ACTUALITEITEN PRIVACY DEEL I SPREKER MR. IR. J.M. VAN ESSEN. ADVOCAAT NAUTADUTILH N.V. 17 APRIL 2013 15:00 – 17:15 UUR
WWW.AVDRWEBINARS.NL WEBINAR 0274
W E B I N A R S
H O O G L E R A R E N
De Academie voor de Rechtspraktijk heeft onder de naam Magna Charta Webinars 30 hoogleraren bereid gevonden webinars te verzorgen op de verschillende rechtsgebieden.
Prof. mr. B.J. van Ettekoven, senior rechter Rechtbank Utrecht en hoogleraar Bestuursrecht Universiteit van Amsterdam Prof. mr. dr. I.N. Tzankova, bijzonder hoogleraar Comparative mass litigation Universiteit van Tilburg, advocaat BarentsKrans N.V. en mr. C.M. Verhage, advocaat BarentsKrans N.V. Prof. mr. G.T.M.J. Raaijmakers, hoogleraar Ondernemings- en Effectenrecht Vrije Universiteit Amsterdam, advocaat NautaDutilh N.V. Prof. mr. F.T. Oldenhuis, universitair hoofddocent aan de vakgroep Privaatrecht en Notarieel Recht van de Rijksuniversiteit Groningen Prof. mr. F.W.J.M. Schols, hoogleraar Privaatrecht, in het bijzonder notarieel recht, Radboud Universiteit Nijmegen, estate planner Prof. dr. M.B.M. Loos, hoogleraar Privaatrecht Universiteit van Amsterdam Prof. mr. J.G.J. Rinkes, hoogleraar Privaatrecht Open Universiteit, bijzonder hoogleraar Europees Consumentenrecht Universiteit Maastricht, raadsheer-plaatsvervanger Hof Arnhem, rechter-plaatsvervanger Rechtbank Rotterdam, adviseur Paulussen advocaten Prof. mr. M.M. van Rossum, hoofd Wetenschappelijk Bureau Deterink Advocaten en Notarissen, bijzonder hoogleraar Privaatrecht Open Universiteit Heerlen Prof. mr. M.E. Koppenol-Laforce, hoogleraar Faculteit Rechtsgeleerdheid, Instituut voor Privaatrecht, Ondernemingsrecht, Universiteit Leiden, advocaat Houthoff Buruma Prof. mr. drs. M.L. Hendrikse, bijzonder hoogleraar Handelsrecht en Verzekeringsrecht Open Universiteit (JPR advocatenleerstoel), directeur UvA Amsterdam Centre for Insurance Studies (ACIS), opleidingsdirecteur Master Verzekeringskunde UvA Amsterdam Business School, universitair hoofddocent Privaatrecht Universiteit van Amsterdam, rechterplaatsvervanger Rechtbank Utrecht, lid geschillencommissie Kifid (verzekeringskamer) Prof. mr. G.C.C. Lewin, bijzonder hoogleraar Bijzondere aspecten van het Privaatrecht Universiteit van Amsterdam, raadsheer Hof Amsterdam Prof. mr. CH. E.F.M. Gielen, hoogleraar Intellectueel Eigendomsrecht Universiteit van Groningen, advocaat NautaDutilh N.V. Prof. mr. A.H.N. Stollenwerck, hoogleraar Notarieel en Fiscaal Recht Vrije Universiteit Amsterdam, raadsheerplaatsvervanger Hof Den Bosch Prof. mr. C.A. Schwarz, hoogleraar Handels- en Ondernemingsrecht Universiteit Maastricht Prof. mr. J.M. Hebly, hoogleraar Bouw- en Aanbestedingsrecht Universiteit Leiden, advocaat Houthoff Buruma Prof. mr. G.K. Sluiter, hoogleraar Internationaal Strafrecht Universiteit van Amsterdam, advocaat Bรถhler Advocaten Prof. mr. M.W. Scheltema, hoogleraar Enforcement issues in Private Law Erasmus Universiteit Rotterdam, advocaat Pels Rijcken & Droogleever Fortuijn N.V. Prof. mr. P. Vlaardingerbroek, hoogleraar Familie- en Personenrecht Universiteit Tilburg, raadsheer-plaatsvervanger Hof Den Bosch, rechter-plaatsvervanger Rechtbank Rotterdam Prof. W.H. van Boom, hoogleraar Privaatrecht Erasmus School of Law, Erasmus Universiteit Rotterdam Prof. mr. dr. G.J. Zwenne, professor Faculteit Rechtsgeleerdheid, Instituut voor Metajuridica, eLaw@Leiden, Universiteit Leiden, advocaat Bird & Bird LLP Prof. dr. S. Perrick, bijzonder hoogleraar Universiteit van Amsterdam, advocaat Spinath & Wakkie Prof. dr. K.F. Haak, hoogleraar Handelsrecht Erasmus Universiteit Rotterdam, rechter-plaatsvervanger Hof Arnhem Prof. W.D. Kolkman, hoogleraar Privaatrecht Rijksuniversiteit Groningen, raadsheer-plaatsvervanger Hof Arnhem Prof. mr. dr. M.G.C.M. Peeters, bijzonder hoogleraar Derivatenrecht Universiteit van Amsterdam, advocaat NautaDutilh N.V. Prof. mr. E.P.M. Vermeulen, hoogleraar Business & Financial Law Universiteit van Tilburg Prof. mr. dr. W. Burgerhart, hoogleraar Rijksuniversiteit Groningen, estate planner Prof. mr. dr. M. Heemskerk, bijzonder hoogleraar Pensioenrecht Radboud Universiteiten Nijmegen, advocaat Onno F. Blom Advocaten Prof. dr. H.B. Winter, bijzonder hoogleraar Toezicht Rijksuniversiteit Groningen Prof. mr. B. Barentsen, bijzonder hoogleraar Albeda leerstoel Universiteiten Leiden Prof. mr. dr. R.F.H. Mertens, bijzonder hoogleraar Zakelijke Rechten Open Universiteit Heerlen, advocaat Paulussen Advocaten
Klik hier voor meer informatie
Magna Charta is onderdeel van de Academie voor de Rechtspraktijk Postbus 13346
|
3507 LH Utrecht
|
T 030 - 220 10 70
E info@magnacharta.nl
|
F 030 - 220 53 27
Inhoudsopgave Mr. Ir. J.M. van Essen Relevante regelgeving Wet bescherming persoonsgegevens
p. 4
Vrijstellingsbesluit
p. 39
Artikel 11.7 a Telecommunicatiewet
p. 98
Regulation of the European Parliament and of the council on the protection of individuals with regard tot the processing of personal data and on the free movement of such data
p. 99
Richtsnoeren en overige informatie CBP J.H.J. Terstegge ’Goed werken in netwerken’
p. 218
CBP Richtsnoeren identificatie en verificatie van persoonsgegevens
p. 272
CBP Richtsnoeren publicatie van persoonsgegevens op internet
p. 292
Handleiding voor verwerkers van persoonsgegevens
p. 360
Privacy: checklist voor de ondernemingsraad
p. 430
M.A.H. Fontein- Bijnsdorp, ‘Art. 4 Wbp revisited’: Enkele opmerkingen inzake de toepasselijkheid van de Wet bescherming persoonsgegevens
p. 448
CBP Richtsnoeren beveiliging van persoonsgegevens
p. 453
3
Wet van 6 juli 2000, houdende regels inzake de bescherming van persoonsgegevens (Wet bescherming persoonsgegevens)
Wij Beatrix, bij de gratie Gods, Koningin der Nederlanden, Prinses van Oranje-Nassau, enz. enz. enz.
Allen, die deze zullen zien of horen lezen, saluut! doen te weten: Alzo Wij in overweging genomen hebben, dat het noodzakelijk is de richtlijn nr. 95/46/EG van het Europees Parlement en de Raad van de Europese Unie van 23 november 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PbEG L 281) te implementeren; Gelet op artikel 10, tweede en derde lid, van de Grondwet; Zo is het, dat Wij, de Raad van State gehoord, en met gemeen overleg der StatenGeneraal, hebben goedgevonden en verstaan, gelijk Wij goedvinden en verstaan bij deze:
Hoofdstuk 1. Algemene bepalingen
Artikel 1
In deze wet en de daarop berustende bepalingen wordt verstaan onder:
o
a.persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon;
o
b.verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens;
o
c.bestand: elk gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel van gegevens gecentraliseerd is of verspreid is op een functioneel of geografisch bepaalde wijze, dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen;
4
o
d.verantwoordelijke: de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of te zamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt;
o
e.bewerker: degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen;
o
f.betrokkene: degene op wie een persoonsgegeven betrekking heeft;
o
g.derde: ieder, niet zijnde de betrokkene, de verantwoordelijke, de bewerker, of enig persoon die onder rechtstreeks gezag van de verantwoordelijke of de bewerker gemachtigd is om persoonsgegevens te verwerken;
o
h.ontvanger: degene aan wie de persoonsgegevens worden verstrekt;
o
i.toestemming van de betrokkene: elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt;
o
j.Onze Minister: Onze Minister van Veiligheid en Justitie;
o
k.het College bescherming persoonsgegevens of het College: het College als bedoeld in artikel 51;
o
l.functionaris: de functionaris voor de gegevensbescherming als bedoeld in artikel 62;
o
m.voorafgaand onderzoek: een onderzoek als bedoeld in artikel 31;
o
n.verstrekken van persoonsgegevens: het bekend maken of ter beschikking stellen van persoonsgegevens;
o
o.verzamelen van persoonsgegevens: het verkrijgen van persoonsgegevens.
Artikel 2 o
1.Deze wet is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.
o
2.Deze wet is niet van toepassing op verwerking van persoonsgegevens:
a.ten behoeve van activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden;
b.door of ten behoeve van de inlichtingen- en veiligheidsdiensten, bedoeld in de Wet op de inlichtingen- en veiligheidsdiensten 2002;
c.ten behoeve van de uitvoering van de politietaak, bedoeld in deartikelen 3 en 4, eerste lid, van de Politiewet 2012;
5
d.die is geregeld bij of krachtens de Wet gemeentelijke basisadministratie persoonsgegevens;
e.ten behoeve van de uitvoering van de Wet justitiële en strafvorderlijke gegevens en
o
f.ten behoeve van de uitvoering van de Kieswet.
3.Deze wet is niet van toepassing op verwerking van persoonsgegevens door de krijgsmacht indien Onze Minister van Defensie daartoe beslist met het oog op de inzet of het ter beschikking stellen van de krijgsmacht ter handhaving of bevordering van de internationale rechtsorde. Van de beslissing wordt zo spoedig mogelijk mededeling gedaan aan het College.
Artikel 3 o
1.Deze wet is niet van toepassing op de verwerking van persoonsgegevens voor uitsluitend journalistieke, artistieke of literaire doeleinden, behoudens de overige bepalingen van dit hoofdstuk, alsmede de artikelen 6 tot en met 11, 13 tot en met 15, 25 en 49.
o
2.Het verbod om persoonsgegevens als bedoeld in artikel 16 te verwerken is niet van toepassing voor zover dit noodzakelijk is voor de doeleinden als bedoeld in het eerste lid.
Artikel 4 o
1.Deze wet is van toepassing op de verwerking van persoonsgegevens in het kader van activiteiten van een vestiging van een verantwoordelijke in Nederland.
o
2.Deze wet is van toepassing op de verwerking van persoonsgegevens door of ten behoeve van een verantwoordelijke die geen vestiging heeft in de Europese Unie, waarbij gebruik wordt gemaakt van al dan niet geautomatiseerde middelen die zich in Nederland bevinden, tenzij deze middelen slechts worden gebruikt voor de doorvoer van persoonsgegevens.
o
3.Het is een verantwoordelijke als bedoeld in het tweede lid, verboden persoonsgegevens te verwerken, tenzij hij in Nederland een persoon of instantie aanwijst die namens hem handelt overeenkomstig de bepalingen van deze wet. Voor de toepassing van deze wet en de daarop berustende bepalingen, wordt hij aangemerkt als de verantwoordelijke.
Artikel 5 o
1.Indien de betrokkene minderjarig is en de leeftijd van zestien jaren nog niet heeft bereikt, of onder curatele is gesteld, dan wel ten behoeve van de
6
betrokkene een mentorschap is ingesteld, is in de plaats van de toestemming van de betrokkene die van zijn wettelijk vertegenwoordiger vereist. o
2.Een toestemming kan door de betrokkene of zijn wettelijk vertegenwoordiger te allen tijde worden ingetrokken.
Hoofdstuk 2. Voorwaarden voor de rechtmatigheid van de verwerking van persoonsgegevens
Paragraaf 1. De verwerking van persoonsgegevens in het algemeen
Artikel 6
Persoonsgegevens worden in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerkt.
Artikel 7
Persoonsgegevens worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden verzameld.
Artikel 8
Persoonsgegevens mogen slechts worden verwerkt indien:
o
a.de betrokkene voor de verwerking zijn ondubbelzinnige toestemming heeft verleend;
o
b.de gegevensverwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of voor het nemen van precontractuele maatregelen naar aanleiding van een verzoek van de betrokkene en die noodzakelijk zijn voor het sluiten van een overeenkomst;
o
c.de gegevensverwerking noodzakelijk is om een wettelijke verplichting na te komen waaraan de verantwoordelijke onderworpen is;
o
d.de gegevensverwerking noodzakelijk is ter vrijwaring van een vitaal belang van de betrokkene;
o
e.de gegevensverwerking noodzakelijk is voor de goede vervulling van een publiekrechtelijke taak door het desbetreffende bestuursorgaan dan wel het bestuursorgaan waaraan de gegevens worden verstrekt, of
o
f.de gegevensverwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke of van een derde aan wie de
7
gegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert.
Artikel 9 o
1.Persoonsgegevens worden niet verder verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen.
o
2.Bij de beoordeling of een verwerking onverenigbaar is als bedoeld in het eerste lid, houdt de verantwoordelijke in elk geval rekening met:
a.de verwantschap tussen het doel van de beoogde verwerking en het doel waarvoor de gegevens zijn verkregen;
b.de aard van de betreffende gegevens;
c.de gevolgen van de beoogde verwerking voor de betrokkene;
d.de wijze waarop de gegevens zijn verkregen en
e.de mate waarin jegens de betrokkene wordt voorzien in passende waarborgen.
o
3.Verdere verwerking van de gegevens voor historische, statistische of wetenschappelijke doeleinden, wordt niet als onverenigbaar beschouwd, indien de verantwoordelijke de nodige voorzieningen heeft getroffen ten einde te verzekeren dat de verdere verwerking uitsluitend geschiedt ten behoeve van deze specifieke doeleinden.
o
4.De verwerking van persoonsgegevens blijft achterwege voor zover een geheimhoudingsplicht uit hoofde van ambt, beroep of wettelijk voorschrift daaraan in de weg staat.
Artikel 10 o
1.Persoonsgegevens worden niet langer bewaard in een vorm die het mogelijk maakt de betrokkene te identificeren, dan noodzakelijk is voor de verwerkelijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt.
o
2.Persoonsgegevens mogen langer worden bewaard dan bepaald in het eerste lid voor zover ze voor historische, statistische of wetenschappelijke doeleinden worden bewaard, en de verantwoordelijke de nodige voorzieningen heeft getroffen ten einde te verzekeren dat de desbetreffende gegevens uitsluitend voor deze specifieke doeleinden worden gebruikt.
Artikel 11
8
o
1.Persoonsgegevens worden slechts verwerkt voor zover zij, gelet op de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, toereikend, ter zake dienend en niet bovenmatig zijn.
o
2.De verantwoordelijke treft de nodige maatregelen opdat persoonsgegevens, gelet op de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, juist en nauwkeurig zijn.

Artikel 12 o
1.Een ieder die handelt onder het gezag van de verantwoordelijke of van de bewerker, alsmede de bewerker zelf, voor zover deze toegang hebben tot persoonsgegevens, verwerkt deze slechts in opdracht van de verantwoordelijke, behoudens afwijkende wettelijke verplichtingen.
o
2.De personen, bedoeld in het eerste lid, voor wie niet reeds uit hoofde van ambt, beroep of wettelijk voorschrift een geheimhoudingsplicht geldt, zijn verplicht tot geheimhouding van de persoonsgegevens waarvan zij kennis nemen, behoudens voor zover enig wettelijk voorschrift hen tot mededeling verplicht of uit hun taak de noodzaak tot mededeling voortvloeit. Artikel 272, tweede lid, van het Wetboek van Strafrecht is niet van toepassing.

Artikel 13
De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.

Artikel 14 o
1.Indien de verantwoordelijke persoonsgegevens te zijnen behoeve laat verwerken door een bewerker, draagt hij zorg dat deze voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen. De verantwoordelijke ziet toe op de naleving van die maatregelen.
o
2.De uitvoering van verwerkingen door een bewerker wordt geregeld in een overeenkomst of krachtens een andere rechtshandeling waardoor een verbintenis ontstaat tussen de bewerker en de verantwoordelijke.
9
o
3.De verantwoordelijke draagt zorg dat de bewerker
a.de persoonsgegevens verwerkt in overeenstemming met artikel 12, eerste lid en
b.de verplichtingen nakomt die op de verantwoordelijke rusten ingevolge artikel 13.
o
4.Is de bewerker gevestigd in een ander land van de Europese Unie, dan draagt de verantwoordelijke zorg dat de bewerker het recht van dat andere land nakomt, in afwijking van het derde lid, onder b.
o
5.Met het oog op het bewaren van het bewijs worden de onderdelen van de overeenkomst of de rechtshandeling die betrekking hebben op de bescherming van persoonsgegevens, alsmede de beveiligingsmaatregelen als bedoeld in artikel 13 schriftelijk of in een andere, gelijkwaardige vorm vastgelegd.
Artikel 15
De verantwoordelijke draagt zorg voor de naleving van de verplichtingen, bedoeld in de artikelen 6 tot en met 12 en 14, tweede en vijfde lid van dit hoofdstuk.
Paragraaf 2. De verwerking van bijzondere persoonsgegevens
Artikel 16
De verwerking van persoonsgegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, alsmede persoonsgegevens betreffende het lidmaatschap van een vakvereniging is verboden behoudens het bepaalde in deze paragraaf. Hetzelfde geldt voor strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag.
Artikel 17 o
1.Het verbod om persoonsgegevens betreffende iemands godsdienst of levensovertuiging te verwerken als bedoeld in artikel 16, is niet van toepassing indien de verwerking geschiedt door:
a.kerkgenootschappen, zelfstandige onderdelen daarvan of andere genootschappen op geestelijke grondslag voor zover het gaat om gegevens van daartoe behorende personen;
10
b.instellingen op godsdienstige of levensbeschouwelijke grondslag, voor zover dit gelet op het doel van de instelling en voor de verwezenlijking van haar grondslag noodzakelijk is, of
c.andere instellingen voor zover dit noodzakelijk is met het oog op de geestelijke verzorging van de betrokkene, tenzij deze daartegen schriftelijk bezwaar heeft gemaakt.
o
2.In de gevallen als bedoeld in het eerste lid, onder a, is het verbod tevens niet van toepassing op persoonsgegevens betreffende godsdienst of levensovertuiging van de gezinsleden van de betrokkene voor zover:
a.het betreffende genootschap met die gezinsleden uit hoofde van haar doelstelling regelmatige contacten onderhoudt en
o
b.die gezinsleden daartegen geen schriftelijk bezwaar hebben gemaakt.
3.In de gevallen als bedoeld in het eerste en tweede lid worden geen persoonsgegevens aan derden verstrekt zonder toestemming van de betrokkene.
Artikel 18
Het verbod om persoonsgegevens betreffende iemands ras te verwerken als bedoeld in artikel 16, is niet van toepassing indien de verwerking geschiedt:
o
a.met het oog op de identificatie van de betrokkene en slechts voor zover dit voor dit doel onvermijdelijk is;
o
b.met het doel personen van een bepaalde etnische of culturele minderheidsgroep een bevoorrechte positie toe te kennen ten einde feitelijke nadelen verband houdende met de grond ras op te heffen of te verminderen en slechts indien:
1°.dit voor dat doel noodzakelijk is;
2°.de gegevens slechts betrekking hebben op het geboorteland van de betrokkene, van diens ouders of grootouders, dan wel op andere, bij wet vastgestelde criteria, op grond waarvan op objectieve wijze vastgesteld kan worden of iemand tot een minderheidsgroep als bedoeld in de aanhef van onderdeel b behoort, en
3°.de betrokkene daartegen geen schriftelijk bezwaar heeft gemaakt.
Artikel 19
11
o
1.Het verbod om persoonsgegevens betreffende iemands politieke gezindheid te verwerken als bedoeld in artikel 16, is niet van toepassing indien de verwerking geschiedt:
a.door instellingen op politieke grondslag betreffende hun leden of hun werknemers dan wel andere tot de instelling behorende personen, voor zover dit gelet op het doel van de instelling noodzakelijk is voor de verwezenlijking van haar grondslag, of
b.met het oog op de eisen die met betrekking tot politieke gezindheid in redelijkheid kunnen worden gesteld in verband met de vervulling van functies in bestuursorganen en adviescolleges.
o
2.In het geval als bedoeld in het eerste lid, onder a, worden geen persoonsgegevens aan derden verstrekt zonder toestemming van de betrokkene.
Artikel 20 o
1.Het verbod om persoonsgegevens betreffende iemands lidmaatschap van een vakbond te verwerken als bedoeld in artikel 16, is niet van toepassing indien de verwerking geschiedt door de betreffende vakbond of de vakcentrale waarvan die bond een onderdeel vormt, voor zover dat gelet op de doelstelling van de vakbond of centrale noodzakelijk is.
o
2.In het geval als bedoeld in het eerste lid worden geen persoonsgegevens aan derden verstrekt zonder toestemming van de betrokkene.
Artikel 21 o
1.Het verbod om persoonsgegevens betreffende iemands gezondheid te verwerken als bedoeld in artikel 16, is niet van toepassing indien de verwerking geschiedt door:
a.hulpverleners, instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening voor zover dat met het oog op een goede behandeling of verzorging van de betrokkene, dan wel het beheer van de betreffende instelling of beroepspraktijk noodzakelijk is;
b.verzekeraars als bedoeld in artikel 1:1 van de Wet op het financieel toezicht en financiële dienstverleners die bemiddelen in verzekeringen als bedoeld in artikel 1:1 van die wet, voorzover dat noodzakelijk is voor:
1°.de beoordeling van het door de verzekeraar te verzekeren risico en de betrokkene geen bezwaar heeft gemaakt; of
2°.de uitvoering van de overeenkomst van verzekering;
12
c.scholen voor zover dat met het oog op de speciale begeleiding van leerlingen of het treffen van bijzondere voorzieningen in verband met hun gezondheidstoestand noodzakelijk is;
d.een reclasseringsinstelling, een bijzondere reclasseringsambtenaar, de raad voor de kinderbescherming of de stichting, bedoeld in artikel 1, onder f, van de Wet op de jeugdzorg en de rechtspersoon, bedoeld in artikel 254, tweede lid, of artikel 302, tweede lid, van Boek 1 van het Burgerlijk Wetboek, voor zover dat noodzakelijk is voor de uitvoering van de hun wettelijk opgedragen taken;
e.Onze Minister voor zover dat in verband met de tenuitvoerlegging van vrijheidsstraffen of vrijheidsbenemende maatregelen noodzakelijk is of
f.bestuursorganen, pensioenfondsen, werkgevers of instellingen die te hunnen behoeve werkzaam zijn voor zover dat noodzakelijk is voor:
1°.een goede uitvoering van wettelijke voorschriften, pensioenregelingen of collectieve arbeidsovereenkomsten die voorzien in aanspraken die afhankelijk zijn van de gezondheidstoestand van de betrokkene of
2°.de reïntegratie of begeleiding van werknemers of uitkeringsgerechtigden in verband met ziekte of arbeidsongeschiktheid.
o
2.In de gevallen als bedoeld in het eerste lid worden de gegevens alleen verwerkt door personen die uit hoofde van ambt, beroep of wettelijk voorschrift, dan wel krachtens een overeenkomst tot geheimhouding zijn verplicht. Indien de verantwoordelijke gegevens persoonlijk verwerkt en op hem niet reeds uit hoofde van ambt, beroep of wettelijk voorschrift een geheimhoudingsplicht rust, is hij verplicht tot geheimhouding van de gegevens, behoudens voor zover de wet hem tot mededeling verplicht of uit zijn taak de noodzaak voortvloeit dat de gegevens worden meegedeeld aan anderen die krachtens het eerste lid bevoegd zijn tot verwerking daarvan.
o
3.Het verbod om andere persoonsgegevens als bedoeld in artikel 16 te verwerken, is niet van toepassing voor zover dit noodzakelijk is in aanvulling op de verwerking van persoonsgegevens betreffende iemands gezondheid als bedoeld in het eerste lid, onder a, met het oog op een goede behandeling of verzorging van de betrokkene.
o
4.Persoonsgegevens betreffende erfelijke eigenschappen mogen slechts worden verwerkt voor zover deze verwerking plaatsvindt met betrekking tot de betrokkene bij wie de betreffende gegevens zijn verkregen, tenzij:
13
a.een zwaarwegend geneeskundig belang prevaleert of
b.de verwerking noodzakelijk is ten behoeve van wetenschappelijk onderzoek of statistiek. In het geval als bedoeld onder b, is artikel 23, eerste lid, onder a, en tweede lid, van overeenkomstige toepassing.
o
5.Bij algemene maatregel van bestuur kunnen omtrent de toepassing van het eerste lid, onder b en f, nadere regels worden gesteld.
Artikel 22 o
1.Het verbod om strafrechtelijke persoonsgegevens te verwerken als bedoeld in artikel 16, is niet van toepassing indien de verwerking geschiedt door organen die krachtens de wet zijn belast met de toepassing van het strafrecht, alsmede door verantwoordelijken die deze hebben verkregen krachtens de Wet politiegegevens of de Wet justitiële en strafvorderlijke gegevens.
o
2.Het verbod is niet van toepassing op de verantwoordelijke die deze gegevens ten eigen behoeve verwerkt ter:
a.beoordeling van een verzoek van betrokkene om een beslissing over hem te nemen of aan hem een prestatie te leveren of
b.bescherming van zijn belangen voor zover het gaat om strafbare feiten die zijn of op grond van feiten en omstandigheden naar verwachting zullen worden gepleegd jegens hem of jegens personen die in zijn dienst zijn.
o
3.De verwerking van deze gegevens over personeel in dienst van de verantwoordelijke, vindt plaats overeenkomstig regels die zijn vastgesteld in overeenstemming met de procedure als bedoeld in deWet op de ondernemingsraden.
o
4.Het verbod is niet van toepassing wanneer deze gegevens ten behoeve van derden worden verwerkt:
a.door verantwoordelijken die optreden krachtens een vergunning op grond van de Wet particuliere beveiligingsorganisaties en recherchebureaus of
b.indien deze derde een rechtspersoon betreft die in dezelfde groep is verbonden als bedoeld in artikel 2:24b van het Burgerlijk Wetboek, of
c.indien passende en specifieke waarborgen zijn getroffen en de procedure is gevolgd, bedoeld in artikel 31.
14
o
5.Het verbod om andere persoonsgegevens als bedoeld in artikel 16, te verwerken, is niet van toepassing voor zover dit noodzakelijk is in aanvulling op de verwerking van strafrechtelijke gegevens voor de doeleinden waarvoor deze gegevens worden verwerkt.
o
6.Het verbod is niet van toepassing op verwerkingen van strafrechtelijke gegevens door en ten behoeve van publiekrechtelijke samenwerkingsverbanden van verantwoordelijken of groepen van verantwoordelijken indien de verwerking noodzakelijk is voor de uitvoering van de taak van deze verantwoordelijken of groepen van verantwoordelijken en bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad.
o
7.Het tweede tot en met zesde lid is van overeenkomstige toepassing op persoonsgegevens betreffende een door de rechter opgelegd verbod naar aanleiding van onrechtmatig of hinderlijk gedrag.
o
8.Bij algemene maatregel van bestuur kunnen regels worden gesteld over de passende en specifieke waarborgen, bedoeld in het vierde lid, onder c.
Artikel 23 o
1.Onverminderd de artikelen 17 tot en met 22 is het verbod om persoonsgegevens als bedoeld in artikel 16, te verwerken niet van toepassing voor zover:
a.dit geschiedt met uitdrukkelijke toestemming van de betrokkene;
b.de gegevens door de betrokkene duidelijk openbaar zijn gemaakt;
c.dit noodzakelijk is voor de vaststelling, de uitoefening of de verdediging van een recht in rechte;
d.dit noodzakelijk is ter verdediging van de vitale belangen van de betrokkene of van een derde en het vragen van diens uitdrukkelijke toestemming onmogelijk blijkt;
e.dit noodzakelijk is ter voldoening aan een volkenrechtelijke verplichting of
f.dit noodzakelijk is met het oog op een zwaarwegend algemeen belang, passende waarborgen worden geboden ter bescherming van de persoonlijke levenssfeer en dit bij wet wordt bepaald dan wel het College ontheffing heeft verleend. Het College kan bij de verlening van ontheffing beperkingen en voorschriften opleggen;
g.de gegevens worden verwerkt door het College of een ombudsman als bedoeld in artikel 9:17 van de Algemene wet bestuursrecht en dit
15
noodzakelijk is met het oog op een zwaarwegend algemeen belang, voor de uitvoering van de hun wettelijk opgedragen taken en bij die uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad. o
2.Het verbod om persoonsgegevens als bedoeld in artikel 16, te verwerken ten behoeve van wetenschappelijk onderzoek of statistiek is niet van toepassing voor zover:
a.het onderzoek een algemeen belang dient,
b.de verwerking voor het betreffende onderzoek of de betreffende statistiek noodzakelijk is,
c.het vragen van uitdrukkelijke toestemming onmogelijk blijkt of een onevenredige inspanning kost en
d.bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad.
o
3.Verwerkingen als bedoeld in het eerste lid, onder e, worden bij de Europese Commissie gemeld. Onze Minister wie het aangaat verricht de melding indien de verwerking bij wet is voorzien. Het College verricht de melding indien het voor de verwerking ontheffing heeft verleend.
Artikel 24 o
1.Een nummer dat ter identificatie van een persoon bij wet is voorgeschreven, wordt bij de verwerking van persoonsgegevens slechts gebruikt ter uitvoering van de betreffende wet dan wel voor doeleinden bij de wet bepaald.
o
2.Bij algemene maatregel van bestuur kunnen andere dan in het eerste lid bedoelde gevallen worden aangewezen waarin een daarbij aan te wijzen nummer als bedoeld in het eerste lid, kan worden gebruikt. Daarbij kunnen nadere regels worden gegeven over het gebruik van een zodanig nummer.
Hoofdstuk 3. Gedragscodes
Artikel 25 o
1.De organisatie of organisaties, die voornemens zijn een gedragscode vast te stellen, kunnen het College verzoeken te verklaren dat de daarin opgenomen regels, gelet op de bijzondere kenmerken van de sector of sectoren van de samenleving waarin deze organisaties werkzaam zijn, een juiste uitwerking vormen van deze wet of van andere wettelijke bepalingen betreffende de verwerking van persoonsgegevens. Indien een gedragscode voorziet in beslechting van geschillen over de naleving ervan, kan het College de verklaring
16
slechts afgeven indien is voorzien in waarborgen met betrekking tot de onafhankelijkheid. o
2.Het eerste lid is van overeenkomstige toepassing op wijzigingen of verlengingen van bestaande gedragscodes.
o
3.Het College neemt het verzoek slechts in behandeling, indien naar zijn oordeel de verzoeker of verzoekers voldoende representatief zijn en de betrokken sector of de sectoren in de code voldoende nauwkeurig zijn omschreven.
o
4.Een beslissing op een verzoek als bedoeld in het eerste lid, geldt als een besluit in de zin van de Algemene wet bestuursrecht. Op de voorbereiding ervan is afdeling 3.4 van die wet van toepassing.
o
5.De verklaring geldt voor de termijn waarvoor de gedragscode zal gaan gelden echter niet voor langer dan vijf jaar na het tijdstip waarop de verklaring is bekend gemaakt. Wordt de verklaring gevraagd voor een wijziging van een gedragscode waarvoor reeds eerder een verklaring is afgegeven, dan geldt deze voor de duur van de eerder afgegeven verklaring.
o
6.De verklaring wordt, tezamen met de gedragscode waarop zij betrekking heeft, door de zorg van het College in de Staatscourant geplaatst.
Artikel 26 o
1.Bij algemene maatregel van bestuur kunnen voor een bepaalde sector nadere regels worden gesteld inzake de in de artikelen 6 tot en met 11en 13 geregelde onderwerpen.
o
2.Het College geeft in zijn jaarverslag aan in hoeverre naar zijn oordeel toepassing van het eerste lid wenselijk is.
Hoofdstuk 4. Melding en voorafgaand onderzoek
Paragraaf 1. De melding
Artikel 27 o
1.Een geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, die voor de verwezenlijking van een doeleinde of van verscheidene samenhangende doeleinden bestemd is, wordt gemeld.
o
2.Een niet geautomatiseerde verwerking van persoonsgegevens, die voor de verwezenlijking van een doeleinde of van verscheidene samenhangende doeleinden bestemd is, wordt gemeld indien deze is onderworpen aan een voorafgaand onderzoek.
o
3.De verantwoordelijke meldt de verwerking alvorens daarmee te beginnen bij het College of bij de functionaris.
17
Artikel 28 o
1.De melding behelst een opgave van:
a.de naam en het adres van de verantwoordelijke;
b.het doel of de doeleinden van de verwerking;
c.een beschrijving van de categorieën van betrokkenen en van de gegevens of categorieën van gegevens die daarop betrekking hebben;
d.de ontvangers of categorieën van ontvangers aan wie de gegevens kunnen worden verstrekt;
e.de voorgenomen doorgiften van gegevens naar landen buiten de Europese Unie;
f.een algemene beschrijving om een voorlopig oordeel te kunnen geven over de gepastheid van de voorgenomen maatregelen om, ter toepassing van artikel 13 en 14, de beveiliging van de verwerking te waarborgen.
o
2.De melding behelst het doel of de doeleinden waarvoor de gegevens of de categorieën van gegevens zijn of worden verzameld.
o
3.Een wijziging in de naam of het adres van de verantwoordelijke wordt binnen een week gemeld. Wijzigingen in de opgave die betrekking hebben op de onderdelen b tot en met f van het eerste lid, worden telkens binnen een jaar na de voorafgaande melding gemeld voor zover zij blijken van meer dan incidentele aard te zijn.
o
4.Een verwerking die afwijkt van hetgeen overeenkomstig het eerste lid, onder b tot en met f, is gemeld, wordt vastgelegd en bewaard gedurende ten minste drie jaren.
o
5.Bij of krachtens algemene maatregel van bestuur kunnen nadere regels worden gesteld over de wijze waarop de melding dient te geschieden.
Artikel 29 o
1.Bij algemene maatregel van bestuur kan worden bepaald dat daarbij aan te geven verwerkingen van gegevens waarbij de inbreuk op de fundamentele rechten en vrijheden van de betrokkene onwaarschijnlijk is, zijn vrijgesteld van de melding, bedoeld in artikel 27.
o
2.Daarbij worden vastgesteld:
a.de doeleinden van de verwerking,
b.de verwerkte gegevens of categorieën van verwerkte gegevens,
18
c.de categorieën van betrokkenen,
d.de ontvangers of categorieën ontvangers aan wie de gegevens worden verstrekt, en
o
e.de periode gedurende welke de gegevens worden bewaard.
3.Bij algemene maatregel van bestuur kan worden bepaald, indien dit noodzakelijk is met het oog op de opsporing van strafbare feiten in een bepaald geval, dat daarbij aan te geven verwerkingen van gegevens door verantwoordelijken die krachtens de wet met opsporing zijn belast, worden vrijgesteld van de melding. Daarbij kunnen compenserende waarborgen ter bescherming van persoonsgegevens worden vastgesteld. De verwerkte gegevens kunnen slechts worden gebruikt voor de doeleinden die bij die algemene maatregel van bestuur uitdrukkelijk zijn vermeld.
o
4.De verplichting tot melding is niet van toepassing op openbare registers die bij de wet zijn ingesteld alsmede op verstrekkingen aan een bestuursorgaan ingevolge een wettelijke verplichting.
Artikel 30 o
1.Zowel het College als de functionaris houden een register bij van de bij hen aangemelde gegevensverwerkingen. Het register bevat ten minste de inlichtingen die zijn opgegeven krachtens artikel 28, eerste lid, onder a tot en met e.
o
2.Het register kan door een ieder kosteloos worden geraadpleegd.
o
3.De verantwoordelijke verstrekt een ieder die daarom verzoekt de inlichtingen als bedoeld in artikel 28, eerste lid, onder a tot en met e, omtrent de van de aanmelding vrijgestelde gegevensverwerkingen.
o
4.Het derde lid is niet van toepassing op:
a.een gegevensverwerking die is vrijgesteld krachtens artikel 29, derde lid;
b.openbare registers die bij de wet zijn ingesteld.
Paragraaf 2. Voorafgaand onderzoek
Artikel 31 o
1.Het College stelt voorafgaand aan een verwerking een onderzoek in indien de verantwoordelijke:
a.een nummer ter identificatie van personen voornemens is te verwerken voor een ander doeleinde dan waarvoor het nummer specifiek bestemd is teneinde gegevens in verband te kunnen brengen met gegevens die
19
worden verwerkt door een andere verantwoordelijke, tenzij het gebruik van het nummer geschiedt voor de gevallen als omschreven in artikel 24; 
b.voornemens is gegevens vast te leggen op grond van het gericht verzamelen van informatie door middel van eigen onderzoek zonder de betrokkene daarvan op de hoogte te stellen, of

c.voornemens is ten behoeve van derden strafrechtelijke gegevens of gegevens over onrechtmatig of hinderlijk gedrag te verwerken, anders dan in de gevallen genoemd in artikel 22, vierde lid, onderdelen a en b.
o
2.Het eerste lid, onder b, is niet van toepassing op openbare registers die bij de wet zijn ingesteld.
o
3.Het eerste lid, onderdeel c, is niet van toepassing op gegevensverwerkingen die reeds door een andere verantwoordelijke voor voorafgaand onderzoek zijn voorgelegd en ten aanzien waarvan het College een verklaring als bedoeld in artikel 32, vijfde lid, heeft afgegeven.
o
4.Bij wet of algemene maatregel van bestuur kunnen andere gegevensverwerkingen die een bijzonder risico inhouden voor de persoonlijke rechten en vrijheden van de betrokkene worden aangewezen waarop het eerste lid van toepassing is. Het College geeft in zijn jaarverslag aan in hoeverre naar zijn oordeel een dergelijke aanwijzing wenselijk is.
o
5.Het College meldt een verwerking als bedoeld in het eerste lid, onder c, bij de Europese Commissie.

Artikel 32 o
1.Een gegevensverwerking waarop artikel 31, eerste lid, van toepassing is, wordt als zodanig door de verantwoordelijke bij het College gemeld.
o
2.De melding van een zodanige gegevensverwerking verplicht de verantwoordelijke de verwerking die hij voornemens is te verrichten, op te schorten totdat het onderzoek van het College is afgerond dan wel hij een bericht heeft ontvangen dat niet tot nader onderzoek wordt overgegaan.
o
3.In geval van een melding van een gegevensverwerking waarop artikel 31, eerste lid, van toepassing is, besluit het College schriftelijk binnen vier weken na de melding of het tot nader onderzoek overgaat.
o
4.In het besluit tot nader onderzoek over te gaan geeft het College aan binnen welke termijn het voornemens is dit onderzoek te verrichten. Deze termijn bedraagt niet langer dan twintig weken.
o
5.Het nader onderzoek, bedoeld in het vierde lid, leidt tot een verklaring omtrent de rechtmatigheid van de gegevensverwerking.
20
o
6.De verklaring van het College geldt als een besluit in de zin van deAlgemene wet bestuursrecht. Op de voorbereiding ervan is afdeling 3.4 van die wet van toepassing.
Hoofdstuk 5. Informatieverstrekking aan de betrokkene
Artikel 33 o
1.Indien persoonsgegevens worden verkregen bij de betrokkene, deelt de verantwoordelijke vóór het moment van de verkrijging de betrokkene de informatie mede, bedoeld in het tweede en derde lid, tenzij de betrokkene daarvan reeds op de hoogte is.
o
2.De verantwoordelijke deelt de betrokkene zijn identiteit en de doeleinden van de verwerking waarvoor de gegevens zijn bestemd, mede.
o
3.De verantwoordelijke verstrekt nadere informatie voor zover dat gelet op de aard van de gegevens, de omstandigheden waaronder zij worden verkregen of het gebruik dat ervan wordt gemaakt, nodig is om tegenover de betrokkene een behoorlijke en zorgvuldige verwerking te waarborgen.
Artikel 34 o
1.Indien persoonsgegevens worden verkregen op een andere wijze dan bedoeld in artikel 33, deelt de verantwoordelijke de betrokkene de informatie mede, bedoeld in het tweede en derde lid, tenzij deze reeds daarvan op de hoogte is:
a.op het moment van vastlegging van hem betreffende gegevens, of
b.wanneer de gegevens bestemd zijn om te worden verstrekt aan een derde, uiterlijk op het moment van de eerste verstrekking.
o
2.De verantwoordelijke deelt de betrokkene zijn identiteit en de doeleinden van de verwerking mede.
o
3.De verantwoordelijke verstrekt nadere informatie voor zover dat gelet op de aard van de gegevens, de omstandigheden waaronder zij worden verkregen of het gebruik dat ervan wordt gemaakt, nodig is om tegenover de betrokkene een behoorlijke en zorgvuldige verwerking te waarborgen.
o
4.Het eerste lid is niet van toepassing indien mededeling van de informatie aan de betrokkene onmogelijk blijkt of een onevenredige inspanning kost. In dat geval legt de verantwoordelijke de herkomst van de gegevens vast.
o
5.Het eerste lid is evenmin van toepassing indien de vastlegging of de verstrekking bij of krachtens de wet is voorgeschreven. In dat geval dient de verantwoordelijke de betrokkene op diens verzoek te informeren over het
21
wettelijk voorschrift dat tot de vastlegging of verstrekking van de hem betreffende gegevens heeft geleid.
Hoofdstuk 6. Rechten van de betrokkene
Artikel 35 o
1.De betrokkene heeft het recht zich vrijelijk en met redelijke tussenpozen tot de verantwoordelijke te wenden met het verzoek hem mede te delen of hem betreffende persoonsgegevens worden verwerkt. De verantwoordelijke deelt de betrokkene schriftelijk binnen vier weken mee of hem betreffende persoonsgegevens worden verwerkt.
o
2.Indien zodanige gegevens worden verwerkt, bevat de mededeling een volledig overzicht daarvan in begrijpelijke vorm, een omschrijving van het doel of de doeleinden van de verwerking, de categorieën van gegevens waarop de verwerking betrekking heeft en de ontvangers of categorieën van ontvangers, alsmede de beschikbare informatie over de herkomst van de gegevens.
o
3.Voordat een verantwoordelijke een mededeling doet als bedoeld in het eerste lid, waartegen een derde naar verwachting bedenkingen zal hebben, stelt hij die derde in de gelegenheid zijn zienswijze naar voren te brengen indien de mededeling gegevens bevat die hem betreffen, tenzij dit onmogelijk blijkt of een onevenredige inspanning kost.
o
4.Desgevraagd doet de verantwoordelijke mededelingen omtrent de logica die ten grondslag ligt aan de geautomatiseerde verwerking van hem betreffende gegevens.
Artikel 36 o
1.Degene aan wie overeenkomstig artikel 35 kennis is gegeven van hem betreffende persoonsgegevens, kan de verantwoordelijke verzoeken deze te verbeteren, aan te vullen, te verwijderen, of af te schermen indien deze feitelijk onjuist zijn, voor het doel of de doeleinden van de verwerking onvolledig of niet ter zake dienend zijn dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt. Het verzoek bevat de aan te brengen wijzigingen.
o
2.De verantwoordelijke bericht de verzoeker binnen vier weken na ontvangst van het verzoek schriftelijk of dan wel in hoeverre hij daaraan voldoet. Een weigering is met redenen omkleed.
o
3.De verantwoordelijke draagt zorg dat een beslissing tot verbetering, aanvulling, verwijdering of afscherming zo spoedig mogelijk wordt uitgevoerd.
o
4.Indien de persoonsgegevens zijn vastgelegd op een gegevensdrager waarin geen wijzigingen kunnen worden aangebracht, dan treft hij de voorzieningen die
22
nodig zijn om de gebruiker van de gegevens te informeren over de onmogelijkheid van verbetering, aanvulling, verwijdering of afscherming ondanks het feit dat er grond is voor aanpassing van de gegevens op grond van dit artikel. o
5.Het bepaalde in het eerste tot en met vierde lid is niet van toepassing op bij de wet ingestelde openbare registers, indien in die wet een bijzondere procedure voor de verbetering, aanvulling, verwijdering of afscherming van gegevens is opgenomen.
Artikel 37 o
1.Indien een gewichtig belang van de verzoeker dit eist, voldoet de verantwoordelijke aan een verzoek als bedoeld in de artikelen 35 en 36, in een andere dan schriftelijke vorm, die aan dat belang is aangepast.
o
2.De verantwoordelijke draagt zorg voor een deugdelijke vaststelling van de identiteit van de verzoeker.
o
3.De verzoeken, bedoeld in de artikelen 35 en 36, worden ten aanzien van minderjarigen die de leeftijd van zestien jaren nog niet hebben bereikt, en ten aanzien van onder curatele gestelden gedaan door hun wettelijke vertegenwoordigers. De betrokken mededeling geschiedt eveneens aan de wettelijke vertegenwoordigers.
Artikel 38 o
1.De verantwoordelijke die naar aanleiding van een verzoek op grond vanartikel 36 persoonsgegevens heeft verbeterd, aangevuld, verwijderd of afgeschermd, is verplicht om aan derden aan wie de gegevens daaraan voorafgaand zijn verstrekt, zo spoedig mogelijk kennis te geven van de verbetering, aanvulling, verwijdering of afscherming, tenzij dit onmogelijk blijkt of een onevenredige inspanning kost.
o
2.De verantwoordelijke doet aan de verzoeker, bedoeld in artikel 36, desgevraagd opgave van degenen aan wie hij de mededeling heeft gedaan.
Artikel 39 o
1.De verantwoordelijke kan voor een mededeling als bedoeld in artikel 35een bij of krachtens algemene maatregel van bestuur vast te stellen vergoeding van kosten verlangen die ten hoogste € 5 bedraagt.
o
2.De vergoeding wordt teruggegeven in geval de verantwoordelijke op verzoek van de betrokkene, op aanbeveling van het College of op bevel van de rechter tot verbetering, aanvulling, verwijdering of afscherming is overgegaan.
23
o
3.Het bedrag genoemd in het eerste lid kan in bijzondere gevallen bij algemene maatregel van bestuur worden gewijzigd.
Artikel 40 o
1.Indien gegevens het voorwerp zijn van verwerking op grond van artikel 8, onder e en f, kan de betrokkene daartegen bij de verantwoordelijke te allen tijde verzet aantekenen in verband met zijn bijzondere persoonlijke omstandigheden.
o
2.De verantwoordelijke beoordeelt binnen vier weken na ontvangst van het verzet of het verzet gerechtvaardigd is. Indien het verzet gerechtvaardigd is beëindigt hij terstond de verwerking.
o
3.De verantwoordelijke kan voor het in behandeling nemen van een verzet een vergoeding van kosten verlangen, die niet hoger mag zijn dan een bij of krachtens algemene maatregel van bestuur vast te stellen bedrag. De vergoeding wordt teruggegeven in geval het verzet gegrond wordt bevonden.
o
4.Dit artikel is niet van toepassing op openbare registers die bij de wet zijn ingesteld.
Artikel 41 o
1.Indien gegevens worden verwerkt in verband met de totstandbrenging of de instandhouding van een directe relatie tussen de verantwoordelijke of een derde en de betrokkene met het oog op werving voor commerciële of charitatieve doelen, kan de betrokkene daartegen bij de verantwoordelijke te allen tijde kosteloos verzet aantekenen.
o
2.In geval van verzet treft de verantwoordelijke de maatregelen om deze vorm van verwerking terstond te beëindigen. De verantwoordelijke doet aan de betrokkene desgevraagd binnen vier weken opgave van de genomen maatregelen. Indien de kennisgeving niet binnen vier weken kan worden gedaan, deelt de verantwoordelijke uiterlijk vier weken na de datum van ontvangst van het verzoek mede binnen welke termijn de kennisgeving wel kan worden gedaan.
o
3.De verantwoordelijke die persoonsgegevens verwerkt voor het in het eerste lid bedoelde doel, neemt passende maatregelen om betrokkenen de mogelijkheden bekend te maken tot het doen van verzet.
o
4.De verantwoordelijke die persoonsgegevens verwerkt voor het in het eerste lid bedoelde doel, draagt zorg dat, indien daartoe rechtstreeks een boodschap aan de betrokkene wordt toegezonden, deze daarbij telkens wordt gewezen op de mogelijkheid tot het doen van verzet.
Artikel 42
24
o
1.Niemand kan worden onderworpen aan een besluit waaraan voor hem rechtsgevolgen zijn verbonden of dat hem in aanmerkelijke mate treft, indien dat besluit alleen wordt genomen op grond van een geautomatiseerde verwerking van persoonsgegevens bestemd om een beeld te krijgen van bepaalde aspecten van zijn persoonlijkheid.
o
2.Het eerste lid is niet van toepassing, indien het daar bedoelde besluit:
a.wordt genomen in het kader van het sluiten of uitvoeren van een overeenkomst en
1°.aan het verzoek van de betrokkene is voldaan of
2°.passende maatregelen zijn genomen ter bescherming van zijn gerechtvaardigd belang, of
b.zijn grondslag vindt in een wet waarin maatregelen zijn vastgelegd die strekken tot bescherming van het gerechtvaardigde belang van de betrokkene.
o
3.Een passende maatregel als bedoeld in het tweede lid, onder a, is getroffen indien de betrokkene in de gelegenheid is gesteld omtrent het besluit als bedoeld in het eerste lid, zijn zienswijze naar voren te brengen.
o
4.In het geval, bedoeld in het tweede lid, deelt de verantwoordelijke de betrokkene de logica mee die ten grondslag ligt aan de geautomatiseerde verwerking van hem betreffende gegevens.
Hoofdstuk 7. Uitzonderingen en beperkingen
Artikel 43
De verantwoordelijke kan de artikelen 9, eerste lid, 30, derde lid, 33, 34 en 35buiten toepassing laten voor zover dit noodzakelijk is in het belang van:
o
a.de veiligheid van de staat;
o
b.de voorkoming, opsporing en vervolging van strafbare feiten;
o
c.gewichtige economische en financiële belangen van de staat en andere openbare lichamen;
o
d.het toezicht op de naleving van wettelijke voorschriften die zijn gesteld ten behoeve van de belangen, bedoeld onder b en c, of
o
e.de bescherming van de betrokkene of van de rechten en vrijheden van anderen.
25
Artikel 44 o
1.Indien een verwerking plaatsvindt door instellingen of diensten voor wetenschappelijk onderzoek of statistiek, en de nodige voorzieningen zijn getroffen om te verzekeren dat de persoonsgegevens uitsluitend voor statistische en wetenschappelijke doeleinden kunnen worden gebruikt, kan de verantwoordelijke een mededeling als bedoeld inartikel 34 achterwege laten en weigeren aan een verzoek als bedoeld inartikel 35 te voldoen.
o
2.Indien een verwerking plaatsvindt van persoonsgegevens die deel uitmaken van archiefbescheiden die ingevolge de artikelen 12 of 13 van de Archiefwet 1995 zijn overgebracht naar een archiefbewaarplaats, kan de verantwoordelijke een mededeling als bedoeld in artikel 34achterwege laten.
Hoofdstuk 8. Rechtsbescherming
Artikel 45
Een beslissing op een verzoek als bedoeld in de artikelen 30, derde lid, 35, 36en 38, tweede lid, alsmede een beslissing naar aanleiding van de aantekening van verzet als bedoeld in de artikelen 40 of 41 gelden voor zover deze is genomen door een bestuursorgaan als een besluit in de zin van de Algemene wet bestuursrecht.
Artikel 46 o
1.Indien een beslissing als bedoeld in artikel 45 is genomen door een ander dan een bestuursorgaan, kan de belanghebbende zich tot de rechtbank wenden met het schriftelijk verzoek, de verantwoordelijke te bevelen alsnog een verzoek als bedoeld in de artikelen 30, derde lid, 35,36 of 38, tweede lid, toe of af te wijzen dan wel een verzet als bedoeld in de artikelen 40 of 41 al dan niet te honoreren.
o
2.Het verzoekschrift moet worden ingediend binnen zes weken na ontvangst van het antwoord van de verantwoordelijke. Indien de verantwoordelijke niet binnen de gestelde termijn heeft geantwoord, moet het verzoekschrift worden ingediend binnen zes weken na afloop van die termijn.
o
3.De rechtbank wijst het verzoek toe, voor zover zij dit gegrond oordeelt. Alvorens de rechtbank beslist, stelt zij zo nodig de belanghebbenden in de gelegenheid hun zienswijze naar voren te brengen.
o
4.De indiening van het verzoekschrift behoeft niet door een advocaat te geschieden.
o
5.De derde afdeling van de vijfde titel van het Tweede Boek van het Wetboek van Burgerlijke Rechtsvordering is van overeenkomstige toepassing.
26
o
6.De rechtbank kan partijen en anderen verzoeken binnen een door haar te bepalen termijn schriftelijke inlichtingen te geven en onder hen berustende stukken in te zenden. De verantwoordelijke en belanghebbende zijn verplicht aan dit verzoek te voldoen. De artikelen8:45, tweede en derde lid, en 8:29 van de Algemene wet bestuursrechtzijn van overeenkomstige toepassing.
Artikel 47 o
1.De belanghebbende kan zich ook binnen de termijn bepaald voor het beroep op grond van de Algemene wet bestuursrecht, dan wel die, bedoeld in artikel 46, tweede lid, tot het College wenden met het verzoek te bemiddelen of te adviseren in zijn geschil met de verantwoordelijke, dan wel gebruik maken van een geschillenbeslechtingsregeling op grond van een gedragscode ten aanzien waarvan een verklaring is afgegeven als bedoeld in artikel 25, eerste lid. In dat geval kan in afwijking van artikel 6:7 van de Algemene wet bestuursrecht het beroep nog worden ingesteld, dan wel de procedure ingevolge artikel 46 nog aanhangig worden gemaakt nadat de belanghebbende van het College of ingevolge een geschillenbeslechtingsregeling op grond van een gedragscode ten aanzien waarvan een verklaring is afgegeven als bedoeld in artikel 25, eerste lid, bericht heeft ontvangen dat de behandeling van de zaak is beëindigd, doch uiterlijk zes weken na dat tijdstip.
o
2.Tijdens de behandeling van het beroep en de procedure, bedoeld in het eerste lid, kunnen de instanties die zijn belast met de behandeling van het geschil, het advies van het College inwinnen.
Artikel 48
De instanties die zijn belast met de behandeling van het geschil, zenden afschrift van hun uitspraak aan het College.
Artikel 49 o
1.Indien iemand schade lijdt doordat ten opzichte van hem in strijd wordt gehandeld met de bij of krachtens deze wet gegeven voorschriften zijn de volgende leden van toepassing, onverminderd de aanspraken op grond van andere wettelijke regels.
o
2.Voor nadeel dat niet in vermogensschade bestaat, heeft de benadeelde recht op een naar billijkheid vast te stellen schadevergoeding.
o
3.De verantwoordelijke is aansprakelijk voor de schade of het nadeel, voortvloeiende uit het niet-nakomen van de in het eerste lid bedoelde
27
voorschriften. De bewerker is aansprakelijk voor die schade of dat nadeel, voor zover ontstaan door zijn werkzaamheid. o
4.De verantwoordelijke of de bewerker kan geheel of gedeeltelijk worden ontheven van deze aansprakelijkheid, indien hij bewijst dat de schade hem niet kan worden toegerekend.
Artikel 50 o
1.Indien de verantwoordelijke of de bewerker handelt in strijd met het bij of krachtens deze wet bepaalde en een ander daardoor schade lijdt of dreigt te lijden, kan de rechter hem op vordering van die ander zodanig gedrag verbieden en hem bevelen maatregelen te treffen tot herstel van de gevolgen van dat gedrag.
o
2.Een verwerking kan niet ten grondslag worden gelegd aan een vordering van een rechtspersoon als bedoeld in artikel 1:2, derde lid, van de Algemene wet bestuursrecht of artikel 3:305a van het Burgerlijk Wetboek, voor zover degene die door deze verwerking wordt getroffen, daartegen bezwaar heeft.
Hoofdstuk 9. Toezicht
Paragraaf 1. Het College bescherming persoonsgegevens
Artikel 51 o
1.Er is een College bescherming persoonsgegevens dat tot taak heeft toe te zien op de verwerking van persoonsgegevens overeenkomstig het bij en krachtens de wet bepaalde. Tevens houdt het College toezicht op de verwerking van persoonsgegevens in Nederland, wanneer de verwerking plaatsvindt overeenkomstig het recht van een ander land van de Europese Unie.
o
2.Het College wordt om advies gevraagd over voorstellen van wet en ontwerpen van algemene maatregelen van bestuur die geheel of voor een belangrijk deel betrekking hebben op de verwerking van persoonsgegevens.
Artikel 52 o
1.Het College vervult overigens de taken, hem bij wet en ingevolge verdrag opgedragen.
o
2.Het College vervult zijn taken in onafhankelijkheid.
Artikel 53 o
1.Het College bestaat uit een voorzitter en twee andere leden. Bij het College kunnen voorts buitengewone leden worden benoemd. Bij de benoeming van
28
buitengewone leden wordt spreiding over de onderscheidene sectoren van de maatschappij nagestreefd. o
2.De voorzitter moet voldoen aan de bij of krachtens artikel 5 van de Wet rechtspositie rechterlijke ambtenaren gestelde vereisten voor benoembaarheid tot rechter in een rechtbank.
o
3.De voorzitter wordt bij koninklijk besluit, op voordracht van Onze Minister, benoemd voor een tijdvak van zes jaar. De andere twee leden en de buitengewone leden worden bij koninklijk besluit, op voordracht van Onze Minister, benoemd voor een tijdvak van vier jaar. De leden kunnen terstond worden herbenoemd. Op eigen verzoek worden zij door Onze Minister ontslagen.
o
4.Er is een Raad van advies die het College adviseert over algemene aspecten van de bescherming van persoonsgegevens. De leden zijn afkomstig uit de onderscheidene sectoren van de maatschappij en worden benoemd door Onze Minister op voordracht van het College. De leden worden benoemd voor ten hoogste vier jaar. Herbenoeming kan twee maal en telkens voor ten hoogste vier jaar plaatsvinden. Bij of krachtens algemene maatregel van bestuur wordt de vergoeding van de kosten aan de leden vastgesteld.
Artikel 54 o
1.Aan een lid wordt bij koninklijk besluit, op voordracht van Onze Minister, ontslag verleend met ingang van de eerste maand volgend op die waarin hij de pensioengerechtigde leeftijd, bedoeld in artikel 7a, eerste lid, van de Algemene Ouderdomswet, bereikt.
o
2.De artikelen 46c, 46d, tweede lid, 46f, 46g, 46i, met uitzondering van het eerste lid, onderdeel c, 46j, 46l, eerste en derde lid, 46m, 46n, 46oen 46p van de Wet rechtspositie rechterlijke ambtenaren zijn van overeenkomstige toepassing, met dien verstande dat:
a.de disciplinaire maatregel als bedoeld in artikel 46c, eerste lid, ten aanzien van de leden van het College door de voorzitter van het College wordt opgelegd;
b.het in artikel 46c, eerste lid, onderdeel b, genoemde verbod zich in een onderhoud of een gesprek in te laten met partijen of haar advocaten of gemachtigden of een bijzondere inlichting of schriftelijk stuk van hen aan te nemen niet op de leden van het College van toepassing is.
Artikel 55
29
o
1.De voorzitter en de andere twee leden genieten een bezoldiging voor hun werkzaamheden. De buitengewone leden genieten een zittingsgeld. Hun rechtspositie wordt nader geregeld bij algemene maatregel van bestuur.
o
2.De voorzitter en de andere twee leden mogen zonder toestemming van Onze Minister geen andere werkzaamheden verrichten waarvoor een beloning wordt genoten indien deze werkzaamheden door hun aard of omvang onverenigbaar zijn met hun werkzaamheden voor het College.
Artikel 56 o
1.Het College heeft een secretariaat, waarvan de ambtenaren door Onze Minister, op voordracht van de voorzitter, worden benoemd, geschorst en ontslagen.
o
2.De voorzitter geeft leiding aan de werkzaamheden van het College en van het secretariaat.
o
3.Het College stelt een bestuursreglement vast. Dit bevat in ieder geval regels over het financiële beheer en de administratieve organisatie, alsmede over werkwijzen en procedures met het oog op een goede en zorgvuldige uitoefening van de verschillende taken. Daarbij wordt voorzien in waarborgen tegen vermenging van de toezichthoudende, adviserende en sanctionerende taak van het College. Tevens kan het een nadere regeling geven van de Raad van advies, als bedoeld inartikel 53, vierde lid.
o
4.Het reglement alsmede elke wijziging daarvan wordt zo spoedig mogelijk gezonden aan Onze Minister en behoeft diens goedkeuring.
Artikel 57 o
1.Het College wordt vertegenwoordigd door de voorzitter en de twee andere leden, dan wel door een van hen.
o
2.De leden stellen een verdeling van taken vast en betrekken hierbij zoveel mogelijk de buitengewone leden.
Artikel 58
Het College stelt jaarlijks vóór 1 september een verslag op van de werkzaamheden, het gevoerde beleid in het algemeen en de doelmatigheid en doeltreffendheid van zijn werkwijze in het bijzonder in het afgelopen kalenderjaar. Het verslag wordt aan Onze Minister en aan de functionarissen voor de gegevensbescherming als bedoeld in artikel 62 toegezonden en algemeen verkrijgbaar gesteld.
30

Artikel 59 o
1.Het College verstrekt desgevraagd aan Onze Minister de voor de uitoefening van zijn taak benodigde inlichtingen. Onze Minister kan inzage vorderen van zakelijke gegevens en bescheiden, voor zover dat voor de vervulling van zijn taak nodig is.
o
2.Het eerste lid is niet van toepassing indien het College de informatie van derden heeft verkregen onder de voorwaarde dat het geheime karakter daarvan wordt gehandhaafd.

Artikel 60 o
1.Het College kan ambtshalve of op verzoek van een belanghebbende, een onderzoek instellen naar de wijze waarop ten aanzien van gegevensverwerking toepassing wordt gegeven aan het bepaalde bij of krachtens de wet.
o
2.Het College brengt zijn voorlopige bevindingen ter kennis van de verantwoordelijke of de groep van verantwoordelijken die bij het onderzoek zijn betrokken en stelt hen in de gelegenheid hun zienswijze daarop te geven. Houden de voorlopige bevindingen verband met de uitvoering van enige wet, dan brengt het College deze tevens ter kennis van Onze Minister die het aangaat.
o
3.In geval van een onderzoek, ingesteld op verzoek van een belanghebbende, doet het College aan deze mededeling van zijn bevindingen, tenzij zodanige mededeling onverenigbaar is met het doel van de gegevensverwerking of de aard van de persoonsgegevens, dan wel gewichtige belangen van anderen dan de verzoeker, de verantwoordelijke daaronder begrepen, daardoor onevenredig zouden worden geschaad. Indien het mededeling van zijn bevindingen achterwege laat, zendt het de belanghebbende zodanig bericht als hem geraden voorkomt.

Artikel 61 o
1.Met het toezicht op de naleving als bedoeld in artikel 51, eerste lid zijn belast de leden en buitengewone leden van het College, de ambtenaren van het secretariaat van het College, alsmede de bij besluit van het College aangewezen personen.
o
2.De in het eerste lid bedoelde personen zijn bevoegd een woning te betreden zonder toestemming van de bewoner.
o
3.De in het eerste lid bedoelde personen behoeven voor de uitoefening van de in het tweede lid omschreven bevoegdheid de uitdrukkelijke en bijzondere volmacht van het College, onverminderd het bepaalde inartikel 2 van de Algemene wet op het binnentreden.
31
o
4.Het College is bevoegd tot oplegging van een last onder bestuursdwang ter handhaving van artikel 5:20, eerste lid, van de Algemene wet bestuursrecht, voor zover het betreft de verplichting tot het verlenen van medewerking aan een bij of krachtens het eerste lid aangewezen ambtenaar.
o
5.Geen beroep is mogelijk op een geheimhoudingsplicht, voor zover inlichtingen of medewerking wordt verlangd in verband met de eigen betrokkenheid bij de verwerking van persoonsgegevens.
o
6.Het College is desgevraagd verplicht aan de toezichthoudende autoriteiten van de andere lidstaten van de Europese Unie alle medewerking te verlenen voor zover dat noodzakelijk is voor de uitvoering van hun taken.
Paragraaf 2. De functionaris voor de gegevensbescherming
Artikel 62
Een verantwoordelijke of een organisatie waarbij verantwoordelijken zijn aangesloten kan een eigen functionaris voor de gegevensbescherming benoemen, onverminderd de bevoegdheden van het College ingevolgehoofdstuk 9 en 10 van deze wet.
Artikel 63 o
1.Als functionaris kan slechts worden benoemd een natuurlijke persoon die voor de vervulling van zijn taak over toereikende kennis beschikt en voldoende betrouwbaar kan worden geacht.
o
2.De functionaris kan wat betreft de uitoefening van zijn functie geen aanwijzingen ontvangen van de verantwoordelijke of van de organisatie die hem heeft benoemd. Hij ondervindt geen nadeel van de uitoefening van zijn taak. De verantwoordelijke stelt de functionaris in de gelegenheid zijn taak naar behoren te vervullen. De functionaris kan de kantonrechter verzoeken te bepalen dat de verantwoordelijke gevolg dient te geven aan hetgeen in de tweede volzin is bepaald.
o
3.De functionaris oefent zijn taken eerst uit nadat de verantwoordelijke of de organisatie die hem heeft benoemd, hem heeft aangemeld bij het College. Het College houdt een lijst bij van aangemelde functionarissen.
o
4.De functionaris is verplicht tot geheimhouding van hetgeen hem op grond van een klacht of een verzoek van betrokkene is bekend geworden, tenzij de betrokkene in bekendmaking toestemt.
Artikel 64
32
o
1.De functionaris ziet toe op de verwerking van persoonsgegevens overeenkomstig het bij en krachtens de wet bepaalde. Het toezicht strekt zich uit tot de verwerking van persoonsgegevens door de verantwoordelijke die hem heeft benoemd of door de verantwoordelijken die zijn aangesloten bij de organisatie die hem heeft benoemd.
o
2.Indien op de verwerking een krachtens artikel 25 vastgestelde gedragscode van toepassing is, strekt het toezicht mede uit tot de naleving van deze code.
o
3.De verantwoordelijke of de organisatie als bedoeld in het eerste lid draagt zorg dat de functionaris ter vervulling van zijn taak over bevoegdheden beschikt die gelijkwaardig zijn aan de bevoegdheden zoals geregeld in Titel 5.2 van de Algemene wet bestuursrecht.
o
4.De functionaris kan aanbevelingen doen aan de verantwoordelijke die strekken tot een betere bescherming van de gegevens die worden verwerkt. In gevallen van twijfel overlegt hij met het College.
Hoofdstuk 10. Sancties
Paragraaf 1. Bestuursdwang
Artikel 65
Het College is bevoegd tot oplegging van een last onder bestuursdwang ter handhaving van de bij of krachtens deze wet gestelde verplichtingen.
Paragraaf 2. Bestuurlijke boeten
Artikel 66
Het College kan aan de verantwoordelijke een bestuurlijke boete opleggen van ten hoogste EUR 4 500 ter zake van overtreding van het bij of krachtensartikel 27, 28 of 79, eerste lid, bepaalde.
Artikel 67 [Vervallen per 01-07-2009]
Artikel 68 [Vervallen per 01-07-2009]
Artikel 69 [Vervallen per 01-07-2009]
Artikel 70 [Vervallen per 01-07-2009]
Artikel 71
De werking van de beschikking tot oplegging van de bestuurlijk boete wordt opgeschort totdat de bezwaartermijn is verstreken of, indien bezwaar is gemaakt, op het bezwaar is beslist.
33
Artikel 72 [Vervallen per 01-07-2009]
Artikel 73 [Vervallen per 01-07-2009]
Artikel 74
Onze Minister kan beleidsregels vaststellen over de uitoefening van de bevoegdheid van het College tot de oplegging van boeten.
Paragraaf 3. Strafrechtelijke sancties
Artikel 75 o
1.De verantwoordelijke die in strijd handelt met hetgeen bij of krachtensartikel 4, derde lid, 27, 28, 78, tweede lid, onder a, of 79, eerste lid, is bepaald, wordt gestraft met geldboete van de derde categorie.
o
2.De verantwoordelijke die een feit als bedoeld in het eerste lid, opzettelijk begaat, wordt gestraft met gevangenisstraf van ten hoogste zes maanden of geldboete van de vierde categorie.
o
3.De in het eerste lid strafbaar gestelde feiten zijn overtredingen. De in het tweede lid strafbaar gestelde feiten zijn misdrijven.
o
4.Met de opsporing van de in dit artikel omschreven feiten zijn behalve de bij of krachtens artikel 141 van het Wetboek van Strafvorderingaangewezen ambtenaren belast de door Onze Minister daartoe aangewezen ambtenaren van het secretariaat van het College.
Hoofdstuk 11. Gegevensverkeer met landen buiten de Europese Unie
Artikel 76 o
1.Persoonsgegevens die aan een verwerking worden onderworpen of die bestemd zijn om na hun doorgifte te worden verwerkt, worden slechts naar een land buiten de Europese Unie doorgegeven indien, onverminderd de naleving van de wet, dat land een passend beschermingsniveau waarborgt.
o
2.In afwijking van het eerste lid kunnen persoonsgegevens die aan een verwerking worden onderworpen of die zijn bestemd om na hun doorgifte te worden verwerkt naar een land buiten de Europese Unie worden doorgegeven, indien dat land partij is bij de op 2 mei 1992 te Oporto totstandgekomen Overeenkomst betreffende de Europese Economische Ruimte (Trb. 1992, 132), tenzij uit een besluit van de Commissie van de Europese Gemeenschappen of de Raad van de Europese Unie voortvloeit dat deze doorgifte is beperkt of verboden.
o
3.Het passend karakter van het beschermingsniveau wordt beoordeeld gelet op de omstandigheden die op de doorgifte van gegevens of op een categorie
34
gegevensdoorgiften van invloed zijn. In het bijzonder wordt rekening gehouden met de aard van de gegevens, met het doeleinde of de doeleinden en met de duur van de voorgenomen verwerking of verwerkingen, het land van herkomst en het land van eindbestemming, de algemene en sectoriële rechtsregels die in het betrokken derde land gelden, alsmede de regels van het beroepsleven en de veiligheidsmaatregelen die in die landen worden nageleefd.
Artikel 77 o
1.In afwijking van artikel 76 kan een doorgifte of een categorie van doorgiften van persoonsgegevens naar een derde land dat geen waarborgen biedt voor een passend beschermingsniveau, plaatsvinden indien:
a.de betrokkene daarvoor zijn ondubbelzinnige toestemming heeft gegeven;
b.de doorgifte noodzakelijk is voor de uitvoering van een overeenkomst tussen de betrokkene en de verantwoordelijke, of voor het nemen van precontractuele maatregelen naar aanleiding van een verzoek van de betrokkene en die noodzakelijk zijn voor het sluiten van een overeenkomst;
c.de doorgifte noodzakelijk is voor de sluiting of uitvoering van een in het belang van de betrokkene tussen de verantwoordelijke en een derde gesloten of te sluiten overeenkomst;
d.de doorgifte noodzakelijk is vanwege een zwaarwegend algemeen belang, of voor de vaststelling, de uitvoering of de verdediging in rechte van enig recht;
e.de doorgifte noodzakelijk is ter vrijwaring van een vitaal belang van de betrokkene, of
f.de doorgifte geschiedt vanuit een register dat bij wettelijk voorschrift is ingesteld en dat door een ieder dan wel door iedere persoon die zich op een gerechtvaardigd belang kan beroepen, kan worden geraadpleegd, voor zover in het betrokken geval is voldaan aan de wettelijke voorwaarden voor raadpleging;
g.gebruik wordt gemaakt van een modelcontract als bedoeld in artikel 26, vierde lid, van richtlijn nr. 95/46/EG van het Europees Parlement en de Raad van de Europese Unie van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PbEG L 281).
35
o
2.In afwijking van het eerste lid, kan Onze Minister, gehoord het College, een vergunning geven voor een doorgifte of een categorie doorgiften van persoonsgegevens naar een derde land dat geen waarborgen voor een passend beschermingsniveau biedt. Aan de vergunning worden de nadere voorschriften verbonden die nodig zijn om de bescherming van de persoonlijke levenssfeer en de fundamentele rechten en vrijheden van personen, alsmede de uitoefening van de daarmee verband houdende rechten te waarborgen.
Artikel 78 o
1.Onze Minister stelt de Commissie van de Europese Gemeenschappen in kennis van:
a.de gevallen waarin, naar zijn oordeel, een derde land geen waarborgen voor een passend beschermingsniveau biedt in de zin van artikel 76, eerste lid, en
o
b.van een vergunning als bedoeld in artikel 77, tweede lid.
2.Indien zulks voortvloeit uit een besluit van de Commissie van de Europese Gemeenschappen of de Raad van de Europese Unie, bepaalt Onze Minister van Justitie bij ministeriële regeling of bij besluit dat:
a.de doorgifte naar een land buiten de Europese Unie is verboden, of,
b.een op grond van artikel 77, tweede lid, verleende vergunning wordt ingetrokken of gewijzigd.
o
3.Aan een derde land, waarvan de Commissie van de Europese Gemeenschappen of de Raad van de Europese Unie heeft vastgesteld dat het waarborgen voor een passend beschermingsniveau biedt kunnen, onverminderd het overigens bij of krachtens deze wet bepaalde, persoonsgegevens worden doorgegeven.
o
4.In afwijking van het derde lid kan de doorgifte van persoonsgegevens naar een derde land waarvan de Commissie van de Europese Gemeenschappen of de Raad van de Europese Unie heeft vastgesteld dat het waarborgen voor een passend beschermingsniveau biedt, door Onze Minister van Justitie bij ministeriële regeling of bij besluit, gehoord het College, worden opgeschort, teneinde personen bij de verwerking van persoonsgegevens te beschermen in de gevallen waarin:
a.een bevoegde autoriteit in het derde land tot de conclusie is gekomen dat de desbetreffende ontvanger in strijd met de toepasselijke normen voor gegevensbescherming handelt;
36
b.het zeer waarschijnlijk is dat niet aan de normen voor gegevensbescherming wordt voldaan, er gegronde redenen zijn om aan te nemen dat de bevoegde autoriteit in het derde land niet tijdig passende maatregelen neemt of zal nemen om het desbetreffende probleem op te lossen, de voortzetting van de doorgifte een dreigend gevaar voor ernstige schade aan de betrokkene inhoudt en het College voldoende inspanningen heeft geleverd om de in het derde land gevestigde verantwoordelijke in kennis te stellen van zijn bevindingen en hem gelegenheid heeft geboden op die bevindingen te reageren.
o
5.De ministeriële regeling, onderscheidenlijk het besluit, bedoeld in het vierde lid, blijft van kracht tot vaststaat dat de normen voor gegevensverwerking worden nageleefd en het College daarvan in kennis is gesteld door de desbetreffende bevoegde autoriteit, in een geval als bedoeld in het vierde lid, onder a, dan wel het College dit heeft vastgesteld in een geval als bedoeld in het vierde lid, onder b. Het College brengt zijn bevindingen ter kennis van Onze Minister van Justitie.
o
6.De in het eerste lid, onder a en b, bedoelde kennisgevingen worden gepubliceerd in de Staatscourant.
Hoofdstuk 12. Overgangs- en slotbepalingen
Artikel 79 o
1.Binnen een jaar na inwerkingtreding van deze wet worden de gegevensverwerkingen die op dat tijdstip reeds plaatsvonden, in overeenstemming gebracht met deze wet en worden deze gemeld als bedoeld in artikel 27 bij het College of de functionaris. Bij algemene maatregel van bestuur kan de termijn, bedoeld in de eerste volzin, worden verlengd tot ten hoogste drie jaren voor wat betreft de verplichting tot melding.
o
2.Voor de aanpassing van de verwerking van bijzondere gegevens aanparagraaf 2 van hoofdstuk 2 geldt een termijn van drie jaren met dien verstande dat voor verwerkingen die al plaatsvonden en noodzakelijk zijn voor de uitvoering van overeenkomsten tot stand gekomen voor het tijdstip van inwerkingtreding van deze wet, niet opnieuw toestemming behoeft te worden gevraagd als bedoeld in artikel 23, eerste lid, onder a.
o
3.Artikel 32, tweede lid, is niet van toepassing op de verwerkingen als bedoeld in artikel 31, eerste en derde lid, die reeds plaatsvonden op het tijdstip van inwerkingtreding van de wet, onderscheidenlijk van de wet of de algemene maatregel van bestuur waarbij zij zijn aangewezen.
Artikel 80
37
Onze Ministers van Justitie en van Binnenlandse Zaken en Koninkrijksrelaties zenden binnen vijf jaren na de inwerkingtreding van deze wet aan de Staten-Generaal een verslag over de doeltreffendheid en de effecten van deze wet in de praktijk.
Artikel 81
De Wet persoonsregistraties wordt ingetrokken.
Artikel 82
Deze wet treedt in werking op een bij koninklijk besluit te bepalen tijdstip.
Artikel 83
Deze wet wordt aangehaald als: Wet bescherming persoonsgegevens.
Lasten en bevelen dat deze in het Staatsblad zal worden geplaatst en dat alle ministeries, autoriteiten, colleges en ambtenaren wie zulks aangaat, aan de nauwkeurige uitvoering de hand zullen houden.
Gegeven te 's-Gravenhage, 6 juli 2000 Beatrix De Minister van Justitie, A. H. Korthals De Minister voor Grote Steden- en Integratiebeleid, R. H. L. M. van Boxtel Uitgegeven de twintigste juli 2000 De Minister van Justitie, A. H. Korthals
38
Besluit van 7 mei 2001, houdende aanwijzing van verwerkingen van persoonsgegevens die zijn vrijgesteld van de melding bedoeld in artikel 27 van de Wet bescherming persoonsgegevens (Vrijstellingsbesluit Wbp)
Wij Beatrix, bij de gratie Gods, Koningin der Nederlanden, Prinses van Oranje-Nassau, enz. enz. enz.
Op de voordracht van Onze Minister van Justitie van 19 januari 2001, nr. 5075630/01/6; Gelet op artikel 29, eerste en tweede lid, van de Wet bescherming persoonsgegevens; De Raad van State gehoord (advies van 27 maart 2001, nr. W03.01.0048/I); Gezien het nader rapport van Onze Minister van Justitie 27 april 2001, nr. 5095178/01/6; Hebben goedgevonden en verstaan:
Hoofdstuk 1. Inleidende bepalingen
Artikel 1. Begripsbepaling
In dit besluit wordt verstaan onder wet: de Wet bescherming persoonsgegevens.
Artikel 2. Vrijgestelde verwerkingen
Artikel 27 van de wet is niet van toepassing op de in hoofdstuk 2 van dit besluitbedoelde verwerkingen van persoonsgegevens door of ten behoeve van één verantwoordelijke.
Hoofdstuk 2. Categorieen van verwerkingen
Paragraaf 1. Lidmaatschap en begunstiging
Artikel 3. Verenigingen, stichtingen en publiekrechtelijke beroepsorganisaties o
1.Artikel 27 van de wet is niet van toepassing op verwerkingen van verenigingen, stichtingen of publiekrechtelijke beroepsorganisaties betreffende hun leden of begunstigers, voor zover deze verwerkingen voldoen aan de in dit artikel vermelde eisen.
o
2.De verwerking geschiedt slechts voor:
39
a.de activiteiten die gelet op de doelstelling van de vereniging, stichting of publiekrechtelijke beroepsorganisatie gebruikelijk zijn of die door de ledenvergadering zijn goedgekeurd;
b.het verzenden van informatie aan de betrokkenen;
c.het bekend maken van informatie over betrokkenen en activiteiten van de vereniging, stichting of publiekrechtelijke beroepsorganisatie na instemming van de ledenvergadering, voorzover aanwezig, op de eigen website;
d.het berekenen, vastleggen en innen van contributies en giften, waaronder begrepen het in handen van derden stellen van vorderingen, alsmede andere activiteiten van intern beheer;
e.het behandelen van geschillen en het doen uitoefenen van accountantscontrole.
o
3.Geen andere persoonsgegevens worden verwerkt dan:
a.naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie benodigde gegevens, alsmede bank- en girorekeningnummer van de betrokkene;
b.een administratienummer dat geen andere informatie bevat dan bedoeld onder a;
c.gegevens als bedoeld onder a, van de ouders, voogden of verzorgers van minderjarige leden of begunstigers;
d.gegevens betreffende het lidmaatschap of de begunstiging, waaronder begrepen de aard daarvan, alsmede de functie binnen en de deelname aan de activiteiten van de vereniging, de stichting of publiekrechtelijke beroepsorganisatie;
e.foto’s en videobeelden met of zonder geluid van activiteiten van de vereniging, stichting of publiekrechtelijke beroepsorganisatie;
f.gegevens met het oog op het berekenen, vastleggen en innen van contributies en giften.
o
4.De persoonsgegevens worden slechts verstrekt aan:
a.de leden of begunstigers;
b.de ouders, voogden of verzorgers van minderjarige leden of begunstigers;
40
c.degenen, waaronder begrepen derden, die belast zijn met of leiding geven aan de in het tweede lid bedoelde activiteiten of die daarbij noodzakelijk zijn betrokken;
d.anderen, in de gevallen bedoeld in artikel 8, onder a, c en d, ofartikel 9, derde lid, van de wet;
e.anderen, in de gevallen bedoeld in artikel 8, onder e en f, van de wet, voor zover het slechts gegevens betreft als bedoeld in het derde lid, onder a, en nadat het voornemen daartoe aan de betrokkene of diens wettelijk vertegenwoordiger is medegedeeld en deze gedurende een redelijke termijn in de gelegenheid is geweest het recht als bedoeld in artikel 40 of 41 van de wet uit te oefenen.
o
5.Gegevens op de website van de vereniging, stichting of publiekrechtelijke beroepsorganisatie worden slechts verstrekt aan:
a.de leden of begunstigers;
b.de ouders, voogden of verzorgers van minderjarige leden of begunstigers;
c.degenen, waaronder begrepen derden, die belast zijn met of leiding geven aan de in het tweede lid bedoelde activiteiten of die daarbij noodzakelijkerwijs zijn betrokken, voor zover zij daartoe door het bestuur zijn geautoriseerd.
o
6.De verantwoordelijke draagt zorg voor een adequate toegangsbeveiliging van de website, alsmede voor een afdoende bescherming van persoonsgegevens voor verdere verwerking door zoekmachines.
o
7.De persoonsgegevens worden verwijderd uiterlijk twee jaren nadat het lidmaatschap is beëindigd of de betrokkene te kennen heeft gegeven dat hij niet langer als begunstiger wil worden beschouwd, tenzij de persoonsgegevens noodzakelijk zijn ter voldoening aan een wettelijke bewaarplicht. De gegevens op de website worden onverwijld verwijderd wanneer de betrokkene of diens wettelijk vertegenwoordiger daarom verzoekt.
Artikel 4. Genootschappen op geestelijke grondslag o
1.Artikel 27 van de wet is niet van toepassing op verwerkingen van kerkgenootschappen of andere genootschappen op geestelijke grondslag betreffende de daartoe behorende personen en hun gezinsleden of begunstigers, voor zover deze verwerkingen voldoen aan de in dit artikel vermelde eisen.
o
2.De verwerking geschiedt slechts voor:
41
a.de activiteiten die het betrokken genootschap volgens zijn statuut uitoefent;
b.het verzenden van informatie aan de betrokkenen;
c.het berekenen, vastleggen en innen van bijdragen en giften, waaronder begrepen het in handen van derden stellen van vorderingen, alsmede andere activiteiten van intern beheer;
d.het behandelen van geschillen en het doen uitoefenen van accountantscontrole.
o
3.Geen andere persoonsgegevens worden verwerkt dan:
a.naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie benodigde gegevens, alsmede bank- en girorekeningnummer van de betrokkene;
b.een administratienummer dat geen andere informatie bevat dan bedoeld onder a;
c.gegevens betreffende het lidmaatschap of de begunstiging, waaronder begrepen de aard daarvan, alsmede de functie binnen en de deelname aan de activiteiten van het genootschap;
d.gegevens met het oog op het berekenen, vastleggen en innen van bijdragen en giften;
e.andere dan de onder a tot en met d bedoelde gegevens waarvan de verwerking wordt vereist ingevolge het statuut van het betrokken genootschap;
f.gegevens betreffende godsdienst of levensovertuiging van de gezinsleden, tenzij het betrokken gezinslid daartegen schriftelijk bezwaar heeft gemaakt.
o
4.De persoonsgegevens worden slechts verstrekt aan:
a.de tot het genootschap behorende personen en hun gezinsleden of de begunstigers;
b.de ouders, voogden of verzorgers van minderjarige leden of begunstigers;
c.degenen, waaronder begrepen derden, die belast zijn met of leiding geven aan de in het tweede lid bedoelde activiteiten of die daarbij noodzakelijk zijn betrokken;
42
d.anderen, in de gevallen bedoeld in artikel 8, onder a, c en d, ofartikel 9, derde lid, van de wet.
o
5.De persoonsgegevens worden verwijderd uiterlijk twee jaren nadat het lidmaatschap of het contact met het betrokken gezinslid is beëindigd, dan wel de betrokkene te kennen heeft gegeven dat hij niet langer als begunstiger wil worden beschouwd, tenzij de persoonsgegevens noodzakelijk zijn ter voldoening aan een wettelijke bewaarplicht.
Paragraaf 2. Arbeid en pensioen
Artikel 5. Sollicitanten o
1.Artikel 27 van de wet is niet van toepassing op verwerkingen betreffende personen die hebben gesolliciteerd om werkzaam te zijn in dienst van of ten behoeve van de verantwoordelijke, voor zover deze verwerkingen voldoen aan de in dit artikel vermelde eisen.
o
2.De verwerking geschiedt slechts voor:
a.de beoordeling van de geschiktheid van betrokkene voor een functie die vacant is of kan komen;
o
b.de afhandeling van de door de sollicitant gemaakte onkosten;
c.de interne controle en de bedrijfsbeveiliging;
d.de uitvoering of toepassing van een andere wet.
3.Geen andere persoonsgegevens worden verwerkt dan:
a.naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie benodigde gegevens, alsmede bank- en girorekeningnummer van de betrokkene;
b.een administratienummer dat geen andere informatie bevat dan bedoeld onder a;
c.nationaliteit en geboorteplaats;
d.gegevens als bedoeld onder a, van de ouders, voogden of verzorgers van minderjarige sollicitanten;
e.gegevens betreffende gevolgde en te volgen opleidingen, cursussen en stages;
f.gegevens betreffende de functie waarnaar gesolliciteerd is;
43
g.gegevens betreffende de aard en inhoud van de huidige dienstbetrekking, alsmede betreffende de beëindiging ervan;
h.gegevens betreffende de aard en inhoud van de vorige dienstbetrekkingen, alsmede betreffende de beëindiging ervan;
i.andere gegevens met het oog op het vervullen van de functie, die door de betrokkene zijn verstrekt of die hem bekend zijn;
j.andere dan de onder a tot en met i bedoelde gegevens waarvan de verwerking wordt vereist ingevolge of noodzakelijk is met het oog op de toepassing van een andere wet.
o
4.De persoonsgegevens worden slechts verstrekt aan:
a.degenen, waaronder begrepen derden, die belast zijn met of leiding geven aan de in het tweede lid bedoelde activiteiten of die daarbij noodzakelijk zijn betrokken;
b.anderen, in de gevallen bedoeld in artikel 8, onder a, c en d, ofartikel 9, derde lid, van de wet.
o
5.Indien betrokkene aan een medische of psychologische keuring, dan wel aan een assessment wordt onderworpen, worden aan de keurende arts, de psycholoog of degene die is belast met het assessment slechts die persoonsgegevens verstrekt die noodzakelijk zijn met het oog op de keuring of het assessment.
o
6.De persoonsgegevens worden verwijderd op een daartoe strekkend verzoek van betrokkene en in ieder geval uiterlijk vier weken nadat de sollicitatieprocedure is geëindigd, tenzij de persoonsgegevens met toestemming van de betrokkene gedurende een jaar na beëindiging van de sollicitatieprocedure worden bewaard.
Artikel 6. Arbeidsbemiddeling o
1.Artikel 27 van de wet is niet van toepassing op verwerkingen van uitzendondernemingen betreffende personen die beschikbaar zijn voor arbeidsbemiddeling, voor zover deze verwerkingen voldoen aan de in dit artikel vermelde eisen.
o
2.De verwerking geschiedt slechts voor:
a.de beoordeling van de geschiktheid van betrokkene voor arbeidsbemiddeling;
b.de bemiddeling van betrokkenen naar arbeid;
44
c.de afhandeling van de door de betrokkene gemaakte onkosten;
d.de interne controle en de bedrijfsbeveiliging;
e.het behandelen van geschillen en het doen uitoefenen van accountantscontrole;
o
f.de uitvoering of toepassing van een andere wet.
3.Geen andere persoonsgegevens worden verwerkt dan:
a.naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie benodigde gegevens, alsmede bank- en girorekeningnummer van de betrokkene;
b.een administratienummer dat geen andere informatie bevat dan bedoeld onder a;
c.nationaliteit en geboorteplaats;
d.gegevens als bedoeld onder a, van de ouders, voogden of verzorgers van een minderjarige;
e.gegevens betreffende gevolgde en te volgen opleidingen, cursussen en stages;
f.gegevens betreffende de functie waarnaar betrokkene een voorkeur heeft;
g.gegevens betreffende de aard en inhoud en opdrachtgever van een lopende arbeidsbemiddeling, alsmede betreffende de beëindiging ervan;
h.gegevens betreffende de aard en inhoud van de vorige arbeidsbemiddelingen, alsmede betreffende de beëindiging ervan;
i.andere gegevens betreffende de werkervaring van de betrokkene;
j.andere gegevens die van belang zijn in het kader van de arbeidsbemiddeling van betrokkene, voor zover deze door hem zijn verstrekt of hem bekend zijn;
k.andere dan de onder a tot en met j bedoelde gegevens waarvan de verwerking wordt vereist ingevolge of noodzakelijk is met het oog op de toepassing van een andere wet.
o
4.De persoonsgegevens worden slechts verstrekt aan:
a.degenen, waaronder begrepen derden, die belast zijn met of leiding geven aan de in het tweede lid bedoelde activiteiten of die daarbij noodzakelijk zijn betrokken;
45
b.een opdrachtgever die een aanvraag voor arbeidsbemiddeling heeft gedaan met het oog op een mogelijke plaatsing van de betrokkene, voor zover in dat kader noodzakelijk;
c.anderen, in de gevallen bedoeld in artikel 8, onder a, c en d, ofartikel 9, derde lid, van de wet.
o
5.Indien betrokkene aan een medische of psychologische keuring, dan wel aan een assessment wordt onderworpen, worden aan de keurende arts, de psycholoog of degene die is belast met het assessment slechts die persoonsgegevens verstrekt die noodzakelijk zijn met het oog op de keuring of het assessment.
o
6.De persoonsgegevens worden verwijderd op een daartoe strekkend verzoek van betrokkene, en in ieder geval uiterlijk twee jaren na de dag van inschrijving dan wel na de dag waarop betrokkene voor het laatst op grond van de inschrijving werkzaam is geweest, tenzij de persoonsgegevens noodzakelijk zijn ter voldoening aan een wettelijke bewaarplicht.
Artikel 7. Personeelsadministratie o
1.Artikel 27 van de wet is niet van toepassing op verwerkingen in het kader van de personeelsadministratie betreffende personen in dienst van of werkzaam ten behoeve van de verantwoordelijke, voor zover deze verwerkingen voldoen aan de in dit artikel vermelde eisen.
o
2.De verwerking geschiedt slechts voor:
a.het geven van leiding aan de werkzaamheden van betrokkene;
b.de behandeling van personeelszaken;
c.het vaststellen en doen uitbetalen van salarisaanspraken;
d.het regelen van aanspraken op uitkeringen in verband met de beëindiging van een dienstverband;
e.de opleiding van betrokkene;
f.de bedrijfsmedische zorg voor betrokkene;
g.het bedrijfsmaatschappelijk werk;
h.de verkiezing van de leden van een bij wet geregeld medezeggenschapsorgaan;
i.de interne controle en de bedrijfsbeveiliging;
j.de uitvoering van een voor de betrokkene geldende arbeidsvoorwaarde;
46
k.het opstellen van een lijst van data van verjaardagen van betrokkenen en andere feestelijkheden en gebeurtenissen;
l.het verlenen van ontslag;
m.de administratie van de personeelsvereniging en van de vereniging van oud-personeelsleden;
n.het innen van vorderingen, waaronder begrepen het in handen van derden stellen van die vorderingen;
o.het behandelen van geschillen en het doen uitoefenen van accountantscontrole;
p.de overgang van de betrokkene naar of diens tijdelijke tewerkstelling bij een ander onderdeel van de groep, bedoeld in artikel 2:24b van het Burgerlijk Wetboek waaraan de verantwoordelijke is verbonden;
o
q.de uitvoering of toepassing van een andere wet.
3.Geen andere persoonsgegevens worden verwerkt dan:
a.naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie benodigde gegevens, alsmede bank- en girorekeningnummer van de betrokkene;
b.een administratienummer dat geen andere informatie bevat dan bedoeld onder a;
c.nationaliteit en geboorteplaats;
d.gegevens als bedoeld onder a, van de ouders, voogden of verzorgers van minderjarige werknemers;
e.gegevens betreffende gevolgde en te volgen opleidingen, cursussen en stages;
f.gegevens betreffende de functie of de voormalige functie, alsmede betreffende de aard, de inhoud en de beëindiging van het dienstverband;
g.gegevens met het oog op de administratie van de aanwezigheid van de betrokkenen op de plaats waar de arbeid wordt verricht en hun afwezigheid in verband met verlof, arbeidsduurverkorting, bevalling of ziekte, met uitzondering van gegevens over de aard van de ziekte;
h.gegevens die in het belang van de betrokkenen worden opgenomen met het oog op hun arbeidsomstandigheden;
47
i.gegevens, waaronder begrepen gegevens betreffende gezinsleden en voormalige gezinsleden van de betrokkenen, die noodzakelijk zijn met het oog op een overeengekomen arbeidsvoorwaarde;
j.gegevens met oog op het organiseren van de personeelsbeoordeling en de loopbaanbegeleiding, voor zover die gegevens bij de betrokkenen bekend zijn;
k.andere dan de onder a tot en met j bedoelde gegevens waarvan de verwerking wordt vereist ingevolge of noodzakelijk is met het oog op de toepassing van een andere wet.
o
4.De persoonsgegevens worden slechts verstrekt aan:
a.degenen, waaronder begrepen derden, die belast zijn met of leiding geven aan de in het tweede lid bedoelde activiteiten of die daarbij noodzakelijk zijn betrokken;
b.anderen, in de gevallen bedoeld in artikel 8, onder a, c en d, ofartikel 9, derde lid, van de wet;
c.een vakbond of een vakcentrale met het oog op het overleg met haar leden over de samenstelling van de kandidatenlijst ten behoeve van een wettelijk geregelde verkiezing van de leden van een medezeggenschapsorgaan binnen de organisatie van de verantwoordelijke, voor zover het slechts gegevens betreft als bedoeld in het derde lid, onder a, en nadat het voornemen daartoe aan betrokkene of diens wettelijk vertegenwoordiger is medegedeeld en deze gedurende een redelijke termijn in de gelegenheid is geweest het recht als bedoeld in artikel 40, eerste lid, van de wet uit te oefenen.
o
5.De persoonsgegevens worden verwijderd uiterlijk twee jaren nadat het dienstverband of de werkzaamheden van de betrokkene ten behoeve van de verantwoordelijke zijn beëindigd, tenzij de persoonsgegevens noodzakelijk zijn ter voldoening aan een wettelijke bewaarplicht.
Artikel 8. Salarisadministratie o
1.Artikel 27 van de wet is niet van toepassing op verwerkingen in het kader van de salarisadministratie betreffende personen in dienst van of werkzaam ten behoeve van de verantwoordelijke, voor zover deze verwerkingen voldoen aan de in dit artikel vermelde eisen.
o
2.De verwerking geschiedt slechts voor:
48
a.het berekenen, vastleggen en betalen van salarissen, vergoedingen en andere geldsommen en beloningen in natura aan of ten behoeve van betrokkene;
b.het berekenen, vastleggen en betalen van belasting en premies ten behoeve van betrokkene;
c.een voor de betrokkene geldende arbeidsvoorwaarde;
d.de personeelsadministratie;
e.het regelen van aanspraken op uitkeringen in verband met de beëindiging van een dienstverband;
f.de overgang van de betrokkene naar of diens tijdelijke tewerkstelling bij een ander onderdeel van de groep, bedoeld in artikel 2:24b van het Burgerlijk Wetboek waaraan de verantwoordelijke is verbonden;
g.het verlenen van ontslag;
h.het innen van vorderingen, waaronder begrepen het in handen van derden stellen van vorderingen;
i.het behandelen van geschillen en het doen uitoefenen van accountantscontrole;
o
j.de uitvoering of toepassing van een andere wet.
3.Geen andere persoonsgegevens worden verwerkt dan:
a.naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie benodigde gegevens, alsmede bank- en girorekeningnummer van de betrokkene;
b.een administratienummer dat geen andere informatie bevat dan bedoeld onder a;
c.nationaliteit en geboorteplaats;
d.gegevens als bedoeld onder a, van de ouders, voogden of verzorgers van minderjarige werknemers;
e.gegevens met het oog op het berekenen, vastleggen en betalen van salarissen, vergoedingen en andere geldsommen en beloningen in natura aan of ten behoeve van de in het eerste lid bedoelde personen;
f.gegevens met het oog op het berekenen, vastleggen en betalen van belasting en premies ten behoeve van betrokkene;
49
g.gegevens, waaronder begrepen gegevens betreffende gezinsleden en voormalige gezinsleden van de betrokkenen, die noodzakelijk zijn met het oog op een overeengekomen arbeidsvoorwaarde;
h.andere dan de onder a tot en met g bedoelde gegevens waarvan de verwerking wordt vereist ingevolge of noodzakelijk is met het oog op de toepassing van een andere wet.
o
4.De persoonsgegevens worden slechts verstrekt aan:
a.degenen, waaronder begrepen derden, die belast zijn met of leiding geven aan de in het tweede lid bedoelde activiteiten of die daarbij noodzakelijk zijn betrokken;
b.anderen, in de gevallen bedoeld in artikel 8, onder a, c en d, ofartikel 9, derde lid, van de wet.
o
5.De persoonsgegevens worden verwijderd uiterlijk twee jaren nadat het dienstverband of de werkzaamheden van de betrokkene ten behoeve van de verantwoordelijke zijn beëindigd, tenzij de persoonsgegevens noodzakelijk zijn ter voldoening aan een wettelijke bewaarplicht.
Artikel 9. Uitkering bij ontslag o
1.Artikel 27 van de wet is niet van toepassing op verwerkingen betreffende de aanspraken van personeelsleden en oud-personeelsleden van de verantwoordelijke op uitkeringen in verband met de beëindiging van een dienstverband, voor zover deze verwerkingen voldoen aan de in dit artikel vermelde eisen.
o
2.De verwerking geschiedt slechts voor:
a.de berekening, de vastlegging en de betaling van de in het eerste lid bedoelde uitkeringen aan of ten behoeve van de betrokkenen;
b.de berekening, de vastlegging of de afdracht van belasting en premies ten behoeve van de betrokkenen;
c.een voor de betrokkene geldende arbeidsvoorwaarde;
d.de personeelsadministratie;
e.de salarisadministratie;
f.de vereniging van oud-personeelsleden;
g.de overgang van de betrokkene naar of diens tijdelijke tewerkstelling bij een ander onderdeel van de groep, bedoeld in artikel 2:24b van het Burgerlijk Wetboek waaraan de verantwoordelijke is verbonden;
50
h.het verlenen van ontslag;
i.het innen van vorderingen, waaronder begrepen het in handen van derden stellen van vorderingen;
j.het behandelen van geschillen en het doen uitoefenen van accountantscontrole;
o
k.de uitvoering of toepassing van een andere wet.
