Registratiekamer

Wetsvoorstel Wet bescherming persoonsgegevens

13 januari 1999, 99a0007.01
De Registratiekamer heeft met bijzondere belangstelling kennis genomen van de nota naar aanleiding van het verslag van uw commissies en de nota van wijziging inzake het voorstel voor de Wet bescherming persoonsgegevens (TK, 1998-1999, 25 892, nrs. 6 en 7). Mede gelet op haar taak de regering en de beide kamers der Staten-Generaal op dit terrein te adviseren (zie art. 37 lid 3 WPR en art. 28 lid 2 Richtlijn 95/46/EG) draagt de Registratiekamer in dit stadium graag bij aan de behandeling van het wetsvoorstel.De Registratiekamer heeft behalve op de twee hierna te noemen punten er van afgezien om kanttekeningen te plaatsen bij de inhoud van de nota van wijziging, ofschoon de besluitvorming over deze nota weinig doorzichtig is verlopen. In deze brief wil zij eerst enkele algemene opmerkingen maken over de discussie die de afgelopen tijd over de WBP is gevoerd. Daarna wil zij uw aandacht in het bijzonder vragen voor een tweetal aspecten van het wetsvoorstel die in de thans voorliggende versie onvoldoende tot hun recht komen. Aan het slot van de brief wordt ook in het kort ingegaan op de consequenties van de verlate implementatie van Richtlijn 95/46/EG. In paragraaf 5 zijn de conclusies kort samengevat.

Algemeen
In de discussie die de laatste maanden, in het bijzonder vanuit het bedrijfsleven, over het wetsvoorstel wordt gevoerd, lijken vooral twee elementen naar voren te komen: beduchtheid voor te ver gaande juridisering van de privacybescherming en beduchtheid voor een niet op de praktijk afgestemde toepassing daarvan. In dit verband wordt niet zelden gewezen op de voordelen die de ontwikkeling van elektronische produkten en diensten, ook voor burgers en consumenten, kunnen gaan opleveren. Een te strakke inkadering van deze ontwikkeling door wettelijke regels en toezicht zou de samenleving als geheel niet ten goede komen.

Ook de Registratiekamer hecht veel waarde aan een evenwichtige invulling van de privacybescherming. Zij waarschuwt tegen een onjuiste beeldvorming over de feitelijke inhoud van het bij uw Kamer aanhangige voorstel voor de WBP of over de praktijk onder de huidige WPR. De Registratiekamer wil bij het onderhavige wetsvoorstel in het licht hiervan graag de volgende kanttekeningen plaatsen.

Informatiemaatschappij
Steeds duidelijker kan worden vastgesteld dat de ontwikkeling en toepassing van nieuwe informatie- en communicatietechnologie (ICT) in de komende jaren een zeer grote impact zullen gaan hebben op de maatschappelijke verhoudingen. De implicaties hiervan onttrekken zich grotendeels aan de waarneming van de gemiddelde burger. Het is van cruciaal belang voor de leefbaarheid van de samenleving, dat deze ook in de toekomst gegrondvest blijft op de beginselen van de rechtsstaat. Daarin spelen niet alleen economische overwegingen een rol, maar zullen burgers, werknemers en consumenten zowel off line als on line moeten kunnen blijven rekenen op een adequate bescherming van hun fundamentele rechten en vrijheden, waaronder het recht op privacy. Dit vergt een toereikend wettelijk kader waarin deze rechten en vrijheden door betrokkenen kunnen worden geldend gemaakt en zo nodig afgedwongen. Ook de economische ontwikkeling van de informatiemaatschappij is daarmee gediend. Het vertrouwen van burgers, werknemers en consumenten in de nieuwe vormen van ICT is immers een onmisbaar element voor de acceptatie daarvan. Dit inzicht heeft in EU-verband geleid tot de totstandkoming van Richtlijn 95/46/EG, waarvan het wetsvoorstel de noodzakelijke implementatie vormt. De inhoud van het wetsvoorstel spoort geheel met deze uitgangspunten en belangen.

Zelfregulering
Anders dan soms wordt gesuggereerd, laat het wetsvoorstel aanzienlijke ruimte voor nadere invulling via zelfregulering, hetzij op het niveau van sectoren en branches, hetzij in afzonderlijke bedrijven en instellingen. De Registratiekamer hecht zeer aan deze vorm van privacybescherming. Op grond van artikel 15 WPR heeft zij tot dusver twaalf gedragscodes voor bepaalde sectoren goedgekeurd. De geldende wettelijke regeling is op hoofdlijnen terug te vinden in artikel 27 van de richtlijn en artikel 25 WBP. Daarbij is rekening gehouden met de ervaringen die in de praktijk zijn opgedaan. Het betrekkelijk open karakter van de algemene bepalingen van de WBP biedt alle ruimte voor een verdere ontwikkeling van de zelfregulering. De Gedragscode voor het verzekeringsbedrijf (Stcrt. 1998, nr. 44) is daarvan het meest recente voorbeeld. In deze gedragscode is al op de WBP vooruit gelopen. Daarnaast zij gewezen op de introductie van de functionaris voor de gegevensbescherming. Binnen een bedrijf of branche kan deze een sleutelrol gaan vervullen.
Zelfregulering via gedragscodes of op andere wijze vindt uiteraard haar grens in de rechten en plichten die de wetgever heeft vastgelegd. Daarom voorziet het wetsvoorstel ook in toezicht op de kwaliteit van de zelfregulering en op de naleving van de wettelijke regeling in het algemeen. Dit toezicht vormt het logische sluitstuk op de zelfregulering. Zo zijn de randvoorwaarden voor een evenwichtige ontwikkeling van de zelfregulering in de informatiemaatschappij verzekerd.

Viersporenbeleid
De in artikel 28 van de richtlijn beoogde rol van het onafhankelijke toezicht kan niet beperkt blijven tot de juridische dimensie. Een effectieve bescherming van de persoonlijke levenssfeer vergt een aanpak langs verschillende sporen. Bij de uitvoering van haar wettelijke taken draagt de Registratiekamer bewust bij aan de invulling van dit meersporenbeleid (Jaarverslag 1997, blz. 17). Het eerste spoor is gericht op voorlichting en bewustwording. Daartoe behoort ook onderzoek naar de privacy-aspecten van nieuwe informatietechnologie (technology assessment). Een voorbeeld hiervan vormt de publikatie van de Registratiekamer over datawarehousing en datamining (Gouden bergen van gegevens, september 1998, Achtergrondstudies & Verkenningen, nr. 10).Het tweede spoor is gericht op ontwikkeling van normen om het gebruik van informatietechnologie in goede banen te leiden. Een belangrijk aspect daarvan is het bevorderen van zelfregulering en privacykwaliteitsbeleid. Verwezen zij in dit verband naar de richtlijnen voor videobewakingssystemen in het rapport In beeld gebracht (Registratiekamer, januari 1997).Het derde spoor is gericht op inzet van informatietechnologie in het kader van de privacybescherming. Zie onder meer de studie over privacy-enhancing technologies (PET) die in 1995 in samenwerking met de zusterorganisatie uit Canada is uitgebracht (Achtergrondstudies & Verkenningen nr. 5A en 5B; in bewerkte vorm herdrukt als nr. 11). In dit spoor zoekt de Registratiekamer samenwerking met het bedrijfsleven en reikt zij oplossingen aan die een privacy-vriendelijke praktijk faciliteren. Het vierde spoor is gericht op doorwerking van privacybescherming in de praktijk via privacy-audits en andere vormen van handhaving. Onlangs rondde de Registratiekamer de privacy-audits inzake NSIS en enkele GBA's af. De resultaten van eerdere privacy-audits bij de politie, een ziekenhuis en een handelsinformatiebureau zijn via voorlichtingsbijeenkomsten in de betrokken sectoren breed uitgezet.
In het kader van dit viersporenbeleid richt de Registratiekamer zich dus niet alleen op de handhaving in strikte zin, maar ook op het signaleren van bedreigingen en het stimuleren van privacyvriendelijke praktijken. Een belangrijk deel van haar werkzaamheden betreft dan ook het voorlichten en adviseren van overheid en bedrijfsleven inzake zorgvuldige omgang met persoonsgegevens. Op deze laatste gebieden zoekt zij zoveel mogelijk samenwerking met andere instellingen en organisaties. Soms is daarbij sprake van betrokkenheid bij de ontwikkeling van nieuwe produkten of diensten. De onafhankelijkheid van de Registratiekamer staat hier uiteraard steeds voorop. Zij draagt zo bij aan een deugdelijke borging van de privacybescherming in de informatiemaatschappij. Naast de juridische invalshoek is dus een breed scala van activiteiten aan de orde om op uiteenlopende wijze het in de wet en EG-richtlijn beschermde belang van privacy te effectueren. De Registratiekamer is zich in dit verband tenslotte zeer bewust van het feit dat zij als zelfstandig bestuursorgaan steeds is gebonden aan beginselen van behoorlijk bestuur en zorgvuldigheid in het maatschappelijk verkeer. Dat het wetsvoorstel voorziet in een betere rechtsbescherming tegen haar optreden als toezichthouder ziet zij als een logische bezegeling van dat feit.

Artikel 13 WBP
Bij brief van 25 juni 1998, nr. 98.A.0558, inzake WBP en PET, waarvan afschrift is gezonden aan de vaste commissies voor Justitie en Binnenlandse Zaken, heeft de Registratiekamer bij de Minister van Justitie gepleit voor een verduidelijking van artikel 13 van het wetsvoorstel. Op grond van deze bepaling dient de verantwoordelijke passende technische en organisatorische maatregelen ten uitvoer te leggen om persoonsgegevens te beveiligen tegen enige vorm van onrechtmatige verwerking. Deze formulering strookt met artikel 17 van de richtlijn en bevat een belangrijke toevoeging aan artikel 8 WPR. In de toelichting bij artikel 13 wordt er terecht op gewezen, dat de nieuwe beveiligingsverplichting zich uitstrekt over alle onderdelen van het proces van gegevensverwerking (TK, 1997-1998, 25 892, nr. 3, blz. 98). Dit brengt met zich mee dat de verantwoordelijke ook passende maatregelen zal moeten nemen tegen het verzamelen, vastleggen en bewaren van persoonsgegevens in strijd met de voorwaarden die daaraan elders in de WBP zijn gesteld. Dat betekent weer dat het verzamelen van persoonsgegevens zonder toereikende grondslag als bedoeld in artikel 8 WBP zal moeten worden tegengegaan. Meer in het algemeen moet het voorgestelde artikel 13 WBP de verantwoordelijke er toe aanzetten de juridische normen van de wet te vertalen in de feitelijke inrichting van informatiesystemen en daarmee ook rekening te houden bij het ontwerp en de verdere ontwikkeling van die systemen.

In een aantal gevallen zal het voor de hand liggen om hierbij gebruik te maken van privacy enhancing technologies (PET). Daarbij kan worden gedacht aan het inzetten van middelen om het vastleggen van persoonsgegevens tegen te gaan, maar ook aan de toepassing van voorzieningen om het gebruik van die gegevens tot bepaalde doeleinden te beperken. De Registratiekamer verwijst in dit verband met instemming naar het voornemen van de regering om de toepassing van PET waar mogelijk te stimuleren (Nota Wetgeving voor de elektronische snelweg; TK, 1997-1998, 25 880, nrs. 1-2, blz. 130). De inzet van deze middelen zal mede afhankelijk zijn van de maatstaven die artikel 13 WBP daartoe in aansluiting op Richtlijn 95/46/EG aanlegt. De Registratiekamer neemt echter aan dat een passend beveiligingsniveau als bedoeld in artikel 13 in steeds meer gevallen zonder inzet van PET niet meer mogelijk zal zijn. Onder verwijzing naar de situatie in de Duitse Bondsrepubliek en de ervaringen die daarmee zijn opgedaan, heeft de Registratiekamer geadviseerd een bepaling toe te voegen aan artikel 13 WBP waarin de hiervoor bedoelde benadering wordt ondersteund. Nu de regering dit advies niet heeft gevolgd, wil de Registratiekamer er bij u op aandringen dit alsnog te doen. Daarom stelt zij voor aan artikel 13 WBP een volzin toe te voegen luidende: De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.Deze toevoeging maakt het mogelijk dat het toezicht minder gericht kan zijn op individuele gevallen van onrechtmatig gegevensgebruik, en in plaats daarvan aandacht kan geven aan de structurele inrichting van informatiesystemen. In het kader van de zelfregulering zou dit kunnen leiden tot vormen van certificering en controle door derden. De ontwikkeling van de benodigde produkten en diensten zal op zijn beurt ook allerlei nieuwe vormen van bedrijvigheid kunnen stimuleren. Dit is een voorbeeld van creatief inspelen op de maatschappelijke behoeften aan privacybescherming en verankering van systeemvertrouwen.

Bestuurlijke boeten
De nota van wijziging (onderdeel CC) heeft ertoe geleid, dat de aanvankelijk in het wetsvoorstel voorziene bevoegdheid tot het opleggen van bestuurlijke boeten is geschrapt. De motivering die daarvoor in de toelichting op de nota is gegeven, acht de Registratiekamer volstrekt ontoereikend. In de memorie van toelichting op het wetsvoorstel (TK, 1997-1998, 25 892, nr. 3, blz. 186 e.v.) is betoogd waarom het noodzakelijk en verantwoord is dat bij het handhaven van de meldingsplicht gebruik kan worden gemaakt van de bedoelde bevoegdheid. In het verslag van uw commissies is daarop geen kritiek uitgeoefend. Het wekt dan ook verbazing dat de regering heeft besloten dit onderdeel van het voorstel te schrappen. De Registratiekamer wil er in dit verband op wijzen dat de ondeugdelijkheid van de thans voorgestelde handhaving van de meldingsplicht via het strafrecht, in de afgelopen jaren onder de WPR afdoende is gebleken. Telkens wanneer zij het voornemen opperde van een strafrechtelijk optreden tegen het niet-nakomen van de aanmeldingsplicht onder de huidige wet, werd van de zijde van het openbaar ministerie te kennen gegeven dat men daarvoor geen handhavingscapaciteit ter beschikking kon stellen. Daardoor is artikel 50 WPR geheel tegen de bedoeling van de wetgever tot dusver een dode letter gebleven. Het continueren van deze situatie is niet verenigbaar met de nieuwe ambities die de wetgever uitspreekt in de WBP. In de visie van de Registratiekamer ontstaat aldus een situatie die niet kan worden beschouwd als een juiste uitvoering van artikel 24 van de richtlijn. Deze bepaling vergt passende maatregelen om de onverkorte toepassing van de bepalingen van de richtlijn te garanderen. Een situatie die structureel zo te wensen overlaat als de onderhavige, kan niet als zodanig worden aangemerkt.

De Registratiekamer tekent hierbij nog aan dat het voorstel tot het in de wet opnemen van de bevoegdheid om bestuurlijke boeten op te leggen, onderdeel uitmaakte van een zorgvuldig pakket van maatregelen om een juiste toepassing van de voorgestelde wettelijke regeling zoveel mogelijk te waarborgen. Het nu zonder meer schrappen van die bevoegdheid haalt een belangrijke steen weg uit het wettelijk bouwwerk. De keuze voor het strafrecht past ook zeker niet bij de filosofie van het strafrecht als ultimum remedium. Op grond van het bovenstaande dringt de Registratiekamer er bij u met klem op aan de geschrapte artikelen 66 tot en met 74 weer in het wetsvoorstel op te nemen.

Verlate implementatie
De Registratiekamer wil er tenslotte op wijzen dat de verlate implementatie van Richtlijn 95/46/EG aanleiding kan geven tot problemen die de rechtszekerheid geweld aandoen en waardoor de burger nadeel kan ondervinden bij de uitoefening van zijn rechten. In enkele commentaren is de onjuiste indruk gewekt, dat het overschrijden van de termijn voor de implementatie van de richtlijn geen belangrijke consequenties zou hebben en dat er zelfs nog tijd beschikbaar zou zijn voor het overwegen van alternatieven. Met het oog daarop verwijst de Registratiekamer naar bijgevoegd memorandum waarin op de consequenties van implementatie na de vastgestelde datum wordt ingegaan. Zichtbaar wordt daarin gemaakt, dat het niet op tijd uitvoeren van de richtlijn tal van ongewenste juridische consequenties zal hebben. De behandeling van het wetsvoorstel dient dan ook zodra mogelijk te worden afgerond.

Conclusies
De Registratiekamer geeft u in overweging bij de verdere behandeling van de WBP rekening te houden met de inhoud van de paragrafen 1 en 4 en de bijlage van deze brief. Daarnaast dringt zij er bij u op aan te zorgen voor aanvulling van artikel 13 WBP met een bepaling tegen onnodige verzameling en verwerking van persoonsgegevens, om het gebruik van PET-technologie te stimuleren (zie paragraaf 2), invoeging van de bij nota van wijziging geschrapte artikelen 66 tot en met 74 over de bevoegdheid tot oplegging van bestuurlijke boeten bij overtreding van de meldingsplicht (zie paragraaf 3). De Registratiekamer is desgewenst gaarne bereid om dit advies mondeling toe te lichten.

Deel: ' Wetsvoorstel betreft de Wet bescherming persoonsgegevens '
Lees ook