voor een algemene maatregel van bestuur die de verantwoordelijke toestaat een bepaald bedrag aan de betrokkene in rekening te brengen indien deze gebruik maakt van zijn recht op kennisneming van zijn gegevens. Naar aanleiding van een advies van de Registratiekamer is in oktober 1998 een vergelijkbaar besluit op grond van de WPR gewijzigd in die zin dat wanneer het gaat om vijftig of meer bladzijden, een hogere tegemoetkoming in de kosten kan worden verlangd. Ook bij bijzondere media (bijvoorbeeld röntgenfoto's) of bij complexe zoekacties kunnen extra kosten in rekening worden gebracht. Vooral in de medische sector vormde het oorspronkelijk maximum van tien gulden een knelpunt. Ik meen dat de in artikel 51, tweede lid, WBP, verplicht voorgeschreven advisering door het College over het ontwerp van een dergelijke regeling, voldoende waarborgen biedt voor een regeling die de belangen van de betrokkenen in het oog houdt.

Over artikel 41 ontving de Kamer een voorstel van het DMSA tot wijziging in die zin dat het bij nota van wijziging aangebrachte vierde lid wordt vervangen door een verplichting van de verantwoordelijke om de betrokkene op het moment van verzamelen van persoonsgegevens te wijzen op zijn recht van verzet. Ik heb dit voorstel bestudeerd en heb daarover de volgende opmerkingen. Het voorstel van het DMSA ligt reeds besloten in artikel 33, tweede lid: de betrokkene moet worden geïnformeerd over wat nodig is om een zorgvuldige verwerking te waarborgen. In het geval van gegevensvergaring voor direct marketing ligt het in de rede, afhankelijk van de omstandigheden, dat de betrokkene wordt gewezen op zijn recht van verzet. Veelal worden de gegevens echter niet voor dit primaire doel vergaard. De gegevens die in het kader van een klantrelatie worden vergaard worden echter wel vervolgens voor direct marketing gebruikt. Wanneer het gaat om reclame voor verwante producten is dit een vorm van verenigbaar secundair gebruik. Artikel 41, vierde lid, heeft betrekking op een andere situatie, namelijk dat vervolgens van eerder vergaarde persoonsgegevens, hetzij door dezelfde verantwoordelijke, hetzij door een derde, gebruik wordt gemaakt om personen gericht te benaderen met commerciële aanbiedingen. Het schrijft voor dat ook in die situatie betrokkenen wordt gewezen op de mogelijkheden van verzet. Ik acht dit een wenselijk voorschrift, omdat vaak pas dan het (neven)doel van direct marketing duidelijk wordt. Wanneer personen schriftelijk of via e-mail worden benaderd, levert dit geen probleem op. Bij telefonische colportage kan niet worden gesproken van «toezenden». De bepaling is dan dus niet van toepassing. Ik meen dat de wetgever zuinig moet zijn met voorschriften voor de inhoud van bilaterale mondelinge communicatie tussen burgers onderling. De bekendmaking via de pers ingevolge het derde lid moet dan toereikend zijn.

Het bezwaar van het DMSA dat daarmee mogelijk ook op een factuur of een bankafschrift op het recht van verzet zou moeten worden gewezen wordt weerlegd door de wettekst die spreekt van toezending van informatie aan de betrokkene voor het doel van het eerste lid: direct marketing (indien daartoe informatie aan de betrokkene wordt toegezonden). Indien op een bankafschrift commerciële aanbiedingen worden afgedrukt, wordt die informatie niet daartoe aan de betrokkene toegezonden. Het is slechts een bijproduct van de primaire boodschap: de mededeling van het banksaldo. Het vierde lid is dan dus niet van toepassing. Het lijkt mij uit de wettekst duidelijk dat met «informatie» slechts gedoeld wordt op de inhoud van reclameboodschap die aan de betrokkene rechtstreeks is gericht: die boodschap dient tevens informatie te bevatten over de mogelijkheid hoe het recht van verzet moet worden uitgeoefend. In het licht van het bovenstaande is wellicht toch artikel 41, vierde lid, te verduidelijken. Ik doe hiertoe een voorstel bij nota van wijziging.

Vervolgens heeft het DMSA bezwaar tegen de precisering die bij de nota van wijziging is aangebracht met het begrip «voor rekening van derden». Hier is sprake van een misverstand. De bepaling in het oorspronkelijk wetsvoorstel schreef voor dat in alle gevallen van verwerking van persoonsgegevens in verband met direct marketing jaarlijks via de pers het publiek moest worden geïnformeerd, ongeacht of dit nu gebeurde met betrekking tot eigen klanten of ten behoeve van derden. Bij nota van wijziging is deze plicht ingeperkt tot de situatie dat ten behoeve van derden gegevens voor direct marketing worden verwerkt, hetzij door de gegevens aan deze derden te verstrekken, hetzij door de gegevens zelf voor rekening van die derden te gebruiken. Gebeurt dit «regelmatig» dan hoeft dit niet iedere keer, doch kan worden volstaan met een jaarlijkse bekendmaking. Bij eigen gebruik voor direct marketing hoeft dus, anders dan in het oorspronkelijk wetsvoorstel, geen publicatie meer in de pers (of op een andere geschikte wijze) plaats te vinden. De eigen klantrelatie moet waarborgen dat betrokkenen op de hoogte zijn. Dit lijkt mij een niet onbelangrijke lastenverlichting voor het bedrijfsleven. Daar staat tegenover dat, ingevolge het nieuwe vierde lid, op de toegezonden reclameboodschap zelf, ook voor eigen gebruik, op de mogelijkheid van verzet dient te worden gewezen. De hieraan verbonden kosten lijken mij geringer dan aparte perspublicaties. Deze regeling geeft invulling aan de eis van de richtlijn aan het slot van artikel 14 dat de lid-staten de «nodige maatregelen» nemen om te waarborgen dat de betrokkene kennis heeft van zijn recht van verzet. Naar aanleiding van de opmerkingen van DMSA wordt wel bij nota van wijziging voorgesteld het woord «informatie» in de laatste volzin van het derde lid te verduidelijken.

Deze wijziging doet geen afbreuk aan het gestelde in de memorie van toelichting (blz. 166), die het DMSA kennelijk met instemming citeert, dat in geval van het meezenden van een folder in een verenigingsblad, er in het algemeen geen sprake is van het verwerken van persoonsgegevens specifiek voor direct marketing. Slechts wanneer specifiek bepaalde abonnees van het blad zouden worden geselecteerd bij wie de reclamefolder wordt bijgevoegd (en bij anderen dus niet) is pas weer sprake van het verwerken van persoonsgegevens voor dit doel en komt het recht van verzet weer in beeld. Dit komt, voor zover ik weet, in de praktijk nog niet voor. Ontwikkelingen in de informatietechnologie zouden hiertoe evenwel kunnen leiden. Ik meen dat het wetsvoorstel voor direct marketing een afgewogen regeling bevat waarbij aan de belangen van deze branche geenszins wordt tekort gedaan.

De artikelen 45 en 46 openen de mogelijkheid van een differentiatie in de verdere rechtsvorming tussen de publieke en de private sector. In aansluiting op de richtlijn zijn, anders dan onder de WPR, de materiële normen voor beide sectoren in beginsel dezelfde. Wel richt onderdeel e van artikel 8 zich specifiek op de overheid en ziet onderdeel f meer op de private sector. Daarnaast is in artikel 6 bij de omzetting van het woord «eerlijk» («fair») uit de richtlijn ingespeeld op deze differentiatie met beide begrippen «behoorlijk en zorgvuldig». De materiële normen zijn voor het overige van een zodanig abstractieniveau dat zij alle ruimte laten voor een passende concrete invulling voor de verschillende sectoren. Weer in afwijking van de WPR is er wel differentiatie in de rechter die oordeelt over de concretisering van de algemene normen: voor de publieke sector de bestuursrechter (artikel 45), voor de private sector de civiele rechter (artikel 46). Ik verwacht dat daardoor, beter wellicht nog dan onder de WPR, een rechtsontwikkeling toegesneden op het eigen terrein is gewaarborgd. Beide wegen komen evenwel weer samen in de te verwachten jurisprudentie van het Europese Hof van Justitie te Luxemburg.

De aansprakelijkheidsregeling in de artikel 49 en 50 riep de vraag op tot wie een betrokkene zich moet wenden indien hij meent te zijn benadeeld bij de verwerking van zijn gegevens. Artikel 49, derde lid, maakt duidelijk dat de verantwoordelijke aansprakelijk is voor niet-naleving van de regels, door wie dan ook. Zou blijken dat de bewerker fouten heeft gemaakt dan heeft hij uiteraard regres op deze. De bewerker is daarnaast slechts aansprakelijk voor eigen handelen. In dat geval heeft de betrokkene dus de keuze wie hij wil aanspreken. Slechts wanneer verantwoordelijke of bewerker kunnen aantonen dat hun de schade niet kan worden aangerekend, gaan zij, blijkens het vierde lid, vrijuit. Op dit punt dwingt de richtlijn tot een soepeler regeling dan de risico-aansprakelijkheid die geldt onder de WPR. Artikel 50 ziet niet op de aansprakelijkheid voor schade doch op bijzondere maatregelen, bijvoorbeeld het verbod van bepaald gedrag. Dan ligt het weer in de rede telkens het eigen handelen van de verantwoordelijke en de bewerker in ogenschouw te nemen.

Artikel 59, tweede lid, opent de mogelijkheid dat het CBP de nakoming van zijn informatieplicht aan de Minister opschort indien dat nodig is op een lopend onderzoek niet in gevaar te brengen. Bij nader inzien is deze bepaling echter niet nodig. Ik stel bij nota van wijziging voor haar te schrappen.

Er zijn een aantal vragen gesteld over de functionaris, bedoeld in de artikelen 62 tot en met 64. De verschillende voorschriften zijn ontleend aan het Duitse recht, waar deze figuur binnen individuele bedrijven reeds bestond. De benoeming van een functionaris dient uit een oogpunt van transparantie te worden aangemeld bij het CBP. Daar ligt een lijst die door een ieder kan worden geraadpleegd. Daarnaast ligt het alleszins in de rede dat mededelingen worden gedaan over de functionaris in het kader van de informatieverstrekking die op grond van artikel 33, tweede lid, aan de betrokkene moet worden gedaan om jegens hem een behoorlijke en zorgvuldige verwerking van zijn gegevens te waarborgen. In het kader van elektronische handel zal een via de homepage van een website toegankelijke privacystatement zonder bezwaar de nodige informatie daarover kunnen bevatten. De functionaris is niet verplicht onregelmatigheden bij het CBP te melden. De aantrekkelijkheid voor een verantwoordelijke om een dergelijke functionaris aan te stellen zou anders sterk onder druk komen te staan. De functionaris heeft een overzicht van alle vormen van gegevensverwerking. Het ligt in de rede dat indien iemand op grond van artikel 30, derde lid, navraag doet naar de vormen van gegevensverwerking die bij de verantwoordelijke plaatsvinden, de functionaris degene is die namens de verantwoordelijke deze informatie verstrekt, ook over de op grond van het Vrijstellingsbesluit niet-aangemelde gegevensverwerkingen. De functionaris dient daadwerkelijk toezicht te kunnen uitoefenen op de gegevensverwerking door de verantwoordelijke. Daartoe dient hij over gelijkwaardige bevoegdheden te beschikken als publiekrechtelijk gefundeerde toezichthouders. Artikel 64, derde lid, eist dat in de op civielrechtelijke grondslag opgestelde regelingen die de basis vormen voor een functionaris, de partijen gehouden zijn te gedogen dat de functionaris gelijkwaardige onderzoekstaken verricht als publiekrechtelijke toezichthouders. Binnen een enkele organisatie kan dit voortvloeien uit een opdracht van de leiding die krachtens arbeidsverhoudingen moet worden nageleefd. Gaat het om brancheorganisaties dan zou de gehoudenheid kunnen voortvloeien uit de statuten van een vereniging waar de individuele organisaties lid van zijn. De Algemene wet bestuursrecht is niet van toepassing en de functionaris heeft geen publiekrechtelijke bevoegdheden.

Naar aanleiding van het hoofdstuk over sancties werd de vraag gesteld of bij uitoefening van bestuursdwang een gegevensverwerking op grond van een overeenkomst leidt tot nietigheid of vernietigbaarheid van het contract. Artikel 3.40, lid 1, BW verklaart een rechtshandeling in strijd met de openbare orde nietig. Bestuursdwang kan blijkens artikel 5.22 van de Algemene wet bestuursrecht plaatsvinden in geval van niet-naleving van de wet. Dan is er strijd met de openbare orde en de contractuele bepaling dus nietig.

Tevens werd gevraagd naar de effectiviteit van strafrechtelijke sancties nu bij nota van wijziging de administratieve sancties zijn geschrapt. Ik wijs erop dat het CBP de mogelijkheid heeft van bestuursdwang in geval na waarschuwing gegevensverwerkingen niet worden gemeld. Dat zal in de meeste gevallen toereikend zijn. In de enkele gevallen dat desondanks de verantwoordelijke nalatig blijft de melding te doen, is er de mogelijkheid van strafrechtelijk optreden. Het naar verwachting gering aantal gevallen zal binnen de bestaande capaciteit en prioriteitstelling van het OM kunnen worden opgevangen. Aan een eventueel gebrek aan specifieke know how bij het OM kan worden tegemoet gekomen door advisering door het CBP in deze gevallen.

Artikel 79 gaf aanleiding tot vragen over de toepasselijkheid van de verschillende bepalingen van de WBP op bestaande registraties die onder de WPR tot stand zijn gekomen. Voor registraties die aan de WPR voldeden kan in het algemeen worden aangenomen dat de daarbij rechtmatig opgeslagen persoonsgegevens ook onder de werking van de WBP kunnen worden verwerkt. Slechts voor gevoelige gegevens geldt in sommige opzichten een nauwkeurig regime dan onder het Besluit gevoelige gegevens. Voor de aanpassing aan dergelijke nieuwe beperkingen is dan ook in artikel 79, tweede lid, voor lopende verwerkingen een overgangstermijn van drie jaar opgenomen. Nieuwe verwerkingen dienen volgens de richtlijn echter meteen aan de wet te voldoen. Daarvoor ontbreekt de ratio van het overgangsrecht. Wat betreft de informatie aan de betrokkene naar aanleiding van de inwerkingtreding van de wet kan in het algemeen worden aangenomen dat geen informatie over de verwerking van persoonsgegevens behoeft te worden verstrekt op grond van de artikelen 33 of 34. Deze bepalingen zien op de «verkrijging van gegevens». De «verkrijging» wordt geregeerd door de wet die geldt op het moment van die verkrijging. Meldingen aan het CBP zullen, voor zover niet vrijgesteld in het Vrijstellingsbesluit, integraal opnieuw moeten geschieden, daar de inhoud van de melding volgens de richtlijn afwijkt van die van de WPR. De algemene maatregel van bestuur in de tweede volzin van artikel 79, eerste lid, maakt het mogelijk deze melding te faseren.

Ik kom tot slot aan een aantal algemene vragen. Er is gevraagd naar het verband van de WBP met de commissie «Grondrechten in het digitale tijdperk», die onlangs door de Minister van Binnenlandse Zaken en Koninkrijksrelaties is ingesteld. Deze commissie is ingesteld in het licht van nieuwe communicatietechnieken en artikel 13 van de Grondwet. Zij zal de WBP bij haar werkzaamheden tot uitgangspunt nemen, voorzover daarbij sprake is van verwerking van persoonsgegevens. De WBP geeft echter geenszins een uitputtend antwoord op velerlei vragen die bij nieuwe communicatietechnieken in het licht van de Grondwet kunnen worden gesteld.

Over de richtlijn zijn verschillende bedrijfseffectenrapportages uitgebracht die op blz. 32 e.v. van de memorie van toelichting worden besproken. Het vorige kabinet meende dat het wetsvoorstel bij de implementatie zo nauw aansluit bij de richtlijn dat dit een hernieuwde bedrijfseffectenrapportage niet kon rechtvaardigen. Ik deel dit oordeel. De wet bevat naar mijn oordeel voor het bedrijfsleven geen surplus boven de richtlijn. Het bedrijfsleven meent dat dit wel het geval is, daar het begrip «noodzakelijk» in artikel 8, onder f, niet voor het bedrijfsleven is omgezet met de woorden «redelijkerwijs nodig», terwijl evenmin gebruik is gemaakt van de naar haar oordeel in de richtlijn gegeven mogelijkheid dat het bedrijfsleven een eigen toezichthouder in het leven zou kunnen roepen die het CBP terzijde zou stellen. Geen van deze twee punten is relevant voor administratieve lasten voor het bedrijfsleven. Wel is als uitgangspunt, waar mogelijk binnen de richtlijn, het acquis van de WPR gehandhaafd voor zover dit niet door de evaluaties is bekritiseerd. Deze zijn besproken op de blzn. 36 e.v. van de memorie van toelichting.

Veel onzekerheid over de hoogte van de kosten vloeit voort uit de onvermijdelijke abstractheid van algemene begrippen, zowel van de richtlijn als van de WBP. Deze behoeven in het kader van zelfregulering nadere invulling voor de onderscheidene sectoren. Op de vele vragen die in het overleg aan de orde zijn geweest, is evenwel zo veel mogelijk getracht een antwoord te geven in de toelichting. Wat de informatieplicht aan de betrokkene betreft is er inderdaad sprake van een strikter regime dan onder de WPR. Hierover is in Brussel indertijd uitvoerig onderhandeld. Aanvankelijke voorstellen die nog verder gingen hebben het mede door Nederlandse weerstand niet gehaald. De richtlijn biedt op dat punt naar mijn oordeel geen ruimte voor een ander regime in de WBP dat minder administratief belastend zou zijn. Binnen de interne markt van de Unie is er door de richtlijn thans eenzelfde niveau van concurrentie.

Ik hoop met het bovenstaande de nog openstaande vragen van het wetgevingsoverleg te hebben beantwoord.