jaarverslag 2001 - in vogelvlucht · 2004 in vogelvlucht pagina 8 de strijd tegen het terrorisme is...

Jaarverslag 2001 - in vogelvlucht

C O L L E G E BESCHERMING P E R S O O N S G E G E V E N S

jaarverslag 2004INHOUD

IEDERE BURGER HEEFT RECHT OP BESCHERMING VAN ZIJN PERSOONLIJKE LEVENSSFEER.

EEN ZORGVULDIGE OMGANG MET ZIJN PERSOONSGEGEVENS DOOR ANDEREN

BEHOORT DAARTOE.

HET COLLEGE BESCHERMING PERSOONSGEGEVENS HOUDT KRACHTENS DE WET TOEZICHT

OP DE NALEVING VAN DE NORMEN EN REGELS VOOR HET GEBRUIK VAN PERSOONSGEGEVENS.

ZO NODIG TREEDT HET CBP HANDHAVEND OP.

DE TOEZICHTHOUDER VERRICHT ZIJN TAKEN IN ONAFHANKELIJKHEID, STIMULEERT

ZELFREGULERING EN VERANTWOORDT ZICH IN EEN OPEN GEDACHTEWISSELING

MET ALLE SECTOREN VAN DE SAMENLEVING.

1

de wens... (door Jacob Kohnstamm) pagina 2“De wens om steeds meer persoonsgegevens voor steeds meer doeleinden te gebruiken is toonaangevend in veel van de gevoerde maat-schappelijke debatten.”

samenstelling college en raad van advies pagina 6Mr. Jacob Kohnstamm is per 1 augustus 2004 benoemd tot voorzitter van het CBP.

2004 in vogelvlucht pagina 8De strijd tegen het terrorisme is noodzakelijk maar er is geen enkele reden het inzicht los te

aten dat machtsuitoefening moet plaatsvinden binnen een systeem van checks and balances:

geen bevoegdheid zonder noodzaak en geen bevoegdheid zonder controle op de uitoefening ervan.

beleid van de toezichthouder pagina 22Opinieonderzoek laat zien dat burgers een direct verband leggen tussen de manier waarop

(zij denken dat) publieke en private organisaties omgaan met hun gegevens en het vertrouwen

dat zij in deze organisaties hebben.

activiteiten van het CBP pagina 31De toezichthouder is actief op een breed terein: openbaar bestuur, politie en justitie,

arbeid en sociale zekerheid, zorg en welzijn, handel en diensten, telecommunicatie, tech-

nologie en op internationaal gebied.

organisatie pagina 56Veranderende tijden en een nieuwe voorzitter betekenden voor het CBP ook bezinning op

rol en taakopvatting. Het CBP blijft welbewust een organisatie in verandering, ondanks

de verhoogde extra belasting die dit met zich meebrengt.

bijlagen pagina 69Overzichten van wetgevingsadviezen, onderzoeksrapporten, gedragscodes, modelregle-

menten, documenten van de Europese Artikel 29-werkgroep en publicaties van het CBP.

english summary page 78– Introduction by Jacob Kohnstamm, chairman of the Dutch DPA;

– Summary of activities and results in 2004; statement of goals for 2005.

inhoud

2 jaarverslag 2004

De wens...

DN

A,

HET

ULT

IEM

EP

ERSO

ON

SGEG

EVEN

, IS

VER

WER

KT

INH

ETLO

GO

VA

NH

ETC

BP

De wens om steeds meer persoonsgegevens voor steeds meer doeleinden te

gebruiken is toonaangevend in veel van de gevoerde maatschappelijke debatten.

Zonder te pretenderen een begin van een volledig beeld te schetsen, mogen als voor-

beelden dienen de discussie over de intensivering van de bestrijding van het

terrorisme, de invoering van het burgerservicenummer en de ingrijpende wijziging

van het ziektekostenstelsel waarbij marktwerking een grote rol moet spelen. Ook

moet genoemd worden de wens om tot intensieve vormen van uitwisseling van

persoonsgegevens te komen in het kader van de samenwerking tussen uiteenlopende

instellingen en organisaties die steeds vaker al dan niet vanuit een publieke taak

trachten te zamen een sluitend cliëntsysteem te vormen.

< TERUG INHOUD VERDER >

3inleiding

Private ondernemingen dienen gegevens over handelstransacties beschikbaar te stellen voor

overheidsdoelstellingen en klantgegevens worden als informatiegrondstof gedeeld binnen

conglomeraten. Technische doorbraken of de massale toepassing van bestaande techniek

openen de weg naar tot voor kort ongekende mogelijkheden om het doen en laten van

individuen te volgen, te analyseren, te beoordelen en hen dienovereenkomstig ook te behan-

delen. Het veld waarop het CBP (College bescherming persoonsgegevens) toezicht houdt, is

dus aan ingrijpende veranderingen onderhevig.

Bij de afweging tussen de wens of gevoelde noodzaak de persoonlijke levenssfeer‘binnen te treden’ enerzijds en de krachtens de wettelijke bepalingen in acht te nemenzorgvuldigheid in de omgang met persoonsgegevens anderzijds, ontstaat als vanzelf-sprekend spanning. Om die ‘strijd’ tot een vruchtbare synthese te brengen is de mede-werking van de overheid, de private sector en het CBP nodig. Degenen die in de publiekeen private sector vernieuwingen of veranderingen wensen te realiseren, zouden zich –beter dan thans veelal het geval is – rekenschap moeten geven van de uitgangspuntenvoor de bescherming van de persoonlijke levenssfeer om van daaruit te zoeken naaroplossingen voor eventuele dilemma’s. Voor het College bescherming persoonsgegevensgeldt anderzijds dat het zich intensief rekenschap geeft of dient te geven van nieuwemaatschappelijke ontwikkelingen en eisen.

Het kader waarin het CBP vervolgens optreedt, is in hoge mate begrensd door de relevante wettelijke bepalingen en de daaruit af te leiden opdracht, waarbij de Wetbescherming persoonsgegevens – meer nog dan enkele andere wetten – het doen en latenvan de toezichthouder bepaalt. De geschiedenis van de totstandkoming van de WBP ende ontwikkelingen sindsdien, stellen ons daarbij voor lastige dilemma’s.

Zoals altijd, als de wetgever tot codificatie overgaat van hetgeen in de praktijk isgegroeid dan wel in politiek-maatschappelijke zin als standaard wenselijk wordt geoor-deeld, gaat de aandacht na verloop van tijd veeleer uit naar de technische uitwerking vande wet dan naar het achter die technische uitwerking schuilgaande te beschermen goedof te realiseren doel. De toepassing van de wet in de praktijk oogt dan bovenal forma-listisch, terwijl het materiële belang aan het zicht wordt onttrokken. Anders gezegd: hetCBP is in de ogen van sommigen eerder een ‘administratieve last’ dan de ‘privacy-waakhond’.

Mij treft verder als curieus dat het desbetreffende grondrecht uiteindelijk op grond vaneen Europese richtlijn die ten doel heeft om concurrentievervalsing tegen te gaan, innationale wetgeving is omgezet. De bescherming van de consument lijkt meer nog dan debescherming van de burger de drijfveer geweest te zijn om tot deze specifieke vorm vancodificatie te komen. Dat is te meer opvallend omdat de centrale overheid in voor-komende gevallen, waarin de wettelijke bepalingen als te beperkend voor de te realiserensectorspecifieke doelen worden gezien, nieuwe wetgeving tot stand kan brengenwaardoor alsnog kan worden voldaan aan de eisen die de WBP stelt aan de wijze waarop met persoonsgegevens dient te worden omgesprongen. De WBP lijkt daardoor inde publieke sector een aanzienlijk minder dwingend karakter te hebben dan in de privatesector.

In het publieke debat is daarbij al enkele jaren sprake van een sterke erosie en poli-tisering van de term privacy. De actieradius van het CBP wordt bepaald door de concreetbeschreven opdracht in de WBP om een bijdrage te leveren aan de bescherming van per-soonsgegevens. In de wandeling wordt dat vaak privacybescherming genoemd. In het


4 jaarverslag 2004

maatschappelijke debat wordt veelal privacy in losse zin gebruikt zonder dat bijbenadering wordt bepaald wat daar onder wordt verstaan. Sinds enkele jaren is‘privacy’ voor velen bovendien een politieke steen des aanstoots geworden: eenniet concreet gedefinieerd belang dat bestuurders en professionals ervan zouweerhouden om politiek en maatschappelijk gewenste doelen te realiseren. Inuitlatingen van politici, bestuurders en andere ambtsdragers – bijvoorbeeld in deinmiddels traditioneel geworden verstrekkende nieuwjaarstoespraken van hoofd-commissarissen van politie – is kritiek op ‘privacy’ als obstakel voor optreden, op‘privacy’ als schuilplaats voor wanbetalers, fraudeurs en andere kwaadwilligeneen steeds terugkerende schaamlap voor het ontbreken van eigen daadkracht ofsuccesvol optreden geworden.

Het ergerniswekkende van deze uitlatingen is dat zij zelden of nooit wordenvoorzien van voorbeelden waaruit valt af te leiden waar de schoen precieswringt. Voor zover concrete situaties worden opgevoerd waaruit zou moetenblijken dat de WBP (of enige andere wettelijke bepaling die ziet op beschermingvan persoonsgegevens) realisering van politiek of maatschappelijk gewenste doelen werkelijk in de weg staat, is doorgaans bij nader inzien gebleken dat ereerder sprake was van onprofessioneel gedrag van degene die zich over hetobstakel beklaagde, of er was sprake van – soms zeer – gebrekkige kennis vande mogelijkheden die de wet wel degelijk biedt.

Wat was en is de essentie van hetgeen met de WBP beschermd dient te wor-den? En langs welke weg dient een en ander gerealiseerd te worden? In deNederlandse grondwet, het Europees Verdrag voor de Rechten van de Mens, hetDataverdrag van Straatsburg en in de conceptgrondwet voor de Europese Unie isde beschermwaardigheid van de persoonlijke levenssfeer en als sequeel daarvande bescherming van persoonsgegevens verwoord. De eerste waarde is debescherming van de persoonlijke levenssfeer, de vrijwaring tegen onfatsoenlijkeof ongeoorloofde inmenging in het leven van burgers. Dit heeft primair tot doelde burger in staat te stellen tot een relatieve mate van vrijheid van handelen.

Een ieder streeft daartoe naar enigerlei vorm van regie over wat anderen vanhem of haar weten, over het beeld dat zij zich van hem of haar vormen.Iedereen heeft er recht op en potentieel belang bij om in zekere mate zelf tekunnen bepalen of en zo ja op welke wijze verspreiding plaats mag vinden vande over hem of haar gegenereerde en opgeslagen informatie. Zelfbeschikking,autonomie en optimale individuele ontplooiing – in een democratische rechts-staat altijd relatief te duiden – zijn dus vanuit het gezichtspunt van de burger ende consument de kernwaarden die gemoeid zijn met de normen en de daaruitvoortvloeiende regels voor de omgang met persoonsgegevens.

Als macht en machtsuitoefening gekoppeld worden aan persoonsgegevens,kan een niet te rechtvaardigen beperking van de maatschappelijke mogelijk-heden en ontplooiing van het individu daarvan het gevolg zijn. De technischevertaling naar de maatschappelijke praktijk die in de WBP is gemaakt, komt erop neer dat burgers en consumenten er recht op hebben en er op moeten kunnen vertrouwen dat overheid en private sector fatsoenlijk, respectvol entransparant met persoonsgegevens zullen omspringen.


5inleiding

In de hiernavolgende hoofdstukken van het jaarverslag 2004 passeren veel concrete casusposities en adviezen de revue, waarbij het CBP met de wet in dehand heeft getracht op hedendaagse wijze als toezichthouder zijn taak te ver-vullen. De zoektocht naar een aanvaardbare balans tussen ogenschijnlijk tegen-strijdige belangen van de bescherming van persoonsgegevens enerzijds enmarkt-, politieke of maatschappelijke noden anderzijds, is blijkens dit verslag eenweerbarstige. Het is een legitieme vraag – die met regelmaat gesteld moet wor-den – of een enkele bepaling van de WBP ons in die zoektocht eerder in de wegstaat dan behulpzaam is.

Een intensivering van de zoektocht naar de aanvaardbare balans is geboden,zowel voor het CBP als voor ‘verantwoordelijken’ – overheid en private partijen– en, zo het kan, op basis van wederkerigheid. Vertrouwen tussen mensen enorganisaties in de samenleving wordt immers mede bepaald door de wijze waar-op de persoonlijke levenssfeer wordt gerespecteerd en door de wijze waarop in het bijzonder met persoonsgegevens wordt omgesprongen. Kan hetindividu ‘meekijken’ en bepalen of en zo ja welke informatie over hem of haarcirculeert? Hoe zijn checks and balances gerealiseerd zodat een effectieve con-trole op het verzamelen, verwerken en het verspreiden van persoonsgegevensmogelijk is?

Uiteindelijk staat het zoeken van de balans in dienst van de wijze waaropindividuen vertrouwen kunnen geven aan de samenleving. Een samenleving diedat sociale kapitaal voor haar burgers weet te genereren, heeft een belangrijkerandvoorwaarde geschapen voor welvaart en welzijn, voor een bloeiende civil

society, voor een samenleving die kracht en veiligheid vindt in cohesie.

J. Kohnstamm

voorzitter


6 jaarverslag 2004

college 2004

mr. J. Kohnstamm

voorzitter

mr. dr. U. van de Pol

collegelid

drs. J.W. Broekema

collegelid

samenstellingcollege en raad van advies


7

raad van advies 2004

R. Bandell

burgemeester van Dordrecht

prof. dr. T.M.A. Bemelmans

hoogleraar bestuurlijke informatiesystemenTechnische Universiteit Eindhoven

mr. G.J.M. Corstens

raadsheer Hoge Raad

prof. mr. E.J. Dommering

hoogleraar informatierecht Universiteit vanAmsterdam

mw. drs. A. van Es

oud-lid van de Tweede Kamer

prof. mr. H. Franken

hoogleraar informaticarecht Rijksuniversiteit Leiden

prof. mr. J.K.M. Gevers

hoogleraar gezondheidsrecht Universiteit vanAmsterdam

buitengewone leden college 2004

drs. J.J. Borking

ICT; Privacy-Enhancing Technologies

prof. A.W. Neisingh RE RA

privacyaudits

directie

mw. mr. L. Gonçalves-Ho Kang You

collegelid OPTA, voorzitter Amnesty International

prof. mr. P.F. van der Heijden

hoogleraar arbeidsrecht Universiteit van Amsterdam

drs. A.I.M. Kool

oud-lid Verzekeringskamer

drs. R. van Ommeren

oud-lid Raad van Bestuur ABN-AMRO

drs. C.R. Rog

voorzitter commissie privacy VNO-NCW

D. Westendorp

oud-directeur Consumentenbond

H. de Zwart RE RA RO

privacyaudits

mw. C.E. Romanesko

directeur

U vindt het organogram van het CBP op pagina x >

samenstelling college en raad van advies


2004

in vogelvlucht

8 jaarverslag 2004


De aanslagen in Madrid en de moord op Theo van Gogh hebben geleid tot een

intensivering van het streven naar een veilige samenleving en in het bijzonder

de bestrijding van terrorisme. In hoog tempo werd verruiming van de

bevoegdheden van politie en justitie gerealiseerd of aangekondigd die ertoe zal

leiden dat meer en meer gegevens van onverdachte burgers in politieregisters

terecht zullen komen. De roep om meer bevoegdheden klonk al jaren, maar de

terrorismedreiging sinds september 2001 heeft ruim baan gemaakt voor de

overtuiging dat deze uitbreiding ook noodzakelijk is.

Het CBP onderschrijft vanzelfsprekend de noodzaak voor het kabinet om

effectieve maatregelen te nemen ter bestrijding van terrorisme. Internationale

verdragen, Europese regels, de Nederlandse grondwet en andere wetten

vereisen echter dat nieuwe bevoegdheden voldoen aan de maatstaf van nut en

noodzaak. Ook moet voorzien zijn in rechtsbescherming. In de strijd tegen ter-

rorisme is het wellicht nodig nieuwe wegen te bewandelen, maar er is geen

enkele reden het inzicht los te laten dat machtsuitoefening moet plaatsvinden

binnen een systeem van checks and balances: geen bevoegdheid zonder aan-

toonbare noodzaak en geen bevoegdheid zonder controle op de uitoefening

ervan.

Terrorisme en veiligheid

Terrorismebestrijding

In de ‘terrorisme’-brief van 10 september 2004 aan de Tweede Kamer kondigden deministers van Justitie en van Binnenlandse Zaken en Koninkrijksrelaties nieuwe maat-regelen en bevoegdheden aan ter bestrijding van het terrorisme. Het kabinet zag ondermeer uitgebreide verzameling, koppeling en analyse van informatie over groepen enpersonen als de sleutel tot het voorkomen van terrorisme. Daartoe achtte het kabinet uitbreiding van opsporingsbevoegdheden noodzakelijk. Het kondigde aan het wettelijkcriterium - verdenking of redelijk vermoeden van betrokkenheid - voor toepassing vanbevoegdheden als het aftappen van telefoons en het observeren af te zullen zwakken totaanwijzingen. De informatie-uitwisseling tussen veiligheidsdiensten, politie, openbaarministerie en IND zou geïntensiveerd worden via een informatieknooppunt, de Contra-Terrorisme-infobox, waar data zullen worden gecombineerd en geanalyseerd. Uitde brief blijkt dat voor de overheid voldoende is dat een burger haar argwaan opwekt,om hem te kunnen observeren teneinde vast te stellen of de argwaan gerechtvaardigd isof niet.

In een publieke reactie op de voorstellen constateerde het CBP dat de noodzaak vanuitbreiding van bevoegdheden tot het verzamelen van informatie niet was aangetoond.De nieuwe bevoegdheden komen bovenop de per 1 september 2004 in werking getredenantiterrorismewetgeving. De reikwijdte van het Wetboek van Strafrecht werd uitgebreiddoor nieuwe strafbaarstellingen en door verhoging van de strafmaat voor het plegen vanmisdrijven met een terroristisch oogmerk. Samenspanning (d.w.z. het maken van af-spraken) tot terroristisch handelen is eveneens strafbaar gesteld. Met deze nieuwe wet-telijke bepalingen voor informatieverwerking is nog geen enkele ervaring opgedaan diezicht geeft op nut en noodzaak van de voorgestelde maatregelen. Daarbij komen nog dereeds ingevoerde of nog in te voeren bevoegdheden voor het onderscheppen van tele-communicatie en de bevoegdheid tot het opeisen van informatie bij bedrijven en andereorganisaties.

Verder miskent de voorgenomen vergaande coördinatie van de informatie-verzameling de gescheiden wettelijke taken en bevoegdheden van inlichtingendienstenen politie. De bescherming van de staatsveiligheid is primair een zaak van de inlichtingendiensten. Deze hebben zeer vergaande bevoegdheden om reeds bij het enkele vermoeden dat de staatsveiligheid in het geding is informatie te verzamelen. De politie dient pas informatie van met name de Algemene inlichtingen- en veiligheids-dienst te ontvangen als er sprake is van uitoefening van de politietaak. Het CBPwaarschuwde daarom voor een ontwikkeling waarbij informatie over veel onverdachteburgers van de dossiers van de veiligheidsdiensten terecht komt in de politieregisters.

In de geschetste plannen ontbrak ook een voorstel voor een adequate en structurelecontrole op het proces van het verzamelen en delen van informatie. Het zou een ernstigetekortkoming zijn als het kabinet hierin niet zou voorzien. Veel van de werkzaamhedenzullen in het verborgene blijven, ook voor de personen die ten onrechte voorwerp vanonderzoek zijn geweest. Des te noodzakelijker is het om controle op de uitoefening vandeze vergaande overheidsmacht in te bouwen. De burger moet beschermd worden tegenterrorisme maar moet ook het vertrouwen kunnen behouden dat de overheid op recht-matige wijze haar vergaande bevoegdheden uitoefent.

Verkeersgegevens telecommunicatie

De al jaren in Europa spelende discussie over een bewaarplicht voor verkeersgegevensten behoeve van de opsporing, kreeg een nieuwe wending door de terroristische aan-slagen in Madrid. Naar aanleiding hiervan nam de Europese Raad op 25 maart 2004 deVerklaring betreffende de bestrijding van terrorisme aan. Daarin werd opgeroepen omvoorstellen te doen voor het komen tot een bewaarplicht voor verkeersgegevens door

9in vogelvlucht


10 jaarverslag 2004


Resultaten 2004IN HET VORIGE JAARVERSLAG IS AANGEKONDIGD DAT IN 2004

ZOU WORDEN GESTREEFD NAAR DE VOLGENDE RESULTATEN:

• Zieke werknemerHet onderzoek naar de belangrijkste gegevensstromen omtrent

de zieke werknemer en de daarbij behorende privacyregels

heeft in mei 2004 geleid tot de publicatie van een naslagwerk

met vuistregels voor de praktijk: De zieke werknemer en pri-

vacy. Regels voor de verwerking van persoonsgegevenscan

zieke werknemers. Het naslagwerk is onder de aandacht

gebracht van de diverse bij reïntegratie zieke werknemers

betrokken partijen en behoort tot de meest bekeken publicaties

op de website.

• PolitieregistersHet in 2003 gestarte onderzoek naar de registers van de

Criminele Inlichtingeneenheden bij acht regiokorpsen is in 2004

afgerond. De algemene bevindingen van het onderzoek zijn

gepubliceerd.

• Onderzoek tapkamersHet CBP is – later dan voorzien – eind 2004 gestart met de

voorbereidingen van een onderzoek naar de privacyaspecten

van de gegevensverwerking in de tapkamers van de politie in

vervolg op het Onderzoek naar de waarborging van de ver-

trouwelijke communicatie van advocaten bij de interceptie van

telecommunicatie uit 2003. Het onderzoek zal pas in 2005

worden voltooid.

• CameratoezichtVoortbouwend op het onderzoek Cameratoezicht in de open-

bare ruimte. Onderzoek naar de inzet van cameratoezicht in

alle Nederlandse gemeenten (2003) is in december 2004 een

studie gepubliceerd over de privacyaspecten van cameratoe-

zicht op de openbare ruimte. Camera’s in het publieke domein.

Privacynormen voor het cameratoezicht op de openbare orde

biedt gemeenten vuistregels voor besluitvorming en invoering

van cameratoezicht. De studie is een van de meest bekeken

publicaties op de website.

• BurgerservicenummerHet realiseren van de Nationale Vertrouwensfunctie, een

organisatie die tot taak krijgt de burger inzicht te geven in alle

gegevensstromen op basis van het burgerservicenummer heeft

in 2004 vertraging opgelopen. Helaas is het CBP in 2004 nog

niet in de gelegenheid gesteld te beginnen met het toetsen van

bestaande en nieuwe gegevensverwerkingen en met de voor-

bereiding op de toekomstige ombudsfunctie. Deze voorberei-

ding zal nu in 2005 mogelijk worden.

• CertificeringHet met NOREA en NIVRA uitgewerkte systeem van privacy-

certificering is in 2004 in de praktijk getoetst aan de hand van

proefcertificeringen. Het CBP heeft bijgedragen aan de beoor-

deling van deze proefcertificeringen. Anders dan aanvankelijke

beoogd en in nauw overleg met de partners is er uiteindelijk

voor gekozen de eventuele opbouw van stelsels van certifice-

ring geheel aan marktpartijen over te laten. Het project is in

februari 2005 afgesloten met de presentatie en publicatie van

het document Contouren voor Compliance Handreiking voor

de invulling van het Raamwerk Privacy Audit aan geïnteres-

seerde organisaties.

• Invoering DBC-systematiekOp het gebied van de zorg zal het CBP nauw betrokken

blijven bij de ontwikkeling en invoering van de financierings-

systematiek op basis van de Diagnose Behandeling Combinatie.

• Landelijke registraties in de zorgIn 2003 heeft het CBP een oriënterend onderzoek afgerond

naar vijf landelijke registraties in de zorg. Later dan voorzien

zijn in 2004 op basis van het onderzoek algemene bevindingen

en normen voor landelijke zorgregistraties geformuleerd. Het

rapport zal in 2005 worden gepubliceerd.

• Onderzoek privacybelevingHet CBP heeft in 2004 door TNS Nipo Consult een onderzoek

laten uitvoeren naar privacybewustzijn en privacybehoeften bij

de Nederlandse burger. Dergelijke onderzoeken zijn in verschei-

dene Europese landen reeds uitgevoerd. De resultaten zullen in

2005 worden gepubliceerd.

• Beleidsregels en 2e-lijnspositieHet CBP heeft een aantal beleidsregels gepubliceerd voor het

in behandeling nemen van zaken en de publiciteit daarover. In

het kader van het streven naar een 2e-lijnspositie heeft CBP

met enkele sector-, branche-, koepel- en beroepsorganisaties

afspraken kunnen maken over informatie-uitwisseling en taak-

verdeling bij voorlichting en klachtbehandeling.

• OrganisatieontwikkelingIn 2004 is de afdeling Onderzoek operationeel geworden. Er is

een begin gemaakt met de ontwikkeling van gedifferentieerde

onderzoeksvormen en van risicoanalyse als instrument voor

beleidsvorming. De afdeling heeft een belangrijke rol gespeeld

bij het Nipo-onderzoek naar privacybeleving en heeft de mel-

dingenanalyse 2004 uitgevoerd.

• CBP-websiteHet CBP heeft eind oktober 2004 een nieuwe website online

gebracht, gericht op een directere voorlichting aan betrok-

kenen en verantwoordelijken. Het materiaal op de website is

meer vraaggericht ontsloten. Het bezoek aan de website is

sindsdien duidelijk gestegen.

telecommunicatieaanbieders. Het CBP heeft hierop gereageerd en leverde een substan-tiële bijdrage aan een advies van de Artikel 29-werkgroep – het samenwerkingsverbandvan de privacytoezichthouders in de EU – over de bewaarplicht, dat ook werd aan-geboden aan de betrokken vaste commissies van de Eerste en Tweede Kamer.

Voortbouwend op eerdere opinies sinds de jaren ’90 en uitspraken van het EuropeseHof van Justitie was de werkgroep van oordeel dat de voorstellen voor een bewaarplichtvoor alle verkeersgegevens niet voldoen aan de vereisten van artikel 8 van het EuropeesVerdrag voor de Rechten van de Mens (EVRM): voor het langdurig bewaren van alle ver-keersgegevens van onverdachte personen is geen noodzaak aangetoond. Een dergelijkesystematische opslag is disproportioneel.

Passagiersgegevens

De uitkomst van de onderhandelingen tussen de Europese Commissie en de VerenigdeStaten over de verstrekking van passagiersgegevens aan de VS bleef naar het oordeelvan de Artikel 29-werkgroep op een aantal punten onder de maat. Desondanks heeft deEuropese Commissie een positieve beslissing genomen over het beschermingsniveau inde VS. Het Europese Parlement bracht de kwestie voor het Europese Hof.

De Artikel 29-werkgroep heeft zich vervolgens geconcentreerd op een goede im-plementatie van de genomen besluiten. Daartoe werd een model gemaakt voor de infor-matievoorziening aan passagiers. Met de luchtvaartmaatschappijen is overleg gevoerdover de informatievoorziening aan passagiers. Ook heeft de werkgroep aangedrongen opeen zo spoedig mogelijke overgang van pull naar push, dat wil zeggen van het openstel-len van de reserveringssystemen voor de Amerikaanse autoriteiten zodat deze de beno-digde gegevens kunnen verzamelen, naar de actieve aanlevering van de noodzakelijkegegevens door de maatschappijen zelf.

Identificatieplicht

Begin 2004 heeft het CBP de minister van Justitie geadviseerd het Wetsvoorstel uit-breiding identificatieplicht niet in te dienen. Het belangrijkste argument hiervoor wasdat het wetsontwerp een algemene identificatieplicht voor de burger in het leven riepzowel ten overstaan van de politie als van andere toezichthouders. De wetgever schootechter tekort in de noodzakelijke onderbouwing en rechtvaardiging van een dergelijkeverplichting.

Nog maar enkele jaren geleden concludeerde het tweede kabinet Kok dat een al-gemene identificatieplicht te ver zou gaan. De toelichting op het wetsvoorstel gaf geennieuwe argumenten en het kabinet voldeed daarmee niet aan de eis van het EVRM, artikel 8, lid 2 om de inbreuk op de persoonlijke levenssfeer voldoende te recht-vaardigen. Evenmin werd de mogelijkheid van discriminatoire en stigmatiserende effecten van het voorstel onderkend. De minister van Justitie heeft het advies van hetCBP grotendeels gevolgd. Op 1 januari 2005 is de uitgebreide en feitelijk algemene identificatieplicht van kracht geworden.

Camera's in het publieke domein

De belangstelling voor cameratoezicht is in de afgelopen jaren alleen maar toegenomen.Camera’s worden door het brede publiek ook geaccepteerd in de verwachting dat cameratoezicht effectief is. Cameratoezicht door de overheid nam vooral de laatste jarentoe. In 2003 heeft het CBP daarom onderzoek laten doen naar aard en omvang van hetcameratoezicht door de Nederlandse gemeenten. Uit dit onderzoek bleek onder meer dat20 procent van de gemeenten gebruik maakte van camera’s en dat in veel van diegemeenten de effectiviteit van het toezicht (nog) niet geëvalueerd was. In november2004 is vervolgens Camera’s in het publieke domein gepubliceerd met vuistregels voorbesluitvorming, uitgangspunten voor inrichting en uitvoering, rechten van betrokkenen,toezicht en evaluatie.

11in vogelvlucht


Reïntegratie Een zieke werknemer werd onverwacht door een reïntegra-

tiebedrijf gebeld met het verzoek om aan een reïntegratie-

traject deel te nemen. Zijn werkgever had het bedrijf in-

geschakeld om de zieke werknemer te helpen weer aan het

werk te gaan. Daarvoor had zijn werkgever ook persoons-

gegevens, waaronder een rapportage van de bedrijfsarts,

aan het reïntegratiebedrijf verstrekt. De werknemer was

van dit alles echter niet op de hoogte.

De werkgever bleek inderdaad niet aan zijn informatie-

verplichting op grond van de Wet bescherming persoons-

gegevens te hebben voldaan. De werkgever moest zijn

zieke medewerker over de verstrekking van diens persoons-

gegevens te informeren. De betreffende werknemer werd

onverwacht geconfronteerd met het feit dat vertrouwelijke

informatie waaronder ook medisch informatie, buiten zijn

medeweten om door zijn werkgever aan anderen was door-

gegeven. Dit voelde hij als een grote inbreuk op zijn

persoonlijke levenssfeer. Het gevolg was wantrouwen en

irritatie jegens de werkgever. Een dergelijke misser kan een

succesvolle reïntegratie in de weg staan.

Een ander kwestie is of deze werkgever de medische gege-

vens van zijn werknemer zonder diens toestemming aan

het reïntegratiebedrijf mag verstrekken. Op grond van de

wet mag de werkgever gegevens van een zieke werknemer

aan een reïntegratiebedrijf verstrekken voor zover die

noodzakelijk zijn voor het reïntegratietraject. Onder nood-

zakelijke gegevens vallen ook de visie van de bedrijfsarts,

zoals vastgelegd in het plan van aanpak en de algemene

conclusies van de probleemanalyse die de bedrijfsarts heeft

gemaakt. Dergelijke gegevens mogen dus wel verstrekt

worden. In dit geval moet de werkgever de werknemer

informeren maar hij heeft niet zijn toestemming nodig ●

Informatiehuishouding

De nieuwe WAO en de verzekeraars

Voor het nieuwe WAO-stelsel adviseerde het CBP meer duidelijkheid te scheppen overde posities die de verschillende partijen (werkgever, werknemer, UWV, reïntegratie-bedrijven en verzekeraars) ten opzichte van elkaar innemen als het gaat om het gebruikvan persoonsgegevens. De wijze waarop verzekeraars in het nieuwe stelsel om zullengaan met persoonsgegevens is onduidelijk en dat is onwenselijk.

Door de nieuwe taken op grond van de Wet werk en inkomen naar arbeidsvermogen,maar bijvoorbeeld ook door de nieuwe Zorgverzekeringswet, krijgen de financiële con-cerns waartoe de verzekeraars behoren, de beschikking over nog veel meer (medische)persoonsgegevens. Dat levert een potentieel machtige en invloedrijke informatie-positie op.

Verzekeraars erkennen overigens het belang van een zorgvuldige verwerking vanpersoonsgegevens. Wanneer de overheid nalaat hiervoor regels te stellen, is dat tijd-rovend en inefficiënt voor de uitvoerende partijen. Het CBP heeft dan ook met klem bijde minister van Sociale Zaken en Werkgelegenheid bepleit dat in de betreffende wet-geving helderheid wordt verschaft over de bevoegdheden en de beperkingen bij de verwerking van persoonsgegevens.

Diagnose Behandeling Combinaties

Naar aanleiding van het vaststellen van het privacyraamwerk door het ministerie vanVolksgezondheid, Welzijn en Sport (VWS) en Zorgverzekeraars Nederland, is met hetCBP overeengekomen dat een vervolg zou worden gegeven aan de privacybewusteinvoering van de Diagnose Behandeling Combinaties (DBC’s). Het delen van informatietussen de verschillende partijen zal zo moeten gebeuren dat de persoonlijke levenssfeervan de patiënt en het medisch beroepsgeheim minder worden geschaad. Het CBP heefteen adviserende rol gespeeld voor verschillende werkgroepen. Daarbij heeft het CBP ookzeer kritisch gekeken naar de opzet van het DBC Informatie Systeem. Er zijn met hetministerie van VWS en andere betrokken partijen afspraken gemaakt over minimalewaarborgen voor de komende periode. Dit periodieke overleg tussen CBP en partijen zalin 2005 worden voorgezet. Het CBP zal als toezichthouder zeer alert blijven op het na-komen van toezeggingen door partijen.

12 jaarverslag 2004



13in vogelvlucht

Nieuwe informatiehuishouding bij de politie

In de afgelopen jaren is bij de verschillende politiekorpsen een breed palet ontstaan vanverschillende ICT-toepassingen voor de uitvoering van dezelfde taken. Uiteindelijk isbesloten te komen tot landelijke uniformiteit op het gebied van de ICT. Als toezicht-houder op de verwerking van gegevens door de politie heeft het CBP op verzoek geadviseerd over de wettelijke regels die van invloed zijn bij de keuze van nieuwe systemen.

Daarnaast is ook de herziening van het wettelijk kader voor de informatiehuis-houding van de politie ter hand genomen. In 2004 is advies uitgebracht aan de ministervan Justitie over het conceptwetsvoorstel Wet politiegegevens. Het CBP kan zich vindenin de systematiek bij de verwerking van politiegegevens waarin de waarborgen toe-nemen naarmate de verwerking riskanter wordt voor betrokkenen. Er waren ook driebelangrijk punten van kritiek. Ten eerste zou er meer de nadruk moeten komen te liggenop de kwaliteit van gegevens die de politie verwerkt. In de tweede plaats heeft het CBPernstig bezwaar tegen de invoering van zogenaamde themaregisters, grote verzamel-ingen van gegevens over burgers die niet ergens van verdacht worden. Ten derde zou ereen duidelijke regeling moeten komen voor bewaartermijnen. Gegevens die niet meernodig zijn, zouden vernietigd moeten worden en niet almaar bewaard worden voor hetgeval aan de gegevens behoefte mocht ontstaan.

Nieuw Schengen Informatiesysteem

Het Schengen Informatiesysteem is bedoeld om de controle aan de buitengrenzen van deEuropese Unie te versterken. Alleen al de toetreding van nieuwe lidstaten tot de EUmaakt vernieuwing van dat systeem nodig. Ook kunnen in het systeem geen bio-metrische kenmerken worden opgenomen. De Gemeenschappelijke ControleautoriteitSchengen (GCA), onder voorzitterschap van het CBP, heeft in september 2004 een opinieuitgebracht over de ontwikkeling van het nieuwe Schengen Informatiesysteem (SIS II).De GCA vraagt aandacht voor de bescherming van persoonsgegevens al bij het ont-werpen van SIS II. De Europese Raad wordt opgeroepen het doel en de functies van hette bouwen systeem te verduidelijken zodat voldoende privacywaarborgen voor hetsysteem kunnen worden getroffen.

Europees visa-informatiesysteem

Er zijn plannen voor één visa-informatiesysteem voor de hele Europese Unie metgebruik van biometrische gegevens. Hierover heeft de Artikel 29-werkgroep in augustus2004 een officieel standpunt gepubliceerd. De werkgroep wijst erop dat de verwerkingvan biometrische gegevens aan een zeer nauwkeurige rechtmatigheidtoets moet voldoen,omdat de gevaren van misbruik van deze gegevens groot zijn. De werkgroep heeft grotebedenkingen tegen een routinematige en grootschalige opslag van biometrische gegevens en wil betrokken worden bij de verdere vormgeving van het visa-informatie-systeem.

Burgerservicenummer

Het beleid voor een ‘elektronische overheid’, een overheid die optimaal gebruik maaktvan informatietechnologie waaronder internet, is in 2004 neergelegd in het programma‘Andere overheid’. De introductie van een Burgerservicenummer (BSN) is een absolutevoorwaarde voor het welslagen van dit programma. Het programmabureau BSN werdopgericht met als opdracht het eind 2003 opgeleverde plan te verwezenlijken.

Het kabinet nam onverwachts het besluit het Burgerservicenummer – in strijd meteerdere toezeggingen – ook in de zorgsector in te voeren. Zorginstellingen en zorg-verzekeraars zullen verplicht worden ermee te werken. Het gebruik van een uniek identificerend persoonsnummer in de zorg brengt risico’s met zich mee. Grootschaligekoppeling van (patiënten-)gegevens wordt makkelijker en misbruik daardoor een-

14 jaarverslag 2004


voudiger. Een apart zorgidentificatienummer – een waarborg tegen te gemakkelijke ver-spreiding van gegevens van patiënten en zorgbehoevenden – bleek echter in de politiekeen maatschappelijke constellatie niet meer haalbaar. Het CBP is daarop akkoord gegaanmet het gebruik van het BSN in de zorgsector, mits dit vergezeld zou gaan van com-penserende waarborgen, waaronder betrouwbare autorisatieprocedures voor het gebruikvan medische gegevens die met het nummer ontsloten worden.

Het CBP zal in 2005 meewerken aan de voorbereiding van de zogeheten nationalevertrouwensfunctie die voorziet in structureel toezicht in de vorm van onder meer éénloket waar burgers met vragen en klachten over het BSN terechtkunnen.

Gedragscodes

In 2004 konden vijf sectorale gedragscodes goedgekeurd worden. Na een jarenlang voor-traject, waarin het CBP de branchevereniging heeft trachten te ondersteunen, kon begin2004 de gedragscode voor de particuliere recherche worden goedgekeurd (zie ook hiernap.37).

De Koninklijke Beroepsorganisatie van Gerechtsdeurwaarders ontwikkelde eengedragscode met regels voor de bijzondere situatie dat gerechtsdeurwaarders als open-baar ambtenaar optreden en daarnaast ook commerciële diensten (bijv. incasso) verlenen. Het is noodzakelijk dat zij de informatie verkregen uit hoofde van hun bijzondere wettelijke bevoegdheden als ambtenaar niet zondermeer gebruiken voor deniet-ambtelijke werkzaamheden.De brancheorganisatie voor Werving, Search en Selectie (OAWS) herzag en actualiseerdehaar gedragscode die aangeeft voor welke doeleinden persoonsgegevens van potentiëlekandidaten mogen worden verwerkt. Ook de Code Goed Gedrag, een gedragscode voorgezondheidsonderzoek, is herzien en werkt regels voor de omgang met patiëntgegevensin gezondheidsonderzoek uit. Nieuw is de Gedragscode voor verwerking van persoons-gegevens bij onderzoek en statistiek, die werd opgesteld door drie organisaties, deVereniging voor Beleidsonderzoek, de Vereniging voor Statistiek en Onderzoek en deMarktOnderzoekAssociatie.nl.

Adrescontrole door Interpay

Naar aanleiding van een klacht heeft het CBP onderzoek

gedaan naar de wijze waarop een charitatieve stichting en

Interpay BankGiroCentrale (Interpay) bleken samen te wer-

ken voor direct marketing. Interpay verwerkt jaarlijks

miljarden financiële transacties voor banken en financiële

instellingen en beschikt daardoor over uitstekend bij-

gehouden gegevens van iedereen met een bankrekening.

De stichting liet voor het versturen van donatieverzoeken

het eigen adressenbestand actualiseren door Interpay.

Interpay verleende deze dienst tegen betaling. Het bedrijf

verstrekte – in feite namens de banken – daartoe de juiste

naam- en adresgegevens van de personen van wie de

charitatieve stichting de brieven met verzoeken om een bij-

drage onbesteld terug kreeg. De stichting kon zo het

(potentiële) donateurbestand systematisch actualiseren.

Het uitvoeren van een dergelijke adrescontrole is in strijd

met de gedragscode voor financiële instellingen, opgesteld

door de sector en in februari 2003 goedgekeurd door het

CBP. Interpay heeft naar aanleiding van de uitspraak van

het CBP in oktober 2004 besloten alle zogenaamde

NAW-dienstverlening voor onbepaalde tijd stop te zetten.

De banksector heeft inmiddels laten weten met deze

commerciële adressencontrole te stoppen ●

15in vogelvlucht


Zorgverzekeraars Nederland, branchevereniging voor zorgverzekeraars, is in 2004gestart met het opstellen van gedragsregels voor onder meer het gebruik van de velemedische gegevens die de zorgverzekeraars ontvangen in het kader van het declarerenvan zorg. Ook zullen regels worden opgesteld voor het onderzoeken van fraude dooreen instelling, hulpverlener of verzekerde. Het gaat om een toevoeging op deGedragscode Verwerking Persoonsgegevens van de financiële instellingen. De verwach-ting is dat deze gedragsregels in de zomer van 2005 van een goedkeurende verklaringkunnen worden voorzien.

Toezicht

De jaarlijkse Voorjaarsconferentie van de privacytoezichthouders in de Europese Unie,die in 2004 door het CBP werd georganiseerd in Rotterdam, stond geheel in het tekenvan effectieve methoden en arrangementen van toezicht. De driedaagse conferentie werdop 22 april geopend door de minister van Justitie, mr. J.P.H. Donner, die opriep tot ver-dere samenwerking bij het toezicht op de rechtshandhaving in Europa binnen de zoge-naamde derde pijler, het beleidsterrein van justitie en binnenlandse zaken. De Europeseprivacytoezichthouders hebben inmiddels hun samenwerking bij advisering en toezichtop het terrein van politie en justitie geïntensiveerd.

Toezicht op de Europese samenwerking van politie en justitie

De nationale toezichthouders in de Europese Unie oefenen gezamenlijk toezicht uit opde instellingen waarin de nationale politie- en justitieautoriteiten in Europa samen-werken (o.a. Europol en Schengen). Zij doen dit via de zogenaamde GemeenschappelijkeControleautoriteiten en -organen. In 2004 zijn deze toezichthoudende organen op degegevensverwerkingen (Schengen, Europol, Douane en Eurojust) voor het eerst gezamenlijk bijeengekomen met het oog op een krachtiger advisering in de derde pijler.Zij gaven onder meer een reactie op de onderzoeksvragen van een commissie van hetBritse Hogerhuis over terrorismebestrijding in de Europese Unie en de bescherming vande persoonlijke levenssfeer.

De toezichthouders pleitten voor verbetering van de bescherming van de funda-mentele rechten van het individu ten aanzien van zijn persoonsgegevens en van het toezicht daarop. De bestaande internationale weten regelgeving is daarvoor niet vol-doende. Gelet op de toenemende schaal van de gegevensverwerkingen, vaak ook vangegevens van onverdachte personen, is er behoefte aan nieuwe specifieke regels voor depolitiesector.

Particuliere opsporing

Voor de sector van de particuliere opsporing is in 2004 een bijzonder toezicht-arrangement geschapen. De Wet op de particuliere beveiligingsorganisaties en recherchebureaus normeert weliswaar de sector, maar het ontbrak aan regels voor deuitvoering van onderzoeken en de verdere verwerking van de verzamelde gegevens. Dereikwijdte van de gedragscode van de Vereniging van Particuliere Beveiligings-organisaties, die hierin voorziet, is verbreed doordat de minister van Justitie deze in eenministeriële regeling verplicht heeft gesteld voor alle recherchebureaus. Voor het toezicht op de naleving hebben het CBP en de minister van Justitie een samenwerkings-overeenkomst gesloten.

16 jaarverslag 2004


Doelen 2005IN 2005 ZULLEN MET NAME DE VOLGENDE RESULTATEN WORDEN

NAGESTREEFD:

• Veiligheid en privacyVeiligheid en privacy zijn niet noodzakelijk tegengesteld. Het

streven van de overheid naar een veel sterkere informatieposi-

tie ten aanzien van (veelal onverdachte) burgers stelt principië-

le vragen wel op scherp. Het toezicht op het gebruik van

bevoegdheden en de over burgers verzamelde informatie is ten

onrechte nog onvoldoende geregeld. Waar toezicht en controle

wel zijn geregeld, is er soms sprake van een gebrekkige nale-

ving van de regels. Het CBP zal in 2005 in aansluiting op de

ontwikkelingen op het gebied van terrorismebestrijding en vei-

ligheid zijn standpunten kenbaar maken en zich beraden op uit

te voeren onderzoeken naar de naleving van privacyregels op

dit gebied.

• Bijzondere politieregistersHet CBP beschouwt het als zijn taak structureel toezicht uit te

oefenen op de bijzondere politieregisters omdat deze niet of

nauwelijks toegankelijk zijn voor burgers of de rechter. Het CBP

zal in 2005 opnieuw onderzoek doen in enkele registers en een

rapport met de algemene bevindingen publiceren.

• Particuliere rechercheIn 2005 zal met een steekproef onderzoek worden gedaan naar

naleving van de sectorale gedragscode door particuliere recher-

chebureaus.

• RisicoselectieProfilering is het beoordelen van individuen op basis van

groepskenmerken. Het gaat om insluiting en uitsluiting van

mensen op basis van een analyse aan de hand van een profiel.

Profilering bergt het risico van oneerlijke behandeling in zich.

Het CBP organiseert dit jaar een expert meeting over risicose-

lectie. Op basis van de uitkomsten hiervan zal het besluiten of

het de privacyregels voor het gebruik van groepsprofielen bij

risicoselectie uitwerkt in een publicatie.

• Internet en privacyHet internet confronteert gebruikers met vragen over hun pri-

vacy, de veiligheid van hun persoonsgegevens en het mogelijke

misbruik daarvan. Het internet stelt ook het CBP voor nieuwe

vragen over zijn bevoegdheid als toezichthouder en een effec-

tief toezicht op internet. Het CBP zal zijn positie als toezicht-

houder ten aanzien van internet bepalen en publiceren.

Daartoe behoort ook het formuleren van specifieke normen op

enkele gebieden. De focus zal liggen op publicaties op websi-

tes, met als invalshoek de privacyproblemen die burgers in de

alledaagse praktijk op het internet ondervinden.

• InformatieplichtOverheden, bedrijven en andere organisaties hebben de wette-

lijke plicht om mensen van wie zij persoonsgegevens gebrui-

ken, hiervan op de hoogte te stellen. Het naleven van deze

informatieplicht is een belangrijke waarborg dat burgers hun

rechten kunnen uitoefenen met betrekking tot hun persoons-

gegevens. Het CBP zal in 2005 extra aandacht

besteden aan de informatieplicht, zowel in de voorlichting als

door middel van onderzoek. De naleving van de informatie-

plicht zal worden onderzocht, in het bijzonder ook bij particu-

liere recherchebureaus en bij de bestrijding van fraude in de

sociale zekerheid.

• MeldingsplichtonderzoekOok in 2005 zal het CBP op basis van een analyse van het

openbaar register van meldingen een steekproefsgewijs onder-

zoek in diverse sectoren uitvoeren naar de naleving van de

meldingsplicht.

• Administratieve lasten Het CBP zal voorstellen doen ter vermindering van de admi-

nistratieve lasten voor bedrijven (en overheden) met behoud

van het huidige beschermingsniveau voor persoonsgegevens.

In aansluiting op eind 2004 gedane voorstellen zal het CBP in

overleg treden met de minister van Justitie, onder meer over

verruiming van de vrijstelling van de meldingsplicht. Het CBP

zal ook voorstellen de vergunningplicht voor doorgifte buiten

de EU af te schaffen indien bedrijven gebruik maken van de

door de Europese Commissie goedgekeurde modelcontracten.

• Binding Corporate Rules Het CBP zal actief bijdragen aan een vereenvoudiging van de

regels voor de doorgifte van persoonsgegevens naar verant-

woordelijken buiten de Europese Unie. Onder meer zal het CBP

streven naar Europese afspraken over een uniforme procedure

voor het aanvragen van vergunningen en over een gecoördi-

neerde afhandeling van vergunningaanvragen gebaseerd op

zogenaamde binding corporate rules (BCR’s): instrumenten van

zelfregulering voor de verwerking van persoonsgegevens

binnen internationaal werkende concerns.

• SamenwerkingsverbandenSamenwerkingsverbanden voor het aanpakken van maatschap-

pelijke problemen (veiligheid, overlast in wijken, bemoeizorg,

jeugdzorg) staan sterk in de belangstelling. Privacywetgeving

wordt daarbij vaak – en vaak ten onrechte – als belemmering

genoemd. Het CBP zal bijdragen aan de verheldering van de

regels voor de noodzakelijke uitwisseling van persoonsgege-

vens in samenwerkingsverbanden. In april 2005 organiseert het

CBP en symposium over privacy in samenwerkingsverbanden.

Met de beroepsvereniging voor toezichthouders Vide zal het

CBP een symposium organiseren voor inspecties over hun

positie als deelnemer in samenwerkingsverbanden en als toe-

zichthouder op organisaties die participeren in samenwerkings-

verbanden.

17in vogelvlucht


• Toezicht en toezichthoudersHet CBP streeft naar efficiënt en effectief toezicht op de nale-

ving van de regels voor de verwerking van persoonsgegevens.

Koepel- en brancheorganisaties zullen worden aangesproken

op hun verantwoordelijkheid voor zelfregulering, onder meer

door de publicatie van een handreiking voor compliance-onder-

zoek. Het CBP stimuleert verder het aanstellen van functiona-

rissen voor de gegevensbescherming en richt zich in 2005 op

de kwaliteitsverbetering van dit interne toezicht.

Het CBP zal adviezen aan de minister van Justitie uitbrengen

gericht op het oplossen van knelpunten die voor andere toe-

zichthouders voortvloeien uit de Wet bescherming persoonsge-

gevens.

Met de OPTA zal een samenwerkingsovereenkomst worden

gesloten. Met het oog op doelmatig toezicht zal samenwerking

ook met diverse andere toezichthouders (o.a. IWI) worden

onderzocht.

Met de Commissie gelijke behandeling, de Nationale ombuds-

man en het Studie- en informatiecentrum mensenrechten

streeft het CBP ernaar in 2005 een advies aan de regering uit

te brengen over de wenselijkheid van een nationaal mensen-

rechteninstituut.

• Zorg en zekerheidInvoering van marktwerking en meer eigen verantwoordelijk-

heid staan centraal in beide sectoren. In beide stelsels krijgen

verzekeraars een regiefunctie toebedeeld, die leidt tot een

intensievere verzameling van vaak gevoelige gegevens over

individuele burgers en uitwisseling ervan binnen conglomera-

ten. Heldere regels voor het gebruik van persoonsgegevens

ontbreken echter.

Het CBP zal de privacyrisico’s verbonden aan de gedeeltelijke

privatisering van zorgen zekerheidsstelsels aan de orde blijven

stellen. De introductie van het Diagnose Behandeling

Combinaties (DBC)-stelsel zal nauwlettend als toezichthouder

gevolgd worden. Verder zal een verkennend onderzoek bij

zorgverzekeraars worden verricht naar het gebruik van medi-

sche gegevens door een zorgverzekeraar.

Zorgverzekeraars Nederland (ZN) zal in 2005 het addendum bij

de gedragscode voor Financiële Instellingen herzien en uitbrei-

den met regels voor materiële controle en regels over het

gebruik van declaratiegegevens. Het zal dit addendum ter

goedkeuring aan het CBP voorleggen.

Ook zal een normatief kader gepubliceerd worden voor de

sociale diensten: een tiental uitgangspunten waaraan de sociale

diensten zich dienen te houden bij het verwerken van per-

soonsgegevens.

• BurgerservicenummerDe introductie van het burgerservicenummer (BSN) is nu het

centrale punt in de ontwikkeling van de informatie-infrastruc-

tuur van de overheid. Het CBP is intensief betrokken geweest

bij de voorbereiding van het stelsel. Door deelname in de

stuurgroep BSN en in de werkgroep Nationale

Vertrouwensfunctie (NVF) beoogt het CBP te verzekeren dat de

overeengekomen privacywaarborgen ook daadwerkelijk gerea-

liseerd worden. Het CBP zal in het kader van de NVF zelf ver-

antwoordelijk worden voor de nationale ombudsfunctie en de

toetsing van gegevensuitwisseling op basis van het BSN. In

2005 zal het CBP de implementatie van deze taken voorberei-

den.

• Evaluatie Wet bescherming persoons-gegevensHet CBP zal zich voorbereiden op een bijdrage aan de

evaluatie van de Wet bescherming persoonsgegevens die

is voorzien voor 2006 (artikel 80 WBP).

De evaluatie van de Europese privacyrichtlijn 95/46/EG in

2003 heeft geleid tot een werkprogramma voor de

Europese privacytoezichthouders. Een belangrijk onderdeel

daarvan is een vereenvoudiging van de regels voor door-

gifte van persoonsgegevens naar landen buiten Europa, met

name voor multinationale bedrijven. Met enkele andere

toezichthouders streeft het CBP naar de introductie van

zogenaamde Binding Corporate Rules (BCRs), bindende

gedragscodes voor de omgang met persoonsgegevens

binnen multinationale concerns.

Op 24 november 2004 vond hierover in Den Haag een

publieke hoorzitting plaats. Enkele multinationals hadden

BCRs opgesteld en tijdens de hoorzitting werden hun er-

varingen besproken. Ook werd besproken wat noodzakelijk

is om BCRs tot een Europees succes te maken. Het bedrijfs-

leven bleek vooral behoefte te hebben aan een eenvoudige,

snelle en duidelijke procedure om in de verschillende lan-

den van de Europese Unie goedkeuring te krijgen van

BCRs. Op grond van één BCR zouden vanuit de hele EU

gegevens moeten kunnen worden doorgeven naar ‘derde

landen’. In Nederland is de goedkeuring van enkele BCRs

in de afrondingsfase. Op Europees niveau werken de pri-

vacytoezichthouders aan een samenwerkingsprocedure voor

de behandeling van BCRs ●

Persoonsgegevens binnen multinationals

18 jaarverslag 2004


Wet werk en bijstand

Ten behoeve van het toezicht op de nieuwe Wet Werk en Bijstand hebben IWI en CBP hetvoornemen uitgesproken om in 2005 een samenwerkingsconvenant af te sluiten. Doorsamenwerking en kennisdelen zal effectiever en efficiënter toezicht kunnen wordengehouden. Samenwerking bevordert bovendien eenduidig toezicht omdat de normen-kaders waar de toezichthouders mee werken op elkaar kunnen worden afgestemd. Ookde toezichtdruk voor de onder toezicht gestelde organisaties kan zo worden verminderd.In het convenant zullen bijvoorbeeld afspraken worden gemaakt over het delen van toezichtinformatie en het elkaar wederzijds informeren over de uitkomsten van onder-zoeken.

Zorgverzekeringswet

De nieuwe Zorgverzekeringswet voorziet in een verplichte standaardzorgverzekeringvoor alle inwoners van Nederland. Het CBP heeft in 2004 op het wetsvoorstel geadviseerd meer concrete normen te stellen voor gebruik en uitwisseling van persoons-gegevens in het kader van zorgverzekeringen. Het structurele toezicht op de zorg-verzekeraars zal zich anders hoofdzakelijk beperken tot het signaleren van onrecht-matigheden op verzekeringstechnisch, financieel en administratief terrein. Toezicht opde verwerking van persoonsgegevens dient specifiek opgenomen te worden in het wets-voorstel, omdat ook op de verwerking van persoonsgegevens door de zorgverzekeraarsstructureel toezicht noodzakelijk is. Daarnaast is aanpassing van het addendum vanZorgverzekeraars Nederland (ZN) bij de Gedragscode Verwerking Persoonsgegevensvan de financiële instellingen nodig.

Spam

Ongevraagde, in grote hoeveelheden verzonden e-mail, beter bekend als spam, is hin-derlijk, lastig aan te pakken en jaagt Internet service providers – en daarmee hun klan-ten – op hoge kosten. Volgens recente schattingen is wereldwijd ongeveer driekwart vanalle e-mail spam. De Europese Richtlijn Elektronische Communicatie (2002/58) verbiedthet versturen van ongevraagde commerciële berichten en de Europese toezichthoudersop dit verbod werken samen in het zogenaamde Contact Network of Spam Authoritiesvoor informatie-uitwisseling en het faciliteren van samenwerking bij de handhaving vanhet verbod in de EU. Hiertoe is ook een samenwerkingsovereenkomst opgesteld.

In Nederland hebben de OPTA en het CBP op 19 oktober 2004 afspraken over samen-

19in vogelvlucht


werking ondertekend met betrekking tot het spamverbod, dat sinds 19 mei 2004 inNederland van kracht is. Het CBP zal zich primair richten op het toezicht op het ver-zamelen en gebruiken van e-mailadressen. Individuele klachten over spam kunnen worden gericht tot de OPTA via www.spamklacht.nl. De werkafspraken over spam vor-men de opmaat voor de uitwerking van een breder samenwerkingsprotocol in 2005.

Onderzoek en handhaving

Criminele inlichtingeneenheden

In 2003 en 2004 heeft het CBP onderzoek gedaan naar bijzondere politieregisters diegehouden worden door criminele inlichtingen eenheden (CIE) bij de regionale politie-korpsen. Het CBP is ingevolge de Wet politieregisters (Wpolr) toezichthouder op dewerking van de politieregisters. In die positie heeft het CBP toegang tot de inhoud vande CIE-registers. Die informatie wordt, met recht, vanwege de gevoelige aard ervan grotendeels van betrokkenen en het toezicht door de rechter, afgeschermd. Daarin ziethet CBP een bijzondere opdracht inhoudelijk op de CIE-registers toe te zien.

Bij het onderzoek heeft het CBP zich hoofdzakelijk gericht op controle aan de handvan de inhoud van de registers, daarnaast zijn ook enkele technische en organisatorischeaspecten in beschouwing genomen. Het algemene beeld uit het onderzoek is over-wegend positief te noemen. De onderzochte inhoudelijke aspecten bleken over het alge-meen in orde. Wat betreft de onderzochte technische en organisatorische aspecten bleekdat op een aantal punten niet wordt voldaan aan de voorschriften die door de wet- enregelgeving worden gesteld. De korpsen geven aan dat zij, in afwachting van een lande-lijk in te voeren informatiesysteem, geen aanpassingen zullen uitvoeren ten aanzien vande huidige systemen en werkwijzen.

Schengen Informatiesysteem

In 2004 heeft de Gemeenschappelijke Controleautoriteit Schengen aan de nationale controleautoriteiten van de lidstaten die aangesloten zijn op het Schengen Informatie-systeem (SIS), verzocht een onderzoek naar de gang van zaken bij het signaleren vanvreemdelingen in het systeem. Eind juni 2004 en eind december 2004 is gerapporteerdaan de GCA Schengen. Een aantal signaleringen hebben bij het CBP vragen opgeroepenen deze signaleringen zullen nader worden onderzocht.

Landelijke registraties in de zorg

Het CBP heeft in 2004 zijn onderzoek naar de werking van landelijke zorgregistratiesafgerond met een onderzoeksrapportage die in april 2005 gepubliceerd is. Het ver-kennende onderzoek had als kernvragen wat de patiënt weet van de registratie van zijngegevens in landelijke databanken, waarvoor deze registraties precies worden gebruikt,en of de gegevens in de registraties tot de persoon van de patiënt herleidbaar waren.Voor het verwerken van (indirect) herleidbare patiëntgegevens biedt de wet namelijkmaar beperkte mogelijkheden, gezien de gevoeligheid van de gegevens en het voor art-sen mede om die reden geldende beroepsgeheim.

Uit het onderzoek bij vijf landelijke registraties heeft het CBP de indruk gekregen datde onderzochte landelijke registraties over het algemeen redelijk tot goed omgaan metpersoonsgegevens. Ook bleek dat verbeteringen in bijna alle gevallen mogelijk en nood-zakelijk waren. De voornaamste te nemen maatregel is het beperken van de herleidbaar-heid van de gegevens tot individuele patiënten. Een aantal aanbevelingen is inmiddelsdoor de registraties overgenomen.

20 jaarverslag 2004


Naleving van de meldingsplicht

Bedrijven, organisaties en instellingen zijn op grond van de WBP verplicht ver-werkingen van persoonsgegevens te melden bij het CBP of de functionaris voor de gegevensbescherming tenzij er een vrijstelling geldt. Als een gegevensverwerking tenonrechte niet, onjuist of onvolledig gemeld is, kan het CBP een boete opleggen vanmaximaal 4500 Euro. Periodiek worden meldingen uit bepaalde sectoren of van bepaaldesoorten verwerkingen aan een nader onderzoek onderworpen. Dit doet het CBP ook naaraanleiding van klachten van betrokkenen.

Het jaarlijkse controleonderzoek is in 2004 uitgevoerd in drie sectoren, namelijk tele-communicatie, de geestelijke gezondheidszorg en de incassobranche. De onderzoekenzullen in 2005 afgerond worden, al dan niet met het opleggen van sancties.In vervolg op specifieke voorlichting aan telecomsector heeft het CBP bij een aantal aanbieders van telecommunicatiediensten (vaste en mobiele telefonie en internet) gecon-troleerd of aan de meldingsplicht was voldaan. Het onderzoek richtte zich met name opde melding van de verwerking van verkeersgegevens.

Bij enkele Geneeskundige gezondheidsdiensten (GGD’s) is onderzoek gedaan naarnaar de melding van de verwerking van persoonsgegevens in het kader van deOpenbare geestelijke gezondheidszorg (OGGZ). Deze verwerking houdt naar het oordeelvan de wetgever een bijzonder risico in voor de persoonlijke levenssfeer van de betrok-ken burgers; bij de melding dient daarom ook een onderzoek naar de rechtmatigheidvan de verwerking te worden aangevraagd bij het CBP, het zogenaamde voorafgaandonderzoek.

Uit de analyse van het WBP-Meldingenregister bleek dat het aantal meldingen doorincassobureaus sterk achterblijft. De controle in deze sector was er op gericht te onder-zoeken in hoeverre incassobureaus persoonsgegevens verwerken en in hoeverre zijterecht verwerkingen van persoonsgegevens niet gemeld hebben.

60.000

55.000

50.000

45.000

40.000

35.000

30.000

25.000

20.000

15.000

10.000

5.000

0jan

2003

feb mrt apr mei jun jul aug sep okt nov dec jan

2004

feb mrt apr mei jun jul aug sep okt nov dec

GRAFIEK BEZOEKERS WWW.CBPWEB.NL

21in vogelvlucht


Boetes voor gemeenten en bedrijven

In 2003 voerde het CBP de eerste steekproefsgewijze controle uit naar de naleving vande WBP-meldingsplicht bij een aantal gemeenten, zorgverzekeraars, interne en externearbodiensten en bij direct marketing bedrijven. Het aantal WBP-meldingen is na dezeeerste controles sterk gestegen, niet alleen in de onderzochte sectoren maar ook bij departiculiere recherchebureaus, de politie en in de zorgsector.

In totaal zijn voor deze eerste controle 50 onderzoeken verricht. In een aantal geval-len werd na het schriftelijke onderzoek aanvullend onderzoek ter plaatse gedaan tervaststelling van de feiten. Eind 2003 leidde de controle tot de eerste boetes bij eengemeente en twee bedrijven. In de loop van 2004 heeft het CBP in totaal 29 boetes van € 3.000 tot € 15.000 opgelegd. In een aantal gevallen heeft het CBP gebruik gemaakt vanzijn bevoegdheid om de boete te matigen, in het bijzonder als er sprake was - zoals bijgemeenten - van een groot aantal verwerkingen van persoonsgegevens. De voornaamsteoverweging hierbij was dat ook de gematigde boete zijn doel – de speciale en generalepreventie – zou bereiken.

De boetes zijn opgelegd aan 14 gemeenten, 3 direct marketing bedrijven, 3 zorg-verzekeraars en 9 arbodiensten. De meeste gemeenten hebben een bezwaarschrift inge-diend tegen de boete; enkele gemeenten hebben de boete inmiddels betaald. De privateorganisaties hebben op één na geen bezwaar gemaakt en hebben bijna allemaal betaald.Alle betrokken organisaties hebben inmiddels hun verwerkingen van persoonsgegevensbij het CBP gemeld.

Register van gestolen fietsen

De Stichting Aanpak Voertuigcriminaliteit vroeg om advies

over het opzetten van een register van gestolen fietsen.

Met een register zou het gemakkelijker kunnen worden

voor de politie om de eigenaren van gestolen fietsen te

traceren. In de toekomst zouden op basis van het register

ook fietsenhandelaren en consumenten via internet er

achter moeten kunnen komen of een bepaalde fiets gesto-

len is, dit om heling van gestolen fietsen te voorkomen.

Zo’n register lijkt een goed idee maar er moet wel wat voor

geregeld worden. Om in het register gegevens over diefstal

– met andere woorden strafrechtelijk gegevens – te mogen

verwerken en deze via internet openbaar te maken, is een

wettelijke basis noodzakelijk. De Wegenverkeerswet zou

dus gewijzigd moeten worden zodat het opzetten en behe-

ren van het register van gestolen fietsen een wettelijke taak

voor de Rijksdienst Wegverkeer wordt.

Met het oog op de beheersbaarheid en effectiviteit van

zo’n register verdient een landelijke aanpak de voorkeur

zowel voor het traceren van eigenaars door de politie als

voor het voorkomen van heling. Een voor iedereen via

internet raadpleegbaar register waarin gegevens over

gestolen fietsen worden vermeld, moet bovendien aan een

paar eisen voldoen. Er moeten duidelijke afspraken

gemaakt worden over de verantwoordelijkheid voor de

juistheid van de opgenomen gegevens en er mogen geen

ongewenste effecten zijn voor burgers die te goeder trouw

zijn ●

De samenleving moet erop kunnen rekenen dat toezicht en toezichthouders

gekenmerkt worden door onafhankelijkheid, transparantie en professionaliteit.

De Ambtelijke Commissie Toezicht II, die in het kader van haar taak in 2004

ook een rapport over het CBP heeft opgesteld, onderscheidt in het algemeen

een aantal samenhangende, kritische succesfactoren voor toezicht, waaronder:

• een heldere en consistente strategie gebaseerd op inzicht in de praktijk van

de naleving;

• integriteit van het toezicht, gewaarborgd door een goede functiescheiding

rond advisering en controle;

• een zo klein mogelijke toezichtdruk voor bedrijven en organisaties onder

meer door samenwerking met andere toezichthouders, en

• een goede publieke verantwoording en goed contact met belanghebbende

partijen.

Beleid van de toezichthouder

2222 jaarverslag 2004


Op al deze punten zijn in 2004 door het CBP wezenlijke vorderingen gemaakt. In 2005zal in de eerste plaats verder geïnvesteerd worden in het verzamelen van meer nalevinginformatie en verdieping van de risicoanalyse als basis voor onderzoek- enhandhavingstrategie.

Het CBP zag zich verder gesterkt in zijn overtuiging dat bescherming van de per-soonlijke levenssfeer burgers wel degelijk interesseert, juist als zij voor feitelijke dilemma’s in hun directe belevingssfeer worden gesteld. Onderzoek in 2004 uitgevoerddoor TNS NIPO Consult liet zien dat burgers een direct verband leggen tussen demanier waarop (zij denken dat) publieke en private organisaties omgaan met hun gege-vens en het vertrouwen dat zij in deze organisaties hebben, in weerwil van het achteloze“Ik heb toch niets te verbergen” waarmee zij privacydilemma’s rond veiligheid vaakafdoen. Uit het onderzoek bleek een stevige vertrouwenskloof gerelateerd aan debescherming van de persoonlijke levenssfeer.

Burgers, overheden en bedrijven mogen verwachten dat het CBP wezenlijke normenen afgesproken regels handhaaft en zonodig stevig optreedt. Bedrijven die investeren ineen integere omgang met persoonsgegevens, moeten kunnen rekenen op een level playing field. Burgers moeten kunnen rekenen op toezicht aangezien zij niet de mid-delen hebben om alleen de risico’s van fraude met of misbruik van hun gegevens te dragen. Het onderlinge vertrouwen in het maatschappelijk verkeer wordt zo versterktdoor een behoorlijke, zorgvuldige en rechtmatige omgang met persoonsgegevens.

Ook het vertrouwen in de overheid is direct gebaat bij de wijze waarop zij met degegevens van haar burgers omgaat. De normen voor het gebruik van persoonsgegevensbehoren tot de grondslagen van de democratische rechtsorde. Als spelregels zijn zijtevens uiterst bruikbaar voor een evenwichtige afweging van belangen bij het aanpak-ken van maatschappelijke problemen.

23beleid van de toezichthouder


Belastingdienst

Gemeenten

Politie

Uitkeringsinstanties

Banken en financiële instellingen

Werkgevers

Verzekeraars

Credit card maatschappijen

Incassobureau’s

Gerechtsdeurwaarders

Marktonderzoekbureau’s

Postorderbedrijven

Goede doelenorganisaties

Winkels

belang/vertrouwen

belang

vertrouwen

GRAFIEK BELANG/VERTROUWEN OP BASIS VAN NIPO-RAPPORT

0 10 20 30 40 50 60 70 80 90 100


Transparantie

De samenleving verwacht doortastend én zorgvuldig optreden van het CBP. Er kunnenimmers grote belangen op het spel staan voor organisaties wanneer het CBP eisen steltaan de naleving van de regels voor de bescherming van persoongegevens. Kwaliteit entransparantie van het optreden van de toezichthouder dienen steeds bewaakt te wordenen te voldoen aan maatschappelijke normen. Het CBP publiceerde daarom in 2004 in deStaatscourant en op de website een beleidsrichtlijn om inzicht te geven in de werkwijzevan het College bescherming persoonsgegevens bij de uitvoering van taken en werk-zaamheden.

De beleidsrichtlijn Uitgangspunten en beleidsregels werkwijze CBP geeft de uitgangs-punten voor onder meer het selectiebeleid bij een aantal taken. Om het brede werk-terrein van de bescherming van persoonsgegevens met een kleine organisatie te kunnendienen is een selectiebeleid noodzakelijk. De eerste versie van de beleidsregels bevathoofdstukken over de afhandeling van verzoeken om voorlichting, klachtenbehandeling,bemiddeling en de toepassing van bestuursdwang. Beleidsregels over de bevoegdheidom een boete op te leggen bij niet-naleving van de meldingsplicht werden reeds in 2003gepubliceerd en werden ongewijzigd in de beleidsrichtlijn opgenomen. Uitgangspuntenen beleidsregels aangaande andere taken zullen aan deze publicatie worden toegevoegd.

Administratieve lasten

Het CBP is zich bewust van de administratieve last die regelgeving veelal met zich mee-brengt en onderschrijft het belang van het kabinetsbeleid om te komen tot administratie-ve lastenverlichting. Ook voor de maatschappelijke steun voor de bescherming van persoonsgegevens is het noodzakelijk dat ondernemers niet geconfronteerd worden mette grote lasten als gevolg van de WBP. De minister van Justitie streeft daarom naar hetvereenvoudigen van de uitvoering van de wet voor de verantwoordelijken ter vermin-dering van de administratieve lasten. Het huidige beschermingsniveau voor de betrokkenen dient daarbij behouden te blijven en wijzigingen dienen te vallen binnen demarges van de Europese Richtlijn (95/46/EG). Het CBP heeft in december 2004 tien con-crete voorstellen gedaan die leiden tot administratieve lastenverlichting.

Als toezichthouder en ook als adviseur bij wetgeving zal het CBP het aspect van deadministratieve lasten ook verder in zijn oordeelsvorming betrekken. Daarbij zal uit-drukkelijk worden nagegaan op welke wijze administratieve lasten kunnen wordenbeperkt of verminderd met behoud van het gewenste niveau van bescherming.

Beleidsplan 2005-2008

Om doeltreffend en resultaatgericht uitvoering te geven aan zijn taken, actualiseert hetCBP na overleg met zijn Raad van Advies jaarlijks een meerjarig beleidsplan. In 2004 ishet beleidsplan voor de periode 2005-2008 vastgesteld. Hieronder worden daaruit devisie van het college op de rol van het CBP en de te volgen strategie samengevat. Eenspecifieke handhavingstrategie zal in 2005 uitgewerkt worden.

Positionering

De WBP legt de primaire verantwoordelijkheid voor een integer gebruik van persoons-gegevens bij overheden, bedrijven en andere maatschappelijke organisaties die per-soonsgegevens verwerken. De wet schept daarom ook mogelijkheden tot zelfreguleringvia gedragscodes en intern toezicht door functionarissen voor de gegevensbescherming.De burger heeft rechten om zelf actief toe te kunnen zien op het gebruik van zijn gegevens door verantwoordelijken. Daarnaast voorziet de wet in een onafhankelijke

jaarverslag 200424

toezichthouder, het CBP. In het maatschappelijke krachtenveld is het CBP dus slechtséén van de spelers, maar met een eigen rol die voortvloeit uit zijn bevoegdheden om dewettelijke normen zo nodig te handhaven. Het CBP-beleid zal in de periode 2005-2008de strategische beweging naar meer handhaving doorzetten.

Uitgangspunt voor het CBP-beleid is verantwoordelijkheden daar te laten waar zijhoren en te stimuleren dat overheden, bedrijven en andere organisaties daaraan ook zelfactief invulling geven. In die zin geeft het CBP de voorkeur aan een tweedelijnspositie,aan een rol als metatoezichthouder op een stelsel van gegevensbescherming waarin alle betrokken partijen een actief aandeel nemen. Sectorale gedragscodes en door organi-saties aangestelde functionarissen voor de gegevensbescherming ziet het CBP als belangrijke elementen van het toezichtarrangement. Vanuit deze tweedelijnspositie kanhet CBP zich bij voorrang richten op de taken waarvoor het speciaal is toegerust. Waarmogelijk wordt daarbij samengewerkt met andere toezichthouders.

Samenwerking met andere toezichthouders

Met diverse toezichthouders heeft het CBP overlappende bevoegdheden. Het CBP streefter naar met deze toezichthouders samen te werken. In 2004 is met diverse toezicht-houders (AFM, OPTA, IGZ, IWI) overleg gevoerd over samenwerking met het oog opeen doelmatiger toezicht. Samenwerking is niet alleen efficiënt voor de toezichthouders.Daarnaast kan daardoor ook de toezichtdruk (administratieve lasten) verminderen voorde onder toezicht staande organisaties.

Op 19 oktober 2004 hebben de voorzitters van de toezichthouders OPTA en CBPafspraken over samenwerking ondertekend met betrekking op het toezicht op de na-leving van het spamverbod zoals dat sinds 19 mei 2004 in Nederland van kracht is. Dezewerkafspraken zijn per 1 november 2004 in werking getreden en zullen in 2005 wordenopgenomen in een bredere overeenkomst.

In 2004 heeft het CBP overleg gevoerd met de Commissie gelijke behandeling, deNationale ombudsman en het Studie- en informatiecentrum mensenrechten over de wen-selijkheid van de instelling van een nationaal mensenrechteninstituut dat zal voldoenaan de Paris Principles (VN-resolutie 48/134 van 20 december 1993). De deelnemers aandit overleg zullen in 2005 de instelling van een onafhankelijk nationaal mensenrechten-instituut nader onderzoeken en voor eind 2005 een advies uit te brengen aan de rege-ring. De rol van de verschillende deelnemende organisaties zal in het advies aandachtkrijgen.



HIV-mailing

Een zorgverzekeraar stuurde alle gebruikers van antiretrovi-

rale middelen in Amsterdam informatie over de vergoeding

van deze geneesmiddelen onder de verzekeringspolis. In

deze brief werd aangekondigd dat per 1 april 2004 deze

middelen alleen nog vergoed worden indien ze worden

voorgeschreven door een behandelaar verbonden aan een

erkend HIV-behandelcentrum. De brief liet er dus geen

twijfel over bestaan dat de geadresseerde medicatie in ver-

band met een Hiv-infectie kreeg.

Door deze mailing bestond er dus een reëel risico dat deze

persoonlijke informatie bij anderen terecht zou komen. De

post kan bijvoorbeeld verkeerd bezorgd worden of huisge-

noten zouden de brief kunnen openen. Een zorgverzekeraar

zou dus bij voorkeur via de hulpverlener gebruikers van

antiretrovirale medicijnen moeten informeren over een wij-

ziging in het voorschrijfbeleid. Als dit onmogelijk is moet

de zorgverzekeraar bij een dergelijke mailing aanvullende

maatregelen treffen. De inhoud van de brief moet zo alge-

meen mogelijk gehouden worden en de verzekeraar kan bij

de adressering ‘persoonlijk’ of ‘vertrouwelijk’ zetten om de

kans zo klein mogelijk te maken dat de brief door anderen

geopend wordt ●

Toezichtstrategie

De toezichtstrategie berust op het zogenaamde viersporenbeleid met aandacht zowelvoor het bevorderen van bewustwording, de praktijkgerichte uitwerking van wettelijkenormen en het onderzoek naar de implicaties en kansen van technologische ontwikkelin-gen voor de bescherming van persoonsgegevens, als voor het daadwerkelijk handhavenvan de normen.

De vier sporen vormen in onderlinge samenhang een beleidscyclus. Jaarlijks wordteen inschatting gemaakt van de risico’s op niet-naleving van de privacywetgeving en degevolgen daarvan voor de samenleving. Vervolgens wordt voor de geconstateerde risico’s bepaald in welk spoor van de beleidscyclus inzet van het CBP het meest effectiefis. Voor de rechtmatigheid van belastende onderzoeken en de houdbaarheid van sanctie-beslissingen is het van belang dat prioriteiten zo objectief en evenwichtig mogelijk wor-den vastgesteld om verwijt van onredelijkheid en willekeur bij het noodzakelijkerwijsselectieve karakter van het toezicht te vermijden. Het CBP spant zich in de systematiekvoor de inschatting van risico’s verder te ontwikkelen.

Onderzoekstrategie

De onderzoekstrategie van het CBP dient de onderbouwing van prioriteitenstellingen enin het bijzonder de handhavingstaak van het CBP. Het domein waarop het CBP toezichthoudt, is groot. Door systematisch gebruik te maken van verschillende onderzoeks-methoden beoogt het CBP de effectiviteit van zijn optreden voor de samenleving tevergroten. De afdeling onderzoek heeft daarom twee hoofdtaken: het doen van contro-lerende onderzoeken en het verzamelen en analyseren van nalevingsinformatie.

De onderzoekstrategie voorziet in het jaarlijks uitvoeren van een analyse van de risi-co’s die ontstaan door het niet naleven van de normen en regels voor de beschermingvan persoonsgegevens. Voor de inschatting van risico’s wordt gebruik gemaakt van ken-nis en informatie uit bijvoorbeeld klachten en voorlichtingscontacten die in de eigenorganisatie aanwezig is. Daarnaast worden vanzelfsprekend onderzoeksresultaten vanderden benut. Beleidsvoornemens van de overheid en andere signalen uit de samen-

De Raad Nederlandse Detailhandel (RND) kwam in 2004

met een uitgewerkt voorstel voor een waarschuwings-

register ter voorkoming en bestrijding van fraude in de

hele detailhandel. Met het waarschuwingsregister kun-

nen de deelnemende bedrijven voorkomen dat zij per-

soneel in dienst nemen dat vanwege fraude door één

van de andere deelnemende bedrijven is ontslagen.

Volgens gegevens van de RND gaat het om een relatief

kleine groep van 3 tot 4 duizend stelselmatige fraudeurs

op een totaal personeelsbestand in de detailhandel van

750.000 medewerkers (circa 0,5%).

De RND heeft de ernst en omvang van het frau-

deprobleem, het aantal preventieve maatregelen dat de

sector reeds heeft getroffen en het snelle personeels-

verloop als argumenten aangevoerd voor het opzetten

van een dergelijk register. Ondanks de maatregelen om

het probleem van de personeelsfraude aan te pakken,

blijft er behoefte aan aanvullende maatregelen ten

behoeve van screening in de sollicitatiefase.

Het CBP heeft de rechtmatigheid van het waar-

schuwingsregister getoetst en kwam tot het oordeel dat

het voorgestelde register rechtmatig is. Voor opname op

de lijst is de ernst van het incident belangrijk terwijl

ook aangifte bij de politie moet zijn gedaan. Het

gebruik van het waarschuwingsregister is verder alleen

te rechtvaardigen, als dit naast en niet in plaats van de

andere maatregelen van pre-employment screening

komt. Sollicitanten kan bijvoorbeeld ook worden

gevraagd een verklaring omtrent het gedrag te over-

leggen ●

Zwarte lijst frauderende werknemers

26 jaarverslag 2004


leving vormen eveneens een bron van informatie over potentiële risico’s en kansen omdeze risico’s in de toekomst te vermijden.

Vast onderdeel van de onderzoeksstrategie is het jaarlijkse, steekproefsgewijze onder-zoek naar de naleving van de meldingsplicht in verschillende sectoren.Verantwoordelijken worden daarbij gecontroleerd op kwantitatieve en kwalitatieveaspecten van de meldingsplicht. Dergelijk onderzoek bevordert de naleving van deregels voor de bescherming van persoongegevens (speciale en generale preventie), ver-groot de sectorkennis en versterkt de functie van het openbaar register van meldingen(transparantie).

Onderzoek en handhaving

Het toezicht op de naleving van de wettelijke normen vindt plaats door middel van controleonderzoeken. Dergelijke onderzoeken kunnen worden gestart naar aanleidingvan een klacht of andere signalen. Controleonderzoeken vinden ook systematisch plaatsop basis van vooraf vastgestelde beleidsdoelen en via de methode van steekproeven.

Door actief optreden van de toezichthouder met onderzoeken en interventies wordtzichtbaar gemaakt dat niet-naleving van de privacywetgeving tot consequenties kan lei-den. Hiermee is de generale preventie gediend. Bedrijven en instellingen moeten er opkunnen rekenen, dat hun inspanningen op dit punt niet door andere organisaties die ineen vergelijkbare positie verkeren, worden ondergraven. Op terreinen waar sprake isvan privacygevoelige dienstverlening én mededinging, zal dit aspect in toenemendemate een rol gaan spelen.

De afgelopen jaren is meermalen gebruik gemaakt van de sanctiemogelijkheden waarover het CBP beschikt en ook in 2005 krijgen onderzoek en handhaving prioritairaandacht. De lijn van 2001-2004 wordt hiermee voortgezet.

Communicatiestrategie

Communicatie is een wezenlijk instrument in de gehele cyclus van bewustwording vianormontwikkeling naar handhaving. Een goed gerichte en wel overwogen algemenevoorlichting kan de effectiviteit van het toezicht door het CBP sterk vergroten. Het CBPwerkt systematisch aan ‘zichtbaar toezicht’. Zichtbaarheid als toezichthouder – ook voorde burger – draagt bij aan het respect voor en de effectiviteit van het CBP als adviseurop het gebied van normontwikkeling, zowel in het wetgevingstraject als bij de organi-saties (publiek en privaat) in het veld.


KPN en geheime telefoonnummersKoninklijke KPN NV verkocht sinds geruime tijd aan

anderen de adresgegevens van abonnees met een

geheim nummer voor direct marketing doeleinden. Het

aantal abonnees met een geheim nummer wordt geschat

op ongeveer 1 miljoen. Zij hebben doorgaans goede

redenen om hun adresgegevens niet via bijvoorbeeld de

telefoongids bekend te maken.

Het gezamenlijke onderzoek van CBP en OPTA bracht in

2003 aan het licht dat KPN eerder klanten met een

geheim nummer had toegezegd hun adresgegevens niet

voor direct marketing te zullen doorgeven aan anderen.

Na verandering van dit beleid zijn deze klanten hierover

niet geïnformeerd.

Begin 2004 sleepte de kwestie zich nog voort, terwijl

het in de kern ging om een wettelijke plicht van KPN

om klanten actief te informeren over hun wettelijke

rechten. Inmiddels heeft KPN door het actief toezenden

van een bijsluiter aan abonnees met een geheim num-

mer en het aanpassen van de privacybrochure voldaan

aan de door het CBP gestelde eisen.

Met een bijsluiter bij de telefoonrekening heeft KPN de

bestaande klanten met een geheim nummer geïnfor-

meerd. De privacybrochure Hoe gaat KPN om met uw

persoonsgegevens? is eveneens aangepast. Alle nieuwe

klanten van KPN en alle abonnees die van een gewoon

op een geheim nummer overstappen, zullen deze bro-

chure ontvangen. Alle bestaande en nieuwe abonnees

van KPN zijn of worden zo geïnformeerd over wat KPN

met hun adresgegevens doet en hoe zij eventueel kun-

nen voorkomen dat deze voor direct marketing worden

gebruikt ●


28 jaarverslag 2004

Het CBP zal zich in veranderende tijden als toezichthouder meer dan voorheen moe-ten bekommeren om (behoud van) het maatschappelijke en politieke draagvlak voor debescherming van de persoonlijke levenssfeer. Het zal nodig zijn bij het formuleren enuitdragen van standpunten nauwer aan te sluiten bij de ervaringen van zowel betrok-kenen (mensen in diverse maatschappelijk rollen en posities: burger, consument, patiënt,uitkeringsgerechtigde, etc.) als verantwoordelijken. Daartoe is het ook een voorwaardedat het CBP nog meer ‘luistert’, minder vanzelfsprekend vertrouwt op de zeggings-kracht van de wet, meer gebruik maakt van de visies en bevindingen van anderen, meerhet open maatschappelijke debat zoekt.

Juist met het oog op een effectieve uitvoering van zijn wettelijke taken – adviseur entoezichthouder – wil het CBP dus ook een stem in het maatschappelijke debat zijn.Deelname aan dat debat vergt een subtiele afstemming van deze drie rollen. In dezederde rol zal het CBP tegelijkertijd een actieve deelnemer en een bescheiden gespreks-partner moeten zijn. In deze dialoog zal de onafhankelijke toezichthouder mede invul-ling kunnen geven aan de gewenste horizontale verantwoording, de verantwoordingjegens burger en belanghebbenden (stakeholders) over de uitvoering van zijn taken ende resultaten van zijn optreden.

Prioriteiten 2005

De breedte van het toezichtdomein en de onvermijdelijk beperkte capaciteit van de toe-zichthouder dwingen het CBP heldere prioriteiten te stellen. Voor 2005 liggen deze bijde informatieplicht, het thema van de veiligheid, risicoselectie en internet. Deze keuzeszijn voortgekomen uit een kwalitatieve analyse van de risico’s voor de naleving van deregels voor de bescherming van persoonsgegevens en de persoonlijke levenssfeer.

Informatieplicht

Aan de informatieplicht zal bijzondere aandacht worden besteed in de algemene voor-lichting en bij onderzoeken. De stellige indruk bestaat dat de informatieplicht on-voldoende wordt nageleefd terwijl transparantie - iemand heeft zicht op wat er met zijnof haar gegevens gebeurt – een van de sleutels is tot de bescherming van de persoonlijkelevenssfeer. De informatieplicht stelt burgers in staat hun rechten uit te oefenen en eenonjuiste gegevensverwerking aan te vechten. Het CBP zal daarom de algemene voor-lichting intensiveren en een breed onderzoek doen naar de naleving van de informatie-plicht. Bijzondere aandacht zal worden besteed aan de naleving van de informatieplichtdoor het Openbaar Ministerie, de particuliere recherche en telecommunicatieaanbieders.Internationaal steunt het CBP de ontwikkeling van een uniform, gelaagd model voorinformatieverstrekking aan betrokkenen, een soort ‘privacyetiket’.

Zwarte lijst hypotheekfraudeZwarte lijsten bleven ook in 2004 als hulpmiddel bij de

bestrijding van fraude en criminaliteit in de belang-

stelling. De centrale vraag is hoe het belang van de

organisatie(s) zich verhoudt tot de consequenties van

plaatsing op de lijst voor een individu. De Wet

bescherming persoonsgegevens laat ruimte voor het

gerechtvaardigd belang dat bedrijven, organisaties en

instellingen kunnen hebben bij het gebruik van zwarte

lijsten. Zonder de juiste waarborgen voor de betrok-

kenen zijn zwarte lijsten echter verboden.

Aanbieders van hypothecaire financieringen wilden in

2004 een zwarte lijst om fraude terug te dringen. Een

vermoeden van fraude zou al voldoende zijn voor plaat-

sing op de lijst. Dit voorstel kon niet door de beugel.

Het plaatsen van personen op een breed toegankelijke

lijst op basis van niet meer dan vermoedens is ongeoor-

loofd, zeker wanneer een dergelijke vermelding voor de

betrokkene verstrekkende gevolgen kan hebben. Deze

zal immers niet meer of slechts onder zwaardere voor-

waarden een hypotheek kunnen afsluiten. De branche

heeft er inmiddels voor gekozen zich aan te sluiten bij

het reeds bestaande en door het CBP in 2002 goed-

gekeurde Incidentenwaarschuwingssysteem financiële

instellingen ●




Veiligheid

In de strijd tegen het terrorisme zal het kabinet reeds aangekondigde maatregelen ennieuwe bevoegdheden invoeren. Uitgebreide verzameling, koppeling en analyse vaninformatie over (ook onverdachte) groepen en personen ziet het kabinet als de sleutel tothet voorkomen van terrorisme. Het CBP heeft in 2004 geconstateerd dat de noodzaakvan uitbreiding van bevoegdheden tot het verzamelen van informatie niet is aan-getoond. Ook was het CBP van mening dat structureel toezicht op de informatie die inhet kader van deze nieuwe bevoegdheden wordt vergaard, geboden is.

Het CBP onderschrijft vanzelfsprekend de noodzaak voor het kabinet om effectievemaatregelen te nemen ter bestrijding van het terrorisme. Internationale verdragen,Europese regels, de Nederlandse grondwet en andere wetten vereisen echter dat debeoogde verwerking van informatie over grote groepen onverdachte burgers voldoet aande maatstaf van nut en noodzaak en dat voorzien is in rechtsbescherming. Het CBP zalde veiligheidsdiscussie in 2005 op de voet volgen en adviseren over eventuele wets-voorstellen en nieuwe plannen aan de hand van het geschetste normatieve kader.

Risicoselectie

Het CBP zal in 2005 algemene spelregels voor risicoselectie op basis van groepsprofielenformuleren en deze uitwerken voor diverse sectoren waar profilering wordt gebruikt.Profilering en risicomanagement zijn legitiem maar het gaat om de grenzen. Bij risico-selectie worden individuen op basis van groepskenmerken beoordeeld. In essentie gaathet om in- en uitsluiting door middel van analyse van gegevens. Hierbij is niet alleen depersoonlijke levenssfeer in het geding, maar ook de maatschappelijke mogelijkheden vanpersonen die beoordeeld worden op basis van profielen waar ze in lijken te passen.

Na het dalen van de koersen eind jaren ‘90 zijn nogal

wat mensen die hebben belegd met geleend geld, in

financiële problemen geraakt. Een groot aantal personen

– ruim 100.000 – had in 2004 over contracten voor

zogeheten aandelenlease een geschil met Dexia Bank

Nederland NV. In rechtszaken werd uitgevochten of bij

de verkoop van deze financiële producten de zorgplicht

jegens deze klanten voldoende is nagekomen.

In het geding was onder meer de vraag of de aanbieder

zijn klanten voldoende over de risico’s had

geïnformeerd. De klantdossiers bij Dexia zouden hierin

meer inzicht kunnen bieden. Daarom vroegen veel

betrokkenen op grond van de Wet bescherming per-

soonsgegevens bij Dexia inzage in de over hen vast-

gelegde gegevens. De betrokken klanten stelden dat

Dexia hen een afschrift zou moeten geven van de docu-

menten die Dexia van hen had. Dexia stelde dat de

bank zich mocht beperken tot een overzicht van

beschikbare informatie.

Het CBP was van oordeel dat in het algemeen niet vol-

staan kon worden met een samenvatting van de gege-

vens. Voor de betrokkene cruciale informatie kan in een

samenvatting immers verloren raken. Een betrokkene

heeft daarom in principe recht op volledige kennis-

neming van de over hem verwerkte gegevens. Dat bete-

kent in de praktijk dat hij recht heeft op een afschrift.

Alleen zo kan een betrokkene opkomen voor zijn rech-

ten. Hierop kan alleen een uitzondering worden

gemaakt voor zover dat noodzakelijk is om de rechten

en vrijheden van – in dit geval – Dexia te beschermen.

Op een dergelijke uitzondering kan niet op voorhand in

alle geschillen een beroep worden gedaan ●

Inzage bij Dexia

30 jaarverslag 2004


Internet

Vragen rond internet en privacy – met name rond publicatie van persoonsgegevens opwebsites – zijn in 2004 meer aandacht gaan vragen. Eind 2003 heeft het Europese Hofvan Justitie in het Lindqvist-arrest de Privacyrichtlijn 95/46/EG ook van toepassing ver-klaard op internet. In 2004 heeft het CBP onderzocht wanneer uitingen op internet tebeschouwen zijn als verwerkingen voor journalistieke doeleinden. Meer in het algemeenzullen in 2005 antwoorden geformuleerd worden op de vragen waar internetgebruikerszich in de dagelijkse praktijk vooral mee geconfronteerd zien. In twee fundamentelekwesties moet positie worden gekozen, namelijk in welke gevallen en in welke mate hetCBP bevoegd is, en of het CBP als toezichthouder kan en wil optreden.

Organisatie

In 2004 is de nieuwe afdeling onderzoek van start gegaan. Daarmee is de organisatie-ontwikkeling voorzien in het formatieplan 2003 ‘In beweging voor toezicht en hand-having’ voltooid. Dit formatieplan beoogde de voorwaarden (o.a. functiescheiding) tescheppen voor het uitoefenen van de taken en sanctiebevoegdheden die het CBP in deWBP heeft gekregen. Hoewel de structurele wijzigingen in 2004 hun beslag hebbengekregen, bleef het aantal formatieplaatsen echter zowel om budgettaire redenen alsomwille van een zorgvuldige opbouw van de organisatie kleiner dan voorzien. De toe-zichthouder loopt daardoor op tegen de grenzen van het mogelijke voor de organisatie,hetgeen zal moeten leiden tot uitbreiding van het formatieplan of tot een marginali-sering van het toezicht op de WBP.


31activiteiten

openbaar bestuur pagina 32“De overheid lijkt een terughoudende houding ten aanzien van het binnentreden van de

persoonlijke levenssfeer meer en meer te verlaten onder brede verwijzing naar dringen-

de maatschappelijke problemen of behoeften.”

politie en justitie pagina 35“Het CBP waarschuwde voor de gevolgen van een vermenging van de taken van veilig-

heidsdiensten en politie waardoor informatie over vele onverdachte burgers terecht lijkt

te zullen komen in de politieregisters.”

arbeid en sociale zekerheid pagina 38“Door de nieuwe wettelijke taken, bijvoorbeeld door de nieuwe Zorgverzekeringswet,

krijgen financiële concerns de beschikking over nog veel meer (medische) persoons-

gegevens.”

zorg en welzijn pagina 41“In 2004 waarschuwde het CBP dat de combinatie van privatisering en deregulering

nadelige gevolgen heeft, zowel voor de privatisering als voor de privacy.”

handel en diensten pagina 44“Het CBP onderschrijft de kabinetsdoelstelling om te komen administratieve lasten-

verlichting volledig. Deze lastenverlichting kan bovendien de maatschappelijke steun

voor de bescherming van persoonsgegevens doen groeien.”

telecom pagina 47“In oktober 2004 hebben OPTA en CBP een samenwerkingsovereenkomst gesloten met

betrekking tot het spamverbod, zoals dat sinds 19 mei 2004 in Nederland van kracht is.”

technologie pagina 50“De Artikel 29-werkgroep wijst erop dat de verwerking van biometrische gegevens

steeds een zeer nauwkeurige rechtmatigheidsanalyse vereist omdat de gevaren bij mis-

bruik van deze gegevens groot zijn.”

internationaal pagina 52“In september 2004 hebben de privacytoezichthouders van de Europese lidstaten opge-

roepen tot de vorming van een adviesorgaan voor de derde pijler, het terrein van de

samenwerking van politie en justitie in Europa.”

activiteiten


32 jaarverslag 2004

Openbaar bestuurDe overheid en met de overheid vervlochten sectoren verschaffen zich steeds meer

mogelijkheden voor ‘gegevenssurveillance’: het op de voet volgen van de burger aan

de hand van digitale sporen die deze gedwongen op steeds meer plaatsen dient

achter te laten. De motieven achter het beleid zijn divers: het vergroten van de

veiligheid, het verbeteren van de dienstverlening, fraudebestrijding of bemoeizorg.

Met meer of minder instemming van de burger leidt deze ontwikkeling tot meer came-

ratoezicht op straat, een nationaal persoonsnummer (rond 1980 nog een schrikbeeld),

algemene identificatieplicht en steeds meer dienstverlening door de overheid via

internet.

De overheid lijkt de terughoudende houding ten aanzien van het binnentreden van

de persoonlijke levenssfeer ook buiten het terrein van de veiligheid meer en meer te

verlaten onder brede verwijzing naar dringende maatschappelijke problemen of

behoeften. Waarborgen voor de bescherming van persoonsgegevens die al bestonden

– een beperkte identificatieplicht – of die gerealiseerd zouden worden – sectorale

persoonsnummers – lijken zonder veel discussie opzij gezet te worden. Het CBP zag

daardoor in langdurige samenwerking geboekte resultaten bij het burgerservice-

nummer in 2004 weer onzeker worden.

DE

BU

RG

ERIS

STEE

DS

BET

ERB

EKEN

DD

OO

RT

OEZ

ICH

TEN

IDEN

TIF

ICA

TIE

PLI

CH

T


33

openbaar bestuur

openbaar bestuur

Camera's in het publieke domeinBedrijven en overheden zetten op grote schaal camera’s in voor de

beveiliging van gebouwen, goederen en personen. De belangstelling

voor cameratoezicht is in de afgelopen jaren sterk toegenomen.

Cameratoezicht is min of meer vanzelfsprekend geworden in super-

markten, winkelcentra, het openbaar vervoer en uitgaansgebieden.

Camera’s worden door het brede publiek ook geaccepteerd in de

verwachting dat cameratoezicht effectief is.

De Registratiekamer – de voorloper van het College bescher-

ming persoonsgegevens (CBP) – publiceerde al in 1997 een studie

over de mogelijkheden en grenzen van cameratoezicht. In beeld

gebracht gaf privacyregels voor het toepassen van cameratoezicht

zowel in het particuliere als het publieke domein. Doordat het

cameratoezicht door de overheid in de laatste jaren sterk toenam,

heeft het CBP in 2003 onderzoek laten doen naar aard en omvang

van het cameratoezicht door de Nederlandse gemeenten. Uit dit

onderzoek bleek onder meer dat 20 procent van de gemeenten

gebruik maakte van camera’s en dat in veel van die gemeenten de

effectiviteit van het toezicht (nog) niet geëvalueerd was.

In december 2004 is vervolgens Camera’s in het publieke

domein gepubliceerd met vuistregels voor besluitvorming, uitgangs-

punten voor inrichting en uitvoering, rechten van betrokkenen,

toezicht en evaluatie. Deze praktische verheldering van de privacy-

normen kan door gemeenten benut worden bij de besluitvorming

over de toepassing en inrichting van cameratoezicht ter handhaving

van de openbare orde.

Vanzelfsprekend zal het CBP deze normen ook hanteren bij het

toezicht op de praktijk van het cameratoezicht in het publieke

domein. Verder zal het CBP in samenwerking met belanghebbende

partijen in 2005 een modelverordening cameratoezicht publiceren.

Bij het parlement is een wetsvoorstel in behandeling om de

Gemeentewet te wijzigen, opdat cameratoezicht ter handhaving van

de openbare orde een expliciete wettelijke basis krijgt.

IdentificatieplichtBegin 2004 heeft het CBP de minister van Justitie geadviseerd het

Wetsvoorstel uitbreiding identificatieplicht niet in te dienen. Het

belangrijkste argument hiervoor was dat het wetsontwerp zonder

de noodzakelijke onderbouwing en rechtvaardiging van een der-

gelijke verplichting een algemene identificatieplicht voor de burger

in het leven riep.

Nog maar enkele jaren geleden concludeerde het tweede

paarse kabinet dat een algemene identificatieplicht te ver zou gaan:

een identificatieplicht werd slechts gerechtvaardigd geacht in een

aantal specifieke situaties, waarin de overheid de burger als poten-

tiële verdachte beschouwt, bijvoorbeeld bij de controle op ‘zwart

rijden’ in het openbaar vervoer en bij optreden tegen voetbal-

vandalisme. De toelichting op het wetsvoorstel gaf geen nieuwe

argumenten en het kabinet voldeed daarmee niet aan de eis van het

EVRM (artikel 8, lid 2) om de inbreuk op de persoonlijke levenssfeer

voldoende te rechtvaardigen.

Evenmin werd de mogelijkheid van discriminatoire en stig-

matiserende effecten van het voorstel onderkend. De uitoefening

door de politie van de bevoegdheid die het wetsvoorstel in het

leven riep, leek bovendien slechts controleerbaar op basis van een

aanzienlijke uitbreiding van de registratie van het gedrag van on-

verdachte burgers. De minister van Justitie heeft het advies van het

CBP grotendeels gevolgd. Er komt een evaluatie drie jaar na in-

werkingtreding ten aanzien van de werking. Deze evaluatie is met

name gericht op de handhaving van de leeftijdsgrens en op de

eventuele aanscherping van criteria voor bevoegdheidsverlening

aan de politie en toezichthouders. Er komen geen stelselmatige con-

troles, alleen controles die noodzakelijk zijn met het oog op een

goede taakuitoefening. De leeftijdsgrens is opgetrokken van twaalf

naar veertien jaar. Op 1 januari 2005 is de uitgebreide en feitelijk

algemene identificatieplicht van kracht geworden.

BurgerservicenummerHet beleid voor een ‘elektronische overheid’, een overheid die op-

timaal gebruik maakt van informatietechnologie waaronder internet,

is in 2004 neergelegd in het programma Andere overheid. De

beoogde nationale authenticatievoorziening – een voorziening voor

het online vaststellen van de elektronische identiteit van burgers –

werd omgedoopt tot DigiD. In 2003 verklaarde het CBP zich te

kunnen vinden in de uitgangspunten van de nationale authen-

ticatievoorziening onder verwijzing naar een aantal voorwaarden.

Het CBP blijft de ontwikkelingen op dit terrein volgen.

De introductie van een Burgerservicenummer (BSN) is een

bepalende voorwaarde voor het welslagen van het programma

Andere overheid; 2004 was voor het ministerie van Binnenlandse

Zaken en Koninkrijksrelaties het jaar van ‘geen woorden, maar

daden’. Het programmabureau BSN dat opdracht kreeg het eind

2003 opgeleverde plan te verwezenlijken, werd opgericht. Onder

druk van de minister Volksgezondheid, Welzijn en Sport nam het

kabinet onverwachts het besluit om de toch al ambitieus geplande

invoering van het BSN per 1 januari 2007 een jaar naar voren te

halen en bovendien het BSN ook in de zorgsector te gaan ge-

bruiken.

Een apart zorgidentificatienummer – een waarborg tegen te

gemakkelijke verspreiding van gegevens van patiënten en zorg-

behoevenden – bleek in de politieke en maatschappelijke situatie

geen haalbare kaart meer. Het CBP is daarop akkoord gegaan met

het gebruik van het BSN in de zorgsector, mits dit gepaard gaat met

compenserende waarborgen. Belangrijk onderdeel daarvan vormen

betrouwbare autorisatieprocedures voor het gebruik van medische

gegevens die met het BSN ontsloten worden.

Vervolgens bleken in 2004 afspraken over het stelsel van ver-

trouwensfuncties vastgelegd in bijlagen bij het implementatieplan

op losse schroeven te staan. Het overeengekomen stelsel van waar-

borgen voor de bescherming van persoonsgegevens begon af te

brokkelen. Dit wettelijk te verankeren stelsel bestaat op nationaal

niveau onder meer uit overkoepelend beleid en richtlijnen, een toet-

singskader, een ‘landkaart’ voor transparantie en een ombuds-

functie, met vergelijkbare elementen op sectoraal en organisatie-

niveau. In de Wet algemene bepalingen burgerservicenummer was

het stelsel niet terug te vinden. Daarnaast liep de voorbereiding van

de zogeheten nationale vertrouwensfunctie vertraging op.

Niettemin hoopt het CBP in 2005 een bijdrage te leveren aan de

feitelijke ontwikkeling van de nationale vertrouwensfunctie. Daarin

zal structureel toezicht verankerd zijn in de vorm van onder meer

één loket waar burgers met vragen en klachten over het BSN

terecht kunnen.

Toezicht op GBA-regelingenHet CBP heeft een toezichthoudende taak bij de uitvoering van de

Wet Gemeentelijke basisadministratie persoonsgegevens (GBA).

Gemeenten zijn op grond van deze wet verplicht hun zogeheten

GBA-regelingen toe te sturen aan het CBP. Het gaat om de beheers-

regeling, de regeling met betrekking tot de binnengemeentelijke

afnemers en de verstrekking van persoonsgegevens aan ‘vrije der-


34

activiteiten

jaarverslag 2004

den’. In de zomer van 2003 bleek dat ruim 130 gemeenten hadden

nagelaten afschriften van de regelingen aan het CBP te sturen.

De gemeenten werden door het CBP in de gelegenheid gesteld

om binnen vier weken alsnog deze afschriften in te sturen. Hoewel

het soms aanzienlijk langer duurde, en er in enkele gevallen ge-

wezen moest worden op de bevoegdheid tot bestuursdwang,

hebben in 2004 uiteindelijk alle Nederlandse gemeenten aan deze

wettelijke verplichting voldaan. Het CBP is tevreden over deze

complete naleving, maar benadrukt dat nieuwe regelingen en

wijzigingen in bestaande opnieuw aan het CBP gezonden moeten

worden.

Gegevens van leerlingen: DigidoorOok in de onderwijssector neemt de informatisering en de ver-

werking van leerlinggegevens toe, niet alleen ten behoeve van het

onderwijs maar ook in het kader van samenwerkingsverbanden met

andere organisaties. Het CBP heeft de indruk dat – meestal met de

beste bedoelingen – erg veel gegevens van leerlingen worden vast-

gelegd en dat de regels voor vrijstelling van de meldingsplicht bij de

toezichthouder al te ruim uitgelegd worden.

In 2004 werd het CBP door verontruste ouders gewezen op

DigiDoor. Deze internetdienst is in Almere in het leven geroepen

voor het overdragen van informatie vanuit het primaire onderwijs

naar het voortgezet onderwijs. De vraag van de ouders was erop

gericht om invloed uit te kunnen oefenen op welke gegevens er aan

wie werden doorgegeven. Volgens DigiDoor zelf gaat het om toets-

gegevens uit het Leerlingvolgsysteem en opmerkingen over het

niveau van rekenen, taal en lezen. Maar ook kan het formulier

informatie bevatten over zaken die van invloed kunnen zijn op de

prestaties op de vervolgschool, zoals faalangst, concentratie-

problemen, gezondheidsproblemen en – in uitzonderlijke gevallen –

problemen thuis. Het CBP is vervolgens een onderzoek gestart naar

de manier waarop DigiDoor rekening houdt met de vereisten voor

de bescherming van persoonsgegevens. Het onderzoek zal in 2005

worden afgerond.

Kentekenregister en direct marketingDe automobielbranche kent zogeheten belangenbehartigers: de

stichting RDC, Stidenda, stichting New Motive, en SABN. Op basis

van de ‘Regeling gegevensverstrekking Kentekenregister’ mogen

deze wettelijk daartoe aangewezen belangenbehartigers persoons-

gegevens uit het Kentekenregister ontvangen. Zij mogen deze

onder meer voor direct-marketing activiteiten van derden zoals

autobedrijven of -importeurs gebruiken. Zo kunnen autobedrijven

gerichte mailings versturen aan een daartoe geselecteerde doel-

groep autobezitters.

De regeling schrijft voor dat de belangenbehartigers passende

maatregelen nemen ter bescherming van de persoonlijke levenssfeer

van degenen over wie gegevens worden verstrekt. Over de manier

waarop dit moet gebeuren, bestond binnen de branche verschil van

mening. Op verzoek van een belangenbehartiger heeft het CBP zich

in september 2004 uitgesproken over hoe passende maatregelen

kunnen worden genomen. Het ging daarbij vooral om de manier

waarop autobezitters – de geregistreerden in het Kentekenregister –

dienen te worden geïnformeerd over de verstrekking van hun gege-

vens aan de belangenbehartigers. Wanneer gegevens door een

belangenbehartiger worden verkregen, dient deze de autobezitters

hierover te informeren. Alleen in het geval de betrokkene al op een

andere manier van deze vastlegging op de hoogte is, hoeft dat niet.

De minister van Verkeer en Waterstaat oordeelde al in 2001 dat de

verstrekking van gegevens voor commerciële doeleinden een te

grote inbreuk vormde op de persoonlijke levenssfeer van de betrok-

kene. Deze verstrekking is uiteindelijk met ingang van 1 maart 2007

verboden. Het CBP heeft de minister van Verkeer en Waterstaat

geadviseerd de belangenbehartigers te verplichten jaarlijks verant-

woording af te leggen over de naleving van de informatieplicht ■

Almere vandaag, 09-04


35politie en justitie

Politie en JustitieDe aanslagen in Madrid en de moord op Theo van Gogh hebben geleid tot een

intensivering van het streven naar een veilige samenleving en in het bijzonder de

bestrijding van terrorisme. In hoog tempo werd verruiming van de bevoegdheden van

politie en justitie gerealiseerd of aangekondigd. De roep om meer bevoegdheden

klonk overigens al jaren, maar de terrorismedreiging sinds september 2001 heeft ruim

baan gemaakt voor de overtuiging dat deze uitbreiding ook noodzakelijk is.

Het CBP onderschrijft vanzelfsprekend de noodzaak voor het kabinet om effectieve

maatregelen te nemen ter bestrijding van terrorisme. Internationale verdragen,

Europese regels, de Nederlandse grondwet en andere wetten vereisen echter dat nieu-

we bevoegdheden voldoen aan de maatstaf van nut en noodzaak. Ook moet voorzien

zijn in rechtsbescherming. In de strijd tegen terrorisme is het wellicht nodig nieuwe

wegen te bewandelen, maar er is geen enkele reden het inzicht los te laten dat

machtsuitoefening moet plaatsvinden binnen een systeem van checks and balances:

geen bevoegdheid zonder noodzaak en geen bevoegdheid zonder controle op de uit-

oefening ervan.

INT

ENSI

VER

ING

VA

ND

EB

EST

RIJ

DIN

GV

AN

TER

RO

RIS

ME

36 jaarverslag 2004

TerrorismebestrijdingIn de ‘terrorisme’-brief van 10 september 2004 aan de Tweede

Kamer kondigden de ministers van Justitie en van Binnenlandse

Zaken en Koninkrijksrelaties nieuwe maatregelen en bevoegdheden

aan ter bestrijding van het terrorisme. Het kabinet zag onder meer

uitgebreide verzameling, koppeling en analyse van informatie over

groepen en personen als de sleutel tot het voorkomen van

terrorisme. Daartoe achtte het kabinet uitbreiding van opsporings-

bevoegdheden noodzakelijk. Het kondigde aan het wettelijk cri-

terium voor toepassing van bevoegdheden als het aftappen van

telefoons, internetgebruik en het observeren af te zullen zwakken

tot aanwijzingen. Momenteel is een verdenking of een redelijk

vermoeden van betrokkenheid vereist. De informatie-uitwisseling

tussen veiligheidsdiensten, politie, openbaar ministerie en IND zou

daarom geïntensiveerd worden via een informatieknooppunt, de

Contra-Terrorisme-infobox, waar data zullen worden gecombineerd

en geanalyseerd.

In een publieke reactie op de voorstellen constateerde het CBP

dat de noodzaak van uitbreiding van bevoegdheden tot het verza-

melen van informatie niet is aangetoond. De nieuwe bevoegdheden

komen bovenop de per 1 september 2004 in werking getreden

antiterrorismewetgeving. Het ging hierbij om uitbreiding van de

reikwijdte van het Wetboek van Strafrecht door nieuwe strafbaar-

stellingen en door verhoging van de strafmaat voor het plegen van

misdrijven met een terroristisch oogmerk. Voorts is samenspanning

(d.w.z. het maken van afspraken) tot terroristisch handelen straf-

baar gesteld. Met deze nieuwe wettelijke bepalingen voor infor-

matieverwerking is nog geen enkele ervaring opgedaan die zicht

geeft op nut en noodzaak van de maatregelen. Daarbij komen nog

de reeds ingevoerde of nog in te voeren bevoegdheden voor het

onderscheppen van telecommunicatie en de bevoegdheid tot het

opeisen van informatie bij bedrijven en andere organisaties. Het is,

aldus de brief van de ministers, voor de overheid voldoende dat een

burger haar argwaan opwekt om hem te kunnen observeren ten-

einde vast te stellen of de argwaan gerechtvaardigd is of niet.

Verder miskent de voorgenomen vergaande coördinatie van de

informatieverzameling de gescheiden wettelijke taken en bevoegd-

heden die inlichtingendiensten en politie hebben. Het CBP waar-

schuwde voor de gevolgen van een vermenging van de taken van

veiligheidsdiensten en politie. Het kabinet introduceert met de

Contra-Terrorisme-informatiebox een concept dat veel vragen

oproept. Onderzoek op grond van losse vermoedens en aannames

zal op grotere schaal gedeeld worden. Informatie over veel on-

verdachte burgers lijkt van de dossiers van de veiligheidsdiensten

terecht te zullen komen in de politieregisters.

De gevolgen van zo’n vermenging van functies kunnen zeer

ingrijpend zijn. De bescherming van de staatsveiligheid is primair

een zaak van de inlichtingendiensten. Deze hebben zeer vergaande

bevoegdheden om reeds bij het enkele vermoeden dat de staats-

veiligheid in het geding is, informatie te verzamelen. Het delen van

deze veelal ‘zachte’ informatie met de opsporingsdiensten mag pas

plaatsvinden, na zorgvuldige analyse en taxatie, indien sprake is van

een begin van verdenking dat er strafbare feiten worden beraamd

of gepleegd. Samenwerking is noodzakelijk voor terrorisme-

bestrijding, maar de politie moet geïnformeerd worden op het

moment dat er sprake is van uitoefening van de politietaak. Pas dan

kan informatie van met name de Algemene inlichtingen- en veilig-

heidsdienst worden ingebracht in een gemeenschappelijke infor-

matiebox.

In de geschetste plannen ontbrak ook een voorstel voor een ade-

quate en structurele controle op het proces van het verzamelen en

delen van informatie. Het zou een ernstige tekortkoming zijn als het

kabinet hierin niet zou voorzien. Veel van de werkzaamheden zullen

in het verborgene blijven, ook voor de personen die ten onrechte

voorwerp van onderzoek zijn geweest. Des te noodzakelijker is het

om controle op de uitoefening van deze vergaande overheidsmacht

in te bouwen. De burger moet beschermd worden tegen terrorisme

maar moet ook het vertrouwen kunnen behouden dat de overheid

op rechtmatige wijze haar vergaande bevoegdheden uitoefent.

Inmiddels heeft het CBP in 2005 zijn standpunt nader uit-

gewerkt in het advies over het conceptwetsvoorstel bijzondere

opsporingsbevoegdheden ter opsporing van terroristische misdrij-

ven. Omtrent de CT-infobox is het CBP niet nader geïnformeerd

door de betrokken ministers. De minister van Justitie heeft de

Tweede Kamer toegezegd de kamer schriftelijk nader te informeren.

TelefoontapsIn 2003 rondde het CBP een onderzoek af naar aanleiding van een

klacht van de Nederlandse Vereniging van Strafrechtadvocaten. Het

onderzoek betrof de waarborging van het verschoningsrecht van

advocaten bij de onderschepping van telecommunicatie. De minister

van Justitie heeft de uitkomst van het onderzoek van de hand

gewezen met een beroep op het Wetboek van strafvordering. Het

CBP heeft de minister van Justitie naar aanleiding hiervan in 2004

geadviseerd het Wetboek van strafvordering te wijzigen omdat het

verschoningsrecht van een hogere orde is. Ook startte het CBP een

onderzoek naar de naleving van de vernietigingsplicht van gesprek-

ken van zogenaamde geheimhouders in de tapkamers bij de politie.

Onderzoek criminele inlichtingeneenhedenIn 2003 en 2004 heeft het CBP onderzoek gedaan naar bijzondere

politieregisters die gehouden worden door criminele inlichtingen

eenheden (CIE) bij de regionale politiekorpsen. Het CBP is ingevolge

de Wet politieregisters (Wpolr) toezichthouder op de werking van

de politieregisters. In die positie heeft het CBP toegang tot de

inhoud van de CIE-registers. Die informatie wordt, met recht, van-

wege de gevoelige aard ervan grotendeels van betrokkenen en het

toezicht door de rechter, afgeschermd. Daarin ziet het CBP een bij-

zondere opdracht inhoudelijk op de CIE-registers toe te zien.

Bij het onderzoek heeft het CBP zich hoofdzakelijk gericht op

controle aan de hand van de inhoud van de registers, daarnaast zijn

ook enkele technische en organisatorische aspecten in beschouwing

genomen. Het CBP heeft bij een aantal CIE's in de registers zware

criminaliteit en het voorlopig register en het informantenregister

steekproefsgewijs onder meer gecontroleerd of de verplicht voor-

geschreven codes waren opgenomen, en of de integriteit van de

informatie behouden blijft gedurende de keten van vastlegging tot

verstrekking. De uitkomsten van het onderzoek heeft het CBP ter

kennis gebracht van de ministers van Binnenlandse Zaken en

Koninkrijksrelaties en van Justitie die beheers- c.q. gezags-

verantwoordelijkheid dragen.

Het algemene beeld uit het onderzoek is overwegend positief

te noemen. De onderzochte inhoudelijke aspecten bleken over het

algemeen in orde. Wat betreft de onderzochte technische en or-

ganisatorische aspecten bleek dat op een aantal punten niet wordt

voldaan aan de voorschriften die door de weten regelgeving

worden gesteld. De korpsen geven aan dat zij, in afwachting van

een landelijk in te voeren informatiesysteem, geen aanpassingen

activiteiten< TERUG INHOUD VERDER >

37politie en justitie

politie en justitiezullen uitvoeren ten aanzien van de huidige systemen en werk-

wijzen.

Nieuwe informatiehuishouding bij de politieVan oudsher heeft de politie een eigen wettelijk regime voor de ver-

werking van persoonsgegevens, de Wet politieregisters. Al geruime

tijd werd gewerkt aan een visie op de herziening van dit regime en

het CBP onderschreef de noodzaak om te komen tot herziening van

de wet. Tegelijkertijd was bij de verschillende politiekorpsen een

wild palet ontstaan van verschillende ICT-toepassingen voor de uit-

voering van dezelfde taken. Uiteindelijk is door de politie besloten

te komen tot landelijke uniformiteit op het gebied van de ICT. Ook

de herziening van het wettelijk kader voor de informatie-

huishouding van de politie is ter hand genomen.

Het CBP heeft bijgedragen aan beide ontwikkelingen. Als toe-

zichthouder op de verwerking van gegevens door de politie heeft

het CBP over technologische ontwikkelingen desgevraagd gead-

viseerd over de wettelijke regels die van invloed waren bij het kie-

zen van richting voor nieuwe systemen. Complicerende factor daar-

bij was dat ook het wettelijk regime zich in een overgangsfase

bevindt.

Een periode van ruim anderhalf jaar was nodig voor het tot

stand komen van een conceptwetsvoorstel voor herziening van de

Wet politieregisters. Het CBP heeft deelgenomen aan uitgebreid

vooroverleg met het ministerie van Justitie, het ministerie van

Binnenlandse Zaken en Koninkrijksrelaties, verschillende politie-

diensten en de bouwers van de nieuwe informatietechnologische

systemen voor de politie. In dat vooroverleg zijn ervaringen uit-

gewisseld, knelpunten besproken en is een visie gevormd op een

nieuw wettelijk regime.

Vervolgens heeft het CBP advies uitgebracht aan de minister

van Justitie over het conceptwetsvoorstel Wet politiegegevens. Het

CBP kan zich vinden in de opzet van een piramidale structuur voor

de verwerking van politiegegevens: dichter bij de top van de

piramide nemen de waarborgen toe naarmate de verwerking ris-

kanter wordt voor betrokkenen. Deze systematiek dient in de

meeste gevallen zowel de operationele behoefte van de politie om

gevoelige gegevens af te kunnen schermen, als het belang van de

burger dat zorgvuldig met zijn gegevens wordt omgegaan. Er waren

drie belangrijke punten van kritiek. In de eerste plaats zou meer

nadruk moeten komen te liggen op de kwaliteit van gegevens die

de politie verwerkt. Omdat de politie tot taak heeft de waarheid te

achterhalen, begint zij vaak te werken met gegevens waarvan de

juistheid niet vaststaat. Dat draagt grote risico’s voor betrokken bur-

gers in zich.

In de tweede plaats heeft het CBP ernstig bezwaar tegen de

invoering van zogenaamde themaregisters. In het voorstel worden

grote verzamelingen van gegevens voorzien over burgers die niet

ergens van verdacht worden. Het CBP kan zich weliswaar vinden in

versoepeling van het principe dat geen gegevens over onverdachte

personen worden verwerkt door de politie, maar in de thema-

registers dreigt het omgekeerde te gebeuren.

Tot slot heeft het CBP geadviseerd een duidelijke regeling op te

nemen voor bewaartermijnen. Uitgangspunt dient te zijn dat gege-

vens die niet meer nodig zijn, vernietigd worden en niet almaar

worden bewaard voor het geval in de toekomst aan de gegevens

behoefte mocht ontstaan.

Particuliere rechercheVeiligheid is in het huidige kabinetsbeleid niet alleen een taak van

de overheid. Burgers en bedrijven hebben een eigen verantwoor-

delijkheid. Particuliere opsporing en de beveiligingsbranche hebben

de afgelopen jaren een hoge vlucht genomen. Het CBP heeft

geconstateerd dat de beveiligingsbranche nog weinig persoons-

gegevens verwerkt. Op grond van de toenemende publiek-private

samenwerking, bijvoorbeeld in het kader van terrorismebestrijding,

valt echter aan te nemen dat dit snel zou kunnen veranderen. Het

CBP zal hierop alert blijven.

Particuliere opsporing bergt zeker gevaren in zich voor de

bescherming van de persoonlijke levenssfeer. De Wet op de par-

ticuliere beveiligingsorganisaties en recherchebureaus (Wpbr) nor-

meert de sector, maar het ontbreekt aan regels voor de uitvoering

van onderzoeken en de verdere verwerking van de verzamelde

gegevens. Na een jarenlang voortraject, waarin het CBP de

branchevereniging heeft trachten te ondersteunen bij een ver-

kenning van terrein en het formuleren van uitgangspunten, heeft

de branchevereniging eind 2003 een gedragscode ingediend bij het

CBP. Begin 2004 heeft het CBP hieraan een goedkeurende ver-

klaring kunnen afgeven.

Bijzonder is dat de minister van Justitie de gedragscode in een

ministeriële regeling verplicht heeft gesteld voor alle recherche-

bureaus. De reikwijdte van de gedragscode is daardoor belangrijk

uitgebreid. Recherchebureaus hoeven verder in het kader van hun

vergunningaanvraag niet meer een onderzoek door het CBP af te

wachten, wat leidt tot een aanmerkelijke verkorting van de door-

looptijd. Bureaus die zich niet houden aan de regels van de

gedragscode kunnen door de minister van Justitie, die vergunningen

verleent aan recherchebureaus, worden beboet. Uiteindelijk kan

zelfs de vergunning worden ingetrokken. Het CBP en de minister

van Justitie zijn inmiddels een samenwerkingsovereenkomst aan-

gegaan voor het toezicht op de naleving.

De gevoelige aard van de gegevens die in particulier onderzoek

worden vergaard, de methoden waarmee dat gebeurt en de ge-

volgen die onzorgvuldige verwerking voor de onderzochte kunnen

hebben, rechtvaardigen dat wordt voorzien in structureel toezicht

op de naleving van de gedragscode. Het CBP heeft als lid van de

begeleidingscommissie bij een onderzoek naar de mogelijkheden en

onmogelijkheden van toezicht op de particuliere veiligheidssector

hierop aangedrongen. De minister van Justitie ontving in 2004 het

definitieve onderzoeksrapport ■


38 jaarverslag 2004

Arbeid en sociale zekerheidZowel het zorgstelsel als het sociale zekerheidsstelsel maken grote veranderingen

door. Invoering van marktwerking en meer eigen verantwoordelijkheid van partijen

staan in beide sectoren centraal. De grote nadruk die vanuit de sociale zekerheidssec-

tor op een spoedige reïntegratie van bijvoorbeeld de zieke werknemer wordt gelegd,

vereist een directe betrokkenheid van de zorgsector bij dit doel. Het belang van een

integrale keten van sociale zekerheid en zorg wordt breed onderschreven.

Gesteld wordt dat een betere gegevensuitwisseling meer samenhang tussen beide

sectoren zou kunnen bewerkstelligen. Privacyregels worden door direct betrokken

partijen vaak gezien als een obstakel voor efficiënte gegevensuitwisseling. De stel-

selwijzigingen in de zorg en sociale zekerheid hebben daarom de aandacht van het

CBP. In 2004 heeft het CBP verscheidene malen advies uitgebracht over nieuwe

wetgeving op het terrein van de sociale zekerheid.

INT

EGR

ALE

KET

ENV

AN

SOC

IALE

ZEK

ERH

EID

ENZ

OR

G


39arbeid en sociale zekerheid

arbeid en sociale zekerheidReïntegratie Gegevensverwerking in het kader van de reïntegratie van werk-

nemers en uitkeringsgerechtigden wordt door het CBP al jaren

intensief gevolgd. Vanuit de behoefte om als toezichthouder meer

zicht te krijgen op de knelpunten in de uitvoeringspraktijk, werd in

het voorjaar van 2004 een verkennend onderzoek uitgevoerd bij

drie reïntegratiebedrijven die gespecialiseerd zijn in de reïntegratie

van bijstandsgerechtigden. Naar verwachting zal het rapport in het

voorjaar van 2005 gepubliceerd worden. Het onderzoek krijgt in

2005 een complement in een verkennend onderzoek bij een aantal

reïntegratiebedrijven dat trajecten verzorgt voor zieke werknemers.

De zieke werknemer en privacy Het CBP heeft op 12 mei 2004 het eerste exemplaar van De zieke

werknemer en privacy aan de staatssecretaris van Sociale Zaken en

Werkgelegenheid aangeboden. Deze studie geeft informatie over de

mogelijkheden en grenzen van het uitwisselen van gegevens van

zieke werknemers. Privacyregels staan de reïntegratie van de zieke

werknemer niet in de weg. De betrokken partijen mogen persoons-

gegevens van zieke werknemers die noodzakelijk zijn voor de reïn-

tegratie, met elkaar delen.

Bij werkgevers, arbodiensten, reïntegratiebedrijven, Uitkerings-

instituut Werknemersverzekeringen (UWV) en (verzuim) verzeke-

raars bestaat een toenemende behoefte aan informatie over de

zieke werknemer. Het gaat hierbij vaak om informatie over de

gezondheid van een werknemer die in een kwetsbare positie zit. In

De zieke werknemer en privacy zijn voor alle betrokken partijen

praktische vuistregels opgenomen om een juiste en zorgvuldige

omgang met gegevens van zieke werknemers te kunnen realiseren.

Tevens worden knelpunten in weten regelgeving rondom de zieke

werknemer gesignaleerd. In het gesprek met de staatssecretaris

heeft het CBP aangedrongen op uitwerking van weten regel-

geving om deze punten op te lossen.

Na publicatie heeft het CBP het rapport onder de aandacht van

de diverse belanghebbende partijen gebracht, zowel met presen-

taties op studiedagen en artikelen voor vaktijdschriften als ook door

actieve aanwezigheid op de Reïntegratiebeurs. Sinds de verschijning

is De zieke werknemer en privacy de meest geraadpleegde studie

op de website (6200 maal in 2004).

De nieuwe WAO en de verzekeraarsIn zijn adviezen over het nieuwe WAO-stelsel heeft het CBP aan-

gegeven dat er meer duidelijkheid moet komen over de posities die

de verschillende partijen (werkgever, werknemer, UWV, reïntegratie-

bedrijven en verzekeraars) ten opzichte van elkaar innemen.

Duidelijkheid hierover is van belang om te kunnen beoordelen

op grond waarvan de verschillende partijen persoonsgegevens

mogen verwerken en gerechtigd zijn om deze met elkaar uit te

wisselen.

Er bestaat met name onduidelijkheid over de rol die ver-

zekeraars zullen spelen in het nieuwe stelsel. Dit is onwenselijk. De

regiefunctie die verzekeraars is toegedacht, zal de komende jaren in

de praktijk gebracht worden. Verzekeraars – veelal onderdeel van

grote financiële concerns – beschikken al over zeer veel gegevens

omdat ze behalve ziektekostenverzekeraar ook vaak schade-,

levens- en pensioenverzekeraar zijn en financiële dienstverlening

binnen het bankwezen leveren. Door de nieuwe taken op grond van

de Wet werk en inkomen naar arbeidsvermogen, maar bijvoorbeeld

ook door de nieuwe Zorgverzekeringswet, krijgen deze financiële

concerns de beschikking over nog veel meer (medische) persoons-

gegevens. Dat levert een potentieel machtige en invloedrijke infor-

matiepositie op waarvan tot op heden niet voldoende duidelijk is of

en zo ja onder welke voorwaarden deze mag worden benut.

Verzekeraars erkennen overigens het belang van een zorg-

vuldige verwerking van persoonsgegevens. Zij hebben het CBP al

vaker laten weten ermee gediend te zijn indien duidelijke regels

worden gesteld. Wanneer de overheid nalaat regels te stellen, is dat

tijdrovend en inefficiënt voor de uitvoerende partijen. Het CBP heeft

dan ook met klem bij de minister van Sociale Zaken en Werk-

gelegenheid bepleit dat in de betreffende wetgeving helderheid

wordt verschaft over de bevoegdheden en de beperkingen voor

verzekeraars daar waar het gaat om de verwerking van persoons-

gegevens.

Samenwerking tussen IWI en CBP Het CBP heeft in 2003 en in 2004 een discussie gevoerd met de

minister van SZW en de Inspectie Werk en Inkomen (IWI) over de

reikwijdte van het toezicht op de uitvoering van de nieuwe Wet

Werk en Bijstand. Deze gesprekken waren onder andere van belang

om te bezien of samenwerking tussen beide toezichthouders

gewenst is en zo ja waaruit deze samenwerking zou kunnen

bestaan.

Inmiddels is zowel van de kant van IWI als CBP het voornemen

uitgesproken om in 2005 een samenwerkingsconvenant af te slui-

ten. Door samenwerking en het delen van kennis kan effectiever en

efficiënter toezicht worden gehouden op de uitvoeringspraktijk. Nu

komt het voor dat beide toezichthouders, soms zonder dat ze het

van elkaar weten, zich bezig houden met dezelfde problematiek.

Samenwerking bevordert bovendien eenduidig toezicht omdat de

normenkaders waar de toezichthouders mee werken op elkaar kun-

nen worden afgestemd.

Daarbij kan door samenwerking ook de toezichtsdruk voor de

onder toezicht gestelde organisaties worden verminderd. In het con-

venant zullen bijvoorbeeld afspraken worden gemaakt over het

delen van toezichtinformatie en het elkaar wederzijds informeren

over de uitkomsten van onderzoeken.

Zwarte lijst frauderende werknemers Zwarte lijsten verschenen in 2004 regelmatig in de media. De Raad

Nederlandse Detailhandel (RND) kwam in 2004 met een nieuw

voorstel voor een bedrijfstakbreed waarschuwingsregister ter voor-

koming en bestrijding van fraude in de detailhandel. Met het waar-

schuwingsregister kunnen de deelnemende bedrijven voorkomen

dat zij personeel in dienst nemen dat vanwege fraude door één van

de andere deelnemende bedrijven is ontslagen. Voor opname op de

lijst is de ernst van het incident een belangrijk criterium terwijl ook

aangifte bij de politie moet zijn gedaan.

De RND heeft de ernst en omvang van het fraudeprobleem,

het aantal preventieve maatregelen dat de sector reeds heeft

getroffen en het snelle personeelsverloop als argumenten aange-

voerd voor het voeren van een dergelijk register. Ondanks de diver-

se maatregelen die de sector reeds getroffen heeft om het probleem

van de personeelsfraude aan te pakken, blijft er behoefte aan aan-

vullende maatregelen voor screening in de sollicitatiefase. Het

gebruik van het waarschuwingsregister is alleen te rechtvaardigen,

als dit naast en niet in plaats van de andere maatregelen van pre-

employment screening (met name de verklaring omtrent het

gedrag) wordt ingezet. Het CBP heeft opnieuw de rechtmatigheid



40

activiteiten

jaarverslag 2004

van het waarschuwingsregister getoetst aan de normen van de WBP

en kwam tot het oordeel dat het voorgestelde register rechtmatig is.

Gedragscode Werving, Search en Selectie-branche In juli 2004 keurde het CBP de privacygedragscode van de branche-

organisatie voor Werving, Search en Selectie (OAWS) goed. De

gedragscode geeft aan voor welke doeleinden persoonsgegevens

van potentiële kandidaten mogen worden verwerkt en stelt voor-

waarden waaronder bepaalde persoonsgegevens van kandidaten

verstrekt kunnen worden aan opdrachtgevers. Daarnaast geeft de

gedragscode uitwerking aan de rechten van de betrokkenen en

geeft aan op welk moment zij geïnformeerd moeten worden over

de gegevens die van hen verwerkt worden. De OAWS was onder

de Wet persoonsregistraties (Wpr), in 1990, één van de eerste or-

ganisaties die een privacygedragscode opstelde. Deze gedragcode is

nu aangepast aan de WBP en heeft een geldigheidsduur van vijf

jaar ■

NRC, 12-04


41

Het zorgstelsel wordt in hoog tempo veranderd. De informatisering gaat gestaag door

en vraagt aandacht ter bescherming van het medisch beroepsgeheim. De belangrijk-

ste ontwikkeling is echter de introductie van meer marktwerking. Privatisering gaat in

de voorstellen voor het nieuwe zorgstelsel – net als bij de hervorming van de sociale

zekerheid – hand in hand met deregulering. In 2004 waarschuwde het CBP echter dat

de combinatie van privatisering en deregulering nadelige gevolgen heeft, zowel voor

de privatisering als voor de privacy.

Zorg en welzijn DE

CO

MB

INA

TIE

VA

NP

RIV

AT

ISER

ING

END

EREG

ULE

RIN

GH

EEFT

NA

DEL

IGE

GEV

OLG

ENV

OO

RP

RIV

AC

Y

zorg en welzijn



De verzekeraars krijgen in de kabinetsplannen een prominente rol in

het sociale zekerheids- en zorgstelsel toegedacht. In de huidige

wetsvoorstellen wordt echter niet duidelijk geregeld wat deze regis-

seurs eigenlijk mogen doen met de gegevens waarover zij straks op

grond van onder meer de Zorgverzekeringswet zullen beschikken.

Door de nieuwe taken krijgen de verzekeraars – veelal onderdeel

van grote financiële concerns – nog veel meer (medische) persoons-

gegevens. Of en hoe de verzekeraars deze informatiepositie mogen

benutten is niet goed geregeld. Ook de zorgverzekeraars vinden

deze onzekerheid onwenselijk.

Het beleid van het CBP zal evenals in eerdere jaren gericht zijn

op het beschermen van het medisch beroepsgeheim en maatvoering

bij het verstrekken van medische persoonsgegevens. In 2004 heeft

het CBP onder meer adviezen uitgebracht over de Zorg-

verzekeringswet, de invoering van de Diagnose Behandeling

Combinaties (DBC’s), de AWBZ-brede zorgregistratie en gedrags-

regels voor zorgverzekeraars.

De nieuwe Zorgverzekeringswet De nieuwe Zorgverzekeringswet voorziet in een verplichte stan-

daard zorgverzekering die eigen verantwoordelijkheid en markt-

werking in de zorgsector moet bevorderen. In het advies op het

wetsvoorstel betoogt het CBP dat het noodzakelijk is om meer

concrete normen te stellen voor gebruik en uitwisseling van per-

soonsgegevens in het kader van zorgverzekeringen.

In de eerste plaats moet in de wetgeving zelf de basis voor het

regime voor informatieverwerking worden gelegd. Daarnaast is aan-

passing van het – concept – addendum van Zorgverzekeraars

Nederland (ZN) bij de Gedragscode Verwerking Persoonsgegevens

van de financiële instellingen nodig. Het is de bedoeling dat dit

addendum voorziet in meer specifieke regels in de omgang met

gezondheidsgegevens door zorgverzekeraars.

Het voorziene structurele toezicht op de zorgverzekeraars zal

zich hoofdzakelijk beperken tot het signaleren van onrechtmatighe-

den op verzekeringstechnisch, financieel en administratief terrein.

Het CBP heeft geadviseerd om het toezicht op de verwerking van

persoonsgegevens specifiek op te nemen in het wetsvoorstel omdat

ook op de verwerking van persoonsgegevens door de zorg-

verzekeraars structureel toezicht noodzakelijk is.

Diagnose Behandeling CombinatiesNaar aanleiding van het vaststellen van het privacyraamwerk door

het ministerie van VWS en Zorgverzekeraars Nederland, is met het

CBP overeengekomen dat een vervolg zou worden gegeven aan de

privacybewuste invoering van de Diagnose Behandeling Combi-

naties (DBC’s). Daartoe is gewerkt aan het uitdenken van manieren

om informatie te delen tussen de verschillende partijen op een wijze

die de persoonlijke levenssfeer van de patiënt en het medisch

beroepsgeheim minder schaadt en een betere beveiliging van gege-

vens oplevert. Het CBP heeft een adviserende rol gespeeld voor

verschillende werkgroepen. Daarbij heeft het CBP ook zeer

kritisch gekeken naar de opzet van het DBC Informatiesysteem. Er

zijn met het ministerie van VWS en andere betrokken partijen

afspraken gemaakt over minimum waarborgen voor de komende

periode. Dit periodieke overleg tussen CBP en partijen zal in 2005

worden voorgezet. Het CBP zal als toezichthouder zeer alert blijven

op het nakomen van toezeggingen door partijen. (Zie ook het jaar-

verslag 2003, p. 38-39.)

Gedragsregels voor zorgverzekeraars Zorgverzekeraars voeren een aantal (wettelijke) taken uit. Het is van

belang dat deze taken efficiënt kunnen worden uitgevoerd. Hiertoe

hebben zorgverzekeraars informatie over hun verzekerden nodig.

Zorgverzekeraars Nederland, branchevereniging voor zorg-

verzekeraars, heeft in 2004 het initiatief genomen tot het opstellen

van gedragsregels voor het gebruik van (medische) gegevens door

zorgverzekeraars. Met deze gedragsregels geeft Zorgverzekeraars

Nederland invulling aan de verantwoordelijkheid van zorg-

verzekeraars voor een zorgvuldige omgang met persoonsgegevens.

Het op te stellen privacykader zal onder meer aandacht besteden

aan het gebruik dat zorgverzekeraars mogen maken van de vele

medische gegevens die zij in het kader van het declareren van zorg

ontvangen. Ook zullen de zorgverzekeraars regels opstellen voor de

wijze waarop een zorgverzekeraar bij het onderzoeken van fraude

door een instelling, hulpverlener of cliënt te werk mag gaan. De

verwachting is dat deze gedragsregels in de zomer van 2005 door

het CBP van een goedkeurende verklaring kunnen worden voorzien.

ICT in de zorgICT in de zorg is al jaren een actueel onderwerp. In 2004 zijn er

allerlei ontwikkelingen geweest richting een gedigitaliseerd infor-

matiebeheer en -verkeer in de zorg. Ziekenhuizen en huisartsen-

posten zijn bezig informatiesystemen op te zetten die tot doel

hebben in zowel intramurale als extramurale informatiebehoefte te

voorzien. Veel ICT-projecten hebben als uiteindelijk doel de basis te

vormen voor een landelijk Elektronisch Patiënten Dossier. Bij het

ontwerp van dergelijke systemen moet rekening gehouden worden

met het medisch beroepsgeheim. Belangrijk is dat informatie-

systemen op een veilige manier worden gebruikt en beheerd.

Goede methoden om tot authenticatie en autorisatie van gebruikers

te komen zijn daarvoor cruciaal.

Burgerservicenummer in de zorg Het burgerservicenummer zal naar alle waarschijnlijkheid per

1 januari 2006 ingevoerd worden in de zorg. Zorginstellingen en

zorgverzekeraars zullen verplicht zijn met dit persoonsnummer te

werken. Het gebruik van een uniek identificerend persoonsnummer

in de zorg brengt risico’s met zich mee. Grootschalige koppeling van

(patiënten-)gegevens wordt makkelijker en misbruik daardoor een-

voudiger. Het CBP heeft de minister van VWS geadviseerd over de

noodzakelijke waarborgen rond de invoering van het burgerservice-

nummer in de zorg. Noodzakelijke waarborgen zijn onder meer het

beperken van toegang tot personen die hierover mogen beschikken

in verband met hun taken en het treffen van voorzieningen om

ongeoorloofd nevengebruik tegen te gaan. Ook moet het toezicht

op de verwerking van het persoonsnummer in de zorg goed

geregeld zijn. Onder deze voorwaarden heeft het CBP zich akkoord

verklaard met de invoering van het algemene burgerservicenummer

in de zorgsector, een voorstel dat ingaat tegen eerdere afspraken

over een apart persoonsnummer voor de zorgsector (zie ook p. 33).

Gedragscode voor gezondheidsonderzoek In 2004 heeft het CBP de Code Goed Gedrag, een gedragscode

voor gezondheidsonderzoek van een goedkeurende verklaring kun-

nen voorzien. De oude code met dezelfde naam was aan herziening

toe en de ook de termijn van goedkeuring daarvan was inmiddels

activiteiten


43zorg en welzijn

zorg en welzijnverstreken. De goedgekeurde code biedt nadere invulling van regels

voor de omgang met patiëntgegevens in gezondheidsonderzoek. De

code heeft betrekking op die gegevens waarop een medische

geheimhoudingsplicht rust.

Onderzoek Landelijke RegistratiesHet CBP heeft zijn onderzoek naar de werking van landelijke zorg-

registraties in 2004 afgerond met een onderzoeksrapportage die in

april 2005 gepubliceerd is. Het verkennende onderzoek had als

kernvragen wat de patiënt weet van de registratie van zijn gegevens

in landelijke databanken, waarvoor deze registraties precies worden

gebruikt, en of de gegevens in de registraties tot de persoon van de

patiënt herleidbaar waren. Voor het verwerken van (indirect) her-

leidbare patiëntgegevens biedt de wet namelijk maar beperkte

mogelijkheden, gezien de gevoeligheid van de gegevens en het

voor artsen mede om die reden geldende beroepsgeheim. De vraag

was dus ook of voor de verwerking van medische persoons-

gegevens in deze registraties een rechtmatige grondslag bestond.

Uit het onderzoek bij vijf landelijke registraties heeft het CBP

de indruk gekregen dat de onderzochte landelijke registraties over

het algemeen redelijk tot goed omgaan met persoonsgegevens. Uit

het onderzoek bleek echter ook dat verbeteringen in bijna alle

gevallen mogelijk en noodzakelijk waren. Het CBP achtte deze ver-

beteringen met relatief eenvoudige ingrepen mogelijk zonder dat

daardoor de waarde van de gegevens voor onderzoek beperkt zou

worden. De voornaamste te nemen maatregel is het zoveel mogelijk

beperken van de herleidbaarheid van de gegevens tot individuele

patiënten. Een aantal aanbevelingen is inmiddels door de registraties

overgenomen.

Samenwerking: Operatie JongZes ministeries hebben hun krachten gebundeld in Operatie Jong

met als doel meer samenhang in het jeugdbeleid te brengen. De lei-

draad is dat het kind centraal dient te staan in het jeugdbeleid, en

niet de instellingen of de ministeries. Onderdeel van de nieuwe aan-

pak is het zogeheten doorlopende dossier, een volgsysteem met oog

op een preventieve signalering van een mogelijk problematische

levensloop. In het kader van Operatie Jong worden de mogelijk-

heden verkend voor een (landelijke) verwijsindex voor dossiers over

risicojongeren. Samenwerking tussen allerlei instanties is daarbij

nodig. In de praktijk blijkt dat samenwerking belemmerd wordt

door onvoldoende kennis bij de partijen over de mogelijkheden die

er zijn om gegevens in het kader van een samenwerkingsverband

uit te wisselen. Het CBP is bereid rond Operatie Jong te adviseren

en voorlichting te geven. In januari 2005 verscheen het informatie-

blad Informatie delen in samenwerkingsverbanden. De privacy-

regels die gelden bij samenwerkingsverbanden zijn hierin toe-

gelicht ■

NRC, 11-04


44 jaarverslag 2004

Reductie van administratieve lasten voor het bedrijfsleven is een van de toon-

aangevende doelstellingen van het kabinet. Het CBP onderschrijft die doelstelling

volledig, omdat het realiseren hiervan in het belang is van het bedrijfsleven terwijl als

neveneffect de maatschappelijke steun voor de bescherming van persoonsgegevens

daardoor groter kan worden. In december 2004 heeft het CBP in een brief aan de

minister van Justitie tien concrete voorstellen geformuleerd die leiden tot

administratieve lastenverlichting zonder dat aan de door de minister gestelde rand-

voorwaarde, een vermindering van het huidig beschermingsniveau van persoons-

gegevens, wordt getornd. VNO-NCW heeft de voorstellen onderschreven onder hand-

having van de eigen suggesties.

Voor het huidige beschermingsniveau zijn het inzagerecht voor burgers en de

informatieplicht voor bedrijven en organisaties die persoonsgegevens verwerken,

essentieel.

Handel en dienstenINZ

AG

EREC

HT

ENIN

FOR

MA

TIE

PLI

CH

TZ

IJN

ESSE

NT

IEEL


45handel en diensten

Het inzagerecht geeft individuen zicht op wat er in hun geval met

de eigen gegevens gebeurd is. De informatieplicht vormt daarom

een belangrijke waarborg in het evenwicht tussen het belang van

bedrijven om persoonsgegevens te verwerken (bijvoorbeeld voor

direct marketing of fraudebestrijding) en het belang van het indi-

vidu bij bescherming van en respect voor zijn persoonlijke levens-

sfeer. Inzagerecht en informatieplicht dragen bij aan het vertrouwen

tussen bedrijf en (potentiële) consumenten en vergen met het oog

daarop een rendabele investering.

Inzage bij DexiaNa het dalen van de beurskoersen eind jaren ‘90 zijn nogal wat

mensen die met geleend geld in aandelen hadden belegd, in finan-

ciële problemen geraakt. Een groot aantal personen heeft over

contracten voor zogeheten aandelenlease een geschil met Dexia

Bank Nederland NV. In rechtszaken wordt uitgevochten of bij de

verkoop van deze financiële producten de zorgplicht jegens deze

klanten voldoende is nagekomen. In het geding is de vraag of vol-

doende is beoordeeld of de potentiële klanten geen onverant-

woorde risico’s liepen bij het aangaan van een dergelijke overeen-

komst en of het bedrijf zijn klanten voldoende over de risico’s heeft

geïnformeerd. De klantdossiers bij Dexia zouden hierin meer inzicht

kunnen bieden. Daarom hebben veel betrokkenen op grond van de

WBP bij Dexia inzage gevraagd in de over hen vastgelegde gege-

vens.

De betrokken klanten stelden dat Dexia hen een afschrift zou

moeten geven van de documenten die Dexia van hen had. Dexia

stelde dat de bank zich mocht beperken tot een overzicht van

beschikbare informatie. Ook de wet gebruikt de term ‘overzicht’.

Het CBP heeft desgevraagd in deze kwestie een uitspraak gedaan

over de wijze waarop het recht op kennisneming in deze situatie

moest worden uitgelegd. Het standpunt van het CBP was dat in het

algemeen niet volstaan kon worden met een samenvatting van de

gegevens.

In zo’n samenvatting kan immers cruciale informatie verloren

gaan, terwijl detailgegevens, in de precieze context waarin deze zijn

verwerkt, bepalend kunnen zijn. Een betrokkene heeft daarom in

principe recht op volledige kennisneming van de over hem ver-

werkte gegevens. Dat betekent in de praktijk dat hij recht heeft op

een afschrift. Alleen zo kan een betrokkene opkomen voor zijn

rechten. Hierop kan echter een uitzondering worden gemaakt voor

zover dat noodzakelijk is om de rechten en vrijheden van – in dit

geval – Dexia te beschermen. Op een dergelijke uitzondering kan

niet op voorhand in alle lopende geschillen een beroep worden

gedaan.

Dexia heeft geen reden gezien zijn werkwijze in het licht van

de uitspraak van het CBP aan te passen. Uitspraken van de

geschillencommissie bankzaken en van civiele rechters zullen nu in

een oplossing moeten voorzien.

Adrescontrole door Interpay voor direct marketing Naar aanleiding van een klacht heeft het CBP onderzoek gedaan

naar de wijze waarop een charitatieve stichting en Interpay

BankGiroCentrale (Interpay) bleken samen te werken voor een vorm

van direct marketing. De stichting bleek het eigen adressenbestand

te actualiseren door het op systematische wijze opschonen en ac-

tualiseren van (potentiële) donateurgegevens. Interpay verstrekte

daartoe namens de banken naam- en adresgegevens van hun

cliënten op commerciële basis.

Het uitvoeren van een dergelijke adrescontrole is in strijd met

de gedragscode voor financiële instellingen, opgesteld door de sec-

tor en in februari 2003 goedgekeurd door het CBP. Interpay heeft

naar aanleiding van de uitspraak van het CBP in oktober 2004

besloten alle zogenaamde NAW-dienstverlening voor onbepaalde

tijd stop te zetten. De banksector heeft inmiddels laten weten met

deze commerciële adressencontrole te stoppen.

Kentekenregister en benzinepiratenHet fenomeen van automobilisten die zonder te betalen doorrijden

na het tanken – de zogenaamde benzinepiraten – heeft grote

publieke aandacht getrokken. Tankstationhouders vroegen om

toegang tot het kentekenregister om van benzinediefstal verdachte

doorrijders te kunnen achterhalen. De minister van Verkeer en

Waterstaat besloot dat deze personen tot betaling gemaand

konden worden door gerechtsdeurwaarders, die daartoe de

bevoegdheid kregen om de namen en adressen van benzinepiraten

op basis van het kentekennummer op te vragen bij de Rijksdienst

voor het wegverkeer.

De gekozen oplossing is echter strijdig met eerder verwoord

kabinetsbeleid. In 2001 heeft de toenmalige minister van Verkeer en

Waterstaat immers aangegeven dat er geen gegevens meer mogen

worden verstrekt uit publiekrechtelijke registers voor commerciële

doeleinden. Het incasseren van vorderingen is echter een commer-

ciële bedrijfsactiviteit en behoort niet tot de ambtelijke taak-

uitoefening van de gerechtsdeurwaarder.

Het CBP adviseerde de minister een minder ingrijpende op-

lossing te kiezen waarmee al ervaring is opgedaan. In de regio

Kennemerland geven gedupeerde pomphouders kentekens van

doorrijders door aan de politie. Deze beschouwt dit als een aangifte

van een strafbaar feit en verstrekt in het kader van slachtofferhulp

(op grond van de zogenaamde Wet Terwee) naam en adres-

gegevens van de doorrijder aan de pomphouder. De pomphouder

kan met deze gegevens de doorrijder schriftelijk verzoeken te be-

talen. Pas als dit niet gebeurt, onderneemt de politie actie en stelt

een strafrechtelijk onderzoek in. De praktijk wijst uit dat de aan-

geschreven doorrijders in veel gevallen alsnog betalen. Dit advies is

niet opgevolgd door de minister van Verkeer en Waterstaat, omdat

de voorgestelde aanpak van benzinedieven volgens de minister in

lijn is met het kabinetsbeleid, zowel op het gebied van de gege-

vensvertrekking als de ontlasting van het justitiële apparaat.

Chipkaart voor het openbaar vervoerOp 1 januari 2006 zullen volgens plan de eerste ‘echte’ chipkaarten

voor het openbaar vervoer worden uitgereikt. Binnen een jaar dient

dan de strippenkaart verleden tijd te zijn. Waar vervoersbedrijven

nu niet op personen herleidbaar inzicht hebben in het reisgedrag

van sommige reizigers (sterabonnementen, trajectkaarten) biedt de

chipkaart in principe de mogelijkheid om in detail vast te leggen

wie, waar en wanneer van het openbaar vervoer gebruik maken.

Het CBP heeft de afgelopen jaren daarom meermalen overlegd met

TransLink, de aanbesteder van de chipkaart, over een infrastructuur

die rekening houdt met het privacybelang van miljoenen reizigers.

De infrastructuur die nu wordt gebouwd, lijkt inderdaad zo te

worden ingericht dat deze de bescherming van persoonsgegevens

voldoende ondersteunt. Vervoersbedrijven beslissen echter zelf of

en op welke wijze zij van deze mogelijkheden gebruik zullen maken.

TransLink heeft het CBP voor de concretisering van een en ander

handel en diensten


46 jaarverslag 2004

activiteiten

doorverwezen naar de vervoersorganisaties zelf. In 2004 heeft het

CBP de NS, veruit de grootste vervoerder, herhaalde malen verzocht

om overleg over het gebruik dat het bedrijf gaat maken van de per-

soonsgegevens waarover zij straks dankzij de chipkaart kunnen

beschikken. De wettelijke normen schrijven immers voor dat niet

meer gegevens worden verwerkt dan noodzakelijk is voor het

beoogde doel: het betalen voor het gebruik van het openbaar

vervoer. Anoniem reizen moet een reële mogelijkheid blijven. Ook

dienen de gegevens goed beveiligd te worden. Begin 2005 heeft

overleg met de NS plaatsgevonden.

Zwarte lijst hypotheekfraudeZwarte lijsten als hulpmiddel bij de bestrijding van fraude en

criminaliteit stonden ook in 2004 in de belangstelling. De WBP laat

ruimte voor het gerechtvaardigd belang dat bedrijven, organisaties

en instellingen kunnen hebben bij het gebruik van zwarte lijsten.

Zonder de juiste waarborgen voor de betrokkenen zijn zwarte lijsten

echter verboden.

De centrale vraag is hoe het belang van de organisatie zich

verhoudt tot de consequenties van plaatsing op de lijst voor een

individu. Aanbieders van hypothecaire financieringen wilden in

2004 een zwarte lijst om fraude met hypotheken terug te dringen.

Vermoeden van fraude zou voldoende zijn voor plaatsing op de lijst.

Het CBP oordeelde dat zo’n handelwijze in strijd was met de WBP.

Het plaatsen van betrokkenen op een breed toegankelijke lijst op

basis van niet meer dan vermoedens is ongeoorloofd, zeker nu een

dergelijke vermelding voor de betrokkene verstrekkende gevolgen

kan hebben. Deze zal immers niet meer of slechts onder verzwaarde

condities een hypotheek kunnen afsluiten. De branche heeft naar

aanleiding van deze uitspraak ervoor gekozen zich aan te sluiten bij

het reeds bestaande en door het CBP in 2002 goedgekeurde

Incidentenwaarschuwingssysteem financiële instellingen ■

Volkskrant, 04-05


47telecom

De in telecommunicatiesystemen beschikbare informatie wordt steeds meer gebruikt

voor het leveren van allerlei diensten en voor opsporingsdoeleinden. Doordat er

steeds meer partijen in telecomketens samenwerken, raken de verantwoordelijkheden

van telecommunicatieaanbieders, dienstenaanbieders en opsporingsinstanties meer

en meer verstrengeld. Dit leidt bovendien tot ingewikkelder toezichtarrangementen.

Het is daarom lastiger geworden vast te stellen welke wettelijke bepalingen op welke

van de betrokken partijen van toepassing zijn, en welke toezichthouders daarop

controle uitoefenen. Het CBP tracht hierop een antwoord te vinden door onder meer

afspraken te maken met andere toezichthouders en voorlichting te geven aan de

sector.

Telecom STEE

DS

MEE

RPA

RT

IJEN

INT

ELEC

OM

KET

ENS

WER

KEN

SAM

EN



NummeridentificatieMet een voorlichtingsprogramma beoogt het CBP helderheid te ver-

schaffen over de normering van belangrijke verwerkingen van per-

soonsgegevens in de telecommunicatiesector. Nummeridentificatie

vormde het eerste onderwerp. De schriftelijke consultatie van de

sector in het najaar van 2003 resulteerde mede dankzij de reacties

van de sector over interpretatie en toepassing van de bestaande

normering in een verduidelijking van de normen voor nummer-

identificatie. Het document Nummeridentificatie en de bescherming

van persoonsgegevens is gepubliceerd op de CBP-website en gaat

onder meer in op de toepasselijkheid van bepalingen rondom num-

meridentificatie voor verschillende diensten (ISDN, SMS, e-mail,

internettelefonie), de vraag wie de verantwoordelijke in de zin van

de WBP is, informatieverplichtingen en op de effectiviteit van

blokkeringen. De komende jaren zal het CBP ook andere onder-

werpen uitdiepen in directe samenspraak met belanghebbenden in

de sector.

Strafvordering in de telecommunicatie Op het raakvlak van strafvordering en telecommunicatie is de af-

gelopen tijd zeer veel weten regelgeving tot stand gekomen of

gewijzigd. Met het oog op de formulering van het (toezicht)beleid

zijn in 2004 eerst de opsporingsbevoegdheden op dit terrein geïn-

ventariseerd. Vervolgens is een beperkt aantal thema’s geselecteerd:

– de mogelijkheden en grenzen voor telecommunicatieaanbieders

om vrijwillig gegevens te bewaren en te verstrekken ten

behoeve van strafvordering;

– de verplichting om burgers die getapt zijn daarvan op de hoog-

te te stellen;

– de toenemende overlap van opsporingsbevoegdheden op tele-

communicatiegebied en het daarmee samenhangende risico

van oneigenlijk gebruik;

– de gevolgen van onrechtmatige verwerking van persoonsgege-

vens door telecommunicatieaanbieders voor hun mogelijkheden

om mee te werken aan strafvordering;

– de speciale positie van private (niet-openbare) telecommuni-

catienetwerken.

Over deze thema’s is in november 2004 een expertmeeting

gehouden waaraan deskundigen uit de telecommunicatiesector,

wetenschap en advocatuur deelnamen. De uitkomsten hiervan

vormen mede de basis voor het opstellen – in enkele gevallen

samen met Opta – van op de CBP-website te publiceren voor-

lichtingsteksten.

Spam Op 19 oktober 2004 hebben OPTA en CBP afspraken over samen-

werking ondertekend. De afspraken hebben betrekking op het

spamverbod, zoals dat sinds 19 mei 2004 in Nederland van kracht

is. Ongevraagde, in grote hoeveelheden verzonden e-mail, beter

bekend als spam, vormt een steeds groter maatschappelijk pro-

bleem. Spam is voor gebruikers hinderlijk en ongewenst, maar jaagt

Internet service providers – en daarmee hun klanten – op hoge

kosten door de enorme hoeveelheden spam die worden verzonden.

Volgens recente schattingen is wereldwijd inmiddels ongeveer drie-

kwart van alle verzonden e-mailberichten spam. Het internationale

karakter van spam en de niet zomaar te wijzigen communicatie-

protocollen die op internet gebruikt worden, maken het erg lastig

om spam tegen te gaan.

Samenwerking is daarom geboden. De beide toezichthouders

zullen elkaar informeren en bijstaan en beide colleges zullen zorg

dragen voor een consistente uitleg van begrippen uit de Wet

bescherming persoonsgegevens en de Telecommunicatiewet. Het

CBP zal zich primair richten op het toezicht op het verzamelen en

gebruiken van e-mailadressen. Mensen die last ondervinden van

ongevraagde commerciële e-mailtjes kunnen daarover klagen bij

OPTA via www.spamklacht.nl.

Samenwerking met OPTA De werkafspraken over spam vormden de opmaat voor de uit-

werking van een breder samenwerkingsprotocol tussen CBP en

OPTA. Deze samenwerking is ingegeven door het in werking treden

van een vernieuwde Telecommunicatiewet in 2004, ter implemen-

tatie van de Europese richtlijn 2002/58 betreffende privacy en

elektronische communicatie.

Hoofdstuk 11 van de Telecommunicatiewet gaat over de

bescherming van persoonsgegevens en de persoonlijke levenssfeer.

Behalve het verbod op spam zijn hierin onder andere geregeld:

nummeridentificatie, het gebruik van verkeers- en locatiegegevens,

het doorgeven van nummers ten behoeve van telefoontjes naar

alarmcentrales, het verbod op autodialers en spyware en de uit-

wisseling van persoonsgegevens voor telefoongidsen.

De regels voor de omgang met persoonsgegevens uit de Tele-

communicatiewet zijn niet uitputtend. Zij vormen een nadere uit-

werking van en soms een aanvulling op de normen uit de WBP.

OPTA ziet alleen toe op bepalingen uit de Telecommunicatiewet. De

bevoegdheid van het CBP is ruimer: zowel de WBP als de

Telecommunicatiewet als het om persoonsgegevens gaat. OPTA en

CBP achten het daarom wenselijk om ten aanzien van alle in hoofd-

stuk 11 van de Telecommunicatiewet genoemde onderwerpen

samen te gaan werken. Deze samenwerking zal worden vastgelegd

in een algemeen protocol, waarin ook de werkafspraken over spam

zullen worden opgenomen. Naar verwachting zal het samen-

werkingsprotocol in mei 2005 worden vastgesteld.

KPN informeert klanten over geheime nummerbeleid Koninklijke KPN NV (KPN) verkocht sinds geruime tijd de adresge-

gevens van abonnees met een geheim nummer aan anderen voor

direct marketing doeleinden. Het gezamenlijke onderzoek dat CBP

en OPTA in 2003 naar deze praktijk instelden, bracht aan het licht

dat KPN eerder klanten met een geheim nummer had toegezegd dit

niet te zullen doen. Na de verandering van het beleid zijn bestaande

klanten met een geheim nummer hierover niet geïnformeerd. In zijn

jaarverslag over 2003 sprak het CBP zijn teleurstelling uit over het

feit dat de kwestie zich begin 2004 nog voortsleepte, terwijl het in

de kern gaat om een wettelijke plicht van KPN om klanten actief te

informeren over hun wettelijke rechten.

Inmiddels heeft KPN door het actief toezenden van een bij-

sluiter aan abonnees met een geheim nummer en het aanpassen

van de privacybrochure voldaan aan de door het CBP gestelde

eisen. Met een bijsluiter bij de telefoonrekening heeft KPN de

bestaande klanten met een geheim nummer geïnformeerd en

gewezen op de mogelijkheid hiertegen verzet aan te tekenen. De

privacybrochure Hoe gaat KPN om met uw persoonsgegevens? is

eveneens aangepast. Alle nieuwe klanten van KPN en alle abonnees

die veranderen van een gidsen nummerinformatievermelding naar

een geheim nummer, zullen deze brochure ontvangen. Alle bestaan-

activiteiten


49telecom

telecomde en nieuwe abonnees van KPN zijn of worden zo geïnformeerd

over wat KPN met hun adresgegevens doet en hoe zij eventueel

kunnen voorkomen dat deze voor direct marketing worden

gebruikt.

Websites en privacyMet regelmaat krijgt het CBP vragen over internet en privacy. De

meeste daarvan gaan over de publicatie van persoonsgegevens op

websites:

– het plaatsen van gegevens op internet door werkgevers,

scholen, en verenigingen;

– registers, lijsten en gidsen op internet;

– foto’s op internet;

– genealogische informatie op internet.

Daarnaast is een aantal fundamentele vraagstukken nog niet

voldoende doordacht. Eind 2003 heeft het Europese Hof van Justitie

zich in het Lindqvist-arrest de Privacyrichtlijn 95/46/EG ook van

toepassing verklaard op internet. Bovendien bepaalde het hof dat

het publiceren van persoonsgegevens op internet niet zonder meer

neerkomt op het verstrekken van gegevens aan een land buiten de

EU.

Het CBP heeft in 2004 besloten om meer aandacht te geven

aan vraagstukken rondom de bescherming van persoonsgegevens

op internet. De focus zal daarbij in eerste instantie liggen op

publicatie van persoonsgegevens op websites. In 2004 is een eerste

aanzet geleverd door te kijken naar de vraag wanneer uitingen op

internet te beschouwen zijn als verwerkingen voor journalistieke

doeleinden; op zulke verwerkingen is de WBP weliswaar van toe-

passing, maar slechts in beperkte mate, wat onder meer inhoudt dat

het CBP er geen toezicht op houdt. Doel van het project is om in

2005 duidelijkheid te bieden over twee vragen: in welke gevallen en

in welke mate het CBP bevoegd is, en of het CBP dan als toezicht-

houder kan en wil optreden. Daarnaast zullen vuistregels worden

opgesteld voor de onderwerpen waarover het CBP veel vragen

ontvangt ■

Volkskrant, 04-05


50 jaarverslag 2004

Technologische ontwikkelingen zijn van grote invloed op de omgang met

persoonsgegevens en daarmee op de eerbiediging van de persoonlijke levenssfeer.

Het toenemende gebruik van internet, locatiegebonden telecommunicatiediensten,

elektronische bewaking van auteursrechten (Digital Rights Management) en

mogelijkheden voor identificatie op afstand van personen bieden tal van voordelen

voor bedrijven en consumenten, overheden en burgers. Deze ontwikkelingen roepen

evenzeer de vraag op naar de mate waarin de persoonlijke levenssfeer om wille van

die voordelen dreigt te worden aangetast. Tegelijkertijd biedt privacytechnologie

mogelijkheden om persoonsgegevens beter te beschermen.

TechnologieTEC

HN

OLO

GIE

ISV

AN

GR

OT

EIN

VLO

EDO

PD

EO

MG

AN

GM

ETP

ERSO

ON

SGEG

EVEN

S

51

technologie

technologie


Standaardisatie: ISO Privacy FrameworkStandaardisatie van privacytechnologieën speelt een belangrijke rol

bij het bevorderen van deze technologieën. Het CBP is daarom

voorstander van het ontwikkelen van wereldwijde standaards en

specificaties die betrekking hebben op de bescherming van per-

soonsgegevens. De bescherming van persoonsgegevens is echter

niet gebaat bij standaardisering die tot stand is gekomen zonder

voldoende betrokkenheid van (Europese) privacytoezichthouders.

Onder verantwoordelijkheid van de Internationale Organisatie voor

Standaardisatie (ISO) is in 2004 een voorstel gedaan voor een

wereldwijde privacystandaard en standaardisatie van privacytechno-

logieën, het Privacy Framework uit de ‘Draft International Standard

ISO/IEC 20886’.

Vanwege de onvolkomenheid hiervan riep de Internationale

werkgroep voor gegevensbescherming en telecommunicatie

(IWGDPT), waarvan het CBP deel uitmaakt, in 2004 alle nationale

privacytoezichthouders op bij de nationale standaardisatie- en nor-

malisatieorganisaties aan te dringen op een Framework dat in over-

eenstemming is met geldende privacywet- en regelgeving. Het CBP

heeft vervolgens bij het Nederlands Normalisatie-instituut (NEN)

aangedrongen op zorgvuldige bespreking van het Privacy

Framework en gewezen op de noodzaak van overleg en afstemming

voordat er op korte termijn mee ingestemd wordt. In september

2004 tijdens de internationale privacyconferentie in Wroclaw heb-

ben de toezichthouders zich uitgesproken tegen het voorstel. Eind

2004 is het voorstel teruggetrokken, nadat ISSEA en ISTPA, interna-

tionale associaties voor standaardisatie, hadden vastgesteld dat het

voorstel binnen ISO en de privacywereld controversieel was.

RFID: Radio Frequency Identification In 2004 heeft het CBP zich vooral gericht op het leveren van bijdra-

gen aan het reglementeren van het intensiever gebruik van Radio

Frequency Identification (RFID). Dit is een technologie waarmee

allerhande voorwerpen (van voertuigen, dieren en consumenten-

goederen tot bankbiljetten, paspoorten of toegangspasjes) voorzien

kunnen worden van kleine, uitleesbare zogenaamde tags (compu-

terchips). Wat de chip aan informatie geeft over het voorwerp en

wat de opvrager van de informatie (een RFID-lezer met bijbehorend

informatiesysteem) vervolgens met die gegevens kan doen, hangt er

van af.

De technologie maakt het in ieder geval mogelijk voorwerpen

per stuk op een goedkope wijze te voorzien van een uniek, gestan-

daardiseerd individueel nummer dat moeiteloos en vrijelijk uitgele-

zen kan worden. Dit kan enorme voordelen opleveren in logistieke

processen. Of een pallet, bijvoorbeeld, nog steeds alle artikelen

bevat die de verzender er op heeft geplaatst, kan automatisch door

de ontvanger bepaald worden. De technologie kan ook gebruikt

worden voor verbeterde toegangscontrole en het garanderen van

de herkomst van bijvoorbeeld medicijnen, geld of paspoorten.

Grootschalige toepassingen liggen in het verschiet omdat miniaturi-

sering en standaardisering de technische en economische belemme-

ringen voor een brede inzet van RFID zullen wegnemen. Allerlei

consumententoepassingen zijn denkbaar, waarvan sommige ook een

potentiële bedreiging van de privacy van de burger vormen. Als

bedrijven en andere organisaties ongemerkt informatie kunnen ver-

zamelen over voorwerpen die in verband kunnen worden gebracht

met een persoon, kan dat de weg openen naar grootschalige profi-

lering, ongelijke behandeling of naar het monitoren van individuen

en hun gedrag.

Alhoewel gebruik van RFID-technologie al gangbaar is voor toe-

gangscontrole en in de logistieke keten, zal het nog enige tijd duren

voordat het merendeel van de consumentenartikelen per item voor-

zien is van een tag waarin een unieke code is opgeslagen. Er lijkt

dus nog voldoende tijd te zijn om te onderzoeken of technische

aanvullingen ontwikkeld kunnen worden waarmee de voordelen van

de technologie behouden blijven, terwijl de nadelen kunnen worden

voorkomen of beperkt.

De ontwikkelingen gaan echter snel. Met het oog hierop heeft

het CBP in 2004 bijgedragen aan een nadere interpretatie van de

privacyregels bij toepassing van RFID. Het CBP neemt deel aan de

RFID-werkgroep van ECP.NL die onderzoekt in welke mate er nade-

re afspraken nodig zijn om het gebruik van RFID-tags in goede

banen te leiden. Resultaten van de werkgroep kunnen een aanzet

vormen voor zelfregulering in sectoren die gebruik willen maken

van de technologie. Het CBP heeft ook bijgedragen aan rapportages

in opdracht van de Artikel 29-werkgroep, het samenwerkings-

verband van de privacytoezichthouders in de EU-lidstaten. Daarbij

zijn ook voorstellen gedaan voor technische privacywaarborgen. De

rapportages zijn een richtsnoer voor verantwoorde toepassing van

RFID.

BiometrieDe toenemende behoefte aan identificatiemogelijkheden heeft ook

gezorgd voor een groeiende interesse voor biometrische applicaties.

Op de plannen voor één visa-informatiesysteem voor de hele

Europese Unie met gebruik van biometrische gegevens heeft de

Artikel 29-werkgroep in augustus 2004 gereageerd met Opinie

7/2004. De werkgroep wijst erop dat de verwerking van bio-

metrische gegevens steeds een zeer nauwkeurige rechtmatigheids-

analyse vereist omdat de gevaren van misbruik van deze gegevens

groot zijn. Er zijn verder grote reserves bij oplossingen die leiden tot

een routinematige en grootschalige opslag van biometrische gege-

vens. De werkgroep geeft nadrukkelijk aan betrokken te willen zijn

bij de verdere vormgeving van het visa-informatiesysteem.

Ook heeft het CBP bijgedragen aan het rapport over biometrie

van de adviescommissie T-PD bij de Raad van Europa. Het Verdrag

tot bescherming van personen met betrekking tot de geauto-

matiseerde verwerking van persoonsgegevens – in 1981 tot stand

gekomen in de Raad van Europa – was het eerste bindende inter-

nationale instrument op het gebied van gegevensbescherming. In

het rapport van de adviescommissie worden behalve de implicaties

van de verdragsprincipes voor biometrische toepassingen, ook de

sterke en zwakke kanten van biometrie behandeld. Ook worden cri-

teria voor het ontwerpen van de architectuur van biometrische

systemen geformuleerd. Het rapport onderstreept het belang van

maatregelen voor beveiliging en beheer alsook van dataminima-

lisatie en van maatregelen die doelbinding bevorderen. Voor burgers

is vooral van belang dat zij worden geïnformeerd opdat zij even-

tueel hun rechten kunnen uitoefenen.

Het CBP heeft overigens al in 1999, in de studie At face value,

aanbevelingen gedaan voor een goede omgang met biometrische

gegevens. Daarbij is er in het bijzonder op gewezen dat zowel

opslag van de data als verificatieprocessen gedecentraliseerd plaats

zouden moeten vinden ■


52 jaarverslag 2004

InternationaalOp de Voorjaarsconferentie van Europese privacytoezichthouders in Rotterdam,

georganiseerd door het CBP, werd onder de titel ‘the navigation of privacy’ een leven-

dige discussie gevoerd over het meest geschikte toezichtarrangement voor de

bescherming van de persoonlijke levenssfeer. Hoe kan de bescherming van privacy zo

goed mogelijk gewaarborgd worden in een veranderende samenleving en welke rollen

spelen toezichthouders daarbij? Het tweede thema was het toegenomen belang van

bescherming van persoonsgegevens in de sfeer van de Europese samenwerking door

politie en justitie.

De conferentie werd op donderdag 22 april officieel geopend door de minister van

Justitie, J.P.H. Donner. In zijn speech riep de minister op tot verdere samenwerking

bij het toezicht op de rechtshandhaving in Europa binnen de zogenaamde derde

pijler, het beleidsterrein van justitie en binnenlandse zaken. Door het ontbreken van

een geharmoniseerd stelsel van wetten en regels op dit terrein en het bestaan van

verschillende toezichthoudende autoriteiten, is het essentieel dat er goed wordt

samengewerkt. Besloten werd een planninggroep in te stellen bestaande uit de

voorzitters van de diverse internationale toezichthouders om deze samenwerking te

starten.

RO

TT

ERD

AM

VO

RM

DE

HET

TO

NEE

LV

OO

RD

EV

OO

RJA

AR

SCO

NFE

REN

TIE

20

04

53

internationaal

internationaal


In een speciaal programma voorafgaand aan de voorjaars-

conferentie brachten de Europese privacytoezichthouders een

bezoek aan Europol. Bij Europol stond het spanningsveld tussen de

opsporing van georganiseerde misdaad en de bescherming van pri-

vacy centraal. Na afloop van de conferentie was een werkbezoek

georganiseerd in samenwerking met het project Veilig Rotterdam.

Wroclaw: gegevensbescherming in de derde pijlerOp de voorjaarsconferentie in Rotterdam is ook besloten tot het

creëren van een platform voor discussie, dat immers voor de derde

pijler ontbreekt. Tijdens de internationale najaarsconferentie van

privacytoezichthouders in september 2004 in Wroclaw (Polen) heb-

ben de toezichthouders van de Europese lidstaten de Europese Raad

en de Europese Commissie opgeroepen tot de vorming van een

adviesorgaan op het terrein van de samenwerking van politie en

justitie in Europa. De versterking van justitiële en politiële samen-

werking maakt het noodzakelijk deze advisering te verankeren in de

structuur van de derde pijler.

Het CBP heeft de resolutie vervolgens onder de aandacht

gebracht van de Europese Commissie, het Europese Parlement en

tevens -in het kader van het Nederlandse voorzitterschap van de

Europese Unie- van de Nederlandse ministers van Justitie en van

Binnenlandse Zaken en Koninkrijksrelaties. De Europese privacy-

toezichthouders hebben inmiddels hun samenwerking bij advisering

en toezicht op het terrein van politie en justitie geïntensiveerd.

Toezichthouders in de derde pijlerDe nationale toezichthouders in de Europese Unie hebben een

gezamenlijke verantwoordelijkheid voor het toezicht op de instel-

lingen waarin de nationale politie- en justitieautoriteiten samen-

werken in Europa (o.a. Europol en Schengen). Dit toezicht wordt

uitgeoefend door de zogenaamde Gemeenschappelijke Controle-

autoriteiten en -organen (GCA’s). Gezien het belang van een

krachtiger advisering in de derde pijler zijn de toezichthoudende

organen voor Schengen, Europol, Douane en Eurojust in 2004 voor

het eerst gezamenlijk bijeengekomen. Het betrof onder meer het

opstellen van een gezamenlijke opinie op verzoek van het Britse

Hogerhuis. De opinie gaat in op onderzoeksvragen van een House

of Lords-commissie over terrorismebestrijding in de Europese Unie

en de bescherming van de persoonlijke levenssfeer.

De GCA’s pleiten voor verbetering van de bescherming van de

fundamentele rechten van het individu ten aanzien van zijn per-

soonsgegevens en van het toezicht daarop. De bestaande inter-

nationale weten regelgeving is daarvoor niet voldoende. Gelet op

de toenemende schaalvergroting van de gegevensverwerkingen,

waarin vaak gegevens van onverdachte personen worden

opgenomen, is er behoefte aan nieuwe specifieke regels voor de

politiesector die een voldoende bescherming garanderen.

Ontwikkeling nieuw SchengenInformatiesysteemHet CBP levert sinds januari 2004 de voorzitter van de GCA

Schengen. Tijdens het voorzitterschap van Nederland van de

Europese Unie in de tweede helft van 2004 heeft het CBP bij het

kabinet aangedrongen op politieke en juridische besluitvorming over

het Schengen Informatiesysteem. Dat systeem is bedoeld om de

controle aan de buitengrenzen van de EU te versterken. Onder

meer de toetreding van nieuwe lidstaten tot de Europese Unie

maakt vernieuwing van dat systeem nodig. Ook kunnen in het

systeem geen biometrische kenmerken worden opgenomen. In

september 2004 heeft de GCA Schengen een opinie uitgebracht

over de ontwikkeling van het nieuwe Schengen Informatiesysteem

(SIS II).

De GCA vraagt met nadruk aandacht voor de bescherming van

persoonsgegevens bij het ontwerpen van SIS II en roept de

Europese Raad op meer duidelijkheid te geven over het doel en de

functies van het te bouwen systeem. Alleen dan kan er ook worden

voorzien in een toereikend stelsel van waarborgen voor de verwer-

king van persoonsgegevens.

Onderzoek in het Schengen InformatiesysteemIn 2004 heeft de GCA Schengen aan de nationale controle-

autoriteiten van de lidstaten die aangesloten zijn op het SIS, ver-

zocht een onderzoek in te stellen naar de werking van artikel 96

van de Schengen Uitvoeringsovereenkomst. Dat artikel bepaalt

onder welke voorwaarden vreemdelingen in het SIS kunnen worden

gesignaleerd.

Het Korps Landelijke Politiediensten en de Immigratie- en

Naturalisatiedienst – gezamenlijk de nationale verantwoordelijke

voor het Schengen Informatiesysteem – zijn door het CBP als natio-

nale controleautoriteit voor Nederland verzocht hun medewerking

te verlenen aan het onderzoek. Het CBP heeft eind juni 2004 en

eind december 2004 gerapporteerd aan de GCA Schengen. Ten

aanzien van een aantal signaleringen zijn bij het CBP vragen gere-

zen. Het CBP zal die signaleringen nader onderzoeken.

Verkeersgegevens telecommunicatieDe al jaren in Europa spelende discussie over een bewaarplicht voor

verkeersgegevens ten behoeve van de opsporing, kreeg een nieuwe

wending door de terroristische aanslagen in Madrid. Naar aanleiding

hiervan nam de Europese Raad op 25 maart 2004 de Verklaring

betreffende de bestrijding van terrorisme aan. Daarin werd op-

geroepen om voorstellen te doen voor het komen tot een bewaar-

plicht voor verkeersgegevens door telecommunicatieaanbieders.

Een voorstel van vier EU-lidstaten was vervolgens aanleiding voor

een consultatiedocument van de Europese Commissie.

Het CBP heeft hierop gereageerd en leverde een substantiële

bijdrage aan een advies van de Artikel 29-werkgroep over de

bewaarplicht, dat ook werd aangeboden aan de betrokken vaste

commissies van de Eerste en Tweede Kamer. Voortbouwend op eer-

dere opinies sinds de jaren ’90 en uitspraken van het Europese Hof

van Justitie was de werkgroep van oordeel dat de voorstellen voor

een bewaarplicht voor alle verkeersgegevens niet voldoen aan de

vereisten van artikel 8 van het Europees Verdrag voor de Rechten

van de Mens (EVRM): voor het langdurig bewaren van alle ver-

keersgegevens van onverdachte personen is geen noodzaak aan-

getoond. Een dergelijke systematische opslag is disproportioneel.

PassagiersgegevensDe uitkomst van de onderhandelingen tussen de Europese

Commissie en de Verenigde Staten over de verstrekking van pas-

sagiersgegevens aan de VS bleef naar het oordeel van de Artikel

29-werkgroep op een aantal punten onder de maat. De werkgroep

54

Jaarverslag 2001 - in vogelvluchtactiviteiten

jaarverslag 2004


reageerde in haar Opinie 2/2004 op een verzoek van de Europese

Commissie om beoordeling van het bereikte compromis met de

Verenigde Staten. Desondanks heeft de Europese Commissie een

positieve beslissing genomen over het beschermingsniveau in de VS.

Het Europese Parlement bracht de kwestie voor het Europese Hof.

De Europese Commissie is van mening dat er voldoende juridi-

sche basis bestaat voor doorgifte van passagiersgegevens naar de

Verenigde Staten en acht het niveau van bescherming daar vol-

doende. Ondanks de geboekte vooruitgang in de onderhandelingen

– bijvoorbeeld het terugdringen van de bewaartermijn tot 3,5 jaar –

was de Artikel 29-werkgroep van oordeel dat de voorgestelde rege-

ling nog onvoldoende in lijn is met de Europese normen. Daarbij

stelt de werkgroep dat de bilaterale overeenkomst die de toegang

regelt van de Amerikaanse autoriteiten tot de reserveringssystemen

van de luchtvaartmaatschappijen, in overeenstemming zal moeten

zijn met artikel 8 EVRM en artikel 13 van de Europese privacyricht-

lijn.

De Artikel 29-werkgroep heeft zich vervolgens geconcentreerd

op een goede implementatie van de genomen besluiten. Daartoe

werd een model gemaakt voor de informatievoorziening aan passa-

giers. Met de luchtvaartmaatschappijen is overleg gevoerd over de

informatievoorziening aan passagiers. Ook heeft de werkgroep aan-

gedrongen op een zo spoedig mogelijke overgang van pull naar

push, dat wil zeggen van het openstellen van de reserverings-

systemen voor de Amerikaanse autoriteiten zodat deze de benodig-

de gegevens kunnen verzamelen, naar de actieve aanlevering van

de noodzakelijke gegevens door de maatschappijen zelf.

BCR: doorgifte van gegevens binnen multi-nationalsDe evaluatie van de Europese privacyrichtlijn 95/46/EG door de

Europese Commissie in 2003 heeft geresulteerd in een werkpro-

gramma ter verdere verbetering van de geharmoniseerde implemen-

tatie van de richtlijn. Hierin speelt de Artikel 29-werkgroep een cen-

trale rol. Een belangrijk onderdeel daarvan is een vereenvoudiging

van de regels voor doorgifte van persoonsgegevens naar landen

buiten Europa, met name voor multinationale bedrijven. Hiertoe

heeft het CBP in 2004 samen met andere toezichthouders gewerkt

aan de introductie van zogenaamde Binding Corporate Rules

(BCRs), bindende gedragscodes voor de omgang met persoonsge-

gevens binnen multinationale concerns.

Op 24 november 2004 organiseerde het CBP namens de werk-

groep hierover in Den Haag een publieke hoorzitting. Enkele multi-

nationals hadden BCRs opgesteld na het verschijnen van de opinie

van de Artikel 29-werkgroep in juni 2003. Tijdens de hoorzitting

werden de ervaringen van deze bedrijven besproken en werden best

practices uitgewisseld. Ook werd in kaart gebracht wat noodzakelijk

is om BCRs tot een Europees succes te maken.

Het bedrijfsleven gaf aan dat er vooral behoefte is aan een

eenvoudige, snelle en duidelijke procedure om in de verschillende

landen van de Europese Unie goedkeuring te krijgen van BCRs. Op

grond van één BCR zouden dan vanuit de hele EU gegevens kun-

nen worden doorgeven naar ‘derde landen’. In Nederland is de

goedkeuring van enkele BCRs in de afrondingsfase. De Artikel 29-

werkgroep werkt aan een samenwerkingsprocedure voor de behan-

deling van BCRs en heeft inmiddels een checklist opgesteld voor

bedrijven in de EU die BCRs willen opstellen. BCRs mogen geen

papieren tijger zijn, maar dienen te leiden tot een praktische, daad-

werkelijke naleving van regels voor de bescherming van persoons-

gegevens in de organisatie.

Bij de hoorzitting waren 30 vertegenwoordigers van het

bedrijfsleven aanwezig, evenals een consumentenorganisatie. De

Artikel 29-werkgroep komt met deze eerste publieke hoorzitting

ook tegemoet aan het verzoek om meer openheid, transparantie en

dialoog over de activiteiten van de werkgroep. De hoorzitting werd

afgesloten met het uitspreken van de verwachting dat in 2005 ver-

schillende nationale toezichthouders gezamenlijk met een aantal

BCRs kunnen instemmen.

Melding en gezamenlijke handhavingDe Artkel 29-werkgroep streeft ook naar een vereenvoudiging van

de meldingen van verwerkingen van persoonsgegevens bij de natio-

nale toezichthouders. De werkgroep heeft een document opgesteld

waarin de nationale best practices staan ten aanzien van de mel-

ding, de vrijstelling van melding en het interne toezicht door een

functionaris voor de gegevensbescherming. Verder bevat het aanbe-

velingen voor een goed en eenvoudig nationaal meldingssysteem en

een eerste aanzet voor een vereenvoudigd systeem van melding

voor bedrijven met meerdere vestigingen in de EU. Deze voorstellen

worden in 2005 verder uitgewerkt.

De werkgroep ziet ook de noodzaak van handhaving als onder-

deel van het toezichtarrangement. In 2004 zijn in de Complaints

workshop best practices op het gebied van handhaving besproken.

De Artikel 29-werkgroep kondigde publiekelijk aan dat in 2005 de

terreinen zullen worden geïnventariseerd die geschikt zijn voor een

gecoördineerde en gezamenlijke onderzoeks- en handhavingsactie.

Spam De Artikel 29-werkgroep heeft ook een opinie aangenomen over

het verbod in de Richtlijn Elektronische Communicatie (2002/58) op

het versturen van ongevraagde commerciële berichten. De Europese

toezichthouders op dit verbod werken samen in het zogenaamde

Contact Network of Spam Authorities, een forum voor informatie-

uitwisseling en faciliteren van samenwerking bij handhaving van het

spamverbod in de EU. Hiertoe is ook een samenwerkings-

overeenkomst opgesteld. (Zie voor meer informatie over spam en

nationale samenwerking bij het tegengaan van spam p. 48.)

BiometrieVoornemens om te komen tot een EU-breed visa-informatiesysteem

hebben er toe geleid dat de Artikel 29-werkgroep in augustus 2004

de opinie 7/2004 heeft geformuleerd over de aandachtspunten die

gelden rond de opname van biometrische elementen in verblijfsver-

gunningen en visa. In die opinie wordt gewezen op het gevaar van

misbruik van biometrische gegevens. Ook de adviescommissie bij de

Raad van Europa voor kwesties rond de bescherming van persoons-

gegevens (bekend als T-PD) heeft een opinie geformuleerd over de

betekenis van de principes voor de bescherming van data voor

toepassing van biometrie. (Zie voor meer informatie p. 51.) ■

55

internationaal

interationaal


Volkskrant, 04-05

56 jaarverslag 2004


Met de benoeming van Jacob Kohnstamm per augustus 2004 tot voorzitter van

het CBP is een nieuwe periode voor het CBP aangebroken. De benoeming valt

samen met een natuurlijk moment – drie jaar na de invoering van de WBP en

met een evaluatie in 2006 in het verschiet – voor reflexie op de werking van

de wet en de koers van de toezichthouder.

De nieuwe voorzitter heeft tijdens zijn inwerkperiode de tijd genomen om

met velen binnen en buiten de organisatie van gedachten te wisselen over de

rol en taak van het CBP. De organisatie is een spiegel voorgehouden over het

eigen functioneren. Bezinning op de rol en taakopvatting van het college, het

ambtelijk secretariaat en de onderlinge werkwijze is inmiddels uitgangspunt

voor aanpassingen die in 2005 verder vorm zullen krijgen.

Organisatie


57organisatie

Het CBP blijft daardoor welbewust een organisatie in verandering. College en directeurrealiseren zich terdege dat dit voor de medewerkers niet alleen een uitdaging maar ookeen verhoging van de belasting betekent. Het HRM-beleid houdt daarom de volle aan-dacht van de diverse verantwoordelijken De kwaliteit van het CBP is immers in hogemate afhankelijk van inzet en kwaliteit van de medewerkers.

Personeel en formatie

In 2004 is de nieuwe afdeling onderzoek van start gegaan en zijn de functieprofielengeactualiseerd en afgerond. Hiermee is de in het formatieplan 2003 ‘In beweging voortoezicht en handhaving’ gepresenteerde structuur ingevoerd. Het aantal beoogde for-matieplaatsen is echter vanwege het beschikbare meerjarige budget niet haalbaar gebleken. Bovendien is in 2004 omwille van een zorgvuldige opbouw en aanpassing vande organisatie de personele ontwikkeling en de uitbreiding met fte’s vertraagd.Daardoor is niet volledig gebruik gemaakt van de beschikbare financiële ruimte.

2002 2003 2004

m v m v m v

In dienst 6 9 5 6 2 3

Uit dienst 5 2 2 0 2 1

Bezetting einde jaar m / v 23 37 26 43 26 45

Bezetting einde jaar totaal 60 69 71

Mobiliteit 23% 3% 4%

In tijdelijke dienst 11 5 6 5 3

Fulltime in dienst 49 21 37 21 42

Gemiddelde bezetting (fte’s) 49,6 57,9 63,3

Bezetting einde jaar totaal (fte’s) 54,3 61,6 64,9

FORMATIE 2002-2004

2002 2003 2004

Fte’s Fte’s Fte’s

Uitzendkrachten 1,25 0,60 0,12

Stagiaires 0,75 0,80 1,80

OVERZICHT MEDEWERKERS BUITEN FORMATIE 2002-2004


58

2001 2002 2003 2004 progn.*

Wetgevingsadviezen 43 26 25 34 30

Gedragscodes 1 5 3 5 10Reglement WPR (tot 1 sept 2001) en WpolR 50 40 30 23 25

WBP-meldingen vanaf 1 sept 2001 591 7.863 13.083 4.028 8.000

Voorafgaand onderzoek 12 190 257 174 200Voorlichtingsverzoeken 1.204 686 725 821 550Internationale zaken 13 33 46 66 40Bijzondere gegevens 0 0 1 3 2

Gegevensverkeer derde landen 0 10 12 21 30

Bemiddeling en klachten 290 282 316 409 300

Ambtshalve onderzoek 24 11 73 56 70

Boete n.v.t. 0 3 35 25

Dwangsom n.v.t 0 1 3 5

Bestuursdwang n.v.t. 1 0 1 1

Beroep n.v.t. 1 2 2 4

Bezwaar 0 4 2 19 8

Wet openbaarheid bestuur 0 19 0 11 4

Publieksvoorlichting (telefonisch spreekuur) 4.979 5.715 5.330 3.426 5.000

Vragen WBP-melding (telefonisch spreekuur) 0 2.500 2.070 1.440 1.500

Publieksvoorlichting (via e-mail) 291 1.890 2.045 1.957 2.000

Klachten over het CBP 0 9 5 6 10

OVERZICHT VAN DE PRODUCTIE 2001–2004

* De prognose 2004 is opgenomen in het bestedingsplan 2004 en de meerjarenraming 2005-2008.

jaarverslag 2004

Ziekteverzuim

Het ziekteverzuim is in 2004 opnieuw iets toegenomen. In het Sociaal-Medisch-Teamwordt periodiek afgestemd met de bedrijfsarts en de personeelsfunctionaris en zonodiggezocht naar passende oplossingen. Een aandachtspunt blijft de werkdruk en de werk-drukbeleving. De koers die het CBP hier kiest, is een duidelijker prioritering en een verscherpt selectiebeleid op basis van beleidsregels als het gaat om verzoeken om advi-sering, klachtbehandeling en bemiddeling.

2002 2003 2004

Totaal ziekteverzuim excl. zwangerschap 6,27% 6,35% 6,5%

Waarvan langdurig verzuim 0 2,74% 0

Ouderschapsverlof 3 3 4

Verlof zwangerschap/bevalling 0 2 3

Kinderopvangplaatsen 4 4 8

Opleiding (euro’s x 1000) 99 84 145

Opleiding in % t.o.v. personele budget 3,47% 2,53% 4,00%

ZIEKTEVERZUIM EN OVERIGE PERSONELE INFORMATIE 2002–2004

Productie

Door de arbeidsintensieve produktie van zaken en ondanks de tweedelijnspositie is dewerkdruk onaanvaardbaar hoog opgelopen.


59organisatie

Voorlichting, bemiddeling en klachtbehandeling

Om de capaciteit die voor voorlichting, bemiddeling en klachtbehandeling wordt ingezette beheersen, wordt nadrukkelijk beleid gevoerd op het in behandeling nemen van der-gelijke verzoeken. De positionering van het CBP als tweedelijnsorganisatie komt ondermeer tot uitdrukking door een selectiebeleid ten aanzien van verzoeken van individueleorganisaties en individuele burgers. De criteria voor het selectiebeleid zijn vastgelegd inDe uitgangspunten en beleidsregels werkwijze CBP, gepubliceerd in de Staatscourant(Staatscourant nr. 190, van 4 oktober 2004) en op de website van het CBP. Een belangrijkcriterium is of het onderwerp waarover specifieke voorlichting wordt gevraagd in hetjaarplan prioriteit heeft. Indien een verzoek niet aan de criteria voldoet voor specifiekebeantwoording, wordt het verzoek met redenen omkleed als niet-opportuun afgewezenof door het frontoffice beantwoord met behulp van algemene informatie.

Ambtshalve onderzoek

Het aantal onderzoeken dat het CBP heeft kunnen instellen, is achtergebleven bij degewenste verwachtingen. Door de toename van de wetgevingsadvisering, de verzoekenom voorlichting, en de verzoeken om bemiddeling en klachtbehandeling, is het aantalnoodzakelijk geachte onderzoeken niet gehaald.

Toelichting op de productie

Wetgevingsadvies

Het aantal wetgevingsadviezen, een arbeidsintensief proces, is hoger dan verwacht. Hetbetreft vooral nieuwe wetsvoorstellen in het kader van veiligheid en terrorisme-bestrijding en de wijzigingen in het zorgstelsel.

WBP-meldingen

Het aantal nieuwe WBP-meldingen is lager dan verwacht. Dit kan enerzijds betekenendat de inhaalslag, nodig vanwege de invoering van de WBP, is voltooid. Anderzijds kanhet zijn dat de meldingsverplichting in bepaalde sectoren minder goed wordt nageleefd.Het CBP kiest op basis van een inschatting van de grootste nalevingrisico’s sectoren uitwaarbinnen steekproefsgewijs verantwoordelijken worden geselecteerd voor een na-levingonderzoek (zie onderdeel ambtshalve onderzoek en boete).

Wijze van melden 2002 2003 2004

Meldingsformulier 19% 24% 23%

Meldingsprogramma op diskette 47% 30% 25%

Meldingsprogramma via internet/email 33% 47% 52%

WIJZE VAN MELDEN ONDER MELDINGSBESLUIT WBP 2002–2004

2002 2003 2004

Meldingen WBP in openbaar register 8.454 21.537 25.565

Aangest. functionarissen voor de gegevensbesch. 97 148 170

Ingezonden gem. GBA-regelingen (WBP-aanpassing) 208 350 481

MELDINGEN WBP/FUNCTIONARISSEN/GBA-REGELINGEN 2002–2004

60 jaarverslag 2004


Taken van het CBP

• WetgevingsadviezenOp grond van artikel 51, tweede lid WBP dient het CBP om

advies te worden gevraagd over voorstellen van wet en

ontwerpen van algemene maatregelen van bestuur die geheel

of in belangrijke mate betrekking hebben op de verwerking van

persoonsgegevens. Dit vloeit direct voort uit Richtlijn 95/46/EG

en heeft ook betrekking op voorstellen die belangrijke

gevolgen hebben voor de verwerking van persoonsgegevens.

De uitvoering van deze adviestaak valt onder de bepalingen

van de Kaderwet adviescolleges (Stb. 1996, 378). Dat neemt

niet weg dat het CBP zich ook als toezichthouder kan wenden

tot de regering, al dan niet onder toezending van een kopie

aan een of beide Kamers van de Staten-Generaal. Ook maakt

het CBP wel gebruik van de mogelijkheid om te reageren op bij

de Tweede Kamer ingediende wetsvoorstellen. Ten slotte komt

het regelmatig voor dat vaste commissies uit de Tweede of

de Eerste Kamer het CBP uitnodigen om te reageren op aan-

hangige voorstellen.

• GedragscodesOp grond van artikel 25 WBP is het CBP belast met de toetsing

van gedragscodes die uitvoering geven aan de wettelijke

bepalingen. In de WBP is dit een belangrijk instrument om zelf-

regulering te stimuleren en de kwaliteit daarvan te waarborgen.

De goedkeuring van een gedragscode is meestal de afsluiting

van een intensief gezamenlijk traject, waarin bewustwording en

normering in een sector hand in hand gaan. In 2002 heeft het

CBP daartoe een handleiding ontwikkeld. De WBP voorziet

tevens in de mogelijkheid van bezwaar en beroep op de

bestuursrechter.

• ReglementenDe WBP voorziet, anders dan de WPR, niet meer in de

verplichting om voor bepaalde verwerkingen van persoons-

gegevens een reglement op te stellen. De opstelling van een

reglement kan echter wel een goed middel zijn om de

gegevensverwerking binnen organisaties te sturen of trans-

parant te maken. Verzoeken om zulke reglementen te toetsen,

neemt het CBP in principe slechts in behandeling als daarvoor

een bijzondere reden bestaat.

Ingevolge de Wet politieregisters zijn reglementen in bepaalde

gevallen onderworpen aan een toetsing vooraf in het kader

van een hoorprocedure. Tezamen met de portefeuillehouder

privacy van de politie vanuit de Raad van hoofdcommissarissen

heeft het CBP een werkwijze ontwikkeld voor de harmonisatie

van de inhoud van de reglementen en het stroomlijnen van de

procedure voor goedkeuring. Door deze werkwijze kan het

aantal procedures voor goedkeuring en het aantal meldingen

van tijdelijke registers worden beperkt.

• WBP-Melding Ingevolge artikel 27 van de WBP moeten geautomatiseerde

verwerkingen van persoonsgegevens vooraf worden gemeld bij

het CBP of een functionaris voor de gegevensbescherming,

tenzij het Vrijstellingsbesluit voorziet in een vrijstelling. Voor

het verrichten van de melding kan gebruik worden gemaakt

van een daartoe bestemd formulier, van een elektronisch

meldingsprogramma op diskette, of van een speciaal voor

verzending via e-mail geschikt programma. Alle meldingen

worden na verwerking opgenomen in een openbaar register en

zijn via de website van het CBP raadpleegbaar. Ook het over-

zicht van functionarissen voor de gegevensbescherming is op

de website raadpleegbaar.

• Voorafgaand onderzoekBepaalde categorieën van verwerkingen waaraan bijzondere

risico’s zijn verbonden, zijn krachtens artikel 31 van de WBP

onderworpen aan een voorafgaand onderzoek dat aan strakke

termijnen is gebonden. De verantwoordelijke mag een der-

gelijke verwerking niet starten gedurende de looptijd van dit

onderzoek. Het onderzoek resulteert meestal in een verklaring

omtrent de rechtmatigheid van de verwerking, die vatbaar is

voor rechtsbescherming op grond van de Algemene wet

bestuursrecht.

• VoorlichtingsverzoekenHet CBP wordt vaak benaderd met verzoeken om voorlichting

of advies over de interpretatie van de WBP of een andere

privacywet. De meest voorkomende verzoeken met een

standaardkarakter worden behandeld door het frontoffice als

deel van de publieksvoorlichting (telefonisch of via het e-mail-

piket). Verzoeken om voorlichting kunnen ook aanleiding zijn

voor verdergaande behandeling, diepgaande studie of een

principieel standpunt. Hierbij valt te denken aan de ont-

wikkeling van privacykaders voor nieuwe ontwikkelingen of

toetsingscriteria voor nieuwe producten en diensten. Dergelijke

verzoeken worden door het CBP steeds beoordeeld op hun

waarde in het kader van de toezichthoudende taak. Als zo-

danig vertegenwoordigen zij echter een aanzienlijke investering

in maatschappelijke preventie van onrechtmatig gedrag. Omdat

de beleidsvrijheid van het CBP in deze gevallen het grootst is,

bestaat er alle ruimte om daarbij nadere invulling te geven aan

het streven naar een tweedelijnspositie.

• Internationale zakenOp grond van artikel 51, eerste lid WBP houdt het CBP tevens

toezicht op de verwerking van persoonsgegevens in Nederland,

wanneer de verwerking plaatsvindt volgens het recht van een

ander land van de Europese Unie. Ingevolge artikel 61, zesde

lid WBP is het CBP desgevraagd verplicht aan toezicht-

houdende autoriteiten van de andere lidstaten van de Europese

Unie alle noodzakelijke medewerking te verlenen. Het Verdrag

van Straatsburg bevat vergelijkbare verplichtingen met

betrekking tot landen die daarbij partij zijn.

61organisatie


• Bijzondere gegevensArtikel 16 WBP bevat een verbod op de verwerking van

bijzondere persoonsgegevens (zoals godsdienst, ras,

politieke gezindheid, gezondheid en strafrechtelijk

verleden), tenzij de wet voorziet in een uitdrukkelijke

grondslag. Op grond van artikel 23, eerste lid, onder de

WBP, kan het CBP een ontheffing verlenen, indien dit

noodzakelijk is met het oog op een zwaarwegend

algemeen belang en passende waarborgen worden

geboden ter bescherming van de persoonlijke levenssfeer.

Ook hier is bezwaar en beroep (bestuursrechter) mogelijk.

• Doorgifte naar derde landenOp grond van artikel 77 lid 2 WBP heeft het CBP de taak

om de Minister van Justitie te adviseren over het toe-

kennen van een vergunning voor het doorgeven van

persoonsgegevens naar een land buiten de EU dat geen

waarborgen voor een passend beschermingsniveau biedt.

Het gezamenlijk beleid van de Minister en het CBP is eind

vorig jaar bekend gemaakt. De verzoeken van bedrijven

met internationale belangen om een vergunning beginnen

nu goed op gang te komen. De behandeling van ver-

zoeken door het CBP is er op gericht de Minister van

Justitie van een gedegen advies te voorzien zodat besluit-

vorming snel kan plaatsvinden.

Ook de samenwerking tussen de toezichthoudende auto-

riteiten wordt intensiever. Met zekere regelmaat bereiken

het CBP dan ook verzoeken om bijstand van buitenlandse

zusterinstellingen. Via een gemeenschappelijke, besloten

website kunnen de eenvoudigste verzoeken snel worden

afgewikkeld. In een aantal gevallen zijn nadere onder-

zoekshandelingen nodig.

• Bemiddeling en klachtenbehandelingHet CBP is op grond van artikel 47 WBP belast met de

behandeling van verzoeken om bemiddeling bij geschillen

over de uitoefening van het recht op inzage of correctie

van persoonsgegevens en over de uitoefening van het

recht op verzet. Deze procedure is mede bedoeld om de

rechter te ontlasten. Belanghebbenden kunnen er ook

voor kiezen om hun zaak voor te leggen aan de civiele of

administratieve rechter, of gebruik maken van een

geschillenregeling in een goedgekeurde gedragscode. Als

het CBP de bemiddeling heeft beëindigd, kan de zaak

alsnog aan de rechter worden voorgelegd. De rechter

kan besluiten om (opnieuw) het advies van het CBP in te

winnen. Verder kan het CBP op grond van artikel 60 WBP

op verzoek van een belanghebbende een onderzoek

instellen naar de naleving van het bepaalde bij of krach-

tens de wet. Daartoe beschikt het CBP over de nodige

onderzoeksbevoegdheden op grond van de WBP en de

Algemene wet bestuursrecht. Bij het aannemen van derge-

lijke verzoeken voert het CBP een restrictief beleid. De

mogelijkheid van toetsing door de Nationale Ombudsman

stelt echter hoge eisen aan deze afweging.

• Ambtshalve onderzoekenArtikel 60 WBP geeft het CBP de bevoegdheid om uit

eigen beweging een onderzoek in te stellen naar de

naleving van de wet. In de beoogde grotere nadruk op

toezicht en handhaving past dat het CBP in toenemende

mate gebruik zal maken van deze bevoegdheid. Aanpak

en diepgang van het ambtshalve onderzoek dienen per

geval bepaald te worden. Het onderzoek kan dus een

briefwisseling met verzoek om informatie behelzen of een

onderzoek ter plaatse inhouden, al dan niet in de vorm

van een audit, of een steekproef op meer plaatsen in een

sector, met de mogelijkheid van openbare rapportage over

de bevindingen. Het kan ook gaan om systematische

onderzoeken binnen bepaalde sectoren of om gerichte

onderzoeken (al dan niet met een privacyaudit) binnen

bepaalde overheidsorganisaties, instellingen of bedrijven.

• BoetesBij overtreding van de meldingsplicht is het CBP bevoegd

(artikel 66 WBP) om een bestuurlijke boete op te leggen

van 4.500 euro per verwerking, dan wel aangifte te doen

bij het Openbaar Ministerie.

Het CBP doet in eerste instantie door het uitvoeren van

sectoranalyses op het meldingenbestand onderzoek naar

de mate waarin een sector de meldingsverplichting

naleeft. Hierop worden naar deze sector gerichte stappen

ondernomen, voordat wordt overgegaan tot het beboeten

van individuele verantwoordelijken. Echter, naar aanleiding

van ter zake doende klachten, zal het CBP niet schromen

individuele gevallen te beboeten of aan te geven bij het

Openbaar Ministerie.

• Dwangsom en bestuursdwangBij andere overtredingen is het CBP bevoegd om gebruik

te maken van de bevoegdheid tot het opleggen van een

dwangsom of het toepassen van bestuursdwang. In al

deze gevallen is bezwaar en beroep mogelijk.

62 jaarverslag 2004


jaarverslag 200462

Algemene voorlichting (telefonisch spreekuur)

Het CBP heeft minder telefonische vragen afgehandeld omdat de openingstijden voortelefonisch spreekuur zijn teruggebracht van 17,5 uur per week naar 12 uur per week,ten gunste van meer tijd voor het produceren van informatiemateriaal.

Klachten over het CBP en heroverwegingen

Het CBP kan – gelet op de beperkte capaciteit – niet voldoen aan de verwachtingen vande individuele verantwoordelijke of burger. Daarom heeft het CBP in 2003 beleid ont-wikkeld waarin het CBP de gekozen tweedelijnsstrategie met een belangrijke plaats voorzelfregulering heeft geconcretiseerd. Het CBP krijgt als gevolg daarvan ook steeds meerte maken met verzoeken om heroverweging, bezwaar- en beroepszaken. De gevolgen –een toename van het aantal klachten en verzoeken om heroverweging – zijn thans dui-delijk voor het CBP zichtbaar. De individuele verantwoordelijke of burger legt zich nietzo maar neer bij deze aanscherping van de gekozen koers voor de behandeling van ver-zoeken. Medewerkers ervaren deze druk dagelijks, waardoor ook het ziekteverzuim lichttoeneemt. Het aantal klachten en heroverwegingen is in 2004 toegenomen ten opzichtevan 2003. De heroverwegingsverzoeken betroffen met name gevallen waarin het CBPweigerde om te bemiddelen of een klacht zelf te behandelen. Deze toename is vooral teverklaren uit de ontwikkeling van het CBP-beleid sinds de invoering van de WBP. Inreactie op de in gang gezette beweging naar meer handhaving wordt ook meer gebruikgemaakt van de middelen van rechtsbescherming. Om klachten zo veel mogelijk te voor-komen voert het CBP nadrukkelijk beleid op een zorgvuldige afhandeling van herover-wegingsverzoeken.

Klachten over het CBP

In de Algemene wet bestuursrecht is geregeld dat iedereen over de wijze waarop eenbestuursorgaan zich tegenover hem of haar heeft gedragen, een klacht kan indienen bijdat orgaan. Deze klachten moeten op een zorgvuldige wijze worden behandeld. Verdermoeten bestuursorganen zorgen voor registratie en publicatie van bij hem ingediendeschriftelijke klachten. Onderstaand overzicht geeft het aantal ingediende schriftelijkeklachten weer met de wijze van afdoening. Geen van de klachten heeft geleid tot eenvervolgklacht bij de Nationale Ombudsman.

2003 2004

Klachten ongegrond verklaard 2 3

Klachten gegrond verklaard 2 10

Minnelijke regeling/geen oordeel/ingetrokken/

andere wijze van afdoening/nog in behandeling 1 2

Nog in behandeling per einde van het jaar 0 2

Totaal aantal klachten 5 17

KLACHTEN OVER HET CBP 2003-2004

Heroverwegingen

Verzoeken om heroverweging (en klachten over het CBP) worden vaak ingediend, omdatmen het niet eens is met de weigering van het CBP om een onderzoek in te stellen opverzoek van belanghebbende. Men is het er niet mee eens dat de eigen klacht geen prio-riteit krijgt of dat het CBP deze niet van voldoende zwaarwegend belang acht om overte gaan tot een controlerend onderzoek.


63organisatie

Financiën

De personele kosten bleven 1,3 % onder het budget. Mede als gevolg van de wijziging inde samenstelling van het college is de vacatureruimte niet volledig benut. Voor watbetreft de materiële kosten zijn de uitgaven ten behoeve van de conferentie van deEuropese toezichthouders in Rotterdam lager uitgevallen dan begroot. Daarnaast is deoplevering van het functioneel ontwerp voor het nieuwe document management systeemvertraagd met als gevolg dat de uitgaven deels zijn doorgeschoven naar 2005.

Bezoldiging collegeleden

Bij Besluit rechtspositie leden College bescherming persoonsgegevens (Staatsblad 2001,382) is de bezoldiging van de voorzitter van het College vastgesteld op het maximumvan salarisschaal 18 van bijlage B van het Bezoldigingsbesluit BurgerlijkeRijksambtenaren 1984. Voor de overige leden geldt het maximum van schaal 17. Devoorzitter is op grond van artikel 22 a van het Bezoldigingsbesluit Rijksambtenaren 1984een toeslag toegekend en een representatievergoeding op grond van het Besluit ver-goeding representatiekosten rijkspersoneel.

Personele kosten

De personele kosten zijn te verdelen in kosten voor het primaire proces, voororganisatieontwikkeling en voor de bedrijfsvoering. Voor een deel van de bedrijfs-voeringstaken (PIOFAH) maakt het CBP gebruik van de stafdienst van het Paleis vanJustitie. Dit betreffen de P&O-taken, financiële administratie en facilitaire onder-steuning. Deze dienstverleningsovereenkomst is onderdeel van de materiële uitgaven.

2003 2004

Heroverwegingen ongegrond verklaard 14 18

Heroverwegingen gegrond verklaard 6 3

Minnelijke regeling/geen oordeel/ingetrokken/overige 0 1

Nog in behandeling per einde van het jaar 0 6

Totaal aantal Heroverwegingen 20 28

HEROVERWEGINGEN 2003-2004

2004 2005 2006 2007 2008

5.094 5.752 5.445 5.369 5.370

BEGROTING (STAND PER 9 MAART 2005, BEDRAGEN X 1000 EURO)

2002 2003 2004

Personeel 2.853,4 3.319,9 3.604,8

Materieel* 1.762,1 1.255,8 1.266,0

Totaal 4.615,5 4.575,7 4.870,8

BUDGETUITGAVEN 2002 - 2004 (BEDRAGEN X 1000 EURO)

* De huurlasten zijn hierin niet opgenomen; het ministerie van Justitie stelt de huisvesting beschikbaar.

64 jaarverslag 2004


2004

Personele kosten primair proces 2.400,8

Overhead (management, ondersteuning, bedrijfsvoering) 721,2

Extern ingehuurde expertise (onderzoek, certificering, archivering, beveiligingsaudit) 482,8

PERSONELE KOSTEN 2004 (UITGAVEN X 1000 EURO)

Uitgaven per beleidsterrein /sector

De keuzes voor inzet van de personele kosten zijn gemaakt op basis van het beleidsplanen de daarbij vastgestelde doelstellingen voor het jaar 2004. De tabel kosten per beleids-terrein/sector biedt inzicht in hoe het CBP zijn inspanningen heeft verdeeld over de verschillende aandachtsgebieden.

Uitgaven internationale samenwerking

Het belangrijkste forum voor het CBP in de eerste pijler van de Europese Unie is de Werk-groep van nationale toezichthouders als bedoeld in artikel 29 van Richtlijn 95/46/EG, dieoptreedt als adviseur van de Europese Commissie en als forum voor afstemming vanbeleid tussen de betrokken toezichthouders.

In het kader van de Raad van Europa neemt het CBP deel aan de werkzaamheden vande Adviescommissie (T-PD), bedoeld in artikel 18 van het Dataverdrag van Straatsburg,waarin ook niet-EU-lidstaten zijn vertegenwoordigd. Het CBP neemt verder deel aan dejaarlijkse Internationale en Europese Conferenties van privacytoezichthouders en aan dewerkzaamheden van diverse subgroepen, zoals de internationale werkgroep telecom enmedia (Berlijn-groep), de Europese werkgroep Politie en de Europese Complaints work-shops, waarin de Europese toezichthouders in concrete kwesties zoeken naar best practicesen onderlinge afstemming. In 2004 was het CBP gastheer voor de jaarlijkse conferentie vanEuropese privacytoezichthouders. Deze conferentie is gehouden in Rotterdam.

Maatschappelijke sectoren 2003 2004

Politie en Justitie 549 538

Arbeid & Sociale Zekerheid 342 305

Zorg & Welzijn 317 216

Openbaar bestuur 452 491

Telecommunicatie 333 350

Handel & Diensten 299 301

Internationale activiteiten

Internationaal 113 117

Audits voor gemeenschappelijke controle-autoriteiten 20 ?

Project PISA 90 –

Beleidsterrein technologie

Technologie 517 (+ onderzoek) 199

Beleidsterrein onderzoek

Onderzoek – 805

Beheer van meldingen en openbaar register

Bestandsbeheer 376 323

Communicatie

Communicatie 413 440

Frontoffice voor de sectoren 327 309

Interventie, bezwaar en beroep

Sancties en Rechtsbescherming 353 432

KOSTEN PER BELEIDSTERREIN/SECTOR 2003 - 2004 (UITGAVEN X 1000 EURO)


65organisatie

In de derde pijler van de Europese Unie maakt het CBP deel uit van de bij verdrag in-gestelde gemeenschappelijke controleorganen voor Schengen, Europol, Douane,Eurojust, Eurodac en Interpol, die alle beschikken over adviserende en controlerendebevoegdheden. Geschillen over de uitoefening van het recht op inzage en correctie bijEuropol worden in hoogste instantie beslist door een Beroepscomité waarin het CBP ookis vertegenwoordigd. In 2004 is het CBP opgetreden als voorzitter van de GCA voor hetSchengen informatiesysteem.

Efficiencywinst

Vermindering administratieve lasten

Het CBP heeft bij brief van 7 december 2004 de minister van Justitie voorstellen gedaanvoor vermindering van de administratieve lasten, met name door verruiming van devrijstellingen van melding. Indien de minister de voorstellen overneemt, zal naast eenvermindering van administratieve lasten voor het bedrijfsleven ook de administratievewerklast bij het CBP verminderen.

Invoering van modelreglementen

Korpsbeheerders zijn op grond van de WpolR verplicht de aanleg van tijdelijke registerste melden bij het CBP. Met de korpsbeheerders zijn afspraken gemaakt over het toepas-sen van een modelreglement voor de tijdelijke registers. Deze standaardisering betekentzowel voor de regiokorpsen als voor het CBP efficiencywinst. Voor het CBP bedraagtdeze 0,5 fte administratief (€ 15.000).

2003 2004

Internationaal overleg

Artikel 29-werkgroep (Richtlijn 95/46/EG) 55 48

Adviescommissie T-PD (artikel 18, Dataverdrag van Straatsburg 3 13

Berlijn-werkgroep 3 11

Europese Complaints workshop 33 12

Europese en mondiale Conferenties van privacytoezichthouders 97 49

Overig 50 36

OVERZICHT AANTAL REIS- EN VERGADERDAGEN INTERNATIONAAL OVERLEG*

* voorbereidingstijd en inhoudelijke inbreng is hier niet bij in begrepen.

2003 2004

Gemeenschappelijke controleorganen

GCA Schengen 21 14

GCO Europol* 30 26

Beroepscomité 5 5

GCA Douane 2 5

GCO Eurojust * 3 2

GCA Eurodac 1 11

GCO Interpol 6 0

OVERZICHT AANTAL REIS- EN VERGADERDAGEN (AFSTEMMING EN AUDITS)

* organisatie is in Nederland gevestigd.

66 jaarverslag 2004


‘Stapelen’: collectieve afhandeling van dossiers

In 2003 en in 2004 heeft het CBP in kwesties die dezelfde problematiek betroffen, dos-siers (voorafgaande onderzoeken, klachten en bemiddelingsverzoeken) 'gestapeld' methet oog op een efficiëntere werkwijze. Dit is onder andere gebeurd voor de vele vooraf-gaande onderzoeken naar verwerkingen van sociale diensten en incidentenregisters vanbanken. Bij klachtbehandeling en bemiddeling ging het bijvoorbeeld om verzoeken inzake KPN en Dexia (zie respectievelijk p. 48 en p 45).

Selectiviteit bij voorlichtingsverzoeken

In 2004 is het selectiebeleid bij schriftelijke voorlichtingsverzoeken verscherpt. Zie ookhierboven in de toelichting op de productiecijfers. Hierdoor is een groter aantal ver-zoeken behandeld door het frontoffice. Sinds 1999 handelt het frontoffice vele vragen eneenvoudige klachten bemiddelingszaken zelfstandig af. Vanuit deze vragen wordtinformatiemateriaal ontwikkeld dat via de website toegankelijk is. Website-statistiekenlaten zien dat deze aanpak succesvol is.

Afhandeling van verzoeken om voorlichting via e-mail

Het frontoffice verzorgt ook het zogenaamde e-mailpiket. Veel verzoeken om voor-lichting worden via e-mail gesteld. Sinds eind 2003 worden deze ook via e-mail afgehandeld. Hierdoor wordt structureel bespaard op de kosten van schriftelijke afhandeling en dossiervorming. Archivering geschiedt elektronisch volgens de richt-lijnen van de archiefwet.

Organisatie

In opdracht van het CBP heeft TNS NIPO Consult in 2004 onderzoek gedaan naar pri-vacybewustzijn en privacybehoeften bij de Nederlandse burger, waaronder ook debekendheid met de WBP en het CBP. Dergelijke onderzoeken zijn in verscheideneEuropese landen reeds uitgevoerd. De resultaten zijn begin 2005 beschikbaar gekomenen zullen worden gebruikt bij het maken van beleidskeuzes.

Onderzoek naar het CBP

Het CBP heeft op verzoek van het ministerie van Binnenlandse Zaken en Koninkrijks-relaties meegewerkt aan diverse onderzoeken. In het onderzoek naar het adviesstelselwerd gekeken naar de taken, de omvang ervan, de gevolgde werkwijze en naar de door-werking van de advisering. Daarnaast werd afzonderlijk onderzoek verricht naar debeloning en rechtspositie van de ambtelijke en politieke topstructuur. Ook heeft het CBPsamen met het ministerie van justitie een risicoanalyse voor de bedrijfsvoering op-gesteld op basis waarvan afspraken zijn gemaakt met het departement in het kader vande planning en control-cyclus.

Zelfevaluatie van het toezicht (ACT II)

Ten behoeve van de taakopdracht van de Ambtelijke Commissie Toezicht II (ACT II)heeft ook het CBP een zelfevaluatie uitgevoerd evenals het ministerie van Justitie. Deminister van Justitie is immers verantwoordelijk voor de Wet bescherming persoons-gegevens en is toezichthouder op het CBP als zelfstandig bestuursorgaan. De AmbtelijkeCommissie Toezicht II heeft vervolgens het conceptrapport van bevindingen met hetCBP besproken. Na vaststelling door de commissie is het rapport ‘Toetsing zelfevaluatietoezichtarrangement’ begin 2005 aangeboden aan de minister van Justitie en het CBP. In2005 zal het CBP met het ministerie van Justitie overleggen over de wijze waarop hier-aan een vervolg kan worden gegeven.


67organisatie

Informatiebeveiliging en integriteit

Naar aanleiding van een externe audit naar de maatregelen en procedures ter waar-borging van de exclusiviteit, integriteit, controleerbaarheid en continuïteit bij het CBP isin 2004 op onderdelen het beleid bijgesteld, zijn er maatregelen getroffen in de uit-voering en is een systeem voor periodieke controle geïmplementeerd. Het integriteits-beleid van het CBP wordt actief uitgedragen onder de medewerkers. Met het ministerievan Justitie zijn afspraken gemaakt omtrent de aanwijzing van vertrouwensfunctieswaarvoor de betrokken medewerkers aan een veiligheidsonderzoek worden onder-worpen.

Archivering

Naar aanleiding van het institutioneel onderzoek dat het CBP overeenkomstig de wet-telijke bepalingen (Archiefwet 1995) in 2003 heeft laten uitvoeren, heeft het NationaalArchief de goedkeuringsprocedure door de minister van Onderwijs, Cultuur enWetenschap in gang gezet. De Raad voor Cultuur heeft daartoe op 7 december 2004advies uitgebracht aan de minister over de ontwerp-selectielijst archiefbescheiden vanhet CBP over de periode vanaf 1989.

Automatisering

In 2004 heeft het CBP een ICT-dienstverlener opdracht verleend voor de ontwikkelingvan een functioneel ontwerp voor de inrichting van een nieuw document managementsysteem. Dit nieuwe systeem zal het bestaande systeem – een maatwerkpakket – vervangen.

Communicatie

Communicatie is een wezenlijke factor in de gehele cyclus van bewustwording naar normontwikkeling – ook in technisch opzicht - en handhaving. Een goed gerichte enweloverwogen informatievoorziening vergroot de effectiviteit van het toezicht. Het CBPbesteedt daarom veel aandacht aan de website en aan de persvoorlichting.

www.cbpweb.nl

De website van het CBP neemt een prominente plaats in bij voorlichting naar zowel debetrokkene (degene van wie persoonsgegevens worden gebruikt) als de verant-woordelijke (degene die persoonsgegevens van anderen verwerkt). Het CBP heeft in2004 de structuur van de website aangepast en opnieuw vormgegeven ter verbeteringvan de gebruiksvriendelijkheid voor de verschillende doelgroepen. De website is meervraaggericht opgebouwd en daarmee toegankelijker gemaakt voor de verschillende doel-groepen. De website voldoet in grote mate aan de criteria van Drempels Weg. De web-site-statistieken laten een toenemend gebruik van het aangeboden informatiemateriaalzien.

2003 2004

Gemiddeld aantal bezoekers per maand 39.270 44.931

Aantal abonnees elektronische nieuwsbrief per 31 december 2.600 4.069

Aantal downloads van Achtergrondstudies en verkenningen 50.864 52.446

Aantal downloads van Auditinstrumenten* 51.660 15.453

Aantal downloads WBP-meldingsprogramma 11.214 5.195

WEBSITEBEZOEK 2003-2004

* De auditinstrumenten zijn drie documenten met behulp waarvan verantwoordelijken de naleving van de WBPin de eigen organisatie kunnen evalueren en verbeteren: Quickscan, WBP-Zelf-Evaluatie en het Raamwerk Privacy Audit (2001).

68 jaarverslag 2004


-

BELEIDSAFDELING(24 fte)

openbaar bestuur

politie en justitie

zorg & welzijn

arbeid & sociale zekerheid

handel & diensten

telecom

technologie

internationaal

ONDERZOEK(7 fte)

risico analyse

meldingen onderzoek(handhavend)

sector onderzoek (controlerend)

ambtshalve onderzoek(handhavend)

model onderzoeks-instrumenten

audit framework en certificering

BEDRIJFSONDER-STEUNENDE DIENST(13,5 fte)

receptie

administratie primair proces

bestandsbeheer

meldingen

administratieve bedrijfsvoering

INTERVENTIE,BEZWAAR EN

BEROEP(5 fte)

juridische kwaliteit

sanctieoplegging

bezwaar en beroep

institutionele kwesties

MANAGEMENTONDERSTEUNING(secretariaat - 2,5 fte)

OOrrggaanniiggrraamm 22000044

COMMUNICATIE(7,5 fte)

publieksvoorlichting

frontoffice

persvoorlichting

webredactie en -beheer

publicaties

kennismanagement

communicatie

STAF(A&I,P&C,P&O - 4 fte)

DE DIRECTEUR

(1 fte)

HET COLLEGE

(3 leden)

Perscontacten

Het CBP heeft vrijwel dagelijks contact met landelijke media. Sinds juni 2003 wordt hetaantal perscontacten bijgehouden. Het aantal contacten is in 2004 toegenomen met nameals gevolg van de brede discussie over veiligheid en terrorisme.

Medium vanaf juni 2003 2004

Persbureaus 17 43

Landelijke dagbladen 34 92

Landelijke radio en televisie 76 150

Regionale kranten niet bekend 35

Regionale radio en televisie niet bekend 23

Relevante vakbladen 18 73

Opiniebladen niet bekend 9

Totaal 145 425

PERSCONTACTEN 2003-2004


69bijlagen

bijlagen

Wetsvoorstel bijzondere bevoegdheden tot opsporing

terroristische misdrijven 22 december 2004, z2004-1529

Besluit informatievoorziening WPO/WEC in strijd met

WBP 12 november 2004, z2004-1182

Wettelijke grondslag ontbreekt voor verstrekken medi-

sche gegevens aan DBC-Informatiesysteem

11 november 2004, z2004-1492

Inzet GPS op mesttransportvoertuigen (Meststoffen-

wet) 3 november 2004, z2004-1166

Beroepsgeheim steviger verankeren in Wetboek van

strafvordering (Wsv) 29 oktober 2004, z2002-0222

Wet politiegegevens: uitbreiding bevoegdheden vereist

ook waarborgen 1 september 2004, z2004-0467

Wetsvoorstel werk en inkomen naar arbeidsvermogen

(WIA) 30 juni 2004, z2004-0417

Conceptbesluit Documentatie vennootschappen

28 juni 2004, z2004-0400

Besluit beleidsinformatie jeugdzorg (Wet op de

Jeugdzorg) 27 juli 2004, z2004-0574

Tijdelijk besluit nummergebruik overheidtoegang-

voorziening 18 juni 2004, z2004-0694

Concept-Besluit sociale werkvoorziening en begeleid

werken (Wet Sociale Werkvoorziening en Wet Structuur

Uitvoering Werk en Inkomen) 3 juni 2004, z2004-0528

Zorgverzekeringswet (Zvw): structureel toezicht op

zorgverzekeraars noodzakelijk 12 mei 2004, z2004-0394

Wetsvoorstel Aanpassing aan het Cybercrime Verdrag

12 mei 2004, z2004-0287

Wettelijke grondslag voor gegevensverwerkingen SIOD

(SUWI) 26 april 2004, z2004-0341

Wetsvoorstel videoconferentie in het strafrecht

9 april 2004, z2003-1388

Doorgifte zwarte lijst van drugskoeriers met vervoers-

verbod (Wet bescherming persoonsgegevens, WBP)

8 april 2004, z2003-1323

Circulaire gegevensuitwisseling SVB – gemeenten

behoeft aanpassing 8 april 2004, z2004-0058

Voorstel aanpak doorrijders tanken strijdig met kabi-

netsbeleid (Regeling gegevensverstrekking

Kentekenregister) 6 april 2004, z2003-1299

Algemene wet inkomensafhankelijke regelingen

1 april 2004, z2004-0304

Wetsvoorstel Werk en Inkomen Kunstenaars

23 maart 2004, z2004-0030

Evaluatie DBC-stelsel moet in toekomst leiden tot ver-

minderde privacygevoeligheid (wetsvoorstel Wijziging

Ziekenfondswet, ZFW, Algemene Wet Bijzondere

Ziektekosten, AWBZ) 12 februari 2004, z2003-1433

Ontwerpnota verwerking van persoonsgegevens door

de politie (Wet politieregisters, Wpolr)

28 januari 2004, z2002-1397

Wijziging ontwerpbesluit DNA-onderzoek in strafzaken

27 januari 2004, z2003-1603

Marechaussee verstrekt gegevens drugskoeriers aan

luchtvaartmaatschappijen (Wet bescherming persoons-

gegevens, WBP) 12 januari 2004, z2003-1323

Dit overzicht bevat de voornaamste wetgevings-

adviezen van 2004. Vrijwel alle adviezen vanaf 1996

kunt u raadplegen op de website: www.cbpweb.nl.

Adviezen uit de periode 1991-1996 zijn ook op-

genomen in de bundel Persoonsgegevens beschermd,

van WPR naar WBP. Den Haag, Sdu uitgevers, 1999.

wetgevingsadviezen


70

bijlagen

jaarverslag 2004

Privacygedragscode voor werving en selectiebranche;

geldig tot 2 augustus 2009 (Staatscourant 2004, nr 144)

Gedragscode voor gezondheidsonderzoek "Goed

gedrag" (Stichting Federatie van Medisch

Wetenschappelijke Verenigingen, FMWV); geldig tot 19

april 2009 (Staatscourant 2004, nr 82)

Gedragscode voor verwerking van persoonsgegevens

bij onderzoek en statistiek (Vereniging voor

Beleidsonderzoek, de Vereniging voor Statistiek en

Onderzoek en de MarktOnderzoekAssociatie.nl); geldig

tot 24 maart 2009 (Staatscourant 2004, nr. 36)

Gedragscode gerechtsdeurwaarders ter bescherming

persoonsgegevens van de Koninklijke

Beroepsorganisatie van Gerechtsdeurwaarders (KBvG);

geldig tot 18 februari 2009 (Staatscourant 2004, nr. 33)

Privacygedragscode sector particuliere onderzoeksbu-

reaus van de Vereniging van Particuliere

Beveiligingsorganisaties (VPB); geldig tot 13 januari

2009 (Staatscourant 2004, nr. 7)

Alle gedragscodes zijn te vinden op www.cbpweb.nl

gedragscodesVoor onderstaande gedragscodes is in 2004 een verklaring van overeenstemming verleend onder de WBP.


71bijlagen

Aandachtsvestigingen (Stcrt. 2002, 243)

Arrestanten (Stcrt. 2002, 243)

Arrestatiebevelen (Stcrt. 2002, 243)

Bedrijfsprocessensysteem BPS (Stcrt. 2002, 243)

Bedrijven informatiesysteem en

waarschuwingsadressen (Stcrt. 2002, 243)

Bekeuringenafhandelingssysteem (Stcrt. 2002, 243)

Beperkingen besturen motorrijtuigen (Stcrt. 2002, 243)

Bureau financiële ondersteuning (Stcrt. 2002, 243)

Fraudebestrijding (Stcrt. 2002, 243)

Gegevensuitwisseling milieu-

criminaliteit (Stcrt. 2002, 243)

Gevonden en verloren goederen (Stcrt. 2002, 243)

Graffitibestrijding (Stcrt. 2002, 243)

Herkenningsdienstregister (Stcrt. 2004, 124)

In beslag genomen goederen (Stcrt. 2002, 243)

In bewaring genomen goederen (Stcrt. 2002, 243)

Inbraakbestrijding (Stcrt. 2002, 243)

Informantenregister (Stcrt. 2002, 100)

Informantenregister openbare orde (Stcrt. 2002, 238)

Internationale rechtshulp politie (Stcrt. 2002, 243)

Jeugd- en zedenzaken (Stcrt. 2002, 243)

Kabinetszaken (Stcrt. 2002, 243)

Meldkamer (Stcrt. 2002, 243)

Milieudelicten (Stcrt. 2002, 243)

Multipol (Stcrt. 2002, 243)

Openbare orde en informatie (Stcrt. 2002, 238)

Openbare orde taken Regionale

inlichtingendienst (Stcrt. 2002, 243)

Opkopers en helingbestrijding (Stcrt. 2002, 243)

Overvallenbestrijding (Stcrt. 2002, 243)

Permanent autoteam (Stcrt. 2002, 243)

Processen-verbaal en rapporten (Stcrt. 2002, 243)

Recidive (Stcrt. 2002, 243)

Rijverboden (Stcrt. 2002, 243)

Schietwapen incidentenregistratie-

en informatiesysteem (Stcrt. 2002, 243)

Signalen van mensenhandel (Stcrt. 2002, 13)

Technische recherchezaken (Stcrt. 2002, 243)

Tijdelijk Register (Stcrt. 2003, 131)

Vakantiecontrolekaarten (Stcrt. 2002, 243)

Vandalismebestrijding (Stcrt. 2002, 243)

Verdovende middelen (Stcrt. 2002, 243)

Voorlopig register (Stcrt. 2000, 198)

Zware criminaliteit (Stcrt. 2000, 198)

De politie werkt voor het uitoefenen van de politietaak

(artikel 1 en artikel 2 Politiewet) met politieregisters.

In artikel 12, eerste lid Wet politieregisters is de moge-

lijkheid gecreëerd om een modelreglement voor een

register vast te stellen, onder andere ter bevordering

van eenduidigheid en een efficiënte werkwijze. Degene

die een modelreglement heeft vastgesteld, kan het CBP

verzoeken te verklaren dat het model naar zijn oordeel

in overeenstemming is met de Wet politieregisters.

Beheerders van een register hoeven dan het CBP alleen

te informeren over het bestaan van een register en van

het model dat daarop van toepassing is. Mochten er

afwijkingen van het model zijn, dan moet vermeld

worden welke dat zijn. De modelreglementen zijn

beschikbaar op de website van het CBP:

www.cbpweb.nl.

modelreglementen vastgesteld voor politieregisters


72

bijlagen

jaarverslag 2004

25 November 2004 Declaration of the Article 29

Working Party on Enforcement (WP 101)

25 November 2004 - Opinion on More Harmonised

Information Provisions (WP 100)

9 November 2004 - Opinion 9/2004 on a draft

Framework Decision on the storage of data processed

and retained for the purpose of providing electronic

public communications services or data available in

public communications networks with a view to the

prevention, investigation, detection and prosecution of

criminal acts, including terrorism. [Proposal presented

by France, Ireland, Sweden and Great Britain

(Document of the Council 8958/04 of 28 April 2004)]

(WP 99)

29 November 2004 – Strategy Document (WP 98)

30 September 2004 - Opinion 8/2004 on the informa-

tion for passengers concerning the transfer of PNR

data on flights between the European Union and the

United States of America (Document 11733/04, WP 97)

11 August 2004 - Opinion 7/2004 on the inclusion of

biometric elements in residence permits and visas

taking account of the establishment of the European

information system on visas (VIS) (Document

11487/04, WP 96)

22 June 2004 - Opinion 6/2004 on the implementation

of the Commission decision of 14-V-2004 on the ade-

quate protection of personal data contained in the

Passenger Name Records of air passengers transferred

to the United States’ Bureau of Customs and Border

Protection, and of the Agreement between the

European Community and the United States of America

on the processing and transfer of PNR data by air car-

riers to the United States Department of Homeland

Security, Bureau of Customs and Border Protection.

(Document 11221/04, WP 95)

17 March 2004 - Joint Statement in response to the ter-

rorist attacks in Madrid (Document 10649/04, WP 93)

17 March 2004 - Work programme 2004 (Document

10650/04, WP 92)

17 March 2004 - Working Document on Genetic Data

(Document 12178/03, WP 91)

27 February - Opinion 5/2004 on unsolicited commu-

nications for marketing purposes under Article 13 of

Directive 2002/58/EC (Document 11601/03, WP 90)

11 February 2004 - Opinion 4/2004 on the Processing

of Personal Data by means of Video Surveillance

(Document 11750/02, WP 89)

11 February 2004 - Opinion 3/2004 on the level of pro-

tection ensured in Canada for the transmission of

Passenger Name Records and Advanced Passenger

Information from airlines (Document 10037/04, WP 88)

29 January 2004 - Opinion 2/2004 on the Adequate

Protection of Personal Data Contained in the PNR of

Air Passengers to Be Transferred to the United States'

Bureau of Customs and Border Protection (US CBP)

(Document 10019/04, WP 87)

23 January 2004 - Working Document on Trusted

Computing Platforms and in particular on the work

done by the Trusted Computing Group (TCG group)

(Document 11816/03, WP 86)

16 January 2004 - Opinion 1/2004 on the level of pro-

tection ensured in Australia for the transmission of

Passenger Name Record data from airlines (Document

10031/03, WP 85)

Deze documenten zijn te vinden op http://www.euro-

pa.eu.int/comm/internal_market/privacy/workin-

group/wp2004/wpdocs04_en.htm

documenten van de Werkgroep inzake de bescherming van persoons-

gegevens (artikel 29 van Richtlijn 95/46/EG)


73bijlagen

2004

• Algemene bevindingen, naar aanleiding van de

onderzoeken door het CBP naar de bijzondere

politieregisters van criminele inlichtingen eenheden

in 2003/2004, september 2004

2003 - 1996

• Cameratoezicht in de openbare ruimte: Onderzoek

naar de inzet van cameratoezicht in alle Nederlandse

gemeenten, november 2003.

• KPN informeert abonnees met geheim nummer

onvoldoende over direct marketing. Onderzoek naar

beleid omtrent 'geheime' nummers; bevindingen,

augustus 2003.

• Onderzoek naar de waarborging van de vertrouwe-

lijke communicatie van advocaten bij de interceptie

van telecommunicatie, juli 2003.

• Onrechtmatig, onbehoorlijk en onzorgvuldig. De

verwerking van persoonsgegevens door een handels-

informatiebureau voor rapportage van verhaalsinfor-

matie, april 2003.

• Sociale diensten: bijstandsdossier en privacy,

februari 2002.

• Privacy bij wetenschappelijk onderzoek en statistiek.

Kader voor een gedragscode, mei 2002.

• Elektronische overheid en privacy, december 2001.

• Onrechtmatige handelswijze van een handelsinfor-

matiebureau, mei 2001.

• Zorg voor gegevens bij indicatiestelling, augustus

2000.

• Politiegegevens beschermd, juni 2000.

• Verstrekken van gegevens door de Belastingdienst

voor bijdrage thuiszorg, april 2000.

• Screening van politiepersoneel moet volgens de

regels, februari 2000.

• Controle e-mailverkeer door werkgever, december

1999.

• Onderzoek naar handelsinformatiebureau Goderie

van Groen, november 1999.

• Uitbesteden van taken Algemene bijstandswet, sep-

tember 1999.

• Bijstanddossiers en bescherming persoonsgegevens,

juli 1999.

Rapporten kunt u doorgaans raadplegen op de website:

www.cbpweb.nl (onder publicaties).

• Verstrekken van gegevens door deurwaarders, juni

1999.

• Vastleggen en verstrekken van call detail records,

juni 1999.

• Verzekeringsmaatschappij verplicht Arbo-dienst tot

registratie en rapportage gegevens, juni 1999.

• Is Landelijk Alcohol en Drugs Informatiesysteem een

persoonsregistratie?, november 1999.

• Doorzenden voorlichtingsrapport reclassering na

toestemming, december 1998.

• Medicatiebewaking door centrale patiëntenregistra-

tie, oktober 1998.

• Beroepscode psychologen, juli 1998.

• Reglementering en beveiliging persoonsregistraties

door ministeries, juli 1998.

• Gegevens over honden en het verstrekken daarvan,

juli 1998.

• Gegevens uit controle door de

Rijksverkeersinspectie, juni 1998.

• Persoonsgebonden clubcard II, mei 1998.

• Persoonsgebonden clubcard, februari 1998.

• Meldpunt ongebruikelijke transacties, juli 1997.

• Videocamera’s Wallen Amsterdam, mei 1997.

• In beeld gebracht. Privacyregels voor het gebruik

van videocamera’s voor toezicht en beveiliging,

januari 1997.

• Als de telefoon wordt opgenomen. regels voor het

registreren, meeluisteren en opnemen van telefoon-

gesprekken van werknemers, november 1996.

onderzoeksrapporten 1996 - 2004

74 jaarverslag 2004

bijlagen< TERUG INHOUD VERDER >

achtergrondstudies en verkenningen (1994 – 2004) en brochures

In de serie Achtergrondstudies en verkenningen zijn

verschenen:

A.H.C.M. Smeets, Camera's in het publieke domein.

Privacynormen voor het cameratoezicht op de openbare

orde, College bescherming persoonsgegevens. A&V 28,

Den Haag, 2004

S. Lieon, mr. M. Th. van Munster-Frederiks, De zieke

werknemer en privacy. Regels voor de verwerking van

persoonsgegevens van zieke werknemers. A&V 27;

College bescherming persoonsgegevens, Den Haag 2004.

T.F.M. Hooghiemstra, Privacy bij ICT in de zorg.

Bescherming van persoonsgegevens in de informatie-

infrastructuur voor de gezondheidszorg.

A&V 26; College bescherming persoonsgegevens,

Den Haag 2002.

dr. J.A.G. Vermissen en mr. drs. A.C.M. de Heij,

Elektronische overheid en privacy. Bescherming van

persoonsgegevens in de informatie-infrastructuur van

de overheid. A&V 25; College bescherming persoonsge-

gevens, Den Haag 2002.

M.M.M. van Eijk en W.J. van Helden, Klant te koop,

Privacyregels voor adressenhandel. A&V 24; College

bescherming persoonsgegevens, Den Haag 2001.

G.W. van Blarkom, Beveiliging van persoonsgegevens.

A&V 23; Registratiekamer, Den Haag 2001.

J.A.G. Versmissen, Sleutels van vertrouwen, TTP’s, digi-

tale certificaten en privacy. A&V 22; Registratiekamer,

Den Haag 2001.

J.H.J. Terstegge, Goed werken in netwerken, regels voor

controle op e-mail en internetgebruik van werknemers.

A&V 21; tweede druk, herzien door drs. S. Lieon,

College bescherming persoonsgegevens, Den Haag

2002.

R. Buitenhuis, N.G.M. van Campen, W.J. van Helden,

H.H. de Vries, Bankverzekeraars en privacy, gegevens-

verwerking in financiële conglomeraten. A&V 20;

Registratiekamer, Den Haag 2000.

W.J. van Helden, Herkomst van de klant, privacyregels

voor etnomarketing. A&V 19; Registratiekamer,

Den Haag 2000.

R.W.A. Wishaw, De gewaardeerde klant, privacyregels

voor credit scoring. A&V 18; Registratiekamer, Den

Haag 2000.

M. Artz en M.M.M. van Eijk, Klant in het web.

Privacywaarborgen voor internettoegang. A&V 17;

Registratiekamer, Den Haag 2000 (niet meer

beschikbaar).

J. de Zeeuw, Informatieverstrekking. Ontheffing van

de fiscale geheimhoudingsplicht in het licht van

privacywetgeving. A&V 16; Registratiekamer,

Den Haag 2000.

R. Hes, J.J. Borking en T.F.M. Hooghiemstra, At face

value. On biometrical identification and privacy.


M.J.T. Artz, Koning Klant. Het gebruik van klantgege-

vens voor marketingdoeleinden. A&V 14; Registratie-

kamer, Den Haag 1999.

J.J. Borking e.a., Intelligent software agents and

privacy. A&V 13; Registratiekamer, Den Haag 1999 (niet

meer beschikbaar).

T.F.M. Hooghiemstra, Privacy & Managed care.


R. Hes en J.J. Borking, Privacy-enhancing technologies:

the path to anonimity. A&V 11 revised edition;


L. van Almelo e.a., Gouden bergen van gegevens. Over

datawarehousing, datamining en privacy. A&V 10;

Registratiekamer, Den Haag 1998 (niet meer

beschikbaar).

C. Zandee, Doelbewust volgen. Privacy-aspecten van

cliëntvolgsystemen en andere vormen van gegevensuit-

wisseling. A&V 9; Registratiekamer, Den Haag 1998.

J. de Zeeuw, Informatiegaring door de fiscus.

Privacybescherming bij derdenonderzoeken. A&V 8;



75bijlagen

B.J.P. Hulsman en P.C. Ippel, Gegeven: de Genen.

Morele en juridische aspecten van het gebruik van

genetische gegevens. A&V 7; Registratiekamer,

Den Haag 1996.

H.J.M. Gardeniers, Chipcards en privacy. Regels voor

een nieuw kaartspel. A&V 6; Registratiekamer,

Den Haag 1995.

H. van Rossum e.a., Privacy-enhancing technologies:

the path to anonymity, volume I and II. A&V 5;

Registratiekamer, Den Haag 1995. (niet meer beschik-

baar)

A.F. Rommelse, Zwarte lijsten. Belangen en effecten

van waarschuwingssystemen. A&V 4; Registratiekamer,

Rijswijk 1995.

brochures

Gedragscodes. Bescherming van persoonsgegevens

door zelfregulering

oktober 2002

Third countries. Transfers of Personal Data to

Countries outside the European Union

september 2002

Derde landen. De doorgifte van persoonsgegevens

naar landen buiten de Europese Unie/

Third countries. Transfers of Personal Data to

Countries outside the European Union

september 2002

Privacy: checklist voor de ondernemingsraad

april 2002

A.F. Rommelse, Ziekteverzuim en privacy. Controle

door de werkgever en verplichtingen van de werk-

nemer. A&V 3; Registratiekamer, Rijswijk 1995. (niet

meer beschikbaar)

J.P.M. van Casteren, Bevolkingsgegevens: Wie mag ze

hebben? Verstrekking van gegevens uit de GBA aan

vrije derden. A&V 2; Registratiekamer, Rijswijk 1995

(alleen elektronisch beschikbaar).

B.J.P Hulsman en P.C. Ippel, Personeels-

informatiesystemen - de Wet persoonsregistraties

toegepast. A&V 1; Registratiekamer, Rijswijk 1994

(alleen elektronisch beschikbaar).

Wet bescherming persoonsgegevens. Over de bescher-

ming van uw persoonlijke gegevens

augustus 2001

Functionaris voor de gegevensbescherming. Een hand-

reiking

augustus 2001

Mag het een bitje minder zijn? Over Privacy-Enhancing

Technologies

april 2001

Doe het zelf met privacy. Een toelichting op de Audit

Aanpak

2001

76 jaarverslag 2004

bijlagen< TERUG INHOUD VERDER >

informatiebladen

Informatiebladen voor de betrokkene, dat is degene

van wie persoonsgegevens worden gebruikt:

Als u gefilmd wordt met een videocamera, februari

2005

Uw gegevens bij de politie, oktober 2004 (geactuali-

seerd)

Als de politie gegevens over u vraagt, oktober 2004

Recht op infomatie, oktober 2004

Uw recht van verzet bij direct marketing oktober 2004

Correctie van uw persoongegevens oktober 2004

Uw persoonsgegevens beveiligd september 2003 (geac-

tualiseerd)

Inzage in uw persoonsgegevens juni 2004

Uw personeelsdossier juni 2004

Verstrekken van uw persoonsgegevens juni 2004

Opnemen van uw telefoongesprekken op de werkplek

juni 2004 (geactualiseerd)

Uw gegevens op een zwarte lijst juni 2004

Doorgifte van uw gegevens naar derde landen juni

2004 (geactualiseerd)

De functionaris voor de gegevensbescherming juni


Verstrekken van uw personeelsgegevens


Geadresseerde reclame juni 2004 (geactualiseerd)

Verstrekken van uw gegevens uit ledenadministratie

maart 2004 (geactualiseerd)

Nummeridentificatie bij telefoonverkeer maart 2004

Rechten van de betrokkene maart 2004 (geactualiseerd)

De sociale dienst en uw persoonsgegevens maart 2004

(geactualiseerd)

Uw klacht en het CBP maart 2004 (geactualiseerd)

Bemiddeling door het CBP maart 2004 (geactualiseerd)

Het toetsen van uw kredietwaardigheid (creditscoring)


Het gebruik van kentekengegevens en uw privacy


Camera's op de werkplek maart 2004 (geactualiseerd)

Bewaartermijnen juli 2002

Informatiebladen voor de verantwoordelijke, dat is

degene die persoonsgegevens van anderen gebruikt

voor eigen doeleinden:

Cameratoezicht: als u mensen filmt februari 2005

Informatie delen in samenwerkingsverbanden januari

2005

Als de politie u vraagt persoonsgegevens te verstrek-

ken oktober 2004 (geactualiseerd)

Informatieplicht oktober 2004

Het recht van verzet bij direct marketing oktober 2004

Het bieden van correctie in persoongegevens

oktober 2004

Het geven van inzage in persoongegevens juni 2004

Personeelsdossiers juni 2004 (geactualiseerd)

Verstrekken van persoonsgegevens juni 2004

Opnemen telefoongesprekken op de werkplek juni


Zwarte lijsten juni 2004

Doorgifte naar Derde Landen inzake uw gegevensver-

werkingen juni 2004 (geactualiseerd)

De functionaris voor de gegevensbescherming juni


Camera's op de werkplek juni 2004 (geactualiseerd)

Verstrekken van personeelsgegevens aan derden


Verstrekken gegevens uit uw ledenadministratie


Melden en vrijstellingen maart 2004 (geactualiseerd)

Bemiddeling door het CBP inzake uw verwerkingen


Klachtenbehandeling door het CBP april 2003 (geactua-

liseerd)

Voorafgaand onderzoek september 2001

Publicaties van het CBP kunt u inzien en/of downloaden

van de website www.cbpweb.nl. Voor het toezenden van

gedrukte publicaties kunnen verzend- en handlingkosten in

rekening worden gebracht.

77bijlagen


Artz, mw. S.M., De reikwijdte van het begrip 'bestand',

Privacy & Informatie, nr. 5 - 2004, p. 212-215

Artz, mw. S.M., Symposium ‘Privacy op zijn plaats’ Ter

gelegenheid van het afscheid van mr. P.J. Hustinx als

voorzitter van het College bescherming persoons-

gegevens, Privacy en Informatie, nr. 3 - 2004, p. 114-

116

Artz, mw. S.M. en Lieon, mw. drs. S., Inzicht in de

ondernemingsraad over privacy op de werkplek (SDU,

juni 2004)

Blarkom RE, G.W. van, Certificering. Het certificaat

bescherming persoonsgegevens, Privacy & Informatie,

nr. 4 - 2004, p. 150-154

Fontein, mw. drs. M.A.H., Doorgiften naar derde lan-

den: Praktijkervaringen, Privacy & Informatie, nr. 5 -

2004, p. 206-211

Kohnstamm, mr. J., Is privacy een kabinetscrisis

waard?, Idee, tijdschrift van het Kenniscentrum D66,

nr. 6 - 2004, p. 20-21

Lieon, mw. drs. S. en Munster, mw. mr. M. Th.,

Privacyregels van de zieke werknemer in kaart

gebracht, Beursmagazine, 25 mei 2004, p. 13

Munster, mw. mr. M.Th., Verwerken van persoonsgege-

vens in de arbeidsrelatie, HRM Handboek in de prak-

tijk, aflevering 27, hoofdstuk 11/5- 4.4, 2004, p. 1-14

Munster, mw. mr. M.Th., Specifieke verwerkingen van

persoonsgegevens in de arbeidsrelatie, HRM

Handboek in de praktijk, aflevering 27, hoofdstuk 11/5

- 4.5, 2004, p. 1-24

Pol, mr. U. van de, Hoofdcommissarissen lokken eigen-

richting uit, Algemeen Politieblad, nummer 2, 2004, p.

1 en p. 7

Pol, mr. U. van de en Seumeren, mw. drs. N.M. van,

Sociale zekerheid: privatisering en deregulering gaan

niet samen, NRC Handelsblad, 1 november 2004,

p. 1 en 7

publicaties in kranten, tijdschriften en vakbladen 2004

< BACK CONTENTS NEXT >

78 annual report 2004

The desire...

DN

A,

TH

EU

LTIM

AT

EP

ERSO

NA

LD

ATA

, IS

VIS

UA

LIZ

EDIN

TH

EC

BP-L

OG

O

The desire to use increasing amounts of personal data for a growing number of

purposes is the prominent issue in many social debates. Without pretending to come

even close to a complete picture, the discussion about intensifying the combating of

terrorism, the introduction of the citizen’s personal identity number and the drastic

change to the health insurance system to incorporate market forces can serve as

examples. We must also mention the desire to arrive at more intensive exchange of

information between different institutions and organisations that increasingly try to

realise an interconnecting client system, for the fulfilment of a public task or other-

wise. Private enterprises are required to make data about commercial transactions

available for government purposes and customer data are shared within conglo-

merates as sources of information. Technological breakthroughs or the mass

application of existing technology open the door to previously unheard-of ways for

monitoring, analysing and assessing the actions of individuals and for treating them

according to the information compiled. Thus, the field supervised by the Dutch DPA

is currently changing drastically.

79introduction


Needless to say, tension arises in balancing the desire or perceived need for ‘invading’someone’s privacy on the one hand and the statutory requirements for the careful handling of personal data on the other hand. In order to bring this ‘battle’ to a pro-ductive synthesis the cooperation of the government, the private sector and the DutchDPA is needed. Those in the public and private sector who wish to realise innovations orchanges should – more so than is currently the case in most instances – realise the prin-ciples of the protection of personal privacy in order to use them to find solutions for pos-sible dilemmas. For the Dutch Data Protection Authority (DPA), on the other hand, therule applies that it is intensely aware – or should be aware – of new social developmentsand needs.

The framework within which the Dutch DPA then acts is, to a large extent, restrictedby the relevant statutory stipulations and the instruction to be derived from these sti-pulations, whereby the Personal Data Protection Act (WBP) – more so than a number ofother laws – determines the actions of the regulatory authority. The history of the realisation of the WBP, and the developments since then, provide us with complex dilem-mas in this respect.

As ever, if the legislator resorts to codification of that which has grown in everydaypractice or which is deemed to be desirable as a standard in a political-social sense, overthe course of time attention focuses more on the technical implementation of the lawthan on the matter to be protected or the objective to be realised which is hidden behindthis technical implementation. In these cases the application of the law looks mostly for-malistic, while the material interest is hidden from view. In other words: in the eyes ofsome parties the Dutch DPA is an ‘administrative burden’ rather than the ‘privacy watch-dog’.

It also strikes me as curious that the fundamental right in question was ultimately con-verted into national legislation on the basis of a European Directive that aims to combatunfair competition. More so than the protection of the citizen, it appears the protection of the consumer was the driving force to arrive at this specific form of codification. This is even more surprising because, in cases in which the statutory sti-pulations are considered too restrictive for the sector-specific objectives to be realised,the central government can introduce new legislation that can still make it possible forthe requirements the WBP imposes on the way personal data is handled to be met. TheWBP therefore appears to have a considerably less binding character in the public sectorthan in the private sector.

In the public debate there has, for some years, been a strong erosion and politicisationof the term ‘privacy’. The action radius of the Dutch DPA is determined by the concretelydescribed instruction in the WBP to make a contribution to the protection of personaldata. This is generally referred to as privacy protection. In the social debate the term ‘pri-vacy’ is also used in a casual sense without even a remote stipulation as to what thisrefers to. In recent years ‘privacy’ has, for many people, also become a political ‘bone of contention’: a vaguely defined interest that supposedly prevents ad-ministrators and professionals from realising politically and socially desirable objectives. In statements from politicians, administrators and other officials – for



instance the now traditional far-reaching New Year’s addresses of Chiefs ofPolice – criticism of ‘privacy’ as an obstacle to action and as a hiding place fordefaulters, fraudsters and other malicious persons has become a recurring coverfor the lack of decisiveness or successful action on the part of organisation inquestion.

What is irritating about these statements is the fact that they are never orhardly ever accompanied by examples to demonstrate exactly what the problemis. Insofar as concrete situations are given as examples that are supposed toshow that the WBP (or any other statutory stipulation that provides for theprotection of personal data) actually obstructs the realisation of politically orsocially desirable objectives it usually becomes clear on closer consideration thatthere was in fact unprofessional conduct on the part of the party complainingabout the obstacle, or – sometimes very – limited knowledge of the possibilitiesthe Act most certainly does provide.

What was and is the essence of what the WBP is supposed to protect? Andhow must this protection be realised? The Dutch Constitution, the EuropeanConvention on Human Rights, the Strasbourg Data Convention and the draftConstitution for the European Union all document privacy protection and, conse-quently, the protection of personal data. The first value is the protection of per-sonal privacy, guarantees against offensive or unwarranted intrusion into the lifeof citizens. The primary objective of this protection is to enable citizens to havea certain freedom of action.

To this effect all individuals want some level of control over what othersknow about them, about the image others have of them. Everyone is entitled toand has an interest in being able to determine, to a certain extent, if, and if soin which way, distribution of information that is generated or stored about himor her is to take place. From the point of view of the citizen and consumer theright of self-determination, autonomy and individual development – always tobe relatively interpreted in a democratic state under the rule of law – are therefore the key values with respect to the norms and the resulting rules fordealing with personal data.

If power and the exercise of power are linked to personal data, an unjusti-fiable restriction of the social opportunities and development of the individualmay result. The technical ‘translation’ into everyday social practice that has beenmade in the WBP means that citizens and consumers are entitled to and must beable to rely on the fact that the government and the private sector will deal withpersonal data in a decent, respectful and transparent manner.

The following chapters of the 2004 annual report list many concrete statedcases and recommendations in which the Dutch DPA, with due observance ofthe law, has tried to fulfil its task as a regulatory authority in a contemporarymanner. The search for an acceptable balance between the seemingly conflictinginterests of protecting personal data on the one hand and market, political or

81introduction


social needs on the other is a recalcitrant one, as this report shows. It is a legi-timate question – and one that must be asked frequently – whether any singlestipulation in the WBP hinders us rather than helps us in this search.

An intensification of the search for an acceptable balance is advisable, bothfor the Dutch DPA and for ‘those responsible’– the government and private par-ties – and, if possible, one that is based on reciprocity. After all, trust betweenpeople and organisations in society is, in part, determined by the way personalprivacy is respected and more specifically the way in which personal data ishandled. Can the individual ‘look over the shoulder’ and determine if, and if sowhat, information is being circulated about him or her? In what way havechecks and balances been implemented so that effective control of the collection, processing and sharing of personal data is possible?

Ultimately, finding a good balance benefits the way in which individuals areable to give their trust to society. A society that is able to generate this socialcapital for its citizens has created an important boundary condition for pros-perity and well-being, for a blossoming civil society, for a society that findsstrength and safety in cohesion.

J. Kohnstamm

chairman



Review of 2004The bombings in Madrid and the murder of Theo van Gogh have resul-

ted in an intensification of the pursuit of a safe society and in particu-

lar of the fight against terrorism. In short order a number of extensions

to the powers of the police and the Ministry of Justice were implemen-

ted or announced, which will result in more and more information on

citizens who are not suspects ending up in police files. For years there

have been calls for extended powers, but the increased threat of terro-

rism since September 11, 2001 has made way for a conviction that such

an extension is in fact necessary.

Needless to say, the Dutch DPA (Dutch Data Protection Authority)

supports the need for the Government to take effective measures to

combat terrorism. However, international treaties, European rules, the

Dutch Constitution and other laws demand that new powers meet the

joint criterion of usefulness and necessity. Legal protection must also

be provided for. It may be necessary to venture out in different directi-

ons in the battle against the new terrorism, but there is no reason to

give up the view that exercise of power and law enforcement must take

place within a system of checks and balances: no powers without

demonstrable necessity and no powers without the use of these powers

being monitored.


83review of 2004

Terrorism and safety

Combating terrorism

In their ‘terrorism’ memorandum to the Lower House on 10 September 2004, theMinister of Justice and the Minister of the Interior and Kingdom Relations announcednew methods and powers for combating terrorism. Among other things, the Governmentenvisaged comprehensive collection, linking and analysis of information about groupsand persons as the key to preventing terrorism. For this purpose, the Government deemed an extension to detection powers to be necessary. It announced it would reducethe legal criterion – ‘suspicion or reasonable suspicion of involvement’ – for the authorisation of such actions as tapping telephones, monitoring Internet use and sur-veillance to ‘indications of involvement’. The information exchange between securityservices, the police, the Public Prosecution Service and the IND (Immigration andNationalisation Service) was to be intensified by means of an information hub, theCounter-terrorism info box, where files would be combined and analysed. According tothe Ministers’ memorandum, for the Government the mere fact that a citizen acts sus-piciously is sufficient reason to put him under surveillance to assess whether the sus-picion is justified or not.

In a public response to the proposals the Dutch DPA came to the conclusion that thenecessity for an expansion of the powers to collect information had not been demon-strated. The new powers would be an addition to the anti-terrorism legislation that cameinto effect on 1 September 2004. The scope of the Criminal Code was expanded with newpenalisations and through increasing the sentences for criminal offences with terroristobjectives. Conspiracy (in other words making arrangements) to commit terrorist actsalso became a criminal offence. No experience has yet been gained with these new legalstipulations for information processing that provides an insight into the usefulness andnecessity of the proposed measures. Added to this there are the recently implemented oryet to be implemented powers to intercept telecommunications and the power to requestinformation from companies and other organisations.

Furthermore, the proposed far-reaching coordination of the gathering of informationfails to recognise the separate legal responsibilities and powers of intelligence servicesand the police. Protecting the security of the state is primarily the business of the in-telligence services. These services have far-reaching powers to collect information at themerest hint of suspicion that the security of the state is at risk. The police can only re-ceive information from, particularly, the General Intelligence and Security Service if thisaids them in their performance of police duties. The Dutch DPA therefore issued a war-ning against a development whereby information on a lot of citizens who are not sus-pects would leave the files of the security services to end up in the police files.

The proposed plans also lacked a proposal for the adequate and structural control ofthe process of collecting and sharing information. It would be a serious shortcoming ifthe Government did not provide for this control. A lot of the work carried out wouldremain hidden, also to persons who were the unjustified subject of an investigation. It istherefore all the more necessary to build in controls for the exertion of these far-reachingGovernment powers. Citizens must be protected against terrorism, but must also be able to have confidence that the Government will exercise its far-reaching powers legitimately.



In 2005, meanwhile, the Dutch DPA has further defined its standpoint in the adviceon the draft legislative proposal regarding special detection powers to track terroristactivities. The Dutch DPA has not received any further information from the Ministers inquestion regarding the CT info box. The Minister of Justice has promised the LowerHouse to provide further written information on this subject.

Telecommunication records

The ongoing Europe-wide debate about a duty to retain telecommunication records forthe purpose of criminal detection was given a new slant in the aftermath of the terroristattacks in Madrid. As a result, the European Council adopted the Declaration onCombating Terrorism on 25 March 2004. This Declaration called for proposals for a man-datory traffic data retention for providers of telecommunication services. The DutchDPA responded to this call and made a substantial contribution to the advice issued bythe Article 29 Working Party – the collaboration of privacy regulators in the EU – in respect of the duty to retain records, which was also submitted to the relevant StandingCommittees in the Upper and Lower House. Building on earlier opinions issued sincethe Nineties and decisions made by the European Court of Justice, the Working Partyformulated the opinion that the proposals for a mandatory traffic data retention withregard to all telecommunication contravene the stipulations of Article 8 of the EuropeanConvention on Human Right (ECHR): no necessity for the long-term retention of all tele-communications traffic data of persons who are not suspects has been demonstrated.Such systematic storage of information is disproportional.

Passenger data

In the opinion of the Article 29 Working Party the outcome of the negotiations betweenthe European Commission and the United States regarding the transfer of passengerdata to the US remained below par on a number of points. Nonetheless, the EuropeanCommission has made a positive decision in respect of the level of protection in the US.The European Parliament brought the matter before the European Court.

The Article 29 Working Party subsequently focused on the proper implementation ofthe final decisions. To this effect a model was created for the provision of information topassengers. The airlines were consulted about the provision of information to passen-gers. The Working Party also urged the earliest possible transition from pull to push, inother words, from opening up the reservation system to the American authorities so thatthey can collect the information required, to the active supply of the necessary data bythe companies themselves.

Duty of identification

Early in 2004 the Dutch DPA advised the Minister of Justice against submitting the legis-lative proposal on the expansion of the duty of identification. The main argument forthis advice was that the legislative proposal created a general duty of identification forcitizens, both to the police and to other supervisory authorities. However, the legislatordid not sufficiently substantiate and justify such a duty of identification.

Only relatively few years ago the Kok Government concluded that a general duty ofidentification would be going too far. The clarification with the legislative proposal did not raise any new arguments and the Government therefore failed to meet the requirement in Article 8, paragraph 2, of the ECHR, which stipulates that infringements

85review of 2004


Results secured in 2004WITH REGARD TO THE OBJECTIVES SET FOR 2004 THE FOLLOWING

RESULTS HAVE BEEN ACHIEVED:

• Employee illnessIn May 2004 the investigation into the main data flows in

relation to employee illness and the associated privacy rules

resulted in the publication of a reference work with practical

rules of thumb: Employee illness and privacy - rules for the

processing of data on sick employees. The reference work was

brought to the attention of the various parties involved in the

reintegration of sick employees and is among the most viewed

publications on the website.

• Police files The investigation into the files of the Criminal Investigation

units of eight regional police forces that was started in 2003

was finalised in 2004. The general findings of the investigation

have been published.

• Investigation into wire tapping rooms At the end of 2004 – later than anticipated – the Dutch DPA

started the preparations for an investigation into the privacy

aspects of data processing in police wiretapping rooms, in a

follow-up to the 2003 Investigation into the safeguarding of

confidential communications of solicitors in the interception of

telecommunications. The investigation will not be completed

until 2005.

• Camera surveillance Building on the investigation Camera surveillance in public

spaces - an investigation into the deployment of camera

surveillance in all Dutch municipalities (2003) a study was

published in December 2004 on the privacy aspects of

camera surveillance in public areas. Cameras in the public

domain - privacy standards for camera monitoring of the

public order offers municipalities rules of thumb for

decision-making and implementation of camera surveillance.

The study is one of the most viewed publications on the

website.

• Citizens Service Number The realisation of the Nationale Vertrouwensfunctie, an

organisation that will be charged with providing citizens with

insight into all the information flows based on the citizens

service number, experienced a delay in 2004. Unfortunately in

2004 it was not yet made possible for the Dutch DPA to start

verifying existing and new data processing procedures and pre-

paring for the future Ombudsman function. This preparation

will now be realised in 2005.

• CertificationThe system of privacy certification devised in collaboration with

NOREA (professional association of IT auditors) and NIVRA

(Royal Dutch Institute of Registered Accountants) was tested in

practice in 2004 using experimental certifications. Deviating

from what was intended initially, and in close consultation with

the partners, the choice was eventually made to leave the

ultimate construction of certification systems entirely to the

market parties. The project was completed in February 2005

with a presentation and publication of the document entitled

Contours for Compliance - a guide for the definition of

standards within the Privacy Audit Framework to interested

organisations.

• Introduction of DBC systemIn the area of health care the Dutch DPA will remain closely

involved in the development and implementation of the

financing system based on the Diagnosis Treatment

Combination.

• National registers in the care sector In 2003 the Dutch DPA completed a preliminary investigation

into five national registers in the care sector. Later than an-

ticipated, general findings and standards for national care

registers were formulated in 2004 on the basis of the study.

• Investigation into the way privacy is experiencedIn 2004 the Dutch DPA instructed TNS Nipo consult (a market

research agency) to carry out a study into the way Dutch citi-

zens experience privacy and what their privacy requirements

are. Similar studies have already been carried out in a number

of European countries. The results will be published in 2005.

• Policy rules and 2nd line position The Dutch DPA has published a number of policy rules for the

treatment of certain categories of cases and the associated

publicity. In the context of the endeavour toward a 2nd line

position the Dutch DPA was able to reach agreements with a

number of sector, trade, umbrella and professional organi-

sations regarding information exchange and distribution of

tasks in the provision of information and processing of com-

plaints.

• Organisational developmentIn 2004 the Investigations department became operational. A

start was made on the development of differentiated research

formats and risk analysis as a tool for policy formulation. The

department played an important role in the Nipo study into the

way citizens experience privacy and also performed the 2004

notifications analysis.

• Dutch DPA websiteAt the end of October 2004 the Dutch DPA went live with a

new website aimed at providing more direct information to

data subjects and data controllers. The material on the website

has been made accessible in a more demand-focused way.

Since the website has been upgraded the number of visitors

has increased notably.



of privacy must be sufficiently justified. Neither were the possible discriminatory andstigmatising effects of the proposal acknowledged. On 1 January the extended and defacto general duty of identification came into force.

Cameras in the public domain

The interest in video surveillance has only increased in recent years. The general publicalso accepts cameras, expecting video surveillance to be effective. Video surveillance,particularly on the part of the Government, has increased considerably in recent years.This is why, in 2003, the Dutch DPA initiated a study into the nature and scope of videosurveillance by Dutch municipalities. Among other things this study showed that 20 percent of municipalities use video cameras and that in many of these municipalitiesthe effectiveness of the video surveillance had not (yet) been evaluated. Subsequently, astudy entitled Cameras in the public domain was published in November 2004 withrules of thumb for decision-making, starting points for the placement and use of cameras, the rights of data subjects, monitoring and evaluation.

Administrative records

The new WAO (Occupational Disability Insurance Act) and the insurance companiesIn respect of the new WAO system the Dutch DPA advocated greater clarity about thepositions the various parties (employer, employee, UWV [employed persons' insuranceadministration agency], reintegration agencies and insurance companies) take up in relation to each other when it comes to the use of personal data. The way in which in-surance companies will deal with personal data in the new system is unclear, and this isnot a desirable situation.

As a result of the new tasks pursuant to the Work and Income based on EmploymentCapacity Act but also, for instance, the new Health Insurance Act, the corporate groupsof which the insurance companies are a part will have access to even more (medical)personal data. This creates the potential for a powerful and influential information position.

Insurance companies do, however, acknowledge the importance of the careful processing of personal data. If the Government fails to establish rules for this type ofprocessing it will be time-consuming and inefficient for the parties involved in the pro-cessing. The Dutch DPA has therefore urgently advocated to the Minister of SocialAffairs and Employment that clarity must be provided in the relevant legislation regar-ding the possibilities and limitations relating to the processing of personal data.

Diagnosis Treatment Combinations

Further to the formulation of the privacy framework by the Ministry of Health, Welfareand Sport (VWS) and Zorgverzekeraars Nederland (Association of Dutch HealthInsurers), it was agreed with the Dutch DPA that the privacy-conscious introduction ofthe Diagnosis Treatment Combinations (DBCs) would be given a follow-up. The sharingof information between the different parties must be done in such a way that there isless detriment to the patient’s privacy and to medical confidentiality. The Dutch DPAplayed an advisory role for a number of work groups. The Dutch DPA also took a criticallook at the structure of the DBC Information System. Agreements were reached with theMinistry of Health, Welfare and Sport and other parties involved regarding minimumguarantees for the coming period. These periodic meetings between the Dutch DPA and

87review of 2004


the different parties will continue in 2005. As the supervisory authority, the Dutch DPAwill remain very alert to the parties’ honouring of their promises.

New police information system

In recent years the different police forces have developed a colourful range of ICT appli-cations to perform the same tasks. Eventually the decision was made to try to achievecountrywide uniformity in the area of ICT. As the supervisory authority for the proces-sing of data by the police, the Dutch DPA was asked to advise regarding the statutoryrules that affect the choice of new systems.

In addition, work also commenced on the revision of the statutory framework for apolice information system. In 2004 the Minister of Justice received advice regarding thedraft legislative proposal on the Police Data Act. The Dutch DPA is able to agree with asystem for processing police data in which the guarantees increase as the processingconstitutes a greater risk for the data subjects involved. There were also three importantareas of criticism. Firstly, more emphasis is needed on the quality of data processed bythe police. Secondly, the Dutch DPA seriously objects to the introduction of so-calledtheme files: large collections of data about citizens who are not suspected of anything.Thirdly, clear regulations are required in respect of retention periods. Data that is nolonger required should be destroyed rather than retained indefinitely ‘just in case’ theinformation might be needed in future.

New Schengen Information system

The purpose of the Schengen Information system is to reinforce control on the outer bor-ders of the European Union. The simple fact that new member states have joined the EUmakes it necessary to update this system. Neither can biometric characteristics be inclu-ded in the system. In September 2004 the Joint Supervisory Authority (JSA) Schengen,under the presidency of the Dutch DPA, issued an opinion about the development of thenew Schengen Information System (SIS II). The JSA requests attention for the protectionof personal data even in the design stage of SIS II. The European Council is called uponto clarify the objective and functions of the new system so that sufficient privacy gua-rantees can be incorporated.

European visa information system

Plans exist for one visa information system for the entire European Union, using biome-tric data. The Article 29 Working Party published an opinion on these plans in August2004. The Work Group points out that the processing of biometric data must meet strin-gent lawfulness standards because the risk of abuse of such data is great. The WorkingParty has serious reservations about the routine, large-scale storage of biometric dataand wants to be involved in the further structuring of the visa information system.

Citizens Service Number

The policy for an ‘electronic Government’, a government that makes optimum use ofinformation technology, including the Internet, was outlined in 2004 in the programmeentitled ‘A different Government’. The introduction of the Citizens Service Number(BSN) is an absolute condition for the success of this programme. The BSN programagency was established with the instruction to implement the plan that was finalised atthe end of 2003.



The Government unexpectedly made the decision – contrary to its earlier promises –to introduce the BSN in the health care sector as well. Health care institutions andhealth insurance companies will be obliged to use this number. The use of a unique per-sonal identification number in the health care sector has inherent risks. Large-scale lin-king of (patient) data becomes easier and, therefore, so does abuse. However, a separatecare identification number – a safeguard against the too-easy distribution of informationon patients and health care recipients – no longer proved feasible in the political andsocial arena. The Dutch DPA subsequently approved the use of the BSN in the healthcare sector, provided it was accompanied with compensatory guarantees, including reliable authorisation procedures for the use of medical data that becomes accessiblewith the number.

In 2005 the Dutch DPA will play a part in the preparation of the so-called NationaleVertrouwensfunctie, an organisation that provides for structural monitoring in the formof, among other methods, one office where citizens can take their questions and com-plaints about the BSN.

Codes of conduct

In 2004 it was possible to approve five sectoral codes of conduct. After a preparatoryprocess spanning many years, in which the Dutch DPA tried to support the sector association, the code of conduct for private investigation agencies was approved early in2004.

The Royal Professional Association of Court Bailiffs developed a code of conductcomprising rules for the special situation whereby court bailiffs act as public func-tionaries and also provide commercial services (for instance debt collection). It is essen-tial that they do not use the information obtained pursuant to their special legal statusas a civil servant in the performance of their non-public activities.

The sector organisation for Recruitment, Search and Selection (OAWS) revised andupdated its code of conduct that indicates for which purposes personal data of potentialcandidates can be processed. The ‘Good Behaviour Code of Conduct’, a code of conductfor health research, was also revised and rules for the processing of patient data inhealth research have been incorporated. New is the code of conduct for the processing ofpersonal data in research and statistics, which was formulated by three organisations:the Association for Policy Research, the Association for Statistics and Research and aprofessional association for market and policy researchers(MarktOnderzoekAssociatie.nl).

In 2004 Zorgverzekeraars Nederland, the sector association for health insurance companies, started on the formulation of rules of conduct for, among other things, theuse of the large quantities of medical data that health insurance companies receive inthe context of healthcare claims. Rules will also be formulated for the investigation offraud committed by an institution, care provider or insurant. This concerns an additionto the Code of Conduct for the Processing of Personal Data of the financial institutions.Expectations are that these rules of conduct can be furnished with an approval in thesummer of 2005.

89review of 2004


Supervision

The annual Spring Conference of the Data Protection Authorities in the European Union,which in 2004 was organised in Rotterdam by the Dutch DPA, focused on effectivesupervision methods and arrangements. The three-day conference was opened on 22 April by Minister of Justice J.P.H. Donner, who called for further collaboration insupervising the enforcement of law and order in Europe within the so-called third pillar,the policy area of the Ministries of Justice and Internal Affairs. The European privacyregulators have now intensified their collaboration in monitoring and advising on theareas of responsibility of the police and the Ministry of Justice.

Supervision of the European collaboration in law enforcement

The national Data Protection Authorities in the European Union jointly supervise theinstitutions in which the national police and Ministry of Justice authorities in Europecollaborate (among others Europol and Schengen), via the so-called Joint SupervisoryAuthorities and Bodies. In 2004 these supervisors of personal data processing (Schengen,Europol, Customs and Eurojust) met for the first time with a view to providing strongeradvice regarding the third pillar. Among other things, they issued a response to thequestions of a Commission of the British House of Lords regarding the combating of terrorism in the European Union and privacy protection.

The regulators advocated improvements to the protection of the fundamental rightsof the individual in respect of his personal data and the supervision thereof. Existinginternational legislation and regulations are not sufficient for this purpose. In view ofthe increasing scale of data processing, often including data on persons who are not sus-pects, there is a need for new specific rules for the police sector.

Private investigation

In 2004 a special supervisory arrangement was created for the private investigation sec-tor. The Act for Private Security Organisations and Detective Agencies does standardisethe sector, but rules for the realisation of investigations and the further processing of thedata collected in such investigations were lacking. The scope of the code of conduct ofthe Association of Private Security Organisations, which provides for this, was expan-ded because the Minister of Justice made this code of conduct mandatory for all privateinvestigation agencies by Ministerial decree. The Dutch DPA and the Minister of Justicehave entered into collaboration for the monitoring of compliance with this code of con-duct.

Work and Assistance Act

For the purpose of monitoring compliance with the new Work and Assistance Act theIWI (Work and Income Inspectorate) and Dutch DPA have expressed their intention toenter into a collaboration agreement in 2005. Through collaboration and the sharing ofknowledge more effective and efficient supervision will be possible. Collaboration alsopromotes unambiguous supervision because the standards used by the regulators can becoordinated. This can also lessen the regulatory pressure for organisations under super-vision. For example, the agreement will stipulate arrangements in respect of sharingsupervisory information and the mutual provision of information regarding the resultsof investigations.



Objectives in 2005IN 2005 THE FOLLOWING ISSUES AND OBJECTIVES WILL BE

PRIORITISED:

• Security and privacySecurity and privacy are not necessarily mutually exclusive. The

Government’s endeavour to achieve a much stronger informa-

tion position with regard to citizens (who are mostly not sus-

pected of anything) does however raise some essential

questions. The supervision of the way certain powers are used

and of the information gathered on citizens is, wrongly, not yet

sufficiently regulated. Where supervision and control are regu-

lated, there is sometimes poor compliance with the rules. In a

response to the developments in the area of security and the

combating of terrorism the Dutch DPA will, in 2005, publish its

standpoints and consider the investigations that need to be

carried out into compliance with privacy rules in this area.

• Special police registers The Dutch DPA considers it one of its tasks to provide structu-

ral supervision of the special police registers, as these are not

or hardly accessible to citizens or to the courts. In 2005 the

Dutch DPA will once again investigate a number of files from

these registers and publish a report of its general findings.

• Private investigation agencies In 2005 the Dutch DPA will investigate compliance with the

sectoral code of conduct by private investigation agencies, by

means of a random check.

• Risk selection Profiling is the assessment of individuals on the basis of group

characteristics. This concerns inclusion and exclusion of people

on the basis of an analysis using a profile. Profiling has the

inherent risk of unfair treatment. This year the Dutch DPA will

organise an expert meeting on risk selection. Based on the

results of this meeting the Dutch DPA will decide whether it

will further define, in a publication, the privacy rules for the

use of group profiles in risk selection.

• Internet and privacyThe Internet confronts users with questions about their privacy,

the security of their personal details and the possible abuse of

these details. The Internet also confronts the Dutch DPA with

new questions about its authority as a regulator and the effec-

tive supervision of the Internet. The Dutch DPA will determine

and publish its position as a regulator in respect of the Internet.

This also includes the formulation of specific standards in a

number of areas. The focus will be on publications on websites,

seen from the angle of the privacy problems that citizens ex-

perience on the Internet in everyday practice.

• Information obligation Authorities, companies and other organisations have the sta-

tutory obligation to inform people whose personal data they

use of this fact and its purposes. Compliance with this infor-

mation obligation is an important guarantee that citizens are

able to exercise their rights in respect of their personal data.

The information obligation is being insufficiently complied with.

The Dutch DPA will pay extra attention to this in 2004, both in

its information provision and by means of investigations.

Compliance with the information obligation will be inves-

tigated, particularly also among private detective agencies and

in respect of combating Social Security fraud.

• Investigation of the notification obligation Also in 2005 the Dutch DPA will carry out a random check of

compliance with the notification obligation in a number of sec-

tors, based on an analysis of the public register of notifications.

• Administrative burden The Dutch DPA will formulate proposals for the reduction of

the administrative burden experienced by companies (and

authorities), whilst retaining the current level of protection of

personal data. Further to proposals made toward the end of

2004, the Dutch DPA will enter into consultations with the

Minister of Justice to discuss a broadening of the exemptions

of the notification obligation. The Dutch DPA will also suggest

that the permit obligation for the transfer of personal data out-

side the EU be abolished if companies use standard contracts

approved by the European Commission.

• Binding Corporate Rules The Dutch DPA will actively contribute to simplifying the rules

for the transfer of personal data to data controllers outside the

European Union. Among others the Dutch DPA will work

toward European agreements in respect of a uniform procedure

for applying for permits and in respect of co-ordinated pro-

cessing of permit applications based on so-called binding

corporate rules (BCRs): self-regulation tools for the processing

of personal data within companies operating on an inter-

national basis.

• Collaborations Collaborations aimed at dealing with social issues (safety, nui-

sance in neighbourhoods, outreach assistance, youth care) are

receiving a lot of attention. In this context privacy legislation is

often – and often wrongly – seen as an obstruction. The Dutch

DPA will contribute to clarifying the rules for the necessary

exchange of personal data in collaborations. In April 2005 the

Dutch DPA is organising a symposium on privacy in colla-

borations. Together with Vide, the professional association for

regulators, the Dutch DPA will organise a symposium for

inspectorates etc. about their position as a participant in

collaborations and as a regulator of organisations that par-

ticipate in collaborations.

91review of 2004


• Supervision and regulators The Dutch DPA aims for efficient and effective supervision of

compliance with the rules for processing of personal data.

Umbrella and trade organisations will be contacted regarding

their responsibility for self-regulation, among other means by

the publication of a guide for compliance assessment. The

Dutch DPA also stimulates the appointment of data protection

functionaries and, in 2005, will focus on the qualitative impro-

vement of this internal supervision.

The Dutch DPA will issue advice to the Minister of Justice

aimed at resolving obstacles the regulators are faced with as a

result of the Personal Data Protection Act.

The Dutch DPA will enter into a collaboration with the OPTA.

With a view to effective supervision, collaborations with vari-

ous other regulators (including the IWI) will also be assessed.

Together with the Equal Treatment Commission, the National

Ombudsman and the Study and Information Centre for Human

Rights, the Dutch DPA aims to advise the Government on the

desirability of a National Human Rights Institute.

• Health Care and Social Security The introduction of market mechanisms and increased indi-

vidual responsibility are focal points in both sectors. In both

systems insurance companies are given a prominent role that

will result in a more intensive collection of often sensitive data

on individual citizens and the exchange of this information

within conglomerates. However, clear rules for the use of per-

sonal data are lacking.

The Dutch DPA will continue to highlight the privacy risks

associated with the partial privatisation of health care and

security systems. As a regulator the Dutch DPA will closely

monitor the introduction of the Diagnosis Treatment

Combinations (DBC) system. An exploratory investigation

among health insurance companies into the use of medical

data by health insurers will also be carried out.

In 2005 the Association of Dutch Health Insurers (ZN) will re-

vise the addendum to the Code of Conduct for financial in-

stitutions and expand its scope with rules for material controls

and rules about the use of claim details. The Association will

submit this addendum to the Dutch DPA for approval.

A normative framework for the social services will also be

published: ten basic principles the social services must comply

with when processing personal data.

• Citizens Service Number The introduction of the citizens service number (BSN) is cur-

rently the focal point in the development of the Government

information infrastructure. The Dutch DPA was intensely in-

volved in the preparation of this system. Through participation

in the BSN steering committee and in the working party for the

Nationale vertrouwensfunctie (an organisation that will be

charged with providing citizens with insight into all the infor-

mation flows based on the citizens service number), the Dutch

DPA aims to ensure that the agreed privacy guarantees are in

fact realised. In the context of the Nationale vertrouwens-

functie the Dutch DPA itself will be responsible for the National

Ombudsman function and the verification of data exchange

based on the BSN and will be preparing for the implementation

of these tasks in 2005.

• Evaluation of the Personal Data ProtectionAct The Dutch DPA will prepare to make a contribution to the

evaluation of the Personal Data Protection Act, which is ex-

pected to take place in 2006 (Article 80 of the Personal Data

Protection Act).



Health Insurance Act

The new Health Insurance Act provides for a mandatory standard of health insurancefor all residents. In 2004 the Dutch DPA advised that, in respect of the legislative pro-posal, more concrete standards be set for the use and exchange of personal data in thecontext of health insurance. The structural supervision of health insurance companieswould otherwise mainly be limited to highlighting unlawful situations in insurance-related, financial and administrative areas. Supervision of the processing of personaldata must also be specifically included in the legislative proposal because the processingof personal data by the health insurance companies also requires structural supervision.In addition the draft addendum of the Association of Dutch Health Insurers (ZN) withthe Code of Conduct for the Processing of Personal Data for financial institutions mustbe adjusted.

Spam

Unsolicited e-mails sent in large quantities, better known as spam, are a nuisance, aredifficult to eliminate and incur high costs for Internet service providers, and thereforefor their customers. According to recent estimates approximately three quarters of all e-mails sent worldwide are spam. The European Directive on ElectronicCommunications (2002/58) prohibits the sending of unsolicited commercial messagesand the European regulators supervising compliance with this prohibition work togetherin the so-called Contact Network of Spam Authorities to exchange information andfacilitate collaboration in the enforcement of the prohibition in the EU. A collaborationagreement has also been formulated for this purpose.

In the Netherlands the OPTA (Independent Post and Telecommunications Authority)and the Dutch DPA signed, on 19 October 2004, agreements regarding collaboration inrespect of the prohibition on spam, which in the Netherlands has been in force since 19 May 2004. The Dutch DPA will focus primarily on supervising the collection and useof e-mail addresses. Individual complaints regarding spam can be addressed to theOPTA via www.spamklacht.nl. The practical agreements about dealing with spam con-stitute a prelude toward a broader collaboration protocol in 2005.

Investigation and enforcement

Criminal investigation units

In 2003 and 2004 the Dutch DPA carried out investigations into special police registersheld by the criminal investigation units (CIE) of the regional police forces. Pursuant tothe Police Files Act (Wpolr) the Dutch DPA is the regulator supervising the use of thepolice files. In this position the Dutch DPA has access to the content of the CIE files.Because of their sensitive nature these files are, quite rightly, largely protected fromaccess by the registered persons involved and from supervision by the court. In this con-text the Dutch DPA considers it a special responsibility to substantively supervise theCIE files.

In its investigations the Dutch DPA focused mainly on checks based on the content ofthe files, and a number of technical and organisational aspects were also taken into con-sideration. The general picture emerging from the investigation is mostly positive. Thesubstantive aspects that were investigated generally proved to be in order. With regard

93review of 2004


to the investigated technical and organisational aspects it became clear that on a numberof points the rules imposed by legislation and regulations are not being met. The policeforces have indicated that, whilst awaiting an information system to be implemented ona national basis, they will not make any adjustments to the current systems andmethods.

Schengen Information system

In 2004 the JSA Schengen asked the national supervisory authorities of the member sta-tes linked to the Schengen Information System (SIS) for an investigation into the practiceof registering foreign nationals in the system. JSA Schengen received reports at the endof June 2004 and the end of December 2004. A number of registrations have raisedquestions for the Dutch DPA and these registrations will be investigated further.

National registers in the health care sector

In 2004 the Dutch DPA completed its investigation into the operation of nationalregisters in the health care sector with a report that was published in April 2005. Thekey questions of the exploratory investigation were: what does the patient know aboutthe registration of his data in national data banks, for what exact purposes are theseregisters used and can the information in these registers be traced back to the individualpatients. In view of the sensitivity of the information and the professional secrecy thatapplies to physicians, partly in view of this sensitivity, the law currently only offerslimited possibilities for the processing of (indirectly) traceable patient data.

The investigation of five national registers gave the Dutch DPA the impression thatthe investigated national registers generally handle the personal data reasonably well. It also emerged that, in nearly all cases, improvements were possible and necessary. Themain measure to be implemented is limiting the traceability of the data to individualpatients. A number of recommendations have now been adopted by the registers.

Compliance with the notification obligation

Pursuant to the Personal Data Protection Act (WBP) companies, organisations and in-stitutions are obliged to notify the processing of personal data to the Dutch DPA or theirData Protection Officer, unless there is an exemption. If data processing has wronglybeen notified incorrectly or incompletely, or has not been notified at all, the Dutch DPAcan impose a penalty to a maximum of 4,500 Euro. Notifications from certain sectors orregarding certain types of processing are periodically subjected to a further investi-gation. The Dutch DPA also carries out such investigations as a result of complaintsfrom data subjects.

In 2004 the annual investigation focused on three sectors, namely tele-communications, mental health care and the debt collection sector. The investigationswill be finalised in 2005 and sanctions may or may not be imposed.

As a follow-up to specific information provided to the telecom sector the Dutch DPAchecked whether a number of providers of telecommunications services (fixed and mobile telephony and Internet) complied with the notification obligation. This inves-tigation focused specifically on the notification of the processing of telecommunicationtraffic data.

In a number of Area Health Authorities (GGDs) the Dutch DPA investigated the notification of the processing of personal data in the context of the Public Mental Health



Care (OGGZ). It is the legislator ’s opinion that this processing carries specific risks forthe privacy of the citizens involved; when notifying the Dutch DPA of the processing thedata controller must therefore also request an investigation into the lawfulness of theprocessing, the so-called preliminary investigation.

Analysis of the WBP notifications register showed that the number of notifications bydebt collection agencies lags behind considerably. Supervision in this sector was aimedat investigating to what extent debt collection agencies process personal data and towhat extent they rightly failed to notify the processing of personal data.

Penalties for municipalities and companies

In 2003 the Dutch DPA performed the first random check on the compliance with theWBP notification obligation among a number of municipalities, health insurance com-panies, internal and external Occupational Health & Safety services (arbodiensten) anddirect marketing companies. The number of WBP notifications increased strongly afterthese initial checks, not only in the investigated sectors but also among the privatedetective agencies, the police and in the health care sector.

A total of 50 investigations were carried out in the context of this initial check. In anumber of cases a supplementary check was carried out on site in order to establish thefacts. At the end of 2003 the random check resulted in the first penalties for a munici-pality and two companies.

In the course of 2004 the CPB imposed a total of 29 penalties ranging from € 3,000 to€ 15,000. In a number of cases the Dutch DPA used its authority to reduce the penalty,especially if, as in the case of municipalities, there was a high level of processing of per-sonal data. The main consideration was that even a reduced penalty would achieve itsobjective, namely a special and general preventative effect.

The aforementioned penalties were imposed on 14 municipalities, 3 direct marketingcompanies, 3 health insurance companies and 9 Occupational Health & Safety services.Most municipalities submitted an objection against the penalty; a number of munici-palities have now paid the penalty. None of the private organisations except one sub-mitted an objection and nearly all have now paid. All the organisations involved havenow notified the Dutch DPA of their processing of personal data.

95review of 2004



96

COLOFON

Jaarverslag 2004

©College bescherming persoonsgegevens, Den Haag, mei 2005.

Niets uit deze uitgave mag worden verveelvoudigd en/of openbaar gemaakt

door middel van druk, fotokopie, microfilm of op welke wijze dan ook,

zonder voorafgaande schriftelijke toestemming van het College bescherming persoonsgegevens.

Met medewerking van:

J.H.M. Baart, R.R.A. Beugelsdijk, J.W. Broekema, M.A.H. Fontein, N.W. Groenhart, W.J. van Helden,

G.O. van de Klashorst, J. Kohnstamm, P. Krul, S. Lieon, C.E. Romanesko, J.P. van Schoonhoven, N. van Seumeren,

B. Schippers, B. den Uyl, J.A.G. Versmissen.

Eindredactie: G.O. van de Klashorst

Ontwerp: Proforma en De Stal, ontwerpers en adviseurs (Miriam Monster)

Fotografie college: Mark Kohn

Vertaling: Amstelveens Vertaalburo

Druk: Deltahage B.V. (Den Haag)

jaarverslag 2001 - in vogelvlucht · 2004 in vogelvlucht pagina 8 de strijd tegen het terrorisme is...

Documents