3.Geen andere persoonsgegevens worden verwerkt dan:
a.naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie benodigde gegevens, alsmede bank- en girorekeningnummer van de betrokkene;
b.een administratienummer dat geen andere informatie bevat dan bedoeld onder a;
c.nationaliteit en geboorteplaats;
d.gegevens als bedoeld onder a, van de ouders, voogden of verzorgers van minderjarige personeelsleden en oud-personeelsleden;
e.gegevens, waaronder begrepen gegevens betreffende gezinsleden en voormalige gezinsleden van de betrokkenen, met het oog op de vaststelling van de hoogte van de aanspraak aan of ten behoeve van de in het eerste lid bedoelde personen;
f.gegevens met het oog op het berekenen, vastleggen en betalen van belasting en premies ten behoeve van de in het eerste lid bedoelde personen;
g.gegevens, waaronder begrepen gegevens betreffende gezinsleden en voormalige gezinsleden van de betrokkenen, die noodzakelijk zijn met het oog op een overeengekomen arbeidsvoorwaarde;
h.andere dan de onder a tot en met g bedoelde gegevens waarvan de verwerking wordt vereist ingevolge of noodzakelijk is met het oog op de toepassing van een andere wet.
o
4.De persoonsgegevens worden slechts verstrekt aan:
a.degenen, waaronder begrepen derden, die belast zijn met of leiding geven aan de in het tweede lid bedoelde activiteiten of die daarbij noodzakelijk zijn betrokken;
51
b.anderen, in de gevallen bedoeld in artikel 8, onder a, c en d, ofartikel 9, derde lid, van de wet.
o
5.De persoonsgegevens worden verwijderd uiterlijk twee jaren nadat de in het eerste lid bedoelde aanspraken zijn beëindigd, tenzij de persoonsgegevens noodzakelijk zijn ter voldoening aan een wettelijke bewaarplicht.
Artikel 10. Pensioen en vervroegde uittreding o
1.Artikel 27 van de wet is niet van toepassing op verwerkingen betreffende de aanspraken van personen jegens de verantwoordelijke op pensioen of uitkering in verband met vervroegde uittreding, voor zover deze verwerkingen voldoen aan de in dit artikel vermelde eisen.
o
2.De verwerking geschiedt slechts voor:
a.de vaststelling van de hoogte van de aanspraak van de betrokkene;
b.het berekenen, vastleggen en innen van premies;
c.de berekening, de vastlegging en de betaling van de in het eerste lid bedoelde uitkering aan of ten behoeve van de betrokkenen;
d.de berekening, de vastlegging of de afdracht van belasting en premies ten behoeve van de betrokkenen;
e.het innen van vorderingen, waaronder begrepen het in handen van derden stellen van vorderingen;
f.het behandelen van geschillen en het doen uitoefenen van accountantscontrole;
o
g.de uitvoering of toepassing van een andere wet.
3.Geen andere persoonsgegevens worden verwerkt dan:
a.naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie benodigde gegevens, alsmede bank- en girorekeningnummer van de betrokkene;
b.een administratienummer dat geen andere informatie bevat dan bedoeld onder a, het tijdstip waarop gegevens over de betrokkene in de administratie zijn opgenomen, een verwijzing naar de werkgever door wiens tussenkomst de in het eerste lid bedoelde aanspraak tot stand is gekomen en een verwijzing naar de betrokken bedrijfstak;
c.nationaliteit en geboorteplaats;
52
d.gegevens, waaronder begrepen gegevens betreffende andere begunstigden dan de betrokkene, met het oog op de vaststelling van de hoogte van de aanspraak van de betrokkene;
e.gegevens met het oog op het berekenen, vastleggen en innen van premies;
f.gegevens met het oog op het berekenen, het vastleggen en het betalen van de in het eerste lid bedoelde uitkering aan of ten behoeve van de betrokkene;
g.andere dan de onder a tot en met f bedoelde gegevens waarvan de verwerking wordt vereist ingevolge of noodzakelijk is met het oog op de toepassing van een andere wet.
o
4.De persoonsgegevens worden slechts verstrekt aan:
a.degenen, waaronder begrepen derden, die belast zijn met of leiding geven aan de in het tweede lid bedoelde activiteiten of die daarbij noodzakelijk zijn betrokken;
b.anderen, in de gevallen bedoeld in artikel 8, onder a, c en d, ofartikel 9, derde lid, van de wet;
c.een vereniging van oud-personeelsleden ten behoeve van het overleg en de organisatie van een medezeggenschapsorgaan van gepensioneerden bij pensioenregelingen, voor zover het slechts gegevens betreft als bedoeld in het derde lid, onder a, en nadat het voornemen daartoe aan betrokkene of diens wettelijk vertegenwoordiger is medegedeeld en deze gedurende een redelijke termijn in de gelegenheid is geweest het recht als bedoeld in artikel 40, eerste lid, van de wet uit te oefenen.
o
5.De persoonsgegevens worden verwijderd uiterlijk twee jaren nadat de in het eerste lid bedoelde aanspraak is beëindigd, tenzij de persoonsgegevens noodzakelijk zijn ter voldoening aan een wettelijke bewaarplicht.
Paragraaf 3. Goederen en diensten
Artikel 11. Abonnementen o
1.Artikel 27 van de wet is niet van toepassing op verwerkingen betreffende abonnees van kranten, tijdschriften of andere publicaties van de verantwoordelijke, voor zover deze verwerkingen voldoen aan de in dit artikel vermelde eisen.
o
2.De verwerking geschiedt slechts voor:
53
a.het verzenden of bezorgen van de publicaties waarop het abonnement betrekking heeft en van andere informatie ten behoeve van de abonnees;
b.het berekenen, vastleggen en innen van abonnementsgelden, waaronder begrepen het in handen van derden stellen van vorderingen, alsmede andere activiteiten van intern beheer;
c.het behandelen van geschillen en het doen uitoefenen van accountantscontrole.
o
3.Geen andere persoonsgegevens worden verwerkt dan:
a.naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie benodigde gegevens, alsmede bank- en girorekeningnummer van de betrokkene;
b.een administratienummer dat geen andere informatie bevat dan bedoeld onder a;
c.gegevens, niet zijnde gegevens als bedoeld in paragraaf 2 van hoofdstuk 2 van de wet, betreffende opleiding, functie of beroep, lidmaatschappen en interessegebieden, die met het oog op de aard van de publicatie redelijkerwijs van belang zijn;
d.gegevens betreffende het abonnement, waaronder begrepen de aard van het abonnement;
e.gegevens met het oog op het berekenen, vastleggen en innen van de abonnementsgelden;
f.een aanduiding betreffende de reden van beëindiging van het abonnement.
o
4.De persoonsgegevens worden slechts verstrekt aan:
a.degenen, waaronder begrepen derden, die belast zijn met of leiding geven aan de in het tweede lid bedoelde activiteiten of die daarbij noodzakelijk zijn betrokken;
b.anderen, in de gevallen bedoeld in artikel 8, onder a, c en d, ofartikel 9, derde lid, van de wet;
c.anderen, in de gevallen bedoeld in artikel 8, onder e en f, van de wet, voor zover het slechts gegevens betreft als bedoeld in het derde lid, onder a, en nadat het voornemen daartoe aan de betrokkene of diens wettelijk vertegenwoordiger is medegedeeld en deze gedurende een
54
redelijke termijn in de gelegenheid is geweest het recht als bedoeld in artikel 40 of 41 van de wet uit te oefenen. o
5.De persoonsgegevens worden verwijderd uiterlijk twee jaren na de beëindiging van het abonnement, tenzij de persoonsgegevens noodzakelijk zijn ter voldoening aan een wettelijke bewaarplicht.
Artikel 12. Debiteuren en crediteuren o
1.Artikel 27 van de wet is niet van toepassing op verwerkingen, anders dan bedoeld in de artikelen 3 tot en met 11, betreffende debiteuren of crediteuren van de verantwoordelijke, voor zover deze verwerkingen voldoen aan de in dit artikel vermelde eisen.
o
2.Het eerste lid is niet van toepassing op verwerkingen met het oog op:
a.de financiële dienstverlening door banken, verzekeringsmaatschappijen en andere instellingen voor financiële dienstverlening;
b.het doen van uitkeringen, het heffen of invorderen van belasting, niet zijnde leges of rechten welke worden geheven als tegenprestatie voor een bepaalde dienst, of het heffen of invorderen van premies door organisaties en instellingen belast met de uitvoering van sociale zekerheidswetten.
o
3.De verwerking geschiedt slechts voor:
a.het berekenen en vastleggen van inkomsten en uitgaven;
b.het doen van betalingen of het innen van vorderingen, waaronder begrepen het in handen van derden stellen daarvan;
c.het behandelen van geschillen en het doen uitoefenen van accountantscontrole;
d.het onderhouden van contacten door de verantwoordelijke met de debiteuren en de crediteuren;
o
e.de uitvoering of toepassing van een andere wet.
4.Geen andere persoonsgegevens worden verwerkt dan:
a.naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie benodigde gegevens, alsmede bank- en girorekeningnummer van de betrokkene;
55
b.een administratienummer dat geen andere informatie bevat dan bedoeld onder a;
c.gegevens met het oog op het berekenen en vastleggen van inkomsten en uitgaven, het doen van betalingen en het innen van vorderingen;
d.gegevens met het oog op het onderhouden van contacten met de debiteuren en crediteuren;
e.andere dan de onder a tot en met d bedoelde gegevens waarvan de verwerking wordt vereist ingevolge of noodzakelijk is met het oog op de toepassing van een andere wet.
o
5.De persoonsgegevens worden slechts verstrekt aan:
a.degenen, waaronder begrepen derden, die belast zijn met of leiding geven aan de in het derde lid bedoelde activiteiten of die daarbij noodzakelijk zijn betrokken;
b.anderen, in de gevallen bedoeld in artikel 8, onder a, c en d, ofartikel 9, derde lid, van de wet;
c.anderen, in de gevallen bedoeld in artikel 8, onder e en f, van de wet, voor zover het slechts gegevens betreft als bedoeld in het vierde lid, onder a, en nadat het voornemen daartoe aan de betrokkene of diens wettelijk vertegenwoordiger is medegedeeld en deze gedurende een redelijke termijn in de gelegenheid is geweest het recht als bedoeld in artikel 40 of 41 van de wet uit te oefenen.
o
6.De persoonsgegevens worden verwijderd uiterlijk twee jaren nadat de desbetreffende vordering is voldaan, tenzij de persoonsgegevens noodzakelijk zijn ter voldoening aan een wettelijke bewaarplicht.
Artikel 13. Afnemers en leveranciers van goederen en diensten en cliënten- en gastenadministraties o
1.Artikel 27 van de wet is niet van toepassing op verwerkingen, anders dan bedoeld in de artikelen 3 tot en met 12 en 14 tot en met 21, betreffende afnemers, leveranciers, cliënten en gasten van de verantwoordelijke of personen die ten aanzien van levering van goederen of het verlenen van diensten tot hem in een soortgelijke relatie staan, voor zover de verwerkingen voldoen aan de in dit artikel vermelde eisen.
o
2.De verwerking geschiedt slechts voor:
a.het doen van leveringen en bestellingen of het verlenen van diensten;
56
b.het berekenen en vastleggen van inkomsten en uitgaven en het doen van betalingen;
c.het innen van vorderingen, waaronder begrepen het in handen van derden stellen van die vorderingen alsmede andere activiteiten van intern beheer;
d.het verzorgen van het transport van te leveren goederen en diensten naar de betrokkenen;
e.het onderhouden van contacten door de verantwoordelijke met de afnemers of leveranciers;
f.het behandelen van geschillen en het doen uitoefenen van accountantscontrole;
g.het verlenen van medewerking aan de heffing of invordering van gemeentelijke, provinciale en waterschapsbelastingen;
o
h.de uitvoering of de toepassing van een andere wet.
3.Geen andere persoonsgegevens worden verwerkt dan:
a.naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie benodigde gegevens, alsmede bank- en girorekeningnummer van de betrokkene;
b.een administratienummer dat geen andere informatie bevat dan bedoeld onder a;
c.gegevens met het oog op het doen van leveringen en bestellingen of het verlenen van diensten;
d.gegevens met het oog op het berekenen en vastleggen van inkomsten en uitgaven, het doen van betalingen en het innen van vorderingen;
e.gegevens voor het onderhouden van contacten met de afnemers of leveranciers;
f.gegevens betreffende iemands gezondheid als bedoeld in artikel 16 van de wet met het oog op het uitvoeren van een dienstverleningsovereenkomst;
g.andere dan de onder a tot en met e bedoelde gegevens waarvan de verwerking is vereist ingevolge of noodzakelijk is met het oog op de toepassing van een andere wet.
o
4.De persoonsgegevens worden slechts verstrekt aan:
57
a.degenen, waaronder begrepen derden, die belast zijn met of leiding geven aan de in het tweede lid bedoelde activiteiten of die daarbij noodzakelijk zijn betrokken;
b.anderen, in de gevallen bedoeld in artikel 8, onder a, c en d, ofartikel 9, derde lid, van de wet;
c.anderen, in de gevallen bedoeld in artikel 8, onder e en f, van de wet, voor zover het slechts gegevens betreft als bedoeld in het derde lid, onder a, en nadat het voornemen daartoe aan de betrokkene of diens wettelijk vertegenwoordiger is medegedeeld en deze gedurende een redelijke termijn in de gelegenheid is geweest het recht als bedoeld in artikel 40 of 41 van de wet uit te oefenen.
o
5.De persoonsgegevens worden verwijderd uiterlijk twee jaren nadat de desbetreffende transactie is afgehandeld, tenzij de persoonsgegevens noodzakelijk zijn ter voldoening aan een wettelijke bewaarplicht.
Artikel 14. Huur en verhuur o
1.Artikel 27 van de wet is niet van toepassing op verwerkingen met het oog op de huur of verhuur van roerende of onroerende zaken door de verantwoordelijke, waaronder begrepen het aanvragen en verstrekken van een huurtoeslag, voor zover deze verwerkingen voldoen aan de in dit artikel vermelde eisen.
o
2.De verwerking geschiedt slechts voor:
a.de uitvoering van de huurovereenkomst;
b.het berekenen en vastleggen van inkomsten en uitgaven en het doen van betalingen;
c.het innen van vorderingen, waaronder begrepen het in handen van derden stellen van die vorderingen;
d.het aanvragen en verstrekken van een huurtoeslag;
e.het onderhoud en de reparatie van de te huren en verhuren roerende en onroerende zaken;
f.het behandelen van geschillen en het doen uitoefenen van accountantscontrole;
o
g.activiteiten van intern beheer;
h.de uitvoering of toepassing van een andere wet.
3.Geen andere persoonsgegevens worden verwerkt dan:
58
a.naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie benodigde gegevens, alsmede bank- en girorekeningnummer van de huurder of verhuurder;
b.gegevens als bedoeld onder a, van de voormalig huurder en diens partner en van medehuurders of medebewoners;
c.een administratienummer dat geen andere informatie bevat dan bedoeld onder a;
d.gegevens die noodzakelijk zijn voor de uitvoering van de huurovereenkomst;
e.gegevens ten behoeve van de aanvraag en verstrekking van een huurtoeslag;
f.gegevens met het oog op het onderhoud en de reparatie van de gehuurde onroerende en roerende zaken;
g.gegevens met het oog op het berekenen en vastleggen van inkomsten en uitgaven, het doen van betalingen en het innen van vorderingen;
h.andere dan de onder a tot en met g bedoelde gegevens waarvan de verwerking wordt vereist ingevolge of noodzakelijk is met het oog op de toepassing van een andere wet.
o
4.De persoonsgegevens worden slechts verstrekt aan:
a.degenen, waaronder begrepen derden, die belast zijn met of leiding geven aan de in het tweede lid bedoelde activiteiten of die daarbij noodzakelijk zijn betrokken;
b.anderen, in de gevallen bedoeld in artikel 8, onder a, c en d, ofartikel 9, derde lid, van de wet;
c.anderen, in de gevallen bedoeld in artikel 8, onder e en f, van de wet, voor zover het slechts gegevens betreft als bedoeld in het derde lid, onder a, en nadat het voornemen daartoe aan de betrokkene of diens wettelijk vertegenwoordiger is medegedeeld en deze gedurende een redelijke termijn in de gelegenheid is geweest het recht als bedoeld in artikel 40 of 41 van de wet uit te oefenen.
o
5.De persoonsgegevens worden verwijderd uiterlijk twee jaren nadat de huur is geëindigd, met dien verstande dat de gegevens met betrekking tot de aanvraag en verstrekking van een huurtoeslag worden verwijderd uiterlijk vijf jaar nadat de
59
huurtoeslag is geëindigd, tenzij de persoonsgegevens noodzakelijk zijn ter voldoening aan een wettelijke bewaarplicht.
Artikel 15. Juridische en financiëledienstverleners o
1.Artikel 27 van de wet is niet van toepassing op verwerkingen met het oog op de juridische, onderscheidenlijk financiële dienstverlening aan cliënten van notarissen, advocaten of andere rechtshulpverleners, van gerechtsdeurwaarders voorzover het hun ambtelijke praktijk betreft, registeraccountants en Accountants-Administratieconsulenten en werknemers en andere natuurlijke personen die zich onder verantwoordelijkheid van een financiëledienstverlener rechtstreeks bezighouden met het verlenen van financiële diensten, voor zover deze verwerkingen voldoen aan de in dit artikel vermelde eisen.
o
2.De verwerking geschiedt slechts voor:
a.de juridische of financiële dienstverlening en advisering aan een cliënt;
b.het berekenen en vastleggen van inkomsten en uitgaven;
c.het doen van betalingen en het innen van vorderingen, waaronder begrepen het in handen stellen van derden daarvan;
d.het behandelen van geschillen, waaronder begrepen het voeren van procedures;
e.het doen uitoefenen van accountantscontrole dan wel andersoortige controle;
o
f.de uitvoering of toepassing van een andere wet.
3.Geen andere persoonsgegevens worden verwerkt dan:
a.naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie benodigde gegevens, alsmede bank- en girorekeningnummer van de betrokken cliënt;
b.een administratienummer dat geen andere informatie bevat dan bedoeld onder a,
c.gegevens als bedoeld onder a, van ouders, voogden of verzorgers van minderjarige cliënten;
d.gegevens als bedoeld onder a, van de wederpartij of derden;
e.gegevens met het oog op de behandeling de zaak of de beslechting van het geschil;
60
f.gegevens met het oog op het berekenen en vastleggen van inkomsten en uitgaven, het doen van betalingen en het innen van vorderingen;
g.andere gegevens, dan bedoeld onder a tot en met f, waarvan de verwerking wordt vereist ingevolge of noodzakelijk is met het oog op de toepassing van een andere wet.
o
4.De persoonsgegevens worden slechts verstrekt aan:
a.degenen, waaronder begrepen derden, die belast zijn met of leiding geven aan de in het tweede lid bedoelde activiteiten of die daarbij noodzakelijk zijn betrokken;
b.anderen, in de gevallen bedoeld in artikel 8, onder a, c en d, ofartikel 9, derde lid, van de wet.
o
5.De persoonsgegevens worden verwijderd nadat de bewaartermijn op grond van toepasselijke gedrags- en beroepsregels is verstreken, dan wel bij gebreke daarvan, uiterlijk twee jaren na de beëindiging van de behandeling van de zaak, de uitvoering van de controle of de beslechting van het geschil, tenzij de persoonsgegevens noodzakelijk zijn ter voldoening aan een wettelijke bewaarplicht.
Paragraaf 4. Zorg en welzijn
Artikel 16. Individuele gezondheidszorg o
1.Artikel 27 van de wet is niet van toepassing op verwerkingen van beoefenaren van individuele beroepen in de gezondheidszorg, als bedoeld in de Wet op de beroepen in de individuele gezondheidszorg, betreffende hun patiënten, voor zover deze verwerkingen voldoen aan de in dit artikel vermelde eisen.
o
2.De verwerking geschiedt slechts voor:
a.het uitoefenen van het beroep in de individuele gezondheidszorg, individueel of in samenwerkingsverband, mits dit samenwerkingsverband niet meer dan zes personen telt;
b.het berekenen, vastleggen en innen van de vergoeding voor de behandeling, waaronder begrepen het in handen van derden stellen van vorderingen;
c.het behandelen van geschillen en het doen uitoefenen van accountantscontrole;
o
d.het verrichten van wetenschappelijk of statistisch onderzoek.
3.Geen andere persoonsgegevens worden verwerkt dan:
61
a.naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie benodigde gegevens, alsmede bank- en girorekeningnummer van de betrokken patiënt;
b.een administratienummer dat geen andere informatie bevat dan bedoeld onder a;
c.gegevens als bedoeld onder a, van de ouders, voogden of verzorgers van minderjarige patiënten;
d.gegevens als bedoeld onder a, van de gezins- of familieleden van de patiënt alsmede anderen die over het welzijn en de gezondheid van de patiënt worden ingelicht;
e.gegevens betreffende de gezondheidstoestand van de patiënt en, ingeval van erfelijke aandoeningen, diens gezins- en familieleden;
f.andere bijzondere gegevens, als bedoeld in artikel 16 van de wet, met het oog op de goede behandeling of verzorging van de patiënt;
g.gegevens betreffende de gevolgde en te volgen behandeling van de patiënt alsmede de verstrekte medicamenten of voorzieningen;
h.gegevens betreffende het berekenen, vastleggen en innen van de vergoeding;
i.gegevens betreffende de verzekering van de patiënt;
j.andere gegevens noodzakelijk met het oog op de uitoefening van het beroep.
o
4.De persoonsgegevens worden slechts verstrekt aan:
a.degenen die rechtstreeks betrokken zijn bij de uitvoering van de behandeling van de patiënt alsmede degenen die optreden als vervanger van de voor de verwerking verantwoordelijke, voor zover de verstrekking noodzakelijk is voor de door hen in dat kader te verrichten werkzaamheden;
b.onderzoekers, als bedoeld in artikel 7:458 van het Burgerlijk Wetboek;
c.zorgverzekeraars voor zover noodzakelijk met het oog op de verplichtingen uit de verzekeringsovereenkomst;
d.derden die zijn belast met het innen van vorderingen, voor zover de verstrekking daarvoor noodzakelijk is en geen medische gegevens betreft;
e.anderen, in de gevallen bedoeld in artikel 8, onder a, c en d.
62
o
5.De persoonsgegevens worden verwijderd nadat de wettelijke bewaartermijn is verstreken en bij het ontbreken daarvan uiterlijk vijf jaar na beëindiging van de behandeling.
Artikel 17. Instellingen gezondheidszorg o
1.Artikel 27 van de wet is niet van toepassing op verwerkingen van instellingen, als bedoeld in artikel 1, eerste lid, onderdeel e, van de Algemene Wet Bijzondere Ziektekosten en artikel 1, onderdeel m, van de Zorgverzekeringswet, betreffende personen aan wie zij verblijf, verzorging en zorg verschaffen, voor zover deze verwerkingen voldoen aan de in dit artikel vermelde eisen.
o
2.De verwerking geschiedt slechts voor:
a.het verlenen van huisvesting en de met de woonfunctie direct samenhangende voorzieningen;
b.het verlenen van zorg;
c.het kunnen functioneren als contactadres voor familieleden, curatoren, mentoren en naaste betrekkingen;
d.het berekenen en vastleggen van inkomsten en uitgaven en het doen van betalingen;
e.het innen van vorderingen, waaronder begrepen het in handen van derden stellen van die vorderingen;
f.het behandelen van geschillen en het doen uitoefenen van accountantscontrole;
o
g.de uitvoering of toepassing van een andere wet.
3.Geen andere persoonsgegevens worden verwerkt dan:
a.naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie benodigde gegevens, alsmede bank- en girorekeningnummer van de betrokkene;
b.een administratienummer dat geen andere informatie bevat dan bedoeld onder a;
c.gegevens die betrekking hebben op het verlenen van huisvesting en de met de woonfunctie direct samenhangende voorzieningen;
d.gegevens die betrekking hebben op het verlenen van zorg;
e.gegevens als bedoeld onder a, van degene die functioneert als contactadres, als bedoeld in het tweede lid, onderdeel c;
63
f.gegevens met het oog op het berekenen en vastleggen van inkomsten en uitgaven, het doen van betalingen en het innen van vorderingen;
g.verzekeringsgegevens;
h.gegevens met betrekking tot de arts van betrokkene;
i.andere dan de onder a tot en met h bedoelde gegevens waarvan de verwerking wordt vereist ingevolge of noodzakelijk is met het oog op de toepassing van een andere wet.
o
4.De persoonsgegevens worden slechts verstrekt aan:
a.degenen, waaronder begrepen derden, die belast zijn met of leiding geven aan de in het tweede lid bedoelde activiteiten of die daarbij noodzakelijk zijn betrokken;
b.anderen, in de gevallen bedoeld in artikel 8, onder a, c en d, ofartikel 9, derde lid, van de wet;
c.anderen, in de gevallen bedoeld in artikel 8, onder e en f, van de wet, voor zover het slechts gegevens betreft als bedoeld in het derde lid, onder a, en nadat het voornemen daartoe aan de betrokkene of diens wettelijk vertegenwoordiger is medegedeeld en deze gedurende een redelijke termijn in de gelegenheid is geweest het recht als bedoeld in artikel 40 of 41 van de wet uit te oefenen.
o
5.De persoonsgegevens worden verwijderd uiterlijk vijf jaren nadat de verlening van zorg is geëindigd, tenzij de persoonsgegevens noodzakelijk zijn ter voldoening aan een wettelijke bewaarplicht.
Artikel 18. Kinderopvang o
1.Artikel 27 van de wet is niet van toepassing op verwerkingen ten behoeve van het verlenen van kinderopvang, onderscheidenlijk gastouderopvang als bedoeld in artikel 1.1., eerste lid, van de Wet kinderopvang en kwaliteitseisen peuterspeelzalen door of vanwege de verantwoordelijke, voor zover deze verwerkingen voldoen aan de in dit artikel vermelde eisen.
o
2.De verwerking geschiedt slechts voor:
a.het organiseren van de opvang en de begeleiding van het kind;
b.het onderhouden van contacten met de ouders, voogden en verzorgers van de kinderen;
c.het berekenen en vastleggen van inkomsten en uitgaven, het doen van betalingen of het innen van vorderingen die samenhangen met de
64
opvang, waaronder begrepen het in handen van derden stellen van vorderingen;
d.het aanvragen van subsidie;
e.het behandelen van geschillen en het doen uitoefenen van accountantscontrole;
o
f.de uitvoering of toepassing van een andere wet.
3.Geen andere persoonsgegevens worden verwerkt dan:
a.naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie benodigde gegevens van het kind;
b.een administratienummer dat geen andere informatie bevat dan bedoeld onder a;
c.gegevens als bedoeld onder a, alsmede bank- en girorekeningnummer van de ouders, voogden of verzorgers van het kind;
d.gegevens die noodzakelijk zijn met het oog op de gezondheid of het welzijn van het kind;
e.gegevens betreffende de godsdienst of levensovertuiging van het kind voor zover die noodzakelijk zijn met het oog op de opvang;
f.gegevens betreffende de organisatie van de opvang, de deelname aan activiteiten en het verstrekken of ter beschikking stellen van leermiddelen;
g.gegevens met het oog op het berekenen en vastleggen van inkomsten en uitgaven, het doen van betalingen en het innen vorderingen in het kader van de opvang, de leermiddelen en activiteiten;
h.andere dan de onder a tot en met g bedoelde gegevens waarvan de verwerking wordt vereist ingevolge of noodzakelijk is met het oog op de toepassing van een andere wet.
o
4.De persoonsgegevens worden slechts verstrekt aan:
a.degenen, waaronder begrepen derden, die leiding geven aan of belast zijn met de in het tweede lid bedoelde activiteiten of die daarbij noodzakelijk zijn betrokken;
b.anderen, in de gevallen bedoeld in artikel 8, onder a, c en d, ofartikel 9, derde lid, van de wet.
65
o
5.De persoonsgegevens worden verwijderd uiterlijk twee jaren nadat de opvang is beëindigd, tenzij de persoonsgegevens noodzakelijk zijn ter voldoening aan een wettelijke bewaarplicht.
Paragraaf 5. Onderwijs
Artikel 19. Leerlingen, deelnemers en studenten o
1.Artikel 27 van de wet is niet van toepassing op verwerkingen van instellingen voor onderwijs of van andere opleidings- of trainingsinstituten betreffende hun leerlingen, deelnemers of studenten en hun docenten en begeleiders, voor zover deze verwerkingen voldoen aan de in dit artikel vermelde eisen.
o
2.De verwerking geschiedt slechts voor:
a.de organisatie of het geven van het onderwijs, de begeleiding van leerlingen, deelnemers of studenten, dan wel het geven van studieadviezen;
b.het verstrekken of ter beschikking stellen van leermiddelen;
c.het bekend maken van informatie over de organisatie en leermiddelen als bedoeld, onder a en b, alsmede informatie over de leerlingen, deelnemers of studenten, bedoeld in het eerste lid, op de eigen website;
d.het bekendmaken van de activiteiten van de instelling of het instituut op de eigen website;
e.het berekenen, vastleggen en innen van inschrijvingsgelden, school- en lesgelden en bijdragen of vergoedingen voor leermiddelen en buitenschoolse activiteiten, waaronder begrepen het in handen van derden stellen van vorderingen;
f.het behandelen van geschillen en het doen uitoefenen van accountantscontrole;
o
g.de uitvoering of toepassing van een andere wet.
3.Geen andere persoonsgegevens worden verwerkt dan:
a.naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie benodigde gegevens, alsmede bank- en girorekeningnummer van de betrokkene;
b.een administratienummer dat geen andere informatie bevat dan bedoeld onder a;
c.nationaliteit en geboorteplaats;
66
d.gegevens als bedoeld onder a, van de ouders, voogden of verzorgers van leerlingen, deelnemers of studenten;
e.gegevens die noodzakelijk zijn met het oog op de gezondheid of het welzijn van de betrokkene;
f.gegevens betreffende de godsdienst of levensovertuiging van de betrokkene, voor zover die noodzakelijk zijn voor het onderwijs;
g.gegevens betreffende de aard en het verloop van het onderwijs, alsmede de behaalde studieresultaten;
h.gegevens met het oog op de organisatie van het onderwijs en het verstrekken of ter beschikking stellen van leermiddelen;
i.gegevens met het oog op het berekenen, vastleggen en innen van inschrijvingsgelden, school- en lesgelden en bijdragen of vergoedingen voor leermiddelen en buitenschoolse activiteiten;
j.foto’s en videobeelden met of zonder geluid van activiteiten van de instelling of het instituut;
k.gegevens van docenten en begeleiders, voor zover deze gegevens van belang zijn voor de organisatie van het instituut of de instelling en het geven van onderwijs, opleidingen en trainingen;
l.andere dan de onder a tot en met k bedoelde gegevens waarvan de verwerking wordt vereist ingevolge of noodzakelijk is met het oog op de toepassing van een andere wet.
o
4.De persoonsgegevens worden slechts verstrekt aan:
a.degenen, waaronder begrepen derden, die leiding geven aan of belast zijn met de in het tweede lid bedoelde activiteiten of die daarbij noodzakelijk zijn betrokken;
b.anderen, in de gevallen bedoeld in artikel 8, onder a, c en d, ofartikel 9, derde lid, van de wet;
c.anderen, in de gevallen bedoeld in artikel 8, onder e en f, van de wet, voor zover het slechts gegevens betreft als bedoeld in het derde lid, onder a, en nadat het voornemen daartoe aan de betrokkene of diens wettelijk vertegenwoordiger is medegedeeld en deze gedurende een redelijke termijn in de gelegenheid is geweest het recht als bedoeld in artikel 40 of 41 van de wet uit te oefenen.
o
5.Persoonsgegevens op de website van de instelling of het instituut worden slechts verstrekt aan:
67
a.degenen, waaronder begrepen derden, die leiding geven aan of belast zijn met de in het tweede lid bedoelde activiteiten of die daarbij noodzakelijkerwijs zijn betrokken;
b.anderen, in de gevallen, bedoeld in artikel 8, onder a, c en d, ofartikel 9, derde lid, van de wet, voor zover zij daartoe door het bevoegd gezag zijn geautoriseerd.
o
6.De verantwoordelijke draagt zorg voor een adequate toegangsbeveiliging van de website, alsmede voor een afdoende bescherming van persoonsgegevens tegen verdere verwerking door zoekmachines.
o
7.De persoonsgegevens worden verwijderd uiterlijk twee jaren nadat de studie is beëindigd, tenzij de persoonsgegevens noodzakelijk zijn ter voldoening aan een wettelijke bewaarplicht. De gegevens op de website worden onverwijld verwijderd wanneer de betrokkene of diens wettelijk vertegenwoordiger daarom verzoekt.
Artikel 20. Leerplicht o
1.Artikel 27 van de wet is niet van toepassing op verwerkingen betreffende leerplichtigen ter uitvoering van de Leerplichtwet 1969 door de verantwoordelijke, voor zover deze verwerkingen voldoen aan de in dit artikel vermelde eisen.
o
o
2.De verwerking geschiedt slechts voor:
a.de uitvoering en toepassing van de Leerplichtwet 1969;
b.de behandeling van geschillen.
3.Geen andere persoonsgegevens worden verwerkt dan:
a.naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie benodigde gegevens van de leerplichtige;
b.een administratienummer dat geen andere informatie bevat dan bedoeld onder a;
c.nationaliteit en geboorteplaats;
d.gegevens als bedoeld onder a, van de ouders, voogden of verzorgers van de leerplichtige;
e.gegevens met betrekking tot de inschrijving of afschrijving van de leerplichtige;
68
f.gegevens ten aanzien van het schoolverloop, het schoolverzuim en van het beroep op een vrijstelling van de leerplicht;
g.andere dan de onder a tot en met f bedoelde gegevens waarvan de verwerking is vereist ingevolge of noodzakelijk is met het oog op de toepassing van de Leerplichtwet 1969 of een andere wet.
o
4.De persoonsgegevens worden slechts verstrekt aan:
a.degenen, waaronder begrepen derden, die belast zijn met of leiding geven aan de in het tweede lid bedoelde activiteiten of die daarbij noodzakelijk zijn betrokken;
b.de hoofden van scholen binnen en buiten de gemeente;
c.de Arbeidsinspectie;
d.in de gemeente werkzame schoolartsen;
e.de Minister van Onderwijs, Cultuur en Wetenschappen;
f.anderen, in de gevallen bedoeld in artikel 8, onder a, c en d, ofartikel 9, derde lid, van de wet;
g.anderen, in de gevallen bedoeld in artikel 8, onder e, van de wet, voor zover het slechts gegevens betreft als bedoeld in het derde lid, onder a, en nadat het voornemen daartoe aan de betrokkene of diens wettelijk vertegenwoordiger is medegedeeld en deze gedurende een redelijke termijn in de gelegenheid is geweest het recht als bedoeld in artikel 40, eerste lid, van de wet uit te oefenen.
o
5.De persoonsgegevens worden verwijderd uiterlijk twee jaren nadat de leerplicht is geëindigd, tenzij de persoonsgegevens noodzakelijk zijn ter voldoening aan een wettelijke bewaarplicht.
Artikel 21. Leerlingenvervoer o
1.Artikel 27 van de wet is niet van toepassing op verwerkingen met het oog op het verstrekken door de verantwoordelijke van de vergoeding van de kosten verbonden aan het leerlingenvervoer, als bedoeld in deWet op het primair onderwijs en de Wet op de expertisecentra, voor zover deze verwerkingen voldoen aan de in dit artikel vermelde eisen.
o
2.De verwerking geschiedt slechts voor:
a.het verstrekken van vergoedingen voor het leerlingenvervoer;
b.het organiseren van het leerlingenvervoer;
69
c.het berekenen en vastleggen van inkomsten en uitgaven;
d.het doen van betalingen en het innen van vorderingen;
e.het behandelen van geschillen en het doen uitoefenen van accountantscontrole.
o
3.Geen andere persoonsgegevens worden verwerkt dan:
a.naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie benodigde gegevens, alsmede bank- en girorekeningnummer van de ouders, voogden of verzorgers van de leerling,
b.een administratienummer dat geen andere informatie bevat dan bedoeld onder a;
c.gegevens met het oog op het toekennen van de vergoeding, waaronder begrepen financiële gegevens van de ouders, voogden of verzorgers van de leerling;
d.gegevens ten behoeve van de identificatie en de begeleiding van de leerling;
e.gegevens met betrekking tot de uitvoering van het leerlingenvervoer;
f.gegevens met het oog op het berekenen en vastleggen van inkomsten en uitgaven, het doen van betalingen en het innen van vorderingen.
o
4.De persoonsgegevens worden slechts verstrekt aan:
a.degenen, waaronder begrepen derden, die belast zijn met of leiding geven aan de in het tweede lid bedoelde activiteiten of die daarbij noodzakelijk zijn betrokken;
b.anderen, in de gevallen bedoeld in artikel 8, onder a, c en d, ofartikel 9, derde lid, van de wet.
o
5.De persoonsgegevens worden verwijderd uiterlijk twee jaren na afloop van het schooljaar waarop de verstrekking van de vergoeding betrekking heeft, tenzij de persoonsgegevens noodzakelijk zijn ter voldoening aan een wettelijke bewaarplicht.
Paragraaf 6. Overheid
Artikel 22. Vergunning en melding
70
o
1.Artikel 27 van de wet is niet van toepassing op verwerkingen met het oog op het door de verantwoordelijke ingevolge een wettelijk voorschrift verlenen van vergunningen, ontheffingen of machtigingen, dan wel met het oog op een wettelijk voorgeschreven melding bij de verantwoordelijke, voor zover deze verwerkingen voldoen aan de in dit artikel vermelde eisen.
o
2.De verwerking geschiedt slechts voor:
a.het voorbereiden of nemen van, dan wel het adviseren over besluiten die op grond van een wettelijk voorschrift met betrekking tot de vergunning, ontheffing of machtiging dan wel de melding worden genomen;
b.het toezicht op de naleving of de handhaving van de wettelijke voorschriften op grond waarvan de vergunning, ontheffing of machtiging is verleend dan wel de melding moet worden gedaan;
c.het behandelen van geschillen en het doen uitoefenen van accountantscontrole.
o
3.Geen andere persoonsgegevens worden verwerkt dan:
a.naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie benodigde gegevens, van de personen die bij de verantwoordelijke een verzoek om verlening van een vergunning, ontheffing of machtiging hebben ingediend of aan wie deze is verleend, dan wel op wie ingevolge een wettelijk voorschrift een meldingsplicht rust, alsmede hun bank- en girorekeningnummer;
b.een administratienummer dat geen andere informatie bevat dan bedoeld onder a;
c.gegevens betreffende de aard, het tijdstip van afgifte en de geldigheidsduur van de vergunning, ontheffing of machtiging, de beperkingen waaronder deze is verleend en de voorschriften die daaraan zijn verbonden, alsmede gegevens betreffende de aard van de melding;
d.andere dan de onder a tot en met c bedoelde gegevens waarvan de verwerking is vereist ingevolge of noodzakelijk is met het oog op de toepassing van een op de vergunning, ontheffing of machtiging of de melding betrekking hebbend wettelijk voorschrift.
71
o
4.Persoonsgegevens als bedoeld in hoofdstuk 2, paragraaf 2 van de wet, worden niet verwerkt behoudens voor zover de verwerking van zodanig gegeven voortvloeit uit de aard van de vergunning, ontheffing, machtiging of de melding.
o
5.De persoonsgegevens worden slechts verstrekt aan:
a.degenen, waar onder begrepen derden, die zijn belast met of leiding geven aan de in het tweede lid bedoelde activiteiten of die daarbij noodzakelijk zijn betrokken;
b.anderen, in de gevallen bedoeld in artikel 8, onder a, c en d, ofartikel 9, derde lid, van de wet;
c.anderen, in de gevallen bedoeld in artikel 8, onder e en f, van de wet, voor zover het slechts gegevens betreft als bedoeld in het derde lid, onder a, en nadat het voornemen daartoe aan de betrokkene of diens wettelijk vertegenwoordiger is medegedeeld en deze gedurende een redelijke termijn in de gelegenheid is geweest het recht als bedoeld in artikel 40 of 41 van de wet uit te oefenen.
o
6.De persoonsgegevens worden verwijderd uiterlijk twee jaren nadat het betrokken verzoek om verlening van een vergunning, ontheffing of machtiging door de betrokkene is ingetrokken, de desbetreffende vergunning, ontheffing of machtiging is ingetrokken of de geldigheidsduur daarvan is verlopen, dan wel de desbetreffende verplichting tot melding is vervallen, tenzij de persoonsgegevens noodzakelijk zijn ter voldoening aan een wettelijke bewaarplicht.
Artikel 23. Decentrale belastingen o
1.Artikel 27 van de wet is niet van toepassing op verwerkingen betreffende belastingplichtigen met het oog op de heffing of invordering van belastingen door de verantwoordelijke op grond van deGemeentewet, de Provinciewet of de Waterschapswet, dan wel met het oog op de uitvoering door de verantwoordelijke van de Wet waardering onroerende zaken, voor zover deze verwerkingen voldoen aan de in dit artikel vermelde eisen.
o
2.De verwerking geschiedt slechts voor:
a.het heffen en invorderen van belastinggelden;
b.het waarderen van onroerende zaken;
c.het behandelen van geschillen en het doen uitoefenen van accountantscontrole;
d.de uitvoering en toepassing van een andere wet.
72
o
3.Geen andere persoonsgegevens worden verwerkt dan:
a.naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie benodigde gegevens, alsmede bank- en girorekeningnummer van de betrokkene;
b.een administratienummer dat geen andere informatie bevat dan bedoeld onder a;
c.gegevens met betrekking tot de grondslag van de heffing en invordering;
d.gegevens met het oog op het berekenen en vastleggen van heffingen en invorderingen, het doen van betalingen en het innen van vorderingen;
e.gegevens met betrekking tot de waardering van onroerende zaken;
f.andere dan de onder a tot en met e bedoelde gegevens waarvan de verwerking wordt vereist ingevolge of noodzakelijk is met het oog op de toepassing van een andere wet.
o
4.De persoonsgegevens worden slechts verstrekt aan:
a.degenen die zijn belast met of leiding geven aan de in het tweede lid bedoelde activiteiten of die daarbij noodzakelijk zijn betrokken;
b.anderen, in de gevallen bedoeld in artikel 8, onder a, c en d, ofartikel 9, derde lid, van de wet.
o
5.De persoonsgegevens worden verwijderd uiterlijk tien jaar nadat de desbetreffende vordering is voldaan, tenzij de persoonsgegevens noodzakelijk zijn ter voldoening aan een wettelijke bewaarplicht.
Artikel 24. Reisdocumenten o
1.Artikel 27 van de wet is niet van toepassing op verwerkingen met het oog op de afgifte door de verantwoordelijke van reisdocumenten als bedoeld in de Paspoortwet, voor zover deze verwerkingen voldoen aan de in dit artikel vermelde eisen.
o
2.De verwerking geschiedt slechts voor:
a.de afgifte van reisdocumenten in het kader van de uitvoering van de Paspoortwet;
b.het behandelen van geschillen en het doen uitoefenen van accountantscontrole;
73
o
c.het voorraadbeheer.
3.Geen andere persoonsgegevens worden verwerkt dan:
a.geslachtsnaam, voornamen, geboortedatum, geboorteplaats, geboorteland, geslacht, woonplaats, adres en lengte van de houder van het reisdocument;
b.de geslachtsnaam van de echtgenoot of echtgenote dan wel van de gewezen echtgenoot of echtgenote van de houder van het reisdocument;
c.geslachtsnaam, voornamen, geboortedatum, geboorteplaats en geslacht van een minderjarige, jonger dan zestien jaren, die in het reisdocument van de onder a bedoelde houder van het reisdocument is bijgeschreven;
d.het burgerservicenummer;
e.datum van verstrekking en het einde van de geldigheidsduur, alsmede de territoriale geldigheid;
f.nationaliteit van de houder dan wel diens verblijfsstatus;
g.het documentnummer;
h.de gegevens die bij de aanvraag van het reisdocument zijn overgelegd;
i.foto en de handtekening van de houder;
j.gegevens betreffende ingehouden of vermiste reisdocumenten,
k.gegevens inzake de leges;
l.gegevens met betrekking tot de instantie die het reisdocument heeft afgegeven;
m.gegevens met betrekking tot het voorraadbeheer;
n.andere dan de onder a tot en met m genoemde gegevens waarvan de verwerking wordt vereist ingevolge of noodzakelijk is met het oog op de toepassing van de Paspoortwet.
o
4.De persoonsgegevens worden slechts verstrekt aan:
a.degenen die belast zijn met of leiding geven aan de in het tweede lid bedoelde activiteiten;
b.de tot afgifte van reisdocumenten bevoegde instanties;
c.ambtenaren van de politie, in de gevallen bedoeld in artikel 8, onder e, van de wet;
74
d.anderen, in de gevallen bedoeld in artikel 8, onder a, c en d, ofartikel 9, derde lid, van de wet.
o
5.De persoonsgegevens worden verwijderd uiterlijk vijf jaren nadat het afgegeven reisdocument is ingeleverd of ongeldig is geworden of na het overlijden van betrokkene, tenzij de persoonsgegevens noodzakelijk zijn ter voldoening aan een wettelijke bewaarplicht.
Artikel 25. Grafrechten o
1.Artikel 27 van de wet is niet van toepassing op verwerkingen betreffende personen die bij de verantwoordelijke een recht hebben op een begraafplaats, voor zover deze verwerkingen voldoen aan de in dit artikel vermelde eisen.
o
2.De verwerking geschiedt slechts voor:
a.het administreren van de in gebruik zijnde graven en de daarvoor verschuldigde grafrechten;
b.het administreren van de rechthebbenden;
c.het berekenen en vastleggen van inkomsten en uitgaven en het doen van betalingen;
d.het innen van vorderingen, daaronder begrepen het in handen van derden stellen van vorderingen, ten behoeve van grafrechten;
e.activiteiten van intern beheer;
f.het behandelen van geschillen en het doen uitoefenen van accountantscontrole;
o
g.de uitvoering of toepassing van een andere wet.
3.Geen andere persoonsgegevens worden verwerkt dan:
a.naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie benodigde gegevens, alsmede bank- en girorekeningnummer van de rechthebbende op het graf, diens partner of nagelaten betrekkingen;
b.een administratienummer dat geen andere informatie bevat dan bedoeld onder a;
c.gegevens met betrekking tot de in gebruik zijnde graven;
75
d.gegevens met het oog op het berekenen en vastleggen van inkomsten en uitgaven en het doen van betalingen en het innen vorderingen in verband met de rechten op een graf;
e.andere dan de onder a tot en met d bedoelde gegevens waarvan de verwerking wordt vereist ingevolge of noodzakelijk is met het oog op de toepassing van een andere wet.
o
4.De persoonsgegevens worden slechts verstrekt aan:
a.degenen, waaronder begrepen derden, die belast zijn met of leiding geven aan de in het tweede lid bedoelde activiteiten of die daarbij noodzakelijk zijn betrokken;
b.anderen, in de gevallen bedoeld in artikel 8, onder a, c en d, ofartikel 9, derde lid, van de wet.
o
5.De persoonsgegevens worden verwijderd uiterlijk twee jaren nadat het recht op het graf is vervallen, tenzij de persoonsgegevens noodzakelijk zijn ter voldoening aan een wettelijke bewaarplicht.
Artikel 26. Naturalisatie o
1.Artikel 27 van de wet is niet van toepassing op verwerkingen betreffende personen die bij de verantwoordelijke een naturalisatieverzoek hebben gedaan in het kader van de Rijkswet op het Nederlanderschap, voor zover deze verwerkingen voldoen aan de in dit artikel vermelde eisen.
o
2.De verwerking geschiedt slechts voor:
a.de behandeling van naturalisatieverzoeken ter uitvoering van deRijkswet op het Nederlanderschap;
b.het behandelen van geschillen;
c.de uitvoering of toepassing van de Rijkswet op het Nederlanderschap of een andere wet.
o
3.Geen andere persoonsgegevens worden verwerkt dan:
a.naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie benodigde gegevens, alsmede bank- en girorekeningnummer van de betrokkene;
b.een administratienummer dat geen andere informatie bevat dan bedoeld onder a;
76
c.gegevens met betrekking tot de verklaringen tot verkrijging en afstand van het Nederlanderschap;
d.gegevens met betrekking tot familierechtelijke relaties;
e.andere dan de onder a tot en met d bedoelde gegevens waarvan de verwerking wordt vereist ingevolge of noodzakelijk is met het oog op de toepassing van de Rijkswet op het Nederlanderschap of een andere wet.
o
4.De persoonsgegevens worden slechts verstrekt aan:
a.degenen, waaronder begrepen derden, die belast zijn met of leiding geven aan de in het tweede lid bedoelde activiteiten of die daarbij noodzakelijk zijn betrokken, alsmede de Minister van Justitie;
b.ambtenaren van de politie en burgemeesters van andere gemeenten, in de gevallen bedoeld in artikel 8, onder e, van de wet;
c.anderen, in de gevallen bedoeld in artikel 8, onder a, c en d, ofartikel 9, derde lid, van de wet.
o
5.De persoonsgegevens worden verwijderd indien de betrokkene de Nederlandse nationaliteit heeft verkregen of, indien het verzoek is afgewezen, uiterlijk twee jaren na de afwijzing van het verzoek, tenzij de persoonsgegevens noodzakelijk zijn ter voldoening aan een wettelijke bewaarplicht.
Artikel 27. Naamswijziging o
1.Artikel 27 van de wet is niet van toepassing op verwerkingen betreffende personen die bij de verantwoordelijke een verzoek om (geslachts)naamswijziging hebben gedaan, voor zover deze verwerkingen voldoen aan de in dit artikel vermelde eisen.
o
o
2.De verwerking geschiedt slechts voor:
a.de behandeling van verzoeken tot geslachtsnaamwijziging;
b.het behandelen van geschillen.
3.Geen andere persoonsgegevens worden verwerkt dan:
a.naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie benodigde gegevens, alsmede bank- en girorekeningnummer van de betrokkene;
b.een administratienummer dat geen andere informatie bevat dan bedoeld onder a;
77
c.gegevens met betrekking tot het voor de wijziging van de geslachtsnaam verschuldigde recht;
d.andere dan de onder a tot en met c bedoelde gegevens met het oog op de behandeling van de verzoeken om geslachtsnaamwijziging.
o
4.De persoonsgegevens worden slechts verstrekt aan:
a.degenen die belast zijn met of leiding geven aan de in het tweede lid bedoelde activiteiten en de Minister van Justitie;
b.anderen, in de gevallen bedoeld in artikel 8, onder a, c en d, ofartikel 9, derde lid, van de wet.
o
5.De persoonsgegevens worden verwijderd uiterlijk twee jaren nadat op het verzoek tot geslachtsnaamwijziging is beslist, tenzij de persoonsgegevens noodzakelijk zijn ter voldoening aan een wettelijke bewaarplicht.
Artikel 28. Dienstplicht o
1.Artikel 27 van de wet is niet van toepassing op verwerkingen binnen een gemeente ter uitvoering van de Kaderwet dienstplicht door de verantwoordelijke, voor zover deze verwerkingen voldoen aan de in dit artikel vermelde eisen.
o
2.De verwerking geschiedt slechts met betrekking tot ingeschrevenen voor de dienstplicht met het oog op de uitvoering van de Kaderwet dienstplicht.
o
3.Geen andere persoonsgegevens worden verwerkt dan:
a.naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie benodigde gegevens van de betrokkene;
b.een registratienummer;
c.gegevens als bedoeld onder a, van de gezinsleden van de betrokkene of diens werkgever;
d.keuringsgegevens met betrekking tot de (on)geschiktheid van betrokkene voor het vervullen van de werkelijke dienst;
e.gegevens met betrekking tot de persoonlijke onmisbaarheid en tot de aanwezigheid van bijzondere omstandigheden van betrokkene, waaronder mede begrepen gegevens met betrekking tot de werkgever van betrokkene;
f.gegevens met betrekking tot de arbeidsomstandigheden van betrokkene;
78
g.gegevens met betrekking tot uitstel, ontheffing of vrijstelling van de dienstplicht;
h.andere dan de onder a tot en met g bedoelde gegevens, waarvan de verwerking wordt vereist ingevolge of noodzakelijk is met het oog op de toepassing van een andere wet.
o
4.De persoonsgegevens worden slechts verstrekt aan:
a.degenen, waaronder begrepen derden, die belast zijn met of leiding geven aan de in het tweede lid bedoelde activiteiten of die daarbij noodzakelijk zijn betrokken, alsmede de Minister van Defensie;
b.anderen, in de gevallen bedoeld in artikel 8, onder a, c en d, ofartikel 9, derde lid, van de wet.
o
5.De persoonsgegevens worden verwijderd uiterlijk twee jaren nadat betrokkene niet meer is ingeschreven voor de dienstplicht als bedoeld in de Kaderwet dienstplicht, tenzij de persoonsgegevens noodzakelijk zijn ter voldoening aan een wettelijke bewaarplicht.
Paragraaf 7. Archieven en onderzoek
Artikel 29. Archiefbestemming o
1.Artikel 27 van de wet is niet van toepassing op verwerkingen die uitsluitend een archiefbestemming hebben, voor zover deze verwerkingen voldoen aan de in dit artikel vermelde eisen.
o
o
2.De verwerking geschiedt slechts voor:
a.het archiefbeheer;
b.het behandelen van geschillen;
c.het verrichten van wetenschappelijk, statistisch of historisch onderzoek.
3.Geen andere persoonsgegevens worden verwerkt dan de gegevens die deel uitmaken van archiefbescheiden.
o
4.De persoonsgegevens worden slechts verstrekt aan:
a.degenen, waaronder begrepen derden, die zijn belast met of leiding geven aan het archiefbeheer, door de verantwoordelijke zijn belast met het behandelen van geschillen, dan wel wetenschappelijk, statistisch of historisch onderzoek verrichten of die daarbij noodzakelijk zijn betrokken;
b.anderen, in de gevallen bedoeld in artikel 8, onder a, c en d, van de wet.
79
o
5.De persoonsgegevens worden verwijderd zodra zij hun belang voor de archiefbestemming hebben verloren.
Artikel 30. Wetenschappelijk onderzoek en statistiek o
1.Artikel 27 van de wet is niet van toepassing op verwerkingen van organisaties voor wetenschappelijk onderzoek of statistiek die uitsluitend ten dienste staan van door hen te verrichten of verricht onderzoek, voor zover deze verwerkingen voldoen aan de in dit artikel vermelde eisen.
o
2.De verwerking geschiedt slechts voor het verzamelen, verwerken en controleren van de gegevens ten behoeve van een bepaald onderzoek of een bepaalde statistiek.
o
3.Geen andere persoonsgegevens worden verwerkt dan:
a.naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie benodigde gegevens, alsmede bank- en girorekeningnummer van de betrokkene;
b.een informatieloos administratienummer;
c.andere dan de onder a en b bedoelde gegevens, die ten behoeve van een bepaald onderzoek of een bepaalde statistiek zijn verkregen.
o
4.De persoonsgegevens worden slechts verstrekt aan:
a.degenen, waaronder begrepen derden, die zijn belast met of leiding geven aan de in het tweede lid bedoelde activiteiten of die daarbij noodzakelijk zijn betrokken;
b.anderen, in de gevallen bedoeld in artikel 8, onder a, c en d, enartikel 9, derde lid, van de wet.
o
5.De in het derde lid onder a bedoelde persoonsgegevens, met uitzondering van geslacht, woonplaats en geboortejaar, worden verwijderd uiterlijk zes maanden nadat de in dat lid onder c bedoelde gegevens omtrent de betrokkene zijn verkregen.
Paragraaf 8. Beheer en beveiliging
Artikel 31. Documentenbeheer o
1.Artikel 27 van de wet is niet van toepassing op verwerkingen met het oog op de registratie van de ontvangst, de behandeling en de afdoening van documenten
80
door de verantwoordelijke, voor zover deze verwerkingen voldoen aan de in dit artikel vermelde eisen. o
2.De verwerking geschiedt slechts voor:
a.het organiseren van de ontvangst en verzending van de documenten;
b.de behandeling, de aanmaak, de afdoening en archivering van documenten;
o
c.intern beheer;
d.het behandelen van geschillen.
3.Geen andere persoonsgegevens worden verwerkt dan:
a.naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie benodigde gegevens, alsmede bank- en girorekeningnummer van de afzender of geadresseerde van het betrokken document;
b.een administratienummer dat geen andere informatie bevat dan bedoeld onder a;
c.een aanduiding van het onderwerp waarop het betrokken document betrekking heeft en de naam en het zakelijk adres van degene die met de behandeling daarvan is belast;
d.andere gegevens dan bedoeld onder a tot en met c met het oog op de organisatie van de behandeling van de documenten.
o
4.De persoonsgegevens worden slechts verstrekt aan:
a.degenen die belast zijn met de in het tweede lid bedoelde activiteiten, met dien verstande dat verstrekking aan derden slechts geschiedt met het oog op het behandelen van geschillen;
b.anderen, in de gevallen bedoeld in artikel 8, onder a, c en d, enartikel 9, derde lid, van de wet.
o
5.De persoonsgegevens worden verwijderd uiterlijk vijf jaren nadat de betrokken gegevens werden opgenomen, tenzij de persoonsgegevens noodzakelijk zijn ter voldoening aan een wettelijke bewaarplicht.
Artikel 32. Netwerksystemen o
1.Artikel 27 van de wet is niet van toepassing op verwerkingen in verband met het aanbieden van faciliteiten of diensten op een netwerk aan personen die in
81
dienst zijn van of werkzaam zijn ten behoeve van de verantwoordelijke, voor zover deze verwerkingen voldoen aan de in dit artikel vermelde eisen. o
2.Het eerste lid is niet van toepassing op openbare telecommunicatienetwerken als bedoeld in artikel 1.1, onder g, van de Telecommunicatiewet en de openbare telecommunicatiediensten als bedoeld in artikel 1.1, onder f, van de Telecommunicatiewet.
o
3.De verwerking geschiedt slechts voor:
a.het faciliteren van de communicatie met de aansluitpunten van het netwerk;
o
b.het onderhoud en het beheer van het netwerk;
c.interne controle en beveiliging;
d.het behandelen van geschillen.
4.Geen andere persoonsgegevens worden verwerkt dan:
a.gegevens ten behoeve van identificatie van en communicatie met de gebruikers binnen het netwerk;
b.gegevens met betrekking tot bevoegdheden van de gebruiker en de netwerkbeheerder met het oog op de aangeboden faciliteiten en diensten van het netwerk;
c.gegevens met betrekking tot de verrichtingen van de gebruikers en de netwerkbeheerder;
d.gegevens met betrekking tot elektronische berichten afkomstig van of bestemd voor de gebruikers.
o
5.De persoonsgegevens worden slechts verstrekt aan:
a.degenen die belast zijn met de in het tweede lid bedoelde activiteiten, met dien verstande dat verstrekking aan derden slechts geschiedt met het oog op het behandelen van geschillen;
b.anderen, in de gevallen bedoeld in artikel 8, onder a, c en d, enartikel 9, derde lid, van de wet.
o
6.De persoonsgegevens worden verwijderd uiterlijk 6 maanden nadat zij zijn verkregen dan wel twee jaren nadat het dienstverband of de werkzaamheden van betrokkene ten behoeve van de verantwoordelijke zijn beëindigd.
Artikel 33. Computersystemen
82
o
1.Artikel 27 van de wet is niet van toepassing op verwerkingen die uitsluitend zijn gericht op het onderhoud, het beheer, de beveiliging, het gebruik en de goede werking van computersystemen of computerprogramma's binnen de organisatie van de verantwoordelijke, voor zover deze verwerkingen voldoen aan de in dit artikel vermelde eisen.
o
2.De verwerking geschiedt slechts voor:
a.de controle op en de beveiliging van de computersystemen of computerprogramma's;
b.de ondersteuning van de goede werking van de computersystemen of computerprogramma's;
o
o
c.het sorteren en herstellen van (tussen)bestanden;
d.het aanmaken van reservekopieën van (tussen)bestanden;
e.het beheer van de systemen of programma's.
3.Geen andere persoonsgegevens worden verwerkt dan:
a.gegevens met betrekking tot het gebruik van de programmatuur;
b.technische en besturingsgegevens;
c.gegevens ter bevordering van een goede werking;
d.historische gegevens;
e.gebruikersgegevens.
4.De persoonsgegevens worden slechts verstrekt aan:
a.degenen, waaronder begrepen derden, die zijn belast met of leiding geven aan het systeem-, gegevensbeheer of applicatiebeheer of die daarbij noodzakelijk zijn betrokken;
b.anderen, in de gevallen bedoeld in artikel 8, onder a, c en d, enartikel 9, derde lid, van de wet.
o
5.De persoonsgegevens worden verwijderd uiterlijk 6 maanden nadat zij zijn verkregen, tenzij de persoonsgegevens noodzakelijk zijn ter voldoening aan een wettelijke bewaarplicht.
Artikel 34. Communicatieapparatuur o
1.Artikel 27 van de wet is niet van toepassing op verwerkingen in verband met het gebruik van communicatieapparatuur die ter beschikking wordt gesteld aan personen die in dienst zijn van of werkzaam zijn ten behoeve van de
83
verantwoordelijke, voor zover deze verwerkingen voldoen aan de in dit artikel vermelde eisen. o
2.De verwerking geschiedt slechts voor:
a.het tot stand brengen van de verbinding tussen de afzender en de geadresseerde;
o
b.het verzenden van mondelinge of schriftelijke boodschappen;
c.de interne controle en beveiliging;
d.het behandelen van geschillen.
3.Geen andere persoonsgegevens worden verwerkt dan:
a.de voor de communicatie benodigde gegevens;
b.gegevens met betrekking tot de datum en het tijdstip waarop de communicatie tot stand is gebracht en beëindigd.
o
4.De persoonsgegevens worden slechts verstrekt aan:
a.degenen die zijn belast met of leiding geven aan de in het tweede lid bedoelde activiteiten, met dien verstande dat verstrekking aan derden slechts geschiedt met het oog op het behandelen van geschillen;
b.anderen, in de gevallen bedoeld in artikel 8, onder a, c en d, enartikel 9, derde lid, van de wet.
o
5.De persoonsgegevens worden verwijderd uiterlijk 6 maanden nadat zij zijn verkregen, tenzij de persoonsgegevens noodzakelijk zijn ter voldoening aan een wettelijke bewaarplicht.
Artikel 35. Toegangscontrole o
1.Artikel 27 van de wet is niet van toepassing op verwerkingen met het oog op het geven van toegang tot gebouwen of informatiesystemen van de verantwoordelijke, dan wel onderdelen daarvan aan personen die in dienst zijn van of werkzaam zijn ten behoeve van de verantwoordelijke, voor zover deze verwerkingen voldoen aan de in dit artikel vermelde eisen.
o
2.De verwerking geschiedt slechts voor:
a.het verlenen van toegang tot gebouwen of informatiesystemen, dan wel onderdelen daarvan;
b.het toekennen van toegangsbevoegdheden;
c.de interne controle en bedrijfsbeveiliging.
84
o
3.Geen andere persoonsgegevens worden verwerkt dan:
a.naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie benodigde gegevens van de betrokkene, waaronder gegevens met betrekking tot het zakelijk adres;
b.een informatieloos administratienummer;
c.gegevens met betrekking tot de aan betrokkene verleende bevoegdheden tot het betreden van ruimtes of toegang tot onderdelen van de informatiesystemen en gegevens met betrekking tot het tijdvak waarbinnen deze bevoegdheden bestaan;
d.gegevens met betrekking tot het feitelijke gebruik van de verleende bevoegdheden, alsmede gegevens met betrekking tot het gebruik van wachtwoorden;
e.voor zover het toegangscontrole tot gebouwen betreft, een afbeelding van betrokkene ten behoeve van de uitreiking van een toegangspas.
o
4.De persoonsgegevens worden slechts verstrekt aan:
a.degenen, waaronder begrepen derden, die belast zijn met of leiding geven aan de in het tweede lid bedoelde activiteiten of die daarbij noodzakelijk zijn betrokken;
b.ambtenaren van de politie bij incidenten ingevolge artikel 8, onder e, van de wet;
c.anderen, in de gevallen bedoeld in artikel 8, onder a, c en d, enartikel 9, derde lid, van de wet.
o
5.De persoonsgegevens worden verwijderd uiterlijk zes maanden nadat het recht op toegang van betrokkene is vervallen, tenzij de persoonsgegevens noodzakelijk zijn ter voldoening aan een wettelijke bewaarplicht.
Artikel 36. Overig intern beheer o
1.Artikel 27 van de wet is niet van toepassing op verwerkingen, anders dan bedoeld in de artikelen 3 tot en met 35, betreffende personen die in dienst zijn van of werkzaam zijn ten behoeve van de verantwoordelijke, uitsluitend ten dienste van het interne beheer van de betrokken organisatie, voor zover deze verwerkingen voldoen aan de in dit artikel vermelde eisen.
o
2.De verwerking geschiedt slechts voor:
85
o
a.het interne beheer;
b.de bedrijfsbeveiliging.
3.Geen andere persoonsgegevens worden verwerkt dan:
a.naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie benodigde gegevens, waaronder gegevens met betrekking tot het zakelijk adres, alsmede bank- en girorekeningnummer van de betrokkene;
b.een administratienummer dat geen andere informatie bevat dan bedoeld onder a;
c.feitelijke gegevens betreffende de functie en de taak binnen de organisatie van de verantwoordelijke;
d.feitelijke gegevens betreffende de door de betrokkene verrichte of te verrichten werkzaamheden;
e.gegevens betreffende de aanwezigheid van de betrokkene op de plaats waar de arbeid wordt verricht en de afwezigheid in verband met ziekte, verlof of arbeidsduurverkorting;
f.gegevens betreffende de aan de betrokkene beschikbaar gestelde werken bedrijfsruimte, gereedschappen, machines, kantoorbehoeften en ander materiaal of kleding, alsmede andere voorzieningen die met het oog op de werkzaamheden zijn verstrekt.
o
4.De persoonsgegevens worden slechts verstrekt aan:
a.degenen, waaronder begrepen derden, die belast zijn met of leiding geven aan de in het tweede lid bedoelde activiteiten of die daarbij noodzakelijk zijn betrokken;
b.anderen, in de gevallen bedoeld in artikel 8, onder a, c en d, enartikel 9, derde lid, van de wet.
o
5.De persoonsgegevens worden verwijderd uiterlijk zes maanden nadat de betrokkene de organisatie van de verantwoordelijke heeft verlaten of diens werkzaamheden ten behoeve van de organisatie heeft beëindigd, tenzij de persoonsgegevens noodzakelijk zijn ter voldoening aan een wettelijke bewaarplicht.
Artikel 37. Bezoekersregistratie
86
o
1.Artikel 27 van de wet is niet van toepassing op verwerkingen betreffende personen die de organisatie van de verantwoordelijke bezoeken of hebben bezocht, voor zover deze verwerkingen voldoen aan de in dit artikel vermelde eisen.
o
o
2.De verwerking geschiedt slechts voor:
a.het interne beheer;
b.de bedrijfsbeveiliging.
3.Geen andere persoonsgegevens worden verwerkt dan:
a.naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie benodigde gegevens van de bezoeker, waaronder gegevens met betrekking tot de organisatie waartoe de bezoeker behoort;
b.gegevens betreffende de persoon of de afdeling die de betrokkene wenst te bezoeken;
c.gegevens betreffende de reden van het bezoek;
d.gegevens betreffende de datum en het tijdstip van de aankomst en het vertrek van de bezoeker;
e.gegevens inzake het identiteitsbewijs van betrokkene;
f.een administratienummer dat geen andere informatie bevat dan bedoeld onder a.
o
4.De persoonsgegevens worden slechts verstrekt aan:
a.degenen, daaronder begrepen derden, die belast zijn met of leiding geven aan de in het tweede lid bedoelde activiteiten of die daarbij noodzakelijk zijn betrokken, alsmede de persoon of de afdeling die het bezoek ontvangt;
b.ambtenaren van de politie in geval van incidenten ingevolgeartikel 8, onder e, van de wet;
c.anderen, in de gevallen bedoeld in artikel 8, onder a, c en d, enartikel 9, derde lid, van de wet.
o
5.De persoonsgegevens worden verwijderd uiterlijk zes maanden na de datum van het bezoek, tenzij de persoonsgegevens noodzakelijk zijn ter voldoening aan een wettelijke bewaarplicht.
87
Artikel 38. Videocameratoezicht o
1.Artikel 27 van de wet is niet van toepassing op verwerkingen met het oog op de beveiliging van personen, gebouwen, terreinen, zaken en productieprocessen, die zijn toevertrouwd aan de zorg van de verantwoordelijke, door middel van het gebruik van duidelijk zichtbare videocamera's, voor zover deze verwerkingen voldoen aan de in dit artikel vermelde eisen.
o
2.Het eerste lid is niet van toepassing op verwerkingen met het oog op de handhaving van de openbare orde.
o
3.De verwerking geschiedt slechts voor:
a.de bescherming van de veiligheid en gezondheid van een of meer natuurlijke personen;
o
b.de beveiliging van de toegang tot gebouwen en terreinen;
c.de bewaking van zaken die zich in gebouwen of op terreinen bevinden;
d.de controle op een productieproces;
e.het vastleggen van incidenten.
4.Geen andere persoonsgegevens worden verwerkt dan:
a.video-opnamen van de gebouwen en terreinen en zich daarop bevindende personen en zaken, waarover de zorg van de verantwoordelijke zich uitstrekt;
b.gegevens met betrekking tot het tijdstip, de datum en de plaats waarop de video-opnamen zijn gemaakt.
o
5.De persoonsgegevens worden slechts verstrekt aan:
a.degenen, waaronder begrepen derden, die belast zijn met of leiding geven aan de in het derde lid bedoelde activiteiten of die daarbij noodzakelijk zijn betrokken;
b.ambtenaren van de politie in geval van incidenten, ingevolgeartikel 8, onder e, van de wet;
c.anderen, in de gevallen bedoeld in artikel 8, onder a, c en d, enartikel 9, derde lid, van de wet.
o
6.De persoonsgegevens worden verwijderd uiterlijk vier weken nadat de opnamen zijn gemaakt, dan wel na afhandeling van de geconstateerde incidenten.
88
Paragraaf 8a. ICT-toepassingen
Artikel 38a. Intranet o
1.Artikel 27 van de wet is niet van toepassing op verwerkingen binnen een besloten intranet van een verantwoordelijke betreffende personen in dienst van of werkzaam ten behoeve van de verantwoordelijke, voor zover deze verwerkingen voldoen aan de in dit artikel vermelde eisen.
o
2.De verwerking geschiedt na instemming van de ondernemingsraad, voorzover deze is ingesteld, slechts voor:
a.het informeren van betrokkenen over de bedrijfsactiviteiten van de verantwoordelijke;
b.het informeren van betrokkenen over de functies en taken van betrokkenen;
b.het bekend maken van foto’s en videobeelden, al dan niet met geluid, aan betrokkenen.
o
3.Geen andere persoonsgegevens worden verwerkt dan:
a.naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie benodigde gegevens;
b.gegevens betreffende de functie of de voormalige functie, alsmede betreffende de aard, de inhoud en de beëindiging van het dienstverband;
c.gegevens betreffende de aanwezigheid van de betrokkenen op de plaats waar de arbeid wordt verricht en hun afwezigheid in verband met verlof, arbeidsduurverkorting, bevalling of ziekte, met uitzondering van gegevens over de aard van de ziekte;
d.gegevens met betrekking tot verjaardagen van betrokkenen en andere feestelijkheden en gebeurtenissen;
e.foto’s en videobeelden met of zonder geluid van betrokkenen en activiteiten binnen de onderneming of instelling.
o
4.De persoonsgegevens worden slechts verstrekt aan:
a.degenen, waaronder begrepen derden, die belast zijn met of leiding geven aan de in het tweede lid bedoelde activiteiten of die daarbij noodzakelijk zijn betrokken;
b.aan personen in dienst van of werkzaam ten behoeve van de verantwoordelijke;
89
c.anderen, in de gevallen bedoeld in artikel 8, onder a, c en d, ofartikel 9, derde lid, van de wet, voor zover zij hiertoe zijn geautoriseerd door de verantwoordelijke.
o
5.De persoonsgegevens worden verwijderd uiterlijk twee jaren nadat het dienstverband of de werkzaamheden van de betrokkene ten behoeve van de verantwoordelijke zijn beëindigd, tenzij de persoonsgegevens noodzakelijk zijn ter voldoening aan een wettelijke bewaarplicht.
Artikel 38b. Persoonlijke websites o
1.Artikel 27 van de wet is niet van toepassing op verwerkingen door individuele personen op hun persoonlijke website, voor zover deze verwerkingen voldoen aan de in dit artikel vermelde eisen.
o
2.De verwerking geschiedt slechts voor persoonlijke doeleinden.
o
3.Geen andere persoonsgegevens worden verwerkt dan:
a.gegevens van persoonlijke of familiaire aard de verantwoordelijke betreffende;
b.meningen en standpunten over gebeurtenissen, feiten en omstandigheden;
c.foto’s en videobeelden met of zonder geluid.
o
4.De persoonsgegevens worden verwijderd na beëindiging van de website.
o
5.De persoonsgegevens van anderen dan de verantwoordelijke worden op verzoek van de betrokkene onverwijld verwijderd.
Paragraaf 9. Overige verwerkingen
Artikel 39. Bezwaarschriften, klachten en gerechtelijke procedures o
1.Artikel 27 van de wet is niet van toepassing op verwerkingen betreffende personen die een bezwaarschrift of klacht hebben ingediend bij de verantwoordelijke dan wel ten aanzien waarvan een gerechtelijke procedure aanhangig is bij een rechterlijk college, voor zover deze verwerkingen voldoen aan de in dit artikel vermelde eisen.
o
2.De verwerking geschiedt slechts voor:
a.de behandeling van het bezwaarschrift, de klacht of de gerechtelijke procedure;
b.het intern beheer;
c.het behandelen van geschillen;
90
o
d.de uitvoering en toepassing van een andere wet.
3.Geen andere persoonsgegevens worden verwerkt dan:
a.naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie benodigde gegevens van de indiener van het bezwaarschrift, de klacht of beroepsschrift;
b.een administratienummer dat geen andere informatie bevat dan onder a;
c.gegevens met betrekking tot de feiten en omstandigheden waarop het bezwaarschrift, de klacht of de gerechtelijke procedure betrekking heeft, alsmede gegevens betreffende degenen tegen wie de klacht of procedure is gericht, voor zover deze bij de betrokkenen bekend zijn;
d.andere gegevens dan bedoeld onder a tot en met c met het oog op de organisatie van de behandeling van het bezwaarschrift, de klacht of het beroepsschrift;
e.andere dan de onder a tot en met d bedoelde gegevens waarvan de verwerking wordt vereist ingevolge of noodzakelijk is met het oog op de toepassing van een andere wet.
o
4.De persoonsgegevens worden slechts verstrekt aan:
a.degenen, waaronder begrepen derden, die zijn belast met of leiding geven aan de in het tweede lid bedoelde activiteiten of die daarbij noodzakelijk zijn betrokken;
b.anderen, in de gevallen bedoeld in artikel 8, onder a, c en d, enartikel 9, derde lid, van de wet.
o
5.De persoonsgegevens worden verwijderd uiterlijk twee jaar nadat het bezwaarschrift, de klacht of de gerechtelijke procedure is afgehandeld, tenzij de persoonsgegevens noodzakelijk zijn ter voldoening aan een wettelijke bewaarplicht.
Artikel 40. Registers en lijsten o
1.Artikel 27 van de wet is niet van toepassing op verwerkingen ten behoeve van registers of lijsten betreffende personen die over een bepaalde hoedanigheid beschikken, die voor een bepaalde hoedanigheid of prestatie in aanmerking willen komen, of die in aanmerking kunnen komen voor een benoemingsprocedure en die in verband daarmee op hun verzoek of krachtens wettelijk voorschrift in het
91
register of op de lijst zijn opgenomen, voor zover deze verwerkingen voldoen aan de in dit artikel vermelde eisen. o
2.De verwerking geschiedt slechts voor:
a.het actueel houden van het register of de lijst;
b.het nakomen van een wettelijke verplichting;
c.het aanbieden van een voorziening;
e.de uitvoering of toepassing van een andere wet;
f.het behandelen van geschillen en het doen uitoefenen van accountantscontrole.
o
3.Geen andere persoonsgegevens worden verwerkt dan:
a.naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie benodigde gegevens, alsmede bank- en girorekeningnummer van de betrokkene;
b.een administratienummer dat geen andere informatie bevat dan bedoeld onder a;
c.gegevens betreffende de hoedanigheid van betrokkene;
d.gegevens betreffende een gewenste hoedanigheid of een te leveren prestatie en de mate waarin betrokkene aan de voorwaarden daartoe voldoet;
e.andere gegevens, dan bedoeld onder a tot en met d, waarvan de verwerking wordt vereist ingevolge of noodzakelijk is met het oog op de toepassing van een andere wet.
o
4.De persoonsgegevens worden slechts verstrekt aan:
a.degenen, waaronder begrepen derden, die belast zijn met of leiding geven aan de in het tweede lid bedoelde activiteiten of die daarbij noodzakelijk zijn betrokken;
b.anderen, in de gevallen bedoeld in artikel 8, onder a, c en d, enartikel 9, derde lid, van de wet;
c.anderen, in de gevallen bedoeld in artikel 8, onder e en f, van de wet, voor zover het slechts gegevens betreft als bedoeld in het derde lid, onder a, en de grond tot opneming in het register of op de lijst geen bijzonder gegeven betreft als bedoeld in paragraaf 2 van hoofdstuk 2 van de wet, en nadat het voornemen daartoe aan de betrokkene of diens
92
wettelijk vertegenwoordiger is medegedeeld en deze gedurende een redelijke termijn in de gelegenheid is geweest het recht als bedoeld in artikel 40 of 41 van de wet uit te oefenen. o
5.De persoonsgegevens worden uit het register of van de lijst verwijderd uiterlijk twee jaar nadat de betrokken hoedanigheid is vervallen, de gewenste hoedanigheid is verkregen of de gewenste prestatie is geleverd, tenzij de persoonsgegevens noodzakelijk zijn ter voldoening aan een wettelijke bewaarplicht.
Artikel 41. Oud-leden en oud-leerlingen o
1.Artikel 27 van de wet is niet van toepassing op verwerkingen betreffende oudleden, oud-personeelsleden, oud-leerlingen, oud-deelnemers of oud-studenten van de verantwoordelijke, voor zover deze verwerkingen voldoen aan de in dit artikel vermelde eisen.
o
2.De verwerking geschiedt slechts voor:
a.het onderhouden van contacten met de betrokkenen;
b.het verzenden van informatie aan de betrokkenen;
c.het berekenen, vastleggen en innen van bijdragen en giften, waaronder begrepen het in handen van derden stellen van vorderingen, alsmede andere activiteiten van intern beheer;
d.het behandelen van geschillen en het doen uitoefenen van accountantscontrole.
o
3.Geen andere persoonsgegevens worden verwerkt dan:
a.naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie benodigde gegevens, alsmede bank- en girorekeningnummer van de betrokkene;
b.een administratienummer dat geen andere informatie bevat dan bedoeld onder a;
c.gegevens betreffende de aard en de duur van het lidmaatschap van de oud-leden, de functie waarin en de periode gedurende welke het oudpersoneelslid voor de verantwoordelijke werkzaam is geweest, of de aard van de studie en de periode gedurende welke de oud-leerling, ouddeelnemer of de oud-student de opleiding heeft gevolgd;
93
d.gegevens met het oog op het berekenen, vastleggen en innen van bijdragen en giften.
o
4.De persoonsgegevens worden slechts verstrekt aan:
a.degenen, waaronder begrepen derden, die zijn belast met of leiding geven aan de in het tweede lid bedoelde activiteiten of die daarbij noodzakelijk zijn betrokken;
b.anderen, in de gevallen bedoeld in artikel 8, onder a, c en d, enartikel 9, derde lid, van de wet.
o
5.De persoonsgegevens worden verwijderd op een daartoe strekkend verzoek van de betrokkene of bij diens overlijden.
Artikel 42. Communicatiebestanden o
1.Artikel 27 van de wet is niet van toepassing op verwerkingen, anders dan bedoeld in de artikelen 3 tot en met 41, van voor communicatie benodigde gegevens, voor zover deze verwerkingen voldoen aan de in dit artikel vermelde eisen.
o
2.De verwerking geschiedt slechts voor;
a.de communicatie met betrokkenen;
b.het verzenden van informatie over de producten en diensten van de organisatie van de verantwoordelijke;
o
c.het bijhouden van een overzicht van de verzonden informatie;
d.het onderhouden van het contact met betrokkenen.
3.Geen andere persoonsgegevens worden verwerkt dan:
a.naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie benodigde gegevens van de betrokkene, waaronder begrepen diens zakelijk adres;
b.gegevens met betrekking tot de te verzenden en verzonden informatie;
c.andere gegevens dan bedoeld onder a en b die noodzakelijk zijn met het oog op het onderhouden van het contact met betrokkenen.
o
4.Uit de verwerking vloeien geen bijzondere gegevens voort als bedoeld inparagraaf 2 van hoofdstuk 2 van de wet.
o
5.De persoonsgegevens worden slechts verstrekt aan:
94
a.degenen, waaronder begrepen derden, die belast zijn met of leiding geven aan de communicatie met betrokkene of die daarbij noodzakelijk zijn betrokken;
b.anderen, in de gevallen bedoeld in artikel 8, onder a, c en d, enartikel 9, derde lid, van de wet.
o
6.De persoonsgegevens worden verwijderd op verzoek van betrokkene of uiterlijk een jaar nadat de relatie tussen betrokkene en de organisatie van de verantwoordelijke is verbroken.
Artikel 43. Combinaties van verwerkingen o
1.Artikel 27 van de wet is niet van toepassing op verwerkingen die een combinatie vormen van twee of meer verwerkingen bedoeld in deartikelen 3, 11 en 13, mits ten aanzien van elk van de onderdelen van de combinatie wordt voldaan aan de daarvoor in de betrokken artikelen vermelde eisen.
o
2.Artikel 27 van de wet is niet van toepassing op verwerkingen die een combinatie vormen van twee of meer verwerkingen bedoeld in deartikelen 5, 6, 7, 8 en 9, mits ten aanzien van elk van de onderdelen van de combinatie wordt voldaan aan de daarvoor in de betrokken artikelen vermelde eisen.
o
3.Artikel 27 van de wet is niet van toepassing op verwerkingen die een combinatie vormen van een verwerking als bedoeld in artikel 40 met een verwerking als bedoeld in de artikelen 14, 16, 17, 18 en 19, mits ten aanzien van elk van de onderdelen van de combinatie wordt voldaan aan de daarvoor in de betrokken artikelen vermelde eisen.
o
4.Artikel 27 van de wet is niet van toepassing op verwerkingen die een combinatie vormen van twee of meer verwerkingen bedoeld in deartikelen 32, 33, 34 en 35, mits ten aanzien van elk van de onderdelen van de combinatie wordt voldaan aan de daarvoor in de betrokken artikelen vermelde eisen.
Hoofdstuk 3. Slotbepalingen
Artikel 44. Gegevensverkeer met landen buiten de Europese Unie
Hoofdstuk 2 van dit besluit is ook van toepassing op de doorgifte van persoonsgegevens naar een land buiten de Europese Unie, indien:
o
a.het een land betreft dat partij is bij de op 2 mei 1992 te Oporto totstandgekomen Overeenkomst betreffende de Europese Economische Ruimte (Trb. 1992, 132), tenzij uit een besluit van de Commissie van de Europese
95
Gemeenschappen of de Raad van de Europese Unie voortvloeit dat deze doorgifte is beperkt of verboden. o
b.de Commissie van de Europese Gemeenschappen overeenkomstig artikel 25, zesde lid, van richtlijn nr. 95/46/EG van het Europees Parlement en de Raad van de Europese Unie van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en het vrije verkeer van die gegevens (PbEG L 281), onderscheidenlijk de Raad van de Europese Unie, heeft vastgesteld dat het derde land waarborgen voor een passend beschermingsniveau biedt;
o
c.het een geval betreft als bedoeld in artikel 77, eerste lid, onder a of e, van de wet;
o
d.de gegevens in overeenstemming met de beschikking van de Commissie van de Europese Gemeenschappen nr. 2000/520/EG van 26 juli 2000 overeenkomstig richtlijn nr. 95/46/EG van het Europees Parlement en de Raad, betreffende de gepastheid van de bescherming geboden door de Veiligehavenbeginselen voor de bescherming van de persoonlijke levenssfeer en de daarmee verband houdende Vaak gestelde vragen, die door het ministerie van Handel van de Verenigde Staten zijn gepubliceerd (PbEG L 215) naar een verantwoordelijke of bewerker gevestigd in de Verenigde Staten worden doorgegeven; of,
o
e.de gegevens worden doorgegeven krachtens een vergunning als bedoeld in artikel 77, tweede lid, van de wet en deze vergunning betrekking heeft op een intern bindende gedragscode voor de verwerking van persoonsgegevens binnen een groep als bedoeld inartikel 24b van Boek 2 van het Burgerlijk Wetboek.

Artikel 45. Voorafgaand onderzoek
Hoofdstuk 2 van dit besluit is niet van toepassing op verwerkingen die zijn onderworpen aan voorafgaand onderzoek.

Artikel 46. Vrijwillige aanmelding
Hoofdstuk 2 van dit besluit is niet van toepassing op verwerkingen waarvan de verantwoordelijke te kennen heeft gegeven ten aanzien daarvan te willen voldoen aan de verplichting ingevolge artikel 27 van de wet.

Artikel 47. Inwerkingtreding
96
Dit besluit treedt in werking op het tijdstip waarop de Wet bescherming persoonsgegevens in werking treedt.
Artikel 48. Citeertitel
Dit besluit kan worden aangehaald als: Vrijstellingsbesluit Wbp.
Lasten en bevelen dat dit besluit met de daarbij bijbehorende nota van toelichting in het Staatsblad zal worden geplaatst en dat daarvan afschrift zal worden gezonden aan de Raad van State. 's-Gravenhage, 7 mei 2001 Beatrix De Minister van Justitie, A. H. Korthals Uitgegeven de twaalfde juni 2001 De Minister van Justitie, A. H. Korthals
97
Artikel 11.7a 1.Onverminderd de Wet bescherming persoonsgegevens dient een ieder die door middel van elektronische communicatienetwerken toegang wenst te verkrijgen tot gegevens die zijn opgeslagen in de randapparatuur van een gebruiker dan wel gegevens wenst op te slaan in de randapparatuur van de gebruiker: o a.de gebruiker duidelijke en volledige informatie te verstrekken overeenkomstig de Wet bescherming persoonsgegevens, en in ieder geval omtrent de doeleinden waarvoor men toegang wenst te verkrijgen tot de desbetreffende gegevens dan wel waarvoor men gegevens wenst op te slaan, en o b.van de gebruiker toestemming te hebben verkregen voor de desbetreffende handeling. Een handeling als bedoeld in de aanhef, die tot doel heeft gegevens over het gebruik van verschillende diensten van de informatiemaatschappij door de gebruiker of de abonnee te verzamelen, combineren of analyseren voor commerciële, charitatieve of ideële doeleinden, wordt vermoed een verwerking van persoonsgegevens te zijn, als bedoeld inartikel 1, onderdeel b, van de Wet bescherming persoonsgegevens. 2.De in het eerste lid, onder a en b, genoemde vereisten zijn ook van toepassing in het geval op een andere wijze dan door middel van een elektronisch communicatienetwerk wordt bewerkstelligd dat via een elektronisch communicatienetwerk gegevens worden opgeslagen of toegang wordt verleend tot op het randapparaat opgeslagen gegevens. 3.Het bepaalde in het eerste en tweede lid is niet van toepassing, voor zover het de technische opslag of toegang tot gegevens betreft met als uitsluitend doel: o a.de communicatie over een elektronisch communicatienetwerk uit te voeren, of o b.de door de abonnee of gebruiker gevraagde dienst van de informatiemaatschappij te leveren en de opslag of toegang tot gegevens daarvoor strikt noodzakelijk is. 4.Bij algemene maatregel van bestuur kunnen in overeenstemming met Onze Minister van Veiligheid en Justitie nadere regels worden gegeven met betrekking tot de in het eerste lid, onder a en b, genoemde vereisten. Het College bescherming persoonsgegevens wordt om advies gevraagd over een ontwerp van bedoelde algemene maatregel van bestuur.
98
EUROPEAN COMMISSION
Brussels, 25.1.2012 COM(2012) 11 final 2012/0011 (COD)
Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)
(Text with EEA relevance) {SEC(2012) 72 final} {SEC(2012) 73 final}
99
EXPLANATORY MEMORANDUM 1.
CONTEXT OF THE PROPOSAL
This explanatory memorandum presents in further detail the proposed new legal framework for the protection of personal data in the EU as set out in Communication COM (2012) 9 final1. The proposed new legal framework consists of two legislative proposals: – a proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation), and – a proposal for a Directive of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data by competent authorities for the purposes of prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and the free movement of such data2. This explanatory memorandum concerns the legislative proposal for a General Data Protection Regulation. The centrepiece of existing EU legislation on personal data protection, Directive 95/46/EC3, was adopted in 1995 with two objectives in mind: to protect the fundamental right to data protection and to guarantee the free flow of personal data between Member States. It was complemented by Framework Decision 2008/977/JHA as a general instrument at Union level for the protection of personal data in the areas of police co-operation and judicial co-operation in criminal matters4. Rapid technological developments have brought new challenges for the protection of personal data. The scale of data sharing and collecting has increased dramatically. Technology allows both private companies and public authorities to make use of personal data on an unprecedented scale in order to pursue their activities. Individuals increasingly make personal information available publicly and globally. Technology has transformed both the economy and social life. Building trust in the online environment is key to economic development. Lack of trust makes consumers hesitate to buy online and adopt new services. This risks slowing down the development of innovative uses of new technologies. Personal data protection therefore plays
1
2 3
4
EN
“Safeguarding Privacy in a Connected World – A European Data Protection Framework for the 21st Century” COM(2012) 9 final. COM(2012) 10 final. Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data, OJ L 281, 23.11.1995, p.31. Council Framework Decision 2008/977/JHA of 27 November 2008 on the protection of personal data processed in the framework of police and judicial cooperation in criminal matters, OJ L 350, 30.12.2008, p. 60 (‘Framework Decision’).
1 100
EN
a central role in the Digital Agenda for Europe5, and more generally in the Europe 2020 Strategy6. Article 16(1) of Treaty on the Functioning of the European Union (TFEU), as introduced by the Lisbon Treaty, establishes the principle that everyone has the right to the protection of personal data concerning him or her. Moreover, with Article 16(2) TFEU, the Lisbon Treaty introduced a specific legal basis for the adoption of rules on the protection of personal data. Article 8 of the Charter of Fundamental Rights of the EU enshrines protection of personal data as a fundamental right. The European Council invited the Commission to evaluate the functioning of EU instruments on data protection and to present, where necessary, further legislative and non-legislative initiatives7. In its resolution on the Stockholm Programme, the European Parliament8 welcomed a comprehensive data protection scheme in the EU and among others called for the revision of the Framework Decision. The Commission stressed in its Action Plan implementing the Stockholm Programme9 the need to ensure that the fundamental right to personal data protection is consistently applied in the context of all EU policies. In its Communication on “A comprehensive approach on personal data protection in the European Union”10, the Commission concluded that the EU needs a more comprehensive and coherent policy on the fundamental right to personal data protection. The current framework remains sound as far as its objectives and principles are concerned, but it has not prevented fragmentation in the way personal data protection is implemented across the Union, legal uncertainty and a widespread public perception that there are significant risks associated notably with online activity11. This is why it is time to build a stronger and more coherent data protection framework in the EU, backed by strong enforcement that will allow the digital economy to develop across the internal market, put individuals in control of their own data and reinforce legal and practical certainty for economic operators and public authorities. 2.
RESULTS OF CONSULTATIONS WITH THE INTERESTED PARTIES AND IMPACT ASSESSMENT
This initiative is the result of extensive consultations with all major stakeholders on a review of the current legal framework for the protection of personal data, which lasted for more than two years and included a high level conference in May 200912 and two phases of public consultation:
5 6 7
8
9 10 11
12
EN
COM(2010)245 final. COM(2010)2020 final. ”The Stockholm Programme — An open and secure Europe serving and protecting citizens”, OJ C 115, 4.5.2010, p.1. Resolution of the European Parliament on the on the Communication from the Commission to the European Parliament and the Council – An area of freedom, security and justice serving the citizen – Stockholm programme adopted 25 November 2009 (P7_TA(2009)0090). COM(2010)171 final. COM(2010)609 final. Special Eurobarometer (EB) 359, Data Protection and Electronic Identity in the EU (2011): http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf . http://ec.europa.eu/justice/newsroom/data-protection/events/090519_en.htm.
2 101
EN
– From 9 July to 31 December 2009, the Consultation on the legal framework for the fundamental right to the protection of personal data. The Commission received 168 responses, 127 from individuals, business organisations and associations and 12 from public authorities.13 – From 4 November 2010 to 15 January 2011, the Consultation on the Commission's comprehensive approach on personal data protection in the European Union. The Commission received 305 responses, of which 54 from citizens, 31 from public authorities and 220 from private organisations, in particular business associations and nongovernmental organisations.14 Targeted consultations were also conducted with key stakeholders; specific events were organised in June and July 2010 with Member State authorities and with private sector stakeholders, as well as privacy, data protection and consumers' organisations15. In November 2010, European Commission’s Vice-President Reding organised a roundtable on the data protection reform. On 28 January 2011 (Data Protection Day), the European Commission and the Council of Europe co-organised a high level conference to discuss issues related to the reform of the EU legal framework as well as to the need for common data protection standards worldwide16. Two conferences on data protection were hosted by the Hungarian and Polish Presidencies of the Council on 16-17 June 2011 and on 21 September 2011 respectively. Dedicated workshops and seminars on specific issues were held throughout 2011. In January ENISA17 organised a workshop on data breach notifications in Europe18. In February, the Commission convened a workshop with Member States' authorities to discuss data protection issues in the area of police co-operation and judicial co-operation in criminal matters, including the implementation of the Framework Decision, and the Fundamental Rights Agency held a stakeholder consultation meeting on "Data Protection and Privacy". A discussion on key issues of the reform was held on 13 July 2011 with national Data Protection Authorities. EU citizens were consulted through a Eurobarometer survey held in NovemberDecember 201019. A number of studies were also launched.20 The “Article 29 Working Party”21 provided several opinions and useful input to the Commission22. The European Data
13
14
15 16 17
18 19
20
21
EN
The non-confidential contributions can be consulted on the Commission’s website: http://ec.europa.eu/justice/newsroom/data-protection/opinion/090709_en.htm. The non-confidential contributions can be consulted on the Commission’s website: http://ec.europa.eu/justice/newsroom/data-protection/opinion/101104_en.htm. http://ec.europa.eu/justice/newsroom/data-protection/events/100701_en.htm. http://www.coe.int/t/dghl/standardsetting/dataprotection/Data_protection_day2011_en.asp. European Network and Information Security Agency, dealing with security issues related to communication networks and information systems. See http://www.enisa.europa.eu/act/it/data-breach-notification. Special Eurobarometer (EB) 359, Data Protection and Electronic Identity in the EU (2011): http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_en.pdf. See the Study on the economic benefits of privacy enhancing technologies and the Comparative study on different approaches to new privacy challenges, in particular in the light of technological developments, January 2010 (http://ec.europa.eu/justice/policies/privacy/docs/studies/new_privacy_challenges/final_report_en.pdf).. The Working Party was set up in 1996 (by Article 29 of Directive 95/46/EC) with advisory status and composed of representatives of national Data Protection Supervisory Authorities (DPAs), the European Data Protection Supervisor (EDPS) and the Commission. For more information on its activities see http://ec.europa.eu/justice/policies/privacy/workinggroup/index_en.htm.
3 102
EN
Protection Supervisor also issued a comprehensive opinion on the issues raised in the Commission's November 2010 Communication23. The European Parliament approved by its resolution of 6 July 2011 a report that supported the Commission’s approach to reforming the data protection framework.24 The Council of the European Union adopted conclusions on 24 February 2011 in which it broadly supports the Commission's intention to reform the data protection framework and agrees with many elements of the Commission's approach. The European Economic and Social Committee likewise supported the Commission's aim to ensure a more consistent application of EU data 25 protection rules across all Member States an appropriate revision of Directive 95/46/EC.26 During the consultations on the comprehensive approach, a large majority of stakeholders agreed that the general principles remain valid but that there is a need to adapt the current framework in order to better respond to challenges posed by the rapid development of new technologies (particularly online) and increasing globalisation, while maintaining the technological neutrality of the legal framework. Heavy criticism has been expressed regarding the current fragmentation of personal data protection in the Union, in particular by economic stakeholders who asked for increased legal certainty and harmonisation of the rules on the protection of personal data. The complexity of the rules on international transfers of personal data is considered as constituting a substantial impediment to their operations as they regularly need to transfer personal data from the EU to other parts of the world. In line with its “Better Regulation” policy, the Commission conducted an impact assessment of policy alternatives. The impact assessment was based on the three policy objectives of improving the internal market dimension of data protection, making the exercise of data protection rights by individuals more effective and creating a comprehensive and coherent framework covering all areas of Union competence, including police co-operation and judicial co-operation in criminal matters. Three policy options of different degrees of intervention were assessed: the first option consisted of minimal legislative amendments and the use of interpretative Communications and policy support measures such as funding programmes and technical tools; the second option comprised a set of legislative provisions addressing each of the issues identified in the analysis and the third option was the centralisation of data protection at EU level through precise and detailed rules for all sectors and the establishment of an EU agency for monitoring and enforcement of the provisions. According to the Commission's established methodology, each policy option was assessed, with the help of an Interservice steering group, against its effectiveness to achieve the policy objectives, its economic impact on stakeholders (including on the budget of the EU
22
23 24
25 26
EN
See in particular the following opinions: on the "Future of Privacy" (2009, WP 168); on the concepts of "controller” and “processor" (1/2010, WP 169); on online behavioural advertising (2/2010, WP 171); on the principle of accountability (3/2010, WP 173); on applicable law (8/2010, WP 179); and on consent (15/2011, WP 187). Upon the Commission's request, it adopted also the three following Advice Papers: on notifications, on sensitive data and on the practical implementation of Article 28(6) of the Data Protection Directive. They can all be accessed at: http://ec.europa.eu/justice/data-protection/article29/documentation/index_en.htm. Available on the EDPS website: http://www.edps.europa.eu/EDPSWEB. EP resolution of 6 July 2011 on a comprehensive approach on personal data protection in the European Union (2011/2025(INI), http://www.europarl.europa.eu/sides/getDoc.do?type=TA&reference=P7-TA2011-0323&language=EN&ring=A7-2011-0244 (rapporteur: MEP Axel Voss (EPP/DE). SEC(2012)72. CESE 999/2011.
4 103
EN
institutions), its social impact and effect on fundamental rights. Environmental impacts were not observed. The analysis of the overall impact led to the development of the preferred policy option which is based on the second option with some elements from the other two options and incorporated in the present proposal. According to the impact assessment, its implementation will lead inter alia to considerable improvements regarding legal certainty for data controllers and citizens, reduction of administrative burden, consistency of data protection enforcement in the Union, the effective possibility of individuals to exercise their data protection rights to the protection of personal data within the EU and the efficiency of data protection supervision and enforcement. Implementation of the preferred policy options are also expected to contribute to the Commission's objective of simplification and reduction of administrative burden and to the objectives of the Digital Agenda for Europe, the Stockholm Action Plan and the Europe 2020 strategy. The Impact Assessment Board delivered an opinion on the draft impact assessment on 9 September 2011. Following the IAB opinion, the following changes were made to the impact assessment: – The objectives of the current legal framework (to what extent they were achieved, and to what extent they were not), as well as the objectives of the envisaged reform were clarified; – More evidence and additional explanations/clarification were added to the problems' definition section; – A section on proportionality was added; – All calculations and estimations related to administrative burden in the baseline scenario and in the preferred option have been entirely reviewed and revised, and the relation between the costs of notifications and the overall fragmentation costs has been clarified (including Annex 10); – Impacts on micro, small and medium enterprises, particularly of data protection officers and data protection impact assessments have been better specified. The impact assessment report and an executive summary are published with the proposals. 3.
LEGAL ELEMENTS OF THE PROPOSAL
3.1.
Legal Basis
This proposal is based on Article 16 TFEU, which is the new legal basis for the adoption of data protection rules introduced by the Lisbon Treaty. This provision allows the adoption of rules relating to the protection of individuals with regard to the processing of personal data by Member States when carrying out activities which fall within the scope of Union law. It also allows the adoption of rules relating to the free movement of personal data, including personal data processed by Member States or private parties. A Regulation is considered to be the most appropriate legal instrument to define the framework for the protection of personal data in the Union. The direct applicability of a Regulation in accordance with Article 288 TFEU will reduce legal fragmentation and provide greater legal certainty by introducing a harmonised set of core rules, improving the protection
EN
5 104
EN
of fundamental rights of individuals and contributing to the functioning of the Internal Market. The reference to Article 114(1) TFEU is only necessary for amending Directive 2002/58/EC to the extent that that Directive also provides for the protection of the legitimate interests of subscribers who are legal persons. 3.2.
Subsidiarity and proportionality
According to the principle of subsidiarity (Article 5(3) TEU), action at Union level shall be taken only if and in so far as the objectives envisaged cannot be achieved sufficiently by Member States, but can rather, by reason of the scale or effects of the proposed action, be better achieved by the Union. In the light of the problems outlined above, the analysis of subsidiarity indicates the necessity of EU-level action on the following grounds: – The right to the protection of personal data, enshrined in Article 8 of the Charter of Fundamental Rights, requires the same level of data protection throughout the Union. The absence of common EU rules would create the risk of different levels of protection in the Member States and create restrictions on cross-border flows of personal data between Member States with different standards. – Personal data are transferred across national boundaries, both internal and external borders, at rapidly increasing rates. In addition, there are practical challenges to enforcing data protection legislation and a need for co-operation between Member States and their authorities, which needs to be organised at EU level to ensure unity of application of Union law. The EU is also best placed to ensure effectively and consistently the same level of protection for individuals when their personal data are transferred to third countries. – Member States cannot alone reduce the problems in the current situation, particularly those due to the fragmentation in national legislations. Thus, there is a specific need to establish a harmonised and coherent framework allowing for a smooth transfer of personal data across borders within the EU while ensuring effective protection for all individuals across the EU. – The proposed EU legislative actions will be more effective than similar actions at the level of Member States because of the nature and scale of the problems, which are not confined to the level of one or several Member States. The principle of proportionality requires that any intervention is targeted and does not go beyond what is necessary to achieve the objectives. This principle has guided the preparation of this proposal from the identification and evaluation of alternative policy options to the drafting of the legislative proposal. 3.3.
Summary of fundamental rights issues
The right to protection of personal data is established by Article 8 of the Charter and Article 16 TFEU and in Article 8 of the ECHR. As underlined by the Court of Justice of the EU27, the right to the protection of personal data is not an absolute right, but must be considered in
27
EN
Court of Justice of the EU, judgment of 9.11.2010, Joined Cases C-92/09 and C-93/09 Volker und Markus Schecke and Eifert [2010] ECR I-0000.
6 105
EN
relation to its function in society28. Data protection is closely linked to respect for private and family life protected by Article 7 of the Charter. This is reflected by Article 1(1) of Directive 95/46/EC which provides that Member States shall protect fundamental rights and freedoms of natural persons and in particular their right to privacy with respect of the processing of personal data. Other potentially affected fundamental rights enshrined in the Charter are the following: freedom of expression (Article 11 of the Charter); freedom to conduct a business (Article 16); the right to property and in particular the protection of intellectual property (Article 17(2)); the prohibition of any discrimination amongst others on grounds such as race, ethnic origin, genetic features, religion or belief, political opinion or any other opinion, disability or sexual orientation (Article 21); the rights of the child (Article 24); the right to a high level of human health care (Article 35); the right of access to documents (Article 42); the right to an effective remedy and a fair trial (Article 47). 3.4.
Detailed explanation of the proposal
3.4.1.
CHAPTER I - GENERAL PROVISIONS
Article 1 defines subject matter of the Regulation, and, as in Article 1 of Directive 95/46/EC, sets out the two objectives of the Regulation. Article 2 determines the material scope of the Regulation. Article 3 determines the territorial scope of the Regulation. Article 4 contains definitions of terms used in the Regulation. While some definitions are taken over from Directive 95/46/EC, others are modified, complemented with additional elements, or newly introduced (‘personal data breach’ based on Article 2(h) of the e-privacy Directive 2002/58/EC29 as amended by Directive 2009/136/EC30, ‘genetic data’, ‘biometric data’, ‘data concerning health’, ‘main establishment’, ‘representative’, ‘enterprise’, ‘group of undertakings’, ‘binding corporate rules’, and of a ‘child’ which is based on the United Nation’s Convention on the Rights of the Child31, and 'supervisory authority').
28
29
30
31
EN
In line with Article 52(1) of the Charter, limitations may be imposed on the exercise of the right to data protection as long as the limitations are provided for by law, respect the essence of the right and freedoms and, subject to the principle of proportionality, are necessary and genuinely meet objectives of general interest recognised by the European Union or the need to protect the rights and freedoms of others. Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications), OJ L 201, 31/07/2002, p. 37. Directive 2009/136/EC of the European Parliament and of the Council of 25 November 2009 amending Directive 2002/22/EC on universal service and users’ rights relating to electronic communications networks and services, Directive 2002/58/EC concerning the processing of personal data and the protection of privacy in the electronic communications sector and Regulation (EC) No 2006/2004 on cooperation between national authorities responsible for the enforcement of consumer protection laws Text with EEA relevance; OJ L 337 , 18.12.2009, p. 11. Adopted and opened for signature, ratification and accession by the United Nations General Assembly resolution 44/25 of 20.11.1989.
7 106
EN
In the definition of consent, the criterion 'explicit' is added to avoid confusing parallelism with 'unambiguous' consent and in order to have one single and consistent definition of consent, ensuring the awareness of the data subject that, and to what, he or she gives consent. 3.4.2.
CHAPTER II - PRINCIPLES
Article 5 sets out the principles relating to personal data processing, which correspond to those in Article 6 of Directive 95/46/EC. Additional new elements are in particular the transparency principle, the clarification of the data minimisation principle and the establishment of a comprehensive responsibility and liability of the controller. Article 6 sets out, based on Article 7 of Directive 95/46/EC, the criteria for lawful processing, which are further specified as regards the balance of interest criterion, and the compliance with legal obligations and public interest. Article 7 clarifies the conditions for consent to be valid as a legal ground for lawful processing. Article 8 sets out further conditions for the lawfulness of the processing of personal data of children in relation to information society services offered directly to them. Article 9 sets out the general prohibition for processing special categories of personal data and the exceptions from this general rule, building on Article 8 of the Directive 95/46/EC. Article 10 clarifies that the controller is not obliged to acquire additional information in order to identify the data subject for the sole purpose of complying with any provision of this Regulation. 3.4.3.
CHAPTER III - RIGHTS OF THE DATA SUBJECT
3.4.3.1. Section 1 – Transparency and modalities Article 11 introduces the obligation on controllers to provide transparent and easily accessible and understandable information, inspired in particular by the Madrid Resolution on international standards on the protection of personal data and privacy32. Article 12 obliges the controller to provide procedures and mechanism for exercising the data subject's rights, including means for electronic requests, requiring response to the data subject's request within a defined deadline, and the motivation of refusals. Article 13 provides rights in relation to recipients, based on Article 12(c) of Directive 95/46/EC, extended to all recipients, including joint controllers and processors. 3.4.3.2. Section 2 – Information and access to data Article 14 further specifies the controller's information obligations towards the data subject, building on Articles 10 and 11 of Directive 95/46/EC, providing additional information to the data subject, including on the storage period, the right to lodge a complaint, in relation to 32
EN
Adopted by the International Conference of Data Protection and Privacy Commissioners on 5 November 2009. Cf. also Article 13(3) of the proposal for a Regulation on a Common European Sales Law (COM(2011)635final).
8 107
EN
international transfers and to the source from which the data are originating. It also maintains the possible derogations in Directive 95/46/EC, e.g. there will be no such obligation if the recording or disclosure are expressly provided by law. This could apply for example in proceedings by competition authorities, tax or customs administrations, or services competent for social security matters. Article 15 provides the data subject's right of access to their personal data, building on Article 12(a) of Directive 95/46/EC and adding new elements, such as to inform the data subjects of the storage period, and of the rights to rectification and to erasure and to lodge a complaint. 3.4.3.3. Section 3 – Rectification and erasure Article 16 sets out the data subject's right to rectification, based on Article 12(b) of Directive 95/46/EC. Article 17 provides the data subject's right to be forgotten and to erasure. It further elaborates and specifies the right of erasure provided for in Article 12(b) of Directive 95/46/EC and provides the conditions of the right to be forgotten, including the obligation of the controller which has made the personal data public to inform third parties on the data subject's request to erase any links to, or copy or replication of that personal data. It also integrates the right to have the processing restricted in certain cases, avoiding the ambiguous terminology “blocking”. Article 18 introduces the data subject's right to data portability, i.e. to transfer data from one electronic processing system to and into another, without being prevented from doing so by the controller. As a precondition and in order to further improve access of individuals to their personal data, it provides the right to obtain from the controller those data in a structured and commonly used electronic format. 3.4.3.4. Section 4 – Right to object and profiling Article 19 provides for the data subject's rights to object. It is based on Article 14 of Directive 95/46/EC, with some modifications, including as regards the burden of proof and its application to direct marketing. Article 20 concerns the data subject's right not to be subject to a measure based on profiling. It builds on, with modifications and additional safeguards, Article 15(1) of Directive 95/46 on automated individual decisions, and takes account of the Council of Europe's recommendation on profiling33. 3.4.3.5. Section 5 – Restrictions Article 21 clarifies the empowerment for the Union or Member States to maintain or introduce restrictions of principles laid down in Article 5 and of the data subject's rights laid down in Articles 11 to 20 and in Article 32. This provision is based on Article 13 of Directive 95/46/EC and on the requirements stemming from the Charter of Fundamental Rights and the European Convention for the Protection of Human Rights and Fundamental Freedoms, as interpreted by the Court of Justice of the EU and the European Court of Human Rights.
33
EN
CM/Rec (2010)13.
9 108
EN
3.4.4.
CHAPTER IV - CONTROLLER AND PROCESSOR
3.4.4.1. Section 1 – General obligations Article 22 takes account of the debate on a "principle of accountability" and describes in detail the obligation of responsibility of the controller to comply with this Regulation and to demonstrate this compliance, including by way of adoption of internal policies and mechanisms for ensuring such compliance. Article 23 sets out the obligations of the controller arising from the principles of data protection by design and by default. Article 24 on joint controllers clarifies the responsibilities of joint controllers as regards their internal relationship and towards the data subject. Article 25 obliges under certain conditions controllers not established in the Union, where the Regulation applies to their processing activities, to designate a representative in the Union. Article 26 clarifies the position and obligation of processors, partly based on Article 17(2) of Directive 95/46/EC, and adding new elements, including that a processor who processes data beyond the controller's instructions is to be considered as a joint controller. Article 27 on the processing under the authority of the controller and processor is based on Article 16 of Directive 95/46/EC. Article 28 introduces the obligation for controllers and processors to maintain documentation of the processing operations under their responsibility, instead of a general notification to the supervisory authority required by Articles 18(1) and 19 of Directive 95/46/EC. Article 29 clarifies the obligations of the controller and the processor for the co-operation with the supervisory authority. 3.4.4.2. Section 2 – Data security Article 30 obliges the controller and the processor to implement appropriate measures for the security of processing, based on Article 17(1) of Directive 95/46/EC, extending that obligation to processors, irrespective of the contract with the controller. Articles 31 and 32 introduce an obligation to notify personal data breaches, building on the personal data breach notification in Article 4(3) of the e-privacy Directive 2002/58/EC. 3.4.4.3. Section 3 – Data protection impact assessment and prior authorisation Article 33 introduces the obligation of controllers and processors to carry out a data protection impact assessment prior to risky processing operations. Article 34 concerns the cases where authorisation by, and consultation of, the supervisory authority is mandatory prior to the processing, building on the concept of prior checking in Article 20 of Directive 95/46/EC.
EN
10 109
EN
3.4.4.4. Section 4 – Data protection officer Article 35 introduces a mandatory data protection officer for the public sector, and, in the private sector, for large enterprises or where the core activities of the controller or processor consist of processing operations which require regular and systematic monitoring. This builds on Article 18(2) of Directive 95/46/EC which provided the possibility for Member States to introduce such requirement as a surrogate of a general notification requirement. Article 36 sets out the position of the data protection officer. Article 37 provides the core tasks of the data protection officer. 3.4.4.5. Section 5 – Codes of conduct and certification Article 38 concerns codes of conduct, building on the concept of Article 27(1) of Directive 95/46/EC, clarifying the content of the codes and the procedures and providing for the empowerment of the Commission to decide on the general validity of codes of conduct. Article 39 introduces the possibility to establish certification mechanisms and data protection seals and marks. 3.4.5.
CHAPTER V - TRANSFER OF PERSONAL DATA TO THIRD COUNTRIES OR INTERNATIONAL ORGANISATIONS
Article 40 spells out, as a general principle, that the compliance with the obligations in that chapter are mandatory for any transfers of personal data to third countries or international organisations, including onward transfers. Article 41 sets out the criteria, conditions and procedures for the adoption of an adequacy decision by the Commission, based on Article 25 of Directive 95/46/EC. The criteria which shall be taken into account for the Commission’s assessment of an adequate or not adequate level of protection include expressly the rule of law, judicial redress and independent supervision. The article now confirms explicitly the possibility for the Commission to assess the level of protection afforded by a territory or a processing sector within a third country. Article 42 requires for transfers to third countries, where no adequacy decision has been adopted by the Commission, to adduce appropriate safeguards, in particular standard data protection clauses, binding corporate rules and contractual clauses. The possibility of making use of Commission standard data protection clauses is based on Article 26(4) of Directive 95/46/EC. As a new component, such standard data protection clauses may now also be adopted by a supervisory authority and be declared generally valid by the Commission. Binding corporate rules are now specifically mentioned in the legal text. The option of contractual clauses gives certain flexibility to the controller or processor, but is subject to prior authorisation by supervisory authorities. Article 43 describes in further detail the conditions for transfers by way of binding corporate rules, based on the current practices and requirements of supervisory authorities. Article 44 spells out and clarifies the derogations for a data transfer, based on the existing provisions of Article 26 of Directive 95/46/EC. This applies in particular to data transfers required and necessary for the protection of important grounds of public interest, for example
EN
11 110
EN
in cases of international data transfers between competition authorities, tax or customs administrations, or between services competent for social security matters or for fisheries management. In addition, a data transfer may, under limited circumstances, be justified on a legitimate interest of the controller or processor, but only after having assessed and documented the circumstances of that transfer operation. Article 45 explicitly provides for international co-operation mechanisms for the protection of personal data between the Commission and the supervisory authorities of third countries, in particular those considered offering an adequate level of protection, taking into account the Recommendation by the Organisation for Economic Co-operation and Development (OECD) on cross-border co-operation in the enforcement of laws protecting privacy of 12 June 2007. 3.4.6.
CHAPTER VI - INDEPENDENT SUPERVISORY AUTHORITIES
3.4.6.1. Section 1 – Independent status Article 46 obliges Member States to establish supervisory authorities, based on Article 28(1) of Directive 95/46/EC and enlarging the mission of the supervisory authorities to co-operation with each other and with the Commission. Article 47 clarifies the conditions for the independence of supervisory authorities, implementing case law by the Court of Justice of the European Union34, inspired also by Article 44 of Regulation (EC) No 45/200135. Article 48 provides general conditions for the members of the supervisory authority, implementing the relevant case law36 and inspired also by Article 42(2) to (6) of Regulation (EC) 45/2001. Article 49 sets out rules on the establishment of the supervisory authority to be provided by the Member States by law. Article 50 lays down professional secrecy of the members and staff of the supervisory authority and is based on Article 28(7) of Directive 95/46/EC. 3.4.6.2. Section 2 – Duties and powers Article 51 sets out the competence of the supervisory authorities. The general rule, based on Article 28(6) of Directive 95/46/EC (competency on the territory of its own Member State), is complemented by the new competence as lead authority in case that a controller or processor is established in several Member States, to ensure unity of application ('one-stop shop'). Courts, when acting in their judicial authority, are exempted from the monitoring by the supervisory authority, but not from the application of the substantive rules on data protection. Article 52 provides the duties of the supervisory authority, including hearing and investigating complaints and promoting the awareness of the public of risks, rules, safeguards and rights. 34
35
36
EN
Court of Justice of the EU, judgment of 9.3.2010, Commission / Germany, CaseC-518/07, ECR 2010 p. I-1885. Regulation (EC) No 45/2001 of the European Parliament and of the Council of 18 December 2000 on the protection of individuals with regard to the processing of personal data by the Community institutions and bodies and on the free movement of such data; OJ L 008 , 12/01/2001, p.1. Op. cit, footnote 34.
12 111
EN
Article 53 provides the powers of the supervisory authority, in parts building on Article 28(3) of Directive 95/46/EC and Article 47 of Regulation (EC) 45/2001, and adding some new elements, including the power to sanction administrative offences. Article 54 obliges the supervisory authorities to draw up annual activity reports, based on Article 28(5) of Directive 95/46/EC. 3.4.7.
CHAPTER VII - CO-OPERATION AND CONSISTENCY
3.4.7.1. Section 1 – Co-operation Article 55 introduces explicit rules on mandatory mutual assistance, including consequences for non-compliance with the request of another supervisory, building on Article 28(6), second subparagraph, of Directive 95/46/EC. Article 56 introduces rules on joint operations, inspired by Article 17 of Council Decision 2008/615/JHA37, including a right of supervisory authorities to participate in such operations. 3.4.7.2. Section 2 – Consistency Article 57 introduces a consistency mechanism for ensuring unity of application in relation to processing operations which may concern data subjects in several Member States. Article 58 sets out the procedures and conditions for an opinion of the European Data Protection Board. Article 59 concerns Commission opinions on matters dealt within the consistency mechanism, which may either reinforce the opinion of the European Data Protection Board or express a divergence with that opinion, and the draft measure of the supervisory authority. Where the matter has been raised by the European Data Protection Board under Article 58(3) it can be expected that the Commission will exercise its discretion and deliver an opinion whenever necessary. Article 60 concerns Commission decisions requiring the competent authority to suspend its draft measure when this is necessary to ensure the correct application of this Regulation. Article 61 provides for a possibility for the adoption of provisional measures, in an urgency procedure. Article 62 sets out the requirements for Commission implementing acts under the consistency mechanism. Article 63 provides the obligation to enforce measures of a supervisory authority in all Member States concerned, and sets out that the application of the consistency mechanism is a precondition for the legal validity and enforcement of the respective measure.
37
EN
Council Decision 2008/615/JHA of 23 June 2008 on the stepping up of cross-border cooperation, particularly in combating terrorism and cross-border crime, OJ L 210, 6.8.2008, p. 1.
13 112
EN
3.4.7.3. Section 3 – European Data Protection Board Article 64 establishes the European Data Protection Board, consisting of the heads of the supervisory authority of each Member State and of the European Data Protection Supervisor. The European Data Protection Board replaces the Working Party on the Protection of Individuals with regard to the Processing of Personal Data set up under Article 29 of Directive 95/46/EC. It is clarified that the Commission is not a member of the European Data Protection Board, but has the right to participate in the activities and to be represented. Article 65 underlines and clarifies the independence of the European Data Protection Board. Article 66 describes the tasks of the European Data Protection Board, based on Article 30(1) of Directive 95/46/EC, and provides for additional elements, reflecting the increased scope of activities of the European Data Protection Board, within the Union and beyond. In order to be able to react in urgent situations, it provides the Commission with the possibility to ask for an opinion within a specific time-limit. Article 67 requires the European Data Protection Board to report annually on its activities, building on Article 30(6) of Directive 95/46/EC. Article 68 sets out the European Data Protection Board’s decision making procedures, including the obligation to adopt rules of procedure which should extend also to operational arrangements. Article 69 contains the provisions on the chair and on the deputy chairs of the European Data Protection Board. Article 70 sets out the tasks of the chair. Article 71 sets out that the secretariat of the European Data Protection Board shall be provided by the European Data Protection Supervisor, and specifies the tasks of the secretariat. Article 72 provides for rules on the confidentiality. 3.4.8.
CHAPTER VIII - REMEDIES, LIABILITY AND SANCTIONS
Article 73 provides the right of any data subject to lodge a complaint with a supervisory authority, based on Article 28(4) of Directive 95/46/EC. It specifies also the bodies, organisations or associations which may lodge a complaint on behalf of the data subject or, in case of a personal data breach, independently of a data subject's complaint. Article 74 concerns the right of judicial remedy against a supervisory authority. It builds on the general provision of Article 28(3) of Directive 95/46/EC. It provides specifically a judicial remedy obliging the supervisory authority to act on a complaint, and clarifies the competence of the courts of the Member State where the supervisory authority is established. It provides also the possibility that the supervisory authority of the Member State in which the data subject is residing, may bring on behalf of the data subject proceedings before the courts of another Member State where the competent supervisory authority is established. Article 75 concerns the right to a judicial remedy against a controller or processor, building on Article 22 of Directive 95/46/EC, and providing a choice to go to court in the Member
EN
14 113
EN
State where the defendant is established or where the data subject is residing. Where proceedings concerning the same matter are pending in the consistency mechanism, the court may suspend its proceedings, except in case of urgency. Article 76 lays down common rules for court proceedings, including the rights of bodies, organisations or associations to represent data subjects before the courts, the right of supervisory authorities to engage in legal proceedings and the information of the courts on parallel proceedings in another Member State, and the possibility for the courts to suspend in such case the proceedings.38 There is an obligation on Member States to ensure rapid court actions.39 Article 77 sets out the right to compensation and liability. It builds on Article 23 of Directive 95/46/EC, extends this right to damages caused by processors and clarifies the liability of joint controllers and joint processors. Article 78 obliges Member States to lay down rules on penalties, to sanction infringements of the Regulation, and to ensure their implementation. Article 79 obliges each supervisory authority to sanction the administrative offences listed in the catalogues set out in this provision, imposing fines up to maximum amounts, with due regard to circumstances of each individual case. 3.4.9.
CHAPTER IX - PROVISIONS RELATING TO SPECIFIC DATA PROCESSING SITUATIONS
Article 80 obliges Member States to adopt exemptions and derogations from specific provisions of the Regulation where necessary to reconcile the right to the protection of personal data with the right of freedom of expression. It is based on Article 9 of Directive 95/46/EC, as interpreted by the Court of Justice of the EU.40 Article 81 obliges Member States, further to the conditions for special categories of data, to ensure specific safeguards for processing for health purposes. Article 82 provides an empowerment for Member States to adopt specific laws for processing personal data in the employment context. Article 83 sets out specific conditions for processing personal data for historical, statistical and scientific research purposes.
38
39
40
EN
Building on Article 5(1) of Council Framework Decision 2009/948/JHA of 30 November 2009 on prevention and settlement of conflicts of exercise of jurisdiction in criminal proceedings, OJ L 328, 15/12/2009, p. 42; and Article 13(1) of Council Regulation (EC) No 1/2003 of 16 December 2002 on the implementation of the rules on competition laid down in Articles 81 and 82 of the Treaty, OJ L 1, 04.01.2003, p.1. Building on Article 18(1) of Directive 2000/31/EC of the European Parliament and of the Council of 8 June 2000 on certain legal aspects of information society services, in particular electronic commerce, in the Internal Market ('Directive on electronic commerce'), OJ L 178, 17.7.2000, p. 1. Cf. for the interpretation, e.g. Court of Justice of the EU, judgment of 16 December 2008, Satakunnan Markkinapรถrssi and Satamedia (C-73/07, ECR 2008 p. I-9831).
15 114
EN
Article 84 empowers Member States to adopt specific rules on the access of supervisory authorities to personal data and to premises, where controllers are subject to obligations of secrecy. Article 85 allows in the light of Article 17 of the Treaty on the Functioning of the European Union for the continuous application of existing comprehensive data protection rules of churches if brought in line with this Regulation. 3.4.10. CHAPTER X - DELEGATED ACTS AND IMPLEMENTING ACTS Article 86 contains the standard provisions for the exercise of the delegations in line with Article 290 TFEU. This allows the legislator to delegate to the Commission the power to adopt non-legislative acts of general application to supplement or amend certain non-essential elements of a legislative act (quasi-legislative acts). Article 87 contains the provision for the Committee procedure needed for conferring implementing powers on the Commission in the cases where in accordance with Article 291 TFEU uniform conditions for implementing legally binding acts of the Union are needed. The examination procedure applies. 3.4.11. CHAPTER XI - FINAL PROVISIONS Article 88 repeals Directive 95/46/EC. Article 89 clarifies the relationship to, and amends, the e-privacy Directive 2002/58/EC. Article 90 obliges the Commission to evaluate the Regulation and submit related reports. Article 91 sets out the date of the entry into force of the Regulation and a transitional phase as regards the date of its application. 4.
BUDGETARY IMPLICATION
The specific budgetary implications of the proposal relate to the tasks allocated to the European Data Protection Supervisor as specified in the legislative financial statements accompanying this proposal. These implications require reprogramming of Heading 5 of the Financial Perspective. The proposal has no implications on operational expenditure. The legislative financial statement accompanying this proposal for a Regulation covers the budgetary impacts for the Regulation itself and for the Directive on police and justice data protection.
EN
16 115
EN
2012/0011 (COD) Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)
(Text with EEA relevance)
THE EUROPEAN PARLIAMENT AND THE COUNCIL OF THE EUROPEAN UNION, Having regard to the Treaty on the Functioning of the European Union, and in particular Article 16(2) and Article 114(1) thereof, Having regard to the proposal from the European Commission, After transmission of the draft legislative act to the national Parliaments, Having regard to the opinion of the European Economic and Social Committee41, After consulting the European Data Protection Supervisor42, Acting in accordance with the ordinary legislative procedure, Whereas: (1)
The protection of natural persons in relation to the processing of personal data is a fundamental right. Article 8(1) of the Charter of Fundamental Rights of the European Union and Article 16(1) of the Treaty lay down that everyone has the right to the protection of personal data concerning him or her.
(2)
The processing of personal data is designed to serve man; the principles and rules on the protection of individuals with regard to the processing of their personal data should, whatever the nationality or residence of natural persons, respect their fundamental rights and freedoms, notably their right to the protection of personal data. It should contribute to the accomplishment of an area of freedom, security and justice and of an economic union, to economic and social progress, the strengthening and the convergence of the economies within the internal market, and the well-being of individuals.
41
OJ C , , p. . OJ C , , p. .
42
EN
17 116
EN
EN
(3)
Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data43 seeks to harmonise the protection of fundamental rights and freedoms of natural persons in respect of processing activities and to guarantee the free flow of personal data between Member States.
(4)
The economic and social integration resulting from the functioning of the internal market has led to a substantial increase in cross-border flows. The exchange of data between economic and social, public and private actors across the Union increased. National authorities in the Member States are being called upon by Union law to cooperate and exchange personal data so as to be able to perform their duties or carry out tasks on behalf of an authority in another Member State.
(5)
Rapid technological developments and globalisation have brought new challenges for the protection of personal data. The scale of data sharing and collecting has increased spectacularly. Technology allows both private companies and public authorities to make use of personal data on an unprecedented scale in order to pursue their activities. Individuals increasingly make personal information available publicly and globally. Technology has transformed both the economy and social life, and requires to further facilitate the free flow of data within the Union and the transfer to third countries and international organisations, while ensuring an high level of the protection of personal data.
(6)
These developments require building a strong and more coherent data protection framework in the Union, backed by strong enforcement, given the importance to create the trust that will allow the digital economy to develop across the internal market. Individuals should have control of their own personal data and legal and practical certainty for individuals, economic operators and public authorities should be reinforced.
(7)
The objectives and principles of Directive 95/46/EC remain sound, but it has not prevented fragmentation in the way data protection is implemented across the Union, legal uncertainty and a widespread public perception that there are significant risks for the protection of individuals associated notably with online activity. Differences in the level of protection of the rights and freedoms of individuals, notably to the right to the protection of personal data, with regard to the processing of personal data afforded in the Member States may prevent the free flow of personal data throughout the Union. These differences may therefore constitute an obstacle to the pursuit of economic activities at the level of the Union, distort competition and impede authorities in the discharge of their responsibilities under Union law. This difference in levels of protection is due to the existence of differences in the implementation and application of Directive 95/46/EC.
(8)
In order to ensure consistent and high level of protection of individuals and to remove the obstacles to flows of personal data, the level of protection of the rights and freedoms of individuals with regard to the processing of such data should be equivalent in all Member States. Consistent and homogenous application of the rules
43
OJ L 281, 23.11.1995, p. 31.
18 117
EN
for the protection of the fundamental rights and freedoms of natural persons with regard to the processing of personal data should be ensured throughout the Union.
EN
(9)
Effective protection of personal data throughout the Union requires strengthening and detailing the rights of data subjects and the obligations of those who process and determine the processing of personal data, but also equivalent powers for monitoring and ensuring compliance with the rules for the protection of personal data and equivalent sanctions for offenders in the Member States.
(10)
Article 16(2) of the Treaty mandates the European Parliament and the Council to lay down the rules relating to the protection of individuals with regard to the processing of personal data and the rules relating to the free movement of personal data.
(11)
In order to ensure a consistent level of protection for individuals throughout the Union and to prevent divergences hampering the free movement of data within the internal market, a Regulation is necessary to provide legal certainty and transparency for economic operators, including micro, small and medium-sized enterprises, and to provide individuals in all Member States with the same level of legally enforceable rights and obligations and responsibilities for controllers and processors, to ensure consistent monitoring of the processing of personal data, and equivalent sanctions in all Member States as well as effective co-operation by the supervisory authorities of different Member States. To take account of the specific situation of micro, small and medium-sized enterprises, this Regulation includes a number of derogations. In addition, the Union institutions and bodies, Member States and their supervisory authorities are encouraged to take account of the specific needs of micro, small and medium-sized enterprises in the application of this Regulation. The notion of micro, small and medium-sized enterprises should draw upon Commission Recommendation 2003/361/EC of 6 May 2003 concerning the definition of micro, small and mediumsized enterprises.
(12)
The protection afforded by this Regulation concerns natural persons, whatever their nationality or place of residence, in relation to the processing of personal data. With regard to the processing of data which concern legal persons and in particular undertakings established as legal persons, including the name and the form of the legal person and the contact details of the legal person, the protection of this Regulation should not be claimed by any person. This should also apply where the name of the legal person contains the names of one or more natural persons.
(13)
The protection of individuals should be technologically neutral and not depend on the techniques used; otherwise this would create a serious risk of circumvention. The protection of individuals should apply to processing of personal data by automated means as well as to manual processing, if the data are contained or are intended to be contained in a filing system. Files or sets of files as well as their cover pages, which are not structured according to specific criteria, should not fall within the scope of this Regulation.
(14)
This Regulation does not address issues of protection of fundamental rights and freedoms or the free flow of data related to activities which fall outside the scope of Union law, nor does it cover the processing of personal data by the Union institutions,
19 118
EN
bodies, offices and agencies, which are subject to Regulation (EC) No 45/200144, or the processing of personal data by the Member States when carrying out activities in relation to the common foreign and security policy of the Union.
EN
(15)
This Regulation should not apply to processing of personal data by a natural person, which are exclusively personal or domestic, such as correspondence and the holding of addresses, and without any gainful interest and thus without any connection with a professional or commercial activity. The exemption should also not apply to controllers or processors which provide the means for processing personal data for such personal or domestic activities.
(16)
The protection of individuals with regard to the processing of personal data by competent authorities for the purposes of prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and the free movement of such data, is subject of a specific legal instrument at Union level. Therefore, this Regulation should not apply to the processing activities for those purposes. However, data processed by public authorities under this Regulation when used for the purposes of prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties should be governed by the more specific legal instrument at Union level (Directive XX/YYY).
(17)
This Regulation should be without prejudice to the application of Directive 2000/31/EC, in particular of the liability rules of intermediary service providers in Articles 12 to 15 of that Directive.
(18)
This Regulation allows the principle of public access to official documents to be taken into account when applying the provisions set out in this Regulation.
(19)
Any processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union should be carried out in accordance with this Regulation, regardless of whether the processing itself takes place within the Union or not. Establishment implies the effective and real exercise of activity through stable arrangements. The legal form of such arrangements, whether through a branch or a subsidiary with a legal personality, is not the determining factor in this respect.
(20)
In order to ensure that individuals are not deprived of the protection to which they are entitled under this Regulation, the processing of personal data of data subjects residing in the Union by a controller not established in the Union should be subject to this Regulation where the processing activities are related to the offering of goods or services to such data subjects, or to the monitoring of the behaviour of such data subjects.
(21)
In order to determine whether a processing activity can be considered to ‘monitor the behaviour’ of data subjects, it should be ascertained whether individuals are tracked on the internet with data processing techniques which consist of applying a ‘profile’ to an individual, particularly in order to take decisions concerning her or him or for analysing or predicting her or his personal preferences, behaviours and attitudes.
44
OJ L 8, 12.1.2001, p. 1.
20 119
EN
EN
(22)
Where the national law of a Member State applies by virtue of public international law, this Regulation should also apply to a controller not established in the Union, such as in a Member State's diplomatic mission or consular post.
(23)
The principles of protection should apply to any information concerning an identified or identifiable person. To determine whether a person is identifiable, account should be taken of all the means likely reasonably to be used either by the controller or by any other person to identify the individual. The principles of data protection should not apply to data rendered anonymous in such a way that the data subject is no longer identifiable.
(24)
When using online services, individuals may be associated with online identifiers provided by their devices, applications, tools and protocols, such as Internet Protocol addresses or cookie identifiers. This may leave traces which, combined with unique identifiers and other information received by the servers, may be used to create profiles of the individuals and identify them. It follows that identification numbers, location data, online identifiers or other specific factors as such need not necessarily be considered as personal data in all circumstances.
(25)
Consent should be given explicitly by any appropriate method enabling a freely given specific and informed indication of the data subject's wishes, either by a statement or by a clear affirmative action by the data subject, ensuring that individuals are aware that they give their consent to the processing of personal data, including by ticking a box when visiting an Internet website or by any other statement or conduct which clearly indicates in this context the data subject's acceptance of the proposed processing of their personal data. Silence or inactivity should therefore not constitute consent. Consent should cover all processing activities carried out for the same purpose or purposes. If the data subject's consent is to be given following an electronic request, the request must be clear, concise and not unnecessarily disruptive to the use of the service for which it is provided.
(26)
Personal data relating to health should include in particular all data pertaining to the health status of a data subject; information about the registration of the individual for the provision of health services; information about payments or eligibility for healthcare with respect to the individual; a number, symbol or particular assigned to an individual to uniquely identify the individual for health purposes; any information about the individual collected in the course of the provision of health services to the individual; information derived from the testing or examination of a body part or bodily substance, including biological samples; identification of a person as provider of healthcare to the individual; or any information on e.g. a disease, disability, disease risk, medical history, clinical treatment, or the actual physiological or biomedical state of the data subject independent of its source, such as e.g. from a physician or other health professional, a hospital, a medical device, or an in vitro diagnostic test.
(27)
The main establishment of a controller in the Union should be determined according to objective criteria and should imply the effective and real exercise of management activities determining the main decisions as to the purposes, conditions and means of processing through stable arrangements. This criterion should not depend whether the processing of personal data is actually carried out at that location; the presence and use of technical means and technologies for processing personal data or processing activities do not, in themselves, constitute such main establishment and are therefore
21 120
EN
no determining criteria for a main establishment. The main establishment of the processor should be the place of its central administration in the Union.
EN
(28)
A group of undertakings should cover a controlling undertaking and its controlled undertakings, whereby the controlling undertaking should be the undertaking which can exercise a dominant influence over the other undertakings by virtue, for example, of ownership, financial participation or the rules which govern it or the power to have personal data protection rules implemented.
(29)
Children deserve specific protection of their personal data, as they may be less aware of risks, consequences, safeguards and their rights in relation to the processing of personal data. To determine when an individual is a child, this Regulation should take over the definition laid down by the UN Convention on the Rights of the Child.
(30)
Any processing of personal data should be lawful, fair and transparent in relation to the individuals concerned. In particular, the specific purposes for which the data are processed should be explicit and legitimate and determined at the time of the collection of the data. The data should be adequate, relevant and limited to the minimum necessary for the purposes for which the data are processed; this requires in particular ensuring that the data collected are not excessive and that the period for which the data are stored is limited to a strict minimum. Personal data should only be processed if the purpose of the processing could not be fulfilled by other means. Every reasonable step should be taken to ensure that personal data which are inaccurate are rectified or deleted. In order to ensure that the data are not kept longer than necessary, time limits should be established by the controller for erasure or for a periodic review.
(31)
In order for processing to be lawful, personal data should be processed on the basis of the consent of the person concerned or some other legitimate basis, laid down by law, either in this Regulation or in other Union or Member State law as referred to in this Regulation.
(32)
Where processing is based on the data subject's consent, the controller should have the burden of proving that the data subject has given the consent to the processing operation. In particular in the context of a written declaration on another matter, safeguards should ensure that the data subject is aware that and to what extent consent is given.
(33)
In order to ensure free consent, it should be clarified that consent does not provide a valid legal ground where the individual has no genuine and free choice and is subsequently not able to refuse or withdraw consent without detriment.
(34)
Consent should not provide a valid legal ground for the processing of personal data, where there is a clear imbalance between the data subject and the controller. This is especially the case where the data subject is in a situation of dependence from the controller, among others, where personal data are processed by the employer of employees' personal data in the employment context. Where the controller is a public authority, there would be an imbalance only in the specific data processing operations where the public authority can impose an obligation by virtue of its relevant public powers and the consent cannot be deemed as freely given, taking into account the interest of the data subject.
22 121
EN
EN
(35)
Processing should be lawful where it is necessary in the context of a contract or the intended entering into a contract.
(36)
Where processing is carried out in compliance with a legal obligation to which the controller is subject or where processing is necessary for the performance of a task carried out in the public interest or in the exercise of an official authority, the processing should have a legal basis in Union law, or in a Member State law which meets the requirements of the Charter of Fundamental Rights of the European Union for any limitation of the rights and freedoms. It is also for Union or national law to determine whether the controller performing a task carried out in the public interest or in the exercise of official authority should be a public administration or another natural or legal person governed by public law, or by private law such as a professional association.
(37)
The processing of personal data should equally be regarded as lawful where it is necessary to protect an interest which is essential for the data subject's life.
(38)
The legitimate interests of a controller may provide a legal basis for processing, provided that the interests or the fundamental rights and freedoms of the data subject are not overriding. This would need careful assessment in particular where the data subject is a child, given that children deserve specific protection. The data subject should have the right to object the processing, on grounds relating to their particular situation and free of charge. To ensure transparency, the controller should be obliged to explicitly inform the data subject on the legitimate interests pursued and on the right to object, and also be obliged to document these legitimate interests. Given that it is for the legislator to provide by law the legal basis for public authorities to process data, this legal ground should not apply for the processing by public authorities in the performance of their tasks.
(39)
The processing of data to the extent strictly necessary for the purposes of ensuring network and information security, i.e. the ability of a network or an information system to resist, at a given level of confidence, accidental events or unlawful or malicious actions that compromise the availability, authenticity, integrity and confidentiality of stored or transmitted data, and the security of the related services offered by, or accessible via, these networks and systems, by public authorities, Computer Emergency Response Teams – CERTs, Computer Security Incident Response Teams – CSIRTs, providers of electronic communications networks and services and by providers of security technologies and services, constitutes a legitimate interest of the concerned data controller. This could, for example, include preventing unauthorised access to electronic communications networks and malicious code distribution and stopping ‘denial of service’ attacks and damage to computer and electronic communication systems.
(40)
The processing of personal data for other purposes should be only allowed where the processing is compatible with those purposes for which the data have been initially collected, in particular where the processing is necessary for historical, statistical or scientific research purposes. Where the other purpose is not compatible with the initial one for which the data are collected, the controller should obtain the consent of the data subject for this other purpose or should base the processing on another legitimate ground for lawful processing, in particular where provided by Union law or the law of the Member State to which the controller is subject. In any case, the application of the
23 122
EN
principles set out by this Regulation and in particular the information of the data subject on those other purposes should be ensured.
EN
(41)
Personal data which are, by their nature, particularly sensitive and vulnerable in relation to fundamental rights or privacy, deserve specific protection. Such data should not be processed, unless the data subject gives his explicit consent. However, derogations from this prohibition should be explicitly provided for in respect of specific needs, in particular where the processing is carried out in the course of legitimate activities by certain associations or foundations the purpose of which is to permit the exercise of fundamental freedoms.
(42)
Derogating from the prohibition on processing sensitive categories of data should also be allowed if done by a law, and subject to suitable safeguards, so as to protect personal data and other fundamental rights, where grounds of public interest so justify and in particular for health purposes, including public health and social protection and the management of health-care services, especially in order to ensure the quality and cost-effectiveness of the procedures used for settling claims for benefits and services in the health insurance system, or for historical, statistical and scientific research purposes.
(43)
Moreover, the processing of personal data by official authorities for achieving aims, laid down in constitutional law or international public law, of officially recognised religious associations is carried out on grounds of public interest.
(44)
Where in the course of electoral activities, the operation of the democratic system requires in a Member State that political parties compile data on people's political opinions, the processing of such data may be permitted for reasons of public interest, provided that appropriate safeguards are established.
(45)
If the data processed by a controller do not permit the controller to identify a natural person, the data controller should not be obliged to acquire additional information in order to identify the data subject for the sole purpose of complying with any provision of this Regulation. In case of a request for access, the controller should be entitled to ask the data subject for further information to enable the data controller to locate the personal data which that person seeks.
(46)
The principle of transparency requires that any information addressed to the public or to the data subject should be easily accessible and easy to understand, and that clear and plain language is used. This is in particular relevant where in situations, such as online advertising, the proliferation of actors and the technological complexity of practice makes it difficult for the data subject to know and understand if personal data relating to them are being collected, by whom and for what purpose. Given that children deserve specific protection, any information and communication, where processing is addressed specifically to a child, should be in such a clear and plain language that the child can easily understand.
(47)
Modalities should be provided for facilitating the data subject’s exercise of their rights provided by this Regulation, including mechanisms to request, free of charge, in particular access to data, rectification, erasure and to exercise the right to object. The controller should be obliged to respond to requests of the data subject within a fixed deadline and give reasons, in case he does not comply with the data subject's request.
24 123
EN
EN
(48)
The principles of fair and transparent processing require that the data subject should be informed in particular of the existence of the processing operation and its purposes, how long the data will be stored, on the existence of the right of access, rectification or erasure and on the right to lodge a complaint. Where the data are collected from the data subject, the data subject should also be informed whether they are obliged to provide the data and of the consequences, in cases they do not provide such data.
(49)
The information in relation to the processing of personal data relating to the data subject should be given to them at the time of collection, or, where the data are not collected from the data subject, within a reasonable period, depending on the circumstances of the case. Where data can be legitimately disclosed to another recipient, the data subject should be informed when the data are first disclosed to the recipient.
(50)
However, it is not necessary to impose this obligation where the data subject already disposes of this information, or where the recording or disclosure of the data is expressly laid down by law, or where the provision of information to the data subject proves impossible or would involve disproportionate efforts. The latter could be particularly the case where processing is for historical, statistical or scientific research purposes; in this regard, the number of data subjects, the age of the data, and any compensatory measures adopted may be taken into consideration.
(51)
Any person should have the right of access to data which has been collected concerning them, and to exercise this right easily, in order to be aware and verify the lawfulness of the processing. Every data subject should therefore have the right to know and obtain communication in particular for what purposes the data are processed, for what period, which recipients receive the data, what is the logic of the data that are undergoing the processing and what might be, at least when based on profiling, the consequences of such processing. This right should not adversely affect the rights and freedoms of others, including trade secrets or intellectual property and in particular the copyright protecting the software. However, the result of these considerations should not be that all information is refused to the data subject.
(52)
The controller should use all reasonable measures to verify the identity of a data subject that requests access, in particular in the context of online services and online identifiers. A controller should not retain personal data for the unique purpose of being able to react to potential requests.
(53)
Any person should have the right to have personal data concerning them rectified and a 'right to be forgotten' where the retention of such data is not in compliance with this Regulation. In particular, data subjects should have the right that their personal data are erased and no longer processed, where the data are no longer necessary in relation to the purposes for which the data are collected or otherwise processed, where data subjects have withdrawn their consent for processing or where they object to the processing of personal data concerning them or where the processing of their personal data otherwise does not comply with this Regulation. This right is particularly relevant, when the data subject has given their consent as a child, when not being fully aware of the risks involved by the processing, and later wants to remove such personal data especially on the Internet. However, the further retention of the data should be allowed where it is necessary for historical, statistical and scientific research purposes, for reasons of public interest in the area of public health, for exercising the right of
25 124
EN
freedom of expression, when required by law or where there is a reason to restrict the processing of the data instead of erasing them.
EN
(54)
To strengthen the 'right to be forgotten' in the online environment, the right to erasure should also be extended in such a way that a controller who has made the personal data public should be obliged to inform third parties which are processing such data that a data subject requests them to erase any links to, or copies or replications of that personal data. To ensure this information, the controller should take all reasonable steps, including technical measures, in relation to data for the publication of which the controller is responsible. In relation to a third party publication of personal data, the controller should be considered responsible for the publication, where the controller has authorised the publication by the third party.
(55)
To further strengthen the control over their own data and their right of access, data subjects should have the right, where personal data are processed by electronic means and in a structured and commonly used format, to obtain a copy of the data concerning them also in commonly used electronic format. The data subject should also be allowed to transmit those data, which they have provided, from one automated application, such as a social network, into another one. This should apply where the data subject provided the data to the automated processing system, based on their consent or in the performance of a contract.
(56)
In cases where personal data might lawfully be processed to protect the vital interests of the data subject, or on grounds of public interest, official authority or the legitimate interests of a controller, any data subject should nevertheless be entitled to object to the processing of any data relating to them. The burden of proof should be on the controller to demonstrate that their legitimate interests may override the interests or the fundamental rights and freedoms of the data subject.
(57)
Where personal data are processed for the purposes of direct marketing, the data subject should have the right to object to such processing free of charge and in a manner that can be easily and effectively invoked..
(58)
Every natural person should have the right not to be subject to a measure which is based on profiling by means of automated processing. However, such measure should be allowed when expressly authorised by law, carried out in the course of entering or performance of a contract, or when the data subject has given his consent. In any case, such processing should be subject to suitable safeguards, including specific information of the data subject and the right to obtain human intervention and that such measure should not concern a child.
(59)
Restrictions on specific principles and on the rights of information, access, rectification and erasure or on the right to data portability, the right to object, measures based on profiling, as well as on the communication of a personal data breach to a data subject and on certain related obligations of the controllers may be imposed by Union or Member State law, as far as necessary and proportionate in a democratic society to safeguard public security, including the protection of human life especially in response to natural or man made disasters, the prevention, investigation and prosecution of criminal offences or of breaches of ethics for regulated professions, other public interests of the Union or of a Member State, in particular an important economic or financial interest of the Union or of a Member State, or the protection of the data
26 125
EN
subject or the rights and freedoms of others. Those restrictions should be in compliance with requirements set out by the Charter of Fundamental Rights of the European Union and by the European Convention for the Protection of Human Rights and Fundamental Freedoms.
EN
(60)
Comprehensive responsibility and liability of the controller for any processing of personal data carried out by the controller or on the controller's behalf should be established. In particular, the controller should ensure and be obliged to demonstrate the compliance of each processing operation with this Regulation.
(61)
The protection of the rights and freedoms of data subjects with regard to the processing of personal data require that appropriate technical and organisational measures are taken, both at the time of the design of the processing and at the time of the processing itself, to ensure that the requirements of this Regulation are met. In order to ensure and demonstrate compliance with this Regulation, the controller should adopt internal policies and implement appropriate measures, which meet in particular the principles of data protection by design and data protection by default.
(62)
The protection of the rights and freedoms of data subjects as well as the responsibility and liability of controllers and processor, also in relation to the monitoring by and measures of supervisory authorities, requires a clear attribution of the responsibilities under this Regulation, including where a controller determines the purposes, conditions and means of the processing jointly with other controllers or where a processing operation is carried out on behalf of a controller.
(63)
Where a controller not established in the Union is processing personal data of data subjects residing in the Union whose processing activities are related to the offering of goods or services to such data subjects, or to the monitoring their behaviour, the controller should designate a representative, unless the controller is established in a third country ensuring an adequate level of protection, or the controller is a small or medium sized enterprise or a public authority or body or where the controller is only occasionally offering goods or services to such data subjects. The representative should act on behalf of the controller and may be addressed by any supervisory authority.
(64)
In order to determine whether a controller is only occasionally offering goods and services to data subjects residing in the Union, it should be ascertained whether it is apparent from the controller's overall activities that the offering of goods and services to such data subjects is ancillary to those main activities.
(65)
In order to demonstrate compliance with this Regulation, the controller or processor should document each processing operation. Each controller and processor should be obliged to co-operate with the supervisory authority and make this documentation, on request, available to it, so that it might serve for monitoring those processing operations.
(66)
In order to maintain security and to prevent processing in breach of this Regulation, the controller or processor should evaluate the risks inherent to the processing and implement measures to mitigate those risks. These measures should ensure an appropriate level of security, taking into account the state of the art and the costs of their implementation in relation to the risks and the nature of the personal data to be
27 126
EN
protected. When establishing technical standards and organisational measures to ensure security of processing, the Commission should promote technological neutrality, interoperability and innovation, and, where appropriate, cooperate with third countries.
EN
(67)
A personal data breach may, if not addressed in an adequate and timely manner, result in substantial economic loss and social harm, including identity fraud, to the individual concerned. Therefore, as soon as the controller becomes aware that such a breach has occurred, the controller should notify the breach to the supervisory authority without undue delay and, where feasible, within 24 hours. Where this cannot achieved within 24 hours, an explanation of the reasons for the delay should accompany the notification. The individuals whose personal data could be adversely affected by the breach should be notified without undue delay in order to allow them to take the necessary precautions. A breach should be considered as adversely affecting the personal data or privacy of a data subject where it could result in, for example, identity theft or fraud, physical harm, significant humiliation or damage to reputation. The notification should describe the nature of the personal data breach as well as recommendations as well as recommendations for the individual concerned to mitigate potential adverse effects. Notifications to data subjects should be made as soon as reasonably feasible, and in close cooperation with the supervisory authority and respecting guidance provided by it or other relevant authorities (e.g. law enforcement authorities). For example, the chance for data subjects to mitigate an immediate risk of harm would call for a prompt notification of data subjects whereas the need to implement appropriate measures against continuing or similar data breaches may justify a longer delay.
(68)
In order to determine whether a personal data breach is notified to the supervisory authority and to the data subject without undue delay, it should be ascertained whether the controller has implemented and applied appropriate technological protection and organisational measures to establish immediately whether a personal data breach has taken place and to inform promptly the supervisory authority and the data subject, before a damage to personal and economic interests occurs, taking into account in particular the nature and gravity of the personal data breach and its consequences and adverse effects for the data subject.
(69)
In setting detailed rules concerning the format and procedures applicable to the notification of personal data breaches, due consideration should be given to the circumstances of the breach, including whether or not personal data had been protected by appropriate technical protection measures, effectively limiting the likelihood of identity fraud or other forms of misuse. Moreover, such rules and procedures should take into account the legitimate interests of law enforcement authorities in cases where early disclosure could unnecessarily hamper the investigation of the circumstances of a breach.
(70)
Directive 95/46/EC provided for a general obligation to notify processing of personal data to the supervisory authorities. While this obligation produces administrative and financial burdens, it did not in all cases contribute to improving the protection of personal data. Therefore such indiscriminate general notification obligation should be abolished, and replaced by effective procedures and mechanism which focus instead on those processing operations which are likely to present specific risks to the rights and freedoms of data subjects by virtue of their nature, their scope or their purposes. In
28 127
EN
such cases, a data protection impact assessment should be carried out by the controller or processor prior to the processing, which should include in particular the envisaged measures, safeguards and mechanisms for ensuring the protection of personal data and for demonstrating the compliance with this Regulation.
EN
(71)
This should in particular apply to newly established large scale filing systems, which aim at processing a considerable amount of personal data at regional, national or supranational level and which could affect a large number of data subjects.
(72)
There are circumstances under which it may be sensible and economic that the subject of a data protection impact assessment should be broader than a single project, for example where public authorities or bodies intend to establish a common application or processing platform or where several controllers plan to introduce a common application or processing environment across an industry sector or segment or for a widely used horizontal activity.
(73)
Data protection impact assessments should be carried out by a public authority or public body if such an assessment has not already been made in the context of the adoption of the national law on which the performance of the tasks of the public authority or public body is based and which regulates the specific processing operation or set of operations in question.
(74)
Where a data protection impact assessment indicates that processing operations involve a high degree of specific risks to the rights and freedoms of data subjects, such as excluding individuals from their right, or by the use of specific new technologies, the supervisory authority should be consulted, prior to the start of operations, on a risky processing which might not be in compliance with this Regulation, and to make proposals to remedy such situation. Such consultation should equally take place in the course of the preparation either of a measure by the national parliament or of a measure based on such legislative measure which defines the nature of the processing and lays down appropriate safeguards.
(75)
Where the processing is carried out in the public sector or where, in the private sector, processing is carried out by a large enterprise, or where its core activities, regardless of the size of the enterprise, involve processing operations which require regular and systematic monitoring, a person should assist the controller or processor to monitor internal compliance with this Regulation. Such data protection officers, whether or not an employee of the controller, should be in a position to perform their duties and tasks independently.
(76)
Associations or other bodies representing categories of controllers should be encouraged to draw up codes of conduct, within the limits of this Regulation, so as to facilitate the effective application of this Regulation, taking account of the specific characteristics of the processing carried out in certain sectors.
(77)
In order to enhance transparency and compliance with this Regulation, the establishment of certification mechanisms, data protection seals and marks should be encouraged, allowing data subjects to quickly assess the level of data protection of relevant products and services.
29 128
EN
EN
(78)
Cross-border flows of personal data are necessary for the expansion of international trade and international co-operation. The increase in these flows has raised new challenges and concerns with respect to the protection of personal data. However, when personal data are transferred from the Union to third countries or to international organisations, the level of protection of individuals guaranteed in the Union by this Regulation should not be undermined. In any event, transfers to third countries may only be carried out in full compliance with this Regulation.
(79)
This Regulation is without prejudice to international agreements concluded between the Union and third countries regulating the transfer of personal data including appropriate safeguards for the data subjects.
(80)
The Commission may decide with effect for the entire Union that certain third countries, or a territory or a processing sector within a third country, or an international organisation, offer an adequate level of data protection, thus providing legal certainty and uniformity throughout the Union as regards the third countries or international organisations which are considered to provide such level of protection. In these cases, transfers of personal data to these countries may take place without needing to obtain any further authorisation.
(81)
In line with the fundamental values on which the Union is founded, in particular the protection of human rights, the Commission should, in its assessment of the third country, take into account how a given third country respects the rule of law, access to justice as well as international human rights norms and standards.
(82)
The Commission may equally recognise that a third country, or a territory or a processing sector within a third country, or an international organisation offers no adequate level of data protection. Consequently the transfer of personal data to that third country should be prohibited. In that case, provision should be made for consultations between the Commission and such third countries or international organisations.
(83)
In the absence of an adequacy decision, the controller or processor should take measures to compensate for the lack of data protection in a third country by way of appropriate safeguards for the data subject. Such appropriate safeguards may consist of making use of binding corporate rules, standard data protection clauses adopted by the Commission, standard data protection clauses adopted by a supervisory authority or contractual clauses authorised by a supervisory authority, or other suitable and proportionate measures justified in the light of all the circumstances surrounding a data transfer operation or set of data transfer operations and where authorised by a supervisory authority.
(84)
The possibility for the controller or processor to use standard data protection clauses adopted by the Commission or by a supervisory authority should neither prevent the possibility for controllers or processors to include the standard data protection clauses in a wider contract nor to add other clauses as long as they do not contradict, directly or indirectly, the standard contractual clauses adopted by the Commission or by a supervisory authority or prejudice the fundamental rights or freedoms of the data subjects.
30 129
EN
EN
(85)
A corporate group should be able to make use of approved binding corporate rules for its international transfers from the Union to organisations within the same corporate group of undertakings, as long as such corporate rules include essential principles and enforceable rights to ensure appropriate safeguards for transfers or categories of transfers of personal data.
(86)
Provisions should be made for the possibility for transfers in certain circumstances where the data subject has given his consent, where the transfer is necessary in relation to a contract or a legal claim, where important grounds of public interest laid down by Union or Member State law so require or where the transfer is made from a register established by law and intended for consultation by the public or persons having a legitimate interest. In this latter case such a transfer should not involve the entirety of the data or entire categories of the data contained in the register and, when the register is intended for consultation by persons having a legitimate interest, the transfer should be made only at the request of those persons or if they are to be the recipients.
(87)
These derogations should in particular apply to data transfers required and necessary for the protection of important grounds of public interest, for example in cases of international data transfers between competition authorities, tax or customs administrations, financial supervisory authorities, between services competent for social security matters, or to competent authorities for the prevention, investigation, detection and prosecution of criminal offences.
(88)
Transfers which cannot be qualified as frequent or massive, could also be possible for the purposes of the legitimate interests pursued by the controller or the processor, when they have assessed all the circumstances surrounding the data transfer. For the purposes of processing for historical, statistical and scientific research purposes, the legitimate expectations of society for an increase of knowledge should be taken into consideration.
(89)
In any case, where the Commission has taken no decision on the adequate level of data protection in a third country, the controller or processor should make use of solutions that provide data subjects with a guarantee that they will continue to benefit from the fundamental rights and safeguards as regards processing of their data in the Union once this data has been transferred.
(90)
Some third countries enact laws, regulations and other legislative instruments which purport to directly regulate data processing activities of natural and legal persons under the jurisdiction of the Member States. The extraterritorial application of these laws, regulations and other legislative instruments may be in breach of international law and may impede the attainment of the protection of individuals guaranteed in the Union by this Regulation. . Transfers should only be allowed where the conditions of this Regulation for a transfer to third countries are met. This may inter alia be the case where the disclosure is necessary for an important ground of public interest recognised in Union law or in a Member State law to which the controller is subject. The conditions under which an important ground of public interest exists should be further specified by the Commission in a delegated act.
(91)
When personal data moves across borders it may put at increased risk the ability of individuals to exercise data protection rights in particular to protect themselves from the unlawful use or disclosure of that information. At the same time, supervisory
31 130
EN
authorities may find that they are unable to pursue complaints or conduct investigations relating to the activities outside their borders. Their efforts to work together in the cross-border context may also be hampered by insufficient preventative or remedial powers, inconsistent legal regimes, and practical obstacles like resource constraints. Therefore, there is a need to promote closer co-operation among data protection supervisory authorities to help them exchange information and carry out investigations with their international counterparts.
EN
(92)
The establishment of supervisory authorities in Member States, exercising their functions with complete independence, is an essential component of the protection of individuals with regard to the processing of their personal data. Member States may establish more than one supervisory authority, to reflect their constitutional, organisational and administrative structure.
(93)
Where a Member State establishes several supervisory authorities, it should establish by law mechanisms for ensuring the effective participation of those supervisory authorities in the consistency mechanism. That Member State should in particular designate the supervisory authority which functions as a single contact point for the effective participation of those authorities in the mechanism, to ensure swift and smooth co-operation with other supervisory authorities, the European Data Protection Board and the Commission.
(94)
Each supervisory authority should be provided with the adequate financial and human resources, premises and infrastructure, which is necessary for the effective performance of their tasks, including for the tasks related to mutual assistance and cooperation with other supervisory authorities throughout the Union.
(95)
The general conditions for the members of the supervisory authority should be laid down by law in each Member State and should in particular provide that those members should be either appointed by the parliament or the government of the Member State, and include rules on the personal qualification of the members and the position of those members.
(96)
The supervisory authorities should monitor the application of the provisions pursuant to this Regulation and contribute to its consistent application throughout the Union, in order to protect natural persons in relation to the processing of their personal data and to facilitate the free flow of personal data within the internal market. For that purpose, the supervisory authorities should co-operate with each other and the Commission.
(97)
Where the processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union takes place in more than one Member State, one single supervisory authority should be competent for monitoring the activities of the controller or processor throughout the Union and taking the related decisions, in order to increase the consistent application, provide legal certainty and reduce administrative burden for such controllers and processors.
(98)
The competent authority, providing such one-stop shop, should be the supervisory authority of the Member State in which the controller or processor has its main establishment.
32 131
EN
(99)
While this Regulation applies also to the activities of national courts, the competence of the supervisory authorities should not cover the processing of personal data when courts are acting in their judicial capacity, in order to safeguard the independence of judges in the performance of their judicial tasks. However, this exemption should be strictly limited to genuine judicial activities in court cases and not apply to other activities where judges might be involved in, in accordance with national law.
(100) In order to ensure consistent monitoring and enforcement of this Regulation throughout the Union, the supervisory authorities should have in each Member State the same duties and effective powers, including powers of investigation, legally binding intervention, decisions and sanctions, particularly in cases of complaints from individuals, and to engage in legal proceedings. Investigative powers of supervisory authorities as regards access to premises should be exercised in conformity with Union law and national law. This concerns in particular the requirement to obtain a prior judicial authorisation. (101) Each supervisory authority should hear complaints lodged by any data subject and should investigate the matter. The investigation following a complaint should be carried out, subject to judicial review, to the extent that is appropriate in the specific case. The supervisory authority should inform the data subject of the progress and the outcome of the complaint within a reasonable period. If the case requires further investigation or coordination with another supervisory authority, intermediate information should be given to the data subject. (102) Awareness raising activities by supervisory authorities addressed to the public should include specific measures directed at controllers and processors, including micro, small and medium-sized enterprises, as well as data subjects. (103) The supervisory authorities should assist each other in performing their duties and provide mutual assistance, so as to ensure the consistent application and enforcement of this Regulation in the internal market. (104) Each supervisory authority should have the right to participate in joint operations between supervisory authorities. The requested supervisory authority should be obliged to respond to the request in a defined time period. (105) In order to ensure the consistent application of this Regulation throughout the Union, a consistency mechanism for co-operation between the supervisory authorities themselves and the Commission should be established. This mechanism should in particular apply where a supervisory authority intends to take a measure as regards processing operations that are related to the offering of goods or services to data subjects in several Member States, , or to the monitoring such data subjects, or that might substantially affect the free flow of personal data. It should also apply where any supervisory authority or the Commission requests that the matter should be dealt with in the consistency mechanism. This mechanism should be without prejudice to any measures that the Commission may take in the exercise of its powers under the Treaties. (106) In application of the consistency mechanism, the European Data Protection Board should, within a determined period of time, issue an opinion, if a simple majority of its
EN
33 132
EN
members so decides or if so requested by any supervisory authority or the Commission. (107) In order to ensure compliance with this Regulation, the Commission may adopt an opinion on this matter, or a decision, requiring the supervisory authority to suspend its draft measure. (108) There may be an urgent need to act in order to protect the interests of data subjects, in particular when the danger exists that the enforcement of a right of a data subject could be considerably impeded. Therefore, a supervisory authority should be able to adopt provisional measures with a specified period of validity when applying the consistency mechanism. (109) The application of this mechanism should be a condition for the legal validity and enforcement of the respective decision by a supervisory authority. In other cases of cross-border relevance, mutual assistance and joint investigations might be carried out between the concerned supervisory authorities on a bilateral or multilateral basis without triggering the consistency mechanism. (110) At Union level, a European Data Protection Board should be set up. It should replace the Working Party on the Protection of Individuals with Regard to the Processing of Personal Data established by Directive 95/46/EC. It should consist of a head of a supervisory authority of each Member State and of the European Data Protection Supervisor. The Commission should participate in its activities. The European Data Protection Board should contribute to the consistent application of this Regulation throughout the Union, including by advising the Commission and promoting cooperation of the supervisory authorities throughout the Union. The European Data Protection Board should act independently when exercising its tasks. (111) Every data subject should have the right to lodge a complaint with a supervisory authority in any Member State and have the right to a judicial remedy if they consider that their rights under this Regulation are infringed or where the supervisory authority does not react on a complaint or does not act where such action is necessary to protect the rights of the data subject. (112) Any body, organisation or association which aims to protects the rights and interests of data subjects in relation to the protection of their data and is constituted according to the law of a Member State should have the right to lodge a complaint with a supervisory authority or exercise the right to a judicial remedy on behalf of data subjects, or to lodge, independently of a data subject's complaint, an own complaint where it considers that a personal data breach has occurred. (113) Each natural or legal person should have the right to a judicial remedy against decisions of a supervisory authority concerning them. Proceedings against a supervisory authority should be brought before the courts of the Member State, where the supervisory authority is established. (114) In order to strengthen the judicial protection of the data subject in situations where the competent supervisory authority is established in another Member State than the one where the data subject is residing, the data subject may request any body, organisation or association aiming to protect the rights and interests of data subjects in relation to
EN
34 133
EN
the protection of their data to bring on the data subject's behalf proceedings against that supervisory authority to the competent court in the other Member State. (115) In situations where the competent supervisory authority established in another Member State does not act or has taken insufficient measures in relation to a complaint, the data subject may request the supervisory authority in the Member State of his or her habitual residence to bring proceedings against that supervisory authority to the competent court in the other Member State. The requested supervisory authority may decide, subject to judicial review, whether it is appropriate to follow the request or not. (116) For proceedings against a controller or processor, the plaintiff should have the choice to bring the action before the courts of the Member States where the controller or processor has an establishment or where the data subject resides, unless the controller is a public authority acting in the exercise of its public powers. (117) Where there are indications that parallel proceedings are pending before the courts in different Member States, the courts should be obliged to contact each other. The courts should have the possibility to suspend a case where a parallel case is pending in another Member State. Member States should ensure that court actions, in order to be effective, should allow the rapid adoption of measures to remedy or prevent an infringement of this Regulation. (118) Any damage which a person may suffer as a result of unlawful processing should be compensated by the controller or processor, who may be exempted from liability if they prove that they are not responsible for the damage, in particular where he establishes fault on the part of the data subject or in case of force majeure. (119) Penalties should be imposed to any person, whether governed by private or public law, who fails to comply with this Regulation. Member States should ensure that the penalties should be effective, proportionate and dissuasive and should take all measures to implement the penalties. (120) In order to strengthen and harmonise administrative sanctions against infringements of this Regulation, each supervisory authority should have the power to sanction administrative offences. This Regulation should indicate these offences and the upper limit for the related administrative fines, which should be fixed in each individual case proportionate to the specific situation, with due regard in particular to the nature, gravity and duration of the breach. The consistency mechanism may also be used to cover divergences in the application of administrative sanctions. (121) The processing of personal data solely for journalistic purposes, or for the purposes of artistic or literary expression should qualify for exemption from the requirements of certain provisions of this Regulation in order to reconcile the right to the protection of personal data with the right to freedom of expression, and notably the right to receive and impart information, as guaranteed in particular by Article 11 of the Charter of Fundamental Rights of the European Union. This should apply in particular to processing of personal data in the audiovisual field and in news archives and press libraries. Therefore, Member States should adopt legislative measures, which should lay down exemptions and derogations which are necessary for the purpose of balancing these fundamental rights. Such exemptions and derogations should be
EN
35 134
EN
adopted by the Member States on general principles, on the rights of the data subject, on controller and processor, on the transfer of data to third countries or international organisations, on the independent supervisory authorities and on co-operation and consistency. This should not, however, lead Member States to lay down exemptions from the other provisions of this Regulation. In order to take account of the importance of the right to freedom of expression in every democratic society, it is necessary to interpret notions relating to that freedom, such as journalism, broadly. Therefore, Member States should classify activities as "journalistic" for the purpose of the exemptions and derogations to be laid down under this Regulation if the object of these activities is the disclosure to the public of information, opinions or ideas, irrespective of the medium which is used to transmit them. They should not be limited to media undertakings and may be undertaken for profit-making or for non-profit making purposes. (122) The processing of personal data concerning health, as a special category of data which deserves higher protection, may often be justified by a number of legitimate reasons for the benefit of individuals and society as a whole, in particular in the context of ensuring continuity of cross-border healthcare. Therefore this Regulation should provide for harmonised conditions for the processing of personal data concerning health, subject to specific and suitable safeguards so as to protect the fundamental rights and the personal data of individuals. This includes the right for individuals to have access to their personal data concerning their health, for example the data in their medical records containing such information as diagnosis, examination results, assessments by treating physicians and any treatment or interventions provided. (123) The processing of personal data concerning health may be necessary for reasons of public interest in the areas of public health, without consent of the data subject. In that context, ‘public health’ should be interpreted as defined in Regulation (EC) No 1338/2008 of the European Parliament and of the Council of 16 December 2008 on Community statistics on public health and health and safety at work, meaning all elements related to health, namely health status, including morbidity and disability, the determinants having an effect on that health status, health care needs, resources allocated to health care, the provision of, and universal access to, health care as well as health care expenditure and financing, and the causes of mortality. Such processing of personal data concerning health for reasons of public interest should not result in personal data being processed for other purposes by third parties such as employers, insurance and banking companies. (124) The general principles on the protection of individuals with regard to the processing of personal data should also be applicable to the employment context. Therefore, in order to regulate the processing of employees' personal data in the employment context, Member States should be able, within the limits of this Regulation, to adopt by law specific rules for the processing of personal data in the employment sector. (125) The processing of personal data for the purposes of historical, statistical or scientific research should, in order to be lawful, also respect other relevant legislation such as on clinical trials. (126) Scientific research for the purposes of this Regulation should include fundamental research, applied research, and privately funded research and in addition should take
EN
36 135
EN
into account the Union's objective under Article 179(1) of the Treaty on the Functioning of the European Union of achieving a European Research Area. (127) As regards the powers of the supervisory authorities to obtain from the controller or processor access personal data and access to its premises, Member States may adopt by law, within the limits of this Regulation, specific rules in order to safeguard the professional or other equivalent secrecy obligations, in so far as necessary to reconcile the right to the protection of personal data with an obligation of professional secrecy. (128) This Regulation respects and does not prejudice the status under national law of churches and religious associations or communities in the Member States, as recognised in Article 17 of the Treaty on the Functioning of the European Union. As a consequence, where a church in a Member State applies, at the time of entry into force of this Regulation, comprehensive rules relating to the protection of individuals with regard to the processing of personal data, these existing rules should continue to apply if they are brought in line with this Regulation. Such churches and religious associations should be required to provide for the establishment of a completely independent supervisory authority. (129) In order to fulfil the objectives of this Regulation, namely to protect the fundamental rights and freedoms of natural persons and in particular their right to the protection of personal data and to ensure the free movement of personal data within the Union, the power to adopt acts in accordance with Article 290 of the Treaty on the Functioning of the European Union should be delegated to the Commission. In particular, delegated acts should be adopted in respect of lawfulness of processing; specifying the criteria and conditions in relation to the consent of a child; processing of special categories of data; specifying the criteria and conditions for manifestly excessive requests and fees for exercising the rights of the data subject; criteria and requirements for the information to the data subject and in relation to the right of access; the right to be forgotten and to erasure; measures based on profiling; criteria and requirements in relation to the responsibility of the controller and to data protection by design and by default; a processor; criteria and requirements for the documentation and the security of processing; criteria and requirements for establishing a personal data breach and for its notification to the supervisory authority, and on the circumstances where a personal data breach is likely to adversely affect the data subject; the criteria and conditions for processing operations requiring a data protection impact assessment; the criteria and requirements for determining a high degree of specific risks which require prior consultation; designation and tasks of the data protection officer; codes of conduct; criteria and requirements for certification mechanisms; criteria and requirements for transfers by way of binding corporate rules; transfer derogations; administrative sanctions; processing for health purposes; processing in the employment context and processing for historical, statistical and scientific research purposes. It is of particular importance that the Commission carry out appropriate consultations during its preparatory work, including at expert level. The Commission, when preparing and drawing-up delegated acts, should ensure a simultaneous, timely and appropriate transmission of relevant documents to the European Parliament and Council. (130) In order to ensure uniform conditions for the implementation of this Regulation, implementing powers should be conferred on the Commission for: specifying standard forms in relation to the processing of personal data of a child; standard procedures and forms for exercising the rights of data subjects; standard forms for the information to
EN
37 136
EN
the data subject; standard forms and procedures in relation to the right of access; the right to data portability; standard forms in relation to the responsibility of the controller to data protection by design and by default and to the documentation; specific requirements for the security of processing; the standard format and the procedures for the notification of a personal data breach to the supervisory authority and the communication of a personal data breach to the data subject; standards and procedures for a data protection impact assessment; forms and procedures for prior authorisation and prior consultation; technical standards and mechanisms for certification; the adequate level of protection afforded by a third country or a territory or a processing sector within that third country or an international organisation; disclosures not authorized by Union law; mutual assistance; joint operations; decisions under the consistency mechanism. Those powers should be exercised in accordance with Regulation (EU) No 182/2011 of the European Parliament and of the Council of 16 February 2011 laying down the rules and general principles concerning mechanisms for control by the Member States of the Commission's exercise of implementing powers45. In this context, the Commission should consider specific measures for micro, small and medium-sized enterprises. (131) The examination procedure should be used for the adoption of specifying standard forms in relation to the consent of a child; standard procedures and forms for exercising the rights of data subjects; standard forms for the information to the data subject; standard forms and procedures in relation to the right of access;, the right to data portability; standard forms in relation to the responsibility of the controller to data protection by design and by default and to the documentation; specific requirements for the security of processing; the standard format and the procedures for the notification of a personal data breach to the supervisory authority and the communication of a personal data breach to the data subject; standards and procedures for a data protection impact assessment; forms and procedures for prior authorisation and prior consultation; technical standards and mechanisms for certification; the adequate level of protection afforded by a third country or a territory or a processing sector within that third country or an international organisation; disclosures not authorized by Union law; mutual assistance; joint operations; decisions under the consistency mechanism, given that those acts are of general scope. (132) The Commission should adopt immediately applicable implementing acts where, in duly justified cases relating to a third country or a territory or a processing sector within that third country or an international organisation which does not ensure an adequate level of protection and relating to matters communicated by supervisory authorities under the consistency mechanism, imperative grounds of urgency so require. (133) Since the objectives of this Regulation, namely to ensure an equivalent level of protection of individuals and the free flow of data throughout the Union, cannot be sufficiently achieved by the Member States and can therefore, by reason of the scale or effects of the action, be better achieved at Union level, the Union may adopt measures, in accordance with the principle of subsidiarity as set out in Article 5 of the Treaty on
45
EN
Regulation (EU) No 182/2011 of the European Parliament and of the Council of 16 February 2011 laying down the rules and general principles concerning mechanisms for control by Member States of the Commission’s exercise of implementing powers, OJ L 55, 28.2.2011, p. 13.
38 137
EN
European Union. In accordance with the principle of proportionality as set out in that Article, this Regulation does not go beyond what is necessary in order to achieve that objective. (134) Directive 95/46/EC should be repealed by this Regulation. However, Commission decisions adopted and authorisations by supervisory authorities based on Directive 95/46/EC should remain in force. (135) This Regulation should apply to all matters concerning the protection of fundamental rights and freedom vis-à -vis the processing of personal data, which are not subject to specific obligations with the same objective set out in Directive 2002/58/EC, including the obligations on the controller and the rights of individuals. In order to clarify the relationship between this Regulation and Directive 2002/58/EC, the latter Directive should be amended accordingly. (136) As regards Iceland and Norway, this Regulation constitutes a development of provisions of the Schengen acquis to the extent that it applies to the processing of personal data by authorities involved in the implementation of that acquis, as provided for by the Agreement concluded by the Council of the European Union and the Republic of Iceland and the Kingdom of Norway concerning the association of those two States with the implementation, application and development of the Schengen acquis46. (137) As regards Switzerland, this Regulation constitutes a development of provisions of the Schengen acquis to the extent that it applies to the processing of personal data by authorities involved in the implementation of that acquis, as provided for by the Agreement between the European Union, the European Community and the Swiss Confederation concerning the association of the Swiss Confederation with the implementation, application and development of the Schengen acquis47. (138) As regards Liechtenstein, this Regulation constitutes a development of provisions of the Schengen acquis to the extent that it applies to the processing of personal data by authorities involved in the implementation of that acquis, as provided for by the Protocol between the European Union, the European Community, the Swiss Confederation and the Principality of Liechtenstein on the accession of the Principality of Liechtenstein to the Agreement between the European Union, the European Community and the Swiss Confederation on the Swiss Confederation’s association with the implementation, application and development of the Schengen acquis48. (139) In view of the fact that, as underlined by the Court of Justice of the European Union, the right to the protection of personal data is not an absolute right, but must be considered in relation to its function in society and be balanced with other fundamental rights, in accordance with the principle of proportionality, this Regulation respects all fundamental rights and observes the principles recognised in the Charter of Fundamental Rights of the European Union as enshrined in the Treaties, notably the right to respect for private and family life, home and communications, the right to the protection of personal data, the freedom of thought, conscience and religion, the 46 47 48
EN
OJ L 176, 10.7.1999, p. 36. OJ L 53, 27.2.2008, p. 52. OJ L 160 of 18.6.2011, p. 19.
39 138
EN
freedom of expression and information, the freedom to conduct a business, the right to an effective remedy and to a fair trial as well as cultural, religious and linguistic diversity. HAVE ADOPTED THIS REGULATION:
CHAPTER I GENERAL PROVISIONS Article 1 Subject matter and objectives 1.
This Regulation lays down rules relating to the protection of individuals with regard to the processing of personal data and rules relating to the free movement of personal data.
2.
This Regulation protects the fundamental rights and freedoms of natural persons, and in particular their right to the protection of personal data.
3.
The free movement of personal data within the Union shall neither be restricted nor prohibited for reasons connected with the protection of individuals with regard to the processing of personal data. Article 2 Material scope
EN
1.
This Regulation applies to the processing of personal data wholly or partly by automated means, and to the processing other than by automated means of personal data which form part of a filing system or are intended to form part of a filing system.
2.
This Regulation does not apply to the processing of personal data: (a)
in the course of an activity which falls outside the scope of Union law, in particular concerning national security;
(b)
by the Union institutions, bodies, offices and agencies;
(c)
by the Member States when carrying out activities which fall within the scope of Chapter 2 of the Treaty on European Union;
(d)
by a natural person without any gainful interest in the course of its own exclusively personal or household activity;
(e)
by competent authorities for the purposes of prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties.
40 139
EN
3.
This Regulation shall be without prejudice to the application of Directive 2000/31/EC, in particular of the liability rules of intermediary service providers in Articles 12 to 15 of that Directive. Article 3 Territorial scope
1.
This Regulation applies to the processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union.
2.
This Regulation applies to the processing of personal data of data subjects residing in the Union by a controller not established in the Union, where the processing activities are related to:
3.
(a)
the offering of goods or services to such data subjects in the Union; or
(b)
the monitoring of their behaviour.
This Regulation applies to the processing of personal data by a controller not established in the Union, but in a place where the national law of a Member State applies by virtue of public international law. Article 4 Definitions
For the purposes of this Regulation:
EN
(1)
'data subject' means an identified natural person or a natural person who can be identified, directly or indirectly, by means reasonably likely to be used by the controller or by any other natural or legal person, in particular by reference to an identification number, location data, online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that person;
(2)
'personal data' means any information relating to a data subject;
(3)
'processing' means any operation or set of operations which is performed upon personal data or sets of personal data, whether or not by automated means, such as collection, recording, organization, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, erasure or destruction;
(4)
'filing system' means any structured set of personal data which are accessible according to specific criteria, whether centralized, decentralized or dispersed on a functional or geographical basis;
(5)
'controller' means the natural or legal person, public authority, agency or any other body which alone or jointly with others determines the purposes, conditions and means of the processing of personal data; where the purposes, conditions and means of processing are determined by Union law or Member State law, the controller or
41 140
EN
the specific criteria for his nomination may be designated by Union law or by Member State law;
EN
(6)
'processor' means a natural or legal person, public authority, agency or any other body which processes personal data on behalf of the controller;
(7)
'recipient' means a natural or legal person, public authority, agency or any other body to which the personal data are disclosed;
(8)
'the data subject's consent' means any freely given specific, informed and explicit indication of his or her wishes by which the data subject, either by a statement or by a clear affirmative action, signifies agreement to personal data relating to them being processed;
(9)
'personal data breach' means a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed;
(10)
'genetic data' means all data, of whatever type, concerning the characteristics of an individual which are inherited or acquired during early prenatal development;
(11)
'biometric data' means any data relating to the physical, physiological or behavioural characteristics of an individual which allow their unique identification, such as facial images, or dactyloscopic data;
(12)
‘data concerning health’ means any information which relates to the physical or mental health of an individual, or to the provision of health services to the individual;
(13)
‘main establishment’ means as regards the controller, the place of its establishment in the Union where the main decisions as to the purposes, conditions and means of the processing of personal data are taken; if no decisions as to the purposes, conditions and means of the processing of personal data are taken in the Union, the main establishment is the place where the main processing activities in the context of the activities of an establishment of a controller in the Union take place. As regards the processor, 'main establishment' means the place of its central administration in the Union;
(14)
‘representative’ means any natural or legal person established in the Union who, explicitly designated by the controller, acts and may be addressed by any supervisory authority and other bodies in the Union instead of the controller, with regard to the obligations of the controller under this Regulation;
(15)
‘enterprise’ means any entity engaged in an economic activity, irrespective of its legal form, thus including, in particular, natural and legal persons, partnerships or associations regularly engaged in an economic activity;
(16)
'group of undertakings' means a controlling undertaking and its controlled undertakings;
(17)
‘binding corporate rules’ means personal data protection policies which are adhered to by a controller or processor established on the territory of a Member State of the
42 141
EN
Union for transfers or a set of transfers of personal data to a controller or processor in one or more third countries within a group of undertakings; (18)
'child' means any person below the age of 18 years;
(19)
'supervisory authority' means a public authority which is established by a Member State in accordance with Article 46.
CHAPTER II PRINCIPLES Article 5 Principles relating to personal data processing Personal data must be: (a)
processed lawfully, fairly and in a transparent manner in relation to the data subject;
(b)
collected for specified, explicit and legitimate purposes and not further processed in a way incompatible with those purposes;
(c)
adequate, relevant, and limited to the minimum necessary in relation to the purposes for which they are processed; they shall only be processed if, and as long as, the purposes could not be fulfilled by processing information that does not involve personal data;
(d)
accurate and kept up to date; every reasonable step must be taken to ensure that personal data that are inaccurate, having regard to the purposes for which they are processed, are erased or rectified without delay;
(e)
kept in a form which permits identification of data subjects for no longer than is necessary for the purposes for which the personal data are processed; personal data may be stored for longer periods insofar as the data will be processed solely for historical, statistical or scientific research purposes in accordance with the rules and conditions of Article 83 and if a periodic review is carried out to assess the necessity to continue the storage;
(f)
processed under the responsibility and liability of the controller, who shall ensure and demonstrate for each processing operation the compliance with the provisions of this Regulation. Article 6 Lawfulness of processing
1.
EN
Processing of personal data shall be lawful only if and to the extent that at least one of the following applies:
43 142
EN
(a)
the data subject has given consent to the processing of their personal data for one or more specific purposes;
(b)
processing is necessary for the performance of a contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract;
(c)
processing is necessary for compliance with a legal obligation to which the controller is subject;
(d)
processing is necessary in order to protect the vital interests of the data subject;
(e)
processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller;
(f)
processing is necessary for the purposes of the legitimate interests pursued by a controller, except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject which require protection of personal data, in particular where the data subject is a child. This shall not apply to processing carried out by public authorities in the performance of their tasks.
2.
Processing of personal data which is necessary for the purposes of historical, statistical or scientific research shall be lawful subject to the conditions and safeguards referred to in Article 83.
3.
The basis of the processing referred to in points (c) and (e) of paragraph 1 must be provided for in: (a)
Union law, or
(b)
the law of the Member State to which the controller is subject.
The law of the Member State must meet an objective of public interest or must be necessary to protect the rights and freedoms of others, respect the essence of the right to the protection of personal data and be proportionate to the legitimate aim pursued.
EN
4.
Where the purpose of further processing is not compatible with the one for which the personal data have been collected, the processing must have a legal basis at least in one of the grounds referred to in points (a) to (e) of paragraph 1. This shall in particular apply to any change of terms and general conditions of a contract.
5.
The Commission shall be empowered to adopt delegated acts in accordance with Article 86 for the purpose of further specifying the conditions referred to in point (f) of paragraph 1 for various sectors and data processing situations, including as regards the processing of personal data related to a child.
44 143
EN
Article 7 Conditions for consent 1.
The controller shall bear the burden of proof for the data subject's consent to the processing of their personal data for specified purposes.
2.
If the data subject's consent is to be given in the context of a written declaration which also concerns another matter, the requirement to give consent must be presented distinguishable in its appearance from this other matter.
3.
The data subject shall have the right to withdraw his or her consent at any time. The withdrawal of consent shall not affect the lawfulness of processing based on consent before its withdrawal.
4.
Consent shall not provide a legal basis for the processing, where there is a significant imbalance between the position of the data subject and the controller. Article 8 Processing of personal data of a child
1.
For the purposes of this Regulation, in relation to the offering of information society services directly to a child, the processing of personal data of a child below the age of 13 years shall only be lawful if and to the extent that consent is given or authorised by the child's parent or custodian. The controller shall make reasonable efforts to obtain verifiable consent, taking into consideration available technology.
2.
Paragraph 1 shall not affect the general contract law of Member States such as the rules on the validity, formation or effect of a contract in relation to a child.
3.
The Commission shall be empowered to adopt delegated acts in accordance with Article 86 for the purpose of further specifying the criteria and requirements for the methods to obtain verifiable consent referred to in paragraph 1. In doing so, the Commission shall consider specific measures for micro, small and medium-sized enterprises.
4.
The Commission may lay down standard forms for specific methods to obtain verifiable consent referred to in paragraph 1. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 87(2). Article 9 Processing of special categories of personal data
EN
1.
The processing of personal data, revealing race or ethnic origin, political opinions, religion or beliefs, trade-union membership, and the processing of genetic data or data concerning health or sex life or criminal convictions or related security measures shall be prohibited.
2.
Paragraph 1 shall not apply where:
45 144
EN
3.
EN
(a)
the data subject has given consent to the processing of those personal data, subject to the conditions laid down in Articles 7 and 8, except where Union law or Member State law provide that the prohibition referred to in paragraph 1 may not be lifted by the data subject; or
(b)
processing is necessary for the purposes of carrying out the obligations and exercising specific rights of the controller in the field of employment law in so far as it is authorised by Union law or Member State law providing for adequate safeguards; or
(c)
processing is necessary to protect the vital interests of the data subject or of another person where the data subject is physically or legally incapable of giving consent; or
(d)
processing is carried out in the course of its legitimate activities with appropriate safeguards by a foundation, association or any other non-profitseeking body with a political, philosophical, religious or trade-union aim and on condition that the processing relates solely to the members or to former members of the body or to persons who have regular contact with it in connection with its purposes and that the data are not disclosed outside that body without the consent of the data subjects; or
(e)
the processing relates to personal data which are manifestly made public by the data subject; or
(f)
processing is necessary for the establishment, exercise or defence of legal claims; or
(g)
processing is necessary for the performance of a task carried out in the public interest, on the basis of Union law, or Member State law which shall provide for suitable measures to safeguard the data subject's legitimate interests; or
(h)
processing of data concerning health is necessary for health purposes and subject to the conditions and safeguards referred to in Article 81; or
(i)
processing is necessary for historical, statistical or scientific research purposes subject to the conditions and safeguards referred to in Article 83; or
(j)
processing of data relating to criminal convictions or related security measures is carried out either under the control of official authority or when the processing is necessary for compliance with a legal or regulatory obligation to which a controller is subject, or for the performance of a task carried out for important public interest reasons, and in so far as authorised by Union law or Member State law providing for adequate safeguards. A complete register of criminal convictions shall be kept only under the control of official authority.
The Commission shall be empowered to adopt delegated acts in accordance with Article 86 for the purpose of further specifying the criteria, conditions and appropriate safeguards for the processing of the special categories of personal data referred to in paragraph 1 and the exemptions laid down in paragraph 2.
46 145
EN
Article 10 Processing not allowing identification If the data processed by a controller do not permit the controller to identify a natural person, the controller shall not be obliged to acquire additional information in order to identify the data subject for the sole purpose of complying with any provision of this Regulation.
CHAPTER III RIGHTS OF THE DATA SUBJECT SECTION 1 TRANSPARENCY AND MODALITIES Article 11 Transparent information and communication 1.
The controller shall have transparent and easily accessible policies with regard to the processing of personal data and for the exercise of data subjects' rights.
2.
The controller shall provide any information and any communication relating to the processing of personal data to the data subject in an intelligible form, using clear and plain language, adapted to the data subject, in particular for any information addressed specifically to a child. Article 12 Procedures and mechanisms for exercising the rights of the data subject
EN
1.
The controller shall establish procedures for providing the information referred to in Article 14 and for the exercise of the rights of data subjects referred to in Article 13 and Articles 15 to 19. The controller shall provide in particular mechanisms for facilitating the request for the actions referred to in Article 13 and Articles 15 to 19. Where personal data are processed by automated means, the controller shall also provide means for requests to be made electronically.
2.
The controller shall inform the data subject without delay and, at the latest within one month of receipt of the request, whether or not any action has been taken pursuant to Article 13 and Articles 15 to 19 and shall provide the requested information. This period may be prolonged for a further month, if several data subjects exercise their rights and their cooperation is necessary to a reasonable extent to prevent an unnecessary and disproportionate effort on the part of the controller. The information shall be given in writing. Where the data subject makes the request in electronic form, the information shall be provided in electronic form, unless otherwise requested by the data subject.
3.
If the controller refuses to take action on the request of the data subject, the controller shall inform the data subject of the reasons for the refusal and on the possibilities of lodging a complaint to the supervisory authority and seeking a judicial remedy.
47 146
EN
4.
The information and the actions taken on requests referred to in paragraph 1 shall be free of charge. Where requests are manifestly excessive, in particular because of their repetitive character, the controller may charge a fee for providing the information or taking the action requested, or the controller may not take the action requested. In that case, the controller shall bear the burden of proving the manifestly excessive character of the request.
5.
The Commission shall be empowered to adopt delegated acts in accordance with Article 86 for the purpose of further specifying the criteria and conditions for the manifestly excessive requests and the fees referred to in paragraph 4.
6.
The Commission may lay down standard forms and specifying standard procedures for the communication referred to in paragraph 2, including the electronic format. In doing so, the Commission shall take the appropriate measures for micro, small and medium-sized enterprises. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 87(2). Article 13 Rights in relation to recipients
The controller shall communicate any rectification or erasure carried out in accordance with Articles 16 and 17 to each recipient to whom the data have been disclosed, unless this proves impossible or involves a disproportionate effort.
SECTION 2 INFORMATION AND ACCESS TO DATA Article 14 Information to the data subject 1.
EN
Where personal data relating to a data subject are collected, the controller shall provide the data subject with at least the following information: (a)
the identity and the contact details of the controller and, if any, of the controller's representative and of the data protection officer;
(b)
the purposes of the processing for which the personal data are intended, including the contract terms and general conditions where the processing is based on point (b) of Article 6(1) and the legitimate interests pursued by the controller where the processing is based on point (f) of Article 6(1);
(c)
the period for which the personal data will be stored;
(d)
the existence of the right to request from the controller access to and rectification or erasure of the personal data concerning the data subject or to object to the processing of such personal data;
(e)
the right to lodge a complaint to the supervisory authority and the contact details of the supervisory authority;
48 147
EN
the recipients or categories of recipients of the personal data;
(g)
where applicable, that the controller intends to transfer to a third country or international organisation and on the level of protection afforded by that third country or international organisation by reference to an adequacy decision by the Commission;
(h)
any further information necessary to guarantee fair processing in respect of the data subject, having regard to the specific circumstances in which the personal data are collected.
2.
Where the personal data are collected from the data subject, the controller shall inform the data subject, in addition to the information referred to in paragraph 1, whether the provision of personal data is obligatory or voluntary, as well as the possible consequences of failure to provide such data.
3.
Where the personal data are not collected from the data subject, the controller shall inform the data subject, in addition to the information referred to in paragraph 1, from which source the personal data originate.
4.
The controller shall provide the information referred to in paragraphs 1, 2 and 3:
5.
EN
(f)
(a)
at the time when the personal data are obtained from the data subject; or
(b)
where the personal data are not collected from the data subject, at the time of the recording or within a reasonable period after the collection, having regard to the specific circumstances in which the data are collected or otherwise processed, or, if a disclosure to another recipient is envisaged, and at the latest when the data are first disclosed.
Paragraphs 1 to 4 shall not apply, where: (a)
the data subject has already the information referred to in paragraphs 1, 2 and 3; or
(b)
the data are not collected from the data subject and the provision of such information proves impossible or would involve a disproportionate effort; or
(c)
the data are not collected from the data subject and recording or disclosure is expressly laid down by law; or
(d)
the data are not collected from the data subject and the provision of such information will impair the rights and freedoms of others, as defined in Union law or Member State law in accordance with Article 21.
6.
In the case referred to in point (b) of paragraph 5, the controller shall provide appropriate measures to protect the data subject's legitimate interests.
7.
The Commission shall be empowered to adopt delegated acts in accordance with Article 86 for the purpose of further specifying the criteria for categories of recipients referred to in point (f) of paragraph 1, the requirements for the notice of potential access referred to in point (g) of paragraph 1, the criteria for the further
49 148
EN
information necessary referred to in point (h) of paragraph 1 for specific sectors and situations, and the conditions and appropriate safeguards for the exceptions laid down in point (b) of paragraph 5. In doing so, the Commission shall take the appropriate measures for micro, small and medium-sized-enterprises. 8.
The Commission may lay down standard forms for providing the information referred to in paragraphs 1 to 3, taking into account the specific characteristics and needs of various sectors and data processing situations where necessary. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 87(2). Article 15 Right of access for the data subject
1.
EN
The data subject shall have the right to obtain from the controller at any time, on request, confirmation as to whether or not personal data relating to the data subject are being processed. Where such personal data are being processed, the controller shall provide the following information: (a)
the purposes of the processing;
(b)
the categories of personal data concerned;
(c)
the recipients or categories of recipients to whom the personal data are to be or have been disclosed, in particular to recipients in third countries;
(d)
the period for which the personal data will be stored;
(e)
the existence of the right to request from the controller rectification or erasure of personal data concerning the data subject or to object to the processing of such personal data;
(f)
the right to lodge a complaint to the supervisory authority and the contact details of the supervisory authority;
(g)
communication of the personal data undergoing processing and of any available information as to their source;
(h)
the significance and envisaged consequences of such processing, at least in the case of measures referred to in Article 20.
2.
The data subject shall have the right to obtain from the controller communication of the personal data undergoing processing. Where the data subject makes the request in electronic form, the information shall be provided in electronic form, unless otherwise requested by the data subject.
3.
The Commission shall be empowered to adopt delegated acts in accordance with Article 86 for the purpose of further specifying the criteria and requirements for the communication to the data subject of the content of the personal data referred to in point (g) of paragraph 1.
50 149
EN
4.
The Commission may specify standard forms and procedures for requesting and granting access to the information referred to in paragraph 1, including for verification of the identity of the data subject and communicating the personal data to the data subject, taking into account the specific features and necessities of various sectors and data processing situations. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 87(2).
SECTION 3 RECTIFICATION AND ERASURE
Article 16 Right to rectification The data subject shall have the right to obtain from the controller the rectification of personal data relating to them which are inaccurate. The data subject shall have the right to obtain completion of incomplete personal data, including by way of supplementing a corrective statement. Article 17 Right to be forgotten and to erasure 1.
2.
EN
The data subject shall have the right to obtain from the controller the erasure of personal data relating to them and the abstention from further dissemination of such data, especially in relation to personal data which are made available by the data subject while he or she was a child, where one of the following grounds applies: (a)
the data are no longer necessary in relation to the purposes for which they were collected or otherwise processed;
(b)
the data subject withdraws consent on which the processing is based according to point (a) of Article 6(1), or when the storage period consented to has expired, and where there is no other legal ground for the processing of the data;
(c)
the data subject objects to the processing of personal data pursuant to Article 19;
(d)
the processing of the data does not comply with this Regulation for other reasons.
Where the controller referred to in paragraph 1 has made the personal data public, it shall take all reasonable steps, including technical measures, in relation to data for the publication of which the controller is responsible, to inform third parties which are processing such data, that a data subject requests them to erase any links to, or copy or replication of that personal data. Where the controller has authorised a third party publication of personal data, the controller shall be considered responsible for that publication.
51 150
EN
3.
4.
The controller shall carry out the erasure without delay, except to the extent that the retention of the personal data is necessary: (a)
for exercising the right of freedom of expression in accordance with Article 80;
(b)
for reasons of public interest in the area of public health in accordance with Article 81;
(c)
for historical, statistical and scientific research purposes in accordance with Article 83;
(d)
for compliance with a legal obligation to retain the personal data by Union or Member State law to which the controller is subject; Member State laws shall meet an objective of public interest, respect the essence of the right to the protection of personal data and be proportionate to the legitimate aim pursued;
(e)
in the cases referred to in paragraph 4.
Instead of erasure, the controller shall restrict processing of personal data where: (a)
their accuracy is contested by the data subject, for a period enabling the controller to verify the accuracy of the data;
(b)
the controller no longer needs the personal data for the accomplishment of its task but they have to be maintained for purposes of proof;
(c)
the processing is unlawful and the data subject opposes their erasure and requests the restriction of their use instead;
(d)
the data subject requests to transmit the personal data into another automated processing system in accordance with Article 18(2).
5.
Personal data referred to in paragraph 4 may, with the exception of storage, only be processed for purposes of proof, or with the data subject's consent, or for the protection of the rights of another natural or legal person or for an objective of public interest.
6.
Where processing of personal data is restricted pursuant to paragraph 4, the controller shall inform the data subject before lifting the restriction on processing.
7.
The controller shall implement mechanisms to ensure that the time limits established for the erasure of personal data and/or for a periodic review of the need for the storage of the data are observed.
8.
Where the erasure is carried out, the controller shall not otherwise process such personal data.
9.
The Commission shall be empowered to adopt delegated acts in accordance with Article 86 for the purpose of further specifying: (a)
EN
the criteria and requirements for the application of paragraph 1 for specific sectors and in specific data processing situations;
52 151
EN
(b)
the conditions for deleting links, copies or replications of personal data from publicly available communication services as referred to in paragraph 2;
(c)
the criteria and conditions for restricting the processing of personal data referred to in paragraph 4. Article 18 Right to data portability
1.
The data subject shall have the right, where personal data are processed by electronic means and in a structured and commonly used format, to obtain from the controller a copy of data undergoing processing in an electronic and structured format which is commonly used and allows for further use by the data subject.
2.
Where the data subject has provided the personal data and the processing is based on consent or on a contract, the data subject shall have the right to transmit those personal data and any other information provided by the data subject and retained by an automated processing system, into another one, in an electronic format which is commonly used, without hindrance from the controller from whom the personal data are withdrawn.
3.
The Commission may specify the electronic format referred to in paragraph 1 and the technical standards, modalities and procedures for the transmission of personal data pursuant to paragraph 2. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 87(2).
SECTION 4 RIGHT TO OBJECT AND PROFILING
Article 19 Right to object
EN
1.
The data subject shall have the right to object, on grounds relating to their particular situation, at any time to the processing of personal data which is based on points (d), (e) and (f) of Article 6(1), unless the controller demonstrates compelling legitimate grounds for the processing which override the interests or fundamental rights and freedoms of the data subject.
2.
Where personal data are processed for direct marketing purposes, the data subject shall have the right to object free of charge to the processing of their personal data for such marketing. This right shall be explicitly offered to the data subject in an intelligible manner and shall be clearly distinguishable from other information.
3.
Where an objection is upheld pursuant to paragraphs 1 and 2, the controller shall no longer use or otherwise process the personal data concerned.
53 152
EN
Article 20 Measures based on profiling 1.
Every natural person shall have the right not to be subject to a measure which produces legal effects concerning this natural person or significantly affects this natural person, and which is based solely on automated processing intended to evaluate certain personal aspects relating to this natural person or to analyse or predict in particular the natural person's performance at work, economic situation, location, health, personal preferences, reliability or behaviour.
2.
Subject to the other provisions of this Regulation, a person may be subjected to a measure of the kind referred to in paragraph 1 only if the processing: (a)
is carried out in the course of the entering into, or performance of, a contract, where the request for the entering into or the performance of the contract, lodged by the data subject, has been satisfied or where suitable measures to safeguard the data subject's legitimate interests have been adduced, such as the right to obtain human intervention; or
(b)
is expressly authorized by a Union or Member State law which also lays down suitable measures to safeguard the data subject's legitimate interests; or
(c)
is based on the data subject's consent, subject to the conditions laid down in Article 7 and to suitable safeguards.
3.
Automated processing of personal data intended to evaluate certain personal aspects relating to a natural person shall not be based solely on the special categories of personal data referred to in Article 9.
4.
In the cases referred to in paragraph 2, the information to be provided by the controller under Article 14 shall include information as to the existence of processing for a measure of the kind referred to in paragraph 1 and the envisaged effects of such processing on the data subject.
5.
The Commission shall be empowered to adopt delegated acts in accordance with Article 86 for the purpose of further specifying the criteria and conditions for suitable measures to safeguard the data subject's legitimate interests referred to in paragraph 2.
SECTION 5 RESTRICTIONS
Article 21 Restrictions 1.
EN
Union or Member State law may restrict by way of a legislative measure the scope of the obligations and rights provided for in points (a) to (e) of Article 5 and Articles 11 to 20 and Article 32, when such a restriction constitutes a necessary and proportionate measure in a democratic society to safeguard:
54 153
EN
2.
(a)
public security;
(b)
the prevention, investigation, detection and prosecution of criminal offences;
(c)
other public interests of the Union or of a Member State, in particular an important economic or financial interest of the Union or of a Member State, including monetary, budgetary and taxation matters and the protection of market stability and integrity;
(d)
the prevention, investigation, detection and prosecution of breaches of ethics for regulated professions;
(e)
a monitoring, inspection or regulatory function connected, even occasionally, with the exercise of official authority in cases referred to in (a), (b), (c) and (d);
(f)
the protection of the data subject or the rights and freedoms of others.
In particular, any legislative measure referred to in paragraph 1 shall contain specific provisions at least as to the objectives to be pursued by the processing and the determination of the controller.
CHAPTER IV CONTROLLER AND PROCESSOR SECTION 1 GENERAL OBLIGATIONS Article 22 Responsibility of the controller 1.
The controller shall adopt policies and implement appropriate measures to ensure and be able to demonstrate that the processing of personal data is performed in compliance with this Regulation.
2.
The measures provided for in paragraph 1 shall in particular include:
3.
EN
(a)
keeping the documentation pursuant to Article 28;
(b)
implementing the data security requirements laid down in Article 30;
(c)
performing a data protection impact assessment pursuant to Article 33;
(d)
complying with the requirements for prior authorisation or prior consultation of the supervisory authority pursuant to Article 34(1) and (2);
(e)
designating a data protection officer pursuant to Article 35(1).
The controller shall implement mechanisms to ensure the verification of the effectiveness of the measures referred to in paragraphs 1 and 2. If proportionate, this verification shall be carried out by independent internal or external auditors.
55 154
EN
4.
The Commission shall be empowered to adopt delegated acts in accordance with Article 86 for the purpose of specifying any further criteria and requirements for appropriate measures referred to in paragraph 1 other than those already referred to in paragraph 2, the conditions for the verification and auditing mechanisms referred to in paragraph 3 and as regards the criteria for proportionality under paragraph 3, and considering specific measures for micro, small and medium-sized-enterprises. Article 23 Data protection by design and by default
1.
Having regard to the state of the art and the cost of implementation, the controller shall, both at the time of the determination of the means for processing and at the time of the processing itself, implement appropriate technical and organisational measures and procedures in such a way that the processing will meet the requirements of this Regulation and ensure the protection of the rights of the data subject.
2.
The controller shall implement mechanisms for ensuring that, by default, only those personal data are processed which are necessary for each specific purpose of the processing and are especially not collected or retained beyond the minimum necessary for those purposes, both in terms of the amount of the data and the time of their storage. In particular, those mechanisms shall ensure that by default personal data are not made accessible to an indefinite number of individuals.
3.
The Commission shall be empowered to adopt delegated acts in accordance with Article 86 for the purpose of specifying any further criteria and requirements for appropriate measures and mechanisms referred to in paragraph 1 and 2, in particular for data protection by design requirements applicable across sectors, products and services.
4.
The Commission may lay down technical standards for the requirements laid down in paragraph 1 and 2. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 87(2). Article 24 Joint controllers
Where a controller determines the purposes, conditions and means of the processing of personal data jointly with others, the joint controllers shall determine their respective responsibilities for compliance with the obligations under this Regulation, in particular as regards the procedures and mechanisms for exercising the rights of the data subject, by means of an arrangement between them. Article 25 Representatives of controllers not established in the Union 1.
EN
In the situation referred to in Article 3(2), the controller shall designate a representative in the Union.
56 155
EN
2.
This obligation shall not apply to: (a)
a controller established in a third country where the Commission has decided that the third country ensures an adequate level of protection in accordance with Article 41; or
(b)
an enterprise employing fewer than 250 persons; or
(c)
a public authority or body; or
(d)
a controller offering only occasionally goods or services to data subjects residing in the Union.
3.
The representative shall be established in one of those Member States where the data subjects whose personal data are processed in relation to the offering of goods or services to them, or whose behaviour is monitored, reside.
4.
The designation of a representative by the controller shall be without prejudice to legal actions which could be initiated against the controller itself. Article 26 Processor
EN
1.
Where a processing operation is to be carried out on behalf of a controller, the controller shall choose a processor providing sufficient guarantees to implement appropriate technical and organisational measures and procedures in such a way that the processing will meet the requirements of this Regulation and ensure the protection of the rights of the data subject, in particular in respect of the technical security measures and organizational measures governing the processing to be carried out and shall ensure compliance with those measures.
2.
The carrying out of processing by a processor shall be governed by a contract or other legal act binding the processor to the controller and stipulating in particular that the processor shall: (a)
act only on instructions from the controller, in particular, where the transfer of the personal data used is prohibited;
(b)
employ only staff who have committed themselves to confidentiality or are under a statutory obligation of confidentiality;
(c)
take all required measures pursuant to Article 30;
(d)
enlist another processor only with the prior permission of the controller;
(e)
insofar as this is possible given the nature of the processing, create in agreement with the controller the necessary technical and organisational requirements for the fulfilment of the controller’s obligation to respond to requests for exercising the data subject’s rights laid down in Chapter III;
57 156
EN
(f)
assist the controller in ensuring compliance with the obligations pursuant to Articles 30 to 34;
(g)
hand over all results to the controller after the end of the processing and not process the personal data otherwise;
(h)
make available to the controller and the supervisory authority all information necessary to control compliance with the obligations laid down in this Article.
3.
The controller and the processor shall document in writing the controller's instructions and the processor's obligations referred to in paragraph 2.
4.
If a processor processes personal data other than as instructed by the controller, the processor shall be considered to be a controller in respect of that processing and shall be subject to the rules on joint controllers laid down in Article 24.
5.
The Commission shall be empowered to adopt delegated acts in accordance with Article 86 for the purpose of further specifying the criteria and requirements for the responsibilities, duties and tasks in relation to a processor in line with paragraph 1, and conditions which allow facilitating the processing of personal data within a group of undertakings, in particular for the purposes of control and reporting. Article 27 Processing under the authority of the controller and processor
The processor and any person acting under the authority of the controller or of the processor who has access to personal data shall not process them except on instructions from the controller, unless required to do so by Union or Member State law. Article 28 Documentation
EN
1.
Each controller and processor and, if any, the controller's representative, shall maintain documentation of all processing operations under its responsibility.
2.
The documentation shall contain at least the following information: (a)
the name and contact details of the controller, or any joint controller or processor, and of the representative, if any;
(b)
the name and contact details of the data protection officer, if any;
(c)
the purposes of the processing, including the legitimate interests pursued by the controller where the processing is based on point (f) of Article 6(1);
(d)
a description of categories of data subjects and of the categories of personal data relating to them;
58 157
EN
(e)
the recipients or categories of recipients of the personal data, including the controllers to whom personal data are disclosed for the legitimate interest pursued by them;
(f)
where applicable, transfers of data to a third country or an international organisation, including the identification of that third country or international organisation and, in case of transfers referred to in point (h) of Article 44(1), the documentation of appropriate safeguards;
(g)
a general indication of the time limits for erasure of the different categories of data;
(h)
the description of the mechanisms referred to in Article 22(3).
3.
The controller and the processor and, if any, the controller's representative, shall make the documentation available, on request, to the supervisory authority.
4.
The obligations referred to in paragraphs 1 and 2 shall not apply to the following controllers and processors: (a)
a natural person processing personal data without a commercial interest; or
(b)
an enterprise or an organisation employing fewer than 250 persons that is processing personal data only as an activity ancillary to its main activities.
5.
The Commission shall be empowered to adopt delegated acts in accordance with Article 86 for the purpose of further specifying the criteria and requirements for the documentation referred to in paragraph 1, to take account of in particular the responsibilities of the controller and the processor and, if any, the controller's representative.
6.
The Commission may lay down standard forms for the documentation referred to in paragraph 1. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 87(2). Article 29 Co-operation with the supervisory authority
EN
1.
The controller and the processor and, if any, the representative of the controller, shall co-operate, on request, with the supervisory authority in the performance of its duties, in particular by providing the information referred to in point (a) of Article 53(2) and by granting access as provided in point (b) of that paragraph.
2.
In response to the supervisory authority's exercise of its powers under Article 53(2), the controller and the processor shall reply to the supervisory authority within a reasonable period to be specified by the supervisory authority. The reply shall include a description of the measures taken and the results achieved, in response to the remarks of the supervisory authority.
59 158
EN
SECTION 2 DATA SECURITY Article 30 Security of processing 1.
The controller and the processor shall implement appropriate technical and organisational measures to ensure a level of security appropriate to the risks represented by the processing and the nature of the personal data to be protected, having regard to the state of the art and the costs of their implementation.
2.
The controller and the processor shall, following an evaluation of the risks, take the measures referred to in paragraph 1 to protect personal data against accidental or unlawful destruction or accidental loss and to prevent any unlawful forms of processing, in particular any unauthorised disclosure, dissemination or access, or alteration of personal data.
3.
The Commission shall be empowered to adopt delegated acts in accordance with Article 86 for the purpose of further specifying the criteria and conditions for the technical and organisational measures referred to in paragraphs 1 and 2, including the determinations of what constitutes the state of the art, for specific sectors and in specific data processing situations, in particular taking account of developments in technology and solutions for privacy by design and data protection by default, unless paragraph 4 applies.
4.
The Commission may adopt, where necessary, implementing acts for specifying the requirements laid down in paragraphs 1 and 2 to various situations, in particular to: (a)
prevent any unauthorised access to personal data;
(b)
prevent any unauthorised disclosure, reading, copying, modification, erasure or removal of personal data;
(c)
ensure the verification of the lawfulness of processing operations.
Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 87(2). Article 31 Notification of a personal data breach to the supervisory authority
EN
1.
In the case of a personal data breach, the controller shall without undue delay and, where feasible, not later than 24 hours after having become aware of it, notify the personal data breach to the supervisory authority. The notification to the supervisory authority shall be accompanied by a reasoned justification in cases where it is not made within 24 hours.
2.
Pursuant to point (f) of Article 26(2), the processor shall alert and inform the controller immediately after the establishment of a personal data breach.
60 159
EN
3.
The notification referred to in paragraph 1 must at least: (a)
describe the nature of the personal data breach including the categories and number of data subjects concerned and the categories and number of data records concerned;
(b)
communicate the identity and contact details of the data protection officer or other contact point where more information can be obtained;
(c)
recommend measures to mitigate the possible adverse effects of the personal data breach;
(d)
describe the consequences of the personal data breach;
(e)
describe the measures proposed or taken by the controller to address the personal data breach.
4.
The controller shall document any personal data breaches, comprising the facts surrounding the breach, its effects and the remedial action taken. This documentation must enable the supervisory authority to verify compliance with this Article. The documentation shall only include the information necessary for that purpose.
5.
The Commission shall be empowered to adopt delegated acts in accordance with Article 86 for the purpose of further specifying the criteria and requirements for establishing the data breach referred to in paragraphs 1 and 2 and for the particular circumstances in which a controller and a processor is required to notify the personal data breach.
6.
The Commission may lay down the standard format of such notification to the supervisory authority, the procedures applicable to the notification requirement and the form and the modalities for the documentation referred to in paragraph 4, including the time limits for erasure of the information contained therein. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 87(2). Article 32 Communication of a personal data breach to the data subject
EN
1.
When the personal data breach is likely to adversely affect the protection of the personal data or privacy of the data subject, the controller shall, after the notification referred to in Article 31, communicate the personal data breach to the data subject without undue delay.
2.
The communication to the data subject referred to in paragraph 1 shall describe the nature of the personal data breach and contain at least the information and the recommendations provided for in points (b) and (c) of Article 31(3).
3.
The communication of a personal data breach to the data subject shall not be required if the controller demonstrates to the satisfaction of the supervisory authority that it has implemented appropriate technological protection measures, and that those measures were applied to the data concerned by the personal data breach. Such
61 160
EN
technological protection measures shall render the data unintelligible to any person who is not authorised to access it. 4.
Without prejudice to the controller's obligation to communicate the personal data breach to the data subject, if the controller has not already communicated the personal data breach to the data subject of the personal data breach, the supervisory authority, having considered the likely adverse effects of the breach, may require it to do so.
5.
The Commission shall be empowered to adopt delegated acts in accordance with Article 86 for the purpose of further specifying the criteria and requirements as to the circumstances in which a personal data breach is likely to adversely affect the personal data referred to in paragraph 1.
6.
The Commission may lay down the format of the communication to the data subject referred to in paragraph 1 and the procedures applicable to that communication. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 87(2).
SECTION 3 DATA PROTECTION IMPACT ASSESSMENT AND PRIOR AUTHORISATION Article 33 Data protection impact assessment
EN
1.
Where processing operations present specific risks to the rights and freedoms of data subjects by virtue of their nature, their scope or their purposes, the controller or the processor acting on the controller's behalf shall carry out an assessment of the impact of the envisaged processing operations on the protection of personal data.
2.
The following processing operations in particular present specific risks referred to in paragraph 1: (a)
a systematic and extensive evaluation of personal aspects relating to a natural person or for analysing or predicting in particular the natural person's economic situation, location, health, personal preferences, reliability or behaviour, which is based on automated processing and on which measures are based that produce legal effects concerning the individual or significantly affect the individual;
(b)
information on sex life, health, race and ethnic origin or for the provision of health care, epidemiological researches, or surveys of mental or infectious diseases, where the data are processed for taking measures or decisions regarding specific individuals on a large scale;
(c)
monitoring publicly accessible areas, especially when using optic-electronic devices (video surveillance) on a large scale;
(d)
personal data in large scale filing systems on children, genetic data or biometric data;
62 161
EN
(e)
other processing operations for which the consultation of the supervisory authority is required pursuant to point (b) of Article 34(2).
3.
The assessment shall contain at least a general description of the envisaged processing operations, an assessment of the risks to the rights and freedoms of data subjects, the measures envisaged to address the risks, safeguards, security measures and mechanisms to ensure the protection of personal data and to demonstrate compliance with this Regulation, taking into account the rights and legitimate interests of data subjects and other persons concerned.
4.
The controller shall seek the views of data subjects or their representatives on the intended processing, without prejudice to the protection of commercial or public interests or the security of the processing operations.
5.
Where the controller is a public authority or body and where the processing results from a legal obligation pursuant to point (c) of Article 6(1) providing for rules and procedures pertaining to the processing operations and regulated by Union law, paragraphs 1 to 4 shall not apply, unless Member States deem it necessary to carry out such assessment prior to the processing activities.
6.
The Commission shall be empowered to adopt delegated acts in accordance with Article 86 for the purpose of further specifying the criteria and conditions for the processing operations likely to present specific risks referred to in paragraphs 1 and 2 and the requirements for the assessment referred to in paragraph 3, including conditions for scalability, verification and auditability. In doing so, the Commission shall consider specific measures for micro, small and medium-sized enterprises.
7.
The Commission may specify standards and procedures for carrying out and verifying and auditing the assessment referred to in paragraph 3. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 87(2). Article 34 Prior authorisation and prior consultation
EN
1.
The controller or the processor as the case may be shall obtain an authorisation from the supervisory authority prior to the processing of personal data, in order to ensure the compliance of the intended processing with this Regulation and in particular to mitigate the risks involved for the data subjects where a controller or processor adopts contractual clauses as provided for in point (d) of Article 42(2) or does not provide for the appropriate safeguards in a legally binding instrument as referred to in Article 42(5) for the transfer of personal data to a third country or an international organisation.
2.
The controller or processor acting on the controller's behalf shall consult the supervisory authority prior to the processing of personal data in order to ensure the compliance of the intended processing with this Regulation and in particular to mitigate the risks involved for the data subjects where:
63 162
EN
EN
(a)
a data protection impact assessment as provided for in Article 33 indicates that processing operations are by virtue of their nature, their scope or their purposes, likely to present a high degree of specific risks; or
(b)
the supervisory authority deems it necessary to carry out a prior consultation on processing operations that are likely to present specific risks to the rights and freedoms of data subjects by virtue of their nature, their scope and/or their purposes, and specified according to paragraph 4.
3.
Where the supervisory authority is of the opinion that the intended processing does not comply with this Regulation, in particular where risks are insufficiently identified or mitigated, it shall prohibit the intended processing and make appropriate proposals to remedy such incompliance.
4.
The supervisory authority shall establish and make public a list of the processing operations which are subject to prior consultation pursuant to point (b) of paragraph 2. The supervisory authority shall communicate those lists to the European Data Protection Board.
5.
Where the list provided for in paragraph 4 involves processing activities which are related to the offering of goods or services to data subjects in several Member States, or to the monitoring of their behaviour, or may substantially affect the free movement of personal data within the Union, the supervisory authority shall apply the consistency mechanism referred to in Article 57 prior to the adoption of the list.
6.
The controller or processor shall provide the supervisory authority with the data protection impact assessment provided for in Article 33 and, on request, with any other information to allow the supervisory authority to make an assessment of the compliance of the processing and in particular of the risks for the protection of personal data of the data subject and of the related safeguards.
7.
Member States shall consult the supervisory authority in the preparation of a legislative measure to be adopted by the national parliament or of a measure based on such a legislative measure, which defines the nature of the processing, in order to ensure the compliance of the intended processing with this Regulation and in particular to mitigate the risks involved for the data subjects.
8.
The Commission shall be empowered to adopt delegated acts in accordance with Article 86 for the purpose of further specifying the criteria and requirements for determining the high degree of specific risk referred to in point (a) of paragraph 2.
9.
The Commission may set out standard forms and procedures for prior authorisations and consultations referred to in paragraphs 1 and 2, and standard forms and procedures for informing the supervisory authorities pursuant to paragraph 6. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 87(2).
64 163
EN
SECTION 4 DATA PROTECTION OFFICER Article 35 Designation of the data protection officer 1.
EN
The controller and the processor shall designate a data protection officer in any case where: (a)
the processing is carried out by a public authority or body; or
(b)
the processing is carried out by an enterprise employing 250 persons or more; or
(c)
the core activities of the controller or the processor consist of processing operations which, by virtue of their nature, their scope and/or their purposes, require regular and systematic monitoring of data subjects.
2.
In the case referred to in point (b) of paragraph 1, a group of undertakings may appoint a single data protection officer.
3.
Where the controller or the processor is a public authority or body, the data protection officer may be designated for several of its entities, taking account of the organisational structure of the public authority or body.
4.
In cases other than those referred to in paragraph 1, the controller or processor or associations and other bodies representing categories of controllers or processors may designate a data protection officer.
5.
The controller or processor shall designate the data protection officer on the basis of professional qualities and, in particular, expert knowledge of data protection law and practices and ability to fulfil the tasks referred to in Article 37. The necessary level of expert knowledge shall be determined in particular according to the data processing carried out and the protection required for the personal data processed by the controller or the processor.
6.
The controller or the processor shall ensure that any other professional duties of the data protection officer are compatible with the person's tasks and duties as data protection officer and do not result in a conflict of interests.
7.
The controller or the processor shall designate a data protection officer for a period of at least two years. The data protection officer may be reappointed for further terms. During their term of office, the data protection officer may only be dismissed, if the data protection officer no longer fulfils the conditions required for the performance of their duties.
8.
The data protection officer may be employed by the controller or processor, or fulfil his or her tasks on the basis of a service contract.
9.
The controller or the processor shall communicate the name and contact details of the data protection officer to the supervisory authority and to the public.
65 164
EN
10.
Data subjects shall have the right to contact the data protection officer on all issues related to the processing of the data subject’s data and to request exercising the rights under this Regulation.
11.
The Commission shall be empowered to adopt delegated acts in accordance with Article 86 for the purpose of further specifying the criteria and requirements for the core activities of the controller or the processor referred to in point (c) of paragraph 1 and the criteria for the professional qualities of the data protection officer referred to in paragraph 5. Article 36 Position of the data protection officer
1.
The controller or the processor shall ensure that the data protection officer is properly and in a timely manner involved in all issues which relate to the protection of personal data.
2.
The controller or processor shall ensure that the data protection officer performs the duties and tasks independently and does not receive any instructions as regards the exercise of the function. The data protection officer shall directly report to the management of the controller or the processor.
3.
The controller or the processor shall support the data protection officer in performing the tasks and shall provide staff, premises, equipment and any other resources necessary to carry out the duties and tasks referred to in Article 37. Article 37 Tasks of the data protection officer
1.
EN
The controller or the processor shall entrust the data protection officer at least with the following tasks: (a)
to inform and advise the controller or the processor of their obligations pursuant to this Regulation and to document this activity and the responses received;
(b)
to monitor the implementation and application of the policies of the controller or processor in relation to the protection of personal data, including the assignment of responsibilities, the training of staff involved in the processing operations, and the related audits;
(c)
to monitor the implementation and application of this Regulation, in particular as to the requirements related to data protection by design, data protection by default and data security and to the information of data subjects and their requests in exercising their rights under this Regulation;
(d)
to ensure that the documentation referred to in Article 28 is maintained;
(e)
to monitor the documentation, notification and communication of personal data breaches pursuant to Articles 31 and 32;
66 165
EN
2.
(f)
to monitor the performance of the data protection impact assessment by the controller or processor and the application for prior authorisation or prior consultation, if required pursuant Articles 33 and 34;
(g)
to monitor the response to requests from the supervisory authority, and, within the sphere of the data protection officer's competence, co-operating with the supervisory authority at the latter's request or on the data protection officer’s own initiative;
(h)
to act as the contact point for the supervisory authority on issues related to the processing and consult with the supervisory authority, if appropriate, on his/her own initiative.
The Commission shall be empowered to adopt delegated acts in accordance with Article 86 for the purpose of further specifying the criteria and requirements for tasks, certification, status, powers and resources of the data protection officer referred to in paragraph 1.
SECTION 5 CODES OF CONDUCT AND CERTIFICATION Article 38 Codes of conduct 1.
2.
EN
The Member States, the supervisory authorities and the Commission shall encourage the drawing up of codes of conduct intended to contribute to the proper application of this Regulation, taking account of the specific features of the various data processing sectors, in particular in relation to: (a)
fair and transparent data processing;
(b)
the collection of data;
(c)
the information of the public and of data subjects;
(d)
requests of data subjects in exercise of their rights;
(e)
information and protection of children;
(f)
transfer of data to third countries or international organisations;
(g)
mechanisms for monitoring and ensuring compliance with the code by the controllers adherent to it;
(h)
out-of-court proceedings and other dispute resolution procedures for resolving disputes between controllers and data subjects with respect to the processing of personal data, without prejudice to the rights of the data subjects pursuant to Articles 73 and 75.
Associations and other bodies representing categories of controllers or processors in one Member State which intend to draw up codes of conduct or to amend or extend
67 166
EN
existing codes of conduct may submit them to an opinion of the supervisory authority in that Member State. The supervisory authority may give an opinion whether the draft code of conduct or the amendment is in compliance with this Regulation. The supervisory authority shall seek the views of data subjects or their representatives on these drafts. 3.
Associations and other bodies representing categories of controllers in several Member States may submit draft codes of conduct and amendments or extensions to existing codes of conduct to the Commission.
4.
The Commission may adopt implementing acts for deciding that the codes of conduct and amendments or extensions to existing codes of conduct submitted to it pursuant to paragraph 3 have general validity within the Union. Those implementing acts shall be adopted in accordance with the examination procedure set out in Article 87(2).
5.
The Commission shall ensure appropriate publicity for the codes which have been decided as having general validity in accordance with paragraph 4. Article 39 Certification
EN
1.
The Member States and the Commission shall encourage, in particular at European level, the establishment of data protection certification mechanisms and of data protection seals and marks, allowing data subjects to quickly assess the level of data protection provided by controllers and processors. The data protection certifications mechanisms shall contribute to the proper application of this Regulation, taking account of the specific features of the various sectors and different processing operations.
2.
The Commission shall be empowered to adopt delegated acts in accordance with Article 86 for the purpose of further specifying the criteria and requirements for the data protection certification mechanisms referred to in paragraph 1, including conditions for granting and withdrawal, and requirements for recognition within the Union and in third countries.
3.
The Commission may lay down technical standards for certification mechanisms and data protection seals and marks and mechanisms to promote and recognize certification mechanisms and data protection seals and marks. Those implementing acts shall be adopted in accordance with the examination procedure set out in Article 87(2).
68 167
EN
CHAPTER V TRANSFER OF PERSONAL DATA TO THIRD COUNTRIES OR INTERNATIONAL ORGANISATIONS Article 40 General principle for transfers Any transfer of personal data which are undergoing processing or are intended for processing after transfer to a third country or to an international organisation may only take place if, subject to the other provisions of this Regulation, the conditions laid down in this Chapter are complied with by the controller and processor, including for onward transfers of personal data from the third country or an international organisation to another third country or to another international organisation. Article 41 Transfers with an adequacy decision 1.
A transfer may take place where the Commission has decided that the third country, or a territory or a processing sector within that third country, or the international organisation in question ensures an adequate level of protection. Such transfer shall not require any further authorisation.
2.
When assessing the adequacy of the level of protection, the Commission shall give consideration to the following elements:
3.
EN
(a)
the rule of law, relevant legislation in force, both general and sectoral, including concerning public security, defence, national security and criminal law, the professional rules and security measures which are complied with in that country or by that international organisation, as well as effective and enforceable rights including effective administrative and judicial redress for data subjects, in particular for those data subjects residing in the Union whose personal data are being transferred;
(b)
the existence and effective functioning of one or more independent supervisory authorities in the third country or international organisation in question responsible for ensuring compliance with the data protection rules, for assisting and advising the data subjects in exercising their rights and for co-operation with the supervisory authorities of the Union and of Member States; and
(c)
the international commitments the third country or international organisation in question has entered into.
The Commission may decide that a third country, or a territory or a processing sector within that third country, or an international organisation ensures an adequate level of protection within the meaning of paragraph 2. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 87(2).
69 168
EN
4.
The implementing act shall specify its geographical and sectoral application, and, where applicable, identify the supervisory authority mentioned in point (b) of paragraph 2.
5.
The Commission may decide that a third country, or a territory or a processing sector within that third country, or an international organisation does not ensure an adequate level of protection within the meaning of paragraph 2 of this Article, in particular in cases where the relevant legislation, both general and sectoral, in force in the third country or international organisation, does not guarantee effective and enforceable rights including effective administrative and judicial redress for data subjects, in particular for those data subjects residing in the Union whose personal data are being transferred. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 87(2), or, in cases of extreme urgency for individuals with respect to their right to personal data protection, in accordance with the procedure referred to in Article 87(3).
6.
Where the Commission decides pursuant to paragraph 5, any transfer of personal data to the third country, or a territory or a processing sector within that third country, or the international organisation in question shall be prohibited, without prejudice to Articles 42 to 44. At the appropriate time, the Commission shall enter into consultations with the third country or international organisation with a view to remedying the situation resulting from the Decision made pursuant to paragraph 5 of this Article.
7.
The Commission shall publish in the Official Journal of the European Union a list of those third countries, territories and processing sectors within a third country and international organisations where it has decided that an adequate level of protection is or is not ensured.
8.
Decisions adopted by the Commission on the basis of Article 25(6) or Article 26(4) of Directive 95/46/EC shall remain in force, until amended, replaced or repealed by the Commission. Article 42 Transfers by way of appropriate safeguards
EN
1.
Where the Commission has taken no decision pursuant to Article 41, a controller or processor may transfer personal data to a third country or an international organisation only if the controller or processor has adduced appropriate safeguards with respect to the protection of personal data in a legally binding instrument.
2.
The appropriate safeguards referred to in paragraph 1 shall be provided for, in particular, by: (a)
binding corporate rules in accordance with Article 43; or
(b)
standard data protection clauses adopted by the Commission. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 87(2); or
70 169
EN
(c)
standard data protection clauses adopted by a supervisory authority in accordance with the consistency mechanism referred to in Article 57 when declared generally valid by the Commission pursuant to point (b) of Article 62(1); or
(d)
contractual clauses between the controller or processor and the recipient of the data authorised by a supervisory authority in accordance with paragraph 4.
3.
A transfer based on standard data protection clauses or binding corporate rules as referred to in points (a), (b) or (c) of paragraph 2 shall not require any further authorisation.
4.
Where a transfer is based on contractual clauses as referred to in point (d) of paragraph 2 of this Article the controller or processor shall obtain prior authorisation of the contractual clauses according to point (a) of Article 34(1) from the supervisory authority. If the transfer is related to processing activities which concern data subjects in another Member State or other Member States, or substantially affect the free movement of personal data within the Union, the supervisory authority shall apply the consistency mechanism referred to in Article 57.
5.
Where the appropriate safeguards with respect to the protection of personal data are not provided for in a legally binding instrument, the controller or processor shall obtain prior authorisation for the transfer, or a set of transfers, or for provisions to be inserted into administrative arrangements providing the basis for such transfer. Such authorisation by the supervisory authority shall be in accordance with point (a) of Article 34(1). If the transfer is related to processing activities which concern data subjects in another Member State or other Member States, or substantially affect the free movement of personal data within the Union, the supervisory authority shall apply the consistency mechanism referred to in Article 57. Authorisations by a supervisory authority on the basis of Article 26(2) of Directive 95/46/EC shall remain valid, until amended, replaced or repealed by that supervisory authority. Article 43 Transfers by way of binding corporate rules
1.
2.
A supervisory authority shall in accordance with the consistency mechanism set out in Article 58 approve binding corporate rules, provided that they: (a)
are legally binding and apply to and are enforced by every member within the controller’s or processor's group of undertakings, and include their employees;
(b)
expressly confer enforceable rights on data subjects;
(c)
fulfil the requirements laid down in paragraph 2.
The binding corporate rules shall at least specify: (a)
EN
the structure and contact details of the group of undertakings and its members;
71 170
EN
3.
EN
(b)
the data transfers or set of transfers, including the categories of personal data, the type of processing and its purposes, the type of data subjects affected and the identification of the third country or countries in question;
(c)
their legally binding nature, both internally and externally;
(d)
the general data protection principles, in particular purpose limitation, data quality, legal basis for the processing, processing of sensitive personal data; measures to ensure data security; and the requirements for onward transfers to organisations which are not bound by the policies;
(e)
the rights of data subjects and the means to exercise these rights, including the right not to be subject to a measure based on profiling in accordance with Article 20, the right to lodge a complaint before the competent supervisory authority and before the competent courts of the Member States in accordance with Article 75, and to obtain redress and, where appropriate, compensation for a breach of the binding corporate rules;
(f)
the acceptance by the controller or processor established on the territory of a Member State of liability for any breaches of the binding corporate rules by any member of the group of undertakings not established in the Union; the controller or the processor may only be exempted from this liability, in whole or in part, if he proves that that member is not responsible for the event giving rise to the damage;
(g)
how the information on the binding corporate rules, in particular on the provisions referred to in points (d), (e) and (f) of this paragraph is provided to the data subjects in accordance with Article 11;
(h)
the tasks of the data protection officer designated in accordance with Article 35, including monitoring within the group of undertakings the compliance with the binding corporate rules, as well as monitoring the training and complaint handling;
(i)
the mechanisms within the group of undertakings aiming at ensuring the verification of compliance with the binding corporate rules;
(j)
the mechanisms for reporting and recording changes to the policies and reporting these changes to the supervisory authority;
(k)
the co-operation mechanism with the supervisory authority to ensure compliance by any member of the group of undertakings, in particular by making available to the supervisory authority the results of the verifications of the measures referred to in point (i) of this paragraph.
The Commission shall be empowered to adopt delegated acts in accordance with Article 86 for the purpose of further specifying the criteria and requirements for binding corporate rules within the meaning of this Article, in particular as regards the criteria for their approval, the application of points (b), (d), (e) and (f) of paragraph 2 to binding corporate rules adhered to by processors and on further necessary requirements to ensure the protection of personal data of the data subjects concerned.
72 171
EN
4.
The Commission may specify the format and procedures for the exchange of information by electronic means between controllers, processors and supervisory authorities for binding corporate rules within the meaning of this Article. Those implementing acts shall be adopted in accordance with the examination procedure set out in Article 87(2). Article 44 Derogations
1.
2.
EN
In the absence of an adequacy decision pursuant to Article 41 or of appropriate safeguards pursuant to Article 42, a transfer or a set of transfers of personal data to a third country or an international organisation may take place only on condition that: (a)
the data subject has consented to the proposed transfer, after having been informed of the risks of such transfers due to the absence of an adequacy decision and appropriate safeguards; or
(b)
the transfer is necessary for the performance of a contract between the data subject and the controller or the implementation of pre-contractual measures taken at the data subject's request; or
(c)
the transfer is necessary for the conclusion or performance of a contract concluded in the interest of the data subject between the controller and another natural or legal person; or
(d)
the transfer is necessary for important grounds of public interest; or
(e)
the transfer is necessary for the establishment, exercise or defence of legal claims; or
(f)
the transfer is necessary in order to protect the vital interests of the data subject or of another person, where the data subject is physically or legally incapable of giving consent; or
(g)
the transfer is made from a register which according to Union or Member State law is intended to provide information to the public and which is open to consultation either by the public in general or by any person who can demonstrate legitimate interest, to the extent that the conditions laid down in Union or Member State law for consultation are fulfilled in the particular case; or
(h)
the transfer is necessary for the purposes of the legitimate interests pursued by the controller or the processor, which cannot be qualified as frequent or massive, and where the controller or processor has assessed all the circumstances surrounding the data transfer operation or the set of data transfer operations and based on this assessment adduced appropriate safeguards with respect to the protection of personal data, where necessary.
A transfer pursuant to point (g) of paragraph 1 shall not involve the entirety of the personal data or entire categories of the personal data contained in the register. When the register is intended for consultation by persons having a legitimate interest, the
73 172
EN
transfer shall be made only at the request of those persons or if they are to be the recipients. 3.
Where the processing is based on point (h) of paragraph 1, the controller or processor shall give particular consideration to the nature of the data, the purpose and duration of the proposed processing operation or operations, as well as the situation in the country of origin, the third country and the country of final destination, and adduced appropriate safeguards with respect to the protection of personal data, where necessary.
4.
Points (b), (c) and (h) of paragraph 1 shall not apply to activities carried out by public authorities in the exercise of their public powers.
5.
The public interest referred to in point (d) of paragraph 1 must be recognised in Union law or in the law of the Member State to which the controller is subject.
6.
The controller or processor shall document the assessment as well as the appropriate safeguards adduced referred to in point (h) of paragraph 1 of this Article in the documentation referred to in Article 28 and shall inform the supervisory authority of the transfer.
7.
The Commission shall be empowered to adopt delegated acts in accordance with Article 86 for the purpose of further specifying 'important grounds of public interest' within the meaning of point (d) of paragraph 1 as well as the criteria and requirements for appropriate safeguards referred to in point (h) of paragraph 1. Article 45 International co-operation for the protection of personal data
1.
2.
EN
In relation to third countries and international organisations, the Commission and supervisory authorities shall take appropriate steps to: (a)
develop effective international co-operation mechanisms to facilitate the enforcement of legislation for the protection of personal data;
(b)
provide international mutual assistance in the enforcement of legislation for the protection of personal data, including through notification, complaint referral, investigative assistance and information exchange, subject to appropriate safeguards for the protection of personal data and other fundamental rights and freedoms;
(c)
engage relevant stakeholders in discussion and activities aimed at furthering international co-operation in the enforcement of legislation for the protection of personal data;
(d)
promote the exchange and documentation of personal data protection legislation and practice.
For the purposes of paragraph 1, the Commission shall take appropriate steps to advance the relationship with third countries or international organisations, and in
74 173
EN
particular their supervisory authorities, where the Commission has decided that they ensure an adequate level of protection within the meaning of Article 41(3).
CHAPTER VI INDEPENDENT SUPERVISORY AUTHORITIES SECTION 1 INDEPENDENT STATUS
Article 46 Supervisory authority 1.
Each Member State shall provide that one or more public authorities are responsible for monitoring the application of this Regulation and for contributing to its consistent application throughout the Union, in order to protect the fundamental rights and freedoms of natural persons in relation to the processing of their personal data and to facilitate the free flow of personal data within the Union. For these purposes, the supervisory authorities shall co-operate with each other and the Commission.
2.
Where in a Member State more than one supervisory authority are established, that Member State shall designate the supervisory authority which functions as a single contact point for the effective participation of those authorities in the European Data Protection Board and shall set out the mechanism to ensure compliance by the other authorities with the rules relating to the consistency mechanism referred to in Article 57.
3.
Each Member State shall notify to the Commission those provisions of its law which it adopts pursuant to this Chapter, by the date specified in Article 91(2) at the latest and, without delay, any subsequent amendment affecting them. Article 47 Independence
EN
1.
The supervisory authority shall act with complete independence in exercising the duties and powers entrusted to it.
2.
The members of the supervisory authority shall, in the performance of their duties, neither seek nor take instructions from anybody.
3.
Members of the supervisory authority shall refrain from any action incompatible with their duties and shall not, during their term of office, engage in any incompatible occupation, whether gainful or not.
4.
Members of the supervisory authority shall behave, after their term of office, with integrity and discretion as regards the acceptance of appointments and benefits.
5.
Each Member State shall ensure that the supervisory authority is provided with the adequate human, technical and financial resources, premises and infrastructure necessary for the effective performance of its duties and powers, including those to
75 174
EN
be carried out in the context of mutual assistance, co-operation and participation in the European Data Protection Board. 6.
Each Member State shall ensure that the supervisory authority has its own staff which shall be appointed by and be subject to the direction of the head of the supervisory authority.
7.
Member States shall ensure that the supervisory authority is subject to financial control which shall not affect its independence. Member States shall ensure that the supervisory authority has separate annual budgets. The budgets shall be made public. Article 48 General conditions for the members of the supervisory authority
1.
Member States shall provide that the members of the supervisory authority must be appointed either by the parliament or the government of the Member State concerned.
2.
The members shall be chosen from persons whose independence is beyond doubt and whose experience and skills required to perform their duties notably in the area of protection of personal data are demonstrated.
3.
The duties of a member shall end in the event of the expiry of the term of office, resignation or compulsory retirement in accordance with paragraph 5.
4.
A member may be dismissed or deprived of the right to a pension or other benefits in its stead by the competent national court, if the member no longer fulfils the conditions required for the performance of the duties or is guilty of serious misconduct.
5.
Where the term of office expires or the member resigns, the member shall continue to exercise the duties until a new member is appointed. Article 49 Rules on the establishment of the supervisory authority
Each Member State shall provide by law within the limits of this Regulation:
EN
(a)
the establishment and status of the supervisory authority;
(b)
the qualifications, experience and skills required to perform the duties of the members of the supervisory authority;
(c)
the rules and procedures for the appointment of the members of the supervisory authority, as well the rules on actions or occupations incompatible with the duties of the office;
(d)
the duration of the term of the members of the supervisory authority which shall be no less than four years, except for the first appointment after entry into force of this Regulation, part of which may take place for a shorter period
76 175
EN
where this is necessary to protect the independence of the supervisory authority by means of a staggered appointment procedure; (e)
whether the members of the supervisory authority shall be eligible for reappointment;
(f)
the regulations and common conditions governing the duties of the members and staff of the supervisory authority;
(g)
the rules and procedures on the termination of the duties of the members of the supervisory authority, including in case that they no longer fulfil the conditions required for the performance of their duties or if they are guilty of serious misconduct. Article 50 Professional secrecy
The members and the staff of the supervisory authority shall be subject, both during and after their term of office, to a duty of professional secrecy with regard to any confidential information which has come to their knowledge in the course of the performance of their official duties.
SECTION 2 DUTIES AND POWERS
Article 51 Competence 1.
Each supervisory authority shall exercise, on the territory of its own Member State, the powers conferred on it in accordance with this Regulation.
2.
Where the processing of personal data takes place in the context of the activities of an establishment of a controller or a processor in the Union, and the controller or processor is established in more than one Member State, the supervisory authority of the main establishment of the controller or processor shall be competent for the supervision of the processing activities of the controller or the processor in all Member States, without prejudice to the provisions of Chapter VII of this Regulation.
3.
The supervisory authority shall not be competent to supervise processing operations of courts acting in their judicial capacity. Article 52 Duties
1.
The supervisory authority shall: (a)
EN
monitor and ensure the application of this Regulation;
77 176
EN
EN
(b)
hear complaints lodged by any data subject, or by an association representing that data subject in accordance with Article 73, investigate, to the extent appropriate, the matter and inform the data subject or the association of the progress and the outcome of the complaint within a reasonable period, in particular if further investigation or coordination with another supervisory authority is necessary;
(c)
share information with and provide mutual assistance to other supervisory authorities and ensure the consistency of application and enforcement of this Regulation;
(d)
conduct investigations either on its own initiative or on the basis of a complaint or on request of another supervisory authority, and inform the data subject concerned, if the data subject has addressed a complaint to this supervisory authority, of the outcome of the investigations within a reasonable period;
(e)
monitor relevant developments, insofar as they have an impact on the protection of personal data, in particular the development of information and communication technologies and commercial practices;
(f)
be consulted by Member State institutions and bodies on legislative and administrative measures relating to the protection of individuals' rights and freedoms with regard to the processing of personal data;
(g)
authorise and be consulted on the processing operations referred to in Article 34;
(h)
issue an opinion on the draft codes of conduct pursuant to Article 38(2);
(i)
approve binding corporate rules pursuant to Article 43;
(j)
participate in the activities of the European Data Protection Board.
2.
Each supervisory authority shall promote the awareness of the public on risks, rules, safeguards and rights in relation to the processing of personal data. Activities addressed specifically to children shall receive specific attention.
3.
The supervisory authority shall, upon request, advise any data subject in exercising the rights under this Regulation and, if appropriate, co-operate with the supervisory authorities in other Member States to this end.
4.
For complaints referred to in point (b) of paragraph 1, the supervisory authority shall provide a complaint submission form, which can be completed electronically, without excluding other means of communication.
5.
The performance of the duties of the supervisory authority shall be free of charge for the data subject.
6.
Where requests are manifestly excessive, in particular due to their repetitive character, the supervisory authority may charge a fee or not take the action requested by the data subject. The supervisory authority shall bear the burden of proving the manifestly excessive character of the request.
78 177
EN
Article 53 Powers 1.
2.
Each supervisory authority shall have the power: (a)
to notify the controller or the processor of an alleged breach of the provisions governing the processing of personal data, and, where appropriate, order the controller or the processor to remedy that breach, in a specific manner, in order to improve the protection of the data subject;
(b)
to order the controller or the processor to comply with the data subject's requests to exercise the rights provided by this Regulation;
(c)
to order the controller and the processor, and, where applicable, the representative to provide any information relevant for the performance of its duties;
(d)
to ensure the compliance with prior authorisations and prior consultations referred to in Article 34;
(e)
to warn or admonish the controller or the processor;
(f)
to order the rectification, erasure or destruction of all data when they have been processed in breach of the provisions of this Regulation and the notification of such actions to third parties to whom the data have been disclosed;
(g)
to impose a temporary or definitive ban on processing;
(h)
to suspend data flows to a recipient in a third country or to an international organisation;
(i)
to issue opinions on any issue related to the protection of personal data;
(j)
to inform the national parliament, the government or other political institutions as well as the public on any issue related to the protection of personal data.
Each supervisory authority shall have the investigative power to obtain from the controller or the processor: (a)
access to all personal data and to all information necessary for the performance of its duties;
(b)
access to any of its premises, including to any data processing equipment and means, where there are reasonable grounds for presuming that an activity in violation of this Regulation is being carried out there.
The powers referred to in point (b) shall be exercised in conformity with Union law and Member State law. 3.
EN
Each supervisory authority shall have the power to bring violations of this Regulation to the attention of the judicial authorities and to engage in legal proceedings, in particular pursuant to Article 74(4) and Article 75(2).
79 178
EN
4.
Each supervisory authority shall have the power to sanction administrative offences, in particular those referred to in Article 79(4), (5) and (6). Article 54 Activity report
Each supervisory authority must draw up an annual report on its activities. The report shall be presented to the national parliament and shall be made be available to the public, the Commission and the European Data Protection Board.
CHAPTER VII CO-OPERATION AND CONSISTENCY SECTION 1 CO-OPERATION
Article 55 Mutual assistance
EN
1.
Supervisory authorities shall provide each other relevant information and mutual assistance in order to implement and apply this Regulation in a consistent manner, and shall put in place measures for effective co-operation with one another. Mutual assistance shall cover, in particular, information requests and supervisory measures, such as requests to carry out prior authorisations and consultations, inspections and prompt information on the opening of cases and ensuing developments where data subjects in several Member States are likely to be affected by processing operations.
2.
Each supervisory authority shall take all appropriate measures required to reply to the request of another supervisory authority without delay and no later than one month after having received the request. Such measures may include, in particular, the transmission of relevant information on the course of an investigation or enforcement measures to bring about the cessation or prohibition of processing operations contrary to this Regulation.
3.
The request for assistance shall contain all the necessary information, including the purpose of the request and reasons for the request. Information exchanged shall be used only in respect of the matter for which it was requested.
4.
A supervisory authority to which a request for assistance is addressed may not refuse to comply with it unless: (a)
it is not competent for the request; or
(b)
compliance with the request would be incompatible with the provisions of this Regulation.
80 179
EN
5.
The requested supervisory authority shall inform the requesting supervisory authority of the results or, as the case may be, of the progress or the measures taken in order to meet the request by the requesting supervisory authority.
6.
Supervisory authorities shall supply the information requested by other supervisory authorities by electronic means and within the shortest possible period of time, using a standardised format.
7.
No fee shall be charged for any action taken following a request for mutual assistance.
8.
Where a supervisory authority does not act within one month on request of another supervisory authority, the requesting supervisory authorities shall be competent to take a provisional measure on the territory of its Member State in accordance with Article 51(1) and shall submit the matter to the European Data Protection Board in accordance with the procedure referred to in Article 57.
9.
The supervisory authority shall specify the period of validity of such provisional measure. This period shall not exceed three months. The supervisory authority shall, without delay, communicate those measures, with full reasons, to the European Data Protection Board and to the Commission.
10.
The Commission may specify the format and procedures for mutual assistance referred to in this article and the arrangements for the exchange of information by electronic means between supervisory authorities, and between supervisory authorities and the European Data Protection Board, in particular the standardised format referred to in paragraph 6. Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 87(2). Article 56 Joint operations of supervisory authorities
EN
1.
In order to step up co-operation and mutual assistance, the supervisory authorities shall carry out joint investigative tasks, joint enforcement measures and other joint operations, in which designated members or staff from other Member States' supervisory authorities are involved.
2.
In cases where data subjects in several Member States are likely to be affected by processing operations, a supervisory authority of each of those Member States shall have the right to participate in the joint investigative tasks or joint operations, as appropriate. The competent supervisory authority shall invite the supervisory authority of each of those Member States to take part in the respective joint investigative tasks or joint operations and respond to the request of a supervisory authority to participate in the operations without delay.
3.
Each supervisory authority may, as a host supervisory authority, in compliance with its own national law, and with the seconding supervisory authority’s authorisation, confer executive powers, including investigative tasks on the seconding supervisory authority’s members or staff involved in joint operations or, in so far as the host supervisory authority’s law permits, allow the seconding supervisory authority’s members or staff to exercise their executive powers in accordance with the seconding
81 180
EN
supervisory authority’s law. Such executive powers may be exercised only under the guidance and, as a rule, in the presence of members or staff from the host supervisory authority. The seconding supervisory authority's members or staff shall be subject to the host supervisory authority's national law. The host supervisory authority shall assume responsibility for their actions. 4.
Supervisory authorities shall lay down the practical aspects of specific co-operation actions.
5.
Where a supervisory authority does not comply within one month with the obligation laid down in paragraph 2, the other supervisory authorities shall be competent to take a provisional measure on the territory of its Member State in accordance with Article 51(1).
6.
The supervisory authority shall specify the period of validity of a provisional measure referred to in paragraph 5. This period shall not exceed three months. The supervisory authority shall, without delay, communicate those measures, with full reasons, to the European Data Protection Board and to the Commission and shall submit the matter in the mechanism referred to in Article 57.
SECTION 2 CONSISTENCY
Article 57 Consistency mechanism For the purposes set out in Article 46(1), the supervisory authorities shall co-operate with each other and the Commission through the consistency mechanism as set out in this section. Article 58 Opinion by the European Data Protection Board
EN
1.
Before a supervisory authority adopts a measure referred to in paragraph 2, this supervisory authority shall communicate the draft measure to the European Data Protection Board and the Commission.
2.
The obligation set out in paragraph 1 shall apply to a measure intended to produce legal effects and which: (a)
relates to processing activities which are related to the offering of goods or services to data subjects in several Member States, or to the monitoring of their behaviour; or
(b)
may substantially affect the free movement of personal data within the Union; or
(c)
aims at adopting a list of the processing operations subject to prior consultation pursuant to Article 34(5); or
82 181
EN
(d)
aims to determine standard data protection clauses referred to in point (c) of Article 42(2); or
(e)
aims to authorise contractual clauses referred to in point (d) of Article 42(2); or
(f)
aims to approve binding corporate rules within the meaning of Article 43.
3.
Any supervisory authority or the European Data Protection Board may request that any matter shall be dealt with in the consistency mechanism, in particular where a supervisory authority does not submit a draft measure referred to in paragraph 2 or does not comply with the obligations for mutual assistance in accordance with Article 55 or for joint operations in accordance with Article 56.
4.
In order to ensure correct and consistent application of this Regulation, the Commission may request that any matter shall be dealt with in the consistency mechanism.
5.
Supervisory authorities and the Commission shall electronically communicate any relevant information, including as the case may be a summary of the facts, the draft measure, and the grounds which make the enactment of such measure necessary, using a standardised format.
6.
The chair of the European Data Protection Board shall immediately electronically inform the members of the European Data Protection Board and the Commission of any relevant information which has been communicated to it, using a standardised format. The chair of the European Data Protection Board shall provide translations of relevant information, where necessary.
7.
The European Data Protection Board shall issue an opinion on the matter, if the European Data Protection Board so decides by simple majority of its members or any supervisory authority or the Commission so requests within one week after the relevant information has been provided according to paragraph 5. The opinion shall be adopted within one month by simple majority of the members of the European Data Protection Board. The chair of the European Data Protection Board shall inform, without undue delay, the supervisory authority referred to, as the case may be, in paragraphs 1 and 3, the Commission and the supervisory authority competent under Article 51 of the opinion and make it public.
8.
The supervisory authority referred to in paragraph 1 and the supervisory authority competent under Article 51 shall take account of the opinion of the European Data Protection Board and shall within two weeks after the information on the opinion by the chair of the European Data Protection Board, electronically communicate to the chair of the European Data Protection Board and to the Commission whether it maintains or amends its draft measure and, if any, the amended draft measure, using a standardised format. Article 59 Opinion by the Commission
1.
EN
Within ten weeks after a matter has been raised under Article 58, or at the latest within six weeks in the case of Article 61, the Commission may adopt, in order to
83 182
EN
ensure correct and consistent application of this Regulation, an opinion in relation to matters raised pursuant to Articles 58 or 61. 2.
Where the Commission has adopted an opinion in accordance with paragraph 1, the supervisory authority concerned shall take utmost account of the Commission’s opinion and inform the Commission and the European Data Protection Board whether it intends to maintain or amend its draft measure.
3.
During the period referred to in paragraph 1, the draft measure shall not be adopted by the supervisory authority.
4.
Where the supervisory authority concerned intends not to follow the opinion of the Commission, it shall inform the Commission and the European Data Protection Board thereof within the period referred to in paragraph 1 and provide a justification. In this case the draft measure shall not be adopted for one further month. Article 60 Suspension of a draft measure
1.
Within one month after the communication referred to in Article 59(4), and where the Commission has serious doubts as to whether the draft measure would ensure the correct application of this Regulation or would otherwise result in its inconsistent application, the Commission may adopt a reasoned decision requiring the supervisory authority to suspend the adoption of the draft measure, taking into account the opinion issued by the European Data Protection Board pursuant to Article 58(7) or Article 61(2), where it appears necessary in order to: (a)
reconcile the diverging positions of the supervisory authority and the European Data Protection Board, if this still appears to be possible; or
(b)
adopt a measure pursuant to point (a) of Article 62(1).
2.
The Commission shall specify the duration of the suspension which shall not exceed 12 months.
3.
During the period referred to in paragraph 2, the supervisory authority may not adopt the draft measure. Article 61 Urgency procedure
1.
EN
In exceptional circumstances, where a supervisory authority considers that there is an urgent need to act in order to protect the interests of data subjects, in particular when the danger exists that the enforcement of a right of a data subject could be considerably impeded by means of an alteration of the existing state or for averting major disadvantages or for other reasons, by way of derogation from the procedure referred to in Article 58, it may immediately adopt provisional measures with a specified period of validity. The supervisory authority shall, without delay, communicate those measures, with full reasons, to the European Data Protection Board and to the Commission.
84 183
EN
2.
Where a supervisory authority has taken a measure pursuant to paragraph 1 and considers that final measures need urgently be adopted, it may request an urgent opinion of the European Data Protection Board, giving reasons for requesting such opinion, including for the urgency of final measures.
3.
Any supervisory authority may request an urgent opinion where the competent supervisory authority has not taken an appropriate measure in a situation where there is an urgent need to act, in order to protect the interests of data subjects, giving reasons for requesting such opinion, including for the urgent need to act.
4.
By derogation from Article 58(7), an urgent opinion referred to in paragraphs 2 and 3 of this Article shall be adopted within two weeks by simple majority of the members of the European Data Protection Board. Article 62 Implementing acts
1.
The Commission may adopt implementing acts for: (a)
deciding on the correct application of this Regulation in accordance with its objectives and requirements in relation to matters communicated by supervisory authorities pursuant to Article 58 or 61, concerning a matter in relation to which a reasoned decision has been adopted pursuant to Article 60(1), or concerning a matter in relation to which a supervisory authority does not submit a draft measure and that supervisory authority has indicated that it does not intend to follow the opinion of the Commission adopted pursuant to Article 59;
(b)
deciding, within the period referred to in Article 59(1), whether it declares draft standard data protection clauses referred to in point (d) of Article 58(2), as having general validity;
(c)
specifying the format and procedures for the application of the consistency mechanism referred to in this section;
(d)
specifying the arrangements for the exchange of information by electronic means between supervisory authorities, and between supervisory authorities and the European Data Protection Board, in particular the standardised format referred to in Article 58(5), (6) and (8).
Those implementing acts shall be adopted in accordance with the examination procedure referred to in Article 87(2).
EN
2.
On duly justified imperative grounds of urgency relating to the interests of data subjects in the cases referred to in point (a) of paragraph 1, the Commission shall adopt immediately applicable implementing acts in accordance with the procedure referred to in Article 87(3). Those acts shall remain in force for a period not exceeding 12 months.
3.
The absence or adoption of a measure under this Section does not prejudice any other measure by the Commission under the Treaties.
85 184
EN
Article 63 Enforcement 1.
For the purposes of this Regulation, an enforceable measure of the supervisory authority of one Member State shall be enforced in all Member States concerned.
2.
Where a supervisory authority does not submit a draft measure to the consistency mechanism in breach of Article 58(1) to (5), the measure of the supervisory authority shall not be legally valid and enforceable.
SECTION 3 EUROPEAN DATA PROTECTION BOARD
Article 64 European Data Protection Board 1.
A European Data Protection Board is hereby set up.
2.
The European Data Protection Board shall be composed of the head of one supervisory authority of each Member State and of the European Data Protection Supervisor.
3.
Where in a Member State more than one supervisory authority is responsible for monitoring the application of the provisions pursuant to this Regulation, they shall nominate the head of one of those supervisory authorities as joint representative.
4.
The Commission shall have the right to participate in the activities and meetings of the European Data Protection Board and shall designate a representative. The chair of the European Data Protection Board shall, without delay, inform the Commission on all activities of the European Data Protection Board. Article 65 Independence
1.
The European Data Protection Board shall act independently when exercising its tasks pursuant to Articles 66 and 67.
2.
Without prejudice to requests by the Commission referred to in point (b) of paragraph 1 and in paragraph 2 of Article 66, the European Data Protection Board shall, in the performance of its tasks, neither seek nor take instructions from anybody. Article 66 Tasks of the European Data Protection Board
1.
EN
The European Data Protection Board shall ensure the consistent application of this Regulation. To this effect, the European Data Protection Board shall, on its own initiative or at the request of the Commission, in particular:
86 185
EN
(a)
advise the Commission on any issue related to the protection of personal data in the Union, including on any proposed amendment of this Regulation;
(b)
examine, on its own initiative or on request of one of its members or on request of the Commission, any question covering the application of this Regulation and issue guidelines, recommendations and best practices addressed to the supervisory authorities in order to encourage consistent application of this Regulation;
(c)
review the practical application of the guidelines, recommendations and best practices referred to in point (b) and report regularly to the Commission on these;
(d)
issue opinions on draft decisions of supervisory authorities pursuant to the consistency mechanism referred to in Article 57;
(e)
promote the co-operation and the effective bilateral and multilateral exchange of information and practices between the supervisory authorities;
(f)
promote common training programmes and facilitate personnel exchanges between the supervisory authorities, as well as, where appropriate, with the supervisory authorities of third countries or of international organisations;
(g)
promote the exchange of knowledge and documentation on data protection legislation and practice with data protection supervisory authorities worldwide.
2.
Where the Commission requests advice from the European Data Protection Board, it may lay out a time limit within which the European Data Protection Board shall provide such advice, taking into account the urgency of the matter.
3.
The European Data Protection Board shall forward its opinions, guidelines, recommendations, and best practices to the Commission and to the committee referred to in Article 87 and make them public.
4.
The Commission shall inform the European Data Protection Board of the action it has taken following the opinions, guidelines, recommendations and best practices issued by the European Data Protection Board. Article 67 Reports
1.
The European Data Protection Board shall regularly and timely inform the Commission about the outcome of its activities. It shall draw up an annual report on the situation regarding the protection of natural persons with regard to the processing of personal data in the Union and in third countries. The report shall include the review of the practical application of the guidelines, recommendations and best practices referred to in point (c) of Article 66(1).
2.
EN
The report shall be made public and transmitted to the European Parliament, the Council and the Commission.
87 186
EN
Article 68 Procedure 1.
The European Data Protection Board shall take decisions by a simple majority of its members.
2.
The European Data Protection Board shall adopt its own rules of procedure and organise its own operational arrangements. In particular, it shall provide for the continuation of exercising duties when a member’s term of office expires or a member resigns, for the establishment of subgroups for specific issues or sectors and for its procedures in relation to the consistency mechanism referred to in Article 57. Article 69 Chair
1.
The European Data Protection Board shall elect a chair and two deputy chairpersons from amongst its members. One deputy chairperson shall be the European Data Protection Supervisor, unless he or she has been elected chair.
2.
The term of office of the chair and of the deputy chairpersons shall be five years and be renewable. Article 70 Tasks of the chair
1.
2.
The chair shall have the following tasks: (a)
to convene the meetings of the European Data Protection Board and prepare its agenda;
(b)
to ensure the timely fulfilment of the tasks of the European Data Protection Board, in particular in relation to the consistency mechanism referred to in Article 57.
The European Data Protection Board shall lay down the attribution of tasks between the chair and the deputy chairpersons in its rules of procedure. Article 71 Secretariat
1.
The European Data Protection Board shall have a secretariat. The European Data Protection Supervisor shall provide that secretariat.
2.
The secretariat shall provide analytical, administrative and logistical support to the European Data Protection Board under the direction of the chair.
3.
The secretariat shall be responsible in particular for: (a)
EN
the day-to-day business of the European Data Protection Board;
88 187
EN
(b)
the communication between the members of the European Data Protection Board, its chair and the Commission and for communication with other institutions and the public;
(c)
the use of electronic means for the internal and external communication;
(d)
the translation of relevant information;
(e)
the preparation and follow-up of the meetings of the European Data Protection Board;
(f)
the preparation, drafting and publication of opinions and other texts adopted by the European Data Protection Board. Article 72 Confidentiality
1.
The discussions of the European Data Protection Board shall be confidential.
2.
Documents submitted to members of the European Data Protection Board, experts and representatives of third parties shall be confidential, unless access is granted to those documents in accordance with Regulation (EC) No 1049/2001 or the European Data Protection Board otherwise makes them public.
3.
The members of the European Data Protection Board, as well as experts and representatives of third parties, shall be required to respect the confidentiality obligations set out in this Article. The chair shall ensure that experts and representatives of third parties are made aware of the confidentiality requirements imposed upon them.
CHAPTER VIII REMEDIES, LIABILITY AND SANCTIONS Article 73 Right to lodge a complaint with a supervisory authority
EN
1.
Without prejudice to any other administrative or judicial remedy, every data subject shall have the right to lodge a complaint with a supervisory authority in any Member State if they consider that the processing of personal data relating to them does not comply with this Regulation.
2.
Any body, organisation or association which aims to protect data subjects’ rights and interests concerning the protection of their personal data and has been properly constituted according to the law of a Member State shall have the right to lodge a complaint with a supervisory authority in any Member State on behalf of one or more data subjects if it considers that a data subject’s rights under this Regulation have been infringed as a result of the processing of personal data.
89 188
EN
3.
Independently of a data subject's complaint, any body, organisation or association referred to in paragraph 2 shall have the right to lodge a complaint with a supervisory authority in any Member State, if it considers that a personal data breach has occurred. Article 74 Right to a judicial remedy against a supervisory authority
1.
Each natural or legal person shall have the right to a judicial remedy against decisions of a supervisory authority concerning them.
2.
Each data subject shall have the right to a judicial remedy obliging the supervisory authority to act on a complaint in the absence of a decision necessary to protect their rights, or where the supervisory authority does not inform the data subject within three months on the progress or outcome of the complaint pursuant to point (b) of Article 52(1).
3.
Proceedings against a supervisory authority shall be brought before the courts of the Member State where the supervisory authority is established.
4.
A data subject which is concerned by a decision of a supervisory authority in another Member State than where the data subject has its habitual residence, may request the supervisory authority of the Member State where it has its habitual residence to bring proceedings on its behalf against the competent supervisory authority in the other Member State.
5.
The Member States shall enforce final decisions by the courts referred to in this Article. Article 75 Right to a judicial remedy against a controller or processor
EN
1.
Without prejudice to any available administrative remedy, including the right to lodge a complaint with a supervisory authority as referred to in Article 73, every natural person shall have the right to a judicial remedy if they consider that their rights under this Regulation have been infringed as a result of the processing of their personal data in non-compliance with this Regulation.
2.
Proceedings against a controller or a processor shall be brought before the courts of the Member State where the controller or processor has an establishment. Alternatively, such proceedings may be brought before the courts of the Member State where the data subject has its habitual residence, unless the controller is a public authority acting in the exercise of its public powers.
3.
Where proceedings are pending in the consistency mechanism referred to in Article 58, which concern the same measure, decision or practice, a court may suspend the proceedings brought before it, except where the urgency of the matter for the protection of the data subject's rights does not allow to wait for the outcome of the procedure in the consistency mechanism.
90 189
EN
4.
The Member States shall enforce final decisions by the courts referred to in this Article. Article 76 Common rules for court proceedings
1.
Any body, organisation or association referred to in Article 73(2) shall have the right to exercise the rights referred to in Articles 74 and 75 on behalf of one or more data subjects.
2.
Each supervisory authority shall have the right to engage in legal proceedings and bring an action to court, in order to enforce the provisions of this Regulation or to ensure consistency of the protection of personal data within the Union.
3.
Where a competent court of a Member State has reasonable grounds to believe that parallel proceedings are being conducted in another Member State, it shall contact the competent court in the other Member State to confirm the existence of such parallel proceedings.
4.
Where such parallel proceedings in another Member State concern the same measure, decision or practice, the court may suspend the proceedings.
5.
Member States shall ensure that court actions available under national law allow for the rapid adoption of measures including interim measures, designed to terminate any alleged infringement and to prevent any further impairment of the interests involved. Article 77 Right to compensation and liability
1.
Any person who has suffered damage as a result of an unlawful processing operation or of an action incompatible with this Regulation shall have the right to receive compensation from the controller or the processor for the damage suffered.
2.
Where more than one controller or processor is involved in the processing, each controller or processor shall be jointly and severally liable for the entire amount of the damage.
3.
The controller or the processor may be exempted from this liability, in whole or in part, if the controller or the processor proves that they are not responsible for the event giving rise to the damage. Article 78 Penalties
1.
EN
Member States shall lay down the rules on penalties, applicable to infringements of the provisions of this Regulation and shall take all measures necessary to ensure that they are implemented, including where the controller did not comply with the
91 190
EN
obligation to designate a representative. The penalties provided for must be effective, proportionate and dissuasive. 2.
Where the controller has established a representative, any penalties shall be applied to the representative, without prejudice to any penalties which could be initiated against the controller.
3.
Each Member State shall notify to the Commission those provisions of its law which it adopts pursuant to paragraph 1, by the date specified in Article 91(2) at the latest and, without delay, any subsequent amendment affecting them. Article 79 Administrative sanctions
1.
Each supervisory authority shall be empowered to impose administrative sanctions in accordance with this Article.
2.
The administrative sanction shall be in each individual case effective, proportionate and dissuasive. The amount of the administrative fine shall be fixed with due regard to the nature, gravity and duration of the breach, the intentional or negligent character of the infringement, the degree of responsibility of the natural or legal person and of previous breaches by this person, the technical and organisational measures and procedures implemented pursuant to Article 23 and the degree of cooperation with the supervisory authority in order to remedy the breach.
3.
In case of a first and non-intentional non-compliance with this Regulation, a warning in writing may be given and no sanction imposed, where:
4.
5.
(a)
a natural person is processing personal data without a commercial interest; or
(b)
an enterprise or an organisation employing fewer than 250 persons is processing personal data only as an activity ancillary to its main activities.
The supervisory authority shall impose a fine up to 250 000 EUR, or in case of an enterprise up to 0,5 % of its annual worldwide turnover, to anyone who, intentionally or negligently: (a)
does not provide the mechanisms for requests by data subjects or does not respond promptly or not in the required format to data subjects pursuant to Articles 12(1) and (2);
(b)
charges a fee for the information or for responses to the requests of data subjects in violation of Article 12(4).
The supervisory authority shall impose a fine up to 500 000 EUR, or in case of an enterprise up to 1 % of its annual worldwide turnover, to anyone who, intentionally or negligently: (a)
EN
does not provide the information, or does provide incomplete information, or does not provide the information in a sufficiently transparent manner, to the data subject pursuant to Article 11, Article 12(3) and Article 14;
92 191
EN
6.
EN
(b)
does not provide access for the data subject or does not rectify personal data pursuant to Articles 15 and 16 or does not communicate the relevant information to a recipient pursuant to Article 13;
(c)
does not comply with the right to be forgotten or to erasure, or fails to put mechanisms in place to ensure that the time limits are observed or does not take all necessary steps to inform third parties that a data subjects requests to erase any links to, or copy or replication of the personal data pursuant Article 17;
(d)
does not provide a copy of the personal data in electronic format or hinders the data subject to transmit the personal data to another application in violation of Article 18;
(e)
does not or not sufficiently determine the respective responsibilities with cocontrollers pursuant to Article 24;
(f)
does not or not sufficiently maintain the documentation pursuant to Article 28, Article 31(4), and Article 44(3);
(g)
does not comply, in cases where special categories of data are not involved, pursuant to Articles 80, 82 and 83 with rules in relation to freedom of expression or with rules on the processing in the employment context or with the conditions for processing for historical, statistical and scientific research purposes.
The supervisory authority shall impose a fine up to 1 000 000 EUR or, in case of an enterprise up to 2 % of its annual worldwide turnover, to anyone who, intentionally or negligently: (a)
processes personal data without any or sufficient legal basis for the processing or does not comply with the conditions for consent pursuant to Articles 6, 7 and 8;
(b)
processes special categories of data in violation of Articles 9 and 81;
(c)
does not comply with an objection or the requirement pursuant to Article 19;
(d)
does not comply with the conditions in relation to measures based on profiling pursuant to Article 20;
(e)
does not adopt internal policies or does not implement appropriate measures for ensuring and demonstrating compliance pursuant to Articles 22, 23 and 30;
(f)
does not designate a representative pursuant to Article 25;
(g)
processes or instructs the processing of personal data in violation of the obligations in relation to processing on behalf of a controller pursuant to Articles 26 and 27;
93 192
EN
(h)
does not alert on or notify a personal data breach or does not timely or completely notify the data breach to the supervisory authority or to the data subject pursuant to Articles 31 and 32;
(i)
does not carry out a data protection impact assessment pursuant or processes personal data without prior authorisation or prior consultation of the supervisory authority pursuant to Articles 33 and 34;
(j)
does not designate a data protection officer or does not ensure the conditions for fulfilling the tasks pursuant to Articles 35, 36 and 37;
(k)
misuses a data protection seal or mark in the meaning of Article 39;
(l)
carries out or instructs a data transfer to a third country or an international organisation that is not allowed by an adequacy decision or by appropriate safeguards or by a derogation pursuant to Articles 40 to 44;
(m) does not comply with an order or a temporary or definite ban on processing or the suspension of data flows by the supervisory authority pursuant to Article 53(1);
7.
(n)
does not comply with the obligations to assist or respond or provide relevant information to, or access to premises by, the supervisory authority pursuant to Article 28(3), Article 29, Article 34(6) and Article 53(2);
(o)
does not comply with the rules for safeguarding professional secrecy pursuant to Article 84.
The Commission shall be empowered to adopt delegated acts in accordance with Article 86 for the purpose of updating the amounts of the administrative fines referred to in paragraphs 4, 5 and 6, taking into account the criteria referred to in paragraph 2.
CHAPTER IX PROVISIONS RELATING TO SPECIFIC DATA PROCESSING SITUATIONS Article 80 Processing of personal data and freedom of expression 1.
EN
Member States shall provide for exemptions or derogations from the provisions on the general principles in Chapter II, the rights of the data subject in Chapter III, on controller and processor in Chapter IV, on the transfer of personal data to third countries and international organisations in Chapter V, the independent supervisory authorities in Chapter VI and on co-operation and consistency in Chapter VII for the processing of personal data carried out solely for journalistic purposes or the purpose of artistic or literary expression in order to reconcile the right to the protection of personal data with the rules governing freedom of expression.
94 193
EN
2.
Each Member State shall notify to the Commission those provisions of its law which it has adopted pursuant to paragraph 1 by the date specified in Article 91(2) at the latest and, without delay, any subsequent amendment law or amendment affecting them. Article 81 Processing of personal data concerning health
1.
Within the limits of this Regulation and in accordance with point (h) of Article 9(2), processing of personal data concerning health must be on the basis of Union law or Member State law which shall provide for suitable and specific measures to safeguard the data subject's legitimate interests, and be necessary for: (a)
the purposes of preventive or occupational medicine, medical diagnosis, the provision of care or treatment or the management of health-care services, and where those data are processed by a health professional subject to the obligation of professional secrecy or another person also subject to an equivalent obligation of confidentiality under Member State law or rules established by national competent bodies; or
(b)
reasons of public interest in the area of public health, such as protecting against serious cross-border threats to health or ensuring high standards of quality and safety, inter alia for medicinal products or medical devices; or
(c)
other reasons of public interest in areas such as social protection, especially in order to ensure the quality and cost-effectiveness of the procedures used for settling claims for benefits and services in the health insurance system.
2.
Processing of personal data concerning health which is necessary for historical, statistical or scientific research purposes, such as patient registries set up for improving diagnoses and differentiating between similar types of diseases and preparing studies for therapies, is subject to the conditions and safeguards referred to in Article 83.
3.
The Commission shall be empowered to adopt delegated acts in accordance with Article 86 for the purpose of further specifying other reasons of public interest in the area of public health as referred to in point (b) of paragraph 1, as well as criteria and requirements for the safeguards for the processing of personal data for the purposes referred to in paragraph 1. Article 82 Processing in the employment context
1.
EN
Within the limits of this Regulation, Member States may adopt by law specific rules regulating the processing of employees' personal data in the employment context, in particular for the purposes of the recruitment, the performance of the contract of employment, including discharge of obligations laid down by law or by collective agreements, management, planning and organisation of work, health and safety at work, and for the purposes of the exercise and enjoyment, on an individual or
95 194
EN
collective basis, of rights and benefits related to employment, and for the purpose of the termination of the employment relationship. 2.
Each Member State shall notify to the Commission those provisions of its law which it adopts pursuant to paragraph 1, by the date specified in Article 91(2) at the latest and, without delay, any subsequent amendment affecting them.
3.
The Commission shall be empowered to adopt delegated acts in accordance with Article 86 for the purpose of further specifying the criteria and requirements for the safeguards for the processing of personal data for the purposes referred to in paragraph 1. Article 83 Processing for historical, statistical and scientific research purposes
1.
2.
3.
Within the limits of this Regulation, personal data may be processed for historical, statistical or scientific research purposes only if: (a)
these purposes cannot be otherwise fulfilled by processing data which does not permit or not any longer permit the identification of the data subject;
(b)
data enabling the attribution of information to an identified or identifiable data subject is kept separately from the other information as long as these purposes can be fulfilled in this manner.
Bodies conducting historical, statistical or scientific research may publish or otherwise publicly disclose personal data only if: (a)
the data subject has given consent, subject to the conditions laid down in Article 7;
(b)
the publication of personal data is necessary to present research findings or to facilitate research insofar as the interests or the fundamental rights or freedoms of the data subject do not override these interests; or
(c)
the data subject has made the data public.
The Commission shall be empowered to adopt delegated acts in accordance with Article 86 for the purpose of further specifying the criteria and requirements for the processing of personal data for the purposes referred to in paragraph 1 and 2 as well as any necessary limitations on the rights of information to and access by the data subject and detailing the conditions and safeguards for the rights of the data subject under these circumstances. Article 84 Obligations of secrecy
1.
EN
Within the limits of this Regulation, Member States may adopt specific rules to set out the investigative powers by the supervisory authorities laid down in Article 53(2) in relation to controllers or processors that are subjects under national law or rules
96 195
EN
established by national competent bodies to an obligation of professional secrecy or other equivalent obligations of secrecy, where this is necessary and proportionate to reconcile the right of the protection of personal data with the obligation of secrecy. These rules shall only apply with regard to personal data which the controller or processor has received from or has obtained in an activity covered by this obligation of secrecy. 2.
Each Member State shall notify to the Commission the rules adopted pursuant to paragraph 1, by the date specified in Article 91(2) at the latest and, without delay, any subsequent amendment affecting them. Article 85 Existing data protection rules of churches and religious associations
1.
Where in a Member State, churches and religious associations or communities apply, at the time of entry into force of this Regulation, comprehensive rules relating to the protection of individuals with regard to the processing of personal data, such rules may continue to apply, provided that they are brought in line with the provisions of this Regulation.
2.
Churches and religious associations which apply comprehensive rules in accordance with paragraph 1 shall provide for the establishment of an independent supervisory authority in accordance with Chapter VI of this Regulation.
CHAPTER X DELEGATED ACTS AND IMPLEMENTING ACTS Article 86 Exercise of the delegation
EN
1.
The power to adopt delegated acts is conferred on the Commission subject to the conditions laid down in this Article.
2.
The delegation of power referred to in Article 6(5), Article 8(3), Article 9(3), Article 12(5), Article 14(7), Article 15(3), Article 17(9), Article 20(6), Article 22(4), Article 23(3), Article 26(5), Article 28(5), Article 30(3), Article 31(5), Article 32(5), Article 336), Article 34(8), Article 35(11), Article 37(2), Article 39(2), Article 43(3), Article 44(7), Article 79(6), Article 81(3), Article 82(3) and Article 83(3) shall be conferred on the Commission for an indeterminate period of time from the date of entry into force of this Regulation.
3.
The delegation of power referred to in Article 6(5), Article 8(3), Article 9(3), Article 12(5), Article 14(7), Article 15(3), Article 17(9), Article 20(6), Article 22(4), Article 23(3), Article 26(5), Article 28(5), Article 30(3), Article 31(5), Article 32(5), Article 33(6), Article 34(8), Article 35(11), Article 37(2), Article 39(2), Article 43(3), Article 44(7), Article 79(6), Article 81(3), Article 82(3) and Article 83(3) may be revoked at any time by the European Parliament or by the Council. A decision of revocation shall put an end to the delegation of power specified in that decision. It shall take effect the day following the publication of the decision in the Official
97 196
EN
Journal of the European Union or at a later date specified therein. It shall not affect the validity of any delegated acts already in force. 4.
As soon as it adopts a delegated act, the Commission shall notify it simultaneously to the European Parliament and to the Council.
5.
A delegated act adopted pursuant to Article 6(5), Article 8(3), Article 9(3), Article 12(5), Article 14(7), Article 15(3), Article 17(9), Article 20(6), Article 22(4), Article 23(3), Article 26(5), Article 28(5), Article 30(3), Article 31(5), Article 32(5), Article 33(6), Article 34(8), Article 35(11), Article 37(2), Article 39(2), Article 43(3), Article 44(7), Article 79(6), Article 81(3), Article 82(3) and Article 83(3) shall enter into force only if no objection has been expressed either by the European Parliament or the Council within a period of two months of notification of that act to the European Parliament and the Council or if, before the expiry of that period, the European Parliament and the Council have both informed the Commission that they will not object. That period shall be extended by two months at the initiative of the European Parliament or the Council. Article 87 Committee procedure
1.
The Commission shall be assisted by a committee. That committee shall be a committee within the meaning of Regulation (EU) No 182/2011.
2.
Where reference is made to this paragraph, Article 5 of Regulation (EU) No 182/2011 shall apply.
3.
Where reference is made to this paragraph, Article 8 of Regulation (EU) No 182/2011, in conjunction with Article 5 thereof, shall apply.
CHAPTER XI FINAL PROVISIONS Article 88 Repeal of Directive 95/46/EC
EN
1.
Directive 95/46/EC is repealed.
2.
References to the repealed Directive shall be construed as references to this Regulation. References to the Working Party on the Protection of Individuals with regard to the Processing of Personal Data established by Article 29 of Directive 95/46/EC shall be construed as references to the European Data Protection Board established by this Regulation.
98 197
EN
Article 89 Relationship to and amendment of Directive 2002/58/EC 1.
This Regulation shall not impose additional obligations on natural or legal persons in relation to the processing of personal data in connection with the provision of publicly available electronic communications services in public communication networks in the Union in relation to matters for which they are subject to specific obligations with the same objective set out in Directive 2002/58/EC.
2
Article 1(2) of Directive 2002/58/EC shall be deleted. Article 90 Evaluation
The Commission shall submit reports on the evaluation and review of this Regulation to the European Parliament and the Council at regular intervals. The first report shall be submitted no later than four years after the entry into force of this Regulation. Subsequent reports shall be submitted every four years thereafter. The Commission shall, if necessary, submit appropriate proposals with a view to amending this Regulation, and aligning other legal instruments, in particular taking account of developments in information technology and in the light of the state of progress in the information society. The reports shall be made public. Article 91 Entry into force and application 1.
This Regulation shall enter into force on the twentieth day following that of its publication in the Official Journal of the European Union.
2.
It shall apply from [two years from the date referred to in paragraph 1].
This Regulation shall be binding in its entirety and directly applicable in all Member States. Done at Brussels,
For the European Parliament The President
EN
For the Council The President
99 198
EN
LEGISLATIVE FINANCIAL STATEMENT 1.
FRAMEWORK OF THE PROPOSAL/INITIATIVE 1.1. Title of the proposal/initiative 1.2. Policy area(s) concerned in the ABM/ABB structure 1.3. Nature of the proposal/initiative 1.4. Objective(s) 1.5. Grounds for the proposal/initiative 1.6. Duration and financial impact 1.7. Management method(s) envisaged
2.
MANAGEMENT MEASURES 2.1. Monitoring and reporting rules 2.2. Management and control system 2.3. Measures to prevent fraud and irregularities
3.
ESTIMATED FINANCIAL IMPACT OF THE PROPOSAL/INITIATIVE 3.1. Heading(s) of the multiannual financial framework and expenditure budget line(s) affected 3.2. Estimated impact on expenditure 3.2.1. Summary of estimated impact on expenditure 3.2.2. Estimated impact on operational appropriations 3.2.3. Estimated impact on appropriations of an administrative nature 3.2.4. Compatibility with the current multiannual financial framework 3.2.5. Third-party participation in financing 3.3. Estimated impact on revenue
EN
100 199
EN
LEGISLATIVE FINANCIAL STATEMENT 1.
FRAMEWORK OF THE PROPOSAL/INITIATIVE This financial statement indicates in more detail the requirements in terms of administrative expenditure in order to put in practice the data protection reform, as explained in the corresponding impact assessment. The reform includes two legislative proposals, a general Data Protection Regulation and a Directive on the protection of individuals with regard to the processing of personal data by competent authorities for the purposes of prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties. This financial statement covers the budgetary impact of both instruments. According to the distribution of tasks, resources are required by the Commission and by the European Data Protection Supervisor (EDPS). As regards the Commission, the necessary resources are already included in the proposed financial perspective 2014-2020. Data protection is one of the objectives of the Rights and Citizenship' programme, which will also support measures to put the legal framework into practice. The administrative appropriations including staff requirements are included in the administrative budget for DG JUST. As regards the EDPS, the necessary resources will need to be taken into account in the respective annual budgets for the EDPS. The resources are detailed in the annex of this financial statement. In order to provide the resources required for the new tasks of the European Data Protection Board, for which the EDPS will provide the secretariat, reprogramming of Heading 5 of the financial perspective 2014-2020 will be required.
1.1.
Title of the proposal/initiative Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free flow of such data (General Data Protection Regulation). Proposal for a Directive of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data by competent authorities for the purposes of prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and the free movement of such data.
1.2.
Policy area(s) concerned in the ABM/ABB structure49 Justice – Protection of Personal Data The budgetary impact concerns the Commission and the EDPS. The impact on the Commission budget is detailed in the tables of this financial statement. Operational
49
EN
ABM: Activity-Based Management – ABB: Activity-Based Budgeting.
101 200
EN
expenditure is part of the Rights and Citizenship Programme and has been taken into account in the financial statement for that programme already, as administrative expenditure is within the envelope for DG Justice. The elements concerning the EDPS are shown in the Annex. 1.3.
Nature of the proposal/initiative The proposal/initiative relates to a new action The proposal/initiative relates to a new action following a pilot project/preparatory action50 ; The proposal/initiative relates to the extension of an existing action The proposal/initiative relates to an action redirected towards a new action
1.4.
Objectives
1.4.1.
The Commission's multiannual strategic objective(s) targeted by the proposal/initiative The reform aims at completing the achievement of the original objectives, taking account of new developments and challenges, i.e.: - increasing the effectiveness of the fundamental right to data protection and putting individuals in control of their data, particularly in the context of technological developments and increased globalisation; - enhancing the internal market dimension of data protection by reducing fragmentation, strengthening consistency and simplifying the regulatory environment, thus eliminating unnecessary costs and reducing the administrative burden. In addition, the entry into force of the Lisbon Treaty - and in particular the introduction of a new legal basis (Article 16 TFEU) - offers the opportunity to achieve a new objective, i.e. - to establish a comprehensive data protection framework covering all areas.
1.4.2.
Specific objective(s) and ABM/ABB activity(ies) concerned Specific objective No 1 To ensure consistent enforcement of data protection rules Specific objective No 2 To rationalise the current governance system to help ensuring a more consistent enforcement ABM/ABB activity(ies) concerned […]
50
EN
As referred to in Article 49(6)(a) or (b) of the Financial Regulation.
102 201
EN
1.4.3.
Expected result(s) and impact Specify the effects which the proposal/initiative should have on the beneficiaries/groups targeted.
As regards data controllers, both public and private entities shall benefit from more legal certainty by harmonised and clarified EU data protection rules and procedures creating a level playing field and ensuring consistent enforcement of data protection rules, as well as a considerable reduction of administrative burden. Individuals will enjoy better control of their personal data and trust the digital environment and will remain protected including when their personal data are processed abroad. They will also encounter reinforced accountability of those processing personal data. A comprehensive data protection system will also cover the areas of police and justice, including and beyond the former 3rd pillar. 1.4.4.
Indicators of results and impact Specify the indicators for monitoring implementation of the proposal/initiative.
(cf. Impact Assessment, Section 8) Indicators shall be evaluated periodically and shall include the following elements: • Time and costs spent by data controllers in complying with legislation in ‘other Member States’ •
Resources allocated to DPAs,
•
established DPOs in public and private organisations,
•
Use made of DPIA,
• number of complaints made by data subjects and compensation received by data subjects, •
number of cases leading to prosecution of data controllers,
•
fines imposed on data controllers responsible for breaches of data protection.
1.5.
Grounds for the proposal/initiative
1.5.1.
Requirement(s) to be met in the short or long term The current divergences in the implementation, interpretation and enforcement of the Directive by Member States hamper the functioning of the internal market and co-operation between public authorities in relation to EU policies. This goes against the fundamental objective of the Directive of facilitating the free flow of personal data in the internal market. The rapid development of new technologies and globalisation further exacerbates this problem.
EN
103 202
EN
Individuals enjoy different data protection rights, due to fragmentation and inconsistent implementation and enforcement in different Member States. Furthermore, individuals are often neither aware nor in control of what happens to their personal data and therefore fail to exercise their rights effectively. 1.5.2.
Added value of EU involvement Member States alone cannot reduce the problems in the current situation. This is particularly the case for those problems that arise from the fragmentation in national legislations implementing the EU data protection regulatory framework. Thus, there is a strong rationale for a legal framework for data protection at EU level. There is a particular need to establish a harmonised and coherent framework allowing for a smooth transfer of personal data across borders within the EU while ensuring effective protection to all individuals across the EU.
1.5.3.
Lessons learned from similar experiences in the past The present proposals build on the experience with Directive 95/46/EC and the problems encountered due to fragmented transposition and implementation of that Directive, which have blocked it from achieving both its objectives, i.e. a high level of data protection and a single market for data protection.
1.5.4.
Coherence and possible synergy with other relevant instruments The present Data Protection Reform package aims at building a strong, consistent and modern data protection framework at EU level - technologically neutral, and future proof for the decades to come. It will benefit individuals – by strengthening their data protection rights, particularly in the digital environment - and will simplify the legal environment for businesses and the public sector, thus stimulating the development of the digital economy across the EU internal market and beyond, in line with the objectives of the Europe 2020 strategy. The core of the data protection reform package consists of: –
a Regulation replacing Directive 95/46/EC;
– a Directive on the protection of individuals with regard to the processing of personal data by competent authorities for the purposes of prevention, detection, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and the free movement of such data. These legislative proposals are accompanied by a report on the implementation by Member States of what is currently the main EU data protection instrument in the areas of police cooperation and judicial co-operation in criminal matters, the Framework Decision 2008/977/JHA.
EN
104 203
EN
1.6.
Duration and financial impact Proposal/initiative of limited duration 1. Proposal/initiative in effect from [DD/MM]YYYY to [DD/MM]YYYY 2. Financial impact from YYYY to YYYY ; Proposal/initiative of unlimited duration 1. Implementation with a start-up period from 2014 to 2016, 2. followed by full-scale operation.
1.7.
Management mode(s) envisaged51 ; Centralised direct management by the Commission Centralised indirect management with the delegation of implementation tasks to: 3. executive agencies 4. bodies set up by the Communities52 5. national public-sector bodies/bodies with public-service mission 3. persons entrusted with the implementation of specific actions pursuant to Title V of the Treaty on European Union and identified in the relevant basic act within the meaning of Article 49 of the Financial Regulation Shared management with the Member States Decentralised management with third countries Joint management with international organisations (to be specified) If more than one management mode is indicated, please provide details in the "Comments" section.
Comments //
51
Details of management modes and references to the Financial Regulation may be found on the BudgWeb site: http://www.cc.cec/budg/man/budgmanag/budgmanag_en.html
52
EN
As referred to in Article 185 of the Financial Regulation.
105 204
EN
2.
MANAGEMENT MEASURES
2.1.
Monitoring and reporting rules Specify frequency and conditions.
The first evaluation will take place 4 years after the entry into force of the legal instruments. An explicit review clause, by which the Commission will evaluate the implementation, is included in the legal instruments. The Commission will subsequently report to the European Parliament and the Council on its evaluation. Further evaluations will have to take place every four years. The Commission methodology on evaluation will be applied. These evaluations will be conducted with the help of targeted studies on the implementation of the legal instruments, questionnaires to national data protection authorities, expert discussions, workshops, Eurobarometer surveys, and so forth. 2.2.
Management and control system
2.2.1.
Risk(s) identified An Impact Assessment has been carried out for the reform of the data protection framework in the EU to accompany the proposals for the Regulations and the Directive The new legal instrument will introduce a consistency mechanism, ensuring that independent supervisory authorities in Member States apply the framework in a consistent and coherent manner. The mechanism will operate through the European Data Protection Board composed of the heads of the national supervisory authorities and of the European Data Protection Supervisor (EDPS), which will replace the current Article 29 Working Party. The EDPS will provide the secretariat for this body. In case of possibly divergent decisions by Member States' authorities, the European Data Protection Board will be consulted in order to issue an opinion on the matter. Should this procedure fail, or if a supervisory authority refuses to comply with the opinion, the Commission might, in order to ensure correct and consistent application of this Regulation, may issue an opinion or, where necessary, adopt a decision, where it has serious doubts as to whether the draft measure would ensure the correct application of this Regulation or would otherwise result in its inconsistent application. The consistency mechanism requires additional resources for the EDPS (12 FTE and adequate administrative and operative appropriations, e.g., for IT systems and operations) for providing the secretariat and for the Commission (5 FTE and related administrative and operational appropriations) for the handling of consistency cases.
2.2.2.
Control method(s) envisaged Existing control methods applied by the EDPS and by the Commission will cover the additional appropriations.
EN
106 205
EN
2.3.
Measures to prevent fraud and irregularities Specify existing or envisaged prevention and protection measures
Existing fraud prevention measures applied by the EDPS and by the Commission will cover the additional appropriations.
EN
107 206
EN
3.
ESTIMATED FINANCIAL IMPACT OF THE PROPOSAL/INITIATIVE
3.1.
Heading(s) of the multiannual financial framework and expenditure budget line(s) affected 1. Existing expenditure budget lines In order of multiannual financial framework headings and budget lines. Type of expenditure
Budget line Heading of multiannual financial framework
Number [Description………………………...……….]
Diff./nondiff. (53)
3.2.
Estimated impact on expenditure
3.2.1.
Summary of estimated impact on expenditure
Contribution from EFTA54 countries
from candidate countries55
from third countries
within the meaning of Article 18(1)(aa) of the Financial Regulation
EUR million (to 3 decimal places)
Heading of multiannual financial framework:
Number Year 56 N = 2014
Year N+1
Year N+2
Year N+3
… enter as many years as necessary to show the duration of the impact (see point 1.6)
TOTAL
y Operational appropriations Number of budget line
53 54 55 56
Commitments Payments
(1) (2)
Diff. = Differentiated appropriations / Non-diff. = Non-Differentiated Appropriations EFTA: European Free Trade Association. Candidate countries and, where applicable, potential candidate countries from the Western Balkans. Year N is the year in which implementation of the proposal/initiative starts.
EN
108 207
E
Number of budget line
Appropriations of an administrative from the envelope for specific programmes57
Commitments
(1a)
Payments
(2a)
nature
financed
Number of budget line
TOTAL appropriations for DG
y TOTAL operational appropriations
(3)
Commitments
=1+1a +3
Payments
=2+2a +3
Commitments Payments
(4) (5)
y TOTAL appropriations of an administrative nature financed from the envelope for specific programmes
TOTAL appropriations under HEADING 3 of the multiannual financial framework
(6)
Commitments
=4+ 6
Payments
=5+ 6
If more than one heading is affected by the proposal / initiative: y TOTAL operational appropriations
Commitments
(4)
Payments
(5)
y TOTAL appropriations of an administrative nature financed from the envelope for specific programmes
TOTAL appropriations under HEADINGS 1 to 4 of the multiannual financial framework
(6)
Commitments
=4+ 6
Payments
=5+ 6
(Reference amount)
Heading of multiannual financial framework:
57
5
" Administrative expenditure "
Technical and/or administrative assistance and expenditure in support of the implementation of EU programmes and/or actions (former "BA" lines), indirect research, direct research.
EN
109 208
E
EUR million (to 3 decimal places) Year N=
Year 2015
Year 2016
Year 2017
Year 2018
Year 2019
Year 2020
TOTAL
2014
DG: JUST y Human resources
2.922
2.922
2.922
2.922
2.922
2.922
2.922
20.454
y Other administrative expenditure
0.555
0.555
0.555
0.555
0.555
0.555
0.555
3.885
3.477
3.477
3.477
3.477
3.477
3.477
3.477
24.339
3.477
3.477
3.477
3.477
3.477
3.477
3.477
24.339
TOTAL DG JUST
TOTAL appropriations under HEADING 5 of the multiannual financial framework
(Total commitments = Total payments)
EUR million (to 3 decimal places) Year N+1
Year N58
TOTAL appropriations under HEADINGS 1 to 5 of the multiannual financial framework
58
Year N+2
Year N+3
‌ enter as many years as necessary to show the duration of the impact (see point 1.6)
TOTAL
Commitments
3.477
3.477
3.477
3.477
3.477
3.477
3.477
24.339
Payments
3.477
3.477
3.477
3.477
3.477
3.477
3.477
24.339
Year N is the year in which implementation of the proposal/initiative starts.
EN
110 209
E
3.2.2.
Estimated impact on operational appropriations 6. ; The proposal/initiative does not require the use of operational appropriations
A high level of protection of personal data is also one of the objectives of the Rights and Citizenships Programme. 7. The proposal/initiative requires the use of operational appropriations, as explained below: Commitment appropriations in EUR million (to 3 decimal places) Year N=2014
Indicate objectives and outputs
Year N+2
Year N+3
… enter as many years as necessary to show the duration of the impact (see point 1.6)
TOTAL
Cost
Cost
Number of outputs
Cost
Number of outputs
Cost
Number of outputs
Cost
Number of outputs
Cost
Number of outputs
Type of output59
Avera ge cost of the output
Number of outputs
OUTPUTS Number of outputs
Ø
Year N+1
Cost
Total numbe r of output s
Total cost
SPECIFIC OBJECTIVE No 1 - Output Files60 Sub-total for specific objective N°1 SPECIFIC OBJECTIVE No 2 - Output Cases61 Sub-total for specific objective N°2 TOTAL COST
59 60 61
EN
Outputs are products and services to be supplied (e.g.: number of student exchanges financed, number of km of roads built, etc.). Opinions, decisions, procedures meetings of the board. Cases treated under the consistency mechanism
111 210
EN
3.2.3.
Estimated impact on appropriations of an administrative nature
3.2.3.1. Summary 8. Â… The proposal/initiative does not require the use of administrative appropriations 9. ; The proposal/initiative requires the use of administrative appropriations, as explained below: EUR million (to 3 decimal places) Year N 62 2014
Year 2015
Year 2016
Year 2017
Year 2018
Year 2019
Year 2020
TOTAL
HEADING 5 of the multiannual financial framework Human resources
2.922
2.922
2.922
2.922
2.922
2.922
2.922
20.454
Other administrative expenditure
0.555
0.555
0.555
0.555
0.555
0.555
0.555
3.885
Subtotal HEADING 5 of the multiannual financial framework
3.477
3.477
3.477
3.477
3.477
3.477
3.477
24.339
3.477
3.477
3.477
3.477
3.477
3.477
Outside HEADING 563 of the multiannual financial framework
Human resources Other expenditure of an administrative nature Subtotal outside HEADING 5 of the multiannual financial framework
TOTAL
62 63
EN
3.477
24.339
Year N is the year in which implementation of the proposal/initiative starts. Technical and/or administrative assistance and expenditure in support of the implementation of EU programmes and/or actions (former "BA" lines), indirect research, direct research.
112 211
EN
3.2.3.2. Estimated requirements of human resources 10.
The proposal/initiative does not require the use of human resources
11. ; The proposal/initiative requires the use of human resources, as explained below: Estimate to be expressed in full time equivalent units (or at most to one decimal place) Year
Year 2015
2014
Year 2016
Year 2017
Year 2018
Year 2019
Year 2020
y Establishment plan posts (officials and temporary agents) XX 01 01 01 (Headquarters and Commission’s Representation Offices)
22
22
22
22
22
22
22
2
2
2
2
2
2
2
24
24
24
24
24
24
24
XX 01 01 02 (Delegations) y External personnel (in Full Time Equivalent unit: FTE)64 XX 01 02 01 (CA, INT, SNE from the "global envelope") XX 01 02 02 (CA, INT, JED, LA and SNE in the delegations) XX 01 04 yy 65
- at Headquarters66 - in delegations
XX 01 05 02 (CA, INT, SNE - Indirect research) 10 01 05 02 (CA, INT, SNE - Direct research) Other budget lines (specify) TOTAL
XX is the policy area or budget title concerned. With the reform, the Commission will have to perform new tasks in the area of the protection of individuals regarding the processing of personal data, in addition to those currently performed. The additional tasks mainly concern the implementation of the new consistency mechanism which will ensure coherent application of harmonised data protection law, the adequacy assessment of third countries for which the Commission will have sole responsibility, and the preparation of implementing measures and delegated acts. The other tasks currently performed by the Commission (e.g. policy development, monitoring transposition, awareness raising, complaints etc), will continue to be performed. The human resources required will be met by staff from the DG who are already assigned to management of the action and/or have been redeployed within the DG, together if necessary with any additional allocation which may be granted to the
64
65 66
EN
CA= Contract Agent; INT= agency staff ("Intérimaire"); JED= "Jeune Expert en Délégation" (Young Experts in Delegations); LA= Local Agent; SNE= Seconded National Expert; Under the ceiling for external personnel from operational appropriations (former "BA" lines). Essentially for Structural Funds, European Agricultural Fund for Rural Development (EAFRD) and European Fisheries Fund (EFF).
113 212
EN
managing DG under the annual allocation procedure and in the light of budgetary constraints. Description of tasks to be carried out:
Officials and temporary agents
Case handlers, operating the data protection consistency mechanism to ensure unity of application of EU data protection rules. Tasks include investigation and research of cases submitted for decision from Member States' authorities, negotiation with Member States and preparation of Commission decisions. Based on recent experience, 5 to 10 cases per year may require invocation of the consistency mechanism. The handling of adequacy requests requires direct interaction with the requesting country, possibly the management of expert studies on the conditions in the country, assessment of the conditions, preparation of the relevant Commission decisions and of the process, including of the Committee assisting the Commission and any expert bodies as appropriate. Based on current experience, up to 4 adequacy requests can be expected per year. The process of adopting implementing measures includes preparatory measures, such as issue papers, research and public consultations, as well as the drafting of the actual instrument and management of the negotiation process in the relevant Committees and other groups, as well as stakeholder contacts in general. Across the areas requiring more precise guidance, up to three implementing measures may be handled per year, while the process may take up to 24 months, depending on the intensity of consultations.
External personnel
3.2.4.
Administrative and secretarial support
Compatibility with the current multiannual financial framework 12. Â… Proposal/initiative is compatible with the next multiannual financial framework. 13. ; Proposal/initiative will entail reprogramming of the relevant heading in the multiannual financial framework.
The table below indicates the amounts of financial resources required annually by the EDPS for its new tasks of providing the secretariat of the European Data Protection Board and the related procedures and tools over the period of the next financial perspective, in addition to those already included in the planning. Year
2014
2015
2016
2017
2018
2019
2020
Total
Staff etc
1.555
1.555
1.543
1.543
1.543
1.543
1.543
10.823
Operations
0.850
1.500
1.900
1.900
1.500
1.200
1.400
10.250
Total
2.405
3.055
3.443
3.443
3.043
2.743
2.943
21.073
14. Â… Proposal/initiative requires application of the flexibility instrument or revision of the multiannual financial framework67.
67
EN
See points 19 and 24 of the Interinstitutional Agreement.
114 213
EN
3.2.5.
Third-party contributions 15.
;The proposal/initiative does not provide for co-financing by third parties
16.
The proposal/initiative provides for the co-financing estimated below: Appropriations in EUR million (to 3 decimal places) Year N
Year N+1
Year N+2
Year N+3
… enter as many years as necessary to show the duration of the impact (see point 1.6)
Total
Specify the co-financing body TOTAL appropriations cofinanced
3.3.
Estimated impact on revenue 17.
;
Proposal/initiative has no financial impact on revenue.
18.
Proposal/initiative has the following financial impact: •
on own resources
•
on miscellaneous revenue EUR million (to 3 decimal places)
Budget revenue line:
Appropriations available for the ongoing budget year
Impact of the proposal/initiative68 Year N
Year N+1
Year N+2
Year N+3
… insert as many columns as necessary in order to reflect the duration of the impact (see point 1.6)
For miscellaneous assigned revenue, specify the budget expenditure line(s) affected. Specify the method for calculating the impact on revenue.
68
EN
As regards traditional own resources (customs duties, sugar levies), the amounts indicated must be net amounts, i.e. gross amounts after deduction of 25% for collection costs.
115 214
EN
Annex to Legislative Financial Statement for proposal for a Regulation of the European Parliament and of the Council on the protection of individuals regarding the processing of personal data. Applied methodology and main underlying assumptions The costs related to the new tasks to be carried out by the European Data Protection Supervisor (EDPS) stemming from the two proposals have been estimated for staff expenditure on the basis of the costs incurred by the Commission currently for similar tasks. The EDPS will host the secretariat of the European Data Protection Board replacing the Article 29 Working Party. On the basis of the Commission current workload for this task, this results in the need for 3 additional FTE plus corresponding administrative and operational expenditure. This workload will commence from the entry into force of the Regulation. Furthermore, the EDPS will have a role in the consistency mechanism which is expected to require 5 FTEs, and in developing and operating a common IT tool for national DPAs, which will require 2 additional staff members. The calculation of the increase in the required staff budget for the first seven years is presented in more
detail in the table below. A second table shows the required operational budget. This will be reflected in the Budget of the EU in Section IX EDPS. Cost type
Calculation
2014
2015
Amount (in thousands) 2016 2017 2018 2019
2020
Total
Salaries and allowances - of EDPB Chair
0.300
0.300
0.300
0.300
0.300
0.300
2.100
- of which officials and temporary agents
=7*0.127
0.889
0.889
0.889
0.889
0.889
0.889
0.889
6.223
- of which SNEs
=1*0.073
0.073
0.073
0.073
0.073
0.073
0.073
0.073
0.511
=2*0.064
0.128
0.128
0.128
0.128
0.128
0.128
0.128
0.896
=10*0.005
0.025
0.025
0.013
0.013
0.013
0.013
0.013
0.113
0.090
0.090
0.090
0.090
0.090
0.090
0.090
0.630
0.050
0.050
0.050
0.050
0.050
0.050
0.050
0.350
1.555
1.555
1.543
1.543
1.543
1.543
1.543
10.823
- of which contract agents Expenditure related to recruitment Mission expenses Other expenses, training Total Administrative expenditure
EN
0.300
=10*0.005
116 215
EN
Description of tasks to be carried out:
Officials and temporary agents
Desk officers in charge of the secretariat of the Data Protection Board. Apart from logistics support, including budgetary and contractual issues, this includes the preparation of meeting agendas and expert invitations, research on subjects on the agenda of the group, management of the documents relating to the work of the group including the relevant data protection, confidentiality and public access requirements. Including all subgroups and expert groups, up to 50 meetings and decision procedures may have to be organised every year. Case handlers, operating the data protection consistency mechanism to ensure unity of application of EU data protection rules. Tasks include investigation and research of cases submitted for decision from Member States' authorities, negotiation with Member States and preparation of Commission decisions. Based on recent experience, there may be 5 to 10 cases per year requiring invocation of the consistency mechanism. The IT tool shall simplify the operational interaction between national DPAs and data controllers obliged to share information with the public authorities. The responsible staff member(s) will ensure quality control, project management and budgetary follow-up of the IT processes on requirements engineering, implementation and operation of the systems.
External personnel
EN
Administrative and secretarial support
117 216
EN
Expenditure for EDPS relating to specific tasks Year N=2014
Indicate objectives and outputs
Year N+2
Year N+3
Cost
30
0.300
40
0.400
50
0.500
50
0.500
50
0.500
50
0.500
50
0.500
320
3.200
30
0.300
40
0.400
50
0.500
50
0.500
50
0.500
50
0.500
50
0.500
320
3.200
Cost
Cost
Files
0.050
Sub-total for specific objective N°2
- Output
5
0.250
10
0.500
10
0.500
10
0.500
8
0.400
8
0.400
8
0.400
59
2.950
5
0.250
10
0.500
10
0.500
10
0.500
8
0.400
8
0.400
8
0.400
59
2.950
0.300
6
0.600
9
0.900
9
0.900
6
0.600
3
0.300
5
0.500
41
4.100
Sub-total for specific objective N°3
3
0.300
6
0.600
9
0.900
9
0.900
6
0.600
3
0.300
5
0.500
41
4.100
TOTAL COST
38
0.850
56
1.500
69
1.900
69
1.900
64
1.500
61
1.200
63
1.400
420
10.250
70 71 72 73
EN
0.100
Common IT tool for DPAs (EDPS) 3
69
Cases
Cost
Consistency Mechanism
SPECIFIC OBJECTIVE No 3 73
Cost
Secretariat to DP Board
SPECIFIC OBJECTIVE No 2 72
Total cost
Number of outputs
0.010
Total number of outputs
Number of outputs
Cases71
Sub-total for specific objective N°1
- Output
TOTAL
Cost
Cost
Number of outputs
Number of outputs
Number of outputs
Number of outputs
Number of outputs
Averag e cost of the output
SPECIFIC OBJECTIVE No 170 - Output
enter as many years as necessary to show the duration of the impact (see point 1.6)
OUTPUTS
Type of output69
Ø
Year N+1
Outputs are products and services to be supplied (e.g.: number of student exchanges financed, number of km of roads built, etc.). As described in Section 1.4.2. "Specific objective(s)…" Cases treated under the consistency mechanism Opinions, decisions, procedures meetings of the board. The totals for each year estimate the efforts for developing and operating the IT tools
118 217
EN
ACHTERGRONDSTUDIES EN VERKENNINGEN 21
START J.H.J. Terstegge
Goed werken
Regels voor controle op e-mail en internetgebruik van werknemers
in netwerken
218
C O L L E G E B ESC HERMING P E R S O O N S G E G E V E N S
ACHTERGRONDSTUDIES EN VERKENNINGEN 21
Regels voor controle op e-mail en internetgebruik van werknemers
J.H.J. Terstegge
Goed werken
in netwerken
Tweede druk, herzien door drs. S. Lieon
<
VORIGE
INHOUD 219
VOLGENDE
>
Publicaties in de serie achtergrondstudies en verkenningen zijn het resultaat van onderzoeken uitgevoerd door of in opdracht van het College bescherming persoonsgegevens (CBP). Met het uitbrengen van deze publicaties beoogt het CBP de discussie en de meningsvorming te stimuleren over ontwikkelingen in de samenleving waarbij de persoonlijke levenssfeer van de burger in het geding is. In veel gevallen wordt in de publicaties het normatieve kader zoveel mogelijk praktisch uitgewerkt voor het onderwerp van de studie. Het CBP wil hiermee een handreiking geven voor het realiseren van de eigen verantwoordelijkheid die de wet een ieder geeft voor de bescherming van persoonsgegevens.
COLOFON
COLLEGE BESCHERMING
Goed werken in netwerken â&#x20AC;&#x201C; Regels voor controle op e-mail en internetgebruik van werknemers. Tweede herziene druk. ISBN 90 74087 30 2
PERSOONSGEGEVENS
Prins Clauslaan 20 Postbus 93374 2509 AJ Den Haag TELEFOON 070 381 13 00 FAX 070 381 13 01 E - MAIL info@cbpweb.nl INTERNET www.cbpweb.nl
2
<
College bescherming persoonsgegevens, Den Haag, april 2002. Niets uit deze uitgave mag worden verveelvoudigd en/of openbaar gemaakt door middel van druk, fotocopie, microfilm of op welke wijze dan ook, zonder voorafgaande schriftelijke toestemming van het College bescherming persoonsgegevens. Ontwerp: Proforma, strategie, ontwerp en management Druk: Sdu Grafisch Bedrijf bv
VORIGE
INHOUD 220
VOLGENDE
>
Goed werken in netwerken voorwoord
Voorwoord Het gebruik van e-mail en internet heeft binnen organisaties een grote vlucht genomen. Naast de evidente voordelen voor zowel werkgever als werknemer zoals productiviteit, bereikbaarheid en snelheid hebben ook de negatieve kanten van deze media zich gemanifesteerd. Werkgevers hebben derhalve behoefte om het voorheen vrijblijvende gebruik van e-mail en internet in goede banen te leiden. Daarvoor worden gedragscodes en gebruiksregels opgesteld, die ook middels controle worden gehandhaafd. Elektronische controle van computergebruik roept vragen op met betrekking tot de bescherming van de persoonlijke levenssfeer van de werknemer. Een groot aantal werkgevers, ondernemingsraden en individuele werknemers heeft deze vragen in de afgelopen jaren voorgelegd aan de Registratiekamer. De Registratiekamer heeft daarom een studie verricht naar de controle op e-mail- en internetgebruik. Dit heeft geresulteerd in dit rapport Goed werken in netwerken. Met voorbeelden en praktijkgevallen worden allereerst de feitelijke en juridische achtergronden van de problematiek geschetst. Daaruit vloeit een set vuistregels voort die de werkgever een handvat biedt om een behoorlijk en zorgvuldig beleid vast te stellen. Het mag voor zich spreken dat deze regels ook hun nut zullen hebben voor ondernemingsraden en individuele werknemers bij de beoordeling van het werkgeversbeleid en de consequenties daarvan voor hun privacy. In deze herziene versie is het rapport Goed werken in netwerken aangepast aan de Wet bescherming persoonsgegevens die per 1 september 2001 van kracht is. In de nieuwe wet is het College bescherming persoonsgegevens (CBP) aangewezen als de opvolger van de Registratiekamer. Het rapport is tevens geactualiseerd aan de hand van recente jurisprudentie. Om de toepasbaarheid van de vuistregels van dit rapport te vergroten heeft het CBP een raamregeling voor het gebruik van e-mail en internet ontwikkeld. Deze raamregeling is bedoeld als instrument waarmee organisaties de vuistregels kunnen vertalen naar het eigen beleid. De concrete invulling van het beleid inzake het gebruik van e-mail en internet is maatwerk en dient in overleg tussen werkgever en ondernemingsraad tot stand te komen. mr. P.J. Hustinx voorzitter College bescherming persoonsgegevens
<
VORIGE
INHOUD 221
VOLGENDE
>
3
4
222
Goed werken in netwerken Inhoud
Inhoud Voorwoord 1
Inleiding 7
2
Controle door de werkgever
2.1 2.2 2.3 2.4 2.5 3
Samenvatting en overzicht vuistregels
6
Bijlagen
1 2 3 4
Toegang tot internet 11 Vormen van internet 11 Content-filtering 16 Telewerken 16 Conclusie 17
Deelnemers expertmeeting 45 Literatuur 46 Raamregeling 47 Achtergrondstudies en verkenningen 52
Juridisch kader
3.1 3.2 3.3 3.4 3.5 3.6 3.7 4
5
Grondrechtelijk kader 19 Strafrechtelijk kader 20 Arbeidsrechtelijk kader 21 Wet bescherming persoonsgegevens 22 Telecommunicatiewet 24 Uitspraken van de Registratiekamer 24 Uitspraken van de rechter 27
Vuistregels voor controle
4.1 4.2 4.3 4.4 4.5 4.6 4.7 4.8 4.9 4.10 4.11 4.12 4.13 4.14 4.15 4.16
Online / off line 31 Ondernemingsraden 32 Publiceren regels 32 PrivĂŠ-gebruik 32 Softwarematige oplossingen 32 Rapportages en gebruiksstatistieken 33 Back-up 33 Systeembeheerder 33 Bespreking met werknemer 33 Inzage 34 Evaluatie van regels 34 Zakelijke mail en privĂŠ-mail 34 Doeleinden en beperkingen 35 Maatwerk in controles 37 Logging en bewaartermijnen 38 Geprivilegieerde informatie 38
<
VORIGE
INHOUD 223
VOLGENDE
>
5
1
Inleiding
<
VORIGE
INHOUD 224
VOLGENDE
>
Goed werken in netwerken Hoofdstuk 1
Gedurende de tweede helft van de jaren negentig is de elektronische snelweg een belangrijk communicatiemiddel geworden. E-mail is een snelle en doorgaans betrouwbare manier om iemand ergens van op de hoogte te stellen en op het World Wide Web (WWW) kan op een eenvoudige en snelle wijze informatie worden ontsloten die daarvoor moeilijk toegankelijk was. Ook binnen bedrijven heeft de elektronische snelweg opritten gekregen. Meer en meer werknemers hebben via de computer op hun bureau aansluiting op e-mail en internet. Veelal loopt deze aansluiting via het interne netwerk van de werkgever. Daarmee vervaagt ook het verschil tussen communicatie op het interne netwerk en via externe verbindingen. Bij het gebruik van een intranet binnen een organisatie kan er zelfs geen zichtbaar verschil meer tussen 'binnen' en 'buiten' zijn.
Deze nieuwe technologieën kennen ook schaduwzijden. Werknemers zijn van hun werktijd tegenwoordig een flink deel kwijt aan het maken, lezen en beantwoorden van e-mail en het zoeken naar relevante websites op het internet. Daarnaast worden e-mail en internet ook en soms vaak voor privé-doeleinden gebruikt. Even een nieuwtje laten weten aan je beste vriend(in), een geschikte vakantiebestemming zoeken, de laatste hits van je favoriete artiesten of de nieuwste drivers voor je computer thuis downloaden. De internettechniek maakt snelle en grenzeloze communicatie mogelijk. Werkgevers ervaren privé-gebruik van de internetfaciliteiten als productiviteitsverlies en zijn bevreesd voor oneigenlijk gebruik van deze nieuwe middelen. Er zijn immers soms grote risico's aan verbonden. Zo kunnen virussen de computers beschadigen en zelfs hele computernetwerken lamleggen, liggen hackers op de loer en kunnen bedrijfsgeheimen uitlekken. Ook kan de goede naam van het bedrijf in diskrediet raken als een werknemer zich via een bedrijfsaccount inlaat met online gokken, (kinder)porno, discriminatie of inbreuken op auteursrechten. Aan de andere kant zijn juist door het gebruik van computers hiervoor, de controlemogelijkheden (achteraf of real-time) voor de werkgever groter dan het geval zou zijn als de werknemer hiervoor meer conventionele (off line) middelen zou gebruiken. In de ogen van sommige werkgevers is er voor privacybescherming op het werk weinig of geen ruimte. Werknemers op hun beurt beschouwen controle door de werkgever als een inbreuk op hun persoonlijke levenssfeer. Controle op het gebruik van computersystemen is voor de werknemer immers onzichtbaar en is veelal continu aanwezig. Zij beroepen zich er op dat ook op de werkplek het recht op privacy geldt. Daarnaast beschouwen veel werknemers het privégebruik van bedrijfsfaciliteiten als een soort arbeidsvoorwaarde. Hier kan een vergelijk gemaakt worden met de telefoon of een auto van de zaak. In tegenstelling tot deze (bedrijfs)middelen bestaat er in veel bedrijven (nog) geen beleid voor het gebruik van e-mail- en internet voor privé-doeleinden. De verdergaande vervlechting tussen werk en privé (met name telewerken en mobiel werken) werkt het privé-gebruik van bedrijfsfaciliteiten in de hand en wordt daarvoor soms ook als rechtvaardiging gezien. De Kantonrechter Haarlem sprak in dat verband reeds van "privétisering van de werkplek" (zie paragraaf 3.8). Dit rapport is bedoeld als handreiking voor werkgevers en werknemers bij de formulering van een bedrijfsbeleid voor de controle van e-mail- en internetgebruik door werkgevers op een manier die verantwoord is vanuit het oogpunt van privacybescherming. Het rapport geeft daarom een groot aantal vuistregels voor controle op e-mail en internetgebruik van werknemers. Het CBP heeft ook een raamregeling voor het gebruik van e-mail en internet ontwikkeld. Deze regeling is bedoeld als instrument voor organisaties, bedrijven en ondernemingsraden om de vuistregels in het eigen beleid toe te passen. De concrete
<
VORIGE
INHOUD 225
VOLGENDE
>
7
invulling van beleid voor e-mail en internetgebruik is maatwerk is en dient daarom in overleg tussen werkgever en ondernemingsraad tot stand te komen. In hoofdstuk 2 zal eerst aan de hand van achtergronden en feiten de problematiek van e-mail en internet op de werkvloer worden belicht. Een aantal begrippen en verschijningsvormen van internet worden toegelicht. Vervolgens wordt in hoofdstuk 3 het juridisch kader geschetst waarbinnen controle mogelijk is. Zowel vanuit privacyrechtelijk als vanuit arbeidsrechtelijk perspectief zullen de grenzen worden aangegeven. In hoofdstuk 4 worden vuistregels geformuleerd aan de hand waarvan een zorgvuldig e-mail- en internetbeleid kan worden geformuleerd en getoetst. Deze vuistregels zijn in hoofdstuk 5 nog eens kort samengevat.
8
<
VORIGE
INHOUD 226
VOLGENDE
>
227
9
Goed werken in netwerken Hoofdstuk 1
Controle door de werkgever
<
VORIGE
INHOUD 228
2 VOLGENDE
>
Goed werken in netwerken Hoofdstuk 2
In dit hoofdstuk zal worden ingegaan op diverse begrippen uit de wereld van het internet. Om het gebruik van internet en de controle daarop te kunnen begrijpen, zullen eerst in het kort de diverse verschijningsvormen van internet worden beschreven. Daarbij wordt per vorm aangegeven welke risico's eraan kleven en op welke manier controle kan plaatsvinden.
Er is voor gekozen om alleen dĂe vormen van internet aan de orde te stellen die op het moment van schrijven de belangrijkste toepassingen zijn van de internettechniek. De regels die aan de orde komen, zijn uiteraard van overeenkomstige toepassing op oude toepassingen (bijvoorbeeld Telnet) en op zich aandienende toepassingen (Voice-over-IP, WAP).
Controle door2.1 de Toegang werkgever tot internet Veel organisaties bieden hun werknemers e-mail- en internetfaciliteiten via het bedrijfsnetwerk. Een van de servers fungeert als schakel tussen het interne netwerk en het externe internet. Dit betekent dat al het dataverkeer tussen de PC van de werknemer en het internet de centrale server van de organisatie passeert. Het is voor de werkgever betrekkelijk eenvoudig om op de server controlesoftware te laten draaien of berichten te onderscheppen. Het is ook mogelijk dat de werknemer toegang tot het internet verkrijgt via een stand-alone computer waarmee rechtstreeks bij een Internet Service Provider (ISP) wordt ingebeld. Bij deze vorm van toegang zit geen extra schakel waarop controlesoftware kan draaien. Eventuele controlemiddelen zullen in dat geval op de PC zelf moeten worden geĂŻnstalleerd. Om het opvragen van gegevens op internet te versnellen wordt gewerkt met proxyservers. Dat zijn servers waarop de webpagina's van veelbezochte websites worden opgeslagen. De gebruiker krijgt dus niet de echte pagina voorgeschoteld, maar de kopie zoals die zich op de proxyserver bevindt. Over het algemeen wordt surfen via een proxyserver als privacyvriendelijk beschouwd. De gebruiker hoeft immers niet echt het internet op zodat er geen informatie over hem wordt vrijgegeven. Controle van de werknemer is nog wel mogelijk maar minder noodzakelijk omdat binnen de organisatie reeds een selectie is gemaakt van sites die zijn toegestaan. Op de scheiding tussen het interne netwerk en het externe internet wordt doorgaans een firewall geĂŻnstalleerd. De firewall screent het inkomende (maar eventueel ook het uitgaande) dataverkeer op onder andere ongeautoriseerd gebruik. Op die manier kunnen bepaalde vormen van internetgebruik door werknemers worden tegengehouden. Zo kan een firewall het online spelen van spelletjes onmogelijk maken door de datapakketjes die daarvoor nodig zijn, niet te laten passeren.
Controle door2.2 de Vormen werkgever van internet Internet kent vele verschijningsvormen. De bekendste en meest gebruikte daarvan zijn e-mail en het World Wide Web. Dit laatste is tegenwoordig voor velen zelfs synoniem voor internet. Toch zijn er ook andere vormen en er komen nog steeds nieuwe bij. Momenteel zijn de belangrijkste vormen: E-mail, World Wide Web (WWW), File Transfer (FTP), Usenet en Chat (IRC). Dit rapport beperkt zich dan ook tot die vormen. Ondanks het feit dat de verschillende vormen ook verschillend gebruik mogelijk maken, is de controle ervan tot op zekere hoogte gelijk. De reden daarvoor is
<
VORIGE
INHOUD 229
VOLGENDE
>
11
dat controle in beginsel gebaseerd is op het TCP/IP-protocol waar alle vormen van internet gebruik van maken. Het TCP/IP-protocol zorgt voor de communicatie tussen de gebruiker en het internet. Omdat iedere computer een uniek IPadres heeft, weet de server waar de datapakketjes vandaan komen of naar toe moeten. De gegevens die aan of door het IP-adres worden aangeboden, zijn in combinatie met de logging op de username te herleiden tot een bepaalde werknemer.
TCP/IP Internet werkt op basis van het TCP/IP-protocol. TCP staat voor Transmission Control Protocol; IP staat voor Internet Protocol. Een bericht of bestand dat over internet wordt gestuurd, wordt in stukjes geknipt waarna ieder datapakketje door TCP/IP wordt voorzien van een code met daarin onder meer het afzendadres, het bestemmingsadres, en een volgnummer. Door deze code weet iedere computer die op de route ligt wat voor pakketje het betreft, waar het vandaan komt en waar het naar toe moet. Aan het eind worden de pakketjes weer keurig aan elkaar geplakt tot het oorspronkelijke bericht of bestand. Computers die aan internet gekoppeld zijn, hebben ieder een uniek IP-nummer. Als een computer altijd hetzelfde IP-nummer heeft, spreken we van een vast IP-adres. Als een computer bij iedere verbinding met internet een ander IP-nummer krijgt, spreken we van een dynamisch IP-adres. Vaste IP-adressen komen vooral voor in interne netwerken binnen organisaties die ook op basis van het TCP/IP-protocol werken (intranet). Het is niet vereist dat het intranet ook aan internet gekoppeld is. Is dat wel het geval, dan moeten de gebruikte IP-nummers wereldwijd uniek zijn, omdat anders de communicatie met de buitenwereld niet goed kan verlopen. Een vast IP-adres is dus altijd herleidbaar tot ĂŠĂŠn en dezelfde computer. Dynamische IP-adressen worden vooral gebruikt bij inbelverbindingen via ISPâ&#x20AC;&#x2122;s. Het zijn unieke adressen die niet permanent gekoppeld zijn aan een computer, maar per verbinding door de ISP worden toegekend aan de inbellende computer. Dynamische IP-adressen zijn dus niet herleidbaar tot een en dezelfde computer, maar kunnen in combinatie met de inbeltijd en het inbellende nummer wel achteraf tot een bepaalde computer worden herleid. Naast TCP/IP is ook van belang welke vorm van internet door de werknemer wordt gebruikt. De applicatie waarmee hij dat doet, is niet zozeer van belang. Wel de protocollen waaraan de verschijningsvorm te herkennen is en aan de hand waarvan het verkeer door de server wordt afgehandeld. Een werkgever kan besluiten bepaalde protocollen niet door de server te laten afhandelen. Daarmee worden bepaalde vormen van internet onmogelijk. Op de verschillende vormen van internet zal hieronder worden ingegaan.
E-mail E-mail is het versturen van een bericht door de afzender dat wordt geplaatst in de mailbox van de ontvanger. Voor het versturen wordt gebruik gemaakt van het SMTP-protocol (Simple Mail Transfer Protocol). Vervolgens wordt het bericht opgeslagen bij de ISP van de ontvanger totdat de ontvanger het bericht ophaalt. Het ophalen geschiedt via het POP-protocol (Post Office Protocol), waarbij het bericht in de mailbox op de server wordt bewaard totdat de gebruiker de post ophaalt en lokaal opslaat. Een andere manier om de post op te halen is het gebruik van het IMAP-protocol (Internet Message Access Protocol). In dit laatst geval kan men kiezen of de
12
<
VORIGE
INHOUD 230
VOLGENDE
>
Goed werken in netwerken Hoofdstuk 2
berichten aan de ontvanger worden overgedragen of dat de berichten op de server achterblijven. (Webmail waarbij de post via het World Wide Web wordt opgehaald blijft hier verder buiten beschouwing). Worden deze protocollen geblokkeerd, dan is regulier e-mailverkeer onmogelijk. Mailberichten zijn platte tekstbestanden die doorgaans met een eenvoudig mailprogramma gelezen kunnen worden. Om het lezen door onbevoegden te voorkomen kan de verzender het bericht versleutelen. In dat geval is alleen de header (het 'briefhoofd' met daarin de gegevens over de afzender, de bestemming en het onderwerp) nog voor derden leesbaar. Een mailbericht kan voorzien zijn van een attachment (een bijlage). Een attachment kan een bestand zijn in ieder willekeurig formaat. Bijlagen moeten door de ontvanger (tijdelijk) worden bewaard op zijn computer alvorens gelezen of gebruikt te worden. Controle
Een e-mailbericht kan gecontroleerd worden op onder meer: afzender, ontvanger, onderwerp, datum, tijd en inhoud. De bijlagen kunnen worden gecontroleerd op extensie en inhoud. De controle kan onder meer geschieden door content-filtering (zie hierna 2.3) en door het maken van kopieĂŤn. Risico's
Zowel de inhoud van de berichten als de bijlagen kunnen 'verboden' materiaal, virussen en dergelijke bevatten. Deze kunnen de belangen van de werkgever schaden. Het versturen van e-mail brengt voor de werknemer echter het risico met zich mee dat de berichten kunnen worden gekopieerd of worden gelezen alvorens hij het bericht ontvangt of het bericht daadwerkelijk wordt verstuurd. Dit kan zijn privacy maar ook zijn vrijheid van meningsuiting schaden.
World Wide Web Het World Wide Web (WWW) is momenteel de meest bekende verschijningsvorm van internet. Op het WWW staan websites met webpagina's. Het WWW werkt op basis van het HTTP-protocol. HTTP staat voor Hypertext Tranfer Protocol. Websites zijn via een browser toegankelijk door het gebruik van unieke adressen (URL's, Uniform Resource Locator). Binnen de pagina kan de gebruiker via hyperlinks doorklikken naar andere pagina's of websites. Hyperlinks kunnen zich voordoen als woorden in de tekst of (gedeelten van) plaatjes. Controle
Het bezoek van websites kan worden gecontroleerd op onder meer datum, tijd, duur en inhoud. Ook de bestanden die worden gedownload, kunnen worden gecontroleerd. Behalve het loggen van de verkeersgegevens, is controle mogelijk door het loggen van de adressen van websites of het opslaan van (de onderdelen van) de webpagina's. Onder logging wordt verstaan het bijhouden van gegevens over het gebruik van (computer)systemen en/of programmaâ&#x20AC;&#x2122;s. Sommige controlemiddelen geven de werkgever de mogelijkheid om websites af te sluiten of - juist omgekeerd - om alleen het bezoek aan bepaalde websites toe te staan.
<
VORIGE
INHOUD 231
VOLGENDE
>
13
Risico’s
De inhoud van websites is niet altijd van tevoren even duidelijk. Een werknemer kan tijdens het surfen makkelijk verdwalen en via 'onschuldige' hyperlinks terechtkomen op een site waarvan de inhoud door de werkgever als onwenselijk wordt beschouwd (hierna: een 'verboden' site). Dit geldt ook voor de adressen van websites. Als een werknemer op goed geluk het adres van een organisatie intikt, loopt hij het risico om op een verboden site te komen. Dubieuze sites maken nogal eens gebruik van het feit dat iemand (tik)fouten maakt bij het intikken van de naam van een website. Zo is www.whitehouse.gov de website van het Witte Huis in Washington, maar verwijst www.whitehouse.com naar een sekssite. Een ander punt dat de aandacht verdient, is het feit dat de onderdelen van een webpagina niet allemaal van hetzelfde webadres hoeven te komen. Zo kan de gevraagde pagina komen van website A, terwijl de plaatjes binnen die pagina komen van website B. Als alle onderdelen zijn opgehaald, stelt de browser de pagina samen en geeft die weer. Een bezoeker van een website kan dus ongewild bestanden ophalen van een verboden site. Hij heeft daar in principe geen controle over. Een bekend voorbeeld hiervan is het plaatsen van een zogeheten banner, een reclameplaatje voor een doorgaans commerciële website waarop de gebruiker kan klikken om te worden doorgeschakeld naar die site. Ook kan ongemerkt informatie worden opgehaald via zogeheten meta-informatie, informatie die niet visueel wordt weergegeven door de browser. Dit geschiedt bijvoorbeeld bij het plaatsen van cookies door websites voor andere websites dan de website die door de gebruiker wordt bezocht. Controle op de herkomst van informatie kan leiden tot de onterechte conclusie dat een medewerker zich niet aan de afspraken heeft gehouden.
FTP FTP staat voor File Transfer Protocol en is met name bedoeld om (grote) bestanden over een netwerk te transporteren. Het is vergelijkbaar met het verplaatsen van bestanden binnen een computer van de ene naar de andere directory. Bij FTP maakt de computer van de gebruiker verbinding met een FTP-server. Bestanden kunnen nu over en weer worden uitgewisseld (zogenaamd uploaden en downloaden). Vaak is voor het uploaden een username en een password vereist. Het wordt dan ook bij voorkeur gebruikt bij het onderhoud van websites. Downloaden is vaak voor iedereen mogelijk. Voor FTP zijn aparte programma’s nodig, hoewel alle webbrowsers bestanden van FTP-servers kunnen downloaden. Controle
Bestanden die via FTP worden uitgewisseld kunnen onder meer worden gecontroleerd op datum, tijd en duur. Risico’s
Middels FTP kunnen op een snelle wijze gevaarlijke of verboden bestanden worden uitgewisseld. Als de bestanden middels encryptie zijn beveiligd, kan de inhoud van de bestanden niet gecontroleerd worden.
Usenet Usenet is een vorm van internet die bestaat uit zogeheten nieuwsgroepen. Er zijn duizenden nieuwsgroepen waarin mensen berichten uitwisselen over uiteenlopende onderwerpen. Aan de naam van de nieuwsgroep kan doorgaans goed worden afgeleid waar hij over gaat. Zo gaat alt.privacy over problemen op
14
<
VORIGE
INHOUD 232
VOLGENDE
>
Goed werken in netwerken Hoofdstuk 2
het gebied van privacy en kunnen mensen voor informatie over kanker terecht in alt.support.cancer. De meeste nieuwsgroepen zijn openbaar en dus voor iedereen toegankelijk. Om het zoeken nog eenvoudiger te maken, werkt Usenet met een hiërarchische structuur, dat wil zeggen dat elke nieuwsgroep in een cluster van soortgelijke nieuwsgroepen zit. Een bericht aan een nieuwsgroep is het best te omschrijven als "een e-mail aan de rest van de wereld". Het kan dan ook niet alleen vanuit nieuwsgroepenlezers, maar ook vanuit mailprogramma’s verstuurd worden. Als iemand het bericht leest, kan hij erop reageren door een bericht terug te sturen naar de afzender en/of naar de nieuwsgroep zelf. Ook berichten in nieuwsgroepen kunnen attachments bevatten van allerlei soort. Vanwege de grote hoeveelheid berichten die dagelijks verstuurd worden, worden de berichten in nieuwsgroepen doorgaans slechts enkele dagen bewaard. Bedrijven zoals DejaNews verzamelen alle berichten en bewaren ze gedurende een veel langere tijd. De database kan door iedereen worden geraadpleegd. Controle
Het versturen van berichten aan nieuwsgroepen kan op dezelfde wijze worden gecontroleerd als het versturen van e-mail. Het lezen van nieuwsgroepen kan worden gecontroleerd op onder meer datum, tijd en inhoud. De werkgever kan ook relatief eenvoudig nieuwsgroepen afsluiten voor werknemers. Risico’s
Via Usenet heeft een werknemer gemakkelijk toegang tot berichten met een 'verboden' of gevaarlijke inhoud of bijlage. Deze berichten zijn niet altijd vooraf als zodanig herkenbaar. Omdat de meeste nieuwsgroepen niet worden beheerd, komt het nogal eens voor dat nieuwsgroepen berichten bevatten die niets met het onderwerp van de nieuwsgroep te maken hebben. Het lezen van deze berichten kan dan ook ongewild leiden tot een overtreding van het bedrijfsbeleid. Controle op het lezen van nieuwsgroepen kan leiden tot inbreuken op de privacy en de informatievrijheid van de werknemer. Zo kan vaak uit de naam van de bezochte nieuwsgroepen informatie worden verkregen over de interesses van de werknemer. Voor de werkgever kunnen nieuwsgroepen ook een risico vormen. Door het open karakter van Usenet kan een werknemer relatief eenvoudig schade toebrengen aan de goede naam van de organisatie door 'verboden' informatie te verspreiden met gebruikmaking van het zakelijke e-mailadres. Dit wordt immers vermeld bij het bericht.
Chat Met een chat-programma kan de gebruiker contact maken met andere internetgebruikers en in groepen of apart real-time informatie uitwisselen. Ook kunnen deelnemers binnen deze babbelboxen bestanden met elkaar uitwisselen. Veel werkgevers staan niet toe dat werknemers chatten omdat dit doorgaans gepaard gaat met een aanzienlijk tijdsbeslag. Chatsessies kunnen eenvoudig worden geblokkeerd. Er hoeft dan ook geen controle plaats te vinden op de inhoud.
<
VORIGE
INHOUD 233
VOLGENDE
>
15
Controle door2.3 de Content-filtering werkgever Het is betrekkelijk eenvoudig om de datapakketjes die de server passeren, te screenen op inhoud (content-filtering). Dit houdt in dat geautomatiseerd gekeken wordt of bestanden woorden of teksten bevatten die door de werkgever verboden zijn. Ook kan worden gekeken of de extensie is toegestaan (extensies voor plaatjes zoals *.jpg, *.gif of *.bmp, voor filmpjes zoals *.mpg, *.mov of *.avi, voor programma's zoals *.exe of voor ingepakte bestanden zoals *.zip of *.arj). Indien bestanden worden gevonden die voldoen aan de zoektermen zal door het systeem 'alarm' geslagen worden. De bestanden kunnen worden tegengehouden, teruggestuurd, apart gezet, gekopieerd, gelogd, etc. Content-filtering kan de communicatievrijheid en de persoonlijke levenssfeer van de gebruiker aantasten. Voor het gebruik zal de werkgever een gerechtvaardigd belang moeten hebben. Ook zal het gebruik ervan moeten voldoen aan de eisen van proportionaliteit en subsidiariteit. Dit betekent dat onder meer zal moeten worden bezien in hoeverre content-filtering noodzakelijk is, welke zoektermen worden gebruikt, welke actie wordt ondernomen nadat een 'hit' is gevonden, en welke procedures er bestaan om gerechtvaardigd gebruik van aangewezen zoektermen mogelijk te maken. Zo zal een zoekvraag naar 'breasts' of 'borsten' doorgaans leiden tot een alarm, maar zal iemand wel een zoekvraag of 'breastcancer' of 'borstkanker' moeten kunnen stellen. Een zoekterm in het systeem naar 'breast' of 'borst' zal voor beide alarm slaan. In het laatste geval zullen werknemers die op internet zoeken naar informatie over borstkanker, mogelijk in hun privacy worden geschaad. Content-filtering kan dus alleen worden ingezet als de zoektermen vanuit het belang van de werkgever gerechtvaardigd zijn en ook zo nauwkeurig zijn dat gerechtvaardigd gebruik zoveel mogelijk ongemoeid wordt gelaten. Mits het met de nodige zorgvuldigheid wordt ingezet, zal content-filtering als controlemiddel in mindere mate inbreuk maken op de privacy en de communicatievrijheid van de gebruiker dan andere vormen van controle, zoals volledige inhoudscontrole of steekproefsgewijze inhoudscontrole. Met behulp van content-filtering zal verboden gebruik waarbij berichten worden opgesteld in codetaal of met versleuteling, niet kunnen worden opgespoord.
Controle door2.4 de Telewerken werkgever De controle door de werkgever van het computergebruik van de werknemer vormt in situaties waarin de werknemer vanuit zijn eigen huis inlogt op het computersysteem van het werk (telewerken) een extra probleem. Voor zover de werknemer uitsluitend ten behoeve van het werk inlogt, zullen de regels in dit rapport van overeenkomstige toepassing zijn. De computer van de werknemer thuis maakt dan immers logisch gezien deel uit van het computernetwerk en de werknemer bevindt zich in een situatie waarin ook de gezagsbevoegdheid van de werkgever geldt. Dit is anders als de werknemer het bedrijfsaccount kan en mag gebruiken om privĂŠ e-mail te versturen of in zijn eigen tijd over het internet te surfen. Voor logging van hetgeen hij privĂŠ doet, is geen grond. Dit geldt zeker indien ook zijn gezinsleden van de faciliteiten gebruik mogen maken. Met hen heeft de werkgever immers geen arbeidsrelatie waarin hij zijn gezag kan uitoefenen. Zijn positie is in deze vergelijkbaar met een ISP. De werkgever dient hiermee
16
<
VORIGE
INHOUD 234
VOLGENDE
>
Goed werken in netwerken Hoofdstuk 2
rekening te houden bij het opzetten en de uitvoering van het telewerkbeleid. (Voor meer informatie over de relatie tussen een gebruiker en Internetprovider zie, M.J.T. Artz en M.M.M. van Eijk, Klant in het web, Registratiekamer, Den Haag 2000).
Controle door2.5 de Conclusie werkgever Internet kent een grote verscheidenheid aan verschijningsvormen. Deze maken echter allemaal gebruik van het TCP/IP-protocol waardoor controle op het gebruik relatief eenvoudig is te realiseren. De werkgever kan het gebruik van bepaalde vormen van internet onmogelijk maken door datapakketjes met vormspecifieke protocollen op de server tegen te houden. Verder is controle tot in ieder detail mogelijk. Van ieder gebruik kan de datum, de tijd en vaak ook de inhoud worden gecontroleerd. Internetgebruik leidt per verschijningsvorm tot andere risico's voor de werkgever en de werknemer. Voor de werkgever kan het gaan om de beveiliging van het netwerk, het tegengaan van 'verboden gebruik' of het beschermen van andere bedrijfsbelangen zoals bedrijfsgeheimen of de goede naam van de organisatie. Voor de werknemer staat vaak het privacybelang door de controle onder druk, maar ook de vrijheid van meningsuiting of de informatievrijheid kan in het geding zijn. De werkgever dient zich hiervan bewust te zijn, als hij overgaat tot controle van e-mail- en internetgebruik van zijn werknemers.
<
VORIGE
INHOUD 235
VOLGENDE
>
17
3
Juridisch kader
<
VORIGE
INHOUD 236
VOLGENDE
>
Goed werken in netwerken Hoofdstuk 3
In werktijd geniet men niet dezelfde vrijheden als daarbuiten. De arbeidsverhouding brengt zekere beperkingen met zich mee voor de grondrechten van werknemers. Tegenover het loon staat de verplichting werkzaamheden te verrichten onder het gezag van de werkgever en hierbij diens aanwijzingen op te volgen. De werknemer is als gevolg daarvan in meer of mindere mate beperkt in zijn bewegings- en handelingsvrijheid en in zijn vrijheid van meningsuiting.
Hetzelfde geldt voor zijn recht op privacy. Met het betreden van de werkplaats moet de werknemer een deel van zijn aanspraken op respect voor zijn persoonlijke levenssfeer inleveren. Dit betekent niet dat een werkgever bij het nastreven van zijn belang zonder meer aan de belangen en fundamentele vrijheden van zijn medewerkers voorbij kan gaan. Dit geldt ook voor de controle van het e-mail- en internetgebruik van werknemers.
Juridisch kader 3.1
Grondrechtelijk kader
Artikel 8 van het Europese verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (EVRM) bepaalt dat een ieder recht heeft op respect voor zijn privé-leven, zijn familie- en gezinsleven, zijn woning en zijn correspondentie. De verzamelterm voor deze niet duidelijk te scheiden rechten is het 'recht op privacy'. Het Europese hof van de Rechten van de Mens (EHRM) oordeelde in de zaak Niemietz – Duitsland dat activiteiten op de werkplek onder de bescherming van artikel 8 EVRM vallen ( EHRM 16 december 1992, NJ 1993, 400 Niemietz). Werknemers hebben een gerechtvaardigd belang om ook gedurende het uitvoeren van bedrijfsmatige activiteiten relaties met andere mensen aan te kunnen gaan. Een zekere mate van vrijheid om met anderen al dan niet persoonlijk te kunnen communiceren zonder inmenging door de werkgever is in dat kader onontbeerlijk. Hieruit kan het uitgangspunt gedestilleerd worden dat een werknemer het recht heeft in beperkte mate gebruik te maken van communicatiefaciliteiten op de werkplek voor privé-communicatie. Artikel 8 EVRM beschermt het individu niet alleen tegen inbreuken op dergelijke privacyaanspraken door de overheid maar ook wanneer deze afkomstig zijn van particulieren, zoals werkgevers. Bovendien zijn de verdragsstaten verplicht om het recht op privacy zo goed mogelijk te waarborgen in hun wetgeving, rechtspraak en bestuur. In Nederland ligt het brief-, telefoon- en telegraafgeheim vast in de Grondwet (artikel 13). Deze bescherming van de communicatievrijheid kan gezien worden als een onderdeel van het meer omvattender recht op eerbiediging van de persoonlijke levenssfeer (artikel 10 Grondwet). De komst van e-mail heeft geleid tot de vraag of deze ook onder de reikwijdte van artikel 13 van de Grondwet valt; met name het briefgeheim. Aanvankelijk beschouwde het kabinet e-mail als een soort briefkaart met een daarbij passend laag beschermingsniveau. In het vervolg van de voorstellen van de Commissie Grondrechten in het digitale tijdperk is het Kabinet in 2001 met voorstellen gekomen om de grondrechten aan te passen (Kamerstukken II, 2000-2001, 27 460). Het voorstel is het brief-, telefoon- en telegraafgeheim te vervangen door een recht op vertrouwelijke communicatie, waaronder ook vertrouwelijke communicatie via e-mail, SMS en fax. Nadat de wetsvoorstellen zijn behandeld door de Raad van State, zullen zij vervolgens bij de Tweede Kamer ingediend worden. Het communicatiegeheim betreft met name de inhoud van de boodschap. Uitgangspunt hierbij is dat de deelnemers anderen (de overheid of derden)
<
VORIGE
INHOUD 237
VOLGENDE
>
19
in beginsel niet tot hun communicatie hoeven toe te laten en gevrijwaard zijn van inbreuken hierop. Controle van e-mail raakt vooral de vrijheid om met anderen te communiceren. Van het vastleggen van uiterlijke kenmerken van het communicatieverkeer gaat eveneens een 'chilling effect' uit voor de communicatievrijheid. Het vastleggen van gegevens die inzicht bieden in de activiteiten van de werknemer, raakt niet alleen diens persoonlijke levenssfeer maar ook de arbeidsverhouding in het algemeen; het kan in zekere zin de handelingsvrijheid van de werknemer beperken om de werkzaamheden naar eigen inzicht uit te voeren (autonomie). Het inperken van dergelijke vrijheden door de werkgever behoeft een rechtvaardigingsgrond terwijl tevens zo terughoudend mogelijk te werk moet worden gegaan (de zogeheten 'eisen van proportionaliteit en subsidiariteit'). Uit de jurisprudentie op artikel 8 EVRM is eveneens duidelijk dat de inbreuk kenbaar moet zijn voor de betrokkene. Heimelijke controle waaraan geen waarschuwing aan vooraf is gegaan of als uitvoering van een geldende gedragscode is in strijd met deze regels. Het enkele bekend zijn van de mogelijkheid tot meeluisteren of opnemen rechtvaardigt het gebruik daarvan evenwel niet. Een geval uit de Europese jurisprudentie kan dit verduidelijken (EHRM 25 juni 1997, NJ 1998, 506 Halford). Mevrouw Halford was Assistant Chief Constable bij een Engels politiekorps. In verband met een rechtszaak tegen haar werkgever wegens ongelijke behandeling had zij de beschikking over een tweede telefoon die was uitgezonderd van de standaard controle van de telefoons van het politiebureau. Uit het bewijs dat in de rechtszaak was overlegd, kon worden afgeleid dat de werkgever de gesprekken die via de speciale telefoon waren gevoerd, waarschijnlijk had afgeluisterd. Het Hof overwoog dat 'the right to private life and correspondence' zich ook uitstrekt tot de werkplek. Omdat er geen waarschuwing was gegeven dat de telefoongesprekken werden opgenomen, had zij een 'reasonable expectation of privacy', hetgeen werd versterkt door bijkomende factoren waaronder het feit dat de telefoon specifiek ter beschikking was gesteld voor privĂŠ-gebruik. Een werknemer heeft op zijn werkplek recht op de bescherming van zijn privacy â&#x20AC;&#x201C; zo kan uit dit oordeel van de rechter worden afgeleid - en hij mag uit de omstandigheden afleiden dat dit recht in redelijke mate wordt beschermd. Kenbaarheid van de (mogelijkheid tot) controle is een basisvoorwaarde voor de rechtmatigheid ervan. Bijkomende factoren kunnen de controle echter alsnog onrechtmatig maken.
Juridisch kader 3.2
Strafrechtelijk kader
De bescherming van de privacy en van het communicatiegeheim bij het gebruik van computers is uitgewerkt in het Wetboek van Strafrecht (artikel 138a: computervredebreuk; artikel 139b: aftappen / opnemen van gegevensoverdracht; artikel 139c: aftappen / opnemen van gegevensoverdracht via telecommunicatienetwerk; artikel 350a: ontoegankelijk maken computergegevens). Wanneer de controle op het gebruik van e-mail en internet geschiedt in opdracht van de werkgever die tevens de verantwoordelijke is voor zijn gedeelte van het telecommunicatienetwerk, zal van strafbaarheid geen sprake zijn, behalve natuurlijk in geval van misbruik. Ook als de controle niet strafbaar is, kan deze nog wel onrechtmatig zijn jegens de betreffende werknemers. Dat is het geval indien de werkgever niet handelt zoals een goed werkgever betaamt.
20
<
VORIGE
INHOUD 238
VOLGENDE
>
Goed werken in netwerken Hoofdstuk 3
Juridisch kader 3.3
Arbeidsrechtelijk kader
Burgerlijk wetboek (BW)
De werkgever is gerechtigd tot het geven van voorschriften voor het verrichten van de arbeid en het nemen van maatregelen ter bevordering van de goede orde in de onderneming (artikel 7:660 BW). Regels voor het gebruik van e-mail en internet en de maatregelen voor de controle daarop vallen onder deze bepaling. Een werkgever en een werknemer dienen zich ten opzichte van elkaar te gedragen als een goed werkgever en een goed werknemer (artikel 7:611 BW). Dit impliceert dat ook als er geen sprake is van een strafbaar feit, de controle toch onrechtmatig kan zijn. Dat is het geval als de werkgever niet handelt zoals het een goed werkgever betaamt. Hiervan is met name sprake als zonder noodzaak of gerechtvaardigd belang dan wel met onevenredige middelen inbreuk wordt gemaakt op de persoonlijke levenssfeer van werknemers. Hiervan is ook sprake als niet voldoende zorgvuldigheid wordt betracht bij het beoordelen van individuele werknemers op basis van de aldus verkregen gegevens. Bij dat laatste geldt als uitgangspunt, dat een werknemer zich moet kunnen verdedigen indien er bezwaren rijzen tegen zijn functioneren. Hiervoor is essentieel dat hij weet op grond van welke feiten en omstandigheden hij wordt beoordeeld. Werknemers dienen zich als een goed werknemer te gedragen. Dit betekent onder andere dat redelijke gedragsregels ten aanzien van het gebruik van e-mail en internet behoren te worden nageleefd. Arbeidsomstandighedenwetgeving
Het gebruik van controlemiddelen voor computers wordt arbeidsrechtelijk uitsluitend expliciet genormeerd in het Besluit beeldschermwerk dat thans integraal is opgenomen in de artikelen 5.1 tot 5.3 van de Arbeidsomstandighedenregeling. De bepalingen zijn een uitvoering van een Europese richtlijn voor arbeidsomstandigheden (90/270/EEG, 29 mei 1990, vijfde bijzondere Richtlijn). De regeling bepaalt dat zonder medeweten van de werknemer geen gebruik mag worden gemaakt van een kwalitatief of kwantitatief controlemechanisme. Voorts moet het systeem de werknemer duidelijkheid verschaffen over de werking ervan. Wet op de ondernemingsraden (WOR)
Met betrekking tot de verwerking van persoonsgegevens en het gebruik van personeelsvolgsystemen heeft de ondernemingsraad het recht van instemming (artikel 27, lid 1, onder k en l). Onder personeelsvolgsysteem verstaat de wet "voorzieningen die gericht zijn op of geschikt zijn voor waarneming van of controle op aanwezigheid, gedrag of prestaties van de in de onderneming werkzame personen; een en ander voor zover betrekking hebbende op alle of een groep van de in de onderneming werkzame personen." De controle op e-mail en internet is derhalve een personeelsvolgsysteem waarover de ondernemingsraad instemmingsrecht heeft. De instemming van de ondernemingsraad bindt echter de individuele werknemers niet. Aparte aandacht verdient de communicatie per e-mail van leden van de ondernemingsraad ten behoeve van hun OR-werkzaamheden. Op grond van artikel 17 WOR hebben zij het recht om onderling te overleggen met gebruik van voorzieningen waarover het OR-lid als zodanig kan beschikken. De wetsgeschiedenis van artikel 17 WOR maakt duidelijk dat tussen de OR en de werkgever geen gezagsrelatie bestaat. Derhalve kan de werkgever zijn gezagsbevoegdheid niet aanwenden om het e-mailgebruik van OR-leden in functie te controleren. Dit betekent dat op email van, aan en tussen OR-leden in functie de algemene wettelijke regels omtrent vertrouwelijke communicatie van toepassing zijn. Daarmee is dit soort e-mail geprivilegieerd en mag de werkgever er in beginsel geen kennis van nemen.
<
VORIGE
INHOUD 239
VOLGENDE
>
21
Juridisch kader 3.4
Wet bescherming persoonsgegevens
Persoonsgegevens
De WBP is van toepassing als er sprake is van verwerking van persoonsgegevens (artikel 2, onder a). Gegevens met betrekking tot het e-mail- en internetgebruik van werknemers zijn in het algemeen te kwalificeren als persoonsgegevens. IP-adressen zijn in combinatie met de username en het password te herleiden tot een bepaalde gebruiker. De daaraan verbonden bestanden zijn aldus herleidbaar tot een werknemer. De verkeersgegevens geven inzicht in de afzender, de bestemming, de datum en de tijd van het bericht of van het internetgebruik. Ook de inhoud van het e-mailbericht is een persoonsgegeven als de werkgever dit tot zijn beschikking heeft om bijvoorbeeld te controleren of een werknemer de gebruiksafspraken nakomt. Verwerking
De WBP hanteert een ruime definitie voor het begrip 'verwerking' (artikel 1, onder b). Het gehele proces van verzamelen tot aan vernietigen van gegevens valt onder het begrip. Bij het proces van e-mail en internetgebruik is voortdurend sprake van het vastleggen van gegevens in servers op de route tussen de gebruiker en de bestemming. Van belang is of de werkgever invloed kan uitoefenen op de vastleggingen. Alleen als het vastleggen een definitief karakter heeft en niet slechts voor de duur van de verbinding, zodat ook de mogelijkheid van raadplegen (achteraf) bestaat, zal kunnen worden gesproken van verwerking van gegevens en is de WBP mogelijk van toepassing. Verantwoordelijke
Verantwoordelijke voor de verwerking van persoonsgegevens is degene die het doel en de middelen van de verwerking vaststelt (artikel 1, onder d). Of de werkgever in de zin van de WBP ook verantwoordelijke is voor de verwerking van de gegevens, hangt onder meer af van de vraag wie de faciliteiten aanbiedt en beheert. Een werkgever die zelf een e-mail- en/of internetserver beheert, zal verantwoordelijke zijn voor de verwerkingen van gegevens op die server. Indien het e-mail- en internetverkeer echter geheel verloopt via het telefonisch inbellen bij een ISP, zal de werkgever niet snel als verantwoordelijke kunnen worden gekwalificeerd, omdat de ISP zelf het doel en de middelen vaststelt. Dit is alleen anders voor eventuele logbestanden op de computer van de werknemer zelf. Indien de werkgever het aanbieden van de computerfaciliteiten heeft uitbesteed aan een derde ('outsourcing'), kan sprake zijn van een 'bewerker'; de derde is dan niet zelfstandig verantwoordelijk voor de gegevensverwerkingen, maar het is de werkgever die jegens de werknemer als verantwoordelijke moet worden aangemerkt. Daarnaast kan het voorkomen dat de bewerker dermate veel invloed heeft op het proces, dat wellicht moet worden gesproken van (mede)verantwoordelijkheid. Verzamelen/verwerken
De WBP bepaalt dat gegevens in overeenstemming met de wet en op een behoorlijke en zorgvuldige wijze moeten worden verwerkt (artikel 6). In zoverre geldt dit voorschrift als de privacyrechtelijke evenknie van de arbeidsrechtelijke norm van het goed werkgeverschap. Voorts mogen de gegevens alleen worden verzameld voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden (artikel 7). Controle via volgsystemen is dus alleen toegestaan als het doel van de controle vooraf is bepaald. Als grondslag van de controle kan doorgaans worden aangewezen het gerecht-
22
<
VORIGE
INHOUD 240
VOLGENDE
>
Goed werken in netwerken Hoofdstuk 3
vaardigd belang van de werkgever (artikel 8 onder f). Hierbij geldt wel dat hij een aantoonbare belangenafweging moet maken tussen zijn belangen en de (privacy)belangen van de werknemers. De aard, omvang en de vorm van de controlemaatregelen dienen derhalve in een redelijke verhouding te staan tot het doel van de controle. Ten slotte is niet onbelangrijk dat de WBP voorschrijft dat gegevens niet bovenmatig mogen zijn (artikel 11, eerste lid). De controlemaatregelen dienen dus beperkt te zijn en gegevens niet onnodig vast te leggen. Indien het doel de vastlegging van gegevens op persoonsniveau niet vereist, moet worden volstaan met geaggregeerde of geanonimiseerde gegevens. Gebruik
Een andere vraag is waarvoor de gegevens die door middel van de controle zijn verzameld, mogen worden gebruikt. Deze doelen mogen niet onverenigbaar zijn met het doel waarvoor de gegevens zijn verkregen. Dit betekent dat algemene personeelsbeoordeling alleen kan plaatsvinden als dit als doelstelling voor het systeem is geformuleerd of als dit verenigbaar is met de primaire doelstelling. Dit ligt anders bij incidenteel gebruik van de gegevens wegens verdenking van overtreding van de regels. In dat geval zal een werkgever er toe over mogen gaan om de gegevens voor zijn onderzoek te gebruiken als dat noodzakelijk is voor voorkoming, opsporing of vervolging van strafbare feiten binnen de organisatie (artikel 43). Daarbij dient hij wel zorgvuldig te werk te gaan en de controlemiddelen naar evenredigheid in te zetten. Rechten en plichten
De werkgever is verplicht om de werknemers inlichtingen te verschaffen over het doel van de controlemiddelen, de manier waarop de gegevens worden verkregen en het gebruik dat ervan wordt gemaakt. Transparantie is een belangrijk beginsel voor privacybescherming. De informatieplicht is â&#x20AC;&#x201C; afhankelijk van de situatie â&#x20AC;&#x201C; gebaseerd op de artikelen 33 en 34 WBP. De verplichting vloeit ook voort uit de Arbowetgeving. Het enkele overleg met de ondernemingsraad is in dit kader onvoldoende. De werknemers moeten individueel worden voorgelicht. In geval van e-mail- en internetcontrole is het moment van inloggen hiervoor het aangewezen tijdstip. De werknemer heeft het recht op inzage in de gegevens (artikel 35). Hij kan verder de werkgever verzoeken de gegevens aan te vullen, te verbeteren, te verwijderen of af te schermen indien deze feitelijk onjuist zijn, voor het doel onvolledig of niet ter zake dienend zijn dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt (artikel 36). Tenslotte kan de werknemer tegen de verwerking van zijn persoonsgegevens verzet aantekenen in verband met zijn bijzondere persoonlijke omstandigheden (artikel 40). Melden of niet?
Een verantwoordelijke is verplicht om de verwerking van persoonsgegevens te melden bij het College Bescherming Persoonsgegevens (CBP) voor hij begint met de verwerking. De melding geeft inzicht in de doeleinden van de verwerking, de personen van wie de gegevens worden verwerkt, de soorten gegevens, de ontvangers en de beveiliging van de gegevens. Veel voorkomende verwerkingen waarvan de inbreuk op de persoonlijke levenssfeer onwaarschijnlijk is, zijn door het Vrijstellingsbesluit van de meldingsverplichting vrijgesteld. Het Vrijstellingsbesluit bevat een aantal vrijstellingen voor het verwerken van persoonsgegevens in verband met het gebruik van computers en computernetwerken. Deze vrijstellingen gelden met name voor de
<
VORIGE
INHOUD 241
VOLGENDE
>
23
normale systeemcontrole (performance), controle op autorisaties en de (externe) beveiliging van het systeem tegen virussen en dergelijke. In de definitieve tekst van het Vrijstellingsbesluit valt controle op het gebruik van e-mail en internet ook onder de vrijstelling en hoeft, mits voldaan aan de vereisten van het vrijstellingsbesluit (waaronder de instemming van de ondernemingsraad), niet te worden gemeld. Een nieuw element in de WBP is dat het CBP een onderzoek moet instellen voorafgaand aan een verwerking, indien de verantwoordelijke voornemens is gegevens vast te leggen op grond van eigen waarneming zonder de betrokken daarvan op de hoogte te stellen (artikel 31, lid 1 onder b, WBP). Bij de melding dient de verantwoordelijke dit aan te geven (artikel 32, lid 1 WBP). Voor de verantwoordelijke in organisatie of bedrijf betekent dit dat de vrijstelling van de melding voor het systeem van controle van werknemers vervalt als hiermee ook heimelijk gegevens van personen vast worden gelegd. De verplichting tot melding aan het CBP met het oog op het instellen van een voorgaand onderzoek is niet van toepassing op een bedrijf of organisatie waarin de controle van het personeel op een transparante manier gebeurt. Hiervan is in elk geval sprake, indien de vuistregels uit dit rapport in acht zijn genomen. Het feit dat een bepaalde wijze van controleren door middel van heimelijk monitoring plaats vindt, is dus op zich geen reden tot melding indien deze wijze van controleren kenbaar is gemaakt in het bedrijf of de organisatie en de ondernemingsraad hiermee heeft ingestemd. Meer informatie over het Vrijstellingsbesluit en de meldingen is te vinden op de internetsite van het CBP (zie www.cbpweb.nl).
Juridisch kader 3.5
Telecommunicatiewet
Hoewel het aanbieden van e-mail- en internetvoorzieningen via eigen servers wel onder het begrip telecommunicatie valt, is de telecommunicatiewet niet van toepassing op werkgevers die hun werknemers deze diensten aanbieden. Alleen als de diensten ook beschikbaar zijn voor het publiek, ligt dit anders.
Juridisch kader 3.6
Uitspraken van de Registratiekamer
Ook de Registratiekamer, de voorganger van het CBP, heeft enkele malen uitspraken gedaan over controle op e-mail en internetgebruik. De uitspraken zijn gebaseerd op de Wet persoonsregistraties (WPR), de voorloper van de WBP. In een zaak van de gemeente Zwolle was de beveiliging van het e-mailsysteem uitgevallen. Daardoor kon e-mail die als 'privĂŠ' gelabeld was en onder normale omstandigheden niet leesbaar was voor derden, door anderen worden geopend. De gemeente stond een bescheiden privĂŠ-gebruik toe. Uit de inhoud van deze mail bleek dat er kwetsende opmerkingen werden gemaakt over enkele medewerkers. Dit werd gemeld aan het management, dat daarop besloot tot een onderzoek naar alle berichten. De Registratiekamer oordeelde dat de gemeente Zwolle door het laten vervallen van de beveiligingen waardoor door derden kennis kon worden genomen van de berichten, in strijd had gehandeld met artikel 8 WPR (beveiligingsplicht). Het onderzoek naar alle berichten was naar het oordeel van de Registratiekamer in strijd met artikel 6, eerste lid, WPR (verenigbaar gebruik). "De zorg van een goed werkgever brengt met zich mee dat de vertrouwelijkheid van berichten met een meer persoonlijke, niet zakelijke inhoud wordt gerespecteerd. Dit betekent dat de gemeente alleen gebruik mag maken van niet voor
24
<
VORIGE
INHOUD 242
VOLGENDE
>
Goed werken in netwerken Hoofdstuk 3
zakelijke doeleinden bewaarde elektronische berichten, indien een gewichtig bedrijfsbelang daartoe zou dwingen en voor zover dat gebruik in juiste verhouding staat tot het nagestreefde doel terwijl dit doel niet op een minder ingrijpende wijze kan worden bereikt. De mogelijke aanwezigheid van berichten met een onoirbare inhoud is op zichzelf geen voldoende rechtvaardiging voor een inbreuk op artikel 8 EVRM, door de in de folders opgeslagen berichten aan een inhoudelijk onderzoek te onderwerpen. Daarbij moet tevens in aanmerking worden genomen dat er onvoldoende aanleiding was om alle onderzochte personen bij voorbaat als 'verdacht' aan te merken." (Registratiekamer, 23 december 1997, 97\178.04) In een zaak van een politiekorps werden via het bedrijfsnetwerk berichten uitgewisseld die met name vrouwelijke politieambtenaren als intimiderend en ongewenst beschouwden. Er was in casu geen sprake van eigen postbussen van medewerkers, maar van een centrale opslag. Er waren geen gebruiksregels opgesteld. De medewerkers gebruikten het systeem ook voor berichten van meer persoonlijke aard. De Registratiekamer oordeelde dat "de zorg van een goed werkgever met zich mee brengt dat het meer persoonlijke, niet zakelijke berichtenverkeer gerespecteerd wordt. Dit geldt temeer als die berichten van de aanduiding 'privé', 'persoonlijk' of 'vertrouwelijk' zijn voorzien. Het betreft hier privacy-aanspraken van werknemers die door de werkgever in beginsel dienen te worden gerespecteerd". De Registratiekamer merkte op dat ook ter discussie staat of e-mail onder de bescherming van artikel 13 Grondwet (het brief- en telefoongeheim) staat en dat wetsvoorstellen aanhangig waren die e-mail onder de bescherming van dit artikel moesten brengen. "Uit het voorgaande in samenhang beschouwd vloeit naar het oordeel van de Registratiekamer voort dat ten aanzien van e-mailverkeer ook in de verhouding werkgever/werknemer de privacybescherming voorop dient te staan. Inbreuken daarop dienen in concrete situaties in overeenstemming te zijn met de beginselen van proportionaliteit en subsidiariteit." Het onderzoek naar de intimiderende berichten kon plaatsvinden met inachtneming van de gegeven randvoorwaarden. (Registratiekamer, 14 oktober 1997, 97\0578.01) In een latere zaak vroeg de ondernemingsraad van een computerbedrijf de Registratiekamer om een oordeel over de nieuwe 'worldwide corporate policy' van het bedrijf ten aanzien van e-mail en voice-mail. Daarin werd gesteld dat de werkgever inzage kan eisen in de e-mail- en voice-mailberichten 'for any purpose' en dat werknemers 'no reasonable expectation of privacy' hebben. Dit laatste vloeide voort uit het feit dat het gebruik van het e-mailsysteem slechts was toegestaan voor zakelijk verkeer. Privé-gebruik was slechts incidenteel toegestaan. De Registratiekamer oordeelde dat het voorbehoud van de werkgever om voor 'any purpose' e-mailberichten te openen, te gebruiken, te kopiëren of te verspreiden op grond van de WPR niet is toegestaan. De werkgever zal een redelijk belang moeten kunnen aantonen voor de aanleg van de persoonsregistratie. "Een persoonsregistratie mag gelet op artikel 4 WPR slechts worden aangelegd voor een bepaald doel waartoe het belang van de houder redelijkerwijs aanleiding geeft. Dit geldt ook voor een persoonsregistratie die het resultaat is van het gebruik van e-mail. Het doel van deze persoonsregistratie mag niet in strijd zijn met de wet, de openbare orde of de goede zeden en moet bij de aanleg van de registratie vast staan. Artikel 4 dwingt de houder dus tot specificatie van de doelstelling. Van enige specificatie van het doel van deze persoonsregistratie is volgens de policy geen sprake."
<
VORIGE
INHOUD 243
VOLGENDE
>
25
Het gebruik van de persoonsregistratie moet daarmee verenigbaar zijn. Ook de stelling dat de werknemer 'no reasonable expectation of privacy' heeft, is niet houdbaar. (Registratiekamer, 24 juni 1999, 99\0141.01) Kort daarna stelde de Registratiekamer een ambtshalve onderzoek in naar een bedrijf dat was overgegaan tot het monitoren van het bedrijfsnetwerk. Het ging om een onderzoek naar overtreding van de bedrijfsvoorschriften door enkele medewerkers. Het bedrijfsbeleid stelde dat het netwerk voornamelijk was bedoeld voor zakelijke doeleinden, maar dat privé-gebruik mits tot een minimum beperkt en met toestemming van de chef - was toegestaan. Tevens werden bepaalde vormen van gebruik uitdrukkelijk verboden, waaronder "online gokken, het versturen van kettingbrieven, pornografisch materiaal of discriminerende of seksueel intimiderende opmerkingen". Het bedrijf hield zich het recht voor om alle mailberichten en internetgebruik te onderzoeken zonder de betrokken medewerker daarvan op de hoogte te stellen. Dit beleid was voor de medewerkers toegankelijk via een verwijzing op het openingsscherm. Het bedrijf was overgegaan tot een intern onderzoek na een klacht van een medewerker van een zustermaatschappij die een e-mailbericht met pornografisch materiaal had ontvangen dat niet voor hem bestemd was. Daarop heeft het bedrijf de mailboxen geopend van de medewerkers die bij deze zaak betrokken waren. Alleen de berichten waarvan niet kon worden uitgesloten dat zij vrij waren van verboden materiaal, werden geopend. Voorts was het onderzoek beperkt in de tijd. De Registratiekamer oordeelde dat de beperkte omvang van het onderzoek en de wijze waarop het had plaatsgevonden behoorlijk en zorgvuldig was. Wel plaatste de Registratiekamer enkele kanttekeningen bij het opgestelde beleid. "Afhankelijk van de momenten en de wijze waarop deze toestemming van de chef in de praktijk moet worden verkregen, miskent deze voorwaarde dat de werknemer ook in de arbeidssituatie een zekere mate van privacy toekomt, hetgeen door de rechter ook als zodanig wordt erkend. Onder dit recht op privacy mag naar het oordeel van de Registratiekamer ook een beperkt gebruik van communicatiemiddelen zonder voorafgaande toestemming van de directe chef worden gerekend." En voorts "De bevoegdheid die het bedrijf zich in het algemeen toekent om al het netwerkverkeer te controleren zonder de werknemer daarvan op de hoogte te stellen, is naar het oordeel van de Registratiekamer in zijn algemeenheid te ruim geformuleerd om de hiermee gepaard gaande inbreuk op de bescherming van de persoonlijke levenssfeer te rechtvaardigen. Een nadere omschrijving van de gevallen waarin van dit recht gebruik wordt gemaakt en de werkwijze die hierbij wordt gevolgd wordt dan ook aanbevolen." (Registratiekamer, 27 december 1999, 99\0927.02) Conclusie
Hoewel de bovenstaande uitspraken onder de WPR hebben plaats gevonden, is de strekking van de argumentatie nog steeds geldig. Het CBP, en voorheen de Registratiekamer, gebruikt als uitgangspunt de privacy van werknemers ten aanzien van het gebruik van e-mail en internet. “De zorg van een goed werkgever brengt met zich mee dat de vertrouwelijkheid van berichten met een meer persoonlijke, niet zakelijke inhoud, wordt gerespecteerd.” Bij een inbreuk op deze privacy van de werknemer is een duidelijke rechtvaardiging noodzakelijk. De begrippen proportionaliteit en subsidiariteit spelen daarbij een belangrijke rol.
26
<
VORIGE
INHOUD 244
VOLGENDE
>
Goed werken in netwerken Hoofdstuk 3
Juridisch kader 3.7
Uitspraken van de rechter
De rechter heeft zich in een aantal zaken ook uitgesproken over controle bij het gebruik van e-mail en internet. Ter illustratie wordt hier een aantal zaken beschreven. In de uitspraak van de Kantonrechter te Utrecht wordt erkend dat de werknemer in relatie tot de werkgever aanspraak kan doen op de eerbiediging van zijn persoonlijke levenssfeer. De Kantonrechter oordeelde dat de werkgever geen privé-correspondentie, in de vorm van e-mailberichten, mag aanvoeren als bewijs tegen de werknemer. De uitspraak luidde; “Dat analoog aan Artikel 13 van onze Grondwet, het briefgeheim zich ook uitstrekt tot de met een persoonlijke brief vergelijkbare communicatievormen zoals in casu de betreffende e-mails. Daaraan doet niet af dat voor de verzending van zijn privé-correspondentie gebruik is gemaakt van de E-mail aansluiting van de werkgever. De aard van de correspondentie verandert immers niet zonder meer door de wijze van verzending. Voorts kan niet worden geoordeeld dat door gebruik te maken van de e-mail aansluiting van de werkgever het vertrouwelijke karakter van de e-mails is prijs gegeven. (Kantonrechter Utrecht, 16 september 1998, NJ-kort 1998, nr. 83). Voor het Kantongerecht Almelo speelde een zaak waarin de werkgever voorwaardelijk ontbinding vorderde van de arbeidsovereenkomst met een werknemer die op staande voet was ontslagen nadat was geconstateerd dat hij zonder toestemming van de werkgever een internetaansluiting had aangelegd en bepaalde sites had bezocht. De werknemer stelde dat de werkgever inbreuk had gemaakt op zijn privacy door onder meer kennelijk het wachtwoord te kraken en de e-mail te openen. Hij eiste een vergoeding op basis van een hoge correctiefactor. De rechter oordeelde onder meer dat "bij een onderzoek naar misbruik van het internet door de werkgever niet valt te ontkomen aan een onderzoek naar het persoonlijk gebruik dat van het internet is gemaakt. De werkgever treft derhalve geen verwijt." De arbeidsovereenkomst werd ontbonden zonder toekenning van een vergoeding. (Kantonrechter Almelo, 30 september 1999, Praktijkgids 1999, 5365). In een zaak die speelde voor de Kantonrechter Haarlem, ging het om een werknemer die in strijd met de bedrijfsrichtlijnen tijdens werkuren pornografisch materiaal per e-mail had verzonden aan privé-relaties. De werkgever vroeg ontbinding van de arbeidsovereenkomst. De rechter oordeelde dat "… in het huidige tijdsgewricht is aanvaard dat er een zekere 'privétisering' van de werkplek optreedt. Dat heeft tot gevolg dat ook een werkgever binnen zekere grenzen heeft te aanvaarden dat er onder werktijd privé-contacten worden onderhouden. Een werkgever behoort de privacy van die contacten te waarborgen". De rechter liet derhalve de inhoud van het e-mailverkeer met derden buiten beschouwing. Dit lag anders voor de attachments bij de e-mailberichten met afbeeldingen van pornografische aard. De rechter oordeelde dat de werknemer had moeten begrijpen dat het bedrijfsnetwerk niet bedoeld was voor dit soort gebruik. Omdat het de werkgever volgens de rechter vrij stond om haar netwerk te onderzoeken op dit soort gebruik, achtte de rechter het verkregen en ter zitting aangevoerde bewijsmateriaal niet onrechtmatig. Daarnaast speelden ook andere feiten. De rechter ontbond de arbeidsovereenkomst zonder vergoeding. (Kantonrechter Haarlem, 16 juni 2000, Jurisprudentie Arbeidsrecht 2000, 170).
<
VORIGE
INHOUD 245
VOLGENDE
>
27
Niet veel later deed de Kantonrechter te Utrecht uitspraak in een zaak waarin een werkgever de ontbinding verzocht van de arbeidsovereenkomst met een oudere werknemer die dagelijks meer dan een uur erotische sites op internet bezocht via het computersysteem van het bedrijf. De rechter oordeelde dat het ontslag de werknemer onevenredig hard zou treffen en weigerde de arbeidsovereenkomst op die grond te ontbinden. Daarbij nam hij in aanmerking dat de werkgever op dat moment geen gedragscode voor het gebruik van e-mail en internet op het werk had en dat de werkgever de werknemer niet eerst had gewaarschuwd. (Kantonrechter Utrecht, 13 juli 2000, JAR 2000, 199). Bij de uitspraak van de Kantonrechter te Apeldoorn speelt de aanwezigheid van een gedragscode eveneens een rol. De werkgever gaf aan dat werknemers gewaarschuwd waren dat het gebruik van het net op niet-zakelijke wijze niet werd getolereerd. Ook was de werkgever bezig met een gedragscode. De Kantonrechter constateerde dat deze code niet consequent werd nageleefd binnen de onderneming. Maar ook al zou dat wel zo zijn, is ontbinding wegens dringende reden niet proportioneel. (Kantonrechter Apeldoorn, 6 september 2000, JAR 2000, 212). In het geval van een werknemer die door het bezoeken van sekssites op internet de telefoonrekening van de werkgever zeer hoog had laten oplopen, oordeelde de Kantonrechter dat ontbinding van de arbeidsovereenkomst zonder vergoeding gerechtvaardigd was. (Kantonrechter Hilversum, 6 september 2000, JAR 2000, 216). De Kantonrechter te Utrecht ging over tot ontbinding van een arbeidsovereenkomst wegens dringende reden bij een werknemer die een e-mail met “smakeloze” plaatjes had verstuurd. Alhoewel er geen gedragscode was en niet was vast komen te staan dat de algemene waarschuwingsmail ter zake was ontvangen, was de Kantonrechter toch van oordeel dat het beleid van de werkgever op dit onderdeel de werknemer voldoende bekend was. (Kantonrechter Utrecht, 20 november 2000, JAR 2001, 7). Ook de Kantonrechter te Emmen gaat over tot ontbinding van een arbeidsovereenkomst na buitensporig e-mailgebruik van desbetreffende werknemer. “Het had werknemer ook zonder verbod of regeling duidelijk moeten zijn dat zijn gedragingen niet getolereerd konden worden. […] Tenslotte geldt dat het recht op privacy op de werkplek afgewogen moet worden tegen het recht van een onderwijsinstelling niet met seksactiviteiten in verband te worden gebracht. Bij een afweging van belangen prevaleert dit laatste recht.” (Kantonrechter Emmen, 29 november 2000, JAR 2001, 4). Een politieambtenaar is bij de Rechtbank Rotterdam in beroep gegaan tegen het besluit van haar werkgever om tegen haar een disciplinair onderzoek in te stellen naar aanleiding van een vermoeden van buitenproportioneel oneigenlijk e-mailgebruik. Hierbij zijn haar e-mailberichten ingezien. De vrouw doet daarbij een beroep op haar privacy. De rechtbank concludeert dat er een zorgvuldige afweging van belangen heeft plaats gevonden. De politieambtenaar kan zich niet verschuilen achter het feit dat er geen e-mail en internetregeling is. (Rechtbank Rotterdam, 29 maart 2001, ELRO-nr: AB0812). De Amsterdamse rechtbank weigerde een ontbinding van de arbeidsovereenkomst na het verzenden van e-mailberichten met “Clintoniaanse” woordgebruik. Het ging om een beperkt aantal mails: “…het volledig verbieden van elke nietzakelijke communicatie valt moeilijk te verbieden. Ook al is dat in een gedragscode vast gelegd.” (Kantonrechter Amsterdam, 26 april 2001, JAR 2001, 101). Drie werknemers van DSM vochten bij de Kantonrechter in Sittard hun ontslag
28
<
VORIGE
INHOUD 246
VOLGENDE
>
Goed werken in netwerken Hoofdstuk 3
op staande voet aan. Dit naar aanleiding van een grote hoeveelheid pornografische e-mails op de harde schijf van de bedrijfscomputer. De kantonrechter stelt dat de werknemers behoorden en konden weten dat de bedrijfsapparatuur niet voor privé-doeleinden mocht worden gebruikt. De gedragingen van de betreffende werknemers rechtvaardigden echter niet een ontslag op staande voet. Maar op basis van verstoorde arbeidsverhoudingen wordt het contract wel ontbonden. (Kantonrechter Sittard, beschikking d.d. 3 december 2001, zaak no. 101435) Conclusie
Het is niet makkelijk om algemene lijnen uit deze jurisprudentie te halen. Wel laten de hierboven beschreven uitspraken zien dat bij ontslag (op staande voet) vanwege e-mail of internetmisbruik, onafhankelijk of er nu wel of geen gedragscode is, dit ontslag in de meeste gevallen gerechtvaardigd wordt geacht. Er is een duidelijke uitspraak gedaan over de huidige “privetisering” van de werkplek. Dat houdt in dat een bepaalde mate van niet-zakelijk e-mail- en internetgebruik onder werktijd niet verboden kan worden. De aanwezigheid van een gedragscode wordt in de meeste uitspraken wel mee gewogen als relevante factor. Het is voor werkgevers dan ook veiliger om een duidelijk beleid te hebben. Echter de afwezigheid van een dergelijk beleid is nog geen rechtvaardiging voor de handelwijze van betrokken werknemers. Want ook zonder expliciete gedragscode kunnen werknemers weten wat wel of niet acceptabel is.
<
VORIGE
INHOUD 247
VOLGENDE
>
29
Vuistregels voor controle
<
VORIGE
INHOUD 248
4 VOLGENDE
>
Goed werken in netwerken Hoofdstuk 4
Dit hoofdstuk geeft vuistregels voor het gebruik van e-mail en internet op de werkplek en de controle hier op. De vuistregels sluiten aan bij wettelijke regels vanuit het privacyrecht en het arbeidsrecht en bij algemene noties met betrekking tot personeelsvolgsystemen. Vertrekpunt zijn algemene regels die gelden voor personeelsvolgsystemen in het algemeen en de controle op het gebruik van het bedrijfsnetwerk. Vervolgens komen de specifieke regels aan bod voor de controle op e-mailgebruik waarbij met name de bescherming van de inhoud van het bericht centraal staat. Daarnaast zijn er regels die specifiek zijn toegesneden op de controle van internet. Waar nodig zal aangegeven worden op welke vorm van internet de regel met name betrekking heeft.
Vuistregels voor Algemeen controle Als men nadenkt over het fenomeen e-mail en internet op de werkplek, dan komt men al snel tot de conclusie dat het gaat om nieuwe technologieën die tegemoet komen aan oude behoeften en doeleinden. Meestal kan hieraan ook op een andere, minder snelle wijze tegemoet worden gekomen. Als men op deze wijze over de problematiek nadenkt, zal men snel tot de conclusie komen dat er in wezen niet zo veel verandert door de introductie van deze technologieën op de werkplek. Aan de andere kant is de impact van systematische controle op het gedrag van werknemers bij het gebruik van computers groot, hetgeen ook blijkt uit de bepalingen die hieromtrent in de Arbeidsomstandighedenregelgeving zijn opgenomen. De werkgever zal bij de vormgeving van zijn beleid uit moeten gaan van de loyaliteit van zijn werknemers. Permanente controle op werkprocessen draagt niet bij tot een sfeer van wederzijds vertrouwen. 4.1 Behandel zaken online op dezelfde manier als off line
Werknemers doen hun taken op een bepaalde manier. Zij kunnen daar vaak verschillende methoden voor gebruiken. Als men iets wil mededelen aan een ander, kan men naar die ander toe gaan voor een persoonlijk gesprek, men kan dit ook telefonisch doen, een brief schrijven of een fax versturen. Sinds enige tijd kan men hetzelfde bericht ook e-mailen. Ook het gebruik van internet kan vergeleken worden met andere vormen van omgang met bijvoorbeeld informatie. Men kan achter een bureau de krant lezen, maar ook op internet. Een werknemer kan even langs het reisbureau gaan, maar hij kan ook online informatie krijgen. Men kan een bestand op diskette versturen, maar ook via FTP of e-mail. In het algemeen dient de werkgever er bij de vaststelling van zijn beleid rekening mee te houden dat de werknemer alternatieve wegen kan bewandelen om hetzelfde doel te bereiken. Het verbieden van een privé-mail zal in het algemeen onredelijk zijn als men een privé-telefoontje wel toestaat (waarbij men overigens kan bedenken dat de operationele kosten van telefoneren hoger zijn dan van e-mailen). Zo geldt dit ook voor andere zaken. Het beleid voor online gedrag moet dus in overeenstemming zijn met het beleid voor off line gedrag.
<
VORIGE
INHOUD 249
VOLGENDE
>
31
4.2 Stel heldere regels op met de instemming van de ondernemingsraad
De regels voor het gedrag van werknemers moeten helder en eenduidig zijn. Bepaal wat in de organisatie is verboden of wat is toegestaan, op welke manier de gegevens worden verzameld en gebruikt, wie geautoriseerd is om de gegevens te gebruiken en onder welke omstandigheden, hoelang de gegevens worden bewaard en wat de sancties zijn op overtreding van de regels. Volgens artikel 27 WOR is de instemming van de ondernemingsraad vereist, omdat controle op e-mail- en internetgedrag als personeelsvolgsysteem moet worden geduid en loggingen van (vaste) IP-adressen en andere gegevens als het verwerken van persoonsgegevens gelden. 4.3 Publiceer de regels op een voor de werknemer toegankelijke wijze
De regels moeten helder gecommuniceerd worden naar de werknemers. De werknemer moet weten wat is toegestaan of is verboden, dat controle mogelijk is, op welke wijze dat geschiedt en wat de consequenties zijn van zijn handelen. Op betrekkelijk eenvoudige wijze kunnen de regels tijdens het opstarten van het systeem of van het programma worden gepresenteerd op het beeldscherm van de werknemer. Op deze wijze wordt gegarandeerd dat de werknemer zich van de regels bewust is. 4.4 Stel vast in hoeverre privé-gebruik van de faciliteiten is toegestaan
Een werkgever is bevoegd om regels te stellen omtrent de mate waarin privégebruik van e-mail en internet is toegelaten. In het algemeen zal een beperkte vorm van privé-gebruik worden toegestaan evenals bij telefoneren gebruikelijk is. In zijn algemeenheid is een totaal verbod op privé-gebruik van e-mail en internet niet aanvaardbaar. Alleen bij communicatiefaciliteiten met een specifieke doelstelling, kan het privé-gebruik verboden worden. De werknemer moet dan wel andere communicatiemogelijkheden ter beschikking hebben. Overigens zou ook bij een algeheel verbod op privé-gebruik de werkgever nog niet het recht hebben om continue het gebruik te controleren. Dit zou immers een ingrijpende en niet-evenredige inmenging in het functioneren van de werknemers betekenen. Continue controle wordt door de Arbeidsomstandighedenwetgeving dan ook met reden als schadelijk gezien voor de gezondheid en het welzijn van de werknemer en zal in het algemeen ook niet kunnen worden gekwalificeerd als goed werkgeverschap. 4.5 Maak verboden gebruik zoveel mogelijk softwarematig onmogelijk
Het is raadzaam om het verboden gebruik in te bouwen in de software die binnen de organisatie wordt gebruikt om te e-mailen of te internetten. In veel gevallen zal dat kunnen door 'content-filtering' (het scannen van berichten of bestanden op verboden woorden of extensies), door het afsluiten van websites of nieuwsgroepen, het stoppen van de doorgifte, enzovoorts. Hierdoor is overtreding van het beleid feitelijk vrijwel onmogelijk en is er geen grond meer voor een continue of actieve controle en logging op het gebruik van de faciliteiten. Ook is het mogelijk om toepassingen volledig af te sluiten door de daarvoor benodigde software zelf niet aan te bieden. Internet kent veel verschijningsvormen met ieder zijn eigen toepassingsmogelijkheden en gebruikssoftware. Als een werkgever bijvoorbeeld niet wenst dat zijn werknemers tijd besteden aan chatten, zal hij geen chat-programma ter beschikking moeten stellen. Verder zal hij het gebruik ervan ook moeten verbieden om te voorkomen dat werknemers deze software zelf meenemen. Een beoordeling van voor- en nadelen van toepassingsmogelijkheden en ter beschikking gestelde programma's is noodzakelijk.
32
<
VORIGE
INHOUD 250
VOLGENDE
>
Goed werken in netwerken Hoofdstuk 4
4.6 Anonimiseer rapportages en gebruiksstatistieken
Als het gebruikelijk is om het management rapportages en gebruiksstatistieken van het e-mail- en internetgebruik van de werknemers te verstrekken, is het doorgaans niet noodzakelijk om dat op persoonsniveau te doen. De gegevens in de rapportages en statistieken zullen dus meestal ontdaan kunnen worden van hun identificerende kenmerken. Alleen als er concrete bedenkingen bestaan tegen een bepaalde werknemer, is rapportage op persoonsniveau noodzakelijk en dan ook toegestaan. 4.7 Houdt rekening met de back-ups van het systeem
Als men zorgvuldig met informatiesystemen omgaat, zal men regelmatig backups van de systemen maken om in geval van nood eenvoudig terug te kunnen keren naar een werkend systeem. Dit betekent dat van loggingen en andere gegevens over het e-mail- en internetgedrag van werknemers een back-up wordt gemaakt. De werkgever moet zich ervan bewust zijn dat onzorgvuldig of onbevoegd gebruik van deze back-ups even schadelijk kan zijn voor de persoonlijke levenssfeer van de werknemer als onzorgvuldig of onbevoegd gebruik van het actuele systeem. Back-ups dienen derhalve op een veilige plaats bewaard te worden. Nadat gegevens zijn aangepast zal zo snel mogelijk een nieuwe back-up gemaakt moeten worden en moeten oude versies worden vernietigd, zodat de gegevens niet na een eventuele terugplaatsing van een back-up nogmaals moeten worden aangepast. 4.8 Garandeer de integriteit van de systeembeheerder
De systeembeheerder heeft uit hoofde van zijn functie via een speciale username/password-combinatie toegang tot alle gegevens in het computernetwerk. Dit maakt de functie van de systeembeheerder tot een functie die met de nodige waarborgen moet worden omgeven. Allereerst moet de systeembeheerder zich ervan bewust zijn dat hij gegevens die hij tijdens zijn werk tegenkomt, niet zonder meer openbaar maakt. Hij heeft dus een soort vertrouwensfunctie. Het opleggen van een geheimhoudingsplicht aan de systeembeheerder is vereist (zie ook artikel 12, lid 2 WBP). De systeembeheerder is uiteraard in beginsel niet bevoegd tot het lezen van documenten of e-mail of het real-time meekijken met het internetgebruik van de werknemers zonder dat daar een bijzondere aanleiding toe is. De systeembeheerder moet tegenover het management een zekere onafhankelijkheid hebben. Een systeembeheerder moet zich als ondergeschikte medewerker niet in een positie gebracht voelen waarin hij opdrachten van het management niet op basis van zijn professionaliteit en de hierboven beschreven regels kan uitvoeren. Er moet dus een heldere procedure bestaan die antwoord geeft op de vraag wie in welke gevallen de systeembeheerder opdracht kan geven om bepaalde zaken op het netwerk nader te controleren of daarover informatie te verschaffen. 4.9 Bespreek geconstateerd gedrag zo spoedig mogelijk met betrokkene
Werknemers van wie geconstateerd is dat zij zich niet aan de regels van het bedrijfsbeleid houden, dienen zo spoedig mogelijk op hun gedrag te worden aangesproken. Een zekere tijd voor dossieropbouw is toegestaan indien de omstandigheden daartoe aanleiding geven.
<
VORIGE
INHOUD 251
VOLGENDE
>
33
4.10 Biedt inzage in de gegevens
Indien de werknemers de mogelijkheid wordt geboden om de loggegevens van het netwerk- en internetgebruik in te kunnen zien, zal dit het wantrouwen in de geautomatiseerde controle voor een groot deel kunnen wegnemen. Zij kunnen immers zelf zien wat de werkgever van hen vastlegt. Dit betekent dat de loggegevens in begrijpelijke vorm moeten worden weergegeven en met enige regelmaat moeten worden ververst. 4.11 Evalueer periodiek de regels
Regels verouderen omdat de organisatie, de omgeving waarin zij verkeert en de technische mogelijkheden wijzigen. Het is dan ook zaak periodiek de regels te evalueren zodat tijdig bijstelling kan plaatsvinden.
Vuistregels voor E-mail controle en internet Controle van e-mail is op zichzelf niet verboden. De werkgever is bevoegd om op basis van zijn gezagsbevoegdheid voorwaarden te stellen aan het gebruik van e-mail-faciliteiten of bepaalde soorten gebruik te verbieden. De werkgever zal wel de doeleinden moeten bepalen waarvoor hij controle noodzakelijk acht. De maatregelen moeten in een redelijke verhouding staan tot de belangen van de werknemer. Via e-mail zal de werknemer immers niet alleen zakelijk communiceren, maar in sommige gevallen ook privé-zaken afhandelen. Eveneens zal de werknemer de ruimte moeten worden gelaten om zijn werkzaamheden naar eigen inzicht te verrichten zonder dat zijn baas voortdurend over zijn schouder meekijkt. Continue controle op e-mail – met name op de inhoud ervan – doet daaraan afbreuk. Op grond van de belangenafweging moet de werkgever vervolgens het minst vergaande middel kiezen. In het algemeen dient de werkgever rekening te houden met het recht op vertrouwelijke communicatie van zijn werknemers. Evenals controle op e-mail is controle op het internetgebruik van werknemers toegestaan. Met name is de werkgever bevoegd om op basis van zijn gezagsbevoegdheid voorwaarden te stellen aan het gebruik (bijv. tijd en plaats) of bepaalde soorten gebruik te verbieden. Ook hier geldt dat de genomen maatregelen in een redelijke verhouding moeten staan tot de belangen van werknemer en dat de gebruikte middelen niet een verdergaande inbreuk mogen maken op die belangen dan strikt noodzakelijk is. Gelet op het voorgaande is het verstandig om bij de vormgeving van het beleid rekening te houden met de volgende vuistregels: 4.12 Probeer zakelijke en privé-mail te scheiden en ontzie privé-mail zoveel mogelijk
Het is vanuit het oogpunt van de bescherming van de persoonlijke levenssfeer van de werknemers wenselijk om de zakelijke mail van de privé-mail te scheiden. Dit kan bijvoorbeeld door de werknemer twee mailadressen aan te bieden, waarvan er één zakelijk en één privé is. De werknemer kan de mogelijkheid worden geboden om de mailbox met privé-mail met een password te beveiligen. Zakelijke e-mail kan dan bij afwezigheid van de werknemer door anderen worden geopend zonder gevaar voor inbreuk op de privacy van de werknemer. Ook kan een werkwijze zijn om bij de onderwerpsaanduiding aan te geven dat het een privé-mail betreft. Indien scheiding tussen zakelijke en privé-mail niet mogelijk blijkt, dient de werkgever er rekening mee te houden dat er privé-berichten worden ontvangen en verstuurd. Bij controle dient met name de inhoud van de e-mailberichten te worden ontzien. Dit ligt anders als de werkgever gewichtige redenen heeft om
34
<
VORIGE
INHOUD 252
VOLGENDE
>
Goed werken in netwerken Hoofdstuk 4
van het bericht kennis te nemen. Ook voor controle van verstuurde privĂŠ-mail moet de werkgever een gewichtige reden kunnen aantonen. 4.13 Beperk de controle tot het vooraf geformuleerde doel; voorzie in controlemechanismen die op de doeleinden zijn toegesneden
Een werkgever kan meerdere redenen hebben om e-mail of internetgebruik te willen controleren. Deze doeleinden stellen voorwaarden en beperkingen aan de omvang en de wijze van controle. Veel voorkomende doeleinden zijn: Begeleiding en/of individuele beoordelingen
In het kader van begeleiding of individuele beoordeling van werknemers kan controle op de inhoud van de zakelijke e-mail aan de orde zijn. Dit moet dan wel rechtstreeks verband houden met diens taken. Zo kan een helpdesk-medewerker tot wiens taak het behoort om per e-mail met klanten te communiceren aan een steekproefsgewijze inhoudelijke controle onderworpen worden. In deze situatie is het wenselijk om de mogelijkheid van controle vast te leggen in de arbeidsovereenkomst. De berichten moeten zo spoedig mogelijk worden geĂŤvalueerd. Indien dit is gebeurd, is er geen noodzaak om het bericht nog langer te bewaren. Bij het internetgebruik zal het doeleinde begeleiding en individuele beoordeling in de meeste organisaties geen rol spelen. Voor zover dat wel het geval is (bijvoorbeeld in geval van documentalisten die externe bronnen of online vakliteratuur moeten raadplegen), dienen de regels voor controle op e-mail overeenkomstig te worden toegepast. Vastleggen van bewijs en/of archief
Vaak is een kopie van e-mail gewenst vanwege de behoefte aan bewijs van zakelijke transacties of dossiervorming. Op dit punt zullen de procedures die gelden voor het archiveren van berichten op papier doorgaans van overeenkomstige toepassing zijn. Systeem- en netwerkbeveiliging
Vanuit beveiligingsoogpunt is het wenselijk om e-mail te controleren. Het kan dan gaan om het tegengaan van systeemaanvallen door virussen, trojans of andere schadelijke programma's. Bij deze controle verdient een geheel geautomatiseerde controle van de inkomende berichten en de bijlagen de voorkeur. Indien een besmet bericht gevonden wordt, kan dit op een aparte locatie worden bewaard voor nader onderzoek en eventuele herstelwerkzaamheden. Uiteraard wordt hierbij geen onderscheid gemaakt in zakelijke en privĂŠ-mail. Vanuit beveiligingsoogpunt is het ook wenselijk om internetgebruik te controleren. Het kan dan gaan om het tegengaan van systeemaanvallen door virussen, trojans of andere schadelijke programma's. Voor dit doel verdient een geheel geautomatiseerde controle van de inkomende content de voorkeur, mits de controle tot dit doel beperkt blijft. Indien het voor de inhoud van de functie van de medewerkers niet noodzakelijk is dat zij steeds toegang hebben tot internet, kan dit doel eenvoudig bereikt worden door de toegang aan te bieden op aparte computers die niet aan het interne netwerk zijn verbonden. Beschermen van bedrijfsgeheimen
Een werkgever die zich tegen het uitlekken van bedrijfsgeheimen wil wapenen, zou de inhoud van de uitgaande berichten en de bijlagen kunnen controleren. Het controleren van e-mail zal echter slechts een beperkt middel zijn, vanwege de andere (en vaak betere) mogelijkheden die daarvoor aan te wenden zijn.
<
VORIGE
INHOUD 253
VOLGENDE
>
35
Indien e-mailcontrole hiervoor toch wordt ingezet, heeft geautomatiseerde controle middels content-filtering de voorkeur. Een verdacht bericht kan apart worden gezet voor nader onderzoek. Onderscheid tussen privĂŠ- en zakelijke mail is niet van belang. NB. In dit verband is het van belang zich te realiseren dat het voor de gebruiker eenvoudig is om deze controle te omzeilen (zie ook de opmerkingen in paragraaf 2.3). Controle op het uitlekken van bedrijfsgeheimen via het internet zal moeten geschieden door middel van content-filtering. Dit is niet geschikt voor alle vormen van internetgebruik. Een organisatie die het internetgebruik van de werknemers met het oog hierop wil controleren, doet er dus verstandig aan aandacht te besteden aan de verscheidenheid van internet en bepaalde vormen (met name daar waar uploading mogelijk is, zoals FTP en Chat) wellicht geheel te verbieden. Bedenk wel dat in dat geval ook het onderhoud van websites niet meer mogelijk is. Overigens kleeft het risico van uitlekken van bedrijfsgeheimen ook aan het verzenden van e-mail. Voorkomen van negatieve publiciteit
Werknemers kunnen via e-mail de goede naam van een organisatie behoorlijk aantasten. Het plegen van strafbare feiten, seksuele intimidatie of discriminerende uitingen geschiedt immers onder gebruikmaking van het e-mailadres van de organisatie. Ook hier verdient het de voorkeur om controle geheel geautomatiseerd te laten plaatsvinden middels content-filtering. Verdachte berichten â&#x20AC;&#x201C; zowel inkomende als uitgaande â&#x20AC;&#x201C; dienen zo mogelijk (geautomatiseerd) te worden teruggestuurd aan de afzender, waardoor vastlegging van de inhoud van het bericht niet nodig is. Slechts indien sprake is van herhaaldelijke pogingen van een medewerker om dergelijke berichten te versturen, kan de werkgever deze uitnodigen om het een en ander toe te lichten (zie paragraaf 4.9). Indien men gebruik maakt van internetdiensten via een ISP, is dit doel betrekkelijk eenvoudig te bereiken door de naam van de organisatie uit alle internetverkeer te verwijderen. In veel programma's wordt men geacht gebruikersgegevens (naam, organisatienaam, e-mailadres, reply-adres) in te vullen. Deze gebruikersgegevens worden bij het internetgebruik steeds meegezonden. Door deze gegevens achterwege te laten, wordt veel negatieve publiciteit voorkomen omdat de gebruiker of de organisatie bij de beheerder van de website dan onbekend is. Ook kan gebruik worden gemaakt van een proxyserver bij een betrouwbare serviceprovider. Uiteraard vormt dit geen vrijbrief voor werknemers om zich te misdragen op het internet. Steekproefsgewijze controle is mogelijk. Het voorgaande geldt niet voor internetverkeer via vaste IP-adressen. Deze zijn immers altijd herleidbaar op een organisatie. In dat geval kan een werkgever internetverkeer van de werknemer controleren. Dit zal hij echter slechts steekproefsgewijs kunnen doen. Tegengaan van seksuele intimidatie
Via e-mail kan eenvoudig seksuele intimidatie worden gepleegd. Zowel de inhoud van het bericht als de bijlagen kunnen seksueel intimiderend zijn. Ook is het niet ingewikkeld om de afzender van een bericht te maskeren. Een werkgever die het beleid hiervoor wil handhaven, kan inkomende berichten onderwerpen aan een geautomatiseerde controle. Zo kan de tekst gescand worden
36
<
VORIGE
INHOUD 254
VOLGENDE
>
Goed werken in netwerken Hoofdstuk 4
op verboden woorden en kunnen bijlagen nader bekeken worden, als daar gezien de situatie aanleiding voor is. Verdachte berichten dienen (geautomatiseerd) te worden teruggestuurd aan de afzender. Het tegengaan van seksuele intimidatie via internet (bijvoorbeeld in Chatsessies) is lastig. Bepaalde vormen zijn volstrekt ongeschikt om te controleren met het oog op dit doel. In dit kader past een meer repressieve benadering middels een klachtenprocedure. Controle op naleving van afspraken over verboden gebruik
Een goed beleid voorziet in heldere regels over het gebruik van e-mail en internet die op een toegankelijke manier aan de werknemers kenbaar zijn gemaakt. Veel werkgevers zullen de behoefte hebben om bepaalde soorten gebruik te verbieden. Het zal dan gaan om gokken, het versturen van kettingbrieven, het bekijken of verspreiden van pornografisch materiaal, het doen van discriminerende of seksueel intimiderende uitingen of het downloaden of versturen van illegale software of omvangrijke bestanden die veel beslag leggen op de beschikbare capaciteit. Een werkgever kan de behoefte hebben om te controleren of deze regels ook worden nageleefd. Dit doel rechtvaardigt echter niet een continue controle en de daarmee gepaard gaande verregaande inbreuk op de persoonlijke levenssfeer van de werknemer. In de regel zal de controle op naleving van de afspraken slechts steekproefsgewijs mogen geschieden. Indien echter een werknemer of een groep werknemers ervan worden verdacht de regels te overtreden, kan gedurende een vastgestelde (korte) periode gerichte controle plaatsvinden. Kosten- en capaciteitsbeheersing
Uiteraard kost het versturen van e-mail geld en legt het beslag op de beschikbare capaciteit van het netwerk. Het kostenaspect is met name aan de orde als de e-mailverbinding via de telefoon verloopt. De tijd die het kost om de mail te versturen, is gerelateerd aan de hoeveelheid berichten en de omvang ervan. Dit vertaalt zich in het aantal telefoontikken en dus in de hoogte van de telefoonrekening. Door vastlegging van de verkeersgegevens kan de medewerker worden aangesproken op zijn mailgedrag. Kennisneming van de inhoud van de mail is voor dit doel niet noodzakelijk. Ook voor capaciteitsbeheersing is controle op inhoud niet noodzakelijk. De controle zal voor dit doel beperkt kunnen blijven tot gegevens over tijd, hoeveelheid, omvang, en dergelijke. Uiteraard kost het gebruik van internet geld. Dit is met name het geval als er alleen via de telefoon verbinding is met internet. Dit vertaalt zich in het aantal telefoontikken en dus in de hoogte van de telefoonrekening. Door vastlegging van de verkeersgegevens kan de medewerker worden aangesproken op zijn internetgedrag. Kennisneming van de inhoud van het internetgebruik is voor dit doel niet noodzakelijk. 4.14 Voer de controles op naleving zo beperkt mogelijk uit (maatwerk)
Indien er aanwijzingen zijn dat werknemers de regels overtreden ten aanzien van het e-mailgebruik, is vaak gedurende kortere of langere tijd gerichte controle wenselijk. Hierbij moet de omvang van de controle zo beperkt mogelijk worden gehouden. Maatwerk is derhalve vereist. Eerst dient een selectie te worden gemaakt in verdachte en niet-verdachte werknemers. Vervolgens kunnen van de verdachte werknemers de onderschepte berichten worden gescreend op een verdachte afzender of bestemming, een verdacht onderwerp, verboden woorden in de inhoud of verboden extensies van de bijlage. Berichten waarvan aannemelijk is dat het regulier verkeer betreft of waartegen ook overigens geen bedenkingen
<
VORIGE
INHOUD 255
VOLGENDE
>
37
bestaan, mogen niet worden geopend. Uiteindelijk blijven alleen berichten over die afkomstig zijn van of gericht zijn aan een verdachte werknemer waarvan het onderwerp, woorden in de inhoud of de extensie van de bijlage aanleiding vormen voor een nader onderzoek. Deze berichten kunnen worden geopend. De overige berichten worden vernietigd (kopieĂŤn) of alsnog doorgezonden (originele berichten). Indien er aanwijzingen zijn dat bepaalde werknemers de regels overtreden ten aanzien van het internetgebruik, is vaak gedurende kortere of langere tijd gerichte controle wenselijk. Hierbij moet de omvang van de controle zo beperkt mogelijk worden gehouden. Maatwerk is derhalve vereist. Eerst dient een selectie te worden gemaakt in verdachte en niet-verdachte werknemers of computers. Vervolgens worden van de verdachte werknemers of computers het onderschepte verkeer gescreend op een verdachte URL, een verdacht onderwerp, verboden woorden of verboden gebruik. 4.15 Beperk de logging tot de verkeersgegevens; bewaar de loggegevens niet langer dan noodzakelijk is
Het doel van het e-mailsysteem is om de berichten zo snel en efficiĂŤnt mogelijk op hun bestemming te krijgen. Daarom kan de logging beperkt blijven tot gegevens over de afzender, de bestemming, de datum en de tijd van het bericht. Dit zijn de zogeheten 'verkeersgegevens'. Bewaar de verkeersgegevens niet langer dan noodzakelijk is. In het Vrijstellingsbesluit is uitgegaan van een redelijke bewaartermijn van maximaal 6 maanden voor deze persoonsgegevens. Indien er bijzondere redenen zijn om de gegevens langer te bewaren dan moet dat expliciet worden gemaakt. Als er afgeweken wordt van de voorwaarden uit het Vrijstellingsbesluit dient de gegevensverwerking te worden gemeld bij het CBP (zie paragraaf 3.5) Het is mogelijk om op een firewall het inkomende en uitgaande internetverkeer tot op een zeer gedetailleerd niveau te loggen. In beginsel kan iedere tekst, ieder plaatje en iedere up- of download afzonderlijk worden vastgelegd via loggings. De logging dient beperkt te blijven tot de gegevens die noodzakelijk zijn voor de realisering van de vooraf gestelde doelen. Met name bij privĂŠ-gebruik moet terughoudend worden omgegaan met het vastleggen van de URL op persoonsniveau. Overige loggings mogen niet plaatsvinden of dienen terstond te worden vernietigd. Het is doorgaans niet nodig om de loggings lang te bewaren. Als standaard bewaartermijn kan dan ook maximaal 6 maanden aangehouden worden. Indien er bijzondere redenen zijn om de gegevens langer te bewaren dan moet dat expliciet kunnen worden gemaakt en worden gemeld bij het CBP. Dit kan zich bijvoorbeeld voordoen indien een werknemer ervan wordt verdacht zich niet aan de vastgestelde regels te houden. 4.16 Ontzie geprivilegieerde informatie in elektronische berichten
Evenals andere werknemers communiceren ook leden van de ondernemingsraad en bedrijfsartsen onderling met behulp van e-mail. Voor zover zij dat doen in hun hoedanigheid als OR-lid of arts is hun e-mail beschermd en mag de werkgever daar geen kennis van nemen. Dit betekent niet dat er geen controle op de veiligheid van het berichtenverkeer mag plaats vinden. De werkgever zal in zijn beleid dus rekening moeten houden met beroepsgeheim of ander recht op vertrouwelijkheid.
38
<
VORIGE
INHOUD 256
VOLGENDE
>
257
39
Goed werken in netwerken Hoofdstuk 4
5
Samenvatting en overzicht vuistregels
<
VORIGE
INHOUD 258
VOLGENDE
>
Goed werken in netwerken Hoofdstuk 5
Het gebruik van e-mail en internet in organisaties is de afgelopen jaren flink toegenomen. Meer en meer werknemers hebben via een computer op hun werkplek toegang tot het Word Wide Web. Tegelijkertijd is de vrees toegenomen voor oneigenlijk en risicovol gebruik van deze middelen. Werkgevers willen dit graag controleren, terwijl werknemers dit al snel beschouwen als een inbreuk op hun persoonlijke levenssfeer. Dit rapport is een handreiking voor werkgevers, ondernemingraden en individuele werknemers bij het formuleren van een bedrijfsbeleid ten aanzien van controle op e-mail- en internetgebruik dat recht doet aan de privacy van werknemers.
De regels uit dit rapport zijn van toepassing op alle verschijningsvormen van het internet. Zowel de oudere toepassingen als e-mail, internetsites, nieuwsgroepen en chat, als de modernere varianten zoals WAP. Elke nieuwe gebruiksvariant heeft nieuwe mogelijkheden, maar brengt ook weer nieuwe risico’s voor de werkgever en de werknemer mee. Voor de werkgever kan het gaan om de beveiliging van het netwerk, het tegengaan van ‘verboden gebruik’ of het beschermen van de goede naam van de organisatie. Voor de werknemer staat vaak diens privacybelang door de controle onder druk, maar ook de vrijheid van vrije meningsuiting of de vrijheid om informatie te verzamelen. Onder werktijd geldt er voor werknemers een zekere beperking van de grondrechten. Dit betekent niet dat een werkgever bij het naleven van zijn belang (bijvoorbeeld het tegengaan van misbruik door controle van het e-mail of internetgebruik) de fundamentele vrijheden van zijn medewerkers aan de kant kan schuiven. De bescherming van de privacy op de werkplek is in een scala van wet- en regelgeving vastgelegd. Op basis van artikel 8 ERVM heeft de werknemer recht op een zekere mate van vertrouwelijke communicatie op de werkplek zonder inmenging door de werkgever. Op basis van de begrippen goed werknemerschap en goed werkgeverschap uit het Burgerlijk Wetboek moeten beide partijen zich houden aan zowel verantwoord gebruik van e-mail en internet als aan een zorgvuldig controlebeleid. De Wet op de ondernemingsraden geeft de ondernemingsraad het instemmingsrecht voor de invoering van een dergelijk beleid. Tenslotte geeft de Wet bescherming persoongegevens (WBP) het kader aan hoe er met persoonsgegevens over e-mail en internetgebruik omgegaan moet worden. Op basis van het arbeidsrecht en het privacyrecht zijn vuistregels geformuleerd voor het gebruik en controle van e-mail en internet op de werkplek. Deze vuistregels zijn bedoeld als handvat voor het opstellen van een behoorlijk en zorgvuldig beleid in de arbeidsorganisatie. Om de toepasbaarheid van de vuistregels te vergroten heeft het CBP een raamregeling voor het gebruik van e-mail en internet ontwikkeld. Dit is bedoeld als instrument voor organisaties, bedrijven en ondernemingraden om de vuistregels in het eigen beleid toe te passen.
Vuistregels voor controle op gebruik van e-mail en internet Algemene vuistregels
1 2 3 4 5 6 7 8
<
Behandel zaken online op dezelfde manier als off line. Stel heldere regels op met de instemming van de ondernemingsraad. Publiceer de regels op een voor de werknemer toegankelijke wijze. Stel vast in hoeverre privé-gebruik van de faciliteiten is toegestaan. Maak verboden gebruik zoveel mogelijk softwarematig onmogelijk. Anonimiseer rapportages en gebruiksstatistieken. Houdt rekening met de back-ups van het systeem. Garandeer de integriteit van de systeembeheerder.
VORIGE
INHOUD 259
VOLGENDE
>
41
9 Bespreek geconstateerd gedrag zo spoedig mogelijk met betrokkene. 10 Biedt inzage in de gegevens. 11 Evalueer de regels periodiek. Vuistregels voor e-mail en internet
12 Probeer zakelijke en privĂŠ-mail te scheiden en ontzie privĂŠ-mail zoveel mogelijk. 13 Beperk de controle tot het vooraf geformuleerde doel. Voorzie in op de doeleinden toegesneden controlemechanismen. 14 Voer de controles op naleving zo beperkt mogelijk uit (maatwerk). 15 Beperk de logging tot de verkeersgegevens. Bewaar de loggegevens niet langer dan noodzakelijk is. 16 Ontzie geprivilegieerde informatie van ondernemingsraadleden en bedrijfsartsen in elektronische berichten.
42
<
VORIGE
INHOUD 260
VOLGENDE
>
261
43
Goed werken in netwerken Hoofdstuk 5
6
Bijlagen
<
VORIGE
INHOUD 262
VOLGENDE
>
Goed werken in netwerken Hoofdstuk 6
Bijlage Deelnemerslijst
expertmeeting
De expertmeeting vond plaats op woensdag 25 oktober 2000 bij Registratiekamer.
Aanwezig waren: Compumatica Secure Systems BV FNV FNV Bondgenoten Kennedy Van der Laan Advocaten KPMG Ministerie van Sociale Zaken en Werkgelegenheid Ministerie van Verkeer en Waterstaat Singewald Consultants Group BV Van Diepen van der Kroef Advocaten
Mw. P. van Schaijk mr. H. van Steenbergen Mw. drs. S. Lieon Mw. mr.dr. H.H. de Vries mr. D.J. Rutgers R.C. Crouwel RA Mw. mr.drs. S. Voortman Mw. mr. L. Verplak ir. A. Otte (tevens ISOC) mr. H.J.M. Gardeniers Mw. mr. B.A.J. Spiegler (namens E92 Plus)
Schriftelijk hebben gereageerd: VNO-NCW
Nederlandse Vereniging voor Personeelsbeleid Van de Registratiekamer waren aanwezig: mr .dr. U. van de Pol mr. drs. J.H.J. Terstegge drs. R. Schreijnders Mw. S.M. Artz
<
VORIGE
INHOUD
263
VOLGENDE
>
45
Bijlage Literatuur Asscher, L.F., en W.A.M. Steenbruggen, ‘Het E-mailgeheim op de werkplek. Over de toelaatbaarheid van inbreuken op het communicatiegeheim van de werknemer in het digitale tijdperk’, in: NJB, 2001-37, p.1787-1794. Homan, T.C., ‘Privacy, internet en e-mail op de werkplek’, in: Arbeid Integraal 6, december 2000, p.186-192. Vries,H. de, ‘Rechtspraak over ‘mailen en surfen’, in: Privacy en informatie, 2002, nr. 1, p. 4-9.
46
<
VORIGE
INHOUD 264
VOLGENDE
>
Goed werken in netwerken Hoofdstuk 6
Bijlage Raamregeling
Het CBP krijgt regelmatig verzoeken van bedrijven en organisaties voor het toetsen van een e-mail- en internetregeling. Dit rapport geeft een aantal vuistregels aan de hand waarvan een organisatie het eigen beleid omtrent controle op het gebruik van e-mail en internet kan toetsen. In de onderstaande raamregeling geeft het CBP een model waarin de vuistregels verder zijn uitgewerkt. De raamregeling is besproken met betrokken partijen zoals werkgevers- en werknemersorganisaties. Deze regeling is bedoeld als hulpmiddel voor organisaties, bedrijven en ondernemingsraden om de vuistregels in het eigen beleid toe te passen. Het CBP is van oordeel dat de concrete invulling van beleid voor het gebruik van e-mail en internet maatwerk is en daarom binnen de eigen organisatie moet plaats vinden. De raamregeling bevat daarom keuzes die door de organisatie verder ingevuld moeten worden. Waar mogelijk heeft het CBP al een aantal opties vermeld. Natuurlijk kan de regeling ook verder worden gewijzigd of aangevuld, mits een en ander gebeurt binnen het in het rapport Goed werken in netwerken beschreven wettelijk kader en de aanpassingen niet strijdig zijn met de WBP en de vuistregels uit dit rapport. Voor de invoering van een regeling met betrekking tot controle op het gebruik van e-mail en internet is instemming van de ondernemingsraad vereist. De tekst van de raamregeling wordt gevolgd door een toelichting op diverse onderdelen. Drs. S. Lieon
Raamregeling voor het gebruik van e-mail en internet Doel van de afspraken
1.1. Deze regeling geeft de wijze aan waarop in de organisatie wordt omgegaan met e-mail en internetgebruik. Deze omvat gedragsregels ten aanzien van verantwoord gebruik van e-mail en internet en geeft regels over de wijze waarop controle op e-mail en internetgebruik plaats vindt. 1.2. De controle op persoonsgegevens bij gebruik van e-mail en internet vindt plaats met als doel: • ……. • ……. • ……. Algemene uitgangspunten
2.1 De controle op e-mail- en internetgebruik zal overeenkomstig deze afspraak uitgevoerd worden. Indien er zich situaties voordoen waarin deze regeling niet voorziet, zal conform het arbeidsrechtelijk kader en de Wet bescherming persoonsgegevens (WBP) en in overleg met de ondernemingsraad gehandeld worden. 2.2 Gestreefd wordt naar een goede balans tussen controle op verantwoord e-mail- en internetgebruik en bescherming van de privacy van werknemers op de werkplek. 2.3 Persoonsgegevens gerelateerd aan e-mail en internetgebruik worden niet langer bewaard dan noodzakelijk, met een maximum bewaartermijn van 6 maanden. 2.4 De werkgever treft voorzieningen voor de positie en integriteit van de systeembeheerder en/of afdeling systeembeheer en de controle daarop. E-mailgebruik
3.1 Werknemers mogen …….. 3.2 Het versturen van e-mailberichten moet voldoen aan de volgende voorwaarden: • ……. • ……. • ……. 3.3 Het is niet toegestaan om: • ……. • ……. • …….
<
VORIGE
INHOUD 265
VOLGENDE
>
47
Internetgebruik
4.1 Werknemers mogen …….. 4.2 Het is niet toegestaan om: Controle
5.1 Controle op e-mail en internetgebruik vindt slechts plaats in het kader van in artikel 1.2 genoemde doelen. Deze doeleinden stellen beperkingen aan de omvang en wijze van controle: • …………….. • ……………. • …………….. 5.2 Controle vindt in beginsel plaats op het niveau van getotaliseerde gegevens die niet herleidbaar zijn tot individuele personen. Indien een werknemer of een groep werknemers ervan wordt verdacht de regels te overtreden, kan gedurende een vastgestelde (korte) periode gerichte controle plaats vinden. 5.3 Controle beperkt zich in principe tot verkeersgegevens van het gebruik van e-mail en internet. Alleen bij zwaarwegende redenen vindt er controle op de inhoud plaats. 5.4 ‘Verboden’ e-mail- en internetgebruik wordt zo veel mogelijk softwarematig onmogelijk gemaakt. Overige controle vindt slechts steekproefsgewijs plaats. 5.5 Werknemers ten aanzien van wie geconstateerd is dat zij zich niet aan deze regeling houden, worden zo spoedig mogelijk door de leidinggevende op hun gedrag aangesproken. 5.6 E-mailberichten van OR-leden, bedrijfsartsen en andere medewerkers met een vertrouwensfunctie zijn in beginsel uitgesloten van controle. Dit geldt niet voor de controle op de veiligheid van het berichtenverkeer. Rechten van de betrokkenen
6.1 De werkgever informeert de werknemers voorafgaand aan de invoering van de regeling over controle op e-mail- en internetgebruik, omtrent de doeleinden, de aard van de gegevens, de omstandigheden waaronder zij verkregen zijn en de inhoud van deze regeling (zie artikel 33 WBP). 6.2 De werknemer kan zich tot de werkgever wenden met het verzoek om een volledig overzicht van zijn verwerkte persoonsgegevens. Het verzoek wordt binnen 4 weken beantwoord. (zie artikel 35, WBP) 6.3 De werknemers kan de werkgever verzoeken zijn persoonsgegevens te verbeteren, aan te vullen, te verwijderen of af te schermen indien deze feitelijk onjuist zijn, voor het doel onvolledig of niet ter zake dienend, dan wel in strijd met een wettelijk voorschrift wordent verwerkt. Het verzoek wordt binnen 4 weken beantwoord (zie artikel 36 WBP). 6.4 De werknemer kan bij de werkgever verzet aantekenen tegen de verwerking van zijn persoonsgegevens in verband met bijzondere persoonlijke omstandigheden. De werkgever oordeelt binnen 4 weken na ontvangst van het verzet of dit gerechtvaardigd is. Indien de werkgever het verzet gerechtvaardigd acht, beëindigt hij terstond de verwerking (zie artikel 40 WBP). Slotbepaling
7.1 De werkgever kan deze regeling met instemming van de ondernemingsraad wijzigen. Deze wijzigingen worden schriftelijk vastgelegd en voorafgaand aan de invoering aan de werknemers bekend gemaakt. 7.2 Deze regeling wordt jaarlijks geëvalueerd door de werkgever en de ondernemingsraad. De eerstkomende evaluatie vindt plaats voor …….. (datum invullen).
48
<
VORIGE
INHOUD 266
VOLGENDE
>
Goed werken in netwerken Hoofdstuk 6
7.3 Deze regeling is tot stand gekomen in overleg met en met instemming van de ondernemingsraad bij besluit van …. (datum invullen).
Toelichting op de Raamregeling Algemeen
De invoering van de raamregeling voor het gebruik van e-mail en internet is een besluit waarvoor instemming van de ondernemingsraad nodig is (artikel 27, lid 1 onder l, WOR). Het CBP heeft een checklist ontwikkeld die de OR een handvat biedt bij de beoordeling van een dergelijke regeling. Deze privacychecklist is te bestellen bij het CBP of te downloaden van de website (www.cbpweb.nl). Uitleg bij 1.2
Persoonsgegevens mogen slechts voor welbepaalde, duidelijk omschreven en gerechtvaardigde doeleinden verwerkt worden. Deze doelomschrijving moet nauwkeurig en zo volledig mogelijk zijn. In overleg moet worden vastgesteld welke doeleinden voor controle van e-mail- en internetgebruik noodzakelijk zijn voor de eigen organisatie. De privacybelangen van de werknemers horen hierbij meegewogen te worden. In de onderstaande lijst worden de meest voorkomende doeleinden voor controle op e-mail- en internetgebruik opgesomd. • begeleiding en/of individuele beoordelingen • bewijs en archivering • systeem- en netwerkbeveiliging • bescherming van bedrijfsgeheimen • voorkomen van negatieve publiciteit • tegengaan van seksuele intimidatie • tegengaan van “verboden gebruik” • kosten- en capaciteitsbeheersing Uitleg bij 2.2
Controle en gedragsregels ten aanzien van het gebruik van e-mail en internet moet niet los gezien worden van het beleid ten aanzien van andere communicatiemiddelen en controlemaatregelen in de organisatie. Het beleid voor online gedrag moet in overeenstemming zijn met het beleid voor off line gedrag. Niet de technische mogelijkheid van controle, maar de noodzaak dient de vorm en de maat hiervan te bepalen. Uitleg bij 2.4
De systeembeheerder is als het ware de sleutel tot de persoonsgegevens gerelateerd aan het gebruik van e-mail en internet. Vanuit het oogpunt van de privacy is het belangrijk om afspraken te maken wie in welke gevallen opdracht kan geven tot de controle. Ook de geheimhoudingsplicht (artikel 12, lid 2, WBP) moet ter sprake komen in verband met de eigen integriteit van de systeembeheerder. Uitleg bij 3.1:
In de raamregeling kunnen gedragsregels worden opgenomen over wat er in de organisatie onder verantwoord e-mailgebruik wordt verstaan. Hieronder treft u een aantal opties aan. Een totaal verbod op het versturen en ontvangen van persoonlijke e-mailberichten is niet mogelijk. Hieronder treft u een aantal opties aan. • Werknemers mogen het e-mailsysteem gebruiken voor het ontvangen en versturen van persoonlijke e-mailberichten mits dit niet storend is voor de dagelijkse werkzaamheden en het computernetwerk. • Voor het versturen en ontvangen van persoonlijke e-mailberichten verstrekt de onderneming een apart e-mailadres. • Werknemers mogen het e-mailsysteem gebruiken voor het ontvangen en versturen van persoonlijke e-mailberichten mits dit beperkt blijft tot … minuten per dag/week.
<
VORIGE
INHOUD 267
VOLGENDE
>
49
•
•
•
•
Werknemers mogen het e-mailsysteem gebruiken voor het ontvangen en versturen van persoonlijke e-mailberichten mits dit niet storend is voor de dagelijkse werkzaamheden en het computernetwerk. Werknemers mogen incidenteel en kortstondig het e-mailsysteem gebruiken voor het ontvangen en versturen van persoonlijke e-mailberichten mits dit niet storend is voor de dagelijkse werkzaamheden en het computernetwerk. Werknemers mogen uitsluitend gebruik maken van het e-mailsysteem voor het ontvangen en versturen van persoonlijke e-mailberichten in situaties waar uitstel van deze communicatie niet mogelijk en onredelijk is. Etc.
Uitleg bij 3.2
In de raamregeling kunnen gedragsregels worden opgenomen onder welke voorwaarden verantwoord e-mailgebruik moet plaats vinden. Hieronder treft u een aantal opties aan. • Een correcte vermelding van afzender • Het meesturen van een disclaimer • Duidelijke onderwerpaanduiding indien het een privé-mail betreft • Verbod op het meesturen van attachments • Etc. Uitleg bij 3.3
In de raamregeling kunnen gedragregels worden opgenomen over wat niet toegestaan is bij een verantwoord e-mailgebruik. Hieronder treft u een aantal opties aan. • Dreigende, beledigende, seksueel getinte dan wel discriminerende berichten te versturen • Kettingbrieven versturen • Etc. Uitleg bij 4.1
In deze raamregeling kunnen gedragsregels worden opgenomen over wat er in de organisatie onder verantwoord internetgebruik wordt verstaan. Hieronder treft u een aantal opties aan. Een totaal verbod op internetgebruik voor persoonlijke doeleinden is in strijd met artikel 8 EVRM niet mogelijk. • Voor het gebruik van het internetsysteem voor persoonlijke doeleinden stelt de onderneming een aparte computer beschikbaar die zich …..(plaats invullen) bevindt. Het is niet toegestaan om de computer op de eigen werkplek hiervoor te gebruiken. • Werknemers mogen het internetsysteem voor persoonlijke doeleinden te gebruiken, mits dit beperkt blijft tot … minuten per dag/week. • Werknemers mogen het internetsysteem voor persoonlijke doeleinden gebruiken mits niet storend voor de dagelijkse werkzaamheden en het computernetwerk. • Werknemers mogen incidenteel en kortstondig het internetsysteem voor persoonlijke doeleinden gebruiken mits dit niet storend is voor de dagelijkse werkzaamheden en het computernetwerk. • Werknemers mogen uitsluitend gebruik maken van het internetsysteem voor persoonlijke doeleinden in situaties waar uitstel van deze communicatie niet mogelijk en onredelijk is. • Etc.
50
<
VORIGE
INHOUD 268
VOLGENDE
>
Goed werken in netwerken Hoofdstuk 6
Uitleg bij 4.2
In de raamregeling kunnen gedragregels worden opgenomen over wat niet toegestaan is bij een verantwoord internetgebruik. Hieronder treft u een aantal opties aan. • Bewust sites bezoeken die pornografisch, racistisch, discriminerend, beledigend of aanstootgevend materiaal bevatten. • Op internet in strijd met de wet of onethisch handelen. • Software en applicaties downloaden. • Etc. Uitleg bij 5.1
Beschrijf op welke wijze de controle plaats vindt in relatie tot de geselecteerde doeleinden. Hieronder staan een aantal opties beschreven. • In het kader van begeleiding en/of individuele beoordelingen vindt er steekproefsgewijs controle plaats van zakelijke e-mailberichten zoals overeengekomen met de individuele werknemer. • Conform de bedrijfsregels maakt de …(invullen: individuele medewerker / secretariaat / administratie) een kopie van de zakelijke e-mailberichten met als doel bewijs en/of archivering. • Voor het tegengaan van virussen en andere schadelijke programma’s, in het kader van systeem- en netwerkbeveiliging, wordt het e-mail en internetgebruik op geautomatiseerde wijze gecontroleerd. • Controle op het uitlekken van bedrijfsgeheimen vindt plaats op basis van steekproefsgewijze contentfiltering. Een verdacht bericht wordt apart gezet voor nader onderzoek. • Controle in het kader van het voorkomen van negatieve publiciteit vindt plaats op basis van contentfiltering. Verdachte berichten worden geautomatiseerd terug gestuurd naar de afzender en “verboden” sites geblokkeerd. • Controle in het kader van het tegengaan van seksuele intimidatie vindt op geautomatiseerde wijze plaats. Verdachte berichten worden geautomatiseerd terug gestuurd naar de afzender. • Controle in het kader van het tegengaan van ‘verboden gebruik’ vindt in beginsel geanonimiseerd en slechts steekproefsgewijs plaats. • Controle in het kader van kosten- en capaciteitsbeheersing wordt beperkt tot verkeersgegevens (tijd, hoeveelheid, omvang, en dergelijke). Uitleg bij 6.2 en 6.3
Wanneer er in de onderneming reeds een klachtenregeling of klachten- cq beroepscommissie aanwezig is, kan hiernaar verwezen worden bij problemen met betrekking tot de rechten van de betrokkenen en de naleving van deze raamregeling. Dit betekent dat een werknemer aan wie bijvoorbeeld inzage in diens gegevens is geweigerd, zich hiervoor tot de klachtencommissie kan wenden, ongeacht de rechtsbescherming op grond van hoofdstuk 8 van de WBP.
<
VORIGE
INHOUD 269
VOLGENDE
>
51
Bijlage Achtergrondstudies
en Verkenningen
In de serie Achtergrondstudies en verkenningen zijn verschenen: Eijk, M.M.M. van en Helden, W.J. van, Klant te koop, Privacyregels voor adressenhandel. A&V 24; College bescherming persoonsgegevens, Den Haag 2001. Blarkom, G.W. van, Beveiliging van persoonsgegevens. A&V 23; Registratiekamer, Den Haag 2001. Versmissen, J.A.G., Sleutels van vertrouwen, TTPâ&#x20AC;&#x2122;s, digitale certificaten en privacy. A&V 22; Registratiekamer, Den Haag 2001. Terstegge, J.H.J., Goed werken in netwerken, regels voor controle op e-mail en internetgebruik van werknemers. A&V 21; Registratiekamer, Den Haag 2000. Buitenhuis, R., Campen, N.G.M. van, Helden, W.J. van, Vries, H.H. de, Bankverzekeraars en privacy, gegevensverwerking in financiĂŤle conglomeraten. A&V 20; Registratiekamer, Den Haag 2000. Helden, W.J. van, Herkomst van de klant, privacyregels voor etnomarketing. A&V 19; Registratiekamer, Den Haag 2000. Wishaw, R.W.A. De gewaardeerde klant, privacyregels voor credit scoring. A&V 18; Registratiekamer, Den Haag 2000. Artz, M. en Eijk, M.M.M. van, Klant in het web. Privacywaarborgen voor internettoegang. A&V 17; Registratiekamer, Den Haag 2000. Zeeuw, J. de. Informatieverstrekking. Ontheffing van de fiscale geheimhoudingsplicht in het licht van privacywetgeving. A&V 16; Registratiekamer, Den Haag 2000. Hes, R., Borking, J.J. en Hooghiemstra, T.F.M. At face value. On biometrical identification and privacy. A&V 15; Registratiekamer, Den Haag 1999. Artz, M.J.T., Koning Klant. Het gebruik van klantgegevens voor marketingdoeleinden. A&V 14; Registratiekamer, Den Haag 1999. Borking, J.J., e.a., Intelligent software agents and privacy. A&V 13; Registratiekamer, Den Haag 1999. Hooghiemstra, T.F.M., Privacy & Managed care. A&V 12; Registratiekamer, Den Haag 1998. Hes, R. en J. Borking, Privacy-enhancing technologies: the path to anonimity. A&V 11 revised edition; Registratiekamer, Den Haag 1998. Almelo, L. van, e.a., Gouden bergen van gegevens. Over datawarhousing, datamining en privacy. A&V 10; Registratiekamer, Den Haag 1998. Zandee, C., Doelbewust volgen. Privacy-aspecten van cliĂŤntvolgsystemen en andere vormen van gegevensuitwisseling. A&V 9; Registratiekamer, Den Haag 1998. Zeeuw, J. de, Informatiegaring door de fiscus. Privacybescherming bij derdenonderzoeken. A&V 8; Registratiekamer, Den Haag 1998. Hulsman, B.J.P. en P.C. Ippel, Gegeven: de Genen. Morele en juridische aspecten van het gebruik van genetische gegevens. A&V 7; Registratiekamer, Den Haag 1996.
52
<
VORIGE
INHOUD 270
VOLGENDE
>
Goed werken in netwerken Hoofdstuk 6
Gardeniers, H.J.M., Chipcards en privacy. Regels voor een nieuw kaartspel. A&V 6, Registratiekamer, Den Haag 1995. Rossum, H. van e.a., Privacy-enhancing technologies: the path to anonymity, volume I and II. A&V 5; Registratiekamer, Den Haag 1995. Rommelse, A.F., Zwarte lijsten. Belangen en effecten van waarschuwingssystemen. A&V 4; Registratiekamer, Rijswijk 1995. Rommelse, A.F., Ziekteverzuim en privacy. Controle door de werkgever en verplichtingen van de werknemer. A&V 3; Registratiekamer, Rijswijk 1995. Casteren, J.P.M. van, Bevolkingsgegevens: Wie mag ze hebben? Verstrekking van gegevens uit de GBA aan vrije derden. A&V 2; Registratiekamer, Rijswijk 1995 (niet meer beschikbaar). Hulsman, B.J.P. en Ippel, P.C., Personeelsinformatiesystemen - de Wet persoonsregistraties toegepast. A&V 1; Registratiekamer, Rijswijk 1994 (niet meer beschikbaar). Vrijwel alle publicaties van het CBP kunt u inzien en/of downloaden van de website www.cbpweb.nl. Voor het toezenden van gedrukte publicaties kunnen verzend- en handlingkosten in rekening worden gebracht.
<
VORIGE
INHOUD 271
VOLGENDE
>
53
CBP Richtsnoeren Identificatie en verificatie Actieve openbaarmaking en eerbiediging
van van depersoonsgegevens persoonlijke levenssfeer Gebruik van ‘kopietje paspoort’ in de private sector
Postbus 93374 2509 AJ93374 Den Haag Postbus 2509 AJ Den Haag e-mail info@cbpweb.nl
www.cbpweb.nl www.cbpweb.nl www.mijnprivacy.nl
augustus juli 2009 2012 272
colofon
Identificatie en verificatie van persoonsgegevens College bescherming persoonsgegevens, Den Haag, juli 2012.
INHOUD
Inleiding 2
1 Mag u iemand vragen om legitimatie? Ja, mits... 4 2 Is daarnaast een ‘kopietje paspoort’ toegestaan? Nee, tenzij... 6 1 Wettelijke verplichting 7 2 Uitvoeren van een overeenkomst of contract 8 3 Bezit schept verplichtingen 10 1 Meldingsplicht 11 2 Informatieplicht 11 3 De kwaliteit van gegevens 11 4 Beveiliging 11 5 Bewaartermijnen en vernietiging van gegevens 11
© Niets uit deze uitgave mag worden verveel voudigd en/of openbaar gemaakt door middel van druk, fotokopie, microfilm of op welke wijze dan ook, zonder voorafgaande schriftelijke toestemming van het College bescherming persoonsgegevens.
4 Waarom het ‘kopietje paspoort’ alleen onder strikte voorwaarden is toegestaan 12 1 De pasfoto en het BSN 13 2 Toezicht en handhaving door het CBP 13 BIJLAGE 15
Het College bescherming persoonsgegevens houdt onder de Wet bescherming persoonsgegevens toezicht op de naleving van wetten die het gebruik van persoonsgegevens regelen. Onduidelijkheid over wet- en regelgeving kan ten koste gaan van de bescherming van de gegevens van burgers. Daarom geeft het College in zijn Richtsnoeren ten behoeve van toepassing in de praktijk nadere invulling aan de geldende wettelijke normen. Rechterlijke uitspraken kunnen naast wetswijzigingen, technische ontwikkelingen en praktijkervaringen aanleiding geven tot aanvulling of herziening van deze richtsnoeren. Deze richtsnoeren treden in werking met ingang van 12 juli 2012, zijnde de datum van publicatie in de Staatscourant.
273
COLLEGE BESCHERMING PERSOONSGEGEVENS
CBP Richtsnoeren Identificatie en verificatie van persoonsgegevens Gebruik van ‘kopietje paspoort’ in de private sector
juli 2012
274
1
INLEIDING
2
CBP Richtsnoeren
275
Veel bedrijven en organisaties in de private sector willen de identiteit van bijvoorbeeld een klant of relatie kunnen vaststellen. Enerzijds omdat deze vaststelling nodig is om een besteld product te leveren of een verlangde dienst te kunnen verlenen. Anderzijds om zich tot op zekere hoogte te beschermen tegen bedrijfseconomische schade als gevolg van fraude en andere vormen van criminaliteit. In toenemende mate vragen bedrijven en organisaties daarom aan burgers zich te legitimeren (ook wel: identificeren) met een officieel identiteitsdocument, zoals een paspoort of rijbewijs.1 In aanvulling daarop wordt regelmatig ook om een ander, aanvullend identificerend document gevraagd, zoals een recent bankafschrift voor het uitvoeren van een adrescontrole. Naar hun aard, bevatten dergelijke documenten diverse persoonsgegevens. Het verzamelen en verder gebruiken van deze gegevens (‘verwerken’) is aan regels gebonden. Deze staan in de Wet bescherming persoonsgegevens (Wbp). Het College bescherming persoonsgegevens (CBP) houdt toezicht op de naleving van de Wbp. Alertheid is geboden bij het toenemend kopiëren, scannen en uitlezen2 van identiteitsdocumenten. Dit verschijnsel staat ook wel bekend als ‘kopietje paspoort’. Het onnodig en bovenmatig kopiëren of scannen van deze documenten is niet zonder risico. Door op grote schaal persoonsgegevens te verza melen neemt het risico van identiteitsfraude toe. Verkeerd gebruik kan ook leiden tot een inbreuk op de persoonlijke levenssfeer die in bestuursrechtelijke of civiele zin verwijtbaar is. Deze richtsnoeren geven aan welke regels de wet stelt aan het overnemen van persoonsgegevens of het kopiëren, scannen of uitlezen van identiteitsdocumenten. Deze richtsnoeren dienen tevens als uit gangspunt voor het CBP bij het toepassen van handhavende maatregelen.
1 In artikel 1 van de Wet op de uitgebreide identificatieplicht (WUID) zijn het paspoort, de nationale identiteitskaart, het rijbewijs en het vreemdelingendocument aangewezen als officiële identiteitsdocumenten. 2 In 2004 oordeelde de Raad van State dat het uitlezen van een simkaart vergelijkbaar is met het kopiëren van papieren, documenten en bescheiden (ABRvS 6 mei 2004, nr. 200401455, JV 2004/263). De Belgische Commissie voor de bescherming van de persoonlijke levens sfeer beschouwt het uitlezen van een identiteitsdocument als een verwerking van persoonsgegevens die alleen mag plaatsvinden wanneer dat noodzakelijk is (Aanbeveling 03/2011 van 25 mei 2011).
276
Identificatie en verificatie van persoonsgegevens
3
1
4
MAG U IEMAND VRAGEN OM LEGITIMATIE? JA, MITS…
CBP Richtsnoeren
277
In het algemeen hebben medewerkers van bedrijven en organisaties geen wettelijke bevoegdheid om een persoon te verplichten zich te legitimeren. Ze kunnen iemand dus hooguit vragen om legitimatie. Dat maakt een gerechtvaardigde behoefte aan legitimatie er niet minder om, maar stelt daaraan wel voorwaarden. Het vragen om legitimatie heeft alleen zin wanneer de medewerker de echtheid en geldigheid van het identiteitsdocument controleert. Wanneer een medewerker zonder deugdelijke controle een vals of vervalst document als ‘bewijs’ accepteert, neemt het risico op identiteitsfraude en andere vormen van criminaliteit juist toe. Een deugdelijke controle kan alleen plaatsvinden aan de hand van een origi neel document, niet een kopie; daarop zijn beschadigingen of vervalsingen vaak niet meer te zien. De echtheid van een identiteitsdocument kan de medewerker nagaan aan de hand van voelbare en zichtbare echtheidskenmerken die met dat doel op het document zijn aangebracht,3 zoals een voelbaar reliëf en een door perforatie aangebrachte tweede afbeelding van de gezichtsopname.4 Daarnaast is het van belang te letten op beschadigingen en wijzigingen. Deze kunnen wijzen op een vervalsing. De geldigheid van een document is af te leiden van de geldigheidsdatum op het document. Ook is van belang te weten dat niet elk officieel identiteitsdocument in elke situatie een geldige legitimatie ople vert. Voor het vaststellen van de nationaliteit van een persoon is het rijbewijs bijvoorbeeld geen geldig identiteitsdocument, omdat deze informatie op het document ontbreekt. Het onderzoeken en onderscheiden van echte en valse of vervalste identiteitsdocumenten vereist enige instructie van medewerkers die verantwoordelijk zijn voor de controle van getoonde identiteits documenten. Bij twijfel over de echtheid of geldigheid van een identiteitsdocument dienen zij aanvullende legitimatie te vragen en zo nodig aangifte te doen bij de politie.
3 Voor een eenvoudige eerste controle van identiteitsdocumenten op echtheid en geldigheid zie de bijlage. 4 Meer informatie over echtheidskenmerken treft u aan op de website www.paspoortinformatie.nl van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties.
278
Identificatie en verificatie van persoonsgegevens
5
2
IS DAARNAAST EEN ‘KOPIETJE PASPOORT’ TOEGESTAAN? NEE, TENZIJ…
1
Wettelijke verplichting 7
2
Uitvoeren van een overeenkomst of contract 8
6
CBP Richtsnoeren
279
Als het laten tonen van een identiteitsdocument volstaat, zoals bij een leeftijdscontrole, is het over nemen van gegevens van het identiteitsdocument of het kopiëren, scannen of uitlezen ervan niet toegestaan. Leeftijdscontroles voor (sterke) drank De Drank- en Horecawet verbiedt horeca- en slijterijbedrijven om (sterke) drank te verkopen aan jongeren onder een bepaalde leeftijd. De ongeoorloofde verkoop van (sterke) drank is strafbaar gesteld, evenals de ongeoorloofde toegang tot of verkoop van films of games aan minderjarigen. Voor de naleving van de leeftijds verificatie is het gerechtvaardigd dat bij twijfel over de leeftijd om een identiteitsdocument wordt gevraagd.5 Voor een controle op leeftijd kan worden volstaan met het tonen van een geldig identiteitsdocument. Het is niet noodzakelijk om persoonsgegevens te noteren of daarvan een kopie te maken. Leeftijdscontrole kan achterwege blijven als een klant of bezoeker evident ouder of jonger is dan de vereiste minimumleeftijd.
Voorbeeld 1
Soms is tonen niet voldoende, maar moeten bepaalde gegevens worden overgenomen, zoals voor een register van nachtverblijven (hotels).6 Ook daarvoor is het maken van een kopie of scan niet toege staan. Dat betekent dat alleen in uitzonderlijke gevallen het maken van een kopie of scan is toegestaan. Voorbeeld 2
Registratie van hotelgasten Hotels en andere ‘nachtverblijven’ zijn op grond van het Wetboek van Strafrecht verplicht enkele gegevens van hun gasten te registreren aan de hand van een geldig identiteitsdocument.7 De verplicht te registreren gegevens betreffen het type identiteitsdocument, de naam van de gast, diens beroep of betrekking, zijn woonplaats en de dag van aankomst en vertrek. Deze gegevens moeten op aanvraag aan de politie kunnen worden getoond. Een kopie is daarvoor niet noodzakelijk. Bij de vraag of persoonsgegevens van een identiteitsdocument mogen worden overgenomen, gekopieerd of gescand, is het volgende van belang: Is het overnemen, kopiëren of scannen toegestaan? Voor het verzamelen en gebruiken van persoonsgegevens, dus ook voor het overnemen, kopiëren of scannen, moet een juridische basis (‘grondslag’) bestaan. Voor het bedrijfsleven is dat in de meeste gevallen:8 1. een wettelijke verplichting nakomen; 2. een overeenkomst (ook wel: contract) uitvoeren.
2.1
Wettelijke verplichting Het bestaan van een wettelijke verplichting is relevant in bijvoorbeeld arbeidsrelaties en in de financiële dienstverlening.
5 Niet-naleving van de gestelde leeftijdsgrenzen van artikel 20, vierde lid, Drank- en Horecawet is strafbaar gesteld in artikel 1, onder 4°, Wet op de economische delicten. De Nederlandse Voedsel- en Warenautoriteit houdt toezicht op de naleving van de leeftijdsgrens voor de verkoop van alcohol en tabak. Niet-naleving van de leeftijdsgrenzen bij films en games is strafbaar ingevolge artikel 240a Wetboek van Strafrecht. Het Commissariaat voor de Media houdt toezicht op het Nederlands Instituut voor de Classificatie van Audiovisuele Media (NICAM) op grond van de Mediawet. 6 Artikel 438 Wetboek van Strafrecht. Zie ook het advies van het CBP van 3 december 2007 (te raadplegen via www.cbpweb.nl/downloads_adv/z2007-01131.pdf ), waarin het CBP aangeeft dat ‘in Algemeen Plaatselijke Verordeningen (APV) weliswaar nadere registratieverplichtingen kunnen zijn vastgelegd, maar dat daarin geen verplichting kan worden opgenomen tot het maken van een kopie of scan door houders van nachtverblijven.’ 7 Artikel 438 Wetboek van Strafrecht; vgl. bovengenoemd advies van het CBP. 8 Het betreft twee van de zes Wbp-grondslagen, te weten die in artikel 8 onder c en b Wbp.
280
Identificatie en verificatie van persoonsgegevens
7
2 IS DAARNAAST EEN ‘KOPIETJE PASPOORT’ TOEGESTAAN?
Voorbeeld 3
Arbeidsrelaties Een werkgever is op grond van de Wet op de Loonbelasting verplicht om bij indiensttreding van een nieuwe werknemer diens identiteit te controleren aan de hand van een geldig identiteitsdocument – met uitzondering van een rijbewijs – en dit op echtheid te controleren (verificatieplicht).9 De identiteit mag niet aan de hand van een kopie van een identiteitsdocument worden gecontroleerd!10 Na deze controle is de werkgever verplicht om een kopie van het gecontroleerde document – inclusief burgerservicenummer (BSN) en pasfoto – in zijn loon administratie op te nemen en te bewaren (bewaarplicht). Dit ontslaat de individuele werknemer echter niet van zijn toonplicht als er een arbeidsinspectie op de werkvloer plaatsvindt. De werkgever dient ervoor te zorgen dat alle werknemers een geldig identiteitsdocument kunnen tonen (zorgplicht), bijvoorbeeld door opbergkluisjes aan werknemers ter beschikking te stellen.11
Voorbeeld 4
Identiteitscontrole bij financiële dienstverlening Sinds 1 augustus 2008 zijn de Wet identificatie bij (financiële) dienstverlening (Wid) en de Wet melding onge bruikelijke transacties (Wet MOT) samengevoegd in de Wet ter voorkoming van witwassen en financiering van terrorisme (WWFT).12 De WWFT gaat uit van een ‘risicogeoriënteerde’ benadering: een financiële instelling moet zelf inschatten in hoeverre een financiële transactie risico’s met zich meebrengt. Hoe groter dat risico, hoe meer onderzoek naar de (identiteit van de) cliënt wordt vereist.13 De financiële instelling kan – als bewijs van de identificatieverplichting (reconstructieplicht) – daarbij ook een afschrift (lees: kopie) van het gecontroleerde identiteitsdocument vastleggen en gedurende vijf jaar bewaren.14 2.2
Uitvoeren van een overeenkomst of contract Voor de uitvoering van een overeenkomst zal bij het opstellen van een contract vaak om adresgegevens worden gevraagd, bijvoorbeeld voor de aflevering van een bestelling. In een online situatie is boven dien een e-mailadres vereist.15 Een geboortedatum is voor een bestelling meestal niet nodig, tenzij een product bijvoorbeeld niet voor minderjarigen is bedoeld. Voor de uitvoering van bijvoorbeeld een abonnement of lidmaatschap zijn vaak betalingsgegevens nodig. De grondslag voor het verwerken van persoonsgegevens beperkt zich in deze gevallen tot het overnemen van de meest relevante gegevens. Een ‘kopietje paspoort’ is in geen van deze gevallen nodig en mag niet worden gevraagd.
Voorbeeld 5
Lidmaatschap van een (sport)vereniging Een praktijksituatie: een nieuw lid van een sportschool wordt bij zijn inschrijving gevraagd om verschillende persoonsgegevens, zoals zijn NAW-gegevens en betalingsgegevens om het lidmaatschapsgeld automatisch te kunnen afschrijven. In aanvulling wil de baliemedewerker ook een geldig identiteitsdocument van het nieuwe lid scannen. Desgevraagd geeft de medewerker aan dat dit een voorwaarde is om lid te kunnen worden. Dit is echter geen toelaatbare voorwaarde, omdat met het scannen van een identiteitsdocument ook het BSN wordt verwerkt. Dat is zonder wettelijke grondslag verboden en overigens ook niet noodzakelijk om lid te worden. Leveranciers of verkopers staat het in beginsel vrij om aan hun dienst of product voorwaarden te ver binden. Voordat een overeenkomst wordt aangegaan – zeker als het kostbare producten betreft, langer lopende abonnementen of een koop op afstand – zal een ondernemer (meer) zekerheid willen hebben over met wie hij zaken doet om (toekomstige) betalingen veilig te stellen. Daarvoor kan de ondernemer aanvullende informatie verlangen of voorwaarden stellen om bijvoorbeeld fraude te voorkomen of snel te laten opsporen. Dat betekent overigens niet dat het kopiëren of scannen van identiteitsdocumenten zomaar als voorwaarde gesteld kan worden.
9 Artikel 6a, onder c, Wet op de Loonbelasting. Artikel 15, eerste lid, Wet arbeid vreemdelingen (WAV) kent eenzelfde verifieer- en be waarverplichting. 10 Vgl. www.belastingdienst.nl/zakelijk/loonheffingen/lb22_gegevens_administreren/lb22_gegevens_administreren-08.html. 11 Artikel 55, tweede en derde lid, Wet structuur uitvoeringsorganisatie werk en inkomen (Wet SUWI). 12 De samenvoeging van de Wid en de Wet MOT in de WWFT is een gevolg van de implementatie van Richtlijn 2005/60/EG, ook wel de ‘derde Europese witwasrichtlijn’ genoemd. 13 De naleving van de WWFT wordt onder meer gecontroleerd door het Bureau Financieel Toezicht (BFT); www.bureauft.nl. 14 Artikel 33, eerste lid, onder a, sub 1º, WWFT. Vgl. Kamerstukken II 2007-2008, 31 238, nr. 3, p. 35. 15 Een webshop is wettelijk verplicht een online aankoop per e-mail te bevestigen (artikel 6:227c Burgerlijk Wetboek).
8
CBP Richtsnoeren
281
Voorbeeld 6
Kopiëren van identiteitsdocumenten door telecom- en internetbedrijven Om enige zekerheid te hebben over de betaling van abonnementsgelden, kan een telecomaanbieder een kredietwaardigheidsonderzoek doen naar een potentiële nieuwe klant. Daarvoor heeft de ondernemer enkele persoonsgegevens nodig – zoals NAW-gegevens en de leeftijd van de klant in geval van een minderjarige – en kan hij de klant vragen om een geldig identiteitsdocument te tonen om diens identiteit deugdelijk vast te stellen. Zo nodig kan de ondernemer de aard van het identiteitsdocument en het documentnummer noteren. Het maken van een kopie of scan van zo’n document is echter niet toegestaan; het BSN mag niet door een telecomaanbieder worden verwerkt en ook de pasfoto en andere gegevens op het document zijn voor zo’n kredietwaardigheids onderzoek niet noodzakelijk. In plaats van een kredietwaardigheidsonderzoek wordt ook wel de bankpas gecontroleerd en gevraagd om € 0.01 te pinnen om aan te tonen dat de betaalrekening van de nieuwe klant actief is. Het kopiëren of scannen van de bankpas is niet noodzakelijk; door de betaling beschikt de ondernemer immers al over de nodige betaalgegevens, zoals het rekeningnummer en de tenaamstelling van de betaalrekening. In zeer uitzonderlijke gevallen kan sprake zijn van het overnemen van gegevens van een identiteits document of het kopiëren of scannen ervan. Een bedrijf of organisatie moet de noodzaak daartoe dan wel gedocumenteerd kunnen onderbouwen. In de praktijk zal een dergelijke situatie zich niet vaak voordoen, omdat bij een behoefte aan legitimatie het tonen van een identiteitsdocument in beginsel voldoende is.
Voorbeeld 7
Kopiëren van identiteitsdocumenten bij het huren of tijdelijk meenemen van een auto Voertuigenverhuurbedrijven die lid zijn van brancheorganisatie BOVAG kunnen bij de verhuur van een auto of voorafgaand aan een proefrit kopieën van identiteitsdocumenten maken. Voertuigenverhuurders worden regelmatig geconfronteerd met onwenselijke (criminele) gedragingen van huurders van onder meer auto’s en motoren. Om deze voertuigcriminaliteit tegen te gaan, heeft BOVAG de bestaande zwarte lijst van de branche organisatie – ELENA Waarschuwingssysteem – uitgebreid met de mogelijkheid een kopie van de identiteits papieren van de huurder te maken. Deze uitbreiding is opgenomen met als doel verbetering van het opsporen en vervolgen van verduistering van huurauto’s. Binnen de Stichting Aanpak Voertuigcriminaliteit zijn hierover tussen de deelnemers – waaronder BOVAG en het Openbaar Ministerie – afspraken gemaakt. Deze afspraken zijn neergelegd in een circulaire van 11 februari 2009, die is vastgesteld in de Board Opsporing van de Raad van Hoofdcommissarissen. Het CBP heeft na een voorafgaand onderzoek op 16 januari 2011 verklaard de door BOVAG gemelde verwerking van persoonsgegevens rechtmatig te achten. Voordat voertuigenverhuurders overgaan tot het maken van een kopie van een identiteitsdocument, dient een belangenafweging plaats te vinden of de kopie noodzakelijk is. Indien dit het geval is, dient het BSN te worden afgeschermd. Dat geldt ook voor de pasfoto, tenzij de huurder of proefritmaker uitdrukkelijke toestemming geeft voor het maken van een kopie zonder afscherming van de foto. Het bedrijf treft passende technische en organisatorische maatregelen voor het beveiligen van gemaakte kopieën. Zodra de huurder of proefritmaker het voertuig veilig retourneert, worden de kopieën teruggegeven of vernietigd.
282
Identificatie en verificatie van persoonsgegevens
9
3
BEZIT SCHEPT VERPLICHTINGEN
1
Meldingsplicht 11
2
Informatieplicht ten opzichte van consumenten, medewerkers e.d. 11
3
De kwaliteit van gegevens 11
4
Beveiliging 11
5
Bewaartermijnen en vernietiging van gegevens 11
10
CBP Richtsnoeren
283
Het verzamelen en gebruiken van persoonsgegevens is aan strenge wettelijke regels gebonden en leidt tot een reeks verplichtingen voor een bedrijf of organisatie. Dit zijn de meldingsplicht, de informatie plicht, de kwaliteitsbewaking van gegevens, de beveiligingsplicht en gemaximeerde bewaartermijnen en vernietiging van persoonsgegevens.16 Deze verplichtingen worden hierna toegelicht: 3.1
Meldingsplicht Als het verzamelen van persoonsgegevens verder gaat dan het aanleggen van bijvoorbeeld een klan ten- of ledenbestand, dan verplicht de Wbp tot het melden van die gegevensverzameling bij het CBP of de functionaris voor de gegevensbescherming. In het Vrijstellingsbesluit Wbp staan de verwerkingen van persoonsgegevens vermeld die zijn vrijgesteld van melding.17 Het maken en verzamelen van ‘kopietjes paspoort’ is niet vrijgesteld van melding.
3.2
Informatieplicht Bedrijven en organisaties moeten personen van wie zij persoonsgegevens verzamelen (‘betrokkenen’ genoemd) adequaat informeren over het doel en de toelaatbaarheid daarvan. Dat betekent dat een be drijf of organisatie ook informatie verstrekt aan betrokkenen over de rechten die zij kunnen uitoefenen aangaande het verzamelen van hun persoonsgegevens, zoals het recht op inzage, correctie en verzet. Met het verwijzen naar een ‘standaardprocedure’ of ‘het hoofdkantoor’ wordt niet aan de informatie plicht voldaan. Deze informatieplicht biedt klanten, medewerkers e.d. de gelegenheid om na te gaan of het bedrijf of de organisatie de gewenste persoonsgegevens mag verzamelen en om te besluiten om daar wel of niet aan mee te werken.
3.3
De kwaliteit van gegevens Bedrijven en organisaties moeten persoonsgegevens aan de hand van een origineel identiteitsdocu ment op echtheid en geldigheid controleren, zodat zij de gegevens juist en nauwkeurig vastleggen. Het doel daarvan is om fouten, misverstanden en misbruik – zoals identiteitsfraude – te voorkomen. Ook mogen zij niet meer persoonsgegevens verzamelen en gebruiken dan nodig voor het doel waar voor deze worden verzameld.
3.4
Beveiliging Bedrijven en organisaties moeten verzamelde persoonsgegevens organisatorisch en technisch beveili gen tegen verlies, diefstal en ander onrechtmatig gebruik, zoals identiteitsfraude. Dat betekent dat niet iedereen in de organisatie of het bedrijf toegang mag hebben tot de gegevens. Voorkomen moet wor den dat gegevens toegankelijk zijn voor onbevoegden (‘datalek’).
3.5
Bewaartermijnen en vernietiging van gegevens Bedrijven en organisaties mogen persoonsgegevens niet langer bewaren dan noodzakelijk is of wet telijk verplicht. Daarna moeten de gegevens worden vernietigd, zodat zij niet later hergebruikt kunnen worden.
16 Het betreft resp. de artikelen 27, 33 en 35-40, 11, 13 en 10 Wbp. 17 Te vinden via: www.wetten.nl.
284
Identificatie en verificatie van persoonsgegevens
11
4 WAAROM HET ‘KOPIETJE PASPOORT’ ALLEEN ONDER STRIKTE VOORWAARDEN IS TOEGESTAAN 1
De pasfoto en het BSN 13
2
Toezicht en handhaving door het CBP 13
12
CBP Richtsnoeren
285
4.1
De pasfoto en het BSN De Wbp kent een aantal categorieën persoonsgegevens die in beginsel niet mogen worden verwerkt. Daarvan een kopie of scan maken is dus eveneens verboden. Deze zogeheten bijzondere persoons gegevens zeggen onder meer iets over ras, gezondheid of geloofsovertuiging of betreffen strafrech telijke gegevens. Het zijn gevoelige persoonsgegevens die extra risico’s met zich meebrengen, zoals discriminatie of uitsluiting van de betreffende persoon voor een bepaalde dienst of product. Bij een verzoek om legitimatie en eventueel een ‘kopietje paspoort’ is met name het begrip ‘ras’ van belang. Dit begrip moet ruim worden uitgelegd en omvat zowel iemands nationaliteit als kenmerken waaruit zijn of haar etnische afkomst kan worden afgeleid, zoals bij een pasfoto.18 Daarom mag een pasfoto niet zomaar worden gekopieerd. De Wbp bevat een (limitatief) aantal uitzonderingen op het verbod op het gebruik van deze gegevens, waaronder het gebruik van een pasfoto als dat voor de iden tificatie van een persoon onvermijdelijk is.19 Als voorbeeld dient het gebruik van een pasfoto op een toegangspas van een groot concern. In overige gevallen is het gebruik verboden. Een andere categorie ‘verboden’ persoonsgegevens is die van de persoonsidentificerende nummers, in het bijzonder het burgerservicenummer (BSN). Het risico van een grootschalig gebruik van het BSN is dat daarmee eenvoudig bestandskoppelingen kunnen worden uitgevoerd, veelal buiten het zicht van de betreffende persoon. Dit nummer mag daarom niet worden verzameld en gebruikt zonder dat daar voor een wettelijke verplichting of andere wettelijke basis bestaat.20 Behalve voor de loonadministratie zal deze voor bedrijven of organisaties over het algemeen niet bestaan. Bij het vragen om een legitimatie moeten bedrijven en organisaties in de private sector zich houden aan het verbod op het verzamelen en gebruiken van rasgegevens en nummers als een BSN. Als geen uitzondering bestaat op het verbod op het verzamelen van deze gegevens, moeten deze bij het maken van een kopie of scan altijd worden afgeschermd of onleesbaar worden gemaakt.
4.2
Toezicht en handhaving door het CBP Het CBP ziet toe op de naleving van de Wbp en kan bij overtredingen van de wet handhavende maat regelen treffen.21 Dat kan onder meer inhouden dat het CBP een bedrijf een last onder dwangsom op legt om naleving van de wet af te dwingen. Het CBP geeft in zijn handhavingsbeleid prioriteit aan onderzoeken naar ernstige en structurele over tredingen van de Wbp, die veel mensen treffen en waarbij het CBP door de inzet van handhavende maatregelen een effectief verschil kan maken. Daarnaast stelt het CBP jaarlijks aandachtsgebieden vast waarop verscherpt toezicht plaatsvindt. Daarbij zal ook aandacht zijn voor signalen van burgers over het onrechtmatig verzamelen en gebruiken van ‘kopietjes paspoort’.
18 De Hoge Raad heeft die uitleg op 23 maart 2010 bevestigd (LJN: BK6331, te lezen via www.rechtspraak.nl). 19 Artikel 18 Wbp. 20 Op www.burgerservicenummer.nl wordt aangegeven welke instanties een BSN mogen verzamelen en gebruiken. 21 Voor meer informatie wordt verwezen naar de Beleidsregels handhaving door het CBP van 17 januari 2011 (Staatscourant 2011, nr. 1916); te raadplegen via www.wetten.nl.
286
Identificatie en verificatie van persoonsgegevens
13
BIJLAGE: IDENTITEITSDOCUMENTEN EN -KENMERKEN OP ECHTHEID CONTROLEREN
14
CBP Richtsnoeren
287
Verificatie van identiteitsdocumenten Om er als verantwoordelijke22 zeker van te zijn dat u te maken heeft met een echt identiteitsdocu ment, moet u het op geldigheid en echtheid controleren. Dat kan aan de hand van enkele eenvoudige stappen: 1
Geldigheid Op ieder identiteitsdocument is de geldigheidsduur ervan vermeld. Identiteitsdocumenten kennen op dit moment een geldigheidsduur van één jaar (vreemdelingendocument), vijf jaar (paspoort, identi teitskaart of vreemdelingendocument) of tien jaar (rijbewijs). • Controleer of de geldigheidsduur niet is verstreken of de duur opvallend afwijkt van de genoemde termijnen. NB: Een rijbewijs bevat geen informatie over de nationaliteit of verblijfstatus van een persoon en is daar om niet in alle gevallen een geldige wijze van identificatie, zoals bij de Belastingdienst, bij de aanvraag van een uitkering, bij indiensttreding bij een nieuwe werkgever en voor het toezicht op rechtmatig ver blijf van vreemdelingen. In deze situaties is het tonen van een ander identiteitsdocument noodzakelijk.
2
Echtheid Identiteitsdocumenten kennen diverse zichtbare én onzichtbare echtheidskenmerken om vervalsing tegen te gaan. Indien het identiteitsdocument voldoet aan onderstaande waarneembare echtheids kenmerken, heeft u vrijwel zeker te maken met een echt identiteitsdocument. Verschillende van deze echtheidskenmerken zijn eenvoudig zelf te controleren: • Controleer allereerst of de foto op het document overeenkomt met de persoon die voor u staat. • Naast de foto moet ook een tweede (identieke) weergave van de foto zichtbaar zijn, bestaande uit een geperforeerde afdruk (ook wel: ImagePerf). Deze wordt zichtbaar als u het document tegen het licht houdt. Onder in de foto staat in hoofdletters de nationaliteitsaanduiding (bijvoorbeeld: NLD). • Het identiteitsdocument bevat bij de pasfoto een kinegram dat van kleur en vorm verandert wan neer u het document kantelt. • Alle identiteitsdocumenten kennen verder een voelbaar reliëf, zowel bij de ImagePerf als aan de linker- en rechterzijde van het document of – bij vreemdelingendocumenten – aan de onderzijde van het document. • Paspoorten, identiteitskaarten en vreemdelingendocumenten hebben onderaan twee of drie regels letters en cijfers, de zogeheten Machine Readable Zone (MRZ), waarin enkele gegevens van de kaart worden herhaald. Deze gegevens dienen identiek te zijn aan de gegevens op de kaart zelf. Via de MRZ kan worden gecontroleerd of een op zich geldig en echt identiteitsdocument is vervalst met andere gegevens. • Een identiteitsdocument maakt een ‘metaalachtig’ geluid als het op een harde ondergrond (bv. tafel) valt.
3
Het BSN en de ‘elfproef’ Iedere rechtmatig in Nederland verblijvende persoon ontvangt van de Belastingdienst een burger servicenummer (BSN). Het BSN is een informatieloze cijfercombinatie waaruit geen persoonsgegevens – zoals een geboortedatum – af te leiden zijn. Desondanks kan ook een BSN op echtheid worden ge controleerd, met de zogenoemde elfproef. Dit is een test die in het Nederlandse elektronische betalings verkeer wordt uitgevoerd op negen- en tiencijferige Nederlandse bankrekeningnummers, om te contro leren of het nummer een geldig rekeningnummer kan zijn. Een variant van de elfproef die gebruikmaakt van een controlecijfer, wordt toegepast bij het BSN. Bij de BSN-elfproef worden de afzonderlijke negen cijfers van een BSN ‘gewogen’ bij elkaar opgeteld, dat wil zeggen dat afhankelijk van de positie in de cijferreeks het cijfer met een vaste waarde wordt vermenigvuldigd en het laatste cijfer (het ‘controlecijfer’) – in afwijking van de standaard-elfproef – wordt vermenigvuldigd met het cijfer -1. Het resultaat van de som moet een getal opleveren dat deel baar is door het getal 11. Als een of meerdere cijfers van een geldig BSN worden verwisseld, levert dit geen geldig BSN (meer) op. De BSN-elfproef met BSN 123456782: (9x1) + (8x2) + (7x3) + (6x4) + (5x5) + (4x6) + (3x7) + (2x8) + (-1x2) = 154 :11 = 14. 22 Het begrip ‘verantwoordelijke’ doelt op degene die formeel-juridisch de zeggenschap over de verwerking heeft. Het gaat om degene die bevoegd is het doel van en de middelen voor de verwerking van persoonsgegevens vast te stellen.
288
Identificatie en verificatie van persoonsgegevens
15
DISCLAIMER: Deze bijlage bevat indicatieve informatie en beoogt geen volledig en actueel overzicht te geven van de echtheidskenmerken van de besproken identiteitsdocumenten, noch een uniforme werkwijze voor te schrijven voor de controle ervan. Kijk voor meer informatie daarover op de web足 site van de Basisadministratie Persoonsgegevens en Reisdocumenten (BPR) van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties: www.bprbzk.nl of neem contact op met BPR voor specifieke vragen.
16
CBP Richtsnoeren
289
colofon
Identificatie en verificatie van persoonsgegevens College bescherming persoonsgegevens, Den Haag, juli 2012.
INHOUD
Inleiding 2
1 Mag u iemand vragen om legitimatie? Ja, mits... 4 2 Is daarnaast een ‘kopietje paspoort’ toegestaan? Nee, tenzij... 6 1 Wettelijke verplichting 7 2 Uitvoeren van een overeenkomst of contract 8 3 Bezit schept verplichtingen 10 1 Meldingsplicht 11 2 Informatieplicht 11 3 De kwaliteit van gegevens 11 4 Beveiliging 11 5 Bewaartermijnen en vernietiging van gegevens 11
© Niets uit deze uitgave mag worden verveel voudigd en/of openbaar gemaakt door middel van druk, fotokopie, microfilm of op welke wijze dan ook, zonder voorafgaande schriftelijke toestemming van het College bescherming persoonsgegevens.
4 Waarom het ‘kopietje paspoort’ alleen onder strikte voorwaarden is toegestaan 12 1 De pasfoto en het BSN 13 2 Toezicht en handhaving door het CBP 13 BIJLAGE 15
Het College bescherming persoonsgegevens houdt onder de Wet bescherming persoonsgegevens toezicht op de naleving van wetten die het gebruik van persoonsgegevens regelen. Onduidelijkheid over wet- en regelgeving kan ten koste gaan van de bescherming van de gegevens van burgers. Daarom geeft het College in zijn Richtsnoeren ten behoeve van toepassing in de praktijk nadere invulling aan de geldende wettelijke normen. Rechterlijke uitspraken kunnen naast wetswijzigingen, technische ontwikkelingen en praktijkervaringen aanleiding geven tot aanvulling of herziening van deze richtsnoeren. Deze richtsnoeren treden in werking met ingang van 12 juli 2012, zijnde de datum van publicatie in de Staatscourant.
290
CBP Richtsnoeren Identificatie en verificatie Actieve openbaarmaking en eerbiediging
van van depersoonsgegevens persoonlijke levenssfeer Gebruik van ‘kopietje paspoort’ in de private sector
Postbus 93374 2509 AJ93374 Den Haag Postbus 2509 AJ Den Haag e-mail info@cbpweb.nl augustus juli 2009 2012
www.cbpweb.nl www.cbpweb.nl www.mijnprivacy.nl 291
CBP Richtsnoeren publicatie van persoonsgegevens op internet
Postbus 93374 2509 AJ Den Haag e -mail info@cbpweb.nl
www.cbpweb.nl
december 2007 292
colofon
CBP Richtsnoeren Publicatie van persoonsgegevens op internet College bescherming persoonsgegevens, Den Haag, december 2007.
INHOUD
Inleiding 2
Stroomschema 4 1 Basisbeginselen van de bescherming van persoons gegevens op internet 6 2
Verplichtingen van de verantwoordelijke 18
3
Rechten van betrokkenen 38
© Niets uit deze uitgave mag worden verveelvoudigd en/of openbaar gemaakt door middel van druk, fotokopie, microfilm of op welke wijze dan ook, zonder voorafgaande schriftelijke toestemming van het College bescherming persoonsgegevens.
4 Toepasselijkheid uitzondering journalistieke doeleinden 42 5
Doorgifte buiten de EU 48
6
Handhaving en de rol van het CBP 52
Managementsamenvatting 56
Management summary 58
Bijlagen 60
Het College bescherming persoonsgegevens houdt onder de Wet bescherming persoonsgegevens toezicht op de naleving van wetten die het gebruik van persoonsgegevens regelen. Op internet worden veel persoons gegevens gepubliceerd. Dit document geeft aan hoe het College publicatie van persoonsgegevens op internet in het algemeen beoordeelt. Daarnaast geven de Richtsnoeren uitleg over de wet, aan de hand van illustraties uit de praktijk. Voor iedereen die publiceert op internet is van belang dat duidelijk is of, wan neer en in welke vorm publicatie is toegestaan. De beleidsregels die in deze Richtsnoeren worden uitgewerkt, beogen bij te dragen aan deze duidelijkheid. Helderheid over toepasselijke normen bevordert de naleving ervan en past in een efficiënt handhavingsbeleid. Deze richtsnoeren zijn gepubliceerd in de Staatscourant van 11 december 2007. 293
COLLEGE BESCHERMING PERSOONSGEGEVENS
CBP Richtsnoeren publicatie足 van persoonSgegevens足 op internet
december 2007
294
INLEIDING
CBP Richtsnoeren
295
Eerbiediging van de persoonlijke levenssfeer wordt beschouwd als een essentiële voorwaarde voor een menswaardig bestaan en als een van de grondslagen van onze rechtsorde. Eenieder heeft recht op bescherming tegen de ongebreidelde vergaring, bewerking en verspreiding van zijn persoonsgegevens. Op internet worden op heel veel manieren persoonsgegevens gepubliceerd. Internet maakt het door zijn aard zeer laagdrempelig om persoonsgegevens te publiceren: via een website, in een discussie forum of in een online dagboek. Mensen kunnen gegevens over zichzelf publiceren of over anderen. Publicaties op internet zijn over het algemeen wereldwijd 24 uur per dag toegankelijk voor een po tentieel zeer omvangrijk en divers publiek. Voor mensen van wie de persoonsgegevens op internet staan, kunnen de consequenties groot zijn, bijvoorbeeld als het gaat om onbewezen verdenkingen of intieme details uit het persoonlijke leven. Zelfs als de gegevens op zichzelf juist zijn, kan door de pu blicatie op internet een onvolledig beeld ontstaan van een persoon, met een negatieve beoordeling tot gevolg. Daarom stelt de wet grenzen aan de toelaatbaarheid van de publicatie van persoonsgegevens op internet. Hoofdregel van de Wet bescherming persoonsgegevens (hierna: Wbp) is dat iedereen die persoons gegevens publiceert zélf verantwoordelijk is voor de naleving van de wet. Particulieren, onder nemingen, organisaties en instellingen die voornemens zijn gegevens over personen op internet te publiceren, dienen dus zelf voorafgaand aan de publicatie te beoordelen of dat wel is toegestaan, en zo ja, aan welke voorwaarden zij daarbij moeten voldoen. Met deze richtsnoeren wil het College bescherming persoonsgegevens (hierna: CBP) het eenvoudiger maken dat te beoordelen. Dat is in het belang van degenen die op internet publiceren en in het belang van de mensen over wie (mogelijk) gegevens worden gepubliceerd. Deze richtsnoeren behandelen de hoofdlijnen van de beoordeling van een publicatie van persoons gegevens op internet, onder de geldende privacywetgeving en jurisprudentie1). De richtsnoeren richten zich primair op het World Wide Web. Publicaties kunnen ook uit anderen hoofde dan privacybescherming onrechtmatig zijn, bijvoorbeeld omdat ze in strijd zijn met de Auteurswet. De handvatten in deze richtsnoeren zijn beperkt tot de toe laatbaarheid van de publicatie onder de geldende privacywetgeving. In deze richtsnoeren wordt dus niet ingegaan op de rechtmatigheid van de publicatie op grond van andere wetgeving. De richtsnoeren behandelen veel van de belangrijkste regels op het gebied van de bescherming van persoonsgegevens maar bevatten geen uitputtende beschrijving van alle bestaande wettelijke bepa lingen en jurisprudentie. De voorbeelden die in deze richtsnoeren zijn opgenomen, dienen alleen ter illustratie van de manier waarop het CBP een specifieke bepaling uit de Wbp toepast bij de beoordeling van een publicatie. Publicatievormen die niet bij wijze van voorbeeld in deze richtsnoeren zijn op genomen, kunnen toch in strijd zijn met de Wbp. Bij de beoordeling van een publicatie die vergelijkbaar is met een voorbeeld kunnen ook andere dan de besproken Wbp-bepalingen een rol spelen. Ook indien een concreet (soort) publicatie veel lijkt op een voorbeeld, dient men erop bedacht te zijn dat de definitieve beoordeling alleen gemaakt kan worden met inachtneming van alle omstandigheden van het individuele geval en dat de beoordeling daarom anders kan uitpakken. Rechterlijke uitspraken kunnen naast wetswijzigingen, technische ontwikkelingen en praktijkervarin gen aanleiding vormen tot aanvulling of herziening. Deze richtsnoeren treden in werking met ingang van 11 december 2007, zijnde de datum van publicatie in de Staatscourant. 1) H et juridisch kader bestaat voornamelijk uit de Wet bescherming persoonsgegevens (Wet van 6 juli 2000, Stb 302), jurisprudentie van het Europees Hof voor de Rechten van de Mens (EHRM), het Europees Hof van Justitie (HvJEG) en relevante interpretaties van de Artikel 29werkgroep, het samenwerkingsverband van toezichthouders op het gebied van bescherming van persoonsgegevens in de Europese Unie (EU). Waar relevant komt ook algemene Nederlandse jurisprudentie aan de orde, evenals uitspraken van het CBP zelf.
296
Publicatie van persoonsgegevens op internet
STROOMSCHEMA
CBP Richtsnoeren
297
Bent u een natuurlijk persoon, bedrijf of instelling die de verantwoordelijkheid draagt voor een publicatie op internet? (zie I.2, blz 7)
NEE ➤
Deze richtsnoeren zijn niet op u van toepassing. In het hoofdstuk ‘rechten van betrokkenen’ kunt u lezen wat uw rechten zijn als gegevens over u tegen uw zin op internet worden gepubliceerd.
NEE ➤
De Wbp is alleen van toepassing op gegevens die herleidbaar zijn naar (levende) natuurlijke personen. Deze richtsnoeren zijn niet op uw publicatie van toepassing.
JA ➤
Publicatie op internet is NIET toegestaan, tenzij de betroffen persoon uitdrukkelijke toestemming heeft gegeven, of de betreffende informatie duidelijk zelf openbaar heeft gemaakt. (Zie I.8.1.1 en I.8.1.2, blz 15)
JA ➤
Publicatie op internet van identificatienummers is NIET toegestaan. (Zie I.8.3, blz 16)
JA ➤
De publicatie valt onder de uitzondering voor persoonlijk/ huishoudelijk gebruik, de Wbp is niet van toepassing.
JA Bevat de publicatie gegevens over (levende) natuurlijke personen? (zie I.3 t/m I.6, blz 9)
JA Betreffen de gegevens strafrechtelijke gegevens, iemands godsdienst, levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven of lidmaatschap van een vakvereniging?(Zie I.8, blz 14)
NEE Bevatten de gegevens identificatienummers, zoals het BSN? (Zie I.8.3, blz 16)
NEE Betreft het een publicatie waarbij de toegang effectief is beperkt tot het eigen huishouden, familieleden en/of kennissen, bijvoorbeeld d.m.v. een wachtwoord? (Zie I.7.1, blz 12)
NEE Betreft het een publicatie voor uitsluitend journa listieke, literaire of artistieke doeleinden? (Zie I.7.2 en IV, blz 13 en 42)
De Wbp is deels van toepassing. Van toepassing zijn: – definities (I.2 t/m I.6, blz 7) – behoorlijk en zorgvuldig (blz 7) – doel en verenigbaarheid (II.2 en II.3, blz 19) – toestemming of noodzaak (II.4, blz 21) – kwaliteit (II.7, blz 30) – beveiliging (II.8, blz 32)
JA ➤
NEE Heeft u toestemming van de betrokkenen of een aantoonbare noodzaak om persoonsgegevens te publiceren op internet? (Zie II.4, blz 21)
NEE ➤
U mag geen persoonsgegevens publiceren op internet zonder rechtvaardigingsgrond uit artikel 8 Wbp.
JA Als uw publicatie gebaseerd is op toestemming, kunt u dan op verzoek persoonsgegevens verwijderen?
Iedereen heeft het recht om te allen tijde zijn of haar toestemming in te trekken. Na het intrekken van de toestemming is er geen grondslag meer voor de publicatie; de persoonsgegevens moeten verwijderd worden. (Zie II.4.1.1, blz 22)
NEE ➤
JA Controleer of u aan uw verplichtingen voldoet op het gebied van: – doel en verenigbaarheid (II.2 en II.3., blz 19) – de informatieplicht (II.5, blz 25) – de meldingsplicht (II.6, blz 29) – kwaliteit (II.7, blz 30) – beveiliging (II.8, blz 32) – rechten van betrokkenen (III, blz 38) – doorgifte buiten de EU (V, blz 48)
298
Publicatie van persoonsgegevens op internet
I Basisbeginselen van de bescherming van persoonsgegevens op internet 1 Inleiding 7 2 Op wie legt de wet verplichtingen? De verantwoordelijke 7 3 Wat is een persoonsgegeven? 9 3.1 Iedere informatie 9 3.2 Betreffende een persoon 9 3.3 Direct of indirect identificerend 10 4 Wanneer is een gegeven géén persoonsgegeven? 10 5 Anonieme of pseudonieme data 11 6
Termijn van de publicatie 12
7 Uitzonderingen op de toepasselijkheid van de Wbp 12 7.1 Persoonlijk of huishoudelijk gebruik 12 7.2 Journalistieke, artistieke of literaire doeleinden 13 7.3 Historische, statistische of wetenschappelijke doeleinden 13 8 Wat is een bijzonder persoonsgegeven? 14 8.1 Uitzonderingen op het verwerkingsverbod 14 8.1.1 Uitdrukkelijke toestemming 15 8.1.2 Zelf openbaar gemaakt 15 8.2 Beeldmateriaal 15 8.3 Identificatienummers 16
CBP Richtsnoeren
299
1
Inleiding Persoonsgegevens op internet moeten op dezelfde zorgvuldige wijze worden verwerkt als in de off linewereld. De wet is van toepassing op ‘de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens’, 2) dus op elke publicatie van persoonsgegevens op internet.3) Iedereen die persoons gegevens op internet publiceert, ongeacht of dit een privépersoon is, een bedrijf, een instelling of een bestuursorgaan, dient te voldoen aan de verplichtingen die de wet oplegt. Deze zijn: het behoorlijk en zorgvuldig te werk gaan, transparantie, doelbinding, rechtvaardigingsgrond, kwaliteit en evenredig heid, informatierechten, beveiliging en beperking van doorgifte naar landen buiten de EU. Artikel 1 van de Wbp bevat definities van de begrippen die in de wet worden gehanteerd. Niet alle begrippen zijn even relevant voor het beoordelen van publicaties op internet. Hieronder volgen de belangrijkste. Tevens worden drie belangrijke uitzonderingen op de toepasselijkheid van de Wbp kort toegelicht: de verwerking van persoonsgegevens voor persoonlijk/huishoudelijk gebruik; de verwer king voor uitsluitend journalistieke, literaire of artistieke doeleinden en het gebruik voor historische, statistische en wetenschappelijke doeleinden.
2
Op wie legt de wet verplichtingen? De verantwoordelijke Met de term ‘verantwoordelijke’ wordt in deze richtsnoeren degene aangeduid die onder de Wbp ver antwoordelijk is voor de inhoud van een publicatie op internet. Volgens de wet is de verantwoordelijke de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of te zamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. De verantwoordelijke kan de houder van een website zijn, de maker van een persoonlijk profiel, maar ook de eigenaar/beheerder van een discussieforum. In een discussieforum, of in een reactiemogelijk heid onder artikelen, kunnen lezers bijdragen leveren waarin persoonsgegevens worden verwerkt. In beginsel is iedereen die een bijdrage levert zelf verantwoordelijk voor die verwerking van persoons gegevens, maar de algemene verantwoordelijkheid voor een zorgvuldige gegevensverwerking ligt bij de houder van het forum, omdat die immers het doel en de middelen bepaalt. De houder van de web site of het forum, degene die formeel-juridisch de zeggenschap over de verwerking heeft, biedt de gele genheid tot het publiceren van gegevens en heeft daarom de plicht om zorg te dragen voor een zorg vuldige omgang met persoonsgegevens.4)
website in de verenigde staten Een in Nederland gevestigde verantwoor delijke kan ervoor kiezen om technische middelen buiten Nederland aan te wenden voor
een publicatie, bijvoorbeeld door gebruik te maken van webhosting5) in de Verenigde Staten. Hoewel de website niet op Nederlands
grondgebied is gevestigd, is de Wbp toch van toepassing. De Wbp is van toepassing op alle in Nederland gevestigde verantwoordelijken.
De houder van een webforum is een tussenpersoon op internet. Bij elke handeling op internet zijn tus senpersonen betrokken. Andere tussenpersonen zijn bijvoorbeeld aanbieders van toegang tot internet, partijen die hosting aanbieden van websites of zoekmachines. Het begrip verantwoordelijke uit de Wbp is een breed begrip en is daarom ook van toepassing op sommige tussenpersonen.
2) D e wet is ook van toepassing op niet-geautomatiseerde verwerkingen, zoals papieren dossiers, maar alleen als de gegevens opgenomen zijn of worden in een bestand, dat wil zeggen een gestructureerd geheel van persoonsgegevens dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen. 3) M emorie van toelichting bij de Wbp, Kamerstukken II, 28 509, 3 (hierna: MvT), blz 71: ‘Zodra informatie digitaal is vastgelegd is er in ieder geval sprake van geautomatiseerde verwerking van gegevens. In een geautomatiseerd systeem is immers het zoeken naar digitale gegevens mogelijk. (...) Het feit dat langs geautomatiseerde weg geluid- of beeldvergelijking van digitaal vastgelegde informatie over iemand onvergelijkbaar veel sneller en nauwkeuriger kan plaatsvinden dan wanneer dit handmatig zou moeten geschieden, rechtvaardigt een aangescherpt juridisch regime.’ 4) ‘Iemand die persoonsgegevens heeft vastgelegd en gebruikt, bijvoorbeeld door deze ter raadpleging aan te bieden, ook al zijn deze anoniem door een derde via Internet aangeleverd, is aanspreekbaar op naleving van dit wetsvoorstel en kan zich niet verschuilen achter het adagium ‘geen boodschap aan de boodschap’. Zodra opslag met het oog op raadpleging plaatsvindt, bijvoor beeld in de vorm van een ‘cache-service’, is er sprake van verwerking.’ MvT, blz. 60. 5) Webhosting is het (over het algemeen tegen betaling) verhuren van schijfruimte op een internetserver waarop verantwoordelijken internetpagina’s kunnen plaatsen. Dergelijke servers kunnen binnen de EU staan, maar ook erbuiten. Het webhostingbedrijf heeft geen
300
Publicatie van persoonsgegevens op internet
1 basisbeginselen van de bescherming van persoonsgegevens op internet
Voor toegangsdiensten geldt dat zij geen controle hebben over het al dan niet doorgeven van persoons gegevens. Zij kunnen daarom niet gelden als verantwoordelijke, tenzij het om informatie gaat die ze op eigen initiatief en onder eigen redactie aanbieden, zoals bijvoorbeeld via een nieuwsbrief. Anders is dat voor de beheerder van een discussieforum. Deze heeft de juridische en feitelijke zeggenschap over de gegevens op het forum, bepaalt in eerste en laatste instantie de doelen van het forum en zorgt dat het forum functioneert. In het geval van hosting van materiaal, het plaatsen van een hyperlink naar persoonsgegevens en het gebruik dat zoekmachines maken van materiaal op internet moet gekeken worden welke zeggenschap deze diensten hebben over de verwerking van persoonsgegevens. Van bijzonder belang is de vraag of een tussenpersoon zeggenschap heeft over de verwijdering van de gegevens. Deze vraag moet bevestigend worden beantwoord indien een tussenpersoon de mogelijkheid heeft informatie te verwijderen en gewend is dit ook te doen in bepaalde gevallen waarin derden hem op onrechtmatige publicaties wijzen. Een dergelijke tussenpersoon is verantwoordelijke ten aanzien van de verwerking van door derden gepubliceerde persoonsgegevens (in het bijzonder het ter beschikking houden en de verwijdering of blokkering) en is op grond daarvan medeverantwoordelijke voor deze verwerking. Het begrip bewerker uit de Wbp is niet van toepassing op de aanbieder van een dienst als een gele verde dienst aan de verantwoordelijke niet expliciet betrekking heeft op de verwerking van persoons gegevens. De genoemde tussenpersonen zullen dus in beginsel niet beschouwd kunnen worden als be werker. verschil verantwoordelijkheid en aansprakelijkheid Verantwoordelijkheid op grond van de Wbp is iets anders dan aansprakelijkheid. Sommige tussenpersonen zijn onder voorwaarden vrij gesteld van aansprakelijkheid voor onrecht matig handelen van derden. Het gaat om diensten van de informatiemaatschappij die bestaan uit het verlenen van toegang, de tij delijke opslag en de hosting van materiaal. Deze regels komen voort uit de richtlijn elek tronische handel en zijn te vinden in artikel 6:196c van het Burgerlijk Wetboek. De scheids lijn tussen verantwoordelijke en niet-verantwoordelijke in de Wbp is niet afgestemd met
de vrijstelling van aansprakelijkheid van sommige tussenpersonen. Het kan dus zo zijn dat een dienst, die op grond van artikel 6:196c BW beschouwd moet worden als een hostingdienst (lid 4), op grond van de Wbp geldt als verantwoordelijke. Deze aanbieder is in dat geval niet aansprakelijk voor onrechtmatige verwerkingen van persoonsgegevens door derden. Wel moet de aanbieder de informatie verwijderen of de toegang daartoe onmogelijk maken zodra hij weet of redelijkerwijs behoort te weten dat er sprake is van onrechtmatigheid. Gezien de aard van de normen in de Wbp
en de beperkte mogelijkheid van tussenpersonen zich te vergewissen van de rechtmatigheid van de publicatie van persoonsgegevens zal deze verplichting tot blokkeren of verwij deren alleen bij evidente overtredingen van de Wbp ontstaan. Het bovenstaande betekent voor de praktijk dat tussenpersonen die zich kunnen beroepen op een wettelijke vrijwaring van aansprakelijkheid zich kunnen richten op de regeling met bijbehorende voorwaarden in artikel 6:196c van het Burgerlijk Wetboek.
Met de term ‘betrokkene’ wordt de persoon bedoeld wiens persoonsgegevens worden verwerkt. Op in ternet lopen de twee rollen nogal eens door elkaar; wie een persoonlijk webdagboek bijhoudt, kan zowel verantwoordelijke als betrokkene zijn. profielsites Profielsites zijn bijzonder populair bij jonge ren. Met een profiel laten ze zien wie ze zijn, welke vrienden ze hebben en hoeveel het er zijn. Ze schrijven over wat ze doen en leuk vinden en laten persoonlijke berichten achter bij anderen. Hoe meer informatie iemand van zichzelf laat zien, hoe beter diegene kan laten zien dat hij of zij de moeite waard is. Er zijn veel jongeren die erg ver gaan met het delen van informatie op publiek toegankelijke
CBP Richtsnoeren
profielen, bijvoorbeeld met verhalen over feestjes, drugsgebruik en seks. De aanbieders van profielsites zijn samen met de gebruikers medeverantwoordelijk voor de verwerking van persoonsgegevens op de betreffende website. De aanbieders van deze diensten moeten zich daarom houden aan de regels uit de Wbp. Zo dienen ze gebruikers vooraf volledig te informeren over de be-
301
schikbaarheid van de profielen voor andere bezoekers van de site. Ze dienen geschikte beveiligingsmaatregelen te treffen, zoals het standaard afschermen van de profielen voor zoekmachines en alleen toegang te bieden aan vrienden van de gebruiker. Ook dienen ze de mogelijkheid te bieden de profielen en elders op de site geplaatste informatie te verwijderen.
3
Wat is een persoonsgegeven? De Wbp kent een ruime definitie van persoonsgegevens. In artikel 1 sub a Wbp wordt een persoons gegeven gedefinieerd als ‘elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon’. De omschrijving is letterlijk overgenomen van artikel 2 van het Europees Dataverdrag.6) De Europese privacyrichtlijn 95/46/EG (hierna: de Richtlijn) waarop de Wbp is gebaseerd, geeft een iets uitgebreidere omschrijving. De Richtlijn geeft in artikel 2 onder a als definitie van persoonsgegevens: iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon, hierna ‘betrokkene’ te noemen; als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatienummer of van een of meer specifieke elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische, economische, culturele of sociale identiteit. Hoewel het tweede deel van de Europese definitie, de uitleg over specifieke elementen die iemand identificeerbaar maken, niet is overgenomen in de Wbp, maakt de memorie van toelichting bij de Wbp duidelijk dat de Wbp het zelfde uitgangspunt hanteert ten aanzien van indirect identificerende ge gevens. Allereerst is voor het begrip ‘persoonsgegeven’ relevant of de gegevens informatie over een persoon bevatten. In veel gevallen, zoals bij feitelijke of waarderende gegevens over eigenschappen, opvattingen of gedragingen, zal dit uit de aard van de gegevens voortvloeien. In andere gevallen zal mede aandacht moeten worden besteed aan de context waarin het gegeven wordt vastgelegd en gebruikt. Als gegevens medebepalend zijn voor de wijze waarop de betrokken persoon in het maatschappelijk verkeer wordt beoordeeld of behandeld, moeten die gegevens als persoonsgegevens worden aangemerkt. Het (maatschappelijk) gebruik dat van gegevens wordt gemaakt is dus medebepalend voor de beantwoording van de vraag of sprake is van een persoonsgegeven.7) De Artikel 29-werkgroep van samenwerkende privacytoezichthouders in de EU heeft in een recente opinie de verschillende onderdelen van de definitie van persoonsgegevens nader uitgewerkt. Het gaat om de begrippen ‘iedere informatie’, ‘betreffende een natuurlijk persoon’ en ‘direct of indirect herleid baar’.
3.1
Iedere informatie De werkgroep benadrukt dat ‘iedere informatie’ zowel objectieve als subjectieve gegevens omvat, ongeacht of ze juist of bewezen zijn. Denk aan waardeoordelen als ‘Jan is een betrouwbare lener’ of ‘Jan is een goede medewerker die promotie verdient.’ 8)
3.2
Betreffende een persoon Om te bepalen of een gegeven betrekking heeft op een persoon, moet volgens de Artikel 29-werkgroep één van de volgende drie elementen aanwezig zijn: een inhoudelijk element, een doelelement of een resultaatelement. Een inhoudelijk element betekent dat het om informatie gaat over een persoon, ongeacht het doeleinde van de verantwoordelijke of het resultaat voor die persoon, zoals de resultaten van een medisch onder zoek betrekking hebben op de patiënt of zoals de gegevens in een klantenbestand van een bedrijf be trekking hebben op de klant. Ook de aanwezigheid van een doelelement kan er toe leiden dat gegevens als persoonsgegevens worden beschouwd. Daar is sprake van als de gegevens (waarschijnlijk) gebruikt worden met het doel om iemand op een bepaalde manier te behandelen of diens status of gedrag te beoordelen of te beïn vloeden. Dat kan het geval zijn als een bedrijf een bestand bijhoudt met een overzicht van alle inko mende en uitgaande telefoontjes. Dat bestand kan gebruikt worden om medewerkers te beoordelen.
6) V erdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens, Straatsburg 1981, Trb. 1988. 7) Memorie van toelichting bij de Wbp, Kamerstukken II, nr 25 892, nr. 3, blz 46. 8) Opinion 4/2007 on the concept of personal data van de Artikel 29-werkgroep, aangenomen op 20 juni 2007, blz 6.
302
Publicatie van persoonsgegevens op internet
1 basisbeginselen van de bescherming van persoonsgegevens op internet
Als er geen inhoudelijk of doelelement is, kunnen gegevens toch persoonsgegevens zijn, als het ge bruik ervan waarschijnlijk invloed heeft op de rechten en belangen van een persoon, zodanig dat die persoon daardoor anders wordt behandeld. Dat kan het geval zijn als een taxibedrijf met behulp van GPS de locaties van zijn taxi’s in de gaten houdt. Hoewel het systeem gericht is op het verwerken van gegevens over de routes van voertuigen, kunnen de gegevens ook gebruikt worden om de individuele taxichauffeurs te beoordelen.9) 3.3
Direct of indirect identificerend Het bekendste direct identificerende gegeven is de combinatie van voor- en achternaam. De bekendste indirect identificerende gegevens zijn (e-mail)adres, telefoonnummer, kenteken en de combinatie postcode/huisnummer.10) Andere indirect identificerende gegevens zijn gegevens over ie mands eigenschappen, opvattingen of gedragingen, waarmee die persoon wordt onderscheiden van andere personen. Bijvoorbeeld: de directeur van een met name genoemde onderneming.
ip -adres Is een IP-adres, dat wil zeggen het internetnummer waarmee een computer zichzelf op internet kenbaar maakt, een persoonsgegeven? Ja. Een IP-adres is een persoonsgegeven omdat het door een derde – de internetaanbieder – eenvoudig te herleiden valt tot een natuurlijk persoon, de afnemer van het internetabonnement. Dit geldt ook voor dynamische IP-adressen die worden verwerkt in combinatie met datum en tijd. Het maakt geen verschil
dat een verantwoordelijke het IP-adres niet zal gebruiken om een persoon mee te identificeren. Het feit dat de mogelijkheid bestaat bij de verantwoordelijke of bij een derde om dit te doen, is voldoende. Dat het IP-adres in sommige gevallen naar een rechtspersoon leidt, in plaats van naar een natuurlijk persoon, doet niet af aan het feit dat het in de meeste gevallen wel degelijk om persoonsgegevens gaat en dat dus de hele verzameling moet worden behandeld conform de uitgangspunten van de Wbp. Ten slotte is van belang dat op basis
van het IP-adres beslissingen kunnen worden genomen over de toegang tot bepaalde informatie, zonder dat een dienstverlener op internet überhaupt enige moeite hoeft te doen om zelf persoonsgegevens te verbinden aan een IP-adres. Denk bijvoorbeeld aan onderscheid naar geografische herkomst bij de toegang tot en de presentatie van (delen van) websites11). Ook het registreren en eventueel op internet publiceren van IP-adressen van bezoekers van een website of deelnemers aan een discussieforum valt dus onder het bereik van de Wbp.
Bij het vaststellen of een gegeven een indirect identificerend persoonsgegeven is, is van belang of de identiteit van de persoon er redelijkerwijs, zonder onevenredige inspanning, mee kan worden vast gesteld. Het is niet doorslaggevend of het identificeren daadwerkelijk plaatsvindt. Deze opvatting komt voort uit overweging 26 bij de privacyrichtlijn: Overwegende dat de beschermingsbeginselen moeten gelden voor elk gegeven betreffende een geïdentificeerde of identificeerbare persoon, dat om te bepalen of een persoon identificeerbaar is, moet worden gekeken naar alle middelen waarvan mag worden aangenomen dat zij rede lijkerwijs door degene die voor de verwerking verantwoordelijk is dan wel door enig ander persoon in te zetten zijn om genoemde persoon te identificeren.(…). Herleidbaarheid tot een natuurlijk persoon, voorzover die redelijkerwijs door een derde kan worden bewerkstelligd, is dus voldoende. 4
Wanneer is een gegeven géén persoonsgegeven? Gegevens over organisaties, zoals bedrijven of stichtingen, zijn geen persoonsgegevens in de zin van de Wbp. De wet is wel weer van toepassing op bedrijven als het gegeven herleidbaar is naar een per soon, zoals bij een eenmanszaak, of als het over de individuele bestuurders gaat van een onderneming of stichting. De Wbp is evenmin van toepassing op gegevens die betrekking hebben op personen die overleden zijn. Als de gegevens van een overledene echter ook betrekking hebben op een nabestaande (bijvoorbeeld in het geval van informatie over een erfelijke ziekte) kan de Wbp wel van toepassing zijn. 9) Opinion 4/2007, blz 9-12. 10) D e Registratiekamer en het CBP hebben uitspraken gedaan over telefoonnummers (oa: Registratiekamer 8 juli 1993, 93.1.002 en CBP 28 mei 2003, z2003-0480 over afscherming nummergegevens, URL: http://www.cbpweb.nl/documenten/adv_z2003-0480.stm); over kentekens van auto’s (oa: Registratiekamer, 9 december 1996, 96-0140 trajectcontrole dmv kentekenregistratie, URL: http://www. cbpweb.nl/downloads_uit/z1996-0140.pdf ) en over postcodes met huisnummers (oa: Registratiekamer 21 juni 1996, 95.O.043). 11) O pinion 4/2007 , blz 14: ‘Also on the Web, web traffic surveillance tools make it easy to identify the behaviour of a machine and, behind the machine, that of its user. Thus, the individual’s personality is pieced together in order to attribute certain decisions to him or her. Without even enquiring about the name and address of the individual it is possible to categorise this person on the basis of socio-economic, psychological, philosophical or other criteria and attribute certain decisions to him or her since the individual’s contact point (a computer) no longer necessarily requires the disclosure of his or her identity in the narrow sense.’
10
CBP Richtsnoeren
303
genealogische websites Wie geïnteresseerd is in stamboomonderzoek, vindt op internet steeds meer bronnen, zowel gedigitaliseerd archiefmateriaal als onderzoek door (amateur-) genealogen. Omdat de Wbp niet van toepassing is op overleden personen, zijn er vanuit de Wbp weinig bezwaren tegen het publiceren van6een stamboom op internet. Toch ontvangt het CBP regelmatig vragen en klachten over stambomen op internet. In het begrijpelijke streven naar volledigheid bevatten veel stambomen informatie over levende personen, zoals hun geboortedatum. In sommige stambomen worden zelfs de ziekten vermeld waaraan mensen zijn overleden.
Dergelijke informatie kan betrekking hebben op nabestaanden en dus een persoonsgegeven zijn, als het gaat om erfelijke ziekten waarmee de kinderen kunnen zijn belast. Dat kan het geval zijn bij een moeder die aan hemofilie leed. Omdat deze ziekte is gebonden aan een gen in het X-chromosoom, geeft zij de ziekte in ieder geval door aan zonen. In dit voorbeeld is de Wbp dus wel van toepassing. Wie een stamboom wil publiceren op internet, doet er verstandig aan om zich in eerste instantie te beperken tot gegevens van overledenen en alleen gegevens op te nemen over levende personen als zij daarin ondub-
belzinnig hebben toegestemd. De Wbp kent geen principe als ‘wie zwijgt, stemt toe’ bij het publiceren op internet van persoonsgegevens. De publicist moet reële moeite doen om de (levende) familieleden te bereiken en hen - voorafgaand aan de publicatie op internet van hun persoonsgegevens - vertellen wat hij over hen wil publiceren en met welk doel. Als een familielid geen toestemming geeft voor een dergelijke vermelding, mogen zijn of haar gegevens niet worden gepubliceerd. De publicist kan in de stamboom op internet een verwijzing opnemen als: ‘Uit dit huwelijk kwamen drie kinderen voort, onder wie...’
Gegevens over objecten zijn over het algemeen ook geen persoonsgegevens. In grensgevallen is de con text waarin van de gegevens gebruik wordt gemaakt van belang. Gegevens over objecten, zoals woon huizen, zijn persoonsgegevens als de informatie kan worden gebruikt om de bewoners of eigenaren te beoordelen en daar consequenties aan te verbinden, zoals de hoogte van een belastingheffing. panoramafoto’s van huizen In 2001 deed de Registratiekamer (de voorganger van het CBP) onderzoek naar het gebruik van geo-informatie.12) Een bedrijf maakte digitale opnames van openbare ruimten met een beeld van 360 graden. De beelden konden doorzocht worden op gemeente, plaats, straat
5
en huisnummer. Omdat de eigenaren en bewoners van de betrokken panden zonder onevenredige moeite konden worden geïdentificeerd en de digitale beelden onder meer door gemeenten werden gebruikt om de waarde van panden te taxeren, stelde de
Registratiekamer vast dat de foto’s persoonsgegevens waren, waarvoor zowel de makers als de afnemers verantwoordelijk waren in de zin van de Wbp.
Anonieme of pseudonieme data Geanonimiseerde gegevens zijn geen persoonsgegevens als de betrokken personen redelijkerwijs niet identificeerbaar zijn. De vraag of een gegeven daadwerkelijk anoniem is, komt met name aan de orde bij het publiceren van statistische informatie op internet. Geaggregeerde informatie kan toch persoons gegevens bevatten als het aantal betrokkenen klein is en er andere informatie beschikbaar is, bijvoor beeld via zoekmachines, waardoor individuele personen toch kunnen worden geïdentificeerd. Door pseudonimisering zijn gegevens soms geen persoonsgegevens, afhankelijk van de gekozen ver sleutelingsmethode. Zolang de gegevens echter zonder onevenredige inspanning herleidbaar blijven naar natuurlijke personen, door de verantwoordelijke of door een derde, moeten ze als persoonsge gevens worden behandeld.13) Dat kan het geval zijn bij het gebruik van pseudoniemen voor bijdragen aan een discussieforum. Ook als slechts één forumhouder de identiteit kent van de betrokkene, is het pseudoniem daarmee herleidbaar en is het een persoonsgegeven op alle plaatsen waar het pseudoniem wordt gebruikt. Het gebruik van pseudoniemen kan ook op een andere manier tot herleidbaarheid lei den. Veel mensen gebruiken hetzelfde pseudoniem voor al hun activiteiten op internet. Door zoekma chines kunnen persoonlijke details van een betrokkene ongewild worden gekoppeld aan bijdragen die bedoeld waren anoniem te zijn.
12) R egistratiekamer, 16 februari 2001, z2000-1172, URL: http://www.cbpweb.nl/documenten/uit_z2000-1172.stm 13) Zie opinie 4/2007 voor meer voorbeelden, blz 18-21.
304
Publicatie van persoonsgegevens op internet
11
1 basisbeginselen van de bescherming van persoonsgegevens op internet
6
Termijn van de publicatie Verantwoordelijken voor publicaties op internet dienen zich rekenschap te geven van de gevolgen van de vaak lange of onbepaalde termijn van een publicatie. Door technische ontwikkelingen kan een ge geven dat op het moment van publicatie geen persoonsgegeven lijkt, later toch herleidbaar worden naar een persoon. Verantwoordelijken kunnen dan vanaf dat moment worden aangesproken op grond van de Wbp.14) Daarom is het van belang dat verantwoordelijken die niet in strijd met de Wbp willen handelen ervoor zorgen dat ze een beperkte, op de risico’s afgestemde, termijn hanteren voor publica tie van gegevens die geen persoonsgegevens lijken en ingrijpen zodra ze merken dat gegevens alsnog herleidbaar worden naar personen.15)
het publiceren van vergaderverslagen Een organisatie besluit de verslagen van vergaderingen op internet te zetten. Zo kan ie dereen in en buiten de organisatie zien hoe de organisatie functioneert. Als er persoonsgegevens in de verslagen staan moet de verantwoordelijke zich houden aan de regels van
7
de Wbp. Als de openbaarheid van de verslagen niet gelegitimeerd wordt door de taken van de organisatie of de arbeidsverhouding zal de verantwoordelijke in beginsel toestemming moeten hebben van de betrokkene(n). In het bijzonder moet de verantwoordelijke
een termijn vaststellen hoe lang de stukken op internet blijven staan. Om te laten zien hoe een organisatie functioneert lijkt een termijn van 2 jaar genoeg. Het gebruik van een systeem voor webpublicatie dat het mogelijk maakt deze termijn automatisch in te stellen, is een eenvoudig voorbeeld van het gebruik van Privacy Enhancing Technologies.
Uitzonderingen op de toepasselijkheid van de Wbp Er zijn drie soorten gegevensgebruik waarop de Wbp niet of slechts gedeeltelijk van toepassing is. Dat zijn: verwerkingen voor persoonlijk of huishoudelijk gebruik, gebruik voor uitsluitend journa listieke, artistieke of literaire doeleinden en gebruik voor historische, wetenschappelijke of statistische doeleinden.
7.1
Persoonlijk of huishoudelijk gebruik De eerste uitzondering is de meest absolute. De Wbp is in het geheel niet van toepassing op de ver werking van persoonsgegevens voor uitsluitend persoonlijke of huishoudelijke doeleinden. Dit om te voorkomen dat alledaagse handelingen van privépersonen, zoals het bijhouden van een adresboek, onder de werking van de wet zouden vallen. De uitzondering voor persoonlijk/huishoudelijk gebruik in de Wbp betreft gebruik voor ‘een duidelijk bepaalbare groep van personen’.16) De uitzondering geldt ook voor gebruik door familieleden of vrienden die niet tot het directe huishouden behoren, mits de toegang daadwerkelijk afgebakend is tot een benoembare groep familieleden, kennissen of vrienden. Wie bijvoorbeeld een weblog wil bijhouden op internet voor het eigen gezin en zich wil beroepen op de exceptie van persoonlijk of huishoudelijk gebruik, moet passende maatregelen nemen om de toe gang daadwerkelijk te beperken tot die beperkte kring. Dat kan bijvoorbeeld door middel van het hanteren van een verplicht wachtwoord, maar ook door de pagina’s met persoonsgegevens af te scher men van zoekmachines. Meer over beveiligingsmaatregelen valt te lezen in hoofdstuk II.8. van deze richtsnoeren. Zodra de gegevens echter verstrekt worden aan een onbekend aantal personen, hetgeen het geval is bij vrij toegankelijke publicaties op internet, is de Wbp volledig van toepassing.17) Veel persoonlijke publi 14) K amerstukken II, 25892, nr. 9, blz 2. Zie ook de MvT, blz 49: ‘Wat dus bij een bepaalde stand van de techniek als anoniem, want redelijkerwijs niet op een persoon herleidbaar gegeven, kan worden beschouwd, kan door technische ontwikkelingen alsnog een persoonsgegeven worden, gelet op de toegenomen mogelijkheden tot herleiding’ 15) O pinie 4/2007, blz 15: ‘If the data are intended to be stored for one month, identification may not be anticipated to be possible during the “lifetime” of the information, and they should not be considered as personal data. However, it they are intended to be kept for 10 years, the controller should consider the possibility of identification that may occur also in the ninth year of their lifetime, and which may make them personal data at that moment. The system should be able to adapt to these developments as they happen, and to incorpor ate then the appropriate technical and organisational measures in due course.’ 16) M vT blz 70. 17) MvT blz 69: ‘Bij de totstandkoming van de richtlijn hebben de Raad van Ministers en de Europese Commissie hierover voor de notulen verklaard dat deze formulering er niet toe mag leiden dat de verwerking van persoonsgegevens door een natuurlijke persoon, waarbij deze gegevens niet worden verstrekt aan één of meer personen, doch aan een onbepaald aantal personen, kan worden uitgesloten van de richtlijn.’
12
CBP Richtsnoeren
305
caties die bedoeld zijn voor een beperkte kring belangstellenden, vallen daarom toch onder de Wbp. Het kan gaan om een website ter verwelkoming van een pasgeborene, beelden van vakantieactiviteiten of een weblog met persoonlijk commentaar op de gebeurtenissen van alledag. Als iedere belangstel lende de publicatie kan bekijken en de persoonsgegevens niet afgeschermd zijn tegen verdere verwerk ing door zoekmachines, is de Wbp volledig van toepassing. 7.2
Journalistieke, artistieke of literaire doeleinden Op gegevensverwerkingen op internet voor uitsluitend journalistieke, artistieke of literaire doeleinden is de Wbp gedeeltelijk van toepassing.18) Daarbij heeft de wetgever gezocht naar een balans tussen het recht op bescherming van persoonsgegevens en het recht op vrijheid van meningsuiting. In hoofdstuk 4 van deze richtsnoeren wordt deze balans verder toegelicht en wordt uitgewerkt wanneer een pu blicatie op internet voldoet aan het criterium van ‘uitsluitend journalistieke, artistieke of literaire doel einden’.
7.3
Historische, statistische of wetenschappelijke doeleinden Ten slotte is er een uitzonderingsgrond op de toepasselijkheid van de Wbp19) die het mogelijk maakt dat persoonsgegevens die voor een ander doeleinde zijn verzameld, toch voor historische, statistische of wetenschappelijke doeleinden kunnen worden gebruikt. Verantwoordelijken die persoonsgegevens op internet willen publiceren in het kader van wetenschap pelijk, historisch of statistisch onderzoek, dienen de nodige maatregelen te treffen om ervoor te zorgen dat de gegevens alleen ten behoeve van deze specifieke doeleinden worden verwerkt.20) Dat kunnen technische maatregelen zijn, zoals afscherming van de publicatie door middel van een wachtwoord (zie ook Hoofdstuk II paragraaf 8 over beveiliging), juridische maatregelen, zoals het contractueel vastleggen van het gebruik dat van de gegevens mag worden gemaakt, maar ook organisatorische maatregelen, zoals het inrichten van een procedure om toegangsverzoeken individueel te kunnen beoordelen. Deze uitzondering zal daarom in de praktijk alleen van toepassing zijn op strikt afgeschermde intranetten. De verantwoordelijke mag dergelijke gegevens ook langer bewaren dan strikt noodzakelijk voor het oorspronkelijke doeleinde, mits opnieuw adequate beschermingsmaatregelen zijn getroffen tegen onei genlijk gebruik.21) Ten slotte hoeven instellingen of diensten voor wetenschappelijk onderzoek of sta tistiek in bepaalde gevallen niet te voldoen aan de informatieplicht en het inzagerecht.22)
publiceren van internetstatistieken Voor statistische doeleinden houden veel ver antwoordelijken statistieken bij over het gebruik van hun website, waaronder bijvoorbeeld IP-adressen en zoektermen. Wie dergelijke
statistieken op internet publiceert, kan zich niet vergewissen van het doeleinde waarvoor bezoekers deze gegevens verder verwerken. Om toch openbaar inzicht te geven in het ge-
bruik van de site, kunnen gegevens over bezoekersaantallen en meest gebruikte zoektermen geanonimiseerd worden gepubliceerd. 23) De statistieken mogen wel voor intern gebruik ontsloten worden voor de medewerkers die de toegang beroepshalve nodig hebben.
18) C onsiderans 17 van de Richtlijn: ‘Overwegende dat wat betreft verwerkingen van geluid- en beeldgegevens voor journalistieke, literaire of artistieke doeleinden, met name in de audiovisuele sector, de beginselen van de richtlijn, met een aantal beperkingen overeenkomstig artikel 9 van toepassing zijn.’ 19) B ij de behandeling van de Wbp in de Tweede Kamer heeft de minister overigens gepreciseerd dat het niet om een algemene uitzonde ringsgrond gaat, maar om ‘een sectorale precisering van de verenigbaarheidseis in de vorm van een onweerlegbaar rechtsvermoeden’. Kamerstukken II, nr 25 892, nr. 6, blz. 17. 20) A rtikel 9 derde lid Wbp: ‘Verdere verwerking van de gegevens voor historische, statistische of wetenschappelijke doeleinden, wordt niet als onverenigbaar beschouwd, indien de verantwoordelijke de nodige voorzieningen heeft getroffen ten einde te verzekeren dat de verdere verwerking uitsluitend geschiedt ten behoeve van deze specifieke doeleinden.’ 21) A rtikel 10 tweede lid Wbp: ‘Persoonsgegevens mogen langer worden bewaard dan bepaald in het eerste lid voor zover ze voor historische, statistische of wetenschappelijke doeleinden worden bewaard, en de verantwoordelijke de nodige voorzieningen heeft getroffen ten einde te verzekeren dat de desbetreffende gegevens uitsluitend voor deze specifieke doeleinden worden gebruikt.’ 22) A rtikel 44 Wbp: ‘Indien een verwerking plaatsvindt door instellingen of diensten voor wetenschappelijk onderzoek of statistiek, en de nodige voorzieningen zijn getroffen om te verzekeren dat de persoonsgegevens uitsluitend voor statistische en wetenschappelijke doeleinden kunnen worden gebruikt, kan de verantwoordelijke een mededeling als bedoeld in artikel 34 achterwege laten en weigeren aan een verzoek als bedoeld in artikel 35 te voldoen.’ 23) P ublicatie van de zoektermen is overigens risicovol, bleek toen AOL een groot aantal zoekresultaten publiceerde in augustus 2006, nadat de Amerikaanse justitie deze had opgevraagd. De zoektermen bleken ook persoonsgegevens te bevatten, zoals de namen van mensen die naar zichzelf zochten.
306
Publicatie van persoonsgegevens op internet
13
1 basisbeginselen van de bescherming van persoonsgegevens op internet
Het publiceren op internet van een archief met persoonsgegevens, bijvoorbeeld een verzameling his torische homepages, ten behoeve van een historisch, statistisch of wetenschappelijk doeleinde, is alleen toegestaan als de verantwoordelijke de nodige maatregelen heeft getroffen om ervoor te zorgen dat de gegevens ook uitsluitend voor dat historisch, statistisch of wetenschappelijk doel worden gebruikt. Als een archief met persoonsgegevens ook bijzondere persoonsgegevens (zie hierna, paragraaf 8) bevat, gelden nog strengere regels. De verwerking daarvan is verboden, tenzij een van de uitzonderingen van toepassing is. Twee belangrijke algemene uitzonderingen zijn dat de betrokkene de gegevens duidelijk zelf openbaar heeft gemaakt (bijvoorbeeld in het geval van een homepage en alleen voor zover het ge gevens over de betrokkene zelf bevat) of als de betrokkene uitdrukkelijk toestemming heeft gegeven voor publicatie. De Wbp kent daarnaast een specifieke uitzondering op het verwerkingsverbod van bij zondere persoonsgegevens voor wetenschappelijk onderzoek of statistiek (en dus niet voor algemene historische doeleinden!), maar alleen als aan vier voorwaarden is voldaan: 1 Het onderzoek dient een algemeen belang; 2 De verwerking van de bijzondere gegevens is voor het betreffende onderzoek noodzakelijk; 3 Het vragen van uitdrukkelijke toestemming blijkt onmogelijk of kost een onevenredige inspanning; 4 Bij de uitvoering van het onderzoek is voorzien in zodanige waarborgen dat de persoonlijke levens sfeer van de betrokkene niet onevenredig wordt geschaad.24) Een archief van internetpagina’s met persoonsgegevens mag dus wel aangelegd worden voor weten schappelijke doeleinden en via terminals in de bibliotheek ontsloten worden voor een beperkte groep wetenschappers, maar mag niet automatisch opnieuw op internet worden gepubliceerd. Niet iedere wetenschapper mag bovendien automatisch toegang krijgen tot het gedigitaliseerde materiaal; de erf goedinstelling moet elke specifieke onderzoeksvraag toetsen aan de vier bovengenoemde eisen. De Juridische Wegwijzer Archieven en Musea online concludeert daarom terecht: Het verwerken van bij zondere persoonsgegevens in het kader van de digitale beschikbaarstelling van erfgoed kan dus op zeer gespannen voet staan met de Wbp. Beschikbaarstelling van bijzondere persoonsgegevens aan een groot, onbepaald publiek is problematisch; de uitzondering ten behoeve van wetenschappelijk onderzoek levert immers geen soelaas voor de instelling die zijn materiaal breed beschikbaar wil stellen.25) 8
Wat is een bijzonder persoonsgegeven? De Wbp maakt onderscheid tussen ‘gewone’ en ‘bijzondere’ persoonsgegevens. Bijzondere persoons gegevens zijn gegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezind heid, gezondheid, seksuele leven, alsmede persoonsgegevens betreffende het lidmaatschap van een vakvereniging. Ook strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag zijn bijzondere persoonsgegevens. Van belang is dat het begrip ‘strafrechtelijke gegevens’ zowel informatie over veroordelingen omvat als min of meer gegronde verdenkingen. Het gegeven dat iemand is gearres teerd of dat tegen hem proces-verbaal is opgemaakt wegens een bepaald vergrijp is ook een strafrech telijk gegeven. Bijzondere persoonsgegevens zijn onderworpen aan een strenger wettelijk regime dan de overige per soonsgegevens. Verwerking van bijzondere persoonsgegevens is verboden26), tenzij de betrokkene daarvoor uitdrukkelijke toestemming heeft gegeven, of als de betrokkene de gegevens bewust zelf openbaar heeft gemaakt.
8.1
Uitzonderingen op het verbod om bijzondere persoonsgegevens te publiceren Wie toch bijzondere persoonsgegevens op internet wil publiceren, kan gebruik maken van een van de twee hierboven al vermelde algemene uitzonderingen op het verwerkingsverbod, uitdrukkelijke toestemming van de betrokkene of het feit dat de gegevens door de betrokkene bewust zelf openbaar zijn gemaakt. 24) Artikel 23 tweede lid Wbp. 25) A nnemarie Beunen en Tjeerd Schiphof, Juridische Wegwijzer Archieven en Musea online, in opdracht van de Taskforce Archieven en Museumvereniging, 2006, blz. 44. 26) D e wettelijke uitzonderingen staan beschreven in de artikelen 17 tot en met 22 Wbp, zoals het eigen gebruik van gegevens over het lidmaatschap van een politieke partij, vakbond of kerk door de desbetreffende organisatie of het gebruik van medische gegevens door hulpverleners als dat noodzakelijk is voor de goede behandeling of verzorging van een betrokkene. In beginsel is geen van deze uitzonderingen van toepassing op de (open) publicatie van persoonsgegevens op internet.
14
CBP Richtsnoeren
307
8.1.1
Uitdrukkelijke toestemming Met het begrip ‘uitdrukkelijke toestemming’ stelt de Wbp een zware eis aan de kwaliteit van de toestemming. Die mag niet impliciet of stilzwijgend zijn; de betrokkene dient in woord, schrift of ge drag uitdrukking te hebben gegeven aan zijn wil toestemming te verlenen aan de hem betreffende ge gevensverwerking.27) De uitdrukkelijke individuele toestemming kan dus niet vervangen worden door het aanbieden van een mogelijkheid om de gegevens te laten verwijderen (ook wel een ‘opt out’ ge noemd).
8.1.2
Zelf openbaar gemaakt Iedere volwassene die op zijn of haar eigen homepage of weblog met opzet en onder eigen naam gevoelige informatie over zichzelf publiceert, zoals verslagen van medische perikelen, maakt die ge gevens duidelijk zelf openbaar. Daardoor vervalt het verbod om die bijzondere gegevens te verzamelen en te verwerken. Of iemand een bijzonder gegeven heeft openbaar gemaakt, hangt soms af van de intentie van de be trokkene. Een politicus die zich verkiesbaar stelt, maakt zijn politieke gezindheid duidelijk openbaar. Dat geldt ook voor een imam die in die hoedanigheid in het openbaar uitspraken doet over de Islam. Maar het geldt niet voor een ziekmelding of voor een lichamelijke handicap. Hoewel een lichamelijke handicap vaak voor eenieder zichtbaar is, maakt de betrokkene dit gezondheidsgegeven niet uit vrije wil openbaar. Het gegeven mag dus niet worden verwerkt, tenzij de betrokkene er actief in het open baar aandacht voor vraagt, bijvoorbeeld als belangenbehartiger van een patiëntenvereniging.
8.2
Beeldmateriaal Ook foto’s, video- en geluidsopnamen van herkenbare natuurlijke personen zijn persoonsgegevens.28) Herkenbaar is daarbij breder dan direct identificeerbaar. Zelfs als het gezicht van een betrokkene wordt gemaskeerd, bijvoorbeeld met een zwart balkje, kan een foto een persoonsgegeven zijn. Dat is bijvoor beeld het geval bij publicatie van camerabeelden van vermeende winkeldieven. Er bestaat een kans dat de betrokkenen herkend worden door hun vrienden, bekenden of buren, op grond van hun uiterlijk, kapsel en kleding.29)
foto’s van leerlingen Een lagere school besluit de foto’s van een schoolreisje op de website van de school te zetten. De school moet zich daarbij houden aan de regels van de Wbp. In het bijzonder
moet de school uitdrukkelijke toestemming hebben van de ouders van de kinderen. Deze toestemming kan nadien altijd worden ingetrokken. In dat geval moet de school het
beeldmateriaal van de betrokkene in beginsel verwijderen.
Als een persoon beeldmateriaal over zichzelf publiceert, geeft hij toestemming voor publicatie in die context. Daarmee is een rechtvaardigingsgrond aanwezig, ook voor de houder van de website waarop het materiaal wordt gepubliceerd. Als iemand beeldmateriaal van andere natuurlijke personen op internet wil publiceren, moet hij daarvoor toestemming van de betrokkenen hebben of een aantoon bare noodzaak voor de publicatie kunnen aantonen (zie II.4). Alleen als een verantwoordelijke foto’s of ander beeldmateriaal publiceert met het uitdrukkelijke doel om onderscheid te maken naar ras, is bijzondere oplettendheid geboden. In dat geval acht het CBP het een redelijke wetstoepassing om het beeldmateriaal aan te merken als een bijzonder persoonsgegeven. Verwerking daarvan is verboden, tenzij een van de hierboven beschreven uitzonderingen van toepassing is. Ten aanzien van publica ties met uitsluitend journalistieke, artistieke of literaire doeleinden (zie hoofdstuk 4 van deze richts noeren) gelden ruimere verwerkingsmogelijkheden van beeld- en geluidsmateriaal. Daarnaast is de Wbp niet van toepassing op publicatie van beeldmateriaal op internet voor uitsluitend persoonlijke of huishoudelijke doeleinden. Privépersonen kunnen op grond van die exceptie dus bijvoorbeeld vrijelijk familiefoto’s op internet publiceren, mits de toegang adequaat is afgebakend tot een duidelijk bepaal bare groep van personen. Dit geldt ook voor foto’s op profielsites. Als het profiel is afgeschermd voor
27) MvT, blz 122-123. 28) Richtlijn 95/46/EG, overweging 14: ‘overwegende dat, gezien het belang van de in het kader van de informatiemaatschappij aan de gang zijnde ontwikkelingen inzake de technieken voor het opvangen, doorsturen, manipuleren, registreren, bewaren of mededelen van geluid- en beeldgegevens betreffende natuurlijke personen, deze richtlijn ook van toepassing zal moeten zijn op verwerkingen die op deze gegevens betrekking hebben.’ 29) Opinion 4/2007, Example No. 19: Publication of video surveillance, blz 21.
308
Publicatie van persoonsgegevens op internet
15
1 basisbeginselen van de bescherming van persoonsgegevens op internet
zoekmachines en de toegang is beperkt tot vrienden of kennissen, valt de publicatie onder de persoon足 lijk/huishoudelijke exceptie. De Wbp is dan in het geheel niet van toepassing. 8.3
16
Identificatienummers Identificatienummers vormen een aparte categorie bijzondere persoonsgegevens. Omdat persoons足 nummers de koppeling van verschillende bestanden vergemakkelijken, vormen ze een extra be足 dreiging voor de persoonlijke levenssfeer. Volgens artikel 24 Wbp mogen wettelijk voorgeschreven nummers ter identificatie van personen alleen worden gebruikt voor de uitvoering van de betreffende wet of voor doeleinden die bij de wet zijn bepaald. Dit betekent in de praktijk dat het niet is toegestaan om bijvoorbeeld iemands sofinummer (straks: burgerservicenummer) op internet te publiceren, zelfs niet als de betrokkene er toestemming voor heeft gegeven.
CBP Richtsnoeren
309
310
Publicatie van persoonsgegevens op internet
17
II Verplichtingen van de verantwoordelijke 1 Inleiding 19 VOORAFGAAND AAN PUBLICATIE 2 Legitieme doeleinden 19 3 Verdere verwerking 19 3.1 Hergebruik van persoonsgegevens uit andere publicaties 20 3.2 Hergebruik van persoonsgegevens door derden 20 3.3 Geheimhoudingsplicht 21 4 Toestemming vragen of noodzaak kunnen aantonen 21 4.1 Toestemming 21 4.1.1 Toestemming intrekken 22 4.1.2 Toestemming van personen onder de zestien jaar 23 4.2 Noodzaak 23 4.2.1 Uitvoering van een overeenkomst 23 4.2.2 Wettelijke verplichting 23 4.2.3 Vitaal belang 24 4.2.4 Goede vervulling publiekrechtelijke taak 24 4.2.5 Gerechtvaardigd belang 24 BIJ PUBLICATIE 5 Informatieplicht 25 5.1 Omvang informatieplicht 26 5.2 Informatieplicht jegens inwoners buiten de EU 26 5.3 Privacyverklaring 27 5.4 Identiteitsvermelding 27 6
Meldingsplicht 29 6.1 Wat betekent een melding? 29 6.2 Vrijstellingsbesluit 29 6.3 Toekomst: uitbreiding vrijstellingen internetpublicaties 29
7
Kwaliteit 30 7.1 Beperkt bewaren 30 7.2 Toereikend, ter zake dienend en niet bovenmatig 30 7.3 Juist en nauwkeurig 31 7.4 Identiteitsvaststelling alleen elektronisch? 31 7.5 Gebruik identiteitsbewijs 31
8 Beveiliging 32 8.1 Passende beveiligingsmaatregelen 32 8.2 Tegengaan onnodige publicatie persoonsgegevens 32 8.3 Afscherming persoonsgegevens van zoekmachines 33 8.4 Gebruik van wachtwoorden of andere doelgroepafbakening 34 8.4.1 Dictionary attacks 34 8.5 Beveiliging gegevenstransport 35 8.6 Beveiliging machines tegen onbevoegde toegang 35 NA PUBLICATIE 9 Verwijderen onrechtmatigheden 36 9.1 Plicht tot verwijderen onjuiste gegevens 36
18
CBP Richtsnoeren
311
1
Inleiding Onrechtmatige publicaties van persoonsgegevens moeten door de verantwoordelijke onmiddellijk van internet worden verwijderd. Maar ook voorafgaand aan de publicatie van persoonsgegevens op inter net dient een verantwoordelijke een aantal stappen te doorlopen om onrechtmatigheid te voorkomen. Dit hoofdstuk van de richtsnoeren bevat aanwijzingen voor de verantwoordelijke om in de fasen voorafgaand aan, tijdens en volgend op publicatie aan de vereisten van de Wet bescherming persoons gegevens te voldoen. Zoals in het onderstaande zal worden uitgelegd dient de verantwoordelijke voorafgaand aan de publicatie vast te stellen of de publicatie een legitiem doeleinde dient en of dat doel verenigbaar is met het doel waarvoor de gegevens oorspronkelijk zijn verkregen. De verantwoordelijke dient bij voorkeur toestemming te vragen van de betrokkenen, of anders te kunnen onderbouwen dat publicatie is toege staan op grond van een van de andere wettelijke regels over de noodzakelijkheid van de publicatie. Bij de publicatie dienen verantwoordelijken betrokkenen actief te informeren over het doel en de opzet van de publicatie. Daarnaast moet iedere verantwoordelijke zijn eigen identiteit duidelijk vermelden, toegankelijk voor iedere bezoeker van de publicatie. Persoonsgegevens mogen niet langer bewaard en ter beschikking worden gesteld dan strikt noodzakelijk. Bovendien moet de verantwoordelijke actief de kwaliteit en juistheid van de gepubliceerde persoonsgegevens waarborgen. Een laatste belangrijke stap die verantwoordelijken moeten nemen om te voldoen aan de vereisten van de Wbp is het treffen van beveiligingsmaatregelen tegen onbevoegd gebruik. Ten slotte dienen verantwoordelijken zich bewust te zijn van de verplichting om ook na de publicatie nog wijzigingen aan te brengen, bijvoorbeeld als een betrokkene zijn toestemming voor publicatie in trekt, of als de gegevens onrechtmatig blijken te zijn. VOORAFGAAND AAN PUBLICATIE
2
Legitieme doeleinden Wie persoonsgegevens van derden wil publiceren op internet, moet zich afvragen of hij de gegevens verzamelt en gebruikt voor een legitiem doeleinde. Artikel 7 van de Wbp legt vast dat persoonsge gevens alleen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden mogen worden verzameld. Een doeleinde kan bijvoorbeeld zijn: voortzetting van het papieren clubblad op in ternet, met als doeleinde het informeren van de leden van de vereniging over de verenigings activiteiten. Een doeleinde mag niet zo vaag of ruim zijn dat er geen kader is om te toetsen of de ge gevens werkelijk nodig zijn voor het gestelde doel.
3
Verdere verwerking Bij het publiceren op internet van gegevens die voor een ander doeleinde zijn verzameld, dient de ver antwoordelijke vast te stellen of publicatie op internet verenigbaar is met die doeleinden. Artikel 9 van de Wbp stelt een afweging verplicht tussen het oorspronkelijke doeleinde en de verdere verwerking en geeft daarbij vijf criteria waarmee in elk geval rekening moet worden gehouden: a de verwantschap tussen het doel van de beoogde verwerking en het doel waarvoor de gegevens zijn verkregen; b de aard van de betreffende gegevens; c de gevolgen van de beoogde verwerking voor de betrokkene; d de wijze waarop de gegevens zijn verkregen; e de mate waarin jegens de betrokkene wordt voorzien in passende waarborgen.
312
Publicatie van persoonsgegevens op internet
19
2 verplichtingen van de verantwoordelijke
gegevens van oud-leerlingen Een school voor voortgezet onderwijs vraagt alle leerlingen of ze ook na het eindexamen hun correcte contactgegevens willen blijven doorgeven aan de schooladministratie, zoals adres, telefoonnummer en e-mailadres. De school noemt het organiseren van toekomstige reünies als doeleinde, evenals het kunnen toesturen van andere informatie over lustra en jubilea van de school. De school wordt regelmatig benaderd door oud-leerlingen die contact zoeken met voormalige klasgenoten. De school besluit de contactgegevens van alle
3.1
oud-leerlingen op internet te publiceren, om hen in staat te stellen makkelijker zelf contact met elkaar op te kunnen nemen. Deze werkwijze is in strijd met het doelbindingsprincipe uit de Wbp, omdat de gegevens voor een ander doeleinde zijn verzameld en de publicatie op internet vervelende gevolgen kan hebben voor de betrokkenen. De publicatie op internet van de contactgegevens kan bijvoorbeeld leiden tot spam of ongewenst contact met andere oud-leerlingen, maar ook in algemene zin tot een oordeel door derden over iemands
kwaliteiten in relatie tot de kwaliteit en aard van de betreffende school. Als de school de oud-leerlingen in staat wil stellen contact met elkaar op te nemen, moet ze een andere manier kiezen, bijvoorbeeld op basis van expliciete toestemming bij het verzamelen van de gegevens. Daarbij is het belangrijk dat de school nadenkt over passende waarborgen, zoals afscherming van de gegevens door middel van een (uniek) wachtwoord en afscher ming van de pagina’s voor zoekmachines.
Hergebruik van persoonsgegevens uit andere publicaties Veel mensen gebruiken gegevens van andere websites voor een eigen publicatie, zoals foto’s waar mensen herkenbaar op staan of adressen. De Wbp stelt echter belangrijke beperkingen aan het herge bruik. Het feit dat persoonsgegevens op internet staan, betekent niet dat ze zomaar opnieuw gebruikt mogen worden in een andere context, voor een ander doeleinde. Het nieuwe doel moet verenigbaar zijn met het oude doel en de verantwoordelijke dient een zelfstandige rechtvaardigingsgrond te heb ben voor de publicatie. Iemand die bijvoorbeeld een weblog bijhoudt waarin hij of zij ook bijzondere persoonsgegevens over zichzelf verwerkt, zoals een beschrijving van gezondheidsklachten, maakt die gegevens zelf openbaar. Hergebruik van bijzondere persoonsgegevens is niet verboden als de be trokkene de gegevens zelf openbaar heeft gemaakt, maar de verantwoordelijke die deze gegevens in een eigen publicatie wil verwerken, dient een zelfstandige rechtvaardigingsgrond te hebben (zie hierna paragraaf 4: toestemming vragen of noodzaak aantonen). Het verenigbaarheidsvereiste uit de Wbp heeft sterke raakvlakken met bepalingen in de wet over de kwaliteit en beveiliging van gegevens. Zelfs als het nieuwe doel verenigbaar is met het oude doel, kan de verwerking onrechtmatig zijn, bijvoorbeeld als het gaat om het overnemen van verouderde, onjuiste informatie over iemands functie of beroep. De onderwerpen kwaliteit en beveiliging komen nader aan de orde in de paragrafen 7 en 8 van dit hoofdstuk. Daarnaast geldt het algemene uitgangspunt (uit ar tikel 6 Wbp) dat verantwoordelijken op behoorlijke en zorgvuldige wijze te werk dienen te gaan bij het verzamelen en verwerken van persoonsgegevens. Deze bepaling speelt zeker bij de beoordeling van de verenigbaarheid van publicaties op internet een belangrijke rol.
3.2
Hergebruik van persoonsgegevens door derden Verantwoordelijken dienen zich bij het beoordelen of (her-)publicatie van persoonsgegevens op inter net verenigbaar is met het oorspronkelijke doeleinde niet alleen rekenschap te geven van de herkomst van de gegevens, maar ook van het risico dat anderen de gegevens gebruiken die de verantwoordelijke zelf op internet publiceert. Om de risico’s voor betrokkenen te verkleinen, dient elke verantwoordelijke adequate beveiligingsmaatregelen te treffen tegen oneigenlijk verder gebruik. Voor een juiste risico-inschatting moet de rol van zoekmachines worden meegewogen. Publicaties op internet die eigenlijk gericht zijn op een klein publiek, worden door zoekmachines wereldwijd toegan kelijk gemaakt. Zoekmachines kunnen verspreide informatie van verschillende aard over een persoon koppelen. Dat kan een nieuw beeld opleveren, met een veel hoger risico voor de betrokkene dan elk van de afzonderlijke gegevens meebrengt. Strikte inperking van de gebruiksmogelijkheden en afscher ming van persoonsgegevens voor zoekmachines zijn daarom belangrijke maatregelen om oneigenlijk hergebruik te voorkomen. Dit vereiste wordt nader uitgewerkt in paragraaf 8 van dit hoofdstuk.
20
CBP Richtsnoeren
313
3.3
Geheimhoudingsplicht De Wbp verbiedt publicatie van persoonsgegevens indien de gegevens onder een geheimhoudings plicht uit hoofde van ambt, beroep of wettelijk voorschrift vallen.31) Deze bepaling wordt dikwijls in gezet in zaken waarin het medisch beroepsgeheim speelt, maar is door het CBP ook gehanteerd bij het beoordelen van een overheidsinitiatief om persoonsgegevens openbaar te maken via internet.
publicatie van waardegegevens onroerend goed In 2003 vroeg het Ministerie van Financiën advies aan het CBP over een aantal voor genomen wijzigingen in de Wet waardering onroerende zaken (Wet WOZ). Het voorstel beoogde de openbaarheid van WOZgegevens te vergroten door de taxatie rapporten op internet te plaatsen. Het CBP
4
adviseerde32): ‘Gelet op het vorengaande komt het CBP tot het oordeel dat een algemene toegankelijkheid van waardegegevens op het internet zich niet verhoudt met de Wbp en de Wet WOZ. Het CBP onderschrijft het oordeel van de Raad van State dat het waardegegeven privacygevoelige informatie betreft. Verdere
verwerking van deze gegevens (door plaat sing op het internet) dient daarom op grond van het bepaalde in artikel 40, eerste lid, Wet WOZ en artikel 9, vierde lid, Wbp achterwege te blijven.’
Toestemming vragen of noodzaak kunnen aantonen Voor verantwoordelijken die persoonsgegevens op internet willen publiceren, geldt dat zij toestem ming nodig hebben van de betrokkenen, tenzij er een aantoonbare andere noodzaak is voor de publica tie, zoals nakoming van een wettelijke verplichting of uitvoering van een contractuele verplichting. De Wbp noemt dit een grondslag voor een gerechtvaardigde gegevensverwerking. In deze richtsnoeren wordt hiervoor het begrip ‘rechtvaardigingsgrond’ gehanteerd. Artikel 8 Wbp somt in totaal zes rech tvaardigingsgronden op.33) Indien er geen toestemming is (artikel 8 onder a Wbp) mag publicatie uit sluitend indien deze noodzakelijk is volgens een van de volgende vijf rechtvaardigingsgronden: – voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of voor het nemen van precontractuele maatregelen naar aanleiding van een verzoek van de betrokkene en die noodzake lijk zijn voor het sluiten van een overeenkomst (artikel 8 onder b Wbp); – om een wettelijke verplichting na te komen waaraan de verantwoordelijke onderworpen is (artikel 8 onder c Wbp); – ter vrijwaring van een vitaal belang van de betrokkene (artikel 8 onder d Wbp); – voor de goede vervulling van een publiekrechtelijke taak door het desbetreffende bestuursorgaan dan wel het bestuursorgaan waaraan de gegevens worden verstrekt, (artikel 8 onder e Wbp); – voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke of van een derde aan wie de gegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, pre valeert (artikel 8 onder f Wbp). Elk van de rechtvaardigingsgronden wordt hierna uitvoerig toegelicht. Ten aanzien van bijzondere persoonsgegevens, zoals strafrechtelijke gegevens, gelden extra regels. Ver werking ervan is verboden, tenzij de betrokkene de gegevens duidelijk zelf openbaar heeft gemaakt of uitdrukkelijke toestemming heeft gegeven voor de verwerking (zie hoofdstuk I, paragraaf 8). Opheffing van het verwerkingsverbod ontslaat de verantwoordelijke niet van de plicht om een zelf standige rechtvaardigingsgrond voor de publicatie te hebben.
4.1
Toestemming Toestemming, de rechtvaardigingsgrond voor veel publicaties op internet, moet ondubbelzinnig zijn (in het geval van bijzondere persoonsgegevens zelfs ‘uitdrukkelijk’). De verantwoordelijke mag niet uitgaan van het principe ‘wie zwijgt, stemt toe’, maar moet elke twijfel uitsluiten over de vraag òf de 30 R ichtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie, PB L 201/37. 31) Wbp, artikel 9 lid 4. 32) CBP, z2003-01563, 11 februari 2004, URL: http://www.cbpweb.nl/documenten/adv_z2003-1563.stm 33) Z ie voor een algemene toelichting op artikel 8 Wbp het informatieblad ‘Verstrekken van persoonsgegevens’ voor verantwoordelijken, en het informatieblad ‘Verstrekken van uw persoonsgegevens’ voor betrokkenen, beschikbaar via de website van het CBP, URL: http://www.cbpweb.nl, onder ‘nieuws en publicaties’, ‘publicaties’, ‘informatiebladen’.
314
Publicatie van persoonsgegevens op internet
21
2 verplichtingen van de verantwoordelijke
betrokkene toestemming heeft gegeven en voor welke specifieke verwerkingen hij toestemming heeft gekregen. Als het gaat om een openbaar toegankelijk discussieforum of gastenboek op internet, hoeft de verantwoordelijke echter niet expliciet toestemming te vragen voor publicatie van een reactie; hij mag er redelijkerwijs van uitgaan dat de betrokkene begrijpt dat de reactie op internet verschijnt.34) cwi publiceert gegevens werkzoekenden op internet Naar aanleiding van berichten in de media dat privégegevens van werkzoekenden vrij toegankelijk waren via de vacaturesite werk.nl heeft het CBP het Centrum voor werk en inkomen in april 2004 om opheldering gevraagd. Uit de verstrekte informatie bleek dat werkzoekenden zelf konden besluiten of
zij naast gegevens over opleiding en werkervaring ook andere persoonsgegevens (zoals naam, adresgegevens en telefoonnummer) op internet wilden plaatsen. Het privacystatement van het CWI vermeldde duidelijk dat deze gegevens openbaar toegankelijk waren voor anderen. Het CWI heeft inmiddels wel
restricties aangebracht in deze toegang tot gegevens van werkzoekenden. Alleen werkgevers met een zogenaamd werkgeversaccount kunnen nu direct alle gegevens van werkzoekenden opvragen. 35)
4.1.1
Toestemming intrekken Een eenmaal gegeven toestemming tot het verwerken van gegevens kan te allen tijde worden in getrokken.36) De memorie van toelichting bij de Wbp voegt daar volledigheidshalve aan toe dat een dergelijke intrekking geen consequenties heeft voor gegevensverwerkingen die vóór het moment van de intrekking hebben plaatsgevonden.37) Deze inperking heeft echter geen betrekking op het voort duren van de publicatie van persoonsgegevens op internet. Als de toestemming wordt ingetrokken, is de publicatie vanaf dat moment onrechtmatig, tenzij de verantwoordelijke de verwerking kan recht vaardigen onder een andere rechtvaardigingsgrond. Dat betekent dat verantwoordelijken voor publi caties op internet, voorzover die gebaseerd zijn op toestemming, technische voorzieningen moeten tref fen om persoonsgegevens ook daadwerkelijk te kunnen verwijderen als een betrokkene zijn of haar toestemming intrekt.
4.1.2
Toestemming van personen onder de zestien jaar Met betrekking tot personen onder de zestien jaar stelt de Wbp bijzondere regels. Voor de verwerking van persoonsgegevens van jongeren onder de zestien jaar kunnen alleen de ouders of wettelijk vertegenwoordiger(s) toestemming geven. De verantwoordelijke moet aan kunnen tonen dat hij toestemming heeft gekregen van de ouders. Als dat niet het geval is, is de toestemming van de betref fende jongere nietig en de publicatie op internet van de persoonsgegevens onrechtmatig.38) De dagelijkse gang van zaken op internet is dat veel jongeren gedetailleerde informatie over zichzelf en hun vrienden en kennissen publiceren op internet, op een eigen website of in sociale netwerkomge vingen. Zo lang de betrokkenen geen hinder ondervinden van dergelijke publicaties, kan het wettelijk toestemmingsvereiste daarbij soms zinloos lijken. Bij publicatie op internet moet echter rekening worden gehouden met het feit dat de gevolgen pas jaren later merkbaar kunnen worden, door kop peling van gegevens over een persoon door de tijd heen, of omdat een jongere zich in een nieuwe om geving (bijvoorbeeld bij wisseling van school) op een andere manier wil kunnen ontwikkelen dan voorheen. De grens van 16 jaar in de Wbp betekent dat houders van websites of netwerkomgevingen die speciaal zijn gericht op jongeren onder de 16 jaar een maatschappelijke verantwoordelijkheid hebben om hen te wijzen op hun rechten en plichten, op een heldere en voor de doelgroep begrijpelijke wijze.
34) ‘ (...) kennis die hij op grond van maatschappelijke opvattingen redelijkerwijs bij de betrokkene aanwezig mag achten.’ MvT, blz 66. 35) C BP, april 2004, z2003-1437, URL: http://www.cbpweb.nl/documenten/uit_z2003-1437.stm 36) A rtikel 5 Wbp tweede lid: ‘Een toestemming kan door de betrokkene of zijn wettelijk vertegenwoordiger te allen tijde worden ingetrokken.’ 37) ‘Een eenmaal gegeven toestemming tot het verzamelen van gegevens kan te allen tijde worden ingetrokken. Een dergelijke intrekking heeft echter geen consequenties voor gegevensverwerkingen die vóór het moment van de intrekking hebben plaatsgevonden. Dit geldt voor alle soorten van verwerkingen. Gezien het dwingende karakter van dit voorschrift is dit expliciet bepaald in artikel 5, tweede lid. ‘ MvT, blz. 67/68. 38) A rtikel 3:40 eerste lid Burgerlijk Wetboek bepaalt dat een rechtshandeling die door inhoud of strekking in strijd is met de goede zeden of de openbare orde, nietig is. De toestemming die met betrekking tot een bepaalde gegevensverwerking niet rechtsgeldig is gegeven, dient als nietig te worden beschouwd. MvT, blz. 67.
22
CBP Richtsnoeren
315
vuistregels publicaties jongeren Verantwoordelijken voor publicaties of netwerkomgevingen die veel door jongeren worden bezocht, dienen zich om aan de Wbp te voldoen in ieder geval aan de volgende regels te houden: 1 Benadrukken dat de gebruikers hun ouders dienen te informeren en om hun toestemming dienen te vragen; 2 Waarschuwen dat gebruikers niet zonder toestemming persoonsgegevens van an-
4.2
deren (veelal zelf ook weer minderjarigen) mogen publiceren; 3 Technische maatregelen doorvoeren om verdere verwerking op internet zoveel mogelijk in te perken, zoals automatische blokkade van persoonlijke profielpagina’s voor zoekmachines en persoonlijke controle van de gebruiker over de toegang tot zijn gegevens voor andere gebruikers van de site of omgeving; 4 Strikte inperking van de soorten gegevens
die aan jongeren worden gevraagd. Het publiceren van bijzondere persoonsgegevens van minderjarigen, zoals gegevens over seksuele geaardheid of religieuze overtuiging dient altijd achterwege te blijven. Verantwoordelijken mogen er niet vanuit gaan dat jongeren de risico’s kunnen doorgronden van beoordeling op grond van een dergelijk kenmerk.
Noodzaak De Wbp kent vijf rechtvaardigingsgronden die gebaseerd zijn op een aantoonbare noodzaak voor de verantwoordelijke. Dat zijn: uitvoering van een overeenkomst, voldoen aan een specifieke wettelijke verplichting, vitaal belang, een goede vervulling van een specifieke publiekrechtelijke taak of een afweging van belangen.
4.2.1
Uitvoering van een overeenkomst De rechtvaardigingsgrond dat publicatie op internet noodzakelijk is ter uitvoering van een over eenkomst kan van pas komen bij specifieke dienstverlening om via internet te bemiddelen. Dat kan gaan om bemiddeling tussen werkzoekenden en werkgevers, of tussen mensen die op zoek zijn naar contact of een relatie. Daarbij is het wel van belang, in het licht van de informatieplicht uit de Wbp (zie hierna, paragraaf 5) en de bepalingen in het Burgerlijk Wetboek over de toegankelijkheid, begrijpelijk heid, redelijkheid en billijkheid van contractuele bepalingen,39) dat betrokkenen goed worden geïn formeerd over welke gegevens op internet worden gepubliceerd en over de mate waarin de gegevens zijn afgeschermd tegen onbedoeld hergebruik door derden,bijvoorbeeld door een wachtwoord en af scherming van de persoonsgegevens van zoekmachines.
4.2.2
Wettelijke verplichting Het moeten nakomen van een wettelijke verplichting is een rechtvaardigingsgrond die naar verwach ting in de toekomst steeds vaker door overheidsinstellingen of beheerders van openbare registers ge bruikt kan worden. Er is veel wetgeving in ontwikkeling ter bevordering van de transparantie en een vormigheid van de besluitvorming door bestuursorganen. Daarbij wordt elektronische publicatie van persoonsgegevens soms expliciet voorgeschreven. Het CBP zet zich daarbij in voor een duidelijk onderscheid tussen openbaarmaking en publicatie op internet. Het openbaar mogen, of zelfs moeten maken van persoonsgegevens betekent niet automatisch dat de gegevens op internet mogen worden gepubliceerd. Het onderscheid tussen een wettelijke plicht om bepaalde persoonsgegevens te verzamelen en de pu blicatie ervan op internet speelde een belangrijke rol in het onderzoek dat het CBP in 2005 deed naar de publicatie op internet van (aanvragen voor) bouwvergunningen door de gemeente Nijmegen. Op het gemeentelijk aanvraagformulier moeten allerlei persoonsgegevens worden ingevuld, zoals naam, adres, e-mailadres, telefoonnummer, handtekening en hoogte van de bouwsom. De gemeente scande de aanvraagformulieren in en publiceerde die op internet. Het CBP stelde vast dat er wel een wettelijke verplichting was tot het bijhouden van een bouwregister, maar geen wettelijke verplichting om alle documenten integraal op internet te publiceren.
39) I n navolging van diverse EU richtlijnen is de informatieplicht naar consumenten in de jaren negentig van de 20ste eeuw aangescherpt. In Nederland zijn de verscherpte bepalingen uitgewerkt in de artikelen 233 en 234 Boek 6 BW, over de ter hand stelling van algemene voorwaarden en in de artikelen 236 en 237 Boek 6 BW, over onredelijke bedingen.
316
Publicatie van persoonsgegevens op internet
23
2 verplichtingen van de verantwoordelijke
Het CBP schreef: Dit rechtvaardigt niet zonder meer dat alle persoonsgegevens waarvan de gemeente gebruik heeft gemaakt in de procedure voor het verlenen van de bouwvergunning - gegevens die op goede gronden in het bouwregister voorkomen - opgenomen worden in het via internet toegankelijke Digitaal Bouwarchief. Dat de gemeente bepaalde persoonsgegevens noodzakelijkerwijs mag opnemen (in het analoge archief, red.), betekent namelijk op zich niet dat de gemeente die gegevens ook, al dan niet beperkt, aan anderen ter beschikking mag stellen.40) 4.2.3
Vitaal belang De rechtvaardigingsgrond dat publicatie noodzakelijk is ter vrijwaring van een vitaal belang van de betrokkene heeft betrekking op een medische noodzaak. Het artikel is bedoeld om mensenlevens te kunnen redden in acute noodsituaties, als de betrokkene bijvoorbeeld buiten bewustzijn is. Het is hoogst onwaarschijnlijk dat deze rechtvaardigingsgrond gebruikt kan worden om een publicatie op internet te rechtvaardigen.
4.2.4
Goede vervulling publiekrechtelijke taak Overheidsinstellingen of -diensten die persoonsgegevens op internet willen publiceren, kunnen een rechtvaardigingsgrond vinden in artikel 8 onder e Wbp. Er is een rechtvaardigingsgrond als publicatie noodzakelijk is voor een goede vervulling van een publiekrechtelijke taak van het desbetreffende be stuursorgaan. Daarbij moet voor elk te publiceren gegeven de noodzaak zorgvuldig worden afgewo gen. Dat verstrekking van bepaalde gegevens aan een bestuursorgaan noodzakelijk is, rechtvaardigt niet dat alle gegevens automatisch ook op internet worden gepubliceerd. Dat geldt ook voor bestuurs organen die actieve openbaarmaking overwegen in het kader van de Wet openbaarheid van bestuur (Wob).41)
4.2.5
Gerechtvaardigd belang Een laatste rechtvaardigingsgrond zit in de afweging van het eigen gerechtvaardige publicatiebelang tegen de rechten en vrijheden van betrokkenen, in het bijzonder de bescherming van hun persoonlijke levenssfeer. De afweging is veel algemener van aard dan de eerste vijf rechtvaardigingsgronden en is naar zijn aard afhankelijk van de omstandigheden van een specifieke publicatie. In beginsel zullen slechts weinig publicaties zich op deze rechtvaardigingsgrond kunnen beroepen, omdat publicatie op internet onvoorspelbare risico’s met zich meebrengt voor de persoonlijke levenssfeer van betrokkenen. Een verantwoordelijke die zich op artikel 8 onder f Wbp wil beroepen moet allereerst aantonen dat een voorgenomen publicatie noodzakelijk is voor de verwezenlijking van een gerechtvaardigd eigenbe lang. Noodzaak is volgens jurisprudentie van het EHRM niet hetzelfde als ‘leuk’ of ‘nuttig’.42) Boven dien dient de verantwoordelijke aan te tonen dat het beoogde belang niet anderszins of met minder in grijpende middelen kan worden gediend43). Nadat deze afweging is gemaakt, dient de verantwoordelijke een tweede afweging te maken, waarbij de individuele belangen van betrokkenen een zelfstandig gewicht in de schaal leggen. Een verant woordelijke kan niet volstaan met de redenering dat het om gegevens gaat die toch al op andere plaat sen op internet zijn te vinden en dat de inbreuk van de nieuwe publicatie daarom gering zou zijn. De memorie van toelichting bij de Wbp geeft als hulpmiddel vier vragen die verantwoordelijken kun nen stellen om de dubbele afweging te maken. • Is er werkelijk een belang dat verwerking van persoonsgegeven rechtvaardigt? • Wordt met de verwerking een inbreuk gemaakt op belangen of fundamentele rechten van degene wiens gegevens worden verwerkt en zo ja, dient dan – afhankelijk van de ernst van de inbreuk – gegevensverwerking niet achterwege te blijven? • Kan het doel dat met de verwerking wordt nagestreefd ook langs andere weg – zonder verwerking – worden bereikt? 40) CBP, z2005-0212, 1 december 2005, URL: http://www.cbpweb.nl/documenten/uit_z2005-0212.shtml 41) M et het oog op de privacyaspecten van actieve openbaarmaking zal het CBP binnen afzienbare tijd beleidsregels publiceren over de verhouding Wob - Wbp. 42) E HRM 25 maart 1983, Silver and others v. United Kingdom, nr. 97: ‘(a) the adjective ‘necessary’ is not synonymous with ‘indispensable’, neither has it the flexibility of such expressions as ‘admissible’, ‘ordinary’, ‘useful’, ‘reasonable’ or ‘desirable […].’ 43) E en dergelijke afweging van belangen moet volgens vaste jurisprudentie van het EHRM in overeenstemming zijn met de beginselen van proportionaliteit en subsidiariteit. Dit laatste betekent dat de inbreuk op de persoonlijke levenssfeer van de betrokkene in een juiste verhouding moet staan tot het nagestreefde doel en dat dit niet op een minder ingrijpende wijze kan worden bereikt.
24
CBP Richtsnoeren
317
• Is de verwerking in de mate die is beoogd evenredig aan het nagestreefde doel? 44) Dit komt er op neer dat de verantwoordelijke zich moet afvragen: – Is publicatie echt nodig? Kan het niet anders? – Weegt het belang van publicatie wel op tegen de nadelen ervan? – Wat betekent publicatie voor elke individuele betrokkene in zijn specifieke geval? Een verantwoordelijke dient het resultaat van deze afweging inzichtelijk te kunnen maken. Het re sultaat van de afweging moet een duidelijk belang zijn, dat maatschappelijk aanvaardbaar is, niet in strijd met wat volgens geschreven en ongeschreven recht in het maatschappelijk verkeer betaamt. De verantwoordelijke mag het belang van de verwerking niet snel laten prevaleren boven het belang van de betrokkene, juist ook vanwege de risico’s van verdere verwerking door publicatie op internet. Dat het belang van betrokkenen zwaar weegt en vaak prevaleert boven het belang van de verwerking, blijkt ook uit jurisprudentie over het publiek etaleren van foto’s van vermeende winkeldieven. In au gustus 2004 oordeelde de voorzieningenrechter van de rechtbank Amsterdam45) dat een winkelier geen foto in zijn winkel mocht ophangen van een vrouw die hij aanzag voor een winkeldief. De publicatie zou in strijd zijn met de auteurswet, maar ook met de Wbp, in het bijzonder met artikel 8 onder f: Het ophangen van de foto van [eiseres] met daarbij de tekst ‘Deze vrouw heeft hier gestolen’ is eveneens in strijd met de Wbp. De videobeelden gemaakt met een bewakingscamera zijn aan te merken als een bestand in de zin van artikel 1 onder c van de Wbp, nu sprake is van een gestructureerd geheel van persoonsgegevens. De verwerking van deze gegevens door een winkelier valt onder de Wbp. Uit hetgeen hiervoor (….) is overwogen, volgt dat [eiseres] geen ondubbelzinnige toestemming heeft gegeven voor de verwerking van de videobeelden tot een foto - zoals vereist in artikel 8 onder a Wbp - en dat het belang van [eiseres] prevaleert bij de in artikel 8 onder f Wbp bedoelde belangenafweging.46) De rechter in kort geding overwoog daarbij (in punt 9) : “Een publicatie als de onderhavige - die een element van straf in zich heeft - levert eigenrichting op jegens [eiseres].” En voegde er aan toe: “Het opsporen en berechten van verdachten is het monopolie van justitie en het is niet aan burgers om mogelijke verdachten openlijk te schande te zetten.” Twee jaar later, nadat de gewraakte foto opnieuw was gepubliceerd in een dagblad, deed het CBP een algemene uitspraak over de toelaatbaarheid van publicaties van foto’s van verdachten van winkeldief stal door particuliere ondernemingen.47) Het CBP oordeelde dat de Wet bescherming persoonsgegevens niet toelaat dat foto’s van personen die verdacht worden van winkeldiefstal door winkeliers op winkel ruiten of andere voor het publiek zichtbare plaatsen worden gepubliceerd. Geoordeeld is: Het gebruik van de beelden voor publicatie in winkels, zodat er feitelijk sprake is van het pu bliekelijk betichten van strafbare feiten (shaming), kan niet gerekend worden tot een maatschappelijk aanvaardbaar doel. Daarmee is gegeven dat het eveneens geen gerechtvaardigd belang kan zijn voor de verantwoorde lijke.48) BIJ PUBLICATIE 5
Informatieplicht De Wbp bevat een informatieplicht. Verantwoordelijken voor publicaties op internet moeten op eigen initiatief inzicht geven in het doel van de publicatie, hoe en welke persoonsgegevens ze verwerken en wat hun identiteit is. Dat is geen eenmalige verplichting, maar geldt jegens elke persoon over wie zij gegevens verwerken. De informatieplicht geldt als verantwoordelijken de gegevens zelf verzamelen (artikel 33 Wbp), maar ook als zij de gegevens op een andere manier verkrijgen, bijvoorbeeld door gegevens over te nemen uit andere publicaties op internet (artikel 34 Wbp). Wie gegevens op internet verzamelt en voor een eigen 44) 45) 46) 47) 48)
M vT, blz. 86. LJN: AQ7877, Rechtbank Amsterdam, KG 04/1566 SR Idem, onder punt 12. CBP, 30 mei 2006, z2005-0846, URL: http://www.cbpweb.nl/documenten/uit_z2005-0846.shtml CBP, 30 mei 2006, z2005-0846, blz 3.
318
Publicatie van persoonsgegevens op internet
25
2 verplichtingen van de verantwoordelijke
publicatie wil hergebruiken, moet de betrokkenen individueel op de hoogte stellen dat er een nieuwe verantwoordelijke is die de persoonsgegevens verwerkt.49) Als er weinig risico’s gemoeid zijn met de publicatie en als betrokkenen redelijkerwijs weten in welke context bepaalde persoonsgegevens over hen op internet worden gepubliceerd, kan een verantwoordelijke volstaan met het verstrekken van passieve informatie over zijn identiteit en het doeleinde van de publicatie, bijvoorbeeld in de vorm van een privacyverklaring. In alle andere gevallen dient een verantwoordelijke alle betrokkenen op voorhand te informeren, met zoveel aanvullende informatie als nodig is om er zeker van te zijn dat be trokkenen begrijpen wat de bedoeling is en hoe zij zich eventueel tegen publicatie kunnen verzetten. extra informatie en aandacht voor privacy en jongeren Jongeren zijn een extra kwetsbare groep als het gaat om persoonsgegevens en het Web. Diensten op het Web die gegevens over jongeren en door jongeren geplaatste persoonsgegevens verwerken dienen er daarom extra goed voor te zorgen dat zorgvuldig met persoonsgegevens wordt omgegaan. Aan de ene kant zijn het juist jongeren die
de mogelijkheden van nieuwe communicatie technieken en diensten ontdekken en benutten. Aan de andere kant hebben de meeste jongeren nog geen goed besef van de consequenties die de publicatie en het afstaan van persoonsgegevens kunnen hebben. Dat geldt voor henzelf en voor gegevens over andere jongeren die zij publiceren. Ook voor
jongeren geldt de verplichting om zorgvuldig met persoonsgegevens om te gaan. De ver antwoordelijken dienen daarom extra veel aandacht te besteden aan informatie over de verwerkingen van persoonsgegevens en gebruikers goed voor te lichten.
5.1
Omvang informatieplicht Hoe verantwoordelijken precies aan de informatieplicht uit de Wbp kunnen voldoen, is afhankelijk van een aantal factoren. De memorie van toelichting bij de Wbp geeft aan dat verantwoordelijken zoveel informatie moeten verstrekken als nodig is om in elk concreet geval een behoorlijke en zorg vuldige gegevensverwerking te waarborgen, of zij de gegevens nu zelf van de betrokkene krijgen, of indirect.50) Dat betekent dat de omvang van de informatieplicht afhangt van de aard van de verant woordelijke, de risico’s die met de publicatie zijn gemoeid en de manier waarop de persoonsgegevens zijn verkregen. Wie met toestemming van de betrokkenen persoonsgegevens op internet publiceert en de persoonsgegevens heeft afgeschermd tegen verder gebruik door zoekmachines, kan volstaan met een beknopte vermelding van zijn identiteit en het doeleinde van de publicatie, voorafgaand aan de publicatie. Wie echter op grond van een andere rechtvaardigingsgrond, zoals een goede vervulling van zijn publiekrechtelijke taak, gegevens op internet wil publiceren, dient de betrokkenen veel uitgebrei der, individueel te informeren, zeker als niet op voorhand duidelijk is dat de gegevens ook op internet worden gepubliceerd en hen te wijzen op hun recht op verzet. Alleen als de verantwoordelijke aan nemelijk kan maken dat het individueel informeren een onevenredige inspanning vergt – waaronder wordt verstaan dat het informeren substantiële kosten meebrengt, een buitengewone inspanning kost bij het achterhalen van betrokkenen of stuit op technische onmogelijkheden – en er geen andere wegen openstaan om de betrokkenen via algemenere kanalen te informeren, vervalt de actieve informatie plicht. De verantwoordelijke moet in dat geval wel zorgvuldig vastleggen van wie en op welke wijze hij de gegevens heeft verkregen, bijvoorbeeld van welke andere internetpublicaties hij de gegevens heeft overgenomen.
5.2
Informatieplicht jegens inwoners buiten de EU De informatieplicht geldt jegens alle betrokkenen over wie persoonsgegevens worden verwerkt, ook als het gaat om inwoners uit een land buiten de Europese Unie. Als een verantwoordelijke bijvoorbeeld een contactlijst wil publiceren van mensen uit de hele wereld met een hele specifieke interesse, dan moeten alle betrokkenen voorafgaand aan de publicatie individueel op de hoogte worden gesteld. Als een inwoner uit de Verenigde Staten merkt dat zijn naam op de desbetreffende website staat zonder dat hij daarover tevoren is geïnformeerd, kan hij in Nederland de rechtsmiddelen aanwenden die de Wbp hem toekent.51) 49) Z ie voor een algemene toelichting op de informatieplicht het informatieblad ‘Informatieplicht’ voor verantwoordelijken, beschikbaar via de website van het CBP, URL: http://www.cbpweb.nl, onder ‘nieuws en publicaties’, ‘publicaties’, ‘informatiebladen’. 50) MvT, blz. 149-150. 51) M vT, blz 193: ‘Dat betekent dat ook betrokkenen die zich bijvoorbeeld bevinden in de Verenigde Staten, wanneer hun persoonsgegevens worden vergaard, daarover behoren te worden geïnformeerd in de zin van de artikelen 33 en 34 van het wetsvoorstel. Zou zo iemand op enigerlei wijze bemerken dat met overtreding van dit voorschrift persoonsgegevens over hem zijn verwerkt, bijvoorbeeld doordat hij specifiek op hem gerichte reclame ontvangt, dan kan hij in Nederland de rechtsmiddelen aanwenden die deze wet hem toekent.’
26
CBP Richtsnoeren
319
schrijven over bekende personen Een minister vertelt op televisie over zijn privéleven. Tal van persoonlijke, niet-journa listieke weblogs besteden aandacht aan zijn uitspraken en allerlei mensen geven daar weer commentaar op. In dit geval, omdat de bewindsman zijn uitlatingen in het openbaar heeft gedaan, mag aangenomen worden dat
5.3
hij op de hoogte is van het feit dat hierover in het openbaar verder wordt gediscussieerd, ook op internet. De houders van de weblogs hoeven de minister daarom niet apart te informeren dat ze persoonsgegevens over hem verwerken. Een (niet-journalistieke) verantwoordelijke die de aanleiding echter te baat
neemt om allerlei andere privé-informatie over de minister op internet te publiceren, inclusief bijvoorbeeld foto’s van zijn familie, dient de minister wel degelijk te informeren. Of een dergelijke publicatie überhaupt te rechtvaardigen valt, is zeer de vraag, gezien de mogelijke gevolgen voor de familieleden.
Privacyverklaring Wie op basis van toestemming persoonsgegevens op internet publiceert, hoeft de betrokkenen (na het verkrijgen van de toestemming) niet afzonderlijk meer te informeren over zijn identiteit en doeleinden van de verwerking. Een goede invulling van de beknopte informatieplicht is dan het publiceren van een privacyverklaring. De verklaring moet in duidelijke en begrijpelijke taal zijn opgesteld, goed vind baar zijn en bij voorkeur op te roepen vanuit elk onderdeel van de publicatie. In navolging van de aanbeveling van de Artikel 29-werkgroep over het online verzamelen van ge gevens52), moet een privacyverklaring bij een publicatie op internet minimaal de volgende elementen bevatten: 1 de identiteit, het fysieke en het elektronische adres van de voor de verwerking verantwoordelijke; 2 het doel (de doeleinden) van de verwerking waarvoor de verantwoordelijke gegevens verwerkt via een publicatie op internet; 3 vermelding of het verstrekken van bepaalde informatie verplicht of facultatief is; 4 de ontvangers of de categorieën ontvangers van de verzamelde informatie; 5 vermelding van het recht dat betrokkenen hebben om, afhankelijk van de situatie, toestemming te geven voor of zich te verzetten tegen de verwerking van persoonsgegevens en van de voorwaarden die daarvoor gelden; vermelding van het recht op toegang tot en rectificatie en verwijdering van gegevens. Daarbij moet duidelijk worden gemaakt tot welke persoon of dienst betrokkenen zich moeten wenden om deze rechten uit te oefenen; 6 de naam en het adres (fysiek en elektronisch) van de dienst of persoon die verantwoordelijk is voor het beantwoorden van vragen betreffende de bescherming van persoonsgegevens; 7 informatie over het gebruik van eventuele automatische procedures voor informatievergaring (bijvoorbeeld ten aanzien van het vastleggen van IP-adressen van bezoekers van een website of de inzet van cookies); 8 informatie over het beveiligingsniveau van een publicatie gedurende alle verwerkingsstadia (belangrijk bij publicaties voor een beperkte doelgroep), inclusief verduidelijking of en zo ja, in wel ke mate, gegevens indexeerbaar zijn voor zoekmachines; 9 vermelding van de bewaartermijn van persoonsgegevens, inclusief eventuele spelregels ten aanzien van uitsluiting/blacklisting; 10 indien van toepassing: het meldingsnummer waarmee de verwerking is aangemeld bij het CBP. In de bijlage bij deze richtsnoeren is een model privacyverklaring opgenomen dat aan deze voor waarden voldoet. Het gaat daarbij om een model dat gebruikt kan worden voor een discussieforum, waarbij deelnemers hun bijdragen al dan niet onder pseudoniem publiceren en de rechtvaardigings grond voor een gerechtvaardigde gegevensverwerking toestemming is.
5.4
Identiteitsvermelding De Wbp eist in het tweede lid van de artikelen 33 en 34 Wbp dat verantwoordelijken hun identiteit bekend moeten maken. Dat stelt betrokkenen in staat om hun rechten effectief uit te oefenen en recht streeks met verantwoordelijken in contact te treden. De aanbeveling van de Artikel 29-werkgroep uit 2001 over het online verzamelen van gegevens benadrukt dat bij de identiteit zowel het elektronische als het fysieke adres moet worden vermeld. Ook de e-commerce richtlijn (2000/31/EG) kent een 52) A rtikel 29-werkgroep, WP 43, Aanbeveling inzake bepaalde minimumeisen voor het on line verzamelen van persoonsgegevens in de Europese Unie, goedgekeurd op 17 mei 2001.
320
Publicatie van persoonsgegevens op internet
27
2 verplichtingen van de verantwoordelijke
dergelijk absoluut identiteitsvereiste, omgezet in artikel 3:15d van het Burgerlijk Wetboek.53) Een dergelijk absoluut identiteitsvereiste brengt echter risico’s mee voor de privacy van individuele web loggers of critici. Een natuurlijk persoon kan goede redenen hebben om zijn fysieke contactadres niet op internet te willen publiceren, uit angst voor bedreigingen of andersoortige ongevraagde benaderin gen. De aanbeveling van de Artikel 29-werkgroep is vooral gericht op verantwoordelijken die op profes sionele wijze gegevens verzamelen en verwerken, bijvoorbeeld ten behoeve van direct marketing of andere commerciële dienstverlening. Dat individuen massaal over zouden gaan tot het publiceren van persoonsgegevens op internet, had de werkgroep waarschijnlijk toentertijd niet voorzien. Ook de e-commerce richtlijn is niet gericht op natuurlijke personen, maar op commerciële dienstverleners, die ‘gewoonlijk tegen vergoeding’ hun diensten verrichten.54) In het geval van publicaties door natuurlijke personen is een nadere afweging noodzakelijk om recht te doen aan de goede redenen die een verantwoordelijke kan hebben om zijn fysieke contactadres niet te willen publiceren op internet. Het CBP acht het daarom een redelijke wetstoepassing als een natuur lijke persoon die zonder commercieel oogmerk op internet publiceert, volstaat met het bekendmaken van een elektronisch contactadres. Daarbij gelden twee voorwaarden: – de verantwoordelijke is goed bereikbaar voor betrokkenen door middel van een elektronisch e-mailadres; – dit e-mailadres wordt uitgegeven door een in Nederland gevestigde aanbieder. Een dergelijke verantwoordelijke (die als privépersoon, zonder commercieel oogmerk publiceert) kan niet volstaan met het vermelden van een (veelal gratis) e-mailadres van een internationaal opererende serviceprovider als Microsoft, Google of Yahoo. Een dergelijk adres kan het voor een betrokkene on nodig ingewikkeld maken om zijn recht te halen als een verantwoordelijke niet adequaat reageert. Het e-mailadres moet uitgegeven zijn door een in Nederland gevestigde aanbieder, binnen het Neder landse .nl domein. Verantwoordelijken die over een eigen mailserver beschikken kunnen eveneens aan deze verplichting voldoen, mits zij de e-mail verwerken onder een .nl domein. Het vereiste van een Nederlands elektronisch contactadres maakt het voor betrokkenen mogelijk om nadere stappen te ondernemen om de identiteit te achterhalen van de verantwoordelijke. Het Lycosarrest van het Hof Amsterdam55) kan de betrokkene een aanknopingspunt bieden om de provider aan te spreken als de verantwoordelijke voor een publicatie op internet zijn identiteit niet kenbaar maakt en daarmee onmiskenbaar in strijd handelt met artikel 33 en 34, tweede lid Wbp.56) Voor privépersonen die geen Nederlands e-mailadres willen gebruiken, geldt de volledige informatie plicht om zowel een fysiek als een elektronisch contactadres bekend te maken.
53) 3 :15d eerste lid BW: ‘Degene die een dienst van de informatiemaatschappij verleent, maakt de volgende gegevens gemakkelijk, rechtstreeks en permanent toegankelijk voor degenen die gebruik maken van deze dienst, in het bijzonder om informatie te verkrijgen of toegankelijk te maken: a. zijn identiteit en adres van vestiging; b. gegevens die een snel contact en een rechtstreekse en effectieve communicatie met hem mogelijk maken, met inbegrip van zijn elektronische postadres;’ (onderdelen c tot en met f niet geciteerd) 54) 3 :15d derde lid BW. 55) Arrest van 24 juni 2004 van het Hof Amsterdam, rolnummer 1689/03 KG. Het Hof oordeelde dat hostingprovider Lycos de persoonsgegevens van een abonnee aan X. moest verstrekken. De abonnee had X. voor oplichter uitgemaakt op zijn website. Het Hof oordeelde dat het voldoende aannemelijk was dat de uiting onrechtmatig zou kunnen zijn en dat Lycos daarom onrechtmatig handelde door de persoonsgegevens van de abonnee niet te verstrekken. Eind 2005 verwierp de Hoge Raad het door Lycos ingestelde cassatieberoep, waardoor het arrest van het Hof definitief werd. De Hoge Raad merkte wel op dat het met die verwerping geen algemene regel wilde formuleren over een verplichting tot het verstrekken van persoonsgegevens aan derden, Hoge Raad der Nederlanden, 25 november 2005, LJN: AU4019, C04/234HR 56) O verigens bleek in deze zaak dat de abonnee valse contactgegevens had opgegeven. Het Hof benadrukte dat er geen registratieplicht bestaat voor aanbieders van elektronische communicatiediensten. De verplichting tot het bekendmaken van een .nl adres biedt dan ook geen sluitende methode om de identiteit vast te stellen van een verantwoordelijke, maar maakt het wel makkelijker om -via de providerde identiteit van een verantwoordelijke te achterhalen.
28
CBP Richtsnoeren
321
6
Meldingsplicht Verantwoordelijken zijn in beginsel verplicht om alle gegevensverwerkingen te melden bij het CBP, tenzij ze onder het Vrijstellingsbesluit vallen of een eigen functionaris voor de gegevensbescherming (FG) aanstellen.57) Echter, de meldingsplicht uit de Wbp (en de onderliggende Europese privacyrichtli jn) dateert van voor de massale opkomst van bijvoorbeeld weblogs en andere populaire internetpubli catievormen, zoals websites van verenigingen en bedrijven. Het valt te betwijfelen of de wetgever de meldingsplicht heeft bedoeld voor de praktijk van gegevensverwerking op internet in de huidige vorm en omvang. Op dit moment gelden nog geen specifieke vrijstellingen voor internetpublicaties, maar deze zijn wel in de maak (zie hieronder paragraaf 6.3). Gegeven deze omstandigheden legt het CBP thans behoudens bijzondere omstandigheden alleen prioriteit bij het controleren van melding van pu blicaties die bijzondere persoonsgegevens bevatten (zie hoofdstuk I, paragraaf 8) en van publicaties die vanuit beveiligingsoogpunt grote risico’s voor betrokkenen meebrengen, zoals het risico op identiteits fraude.
6.1
Wat betekent een melding? Een melding bij het CBP betreft een beschrijving van een of meerdere gegevensverwerkingen. Artikel 27 eerste lid Wbp verplicht tot aanmelding van een voorgenomen verwerking, dat wil zeggen dat de melding dient te geschieden alvorens tot de verwerking wordt overgegaan. Omdat ‘verwerking’ ook betrekking heeft op het verzamelen, houdt dit in dat de verantwoordelijke de verwerking moet melden voordat hij de beschikking krijgt over persoonsgegevens.58) De meldingen worden opgenomen in een openbaar register, dat kosteloos toegankelijk is via de web site van het CBP, conform artikel 30 Wbp. Het feit dat een melding is opgenomen in het openbare regis ter, betekent niet dat het CBP de verwerking heeft goedgekeurd of rechtmatig acht. De melding biedt dan ook geen garantie dat de verantwoordelijke in overeenstemming met de Wbp persoonsgegevens verwerkt.
6.2
Vrijstellingsbesluit Via het Vrijstellingsbesluit59) worden allerlei bekende, veel voorkomende vormen van gegevens verwerking waarvan het bestaan in het algemeen bekend mag worden verondersteld en die geen bij zondere risico’s meebrengen, vrijgesteld van de meldingsplicht. De vrijstellingen zijn in het algemeen echter niet relevant voor de publicatie van persoonsgegevens op internet, zodat daarop hier verder niet wordt ingegaan.
6.3
Toekomst: uitbreiding vrijstellingen internetpublicaties Het ministerie van Justitie heeft in 2007 gewerkt aan een verruiming van het Vrijstellingsbesluit. Naar verwachting hoeven stichtingen en verenigingen die persoonsgegevens publiceren op hun eigen web site evenals particulieren die persoonlijke publicaties verzorgen, in de toekomst hun verwerkingen onder bepaalde voorwaarden niet te melden. Onder ‘persoonlijke publicaties’ worden verstaan: publi caties die persoonlijk van aard zijn, niet-commercieel en voor privédoeleinden opgezet. Als aanvul lende voorwaarde voor de nieuwe meldingsvrijstellingen geldt dat persoonsgegevens onmiddellijk verwijderd moeten worden als een betrokkene bezwaar maakt tegen de vermelding van zijn of haar persoonsgegevens. Bovendien is van belang dat de pagina’s met persoonsgegevens afgeschermd zijn tegen verwerking door zoekmachines, om onverenigbaar gebruik te voorkomen. Ook onderwijsinstellingen en bedrijven die persoonsgegevens publiceren op een besloten intranet vallen onder de voorgestelde nieuwe vrijstellingen. De vrijstelling omvat eveneens publicatie op een besloten intranet van de zogenaamde ‘smoelenboeken’, foto’s van werknemers of studenten/docenten, mits de plaatsing geschiedt met instemming van de Ondernemingsraad. Het CBP is in juni 2007 gecon sulteerd over de aanpassingen van het besluit. De verwachting is dat de wijzigingen in 2008 in werking zullen treden.60>)
57) Z ie voor een algemene toelichting op de meldingsplicht het informatieblad ‘Melden en vrijstellingen’ voor verantwoordelijken, beschikbaar via de website van het CBP, URL: http://www.cbpweb.nl, onder ‘nieuws en publicaties’, ‘publicaties’, ‘informatiebladen’. 58) MvT, blz. 137. 59) B esluit van 7 mei 2001, houdende aanwijzing van verwerkingen van persoonsgegevens die zijn vrijgesteld van melding bedoeld in art. 27 van de Wet bescherming persoonsgegevens (Vrijstellingsbesluit Wbp), Staatsblad 2001,250, URL: http://www.cbpweb.nl/indexen/ ind_wetten_wbp_vrijstellingsbesluit.stm
322
Publicatie van persoonsgegevens op internet
29
2 verplichtingen van de verantwoordelijke
De vrijstelling waaraan thans wordt gewerkt, betekent alleen vrijstelling van melding bij het CBP, niet van de verplichting om te voldoen aan de vereisten ten aanzien van een zorgvuldige omgang met per soonsgegevens. De informatieplicht (en daarmee de plicht tot het bekendmaken van de identiteit van de verantwoordelijke en de doelstelling van de verwerking) blijft onverkort van toepassing, evenals de overige bepalingen uit de Wbp . 7
Kwaliteit De Wbp stelt eisen aan de bewaartermijn en kwaliteit van persoonsgegevens. Gegevens mogen niet langer verwijzen naar identificeerbare personen dan strikt noodzakelijk en de gegevens moeten juist zijn en ter zake dienend.
7.1
Beperkt bewaren Verantwoordelijken moeten voorafgaand aan de publicatie van persoonsgegevens op internet vast stellen hoe lang zij de gegevens online laten staan of anderszins blijven bewaren. Persoonsgegevens mogen volgens artikel 10 Wbp niet langer bewaard worden in een vorm die het mogelijk maakt be trokkenen te identificeren dan noodzakelijk voor de gestelde (gerechtvaardigde) doeleinden.61) Volgens het tweede lid van artikel 11 Wbp moet de verantwoordelijke zich bovendien inspannen om ervoor te zorgen dat persoonsgegevens juist en nauwkeurig zijn. Hoe ouder de gegevens zijn, hoe groter de kans dat ze onjuist zijn en daardoor onnodige schade kunnen berokkenen aan betrokkenen. Verantwoorde lijken dienen daarom bij elke publicatie van persoonsgegevens af te wegen welke risico’s de gekozen beschikbaarheidstermijn met zich meebrengt. Het verdient aanbeveling, ook volgens de Europese Commissie, om te voorzien in een methode om persoonsgegevens na het verstrijken van de vastgestel de termijn automatisch te anonimiseren.62)
7.2
Toereikend, ter zake dienend en niet bovenmatig De verantwoordelijke mag volgens artikel 11 Wbp alleen gegevens verwerken die toereikend zijn, ter zake dienend zijn en niet bovenmatig aan het gestelde doeleinde. In de memorie van toelichting bij de Wbp wordt het voorbeeld genoemd van een winkelier die een registratie opzet van personen die hij heeft betrapt op winkeldiefstal. De winkelier zal in de regel niet behoeven te registreren welke goederen door de betrokkene uit zijn winkel zijn ontvreemd, wel bijvoorbeeld de waarde daarvan. Verder mag hij in die regis tratie geen gegevens opslaan omtrent het (legale) koopgedrag van de betrokken persoon, omdat dat bovenmatig is aan het gestelde doeleinde.63) Het voorbeeld heeft alleen betrekking op de eigen registra tie door de winkelier. Voor publicatie op internet van lijsten van (vermeende) winkeldieven zal niet snel een rechtvaardigingsgrond in de Wbp gevonden kunnen worden, vanwege de risico’s van verdere verwerking door derden.64) Het feit dat gegevens ‘toereikend’ moeten zijn, behelst een zorgplicht voor de verantwoordelijke om een zo correct mogelijk beeld te schetsen van een betrokkene over wie hij persoonsgegevens publiceert. Het weglaten van cruciale informatie kan net zo schadelijk zijn voor de persoonlijke levenssfeer als het vermelden van bovenmatige privé details. Als het bijvoorbeeld gaat om een lijst van vermeende wan betalers kan het weglaten van de vermelding dat en op welke gronden een betrokkene een vordering betwist, die persoon schade berokkenen.
60) N ederland is niet het enige land in Europa dat tot een dergelijke verruiming heeft besloten; Frankrijk heeft in 2005 vergelijkbare vrij stellingen voor internetpublicaties gepubliceerd. Zie: CNIL, Délibération n° 2005-284 du 22 novembre 2005 décidant la dispense de déclaration des sites web diffusant ou collectant des données à caractère personnel mis en œuvre par des particuliers dans le cadre d’une activité exclusivement personnelle (Dispense n°6), laatst gewijzigd op 11 mei 2006, URL: http://www.cnil.fr/index.php?id=1928 en Délibération n°2006-130 du 9 mai 2006 décidant de la dispense de déclaration des traitements relatifs à la gestion des membres et donateurs des associations à but non lucratif régies par la loi du 1.5.r juillet 1901 (dispense n°8), laatst gewijzigd op 18 mei 2006, URL: http://www.cnil.fr/index.php?id=2015 61) Z ie voor een algemene toelichting op bewaartermijnen het informatieblad ‘Bewaartermijnen van persoonsgegevens in uw bestanden’ voor verantwoordelijken, en het informatieblad ‘Bewaartermijnen van uw persoonsgegevens’ voor betrokkenen, beschikbaar via de website van het CBP, URL: http://www.cbpweb.nl, onder ‘nieuws en publicaties’, ‘publicaties’, ‘informatiebladen’. 62) C ommunication from the Commission to the European Parliament and the Council on promoting data protection by Privacy Enhancing Technologies (PETs), Brussels, 2 mei 2007, COM(2007) 228. “Automatic anonymisation of data, after a certain lapse of time, supports the principle that processed data should be kept in a form which permits identification of data subjects for no longer than necessary for the purposes for which the data were originally collected.” 63) M vT, blz. 96-97. 64) Zie de eerder aangehaalde uitspraken over het ophangen van de foto van een vermeende winkeldief, LJN AQ7877, Rechtbank Amsterdam, KG 04/1566 SR en CBP, 30 mei 2006, z2005-0846.
30
CBP Richtsnoeren
323
toegang voor advocaten tot rolgegevens Advocaten hebben belang bij toegang tot het rolregister van de rechtbank waar ze proce deren. Toegang tot de gegevens van een recht bank in een andere stad loopt voor advocaten via een vertegenwoordiging, een zogenaamde procureur. Het rolregister bevat informatie over alle aanhangige civiele zaken, met een korte typering, de namen van de eiser en de
gedaagde, de namen van de procureurs en de status van de behandeling. In 2002 besloot de Raad voor de Rechtspraak tot invoering van een digitale rol, ‘Mijn Zaken’, waarbij advocaten via internet toegang zouden krijgen tot alle rolgegevens uit het hele land, in de aanloop naar afschaffing – naar thans wordt verwacht in maart 2008 – van het verplichte procuraat.
Het CBP oordeelde dat deze toegang bovenmatig zou zijn (niet in overeenstemming met artikel 11 Wbp) en dat advocaten alleen toegang zouden mogen hebben tot hun eigen zaken.65) De Raad voor de Rechtspraak paste het beleid daarop aan. De toegang tot www. roljournaal.nl is afgebakend. 66)
7.3
Juist en nauwkeurig Bij het bewaken van de kwaliteit van persoonsgegevens dienen verantwoordelijken ook maatregelen te treffen om er zeker van te zijn dat de gegevens juist en nauwkeurig zijn, in overeenstemming met de werkelijkheid, zonder dat er iets is verdwenen of (ten onrechte) veranderd.67) Een verantwoordelijke die persoonsgegevens verzamelt en vervolgens publiceert, moet er zeker van zijn dat de gegevens wer kelijk door de betrokkene zelf zijn ingevoerd of gewijzigd en niet door een (kwaadwillende) derde. Betrokkenen mogen niet in een positie worden gebracht dat zij moeten ontkennen een bepaalde actie te hebben verricht. Als de aard van de publicatie en de risico´s die ermee gemoeid zijn daartoe nood zaken, dienen verantwoordelijken daarom de identiteit van een aanvrager of gebruiker vast te stellen. Daar bestaan meerdere middelen voor, zoals biometrische toepassingen, PKI Overheid (de public key infrastructure waarbij de overheid certificaten uitgeeft om de identiteit van een gebruiker te waarbor gen), DigiD68) of Open ID (een initiatief om juist van onderop identiteit te waarborgen, door vertrou wen van gebruikers in elkaar). Een ander systeem, dat bijvoorbeeld in Finland en Estland veel gebruikt wordt, is authenticatie via de infrastructuur van internetbankieren.69) Welk systeem in Nederland het best ingezet kan worden om te voldoen aan de beveiligingsvereisten van de Wbp, is mede afhankelijk van de betrouwbaarheid, de beschikbaarheid, de kosten voor de verantwoordelijke en de gebruikers acceptatie.
7.4
Identiteitsvaststelling alleen elektronisch? Als de aard van de dienstverlening en de risico’s die ermee gemoeid zijn, noodzaken tot het vaststellen van de identiteit, dient de verantwoordelijke zich als eerste af te vragen of het volstaat om alleen elek tronische middelen in te zetten, of dat het noodzakelijk is uit het oogpunt van zorgvuldigheid bevesti ging te vragen via een separaat communicatiekanaal. Dat kan via een bevestiging van een betaling die plaatsvindt op initiatief van de aanvrager, of via het aanbrengen van een offline identificatiestap, zoals per brief of telefoon.
7.5
Gebruik identiteitsbewijs Voor het vaststellen van de identiteit van een betrokkene mag een verantwoordelijke niet zonder meer om een kopie van een identiteitsbewijs vragen. Op paspoort en identiteitskaart staan twee bijzondere 65) H et CBP deed hierover uitspraak in 2003, in z2002-01015. Na een heroverwegingsverzoek van de Raad voor de Rechtspraak herhaalde het CBP zijn uitspraak op 20 juni 2003, in z2003-0707. 66) Zie URL: http://www.rechtspraak.nl/Registers/Register+aangemelde+gegevensverwerkingen/#Roljournaal: ‘De gegevens kunnen, door advocaten die daartoe een wachtwoord hebben gekregen, alleen benaderd worden met een specifieke, door het College bescherming persoonsgegevens goedgekeurde, zoekvraag.’ 67) A rtikel 11 tweede lid Wbp: De verantwoordelijke treft de nodige maatregelen opdat persoonsgegevens, gelet op de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, juist en nauwkeurig zijn. 68) D igiD is één van de systemen die momenteel ontwikkeld worden om de identiteit van een gebruiker op internet vast te stellen. DigiD kent drie zekerheidsniveau’s: laag, midden en hoog. Bij het basisniveau volstaat de combinatie van loginnaam en wachtwoord, zoals gebruikt door de Belastingdienst. Inmiddels is gebleken dat deze combinatie niet voldoende uniek is, en ook door derden kan worden gebruikt (Zie de beantwoording van Kamervragen over het gebruik van andermans DigiD bij het invullen van de belastingaangifte, Kamerstukken II, 2006-2007, DGB 2007-01961). Op het middenniveau is een extra code noodzakelijk, die per sms wordt toegestuurd. Deze procedure is bij het schrijven van deze richtsnoeren nog niet beschikbaar voor bedrijven. Voor het hoogste zekerheidsniveau wordt gewerkt aan een elektronische Nederlandse identiteitskaart (eNIK). Het ministerie van Binnenlandse Zaken wil een kaart ontwikkelen met een chip die door elke Nederlandse ingezetene aangevraagd kan worden bij gemeenten, net zoals een paspoort. De eNIK maakt het mogelijk voor betrokkenen om hun identiteit digitaal kenbaar te maken en aan te tonen. 69) S inds 2004 maken grote Finse overheidsinstellingen zoals het ministerie van Sociale Zaken, het instituut voor sociale verzekeringen en de belastingdienst gebruik van het identificatiesysteem van internetbankieren. Zie: http://e.finland.fi/netcomm/news/showarticle. asp?intNWSAID=23144
324
Publicatie van persoonsgegevens op internet
31
2 verplichtingen van de verantwoordelijke
persoonsgegevens, waarvan de verwerking in principe verboden is, tenzij een van de wettelijke uitzon deringen van toepassing is, namelijk de pasfoto en het sofinummer (in de toekomst: burgerservicenummer) . teveel identificerende gegevens Om in aanmerking te komen voor de status van ‘Gecontroleerde verkoper’ bij een bemiddelingswebsite moest een aanvrager bovenmatig veel documenten overleggen. Volgens het CBP kon de verantwoordelijke volstaan met het opvragen van een kopie van een re-
8
cent bank- of giroafschrift en een kopie van een identiteitsbewijs. Daarbij moest de website de aspirant-verkopers nadrukkelijk wijzen op de mogelijkheid om op die kopieën alle overbodige gegevens onleesbaar te maken. Na verificatie van de identiteit zouden de kopieën
moeten worden vernietigd of aan de potentiële Gecontroleerde verkoper worden teruggegeven 70)
Beveiliging Verantwoordelijken voor publicaties op internet dienen adequate beveiligingsmaatregelen te treffen, zeker als het de publicatie van bijzondere persoonsgegevens betreft. Bij publicaties op internet moet met name rekening worden gehouden met het risico van verdere verwerking voor een ander doeleinde dan het doeleinde waarvoor de gegevens oorspronkelijk zijn verzameld en gepubliceerd.
8.1
Passende beveiligingsmaatregelen Artikel 13 Wbp verplicht verantwoordelijken tot het treffen van passende technische en organisatori sche maatregelen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrecht matige verwerking. De maatregelen dienen er mede op gericht te zijn onnodige verzameling en ver dere verwerking van persoonsgegevens te voorkomen. Wat een passend beveiligingsniveau is, is afhankelijk van de stand van de techniek, het soort persoons gegevens, de soort verwerking, de kosten van de tenuitvoerlegging voor de verantwoordelijke en de te verwachten risico’s voor betrokkenen. De wetgever heeft nadrukkelijk een open norm gehanteerd, zonder nadere details over de soorten beveiliging. Dergelijke details zouden sterk tijdgebonden zijn en daarmee afbreuk doen aan het nagestreefde niveau van beveiliging.71) Om te voldoen aan de beveiligingsnorm van artikel 13 Wbp dienen verantwoordelijken zich, gegeven de huidige stand van de techniek en de normontwikkeling in eerdere uitspraken van het CBP, bij pu blicaties op internet te houden aan de volgende vijf verplichtingen: 1 Voorkom de onnodige publicatie van persoonsgegevens. 2 Scherm specifieke pagina’s met persoonsgegevens af voor zoekmachines. 3 Gebruik wachtwoorden of een andere passende methode om de doelgroep af te bakenen. 4 Beveilig het gegevenstransport door middel van het SSL-protocol.72) 5 Beveilig machine(s) en achterliggende databases tegen onbevoegde toegang door derden.
8.2
Tegengaan onnodige publicatie persoonsgegevens Verantwoordelijken hebben uit beveiligingsoogpunt de plicht om maatregelen te treffen om ‘onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen’ (Artikel 13 Wbp, derde volzin). Soms heeft een verantwoordelijke wel een goede rechtvaardigingsgrond voor het verzamelen en binnen de organisatie verwerken van bepaalde persoonsgegevens, maar leent dat doeleinde zich niet voor integrale publicatie van de persoonsgegevens op internet. Per persoonsgegeven moet daarom een afweging worden gemaakt van de noodzaak van publicatie op internet, in het licht van de te ver wachten risico’s voor de betrokkene. De plicht tot dataminimalisatie geldt in het bijzonder voor over heden en verantwoordelijken voor openbare registers, omdat betrokkenen in die gevallen minder mogelijkheden hebben om zich te verzetten tegen een specifieke publicatie.73) 70) C ollege bescherming persoonsgegevens, Z2006-00957, 2 maart 2007, URL: http://www.cbpweb.nl/documenten/med_20070302_marktplaats.shtml 71) M vT, blz 98-99. 72) Secure Sockets Layer (SSL) is een standaard protocol dat gebruik maakt van ‘public key encryption’ technologie, om een veilige service te zorgen tussen internet-servers, waarbij zowel de privacy van het bericht, de integriteit van het bericht als de verificatie cq. legitimatie van verzender/ontvanger worden gewaarborgd.
32
CBP Richtsnoeren
325
geen handtekening publiceren op internet Op 1 mei 2007 trad een nieuwe wet in wer king over het Handelsregister, met bepalingen over de elektronische ontsluiting van het register.74) In de wet wordt een onderscheid gemaakt tussen de verplichte opname van sommige persoonsgegevens in het register en de publicatie ervan op internet. Het burger servicenummer van natuurlijke personen die een onderneming hebben bijvoorbeeld wordt verplicht in het register opgenomen, maar mag niet aan derden worden verstrekt en dus
8.3
niet op het internet worden gepubliceerd. Tijdens de behandeling van het wetsvoorstel in de Tweede Kamer werd uitdrukkelijk gewezen op het risico van de publicatie op internet van de handtekening van in het handelsregister opgenomen natuurlijke personen. Uit de toelichting bij het amendement van Kamerlid Van Dijk: De Kamers van Koophandel constateren in toenemende mate dat handtekeningen worden gekopieerd met frauduleus oogmerk. Daar bij wordt onder meer gebruik gemaakt van de
handtekening in het handelsregister zoals deze via internet kan worden ingezien. Om dergelijke fraude zo veel mogelijk te voorkomen is het ge wenst dat handtekeningen van natuurlijke per sonen niet langer via internet worden getoond. Dat werpt een naar verwachting van de Kamers effectieve drempel op tegen het kopiëren van handtekeningen.75) De staatssecretaris van Economische Zaken nam het amendement meteen over.
Afscherming persoonsgegevens van zoekmachines Een publicatie die voldoet aan de Wbp kan er toch toe bijdragen dat een betrokkene in zijn persoonlijke levenssfeer wordt geschaad, doordat via zoekmachines derden allerlei intieme details over deze be trokkene kunnen koppelen. Afscherming van persoonsgegevens voor zoekmachines is een heel een voudige, algemeen toepasbare en kosteloze stap om de kans op onrechtmatige verwerking door der den te verkleinen. Alle grote zoekmachines bieden handleidingen aan verantwoordelijken voor publicaties met behulp waarvan zij kunnen voorkomen dat een website of onderdelen uit een publica tie geïndexeerd of gearchiveerd worden.76) Zonder een dergelijke maatregel ontstaan er grote risico’s voor betrokkenen, waardoor de publicatie onrechtmatig kan zijn. Verantwoordelijken die de risico’s willen vermijden van onrechtmatigheid, blokkeren daarom alle pagina’s met persoonsgegevens voor zoekmachines. Dat kan door middel van een algemene aanpak, door automatisch een anti-indexeringscode op te nemen in de onderliggende html, of via een individuele oplossing, een constructie waarbij de betrokkene expliciet toestemming geeft voor toegang voor zoekmachines. Die tweede optie is bijvoorbeeld handig voor verantwoorde lijken voor profiel-, foto/video- of weblogcommunities, zodat elke betrokkene individueel kan beslis sen over de beschikbaarheid van zijn gegevens voor derden.
beschuldigingen uit google cache verwijderen In februari 2007 oordeelde de voorzieningenrechter van de Rechtbank Dordrecht77) dat een gedaagde zich tot het uiterste moest inspannen om een onterechte beschuldiging verwijderd te krijgen uit de Google cache. De gedaagde meende dat zij was opgelicht en publiceerde dit op haar website. Nadat de
betaling was bijgeschreven, verwijderde ze de beschuldigingen, maar via de cache van Google doken de beschuldigingen toch nog op. Hoewel de gedaagde zich had ingespannen om de gegevens te verwijderen, was ten tijde van de zitting nog steeds één kopie vindbaar via de zoekmachine. De rechter
beval de gedaagde om binnen twee dagen na betekening van het vonnis de uitlating in de cache van de internetzoekmachine Google te doen verwijderen, op straffe van een dwangsom van 250 euro voor iedere werkdag dat de gedaagde in gebreke zou blijven aan dit vonnis te voldoen.
73) S peciaal voor overheden geldt dat bij de behandeling van de Wbp in de Tweede Kamer kamerbreed de motie Nicolaï is aangenomen waarin de regering nadrukkelijk wordt opgeroepen in haar eigen systemen voor de verwerking van persoonsgegevens privacy enhancing technologies (PET) toe te passen (Kamerstukken II, vergaderjaar 1999-2000, 25 892, nr. 31). In het voorjaar van 2007 heeft de Europese Commissie een een mededeling gepubliceerd waarin zij benadrukt dat het essentieel is dat nationale overheden privacybevorderende technologie inzetten, inclusief dataminimalisatie, ter vergroting van het vertrouwen van burgers, zowel in de opzet van de systemen als in de implementatie (Communication from the Commission to the European Parliament and the Council on promoting data protection by Privacy Enhancing Technologies (PETs), Brussels, 2 mei 2007, COM(2007) 228). 74) Wet van 22 maart 2007, Regels omtrent een basisregister van ondernemingen en rechtspersonen (Handelsregisterwet 2007), Staatsblad 153, 1 mei 2007. 75) K amerstukken II, 2006–2007, 30656, nr. 20, blz 7, 12 februari 2007. 76) Wie zijn hele site wil afschermen voor alle zoekmachines, moet een documentje op de rootserver plaatsen met de naam ‘robots.txt’ met de volgende inhoud: User-agent: *Disallow: / Hetzelfde principe kan worden toegepast op elke individuele webpagina, door aan de header van de pagina de code toe te voegen: <META NAME=”ROBOTS” CONTENT=”NOINDEX, NOFOLLOW”> 77) LJN: AZ8818,Voorzieningenrechter Rechtbank Dordrecht , 68382 / KG ZA 07-25
326
Publicatie van persoonsgegevens op internet
33
2 verplichtingen van de verantwoordelijke
8.4
Gebruik van wachtwoorden of andere doelgroepafbakening Verantwoordelijken die persoonsgegevens met een specifiek doel op internet publiceren, moeten zor gen voor een adequate bescherming tegen onrechtmatige kennisneming of verdere verwerkingen ervan door derden. Dat is inherent aan het doelbindingsprincipe. Als het gaat om een publicatie die voor een beperkte doelgroep is bedoeld, zoals leden van een sportvereniging, dient de toegang ook daadwerkelijk tot die doelgroep beperkt te zijn. Naast algemene afscherming van de persoonsgegevens voor zoekmachines dient de verantwoordelijke de specifieke toegang alleen mogelijk te maken voor de doelgroep die in het doeleinde is omschreven. Dat kan in veel gevallen door middel van een wacht woord, mits het gaat om publicaties zonder bijzondere persoonsgegevens of gegevens die op een an dere manier grote risico’s meebrengen voor betrokkenen. Verantwoordelijken dienen daarbij te werken met individuele wachtwoorden of toegangscodes, in plaats van met generieke wachtwoorden. Om het risico op onbevoegde toegang verder te verkleinen, moeten de wachtwoorden of toegangscodes een beperkte geldigheidsduur hebben, voldoende ‘sterk’ zijn en versleuteld worden opgeslagen bij de ver antwoordelijke. Als het echter om publicaties gaat met bijzondere persoonsgegevens, zoals medische dossiers of straf rechtelijke gegevens, is de combinatie loginnaam-wachtwoord te zwak. De verantwoordelijke moet in dat geval zoeken naar andere passende technische mogelijkheden om te waarborgen dat alleen de genen die daartoe gerechtigd zijn, toegang krijgen tot specifieke persoonsgegevens.
website met medische dossiers Eind 2000 onderzocht de Registratiekamer de beveiliging van een bemiddelingswebsite waarop patiënten zelf hun medisch dossier op internet kunnen plaatsen.78) De website stelt patiënten in staat hun medische gegevens online te controleren en te laten bevestigen door hun arts of apotheker. Artsen, apothe kers en andere zorgverleners kunnen zelf ook gegevens aan het dossier toevoegen, met toestemming van de patiënt. Het bedrijf dat verantwoordelijk is voor de gegevensverwerking beheert de wachtwoorden voor de inlogprocedure van de patiënten en zorgverleners. De Registratiekamer stelde voorop dat verwerking van medische gegevens van patiën ten via het internet risico’s meebrengt. De combinatie van beveiligingsmaatregelen die het bedrijf had getroffen, was naar het oordeel van de Registratiekamer, gezien de
8.4.1
toenmalige stand van de techniek en hetgeen in redelijkheid van het bedrijf kon worden gevergd, vooralsnog voldoende. Het bedrijf had ervoor gekozen om de naam-adreswoonplaatsgegevens van patiënten niet in het digitale dossier op te nemen. Daarnaast waren en zijn zowel de communicatie via internet als de toegang tot de database ver sleuteld met een 128-bits sleutel en wordt een dossier geblokkeerd na drie foutieve inlogpogingen. Het gebruik van een loginnaam en wachtwoord als toegangsbeveiliging voor het dossier op de site vormde in de ogen van de Registratiekamer echter een zwakke schakel in de beveiliging.
Voor de toekomst, afhankelijk van de ont wikkeling van de techniek en de acceptatie ervan door burgers, zag de Registratiekamer twee alternatieven: gebruik van biometrische toegangsbeveiliging of gebruik van een zogenaamde challenge-response tokencard, een systematiek zoals die voor thuisbankieren wordt gebruikt. In afwachting van die ont wikkeling, ried de Registratiekamer in ieder geval aan de loginprocedure aan te scherpen. Na toekenning van een nieuw of gewijzigd wachtwoord zou de patiënt bij de eerste inlogpoging verplicht moeten worden zelf een wachtwoord te kiezen.
De Registratiekamer schreef: Toegangs beveiliging door middel van een loginnaam en wachtwoord wordt in het algemeen als een te laag niveau van beveiliging gezien.
Dictionary attacks De reden dat de combinatie loginnaam-wachtwoord als zwak wordt gezien, ligt in de mogelijkheid dat geautoriseerde gebruikers de combinatie zelf doorgeven aan derden (soms ook onbewust, via spyware op de computer van de gebruiker), maar ook in zogenaamde dictionary attacks. Wachtwoorden zijn over het algemeen versleuteld opgeslagen, maar er bestaat gespecialiseerde software om eindeloos login pogingen op servers af te vuren. Sommige programma’s kunnen tientallen tot honderden miljoenen wachtwoorden per seconde uitproberen. Het werk van de aanvallers wordt vergemakkelijkt omdat het gemiddelde wachtwoord in de praktijk te zwak is. Met slechts 100.000 combinaties (gebaseerd op een basislijst van duizend woorden, met elk honderd veelvoorkomende achtervoegsels) wordt bijna een kwart van alle wachtwoorden al geraden, aldus de gerenommeerde beveiligingsexpert Bruce Schnei er.79) 78) R egistratiekamer, z2000-00926, 20 juni 2001, http://www.cbpweb.nl/documenten/uit_z2000-0926.stm. De site bestaat nog steeds en maakt nog steeds gebruik van een wachtwoordbeveiliging. 79) The Washington Times, ‘Chances are your password is at risk’, 20 januari 2007.
34
CBP Richtsnoeren
327
8.5
Beveiliging gegevenstransport Gegevenstransport over internet geschiedt in beginsel via openbare verbindingen. Verantwoordelijken dienen ervoor te zorgen dat het verzamelen van persoonsgegevens via websites beveiligd plaatsvindt, bijvoorbeeld met een https-verbinding. Met het gebruik van een via het SSL-protocol80) beveiligde verbinding zijn nauwelijks kosten gemoeid en de inzet ervan beveiligt het verkeer over netwerkknoop punten. Bij een onbeveiligde site bestaat het risico dat derden, voor wie de ingevulde gegevens niet be stemd zijn, de gegevens onderscheppen, bijvoorbeeld via het overnemen van sessies of door datadief stal op internetknooppunten. De inzet van een SSL-certificaat is ook van belang voor authenticatie van de website zelf, om het risico op ‘phishing’ te verkleinen. Sites die onbeveiligd zijn, kunnen makkelijker geïmiteerd worden door sites met vergelijkbare domeinnamen. Daarmee kunnen derden op frauduleuze wijze in bezit komen van persoonsgegevens.
digidoor Het CBP deed in 2005 onderzoek naar Digidoor, een initiatief van basisscholen in de gemeente Almere om gegevens over leerlingen op internet te publiceren.81) In Digidoor (een afkorting van Digitaal doorstromen) worden gegevens van basisschoolleerlingen verzameld met het doel om de aanmelding bij het vervolgonderwijs makkelijker te maken. De bestanden bevatten veel gevoelige informatie over leerlingen zoals opmerkingen over het niveau van rekenen, taal en lezen, maar ook informatie over faalangst, concen-
8.6
tratieproblemen, gezondheidsproblemen en in uitzonderlijke gevallen, problemen met betrekking tot de thuissituatie. De website
voor toevoegen en inzien van de informatie en het vaststellen van de bewaartermijn voor (herleidbare) gegevens;
was zonder nadere versleuteling te bena deren via internet. Over het noodzakelijke beveiligingsniveau was van tevoren niet goed nagedacht. Na negatieve publiciteit troffen de verantwoordelijke scholen snel een aantal concrete maatregelen: – het installeren van een dedicated server en een versleutelde SSL-verbinding; – het invullen van de verschillende rollen
– het opstellen van een brochure met nadere uitleg over de techniek, inhoud en werking van het systeem. De problemen waren te voorkomen geweest als er van tevoren een goed beveiligingsplan was opgesteld, waarbij ook een dreigingsanalyse was gemaakt.
Beveiliging machines tegen onbevoegde toegang Regelmatig komen bekende en onbekende websites negatief in het nieuws omdat de beveiliging on voldoende is en persoonsgegevens toegankelijk worden die niet voor publicatie zijn bedoeld. Dat kan bijvoorbeeld gebeuren als de URL’s die gegenereerd worden na een inlogprocedure een voorspelbaar patroon opleveren. Derden kunnen dan makkelijk andere URL’s ‘raden’ en daarmee toegang verwer ven tot persoonlijke informatie van betrokkenen. De beveiliging en inrichting van de server(s) waarop de gegevens staan, vormen daarom een apart punt van zorg. De verantwoordelijke dient ervoor te zor gen dat de machines beveiligd zijn tegen onrechtmatige toegang door derden, door consequent bevei ligingsadviezen op te volgen. Dat geldt zowel voor het besturingssysteem als voor de software die op een server draait. Zeker bij de verwerking van bijzondere persoonsgegevens verdient het aanbeveling om een strikte scheiding aan te brengen tussen de database waarin de gegevens worden verwerkt en de server waarmee gegevens op internet worden gepubliceerd. De risico’s die de publicatie van bijzon dere persoonsgegevens meebrengt, rechtvaardigen dat gegevens uit de database alleen versleuteld naar de server mogen worden geleid en pas op cliëntniveau ontsleuteld worden.
toegang tot digitale jaaropgaveN In maart 2007 werd bekend dat de digitale jaaropgaven van het Uitvoeringsinstituut Werknemersverzekeringen (UWV) per ongeluk opvraagbaar bleken door andere klanten,
als twee mensen tegelijkertijd inlogden. In de Tweede Kamer werden vragen gesteld over het incident.82) Het UWV liet de minister van Justitie en het CBP weten dat de digitale be-
schikbaarstelling werd beëindigd binnen een uur nadat de fout werd ontdekt. Iedereen die per ongeluk andermans jaaropgave had ingezien, werd telefonisch benaderd.
80) S ecure Sockets Layer (SSL) is een standaard protocol dat gebruik maakt van ‘public key encryption’ technologie, om een veilige service te zorgen tussen internet-servers, waarbij zowel de privacy van het bericht, de integriteit van het bericht als de verificatie cq. legitimatie van verzender/ontvanger worden gewaarborgd. 81) CBP, 27 mei 2005, z2004-1152, URL: http://www.cbpweb.nl/documenten/uit_z2004-1152.shtml 82) Kamerstukken II, 16 april 2007, UB/S/2007/12116, antwoorden op vragen van de Kamerleden Van Hijum en Omtzigt (CDA).
328
Publicatie van persoonsgegevens op internet
35
2 verplichtingen van de verantwoordelijke
NA PUBLICATIE 9
Verwijderen onrechtmatigheden Ook nadat de publicatie op internet is verschenen, moeten verantwoordelijken zich inspannen om aan de Wbp te blijven voldoen. Een publicatie die rechtmatig was doordat een betrokkene daarmee had in gestemd, wordt onrechtmatig op het moment dat de betrokkene zijn toestemming intrekt (zie Hoofd stuk II, par. 4.1.) Persoonsgegevens die bij publicatie juist en nauwkeurig waren, kunnen na verloop van tijd niet meer kloppen en een onvolledig beeld schetsen (zoals: X is woedend op Y, terwijl X het al lang heeft bijgelegd met Y). Houders van websites of forums zijn onder de Wbp ook verantwoordelijk voor onjuiste of onnodige vermeldingen van persoonsgegevens door de bezoekers van hun publicatie. De verantwoordelijke moet daarom actief modereren om aperte onrechtmatigheden te voorkomen, zeker als het gaat om bij zondere gegevens, zoals strafrechtelijke of gezondheidsgegevens (zie hoofdstuk I paragraaf 8). Om on rechtmatigheid van de publicatie te voorkomen, dienen verantwoordelijken ervoor te zorgen dat bij dragen alleen gepubliceerd kunnen worden op tijdstippen dat er moderatie aanwezig is.
9.1
Plicht tot verwijderen onjuiste gegevens Op sommige discussieforums worden aparte discussieonderwerpen (‘threads’ of ‘topics’) geopend over meldingen die bij nader inzien onjuist zijn gebleken, bijvoorbeeld bij beschuldigingen van spam, oplichterij of andere strafbare feiten. De oorspronkelijke mededelingen met onjuiste persoonsgegevens blijven dan via internet beschikbaar. Het kunnen toevoegen van een andere zienswijze (in plaats van het verwijderen of corrigeren van persoonsgegevens) is een praktijk die in sommige gevallen van toe passing is bij archieven die onder de Archiefwet vallen. Het doeleinde van behoud van (een deel van) het Nederlandse culturele erfgoed maakt het mogelijk om archiefbescheiden met zelfs aantoonbaar on juiste gegevens voor onbepaalde tijd te bewaren in archiefbewaarplaatsen. Artikel 36 vierde lid Wbp maakt een vergelijkbare werkwijze mogelijk voor gegevensdragers waarin geen wijzigingen kunnen worden aangebracht, zoals CD-roms of microfiches.83) Voor (niet-journalistieke) publicaties op internet gelden deze uitzonderingen echter niet. De Wbp biedt geen ruimte aan verantwoordelijken voor publi caties op internet om te volstaan met het bijhouden van een apart lijstje van gegevens die kennelijk in correct zijn. Als de genoemde persoonsgegevens in een bijdrage feitelijk onjuist of bovenmatig zijn aan het gestelde doel, is de publicatie onrechtmatig en moet de bijdrage worden verwijderd.
beschuldiging van oplichterij In een discussieforum over oplichterij wordt mevrouw X beschuldigd door meneer Y van het toesturen van een baksteen in plaats van de beloofde digitale camera. Mevrouw X wordt met naam en toenaam beschreven, inclusief haar vermeende adres, bankreke ningnummer, IP-adres en verwijzingen naar andere beschuldigingen. Mevrouw X blijkt echter verwisseld te zijn met een andere persoon met dezelfde achternaam en voorletter. Ze wil dat alle postings over haar onmiddellijk verwijderd worden van het forum. Is meneer Y dan verantwoordelijk voor die uitlating
en moet mevrouw X zich dus tot meneer Y wenden voor correctie of verwijdering? Nee, in termen van de Wbp is de houder van het forum verantwoordelijk voor de persoonsgegevens op het forum. Mevrouw X kan zich in dit geval tot de forumbeheerder wenden om haar persoonsgegevens gecorrigeerd of verwijderd te krijgen. De beheerder van het forum kan een dergelijk verzoek alleen weige ren als hij kan aantonen dat met de publicatie een belang wordt gediend dat groter is dan het recht op bescherming van de persoon lijke levenssfeer van mevrouw X, bijvoorbeeld
omdat hij kan aantonen dat er géén sprake is van persoonsverwisseling. De forumbeheerder mag het verzoek niet weigeren met een verwijzing naar een bepaling in de algemene voorwaarden dat bijdragen nooit verwijderd worden. Een dergelijke algemene bepaling is in strijd met de Wbp, omdat er geen individuele belangenafweging aan ten grondslag ligt. De beheerder mag evenmin volstaan met het toevoegen van het weerwoord van mevrouw X aan de lopende discussie.
83) A rtikel 36 lid 4 Wbp: ‘Indien de persoonsgegevens zijn vastgelegd op een gegevensdrager waarin geen wijzigingen kunnen worden aangebracht, dan treft hij de voorzieningen die nodig zijn om de gebruiker van de gegevens te informeren over de onmogelijkheid van verbetering, aanvulling, verwijdering of afscherming ondanks het feit dat er grond is voor aanpassing van de gegevens op grond van dit artikel.’
36
CBP Richtsnoeren
329
330
Publicatie van persoonsgegevens op internet
37
III Rechten van betrokkenen 1 Inleiding 39 2 Inzage 39 3 Correctie en verwijdering 40 4
Recht van verzet 40
5 Uitzondering: openbare registers 41
38
CBP Richtsnoeren
331
1
Inleiding Betrokkenen, de natuurlijke personen over wie persoonsgegevens worden gepubliceerd, kunnen ingrijpend benadeeld worden door de onjuiste, onvolledige of onnodige publicatie van persoonsgegevens. Op grond van een enkel gegeven kunnen gemakkelijk foute con clusies worden getrokken. Oppervlakkige beeldvorming kan mensen schade berokkenen in hun maatschappelijk en persoonlijk functioneren. Bovendien kan de publicatie van per soonsgegevens op internet ertoe bijdragen dat betrokkenen slachtoffer worden van criminele activiteiten, zoals oplichting en identiteitsfraude. Verantwoordelijken hebben de plicht om te voldoen aan verzoeken van betrokkenen tot inzage en aan verzoeken tot verwijdering, verbetering, aanvulling of afscherming van persoonsgegevens als die feitelijk onjuist zijn, voor het doeleinde onvolledig of niet ter zake dienend, dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt. 84)
2
Inzage Bij publicaties op internet geldt dat de meeste verwerkingen openbaar en kosteloos toegankelijk zijn. De betrokkene hoeft zich daarom meestal niet eerst met een formeel inzageverzoek tot de verant woordelijke te wenden alvorens een gericht verwijderings- of verbeteringsverzoek te kunnen sturen. Het inzagerecht is vooral van belang bij publicaties waarbij de toegang is afgeschermd. Een betrokkene kan in een dergelijk geval gebruik maken van het inzagerecht om erachter te komen of en zo ja welke gegevens er over hem in een afgeschermde publicatie zijn opgenomen. Op grond van de informatieplicht uit de artikelen 33 en 34 Wbp dienen verantwoordelijken de betrok kenen voorafgaand aan de publicatie mee te delen welke soorten persoonsgegevens er over hen op welke wijze worden gepubliceerd en met welk doel. Het recht op inzage is onder meer van belang voor verantwoordelijken die zwarte lijsten hanteren. Veel populaire publicaties met reactiemogelijkheden of discussiefora bevatten gebruiksregels over toegestaan gedrag. Wie de regels herhaaldelijk of op ern stige wijze overtreedt, kan op een zwarte lijst komen van geblokkeerde IP-adressen en/of gebruiker snamen. De betrokkene heeft dan geen inzicht meer in de gegevens die van of over hem of haar worden gepubliceerd. De betrokkene heeft het recht zich ‘vrijelijk’ (dus zonder nadere motivering) en ‘met redelijke tussen pozen’ tot de verantwoordelijke te wenden met een inzageverzoek.85) Het verzoek om kennisneming mag echter niet ongericht zijn.86) De verantwoordelijke moet binnen vier weken schriftelijk reageren. Dat mag ook elektronisch.87) Het CBP oordeelde in 200388) dat een ieder zonder voorbehoud het recht heeft kennis te nemen van de verwerking van zijn persoonsgegevens. Een bericht op grond van art. 35 Wbp moet een volledig en begrijpelijk overzicht zijn van de gegevens die over een betrokkene worden verwerkt. Het gaat daarbij niet om een beschrijving of samenvatting van de gegevens, maar om een volledige weergave. Als de gegevens onvolledig zijn, is de betrokkene immers onvoldoende in staat zijn rechten op grond van de Wbp te effectueren.89) De verantwoordelijke mag bij zeer algemene ver zoeken om inzage wel om precisering vragen, om een onevenredige administratieve inspanning te vermijden. De verantwoordelijke moet bovendien zorgen voor een ‘deugdelijke vaststelling van de identiteit van de verzoeker’ (artikel 37 Wbp), bijvoorbeeld door een kopie te vragen van een identiteits bewijs, om te voorkomen dat persoonsgegevens in verkeerde handen belanden. De verantwoordelijke mag voor een inzageverzoek maximaal 0,23 eurocent per pagina vragen, met een maximum van 4,50 euro.90) Deze vergoeding moet worden terugbetaald als de verantwoordelijke na de inzage een verbe terings-, vewijderings, aanvullings- of afschermingsverzoek moet honoreren.
84) Z ie voor een algemene toelichting het informatieblad ‘Rechten van de betrokkene’. Het CBP heeft daarnaast specifieke informatiebladen over correctie en inzage, zowel voor betrokkenen als verantwoordelijken. De informatiebladen zijn beschikbaar via de website van het CBP, URL: http://www.cbpweb.nl, onder ‘nieuws en publicaties’, ‘publicaties’, ‘informatiebladen’. 85) Art. 35, eerste lid Wbp 86) MvT, blz. 44 87) Kamerstukken II, nr. 8, blz. 27 88) CBP, z2003-01617. URL: http://www.cbpweb.nl/documenten/med_uit_z2003-1617.shtml 89) Deze interpretatie is medio 2007 bevestigd door de Hoge Raad in de uitspraken over de Dexia-zaak, Hoge Raad, 29 juni 2007, LJN: AZ4663 en Hoge Raad, 29 juni 2007, LJN: AZ4664. 90) Artikel 39 Wbp en het bijbehorende Besluit Kostenvergoeding rechten betrokkene Wbp van 13 juni 2001.
332
Publicatie van persoonsgegevens op internet
39
3 rechten van betrokkenen
3
Correctie en verwijdering Betrokkenen hebben een breed recht op correctie. Ze mogen verantwoordelijken op grond van artikel 36 Wbp verzoeken om verbetering, aanvulling, verwijdering of afscherming van gegevens indien ze feitelijk onjuist zijn of voor het doeleinde onvolledig of niet ter zake dienend, dan wel anderszins in strijd met een wettelijk voorschrift worden gepubliceerd. Verantwoordelijken moeten een eventuele weigering tot het corrigeren van gegevens met redenen omkleden. Bij het omgaan met correctieverzoeken maakt het verschil op welke rechtvaardigingsgrond de publi catie is gebaseerd. De betrokkene die toestemming heeft gegeven voor de publicatie (artikel 8 onder a Wbp) kan deze toestemming altijd intrekken (Zie hoofdstuk II, paragraaf 4.1.1). Sites moeten in een dergelijk geval altijd gehoor geven aan een verzoek tot verwijdering en bij de technische inrichting van hun systemen op voorhand rekening houden met deze mogelijkheid. Als de publicatie is gebaseerd op een van de andere rechtvaardigingsgronden uit artikel 8 Wbp, kan een betrokkene om verwijdering of correctie vragen indien de persoonsgegevens feitelijk onjuist zijn, voor het doeleinde onvolledig of niet ter zake dienend, dan wel anderszins in strijd met een wettelijk voorschrift worden gepubliceerd. Als het verzoek terecht is, dient de verantwoordelijke hieraan gehoor te geven.
user generated content Bijna iedereen met een mobiele telefoon kan tegenwoordig foto’s en filmpjes maken. Het maken van dit soort filmpjes van elkaar en het plaatsen hiervan op internet is bijzonder po pulair. Profielsites en speciale user generated content diensten maken het daarna mogelijk deze informatie voor iedereen toegankelijk te maken, zonder dat degene die de informatie heeft geplaatst makkelijk te achterhalen is.
4
De aanbieders van diensten met user gene rated content zijn in beginsel aan te merken als medeverantwoordelijke voor de verwer king van persoonsgegevens op hun dienst op het Web. Het zonder rechtvaardigingsgrond openbaar maken van beeldmateriaal van natuurlijke personen dat raakt aan de persoonlijke levenssfeer kan bijzonder ingrijpend zijn voor de betrokkene(n) en is in elk geval in strijd met de Wbp. Als iemand de informatie
verwijderd wil hebben, dient in eerste instantie degene aangesproken te worden die de informatie heeft geplaatst. Indien dit onmoge lijk is of geen resultaat oplevert kan de persoon de aanbieder van de dienst er op wijzen dat het betreffende materiaal onrechtmatig is. De informatie dient verwijderd te worden indien sprake is van een op grond van de Wbp evident onrechtmatige publicatie. (Zie ook de uitleg in paragraaf I.2.)
Recht van verzet Naast het recht op correctie en verwijdering kent de Wbp betrokkenen ook een recht van verzet toe. Dit recht is alleen van toepassing als de publicatie gerechtvaardigd wordt door een rechtvaardigingsgrond onder artikel 8 onder e of f Wbp (de goede vervulling van een publiekrechtelijke taak of de uitkomst van een individuele belangenafweging). Bovenop de bepalingen uit artikel 36 Wbp mag een betrok kene in die gevallen conform artikel 40 Wbp verzet aantekenen tegen de publicatie, met een beroep op bijzondere persoonlijke omstandigheden. Dit ‘recht van verzet’ heeft betrekking op publicaties die op zich rechtmatig zijn, maar die, door de bijzondere omstandigheden van de betrokkene, onrechtmatig kunnen zijn jegens de betrokkene. Als een betrokkene verzet aantekent, dient de verantwoordelijke een nieuwe, specifieke afweging te maken tussen zijn eigen (gerechtvaardigde) belangen en de belangen van de betrokkene. Indien de betrokkene het niet eens is met het resultaat van die hernieuwde afwe ging, kan hij de rechter om een beslissing vragen. Modelverklaring inzage- en correctierecht 91) Een verantwoordelijke voor een besloten website met gegevens over wanbetaling in een bepaalde sec tor brengt betrokkenen via een privacyverklaring op de hoogte van hun rechten op inzage en correctie. Voorop staat dat de betrokkenen moeten zijn geïnformeerd over het doeleinde van de zwarte lijst, de identiteit van de verantwoordelijke en de duur en consequenties van plaatsing vóórdat hun gegevens op de website worden geplaatst, conform de informatieplicht uit artikel 33 en 34 Wbp. De publicatie heeft een rechtvaardigingsgrond in artikel 8 onder f Wbp, om het gerechtvaardigde belang te dienen 91) D eze modelverklaring is geschikt voor particulieren en bedrijven die de publicatie rechtvaardigen met een grondslag onder artikel 8 onder f Wbp, de afweging tussen het gerechtvaardigd belang van de verantwoordelijke versus het recht op bescherming van de persoonlijke levenssfeer van de betrokkene. In dit geval is zowel het recht van verzet van artikel 40 Wbp van toepassing als het recht op correctie of verwijdering uit artikel 36 Wbp.
40
CBP Richtsnoeren
333
van een specifieke categorie bedrijven om enige informatie te hebben over het betalingsgedrag van een potentiële klant, alvorens zij overgaan tot het verstrekken van krediet. Betrokkenen kunnen kiezen of zij onjuiste gegevens willen laten verbeteren met een beroep op artikel 36 Wbp, of gebruik willen mak en van het recht van verzet van artikel 40 Wbp. Dat laatste kan het geval zijn als de betrokkene bijzon dere persoonlijke omstandigheden heeft waardoor hij onevenredig wordt geschaad door opname in de zwarte lijst, ook als de gegevens op zich juist zijn. Een verklaring over het recht op inzage en correctie kan er als volgt uitzien: • Inzage in besloten deel website Indien u uw gegevens wilt inzien in het besloten deel van de website kunt u daartoe een verzoek in dienen via privacy@<naamwebsite>.nl. Binnen 7 werkdagen ontvangt u kosteloos bericht of er (nog) gegevens over u verwerkt worden, met welk doeleinde en over welke periode. U kunt ook een gede tailleerde opgave vragen van alle gegevens die op u betrekking hebben. Hieraan wordt binnen vier weken gehoor gegeven. De kosten hiervan bedragen maximaal 4,50 euro, afhankelijk van de hoeveel heid gegevens. • Recht op verzet Als u van mening bent dat de verwerking van uw persoonsgegevens in strijd is met de bescherming van uw persoonlijke levenssfeer in verband met uw bijzondere persoonlijke omstandigheden, kunt u dit aangeven via privacy@<naamwebsite>.nl. Als uw verzet gerechtvaardigd is, worden uw gegevens verwijderd. Aan dit verzoek zijn geen kosten verbonden.92) 5
Uitzondering: openbare registers Bij wet ingestelde openbare registers vormen een belangrijke uitzondering op de regel dat betrokkenen zeggenschap hebben over de publicatie van hun persoonsgegevens. De ratio achter openbare registers zoals het Handelsregister of het Kadaster is dat ze bij wet zijn ingesteld om een bepaald publiek belang te dienen. Betrokkenen hebben bij openbare registers geen mogelijkheid om met een beroep op de Wbp verzet aan te tekenen of verwijdering te vragen, ook niet als de registers op internet worden gepubli ceerd. De rechten van betrokkenen zijn in het geval van openbare registers afhankelijk van de rechten die de specifieke wet hen toekent.93) Juist vanwege het ontbreken van een algemene mogelijkheid om bovenmatige gegevens te laten verwijderen is het van groot belang dat de overheid bij het ontsluiten van openbare registers op internet nadrukkelijk onderscheid blijft maken tussen de gegevens die nood zakelijk zijn om een dienst van de overheid te krijgen (zoals een vergunning) en gegevens die op inter net worden gepubliceerd. In het advies van 15 mei 2007 over de Wet algemene bepalingen omgevings recht (Wabo)94) schreef het CBP: Bezinning is nodig op de vraag waarom openbaarheid zonder meer openbaar op internet zou inhouden. Persoonsgegevens die via internet worden gepubliceerd, kunnen door een onbekend aantal internetgebruikers uit de hele wereld voor eigen doeleinden worden verzameld en verwerkt, ook jaren nadat de oorspronkelijke publicatie van internet is verdwenen. Het voordeel van digitaliseren mag niet omslaan in het nadeel dat persoonsgegevens vogelvrij zijn op internet.
92) V olgens artikel 40 derde lid Wbp mogen verantwoordelijken voor het in behandeling nemen van een verzet een vergoeding van kosten verlangen, die niet hoger mag zijn dan 4,50 euro, zoals bepaald in het Besluit kostenvergoedingen rechten betrokkenen Wbp (13 juni 2001, Stb. 2001, 305). De vergoeding wordt teruggegeven in geval het verzet gegrond wordt bevonden. 93) A rtikel 36 vijfde lid Wbp bepaalt dat het recht van correctie en verwijdering niet van toepassing is op bij wet ingestelde openbare registers indien de wet al voorziet in een procedure voor verbetering, aanvulling, verwijdering of afscherming van gegevens. Het recht van verzet uit artikel 40 Wbp is helemaal niet van toepassing op openbare registers die bij wet zijn ingesteld, ongeacht of de wet een bijzondere procedure kent of niet. 94) C BP, brief aan de leden van de vaste Kamercommissie voor VROM, z2007-00304, 15 mei 2007, http:www.cbpweb.nl/documenten/med_ 20070515_wabo
334
Publicatie van persoonsgegevens op internet
41
IV Toepasselijkheid uitzondering journalistieke doeleinden 1 Inleiding 43 2 Afbakening journalistieke exceptie 43 3 Criteria om te beoordelen of de uitzondering van toepassing is 43 3.1 Objectieve informatieverzameling 44 3.2 Regelmatige bezigheid 44 3.3 Maatschappelijke strekking 44 3.4 Recht van repliek 44 4 Archivering van journalistieke publicaties 45 5
42
Rechter of Raad voor de Journalistiek 45
CBP Richtsnoeren
335
1
Inleiding De Wbp is slechts gedeeltelijk van toepassing op de verwerking van persoonsgegevens voor uitslui tend journalistieke, artistieke of literaire doeleinden. In deze richtsnoeren wordt alleen de journalis tieke exceptie uitgewerkt, aangezien een beroep op artistieke of literaire doeleinden zelden voorkomt. Niet van toepassing zijn: • de informatieplicht (artikel 33 en 34 Wbp); • het verbod op het verwerken van bijzondere persoonsgegevens (artikelen 17 tot en met 23 Wbp); • de meldingsplicht (artikelen 27 tot en met 30 Wbp); • de rechten van betrokkenen (artikelen 35 tot en met 42 Wbp); • het toezicht door het CBP (artikelen 51 tot en met 75 Wbp); • de beperkingen ten aanzien van doorgifte (artikelen 76 tot en met 78 Wbp). Wel van toepassing zijn: • de definities en reikwijdte van de Wbp, inclusief de bepaling over minderjarigheid (artikelen 1 t/m 5 Wbp); • de plicht om gegevens op behoorlijke en zorgvuldige wijze te verwerken (artikel 6 Wbp); • de plicht om persoonsgegevens voor welbepaalde en gerechtvaardigde doeleinden te verzamelen (artikel 7 Wbp); • de plicht tot het hebben van een grond om de gegevensverwerking te rechtvaardigen (artikel 8 Wbp); • het verbod op onverenigbaar gebruik (artikel 9 Wbp); • het verbod om gegevens langer te bewaren in een identificeerbare vorm dan noodzakelijk (artikel 10 Wbp); • het verbod op het verwerken van bovenmatige, niet ter zake dienende persoonsgegevens (artikel 11 Wbp); • de plicht om passende beveiligingsmaatregelen te treffen (artikel 13 Wbp); • de bepalingen over de relatie tussen verantwoordelijke en bewerker (artikel 14 Wbp), over toetsing door het CBP van gedragscodes (artikel 25 Wbp) en schadevergoeding (artikel 49 Wbp). Artikel 3 Wbp is gebaseerd op artikel 9 van de algemene Europese privacyrichtlijn. De Richtlijn stelt uitzonderingen voor de media verplicht, maar ‘uitsluitend voor zover deze nodig blijken’. Dat betekent dat lidstaten uitsluitend in uitzonderingen moeten voorzien voor zover ze nodig blijken om een balans te vinden tussen bescherming van de persoonlijke levenssfeer en bescherming van de vrijheid van meningsuiting. Daarom zijn journalistieke publicaties niet vrijgesteld van de algemene zorgvuldig heidsvereisten uit de Wbp, evenals de plicht om maatregelen te treffen om de beveiliging van de ver werking te garanderen.
2
Afbakening journalistieke exceptie Wanneer valt een publicatie op internet onder de journalistieke exceptie en in welke gevallen is daar geen sprake van? Vaststelling van de grens tussen journalistieke en niet-journalistieke uitingen is van groot belang om te bepalen wanneer het CBP handhavend kan optreden en wanneer andere fora bevoegd zijn, zoals de rechter of de Raad voor de Journalistiek.
3
Criteria om te beoordelen of de uitzondering van toepassing is. De publicatie van persoonsgegevens op internet valt onder de journalistieke exceptie als zij een uiting is van algemeen maatschappelijk belang die in journalistieke hoedanigheid wordt gedaan (dus niet perse als journalist). Of een uiting met recht en reden een uitsluitend journalistiek doeleinde beweert te dienen, dient te worden beoordeeld door de uiting in zijn context te bekijken en daarna tot een afwe ging van belangen te komen. Bij die beoordeling hanteert het CBP de volgende criteria: a is de activiteit gericht op (objectieve) informatieverzameling en verstrekking? b gaat het om een regelmatige bezigheid? c gaat het erom iets van maatschappelijke strekking aan de orde te stellen? d kent de publicatie een recht van repliek of rectificatie achteraf? 336
Publicatie van persoonsgegevens op internet
43
4 toepasselijkheid uitzondering journalistieke doeleinden
Alleen als een publicatie aan alle vier criteria voldoet, is de journalistieke exceptie in ieder geval van toepassing. 3.1
Objectieve informatieverzameling Is de publicatie gericht op min of meer objectieve informatieverzameling en verstrekking? Bij dit crite rium telt niet alleen de publicatie zelf, maar ook de aard van de reacties als het om een interactieve publicatie gaat. Om in aanmerking te komen voor de journalistieke exceptie is van belang of er onder scheid wordt gemaakt tussen feiten, beweringen en meningen, zoals de Raad voor de Journalistiek ook vaststelt in zijn Leidraad.95) Of een publicatie met reactiemogelijkheid of discussieforum zich kan be roepen op de journalistieke exceptie, hangt mede af van de kwaliteit van de moderatie van reacties van bezoekers. Kan iedere bezoeker van de website vrijuit bijdragen toevoegen die evident schadelijk zijn voor derden, of vindt er controle plaats op de reacties?
3.2
Regelmatige bezigheid Of een publicist betaald wordt voor zijn publicatie, is niet wezenlijk voor het bepalen van de reikwijdte van de journalistieke exceptie. Het is slechts aan weinigen gegeven om geld te verdienen met een (zelf standige) publicatie op internet, terwijl met de publicatie wel een groot maatschappelijk belang ge diend kan zijn. Beoordeeld wordt of het een regelmatige activiteit betreft. Een weblog met een paar verouderde bijdragen kan zich minder snel beroepen op de journalistieke exceptie dan een publicatie waarop regelmatig nieuwe bijdrages verschijnen.
3.3
Maatschappelijke strekking Vrij debat over maatschappelijke onderwerpen is van algemeen belang. Uitingen van activisten of be langenorganisaties waarin persoonsgegevens worden verwerkt, kunnen van grote waarde zijn om ern stige misdrijven en misdragingen aan het licht te brengen, om de openbare veiligheid en gezondheid te beschermen en misleiding te voorkomen van het publiek door handelingen en uitspraken van perso nen of organisaties. Daaruit vloeit evenwel niet voort dat elke dergelijke publicatie van persoons gegevens op internet een louter journalistiek doeleinde dient. Of het bij een publicatie van persoonsgegevens gaat om een verwerking voor uitsluitend journalistieke doeleinden, hangt mede af van de overige drie beoordelingscriteria en de hoedanigheid van personen over wie persoonsgegevens worden gepubliceerd. Als een publicatie bijvoorbeeld misdragingen bekendmaakt van een volksvertegenwoordiger of directeur van een bekend of groot bedrijf en de pu blicatie gebaseerd is op voldoende documentatie om aannemelijk te zijn, dient de publicatie allicht een algemeen maatschappelijk belang. Als een publicatie daarentegen gedetailleerd het privéleven bloot legt van een onbekende persoon, wiens gedragingen niet van invloed zijn op het functioneren van de maatschappij, valt een algemeen belang niet snel te construeren.
3.4
Recht van repliek Om in aanmerking te komen voor de journalistieke exceptie dient er tenslotte een recht van repliek te zijn.96) Dat recht houdt in dat betrokkenen een recht van antwoord of rectificatie achteraf hebben van onjuiste informatie, juist omdat de rechten op inzage of correctie niet van toepassing zijn op uitingen met een uitsluitend journalistiek, artistiek of literair doeleinde. Volgens de aanbeveling van de Raad van Europa heeft iedere betrokkene het recht om (kosteloos) te re ageren op onjuiste feiten over hem of haar in de media, voor zover die feiten zijn of haar persoonlijke rechten aantasten.97) De reactie moet een vergelijkbaar prominente plaats krijgen in de publicatie als de oorspronkelijke uiting. De aanbeveling kent een aantal uitzonderingen op de verplichting om de re 95) Leidraad van de Raad voor de Journalistiek, vastgesteld door de leden in april 2007, URL: http://www.rvdj.nl/rvdj-archive/docs/Lei draad_2007.pdf 96) Artikel 29-werkgroep, Aanbeveling 1/97, Wetgeving inzake gegevensbescherming en de media, 25 februari 1997, blz. 8-9: ‘De richtlijn vereist een evenwicht tussen twee fundamentele vrijheden.(...) Beperkingen van het recht van toegang en rectificatie voorafgaand aan publicatie kunnen slechts evenredig zijn voor zover de betrokkenen een recht van antwoord of rectificatie van onjuiste informatie hebben na publicatie.’ 97) Dit is in lijn met Recommendation Rec(2004)161 of the Committee of Ministers of the Council of Europe to member states on the right of reply in the new media environment, URL: https://wcd.coe.int/ViewDoc.jsp?id=802829. ‘Any natural or legal person, irrespective of nationality or residence, should be given a right of reply or an equivalent remedy offering a possibility to react to any information in the media presenting inaccurate facts about him or her and which affect his/her personal rights.’
44
CBP Richtsnoeren
337
pliek te publiceren; als de repliek veel langer is dan nodig of inhoudelijk niet beperkt tot verbetering van de betwiste feiten. Het recht is ook niet van toepassing als de betrokkene geen geldig belang heeft bij de repliek of als de repliek in een andere taal is gesteld dan de oorspronkelijke publicatie. Bij de beoordeling of een publicatie onder de journalistieke exceptie valt, dient zwaar mee te wegen of er een recht van repliek is, dan wel anderszins wordt voorzien in een adequaat mechanisme om on juiste, onvolledige of overbodige persoonsgegevens achteraf te verbeteren of te verwijderen. Het recht van repliek is een laagdrempelige invulling van de journalistieke rectificatienorm98), die recht doet aan het belang om de journalistieke vrijheid niet op voorhand te beknotten door alle regels uit de Wbp van toepassing te verklaren. Als betrokkenen echter geen mogelijkheid hebben om achteraf, na publicatie op internet, commentaar te leveren op persoonsgegevens over hen die evident onjuist zijn, kan niet worden aangenomen dat de publicatie een uitsluitend journalistiek doeleinde dient. In dat geval zijn dus alle verplichtingen uit de Wbp van toepassing. De verantwoordelijke voor een niet-journalistieke publicatie kan niet volstaan met het toevoegen van een opmerking van een betrokkene dat gegevens onjuist zijn; hij moet de betref fende persoonsgegevens verwijderen of verbeteren (Zie hoofdstuk II, paragraaf 9.1). 4
Archivering van journalistieke publicaties Als de publicatie onder de journalistieke exceptie valt, mag de publicatie ook op internet worden gear chiveerd, inclusief bijzondere persoonsgegevens. De journalistieke exceptie werkt ‘door’ in verdere verwerkingen die plaatsvinden bij bibliotheken en archieven, mits de exploitatie een journalistiek, ar tistiek of literair doeleinde dient.99) Als een archief met journalistieke publicaties voor andere doe leinden wordt geëxploiteerd, vervalt de exceptie.100) Bij publicatie op internet van journalistieke ar chieven met persoonsgegevens is het van belang onderscheid te maken tussen het eerste journalistieke belang van openbaarmaking en het tweede belang van het archiveringsdoeleinde. De ver antwoordelijke dient af te wegen voor welke doelgroep hij het archief openstelt en gedurende welke termijn. Ongeacht de toepasselijkheid van de journalistieke exceptie blijven immers de vereisten uit de Wbp van kracht om geen onjuiste of bovenmatige gegevens te publiceren en om behoorlijk en zorg vuldig te werk te gaan.
5
Rechter en Raad voor de Journalistiek Als een publicatie onder de journalistieke exceptie van de Wbp valt, kan een klacht door de rechter en in sommige gevallen door de Raad voor de Journalistiek worden beoordeeld. De rechter toetst of de publicatie voldoet aan de algemene zorgvuldigheidsvereisten uit de Wbp en aan het Burgerlijk Wet boek. De algemene beginselen van zorgvuldigheid van de Wbp hangen nauw samen met de algemene beginselen van maatschappelijke zorgvuldigheid, zoals vastgelegd in het leerstuk van de onrecht matige daad in het Burgerlijk Wetboek101) en jurisprudentie.102)
98) De norm volgens de recente leidraad van de Raad voor de Journalistiek luidt: ‘De journalist van wie blijkt dat hij onjuist dan wel op een wezenlijk punt onvolledig heeft bericht, gaat – zo mogelijk op eigen initiatief – op zo kort mogelijke termijn over tot een passende en ruimhartige rechtzetting, die ondubbelzinnig duidelijk maakt dat de berichtgeving in de te rectificeren publicatie of uitzending niet juist was. Indien een betrokkene die zich door de berichtgeving in redelijkheid tekortgedaan voelt, zelf reageert, neemt de redactie de vereiste zorgvuldigheid in acht bij de beslissing of – en zo ja, op welke wijze – de reactie van de betrokkene wordt gepubliceerd.’ 99) MvT, blz 73: ‘Daarbij valt tevens te denken aan bepaalde gegevensverwerkingen die plaatsvinden bij bibliotheken en musea. Conform de richtlijn worden dergelijke gegevensverwerkingen op één lijn geplaatst met journalistieke gegevensverwerkingen.’ 100) MvT, blz 74: ‘De exploitatie van op basis daarvan aangelegde gegevensbestanden voor andere dan journalistieke, artistieke of literaire doeleinden valt buiten de reikwijdte van de in artikel 3 geregelde uitzondering.’ 101) A rtikel 6:162 BW, Lid 1. Hij die jegens een ander een onrechtmatige daad pleegt, welke hem kan worden toegerekend, is verplicht de schade die de ander dientengevolge lijdt, te vergoeden. Lid 2. Als onrechtmatige daad worden aangemerkt een inbreuk op een recht en een doen of nalaten in strijd met een wettelijke plicht of met hetgeen volgens ongeschreven recht in het maatschappelijk verkeer betaamt, een en ander behoudens de aanwezigheid van een rechtvaardigingsgrond. Lid 3. Een onrechtmatige daad kan aan de dader worden toegerekend, indien zij te wijten is aan zijn schuld of aan een oorzaak welke krachtens de wet of de in het verkeer geldende opvattingen voor zijn rekening komt. 102) B elangrijke jurisprudentie op dit punt is het zogenaamde Gemeenteraadslid-arrest van de Hoge Raad, HR, 24 juni 1983, NJ 1984, 801. Daaruit vloeien zeven, in onderling verband te beschouwen, factoren voort om een afweging te kunnen maken tussen de vrijheid van meningsuiting en het recht op bescherming van de persoonlijke levenssfeer. Zie voor zaken waarin deze criteria zijn toegepast op internetpublicaties ook: LJN: AO2756, Rechtbank Middelburg, 77/2003, 21 januari 2004, LJN: AT4342, Rechtbank Arnhem, 16 maart 2005 en LJN: AY5772, Rechtbank Zwolle, 122465 / KG ZA 06-287, 9 augustus 2006.
338
Publicatie van persoonsgegevens op internet
45
4 toepasselijkheid uitzondering journalistieke doeleinden
De Raad voor de Journalistiek hanteert een eigen maatstaf voor de beoordeling of iets een journa listieke publicatie is. Hij acht zich bevoegd om te oordelen over publicaties van professionele journalis ten, dat wil zeggen, mensen die hetzij in dienstverband of als zelfstandige er hun hoofdberoep van maken mede te werken aan de redactionele leiding of redactionele samenstelling van publiciteitsme dia.103) Uit de opsomming van soorten media waarover de Raad voor de Journalistiek kan oordelen, blijkt dat ook internetpublicaties eronder kunnen vallen, voor zover de inhoud daarvan bestaat uit nieuws, reportages, beschouwing of rubrieken van informatieve aard. Verder neemt de Raad voor de Journalistiek klachten in behandeling over uitingen van niet-journalis ten onder de voorwaarde dat zij voor de publicatie worden betaald en het om regelmatige medewer king gaat, zoals bijvoorbeeld denkbaar in het geval van bijdragen van een medisch specialist aan een vakblad.
103) De RvdJ geeft een definitie van journalistieke gedraging en journalist in artikel 4 van de Statuten van de Stichting Raad voor de Journalistiek. ‘Onder journalistieke gedraging [wordt] verstaan een handelen of nalaten van een journalist in de uitoefening van zijn beroep. Voorts wordt onder een journalistieke gedraging verstaan een handelen of nalaten in het kader van journalistieke werkzaamheden van iemand die geen journalist zijnde, regelmatig en tegen betaling meewerkt aan de redactionele inhoud van de in het volgende lid genoemde publiciteitsmedia.’
46
CBP Richtsnoeren
339
340
Publicatie van persoonsgegevens op internet
47
V DOORGIFTE BUITEN DE EU 1 Inleiding 49 2 Passend beschermingsniveau 49 3 Onderscheid toegankelijkheid en doorgifte 49 4 Lindqvist-arrest 49 5 Internationaal intranet 50 6 Behoorlijk en zorgvuldig 50
48
CBP Richtsnoeren
341
1
Inleiding Het doorgeven van persoonsgegevens naar landen buiten de EU is verboden, tenzij een van de wet telijke uitzonderingen van toepassing is. Hoewel niet-afgeschermde internetpublicaties in principe ook toegankelijk zijn in landen buiten de EU, wordt deze toegankelijkheid niet als doorgifte beschouwd. Om de extra risico’s van toegankelijkheid in landen buiten de EU te ondervangen, hebben verant woordelijken voor publicaties op internet meer nog dan andere verantwoordelijken de plicht om behoorlijk en zorgvuldig te werk te gaan en betrokkenen goed te informeren over de specifieke risico’s van beschikbaarheid van de gegevens buiten de EU. Alleen verantwoordelijken die expliciet de bedoeling hebben om gegevens door te voeren naar een land buiten de EU, zoals het geval kan zijn bij een intranet met persoonsgegevens van een multina tional, dienen zich aan de voorschriften omtrent doorgifte te houden.
2
Passend beschermingsniveau De norm is dat een verantwoordelijke alleen persoonsgegevens mag doorgeven naar landen buiten de EU als de ontvanger voorschriften naleeft die een passend beschermingsniveau bieden. Of een land aan dat niveau voldoet, wordt bepaald door de Europese Commissie of de Europese Raad. Voorbeel den van landen met een passend beschermingsniveau zijn Argentinië, Canada en Zwitserland. Met de Verenigde Staten zijn specifieke afspraken gemaakt over de doorgifte van informatie van vliegtuigpas sagiers en over de doorgifte van persoonsgegevens aan bedrijven die zich hebben verplicht om de Safe Harbour regels toe te passen.104) Er zijn een paar uitzonderingen op de algemene verbodsregel. Doorgifte is bijvoorbeeld toegestaan als de betrokkene daarvoor zijn ondubbelzinnige toestemming heeft gegeven of als de doorgifte noodza kelijk is voor de uitvoering van een overeenkomst. De minister van Justitie kan ook - onder bepaling van nadere voorschriften - een specifieke vergunning verlenen voor een doorgifte of categorie doorgif ten naar een derde land dat geen passend beschermingsniveau biedt.
3
Onderscheid toegankelijkheid en doorgifte De Wbp en de Richtlijn kennen geen aparte uitzondering voor de doorgifte van persoonsgegevens via openbaar toegankelijke internetpagina’s. Naar de letter van de wet kunnen de meeste verantwoorde lijken zich daarom niet op één van de uitzonderingsgronden beroepen en is de doorgifte van persoons gegevens naar inwoners van de meeste landen buiten de EU onrechtmatig. Dit zou in de praktijk tot onwerkbare situaties leiden. Het CBP volgt daarom de lijn van het Lindqvist-arrest van het Europese Hof van Justitie105) (HvJEG) die ertoe leidt dat de bepalingen over de doorgifte naar landen zonder passend beschermingsniveau niet van toepassing zijn, als het tenminste niet expliciet de bedoeling is van de verantwoordelijke om de gegevens uit te voeren naar dergelijke landen.
4
Lindqvist-arrest Eind 1998 maakte de Zweedse mevrouw Lindqvist een aantal internetpagina’s met informatie over haarzelf en collega’s in haar kerkgemeente, waaronder soms hun volledige namen, telefoonnummer, werkzaamheden en liefhebberijen. Verder meldde zij dat een van haar collega’s haar voet had bezeerd en met gedeeltelijk ziekteverlof was. Lindqvist had haar collega’s niet van het bestaan van de pagina’s op de hoogte gesteld noch hun toestemming gekregen en had de verwerking evenmin gemeld bij de Zweedse toezichthouder. Toen zij vernam dat sommige collega’s de bedoelde pagina’s niet op prijs stelden, verwijderde zij de gegevens over hen. Toch stelde het openbaar ministerie een strafvervolging in, op grond van het gebruik van 104) D e Europese Commissie houdt een actueel overzicht bij van goedgekeurde landen, URL: http://ec.europa.eu/justice_home/fsj/privacy/ thridcountries/index_en.htm (NB! inclusief typefout in URL!) 105) HvJEG, 6 november 2003, zaak C101/01 (Lindqvist)
342
Publicatie van persoonsgegevens op internet
49
5 doorgifte buiten de eu
bijzondere persoonsgegevens zonder rechtvaardigingsgrond, het ontbreken van een melding en de doorgifte naar derde landen. Op de vraag naar de betekenis van de normen voor doorgifte formuleerde het HvJEG een praktisch antwoord. Het HvJEG stelde dat de ontwikkeling van internet een nieuwe interpretatie van de normen recht vaardigt, omdat het niet de bedoeling is van verantwoordelijken van websites om gegevens door te geven naar landen buiten de EU. ‘Gezien de ontwikkeling van internet ten tijde van de opstelling van richtlijn 95/46 en het ontbreken van criteria voor het gebruik van internet in hoofdstuk IV, kan niet worden aangenomen dat het de bedoeling was van de gemeenschapswetgever, vooruitlopend op latere ontwikkelingen, het begrip doorgifte van gegevens naar een derde land ook te laten gelden voor de handeling van een persoon in de situatie van Lindqvist die gegevens op een internetpagina plaatst, ook wanneer die gegevens daarmee toegankelijk worden gemaakt voor personen uit derde landen die de technische middelen hebben om zich toegang daartoe te verschaffen.’106) Het Hof overwoog daarbij dat publicatie op internet betekent dat de gegevens beschikbaar zijn in alle derde landen, terwijl de regeling voor doorgifte bedoeld is als een bijzondere regeling voor doorgifte naar een specifiek land. Omdat handelingen ‘zoals die van Lindqvist’ geen doorgifte vormen, behoeft niet te worden onderzocht of iemand uit een derde land toegang tot de betrokken internetpagina heeft gehad dan wel of de server van die provider zich fysiek in een derde land bevindt.107) 5
Internationaal intranet Het Lindqvist-arrest is nadrukkelijk beperkt tot de voorgelegde zaak, waarbij de specifieke om standigheden in aanmerking worden genomen. Het EHvJ spreekt van ‘handeling van een persoon in de situatie van Lindqvist’ en ‘handelingen als die van Lindqvist’. Als het wel de bedoeling is om persoonsgegevens ter beschikking te stellen aan een bepaalde groep personen in een derde land, zijn de normen voor doorgifte wel van toepassing. Dat is bijvoorbeeld het geval bij een werkgever met meerdere vestigingen over de hele wereld, die via een intranet persoons gegevens ter beschikking stelt aan werknemers in alle vestigingen.
6
Behoorlijk en zorgvuldig Ook de Franse en de Britse toezichthouder108) op de bescherming van de persoonlijke levenssfeer heb ben de praktische lijn van het Lindqvist-arrest gevolgd, maar benadrukken dat de extra risico’s van brede openbaarmaking op internet het extra belangrijk maken dat verantwoordelijken alle andere waarborgen uit de privacywetgeving respecteren. De Britse information commissioner benadrukt de plicht om behoorlijk en zorgvuldig te werk te gaan. De Franse CNIL benadrukt het belang van de in formatieplicht, dat verantwoordelijken voor publicaties waarschuwen dat de kans bestaat dat gegevens opgevraagd kunnen worden in landen buiten de EU zonder passend beschermingsniveau. In Nederland geldt een vergelijkbare (extra) zorgvuldigheidsverplichting als het gaat om doorgifte naar derde landen. Persoonsgegevens moeten ingevolge artikel 6 Wbp altijd in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze worden verwerkt.109) De formulering sluit aan bij het leerstuk van de onrechtmatige daad in het Burgerlijk Wetboek.110) Het gaat om maatschappelijke 106) Idem, Overweging 68. 107) Idem, Overweging 70. 108) Zie voor de Britse uitleg: The Eighth Data Protection Principle and international data transfers The Information Commissioner’s legal analysis and recommended approach to assessing adequacy including consideration of the issue of contractual solutions, binding corporate rules and Safe Harbor. Version 2.0, 30 juni 2006. Voor de Franse uitleg: Délibération n°2005276 du 17 Novembre 2005 109) Onder verwerken wordt verstaan elke handeling of geheel van handelingen met betrekking tot persoonsgegevens. Hieronder kan onder meer worden verstaan het verzamelen, vastleggen, ordenen, verstrekken aan derden, kopiëren, bewaren en vernietigen van persoonsgegevens. 110) Artikel 6: 162 BW. Zie noot 101.
50
CBP Richtsnoeren
343
zorgvuldigheidseisen om een onrechtmatige daad te voorkomen. Een verantwoordelijke voor een pu blicatie op internet die behoorlijk en zorgvuldig te werk wil gaan, moet uitdrukkelijk rekening houden met de risicoâ&#x20AC;&#x2122;s van verdere verwerking in derde landen en betrokkenen adequaat informeren dat er een kans bestaat dat gegevens opgevraagd kunnen worden in landen buiten de EU zonder passend beschermingsniveau. Dit geldt in het bijzonder als het gaat om risicovolle gegevens over bijvoorbeeld godsdienst of seksuele voorkeur.
344
Publicatie van persoonsgegevens op internet
51
VI Handhaving en de rol van het CBP 1 Inleiding 53 2 3
52
Maatregelen door betrokkenen 53 2.1 Rechtsbescherming onder de Wbp 53 2.2 Andere rechtsmiddelen voor betrokkenen 53 Handhaving door het CBP 53 3.1 Bemiddeling, klachtbehandeling en ambtshalve onderzoek 54 3.2 Bestuursdwang en last onder dwangsom 54 3.3 Strafrechtelijke handhaving 54 3.4 Internationaal toezicht 54
CBP Richtsnoeren
345
1
Inleiding Verantwoordelijken die in strijd handelen met het bepaalde in de Wbp kunnen op verschillende manie ren in rechte worden aangesproken, zowel civielrechtelijk, bestuursrechtelijk als strafrechtelijk. Be trokkenen hebben een aantal mogelijkheden om zelf hun recht te halen, zowel op grond van de Wbp, als op grond van het algemene bestuursrecht en op grond van het civiel recht. Daarnaast heeft het CBP als toezichthouder een aantal bestuursrechtelijke mogelijkheden om te handhaven op het bepaalde in de Wbp.
2
Maatregelen door betrokkenen Een betrokkene die meent dat zijn persoonsgegevens onrechtmatig worden gepubliceerd op internet, kan actie ondernemen door het recht uit te oefenen op inzage, correctie, verwijdering en verzet (zie hoofdstuk 3 van deze richtsnoeren). Het CBP publiceert gelijktijdig met deze richtsnoeren op www.mijnprivacy.nl concrete hulpmiddelen voor betrokkenen, in de vorm van voorbeeldbrieven aan verantwoordelijken en gerichte vragen en antwoorden over verschillende soorten internetpublicaties. Als de verantwoordelijke niet reageert of weigert om aan een verzoek te voldoen, kan een betrokkene naar de rechter gaan met een beroep op de rechtsbescherming die de Wbp biedt. Een betrokkene kan daarnaast op basis van het gewone recht een vordering indienen, bijvoorbeeld op grond van een on rechtmatige daad, of aangifte doen van bijvoorbeeld smaad.
2.1
Rechtsbescherming onder de Wbp Als een verantwoordelijke zich niet houdt aan het bepaalde in de Wbp, kan een betrokkene de rechter vragen om hem een schadevergoeding toe te kennen (artikel 49 Wbp) of om een verbod op te leggen op het verder verwerken van bepaalde persoonsgegevens (artikel 50 Wbp). De Wbp biedt betrokkenen daarnaast in een aantal specifieke gevallen (onder andere bij weigering van inzage in persoonsgegevens en bij weigering van een verzoek tot verbetering, aanvulling of verwijde ring van gegevens) de laagdrempelige mogelijkheid een verzoekschrift in te dienen bij de rechtbank, mits de verantwoordelijke een bedrijf of een burger is. Als de verantwoordelijke echter een bestuurs orgaan is, zijn de bezwaar- en beroepsregels uit de Algemene wet bestuursrecht van toepassing.
2.2
3
Andere rechtsmiddelen voor betrokkenen Publicaties die in strijd zijn met een of meer bepalingen uit de Wbp zijn mogelijk ook onrechtmatig op andere gronden. Een betrokkene heeft in dergelijke gevallen, naast de mogelijkheden van de Wbp, nog een aantal andere mogelijkheden om zijn recht te halen. Een betrokkene kan een verantwoorde lijke bijvoorbeeld voor de rechter dagen op grond van een onrechtmatige daad (artikel 6:162 Burgerlijk Wetboek). Via een dergelijke civiele procedure kan een betrokkene staking van de publicatie vorderen, evenals verwijdering van gegevens, vergoeding van materiële en immateriële schade en vergoeding van proceskosten. De betrokkene kan de rechter vragen om aan de veroordeling een dwangsom te verbinden. Ook kan sprake zijn van overtredingen van andere specifieke wetgeving, zoals auteursrecht, por tretrecht en databankenrecht. Een ander risico voor een verantwoordelijke die onzorgvuldig omgaat met persoonsgegevens is dat een betrokkene aangifte doet wegens smaad, laster of andere strafbare uitingen zoals racistische uitingen, opruiing en uitingen die in strijd zijn met de openbare orde of de goede zeden. Handhaving door het CBP Het CBP heeft de wettelijke taak om toe te zien op de naleving van de Wbp (artikel 51 Wbp). Daartoe heeft het CBP een aantal middelen, variërend van bemiddeling tot het opleggen van een last onder dwangsom.
346
Publicatie van persoonsgegevens op internet
53
6 handhaving en de rol van het cbp
3.1
Bemiddeling, klachtbehandeling en ambtshalve onderzoek Het CBP kan bemiddelen bij geschillen over onder andere het verkrijgen van inzage in persoonsge gevens en het verbeteren, aanvullen, verwijderen of afschermen van persoonsgegevens (artikel 47 Wbp). Ook kan het CBP op grond van een klacht van een belanghebbende of op eigen initiatief een onderzoek instellen naar de naleving van de Wbp (artikel 60 Wbp). Daarbij kan het CBP zijn toezichthoudende bevoegdheden inzetten111), waarbij een verantwoordelijke verplicht is alle gevraagde medewerking te verlenen. Het CBP kan inlichtingen vorderen, inzage vor deren in zakelijke gegevens, zaken en middelen onderzoeken (waaronder computerapparatuur) en mag ruimtes betreden, waaronder ook woningen.112) Het aantal aangedragen zaken en de complexiteit daarvan neemt echter voortdurend toe, terwijl de middelen die het CBP ter beschikking staan begrensd zijn. Het CBP kan derhalve niet alle zaken die worden aangebracht in behandeling nemen en moet keuzes maken. Bij klachten gebeurt dit aan de hand van criteria zoals de ernst van de overtreding, de mate van concreetheid van de aanwijzingen, een inschatting van de juridische haalbaarheid en de door het CBP te investeren capaciteit en mensk racht, maar vooral ook de verwachting over de potentiële preventieve werking die van handhaving in een specifiek geval zal uitgaan.113)
3.2
Bestuursdwang en last onder dwangsom Indien de Wbp niet wordt nageleefd kan het CBP bestuursdwang toepassen. Onder bestuursdwang wordt verstaan het met feitelijk handelen optreden door een bestuursorgaan tegen een illegale situ atie, doorgaans op kosten van de overtreder. Ook kan het CBP een last onder dwangsom opleggen. Een last onder dwangsom kan bijvoorbeeld inhouden dat een verantwoordelijke een gegevensverwer king moet aanpassen of staken op straffe van een dwangsom van een bepaald bedrag per dag. Als de verantwoordelijke niet voldoet aan de last, kan het te betalen geldbedrag fors oplopen, tot een vooraf vastgesteld maximumbedrag.
3.3
Strafrechtelijke handhaving Een verantwoordelijke riskeert ten slotte ook nog strafrechtelijke sancties, onder meer voor overtreding van de meldingsplicht (artikel 27 en 28 jo. 75 Wbp).
3.4
Internationaal toezicht Het CBP werkt bij onderzoek naar overtredingen van de Wbp op internet samen met collega-toezicht houders uit andere landen binnen en buiten de EU. De toezichthouders binnen de Europese Unie zijn wettelijk verplicht om elkaar desgevraagd bijstand en medewerking te verlenen, voor zover dat noodzakelijk is voor de uitvoering van onderzoeken naar publicaties op internet die door hen worden behandeld.
111) V oor al zijn toezichthoudende activiteiten, niet alleen bij ambtshalve onderzoeken. 112) Artikel 61 tweede lid Wbp jo. artikel 5:15 Awb 113) Zie ook de Uitgangspunten en beleidsregels werkwijze CBP, Staatscourant, 4 oktober 2004, nr. 190.
54
CBP Richtsnoeren
347
348
Publicatie van persoonsgegevens op internet
55
MANAGEMENTSAMENVATTING Op internet worden op heel veel manieren persoonsgegevens gepubliceerd, door overheids instellingen, door bedrijven, door journalisten of door particulieren. Publicaties op internet zijn over het algemeen wereldwijd, 24 uur per dag, toegankelijk voor een potentieel zeer omvangrijk en divers publiek. Het voordeel van deze grote toegankelijkheid heeft als keerzijde dat mensen van wie persoons gegevens op internet staan, de betrokkenen, grote nadelen kunnen ondervinden van onjuiste, onvolledige of onnodige publicatie van hun persoonsgegevens. Op internet moeten persoonsgegevens op dezelfde zorgvuldige wijze worden verwerkt als in de offlinewereld. Deze publicatie van het College bescherming persoonsgegevens verschaft duidelijkheid over het toepassen van de Wet bescherming persoonsgegevens (Wbp) in een internetomgeving.
REGELS In het kort dienen degenen die persoonsgegevens op internet (willen) publiceren, de verantwoor delijken, zich te houden aan de volgende regels. Voorafgaand aan publicatie: 1 Stel vast of de publicatie een legitiem doeleinde dient en of dat doel verenigbaar is met het doel waarvoor de gegevens oorspronkelijk zijn verkregen. 2 Beschik over een rechtvaardigingsgrond voor publicatie. De belangrijkste rechtvaardiging voor publicatie is toestemming van de betrokkenen. Als het ver krijgen van die toestemming niet mogelijk is, dienen verantwoordelijken te kunnen onderbouwen dat publicatie is toegestaan op grond van een van de vijf andere rechtvaardigingsgronden. Dit zijn: de uitvoering van een overeenkomst, het nakomen van een wettelijke verplichting, het vrijwaren van een vitaal belang van de betrokkene, het goed kunnen vervullen van een publiekrechtelijke taak, of het behartigen van het gerechtvaardigd belang van de verantwoordelijke. Bij deze vijf recht vaardigingsgronden moet telkens de noodzaak worden vastgesteld om de gekozen persoons gegevens op internet te publiceren. 3 Publiceer geen bijzondere persoonsgegevens. Bijzondere persoonsgegevens zijn gegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, lidmaatschap van een vakvereniging, straf rechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag. Publi catie van bijzondere persoonsgegevens op internet is alleen toegestaan als de betrokkene er uit drukkelijk toestemming voor heeft gegeven of de gegevens bewust zelf openbaar heeft gemaakt. Tijdens publicatie: 4 Leef de informatieplicht na. Verantwoordelijken dienen betrokkenen actief te informeren over het doel en de opzet van de pu blicatie. 5 Vermeld duidelijk uw eigen identiteit, toegankelijk voor iedere bezoeker van de publicatie. 6 Zorg ervoor dat u persoonsgegevens niet langer bewaart en ter beschikking stelt dan strikt nood zakelijk. 7 Waarborg actief de kwaliteit en juistheid van de gepubliceerde persoonsgegevens. 8 Tref beveiligingsmaatregelen tegen onbevoegd gebruik. Onder die maatregelen vallen onder meer dataminimalisatie, het afschermen van persoons gegevens voor zoekmachines, doelgroepafbakening en het beveiligen van het gegevenstransport. Volgend op publicatie: 9 Verwijder gegevens als de betrokkene zijn toestemming voor publicatie intrekt. Voldoe tevens aan verzoeken van betrokkenen tot inzage en aan verzoeken tot verwijdering, verbetering, aanvulling of afscherming van persoonsgegevens als die feitelijk onjuist zijn, voor het doeleinde onvolledig of niet ter zake dienend, dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt. 10 Verwijder onrechtmatig gepubliceerde persoonsgegevens. Dit speelt vooral bij publicaties met een reactiemogelijkheid voor bezoekers.
56
CBP Richtsnoeren
349
UITZONDERINGEN Op deze regels voor verantwoordelijken zijn enkele uitzonderingen. 1 De eerste betreft het gebruik van persoonsgegevens voor uitsluitend persoonlijke of huishoudelijke doeleinden. De Wbp is daarop niet van toepassing. Wie van deze uitzondering gebruik wil maken, dient wel zodanige beveiligingsmaatregelen te treffen dat de persoonsgegevens alleen toegankelijk zijn voor een kenbare groep familieleden, huisgenoten of vrienden. 2 De Wbp kent specifieke regels voor publicaties met een historisch, statistisch of wetenschappelijk doeleinde. Wie op deze grond persoonsgegevens op internet wil publiceren, dient de toegang eveneens strikt af te bakenen. Er gelden bovendien nog striktere eisen ten aanzien van bijzondere persoonsgegevens. 3 Op de publicatie van persoonsgegevens voor uitsluitend journalistieke doeleinden is de Wbp slechts beperkt van toepassing. 4 De Wbp kent een verbod op doorgifte van persoonsgegevens naar landen buiten de EU waarvoor geen passend beschermingsniveau is vastgesteld. Conform het Lindqvist-arrest van het Europees Hof van Justitie is dit verbod niet van toepassing op publicaties op internet. Het feit dat publicaties op internet toegankelijk zijn in allerlei derde landen, wordt niet als ‘doorgifte’ beschouwd. De regels zijn alleen van toepassing op verantwoordelijken die doelbewust persoonsgegevens door geven naar een of meerdere derde landen, bijvoorbeeld door middel van een internationaal intra net. SANCTIES Verantwoordelijken die zich niet houden aan de Wbp kunnen door betrokkenen in rechte worden aangesproken, zowel op grond van de Wbp als op grond van het bestuursrecht en het civiele recht. Daarnaast kunnen zij in aanraking komen met de toezichthoudende bevoegdheden van het College bescherming persoonsgegevens, variërend van bemiddeling tot het instellen van een ambtshalve onderzoek en het opleggen van een dwangsom.
350
Publicatie van persoonsgegevens op internet
57
MANAGEMENT SUMMARY Personal data are published on the Internet by government institutions, companies, journalists or individuals in many different ways. Publications on the Internet are generally accessible worldwide, 24 hours per day, to a potentially extensive and highly varied public. The drawback to the benefit of this general accessibility is that people whose personal data are placed on the Internet, the data subjects, could be at a serious disadvantage due to incorrect, incomplete or unnecessary publication of their personal data. Personal data must be treated with the same care on the Internet as they are offline. This publication by the Dutch Data Protection Authority (Dutch DPA) [College bescherming persoonsgegevens (CBP)] provides clarity with regard to the application of the Wet bescherming persoonsgegevens (Wbp) [Dutch Data Protection Act] in cases involving the Internet.
REGULATIONS In brief, those persons who (wish to) publish personal data on the Internet, the controllers, must adhere to the following regulations. Prior to publication: 1 Determine whether the publication serves a legitimate purpose and whether that purpose is con sistent with the purpose for which the data were originally obtained. 2 Ensure that publication of the data is justified. The most important justification for publishing personal data is the consent of the data subjects. If obtaining consent is not possible, the controllers must be able to substantiate that publication is permitted on the basis of one of the other five grounds to make data processing legitimate. These are: to carry out an agreement, to comply with a statutory obligation, to safeguard a vital interest of the data subject, to be able to correctly perform a task under public law, or to uphold the legitimate interests of the controller. For each of these five justifications, it is necessary to establish the neces sity of publishing the selected personal data on the Internet. 3 Do not publish sensitive personal data. Special categories of personal data (sensitive data) are data relating to a person’s religion or life principles, race, political persuasions, health, sexual orientation, membership of a trade union, personal criminal records and data relating to wrongful or objectionable behaviour. The publication of special categories of personal data on the Internet is only permitted in the event that the data subject has given his or her express consent or has consciously publicised the data him or herself. During publication: 4 Observe the obligation to provide information. Controllers must actively inform the data subjects of the purpose and intention of the publication. 5 Clearly state your own identity, in a manner accessible to each person to visit the publication. 6 Ensure that you do not retain or make available personal data for any longer than is strictly neces sary. 7 Actively guarantee the quality and accuracy of the published personal data. 8 Take security measures against unauthorised use. These measures include data minimisation, protection of personal data from search engines, target group definition and secure transportation of data. Following publication: 9 Remove data if the data subject withdraws his or her consent to publication. Comply with requests made by data subjects in respect of access and requests for the deletion, correction, supplementation or blocking of personal data in the event that the data are factually incorrect, incomplete for their purpose or are irrelevant, or have been processed in some other way that contravenes a statutory regulation. 10 Remove wrongfully published personal data. This may particularly apply to publications in which visitors are given the opportunity to respond.
58
CBP Richtsnoeren
351
EXCEPTIONS There are a few exceptions to these regulations for controllers. 1 The first of these relates to using personal data purely for personal or household purposes. The Wbp does not apply to the use of personal data for this purpose. Those who wish to avail them selves of this exception must take security measures to the effect that the personal data are solely accessible to a predefined group of family members, cohabitants or friends. 2 The Wbp comprises specific regulations for publications with a historic, statistical or scientific purpose. Those who wish to publish personal data on this basis must also strictly delimit access. Moreover, stricter requirements apply in respect of sensitive personal data. 3 The application of the Wbp in respect of publishing personal data exclusively for journalistic pur poses is limited. 4 The Wbp includes a prohibition regarding the transfer of personal data to countries outside of the EU, for which a suitable level of protection has not been established. In accordance with the Lindqvist judgment of the European Court of Justice, this prohibition does not apply to publications on the Internet. The fact that publications on the Internet are accessible in various other countries is not regarded as ‘transfer’. The regulations apply exclusively to controllers that intentionally transfer personal data to one or more countries outside of the EU, for example by means of an international intranet.
SANCTIONS Controllers who do not comply with the Wbp can be subject to legal action by data subjects, both on the strength of the Wbp and under administrative law and civil law. In addition, they may be subjected to the supervisory powers of the Dutch DPA, varying from mediation to the institution of an official investigation or the imposition of incremental penalties.
352
Publicatie van persoonsgegevens op internet
59
BIJLAGEN
Index van voorbeelden 61 Model privacyverklaring 62
60
CBP Richtsnoeren
353
index van voorbeelden Beschuldiging van oplichterij 36 Beschuldigingen uit Google cache verwijderen 33 CWI publiceert gegevens werkzoekenden op internet 22 Digidoor 35 Extra informatie en aandacht voor privacy en jongeren 26 Fotoâ&#x20AC;&#x2122;s van leerlingen 15 Geen handtekening publiceren op internet 33 Gegevens van oud-leerlingen 20 Genealogische websites 11 Het publiceren van vergaderverslagen 12 IP-adres 10 Panoramafotoâ&#x20AC;&#x2122;s van huizen 11 Profielsites 8 Publicatie van waardegegevens onroerend goed 21 Publiceren internetstatistieken 13 Schrijven over bekende personen 27 Teveel identificerende gegevens 32 Toegang tot digitale jaaropgaven 35 Toegang voor advocaten tot rolgegevens 31 User generated content 40 Verschil verantwoordelijkheid en aansprakelijkheid 8 Vuistregels publicaties jongeren 23 Website in de Verenigde Staten 7 Website met medische dossiers 34
354
Publicatie van persoonsgegevens op internet
61
BIJLAGEN
MODEL PRIVACYVERKLARING Voorbeeld privacyverklaring van een discussieforum Een goede privacyverklaring van een fictieve website met een openbaar discussieforum over een ziekte kan er als volgt uitzien: 114) 1 Identiteit De verantwoordelijke voor deze website is de stichting <naam>, Voorbeeldstraat 1, 1000 AB te Haar lem. De stichting is bereikbaar via info@<naamwebsite>.nl 2 Doeleinde Via deze website en in het bijzonder het discussieforum wil de stichting kennisuitwisseling in de breedste zin bevorderen over de ziekte X, zowel door experts als door geïnteresseerden. 3 Gevraagde informatie Voor het leveren van bijdragen aan het discussieforum is registratie verplicht. Deelnemers zijn ver plicht om hun voor- en achternaam op te geven, e-mailadres, het gewenste wachtwoord en het ge wenste pseudoniem waaronder de bijdragen worden gepubliceerd. Bij de registratie wordt tevens het IP-adres vastgelegd en het tijdstip van registratie. Bij elke afzonderlijke bijdrage wordt eveneens het IP-adres en het tijdstip vastgelegd. De aldus verkregen gegevens worden niet op internet gepu bliceerd, met uitzondering van het gekozen pseudoniem en de inhoud van de bijdrage. De stichting gebruikt de niet-openbare gegevens om inzicht te krijgen in de soorten gebruikers van de site; om deelnemers in staat te stellen eventuele bijdragen te corrigeren of te laten verwijderen en om eventueel misbruik zoals spamming te bestrijden of om deelnemers uit te sluiten die de gebruiksregels van het forum hebben overtreden. De gebruiksregels zijn te vinden op http://www.<naamwebsite>.nl/ge bruiksregels. Het e-mailadres wordt verder specifiek gebruikt om het gekozen pseudoniem en wachtwoord te beves tigen en eventueel een nieuw wachtwoord toe te sturen. De stichting kan het e-mailadres ook gebruik en om een bericht door te sturen van een andere deelnemer, mits de deelnemer daar toestemming voor heeft gegeven bij de registratie. De niet-openbare gegevens worden door de stichting niet aan derden verstrekt of voor enig ander doel gebruikt, met uitzondering van wettelijke verplichtingen om desgevraagd gegevens te verstrekken aan bevoegde instanties. Bij het pseudoniem kan desgewenst een openbaar profiel worden aangemaakt, met nadere informatie over degene die de bijdrage levert, zoals bijvoorbeeld geslacht en leeftijd. Het aanmaken van een profiel is niet verplicht. 4 Ontvangers De informatie op de website en in het discussieforum is openbaar en wereldwijd toegankelijk. Wie een bijdrage levert, gaat ermee akkoord dat zijn bijdrage door een onbekende groep lezers op onbekende wijze verder verwerkt kan worden. Om eventuele nadelige gevolgen van publicatie te voorkomen, zeker nu het gaat om bijzondere persoonsgegevens met betrekking tot ziekte, verwijdert de stichting bijdragen waarin identificeerbare informatie wordt gepubliceerd over derden. De stichting ontraadt deelnemers ten zeerste om identificeerbare informatie over zichzelf te publiceren. 5 Rechten deelnemers Deelnemers aan het forum geven door registratie ondubbelzinnige toestemming voor het registreren van hun persoonsgegevens door de stichting en het publiceren op internet van hun bijdrage, inclusief bijzondere persoonsgegevens. Minderjarigen, dat wil zeggen personen onder de zestien jaar, mogen zich alleen registreren met toestemming van hun ouders of voogd. Iedereen kan zijn toestemming te al len tijde intrekken en verzoeken om verwijdering van zijn gegevens. Desgevraagd verwijdert de stich ting de gegevens die benodigd waren voor registratie en anonimiseert de stichting bijdragen aan het forum. Dat wil zeggen dat het gekozen pseudoniem wordt vervangen door de generieke term ‘ver wijderd’ en het eventuele bijbehorende profiel wordt gewist. De bijdragen zelf blijven in het forum staan, om de logica van de discussie niet te verstoren, tenzij een deelnemer een bijzondere omstandig heid aanvoert om een specifieke bijdrage te verwijderen, bijvoorbeeld omdat de bijdrage de deelnemer identificeerbaar maakt.
114) M et dit voorbeeld licht het CBP toe hoe de tien elementen van een privacyverklaring in een concreet geval kunnen worden ingevuld. De privacyverklaring staat los van eventueel benodigde algemene voorwaarden of specifieke gebruiksregels. In het kader van privacy by design verdient het de voorkeur om systemen te ontwerpen waarbij geen of zo min mogelijk persoonsgegevens worden verwerkt, dus ook geen verplichte registratie van forumdeelnemers.
62
CBP Richtsnoeren
355
Om een verwijder- of correctieverzoek te kunnen uitoefenen, is het noodzakelijk dat de deelnemer de gegevens meldt waarmee hij zich heeft geregistreerd. De stichting neemt contact op met het e-mailadres dat bij registratie is opgegeven. Het adres voor verwijder- en correctieverzoeken is: privacy@<naamwebsite>.nl 6 Privacyvragen Vragen over het privacybeleid van de website en het forum kunnen per post aan de stichting worden gesteld, t.a.v. de voorzitter van het bestuur, of per e-mail via privacy@<naamwebsite>.nl 7 Overige gegevensverwerking De website legt de IP-adressen vast van bezoekers van de website, door middel van een extern sta tistiekenprogramma. Dat betekent dat alle bezoekers van de website en het forum eerst langs een ex terne server worden geleid, voor zij op de website van de stichting terechtkomen. De statistieken worden gebruikt om de vindbaarheid en het gebruik van (onderdelen van) de site te meten door be zoekers en de benodigde servercapaciteit in te kunnen schatten. De website gebruikt geen cookies of andere methodes om op geautomatiseerde wijze gegevens te verzamelen. 8 Beveiliging Voor de registratie van deelnemers aan het forum gebruikt de stichting een beveiligd protocol, https. De aldus verkregen gegevens worden door de stichting opgeslagen in een adequaat beveiligde data base, die niet aan internet is verbonden. De gegevens op de website en het discussieforum zijn opgesla gen in een database die met internet is verbonden en adequaat is beveiligd tegen ongeoorloofd gebruik door derden, zoals wijziging van gegevens. Alle gegevens op de website en in het discussieforum zijn openbaar toegankelijk en kunnen dus door elke derde naar zijn eigen systeem worden gekopieerd. De afzonderlijke pagina’s met bijdragen zijn niet indexeerbaar voor zoekmachines. 9 Bewaartermijn Alle gegevens op de website en in het discussieforum blijven beschikbaar op internet zolang de stich ting daartoe de middelen en mogelijkheden heeft. Voor een eventuele uitsluiting van het forum geldt een termijn van 1 jaar, gebaseerd op het IP-adres of de IP-adressen van een deelnemer die de gebruiks regels heeft overtreden. Na het verstrijken van 12 maanden wordt het IP-adres of worden de IPadressen verwijderd uit de blokkadelijst. 10 Melding bij het CBP De stichting heeft het discussieforum gemeld bij het CBP als een verwerking van bijzondere persoons gegevens, onder nummer m0000000.
356
Publicatie van persoonsgegevens op internet
63
64
CBP Richtsnoeren
357
colofon
CBP Richtsnoeren Publicatie van persoonsgegevens op internet College bescherming persoonsgegevens, Den Haag, december 2007.
INHOUD
Inleiding 2
Stroomschema 4 1 Basisbeginselen van de bescherming van persoons gegevens op internet 6 2
Verplichtingen van de verantwoordelijke 18
3
Rechten van betrokkenen 38
© Niets uit deze uitgave mag worden verveelvoudigd en/of openbaar gemaakt door middel van druk, fotokopie, microfilm of op welke wijze dan ook, zonder voorafgaande schriftelijke toestemming van het College bescherming persoonsgegevens.
4 Toepasselijkheid uitzondering journalistieke doeleinden 42 5
Doorgifte buiten de EU 48
6
Handhaving en de rol van het CBP 52
Managementsamenvatting 56
Management summary 58
Bijlagen 60
Het College bescherming persoonsgegevens houdt onder de Wet bescherming persoonsgegevens toezicht op de naleving van wetten die het gebruik van persoonsgegevens regelen. Op internet worden veel persoons gegevens gepubliceerd. Dit document geeft aan hoe het College publicatie van persoonsgegevens op internet in het algemeen beoordeelt. Daarnaast geven de Richtsnoeren uitleg over de wet, aan de hand van illustraties uit de praktijk. Voor iedereen die publiceert op internet is van belang dat duidelijk is of, wan neer en in welke vorm publicatie is toegestaan. De beleidsregels die in deze Richtsnoeren worden uitgewerkt, beogen bij te dragen aan deze duidelijkheid. Helderheid over toepasselijke normen bevordert de naleving ervan en past in een efficiënt handhavingsbeleid. Deze richtsnoeren zijn gepubliceerd in de Staatscourant van 11 december 2007. 358
CBP Richtsnoeren publicatie van persoonsgegevens op internet
Postbus 93374 2509 AJ Den Haag e -mail info@cbpweb.nl
www.cbpweb.nl
december 2007 359
HANDLEIDING V O O R V E R W E R K E R S VA N P E R S O O N S G E G E V E N S
WET BESCHERMING PERSOONSGEGEVENS
W
E
T
B
E
S
C
H
E
R
M
I
N
G
P
E
R
S
O
O
N
S
G
E
G
E
V
E
N
S 360
Handleiding voor verwerkers van persoonsgegevens
Wet bescherming persoonsgegevens
Mr. L.B. Sauerwein en Mr. J.J. Linnemann
Ministerie van Justitie
Den Haag, april 2002
De handleiding en toekomstige actualiseringen daarvan zijn beschikbaar op de website van het ministerie van Justitie: www.justitie.nl
361
W
E
T
B
E
S
C
H
E
R
M
I
N
G
P
E
R
S
O
O
N
S
G
E
G
E
V
E
N
S
362
2
H A N D L E I D I N G
W E T
B E S C H E R M I N G
P E R S O O N S
W E T
B E S C H E R M I N G
P E R S O O N S G E G E V E N S
Inhoud Hoofdstuk 1 Inleiding
5
Stroomdiagrammen
6
Hoofdstuk 2 Is de Wbp op mijn gegevensverwerking van toepassing?
12
2.1 Inleiding
12
2.2 Zijn de gegevens persoonsgegevens?
12
2.3 Verwerk ik persoonsgegevens?
14
2.4 Op welke verwerking van persoonsgegevens is de Wbp van toepassing? 14 2.5 Welke verwerkingen zijn uitgezonderd: op welke verwerkingen is de Wbp niet van toepassing?
16
2.6 Ben ik de verantwoordelijke?
16
2.7 Ben ik de bewerker?
17
Hoofdstuk 3 Aan welke eisen moet mijn gegevensverwerking voldoen? 3.1 Inleiding
19 19
3.2 Mijn gegevensverwerking moet behoorlijk en zorgvuldig en in overeenstemming met de wet zijn
19
3.3 Persoonsgegevens mag ik alleen verwerken voor een bepaald doel en op basis van een bepaalde grondslag: wat betekent dat? 3.4 Op welke grondslagen mag ik mijn gegevensverwerking baseren?
20 20
3.5 Mijn gegevensverwerking mag niet onverenigbaar zijn met het doel waarvoor ik de gegevens heb verzameld: wat betekent dat? 3.6 Aan welke kwaliteitseisen moet mijn gegevensverwerking voldoen?
25 27
Hoofdstuk 4 Wat zijn mijn plichten als verantwoordelijke?
29
4.1 Inleiding
29
4.2 De melding
29
4.3 Hoe en wanneer moet ik de betrokkene informeren over de gegevensverwerking?
33
4.4 Wanneer moet ik inzage geven?
36
4.5 Wanneer moet ik corrigeren?
36
4.6 Hoe moet ik mijn gegevensverwerking beveiligen?
38
4.7 De betrokkene heeft het recht van verzet: wat moet ik doen?
39
4.8 Hoe lang mag ik persoonsgegevens bewaren?
40
4.9 Uitzonderingen
40
Hoofdstuk 5 De bewerker
42
5.1 Inleiding
42
5.2 Hoe schakel ik een bewerker in en welke eisen stelt de wet aan de inschakeling van een bewerker?
42
5.3 Welke verplichtingen legt de Wbp op aan de bewerker?
363 G E G E V E N S
3
42
INHOUD
Hoofdstuk 6 Wat kan ik zelf regelen op grond van de Wbp?
44
6.1 Inleiding
44
6.2 De functionaris voor de gegevensbescherming
44
6.3 Is zelfregulering door mijn sector mogelijk?
46
Hoofdstuk 7 Mag ik bijzondere persoonsgegevens verwerken?
47
7.1 Inleiding
47
7.2 Wat zijn bijzondere persoonsgegevens?
47
7.3 Wanneer is het verboden bijzondere persoonsgegevens te verwerken en wanneer niet?
47
Hoofdstuk 8 Specifieke vormen van gegevensverwerking
51
8.1 Direct marketing
51
8.2 Gegevensverkeer met het buitenland
54
Hoofdstuk 9 Wat kan er gebeuren als ik niet aan alle eisen van de Wbp voldoe? 58 9.1 Inleiding
58
9.2 Welke acties kunnen burgers tegen mij ondernemen?
58
9.3 Welke overtredingen zijn strafbaar?
60
9.4 Welke acties kan het College bescherming persoonsgegevens ondernemen als ik de Wbp niet naleef?
60
Bijlage Van Wpr naar Wbp: wat is veranderd en hoe luidt de overgangsregeling?
62
Adressen
65
364
4
H A N D L E I D I N G
W E T
B E S C H E R M I N G
P E R S O O N S
HOOFDSTUK
1
W E T
B E S C H E R M I N G
P E R S O O N S G E G E V E N S
Inleiding De snelle technologische ontwikkelingen bieden meer mogelijkheden om persoonsgegevens te verwerken. Ondernemingen, organisaties en de overheid krijgen daardoor ook meer mogelijkheden om nieuwe diensten te ontwikkelen waar de burger profijt van heeft. Die mogelijkheden kunnen aan de andere kant ook een bedreiging vormen voor de privacy van de betrokkenen. Er bestaat behoefte aan regulering van deze - en toekomstige - ontwikkelingen. Het Europees Parlement en de Raad van de Europese Unie hebben daarom een Europese richtlijn vastgesteld. Met de Wet bescherming persoonsgegevens (Wbp) wordt deze richtlijn in Nederland uitgevoerd. Deze nieuwe wet vervangt de Wet persoonsregistraties (Wpr). Om personen, organisaties, ondernemingen en overheidsinstellingen die persoonsgegevens verwerken of gaan verwerken, behulpzaam te zijn bij het nemen van maatregelen om aan de Wet bescherming persoonsgegevens te voldoen, geeft het ministerie van Justitie deze handleiding uit. Deze handleiding richt zich dus niet tot de burger wiens persoonsgegevens worden verwerkt, maar is bestemd voor de personen, organisaties, ondernemingen en overheidsinstellingen die persoonsgegevens verwerken. Niet ieder onderdeel van deze handleiding is voor alle lezers even relevant. Met behulp van stroomdiagrammen is gepoogd de lezer zo snel mogelijk te leiden naar die onderdelen die voor hem of haar van belang zijn. Deze handleiding is tot stand gekomen na overleg met de Registratiekamer, VNO-NCW, FNV, de Consumentenbond, de Vereniging van Nederlandse Gemeenten (VNG), de Nederlandse Associatie voor Direct Marketing, Distance Selling en Sales Promotion (DMSA), de Koninklijke Nederlandsche Maatschappij tot bevordering der Geneeskunst (KNMG), de Nederlandse Orde van Advocaten en de Nederlandse Vereniging van Banken. Naast de papieren editie van de handleiding is er ook een elektronische versie. Die versie wordt aangepast als daar aanleiding voor is, bijvoorbeeld bij wijzigingen in uitvoeringsbesluiten. U doet er dus goed aan periodiek de elektronische versie te raadplegen. U vindt die op de website van het ministerie van Justitie en via de website van de Registratiekamer c.q. het College bescherming persoonsgegevens. De adressen staan achterin deze handleiding vermeld. In deze handleiding wordt de Wet bescherming persoonsgegevens kortweg aangeduid als Wbp, en de Wet persoonsregistraties als Wpr.
365 G E G E V E N S
5
SCHEMA
1
Is de Wbp van toepassing? 1 Nee
Werk ik met gegevens?
2
Ja Nee
Zijn die gegevens persoonsgegevens? § 2.2 Ja 3 Ja
Is de gegevensverwerking geheel of gedeeltelijk geautomatiseerd? § 2.4 Nee 4 Nee
Zijn de handmatig verwerkte gegevens opgenomen in een bestand of zijn ze bedoeld om daarin te worden opgenomen? § 2.4 Ja 5 Valt de gegevensverwerking onder één van de uitzonderingen? § 2.5 Nee 6 Vindt de verwerking plaats in het kader van activiteiten van een vestiging van een verantwoordelijke in Nederland? (zie voor de vraag of u de verantwoordelijke bent schema 2) § 2.4 Ja
De Wbp is niet van toepassing
Uw verwerking wordt beheerst door het recht van de desbetreffende lidstaat
Ja
Ja
7 Nee
Vindt de verwerking plaats in het kader van activiteiten van een vestiging van een verantwoordelijke in een andere lidstaat van de Europese Unie? § 2.4 Nee 8 Wordt bij de verwerking gebruik gemaakt van (al dan niet geautomatiseerde) middelen die zich in Nederland bevinden?
De Wbp is van toepassing
Nee
§ 2.4 Ja
9 Het is u verboden persoonsgegevens te verwerken
Worden deze middelen uitsluitend gebruikt voor de doorvoer van de gegevens? § 2.4 Nee 10 Nee
Ja
Heb ik in Nederland een persoon of instantie aangewezen die namens mij handelt overeenkomstig de Wbp? § 2.4 Ja
Voor de toepassing van de Wbp wordt de persoon of instantie die u hebt aangewezen aangemerkt als verantwoordelijke 366
6
H A N D L E I D I N G
W E T
B E S C H E R M I N G
P E R S O O N S
SCHEMA
2
W E T
B E S C H E R M I N G
P E R S O O N S G E G E V E N S
Verantwoordelijke of bewerker? 1 Ben ik formeel-juridisch gezien degene die het doel en de middelen van de verwerking vaststelt?
Ja
NB: U moet deze vraag beantwoorden voor de rechtspersoon of organisatie die de gegevens verwerkt
§ 2.6 Nee
2 Ben ik degene aan wie de verwerking naar de in het maatschappelijk verkeer geldende maatstaven moet worden toegerekend?
Ja
NB: U moet deze vraag beantwoorden voor de rechtspersoon of organisatie die de gegevens verwerkt
§ 2.6 Nee
3 Sta ik onder gezag van of in een hiërarchische verhouding tot degene onder wiens verantwoordelijkheid ik persoonsNee gegevens verwerk? § 2.7 Ja Nee
Er is sprake van intern beheer: degene onder wiens gezag u staat of waartoe u in een hiërarchische verhouding staat is de verantwoordelijke
U bent verantwoordelijke
U bent bewerker
367 G E G E V E N S
7
SCHEMA
3
Rechtmatige verwerking 1 Heb ik één of meer duidelijk bepaalde en gerechtvaardigde doeleinden voor het verzamelen van persoonsgegevens? § 3.3 Ja 2 Heb ik dat doel of die doeleinden uitdrukkelijk omschreven? § 3.3 Ja 3 Ja
Is de wijze waarop ik mij heb voorgenomen de gegevens vervolgens te verwerken verenigbaar met het doel of de doeleinden waarvoor ik ze heb verkregen? § 3.5 Nee 4 Mag ik op grond van één van de uitzonderingen gegevens verwerken op een wijze die onverenigbaar is met het doel of de doeleinden waarvoor ik ze heb verkregen? § 4.9 Ja 5 Kan ik mijn verwerking (inclusief het verzamelen) baseren op ten minste één van de grondslagen die de Wbp noemt? § 3.4 Ja 6
Nee
Nee
Nee
Nee
Nee Heb ik maatregelen genomen opdat de persoonsgegevens juist, nauwkeurig, toereikend, ter zake dienend en niet bovenmatig zijn, gelet op Ja mijn doel(einden)? § 3.6 7 Nee
Verwerk ik bijzondere persoonsgegevens? 8
de gegevensverwerking is onrechtmatig
§ 7.2
Ja
Valt mijn verwerking van bijzondere persoonsgegevens onder Nee één van de algemene of specifieke uitzonderingen op het verbod op de verwerking van dergelijke gegevens? § 7.3 Ja 9 Nee
Verwerk ik gegevens voor direct marketingdoeleinden? §8.1.1 Ja 10 Voldoe ik aan alle specifieke regels Nee m.b.t. de verwerking voor direct marketingdoeleinden? §8.1.2 t/m 8.1.4 Ja 11
Nee
Geef ik gegevens door naar een land buiten de Europese Unie? 12
14 Valt mijn verwerking onder ten minste één van de uitzonderingen op het verbod van doorgifte Nee naar een land buiten de Europese Unie zonder een passend beschermingsniveau? §8.2.3 Ja 15
Ja
Is doorgifte naar dat land verboden door de minister van Justitie? §8.2.3 Nee 13
Heb ik voldaan aan alle overige op mij rustende Nee verplichtingen van de Wbp? (zie schema 6) Nee
Nee
Waarborgt dat land een passend beschermingsniveau? Ja
Ja
§8.2.3
Ja
de gegevensverwerking is rechtmatig
368
8
H A N D L E I D I N G
W E T
B E S C H E R M I N G
P E R S O O N S
SCHEMA
W E T
4
B E S C H E R M I N G
P E R S O O N S G E G E V E N S
Melding 1 Ja
Verwerk ik geheel of gedeeltelijk geautomatiseerd persoonsgegevens? §4.2.2 Nee 2 Is mijn handmatige gegevensverwerking onderworpen aan voorafgaand onderzoek? §4.2.2 Ja
Nee
U moet uw gegevensverwerking melden bij het College bescherming persoonsgegevens
3 Ja
Is mijn gegevensverwerking van de meldingsplicht vrijgesteld?
U hoeft uw gegevensverwerking niet te melden
§4.2.3
U hoeft uw gegevensverwerking niet te melden
Nee 4 Heb ik of heeft mijn brancheorganisatie een functionaris voor de gegevensbescherming benoemd? §6.2
Nee
U moet uw gegevensverwerking melden bij het College bescherming persoonsgegevens (zie § 4.2.4 voor de inhoud van de melding)
Ja U moet uw gegevensverwerking melden bij de functionaris voor de gegevensbescherming (zie § 4.2.4 voor de inhoud van de melding)
369 G E G E V E N S
9
5
SCHEMA
Informatieverstrekking 1 Is de betrokkene op de hoogte van de informatie? (zie 4.3.3 over welke informatie u moet verschaffen)
2
Ja
U hebt geen informatieplicht
§4.3.2
Nee
Mag ik op grond van één van de uitzonderingen afzien van het verstrekken van informatie? §4.9 Nee
Ja
U hebt geen informatieplicht
U hebt een informatieplicht 3 Verstrekt de betrokkene de gegevens bewust aan mij? §4.3.4 Nee
Ja
U verkrijgt de gegevens buiten de betrokkene om 4
Leg ik de gegevens vast op grond van een wettelijke plicht of verstrek ik de gegevens op grond van een wettelijke plicht? §3.4.4 Nee 5
U hebt geen informatieplicht
Ja
(u moet op verzoek wel de desbetreffende wettelijke bepaling noemen)
Is het voor mij onmogelijk om alle betrokkenen te informeren of moet ik daarvoor een onevenredige inspanning leveren? §4.3.5 Nee 6
Ja
Gaat het om een beperkt aantal betrokkenen?
Nee
U hebt geen informatieplicht (u moet wel de herkomst van de gegevens vastleggen; zie § 4.3.5)
§4.3.5 Ja U moet de betrokkene persoonlijk informeren §4.3.5 7
U mag de betrokkene in een algemenere vorm informeren, mits de hele groep wordt bereikt §4.3.5
Zijn de gegevens bestemd om aan een derde te verstrekken? §4.3.4 Nee
Ja U moet de betrokkene uiterlijk op het moment van de eerste verstrekking informeren
U moet de betrokkene bij het verkrijgen van de gegevens informeren
§4.3.5
U moet de betrokkene voor het moment van verkrijging informeren
§4.3.5
§4.3.5
ZIE § 4.3.3: WELKE INFORMATIE MOET IK VERSTREKKEN?
370
10
H A N D L E I D I N G
W E T
B E S C H E R M I N G
P E R S O O N S
SCHEMA
6
W E T
B E S C H E R M I N G
P E R S O O N S G E G E V E N S
Wat “moeten en mogen” de verantwoordelijke, de bewerker en de betrokkene? De verantwoordelijke moet: • Nagaan of de gegevensverwerking rechtmatig is
schema 3 rechtmatige verwerking
• Nagaan of de gegevensverwerking behoorlijk, zorgvuldig en in overeenstemming is met de Wbp en andere relevante wetten
§ 3.1 en § 3.2
• Nagaan of de gegevensverwerking moet worden gemeld
schema 4 melding
• De gegevensverwerking beveiligen
§4.6
• De persoonsgegevens niet langer bewaren dan noodzakelijk is
§ 4.8
• Informatie verstrekken aan de betrokkene
schema 5 informatieverstrekking
• Inzage geven (op verzoek van de betrokkene)
§ 4.4
• De gegevens corrigeren (op verzoek van de betrokkene)
§ 4.5
• De verwerking van gegevens beëindigen als de betrokkene zich verzet
§ 4.7 en 8.1.3
De verantwoordelijke kan: • Een bewerker inschakelen (de Wbp geeft een aantal regels)
§ 5.2
• Een functionaris voor de gegevensbescherming benoemen
§ 6.2
• Gebruik maken van de mogelijkheid tot zelfregulering
§ 6.3
De bewerker moet: • Uitsluitend in opdracht van de verantwoordelijke persoonsgegevens bewerken
§ 5.3
• De gegevensverwerking beveiligen
§ 5.3
• De voorwaarden accepteren die de verantwoordelijke op grond van de Wbp aan de bewerker moet opleggen.
§ 5.3
• Geheimhouding betrachten
§ 5.3
De betrokkene kan: • Inzage verzoeken
§ 4.4
• Correctie verzoeken
§ 4.5
• Verzet aantekenen
§ 4.7 en 8.1.3
• Schadevergoeding vorderen
§ 9.2.2
• Een verzoek om een rechterlijk gebod of verbod doen
§ 9.2.3
• Bezwaar maken tegen een aantal besluiten van de verantwoordelijke
§ 9.2.4
• Een verzoekschrift indienen in verband met een aantal besluiten van de verantwoordelijke
§ 9.2.5
371 G E G E V E N S
11
HOOFDSTUK
2
Is de Wbp op mijn gegevensverwerking van toepassing? 2.1 Inleiding De Wbp geeft regels voor het verwerken van persoonsgegevens. Om te beoordelen of de Wbp op uw gegevensverwerking van toepassing is, zult u dus twee dingen moeten vaststellen: 1
Zijn de gegevens persoonsgegevens?
2
Verwerk ik persoonsgegevens?
Hebt u vastgesteld dat er sprake is van het verwerken van persoonsgegevens, dan moet u vervolgens bepalen: 3
Ben ik voor die verwerking verantwoordelijk? Oftewel: ben ik de verantwoordelijke?
De Wbp richt zich namelijk primair tot de verantwoordelijke. De verantwoordelijke kan het verwerken van persoonsgegevens geheel of gedeeltelijk uitbesteden aan een bewerker. Ook aan de bewerker kent de Wbp bepaalde rechten en plichten toe. Niet iedereen die voor een ander gegevens verwerkt, is echter bewerker in de zin van de Wbp. Als u gegevens verwerkt ten behoeve van een ander is het dus van belang om vast te stellen: 4
Ben ik bewerker?
Deze vragen worden in de volgende paragrafen behandeld.
2.2 Zijn de gegevens persoonsgegevens? Alle gegevens die informatie kunnen verschaffen over een identificeerbare natuurlijke persoon zijn persoonsgegevens in de zin van de Wbp. De Wbp noemt de persoon wiens persoonsgegevens worden verwerkt de betrokkene. persoonsgegevens
Gegevens zijn persoonsgegevens als: • de gegevens informatie bevatten over een natuurlijke persoon; en • die persoon identificeerbaar is. Gegevens moeten informatie bevatten over een natuurlijke persoon. Of gegevens informatie bevatten over een natuurlijke persoon blijkt meestal uit de aard van de gegevens.
feitelijke informatie
• Gegevens die naar hun aard feitelijke informatie over een persoon geven. Sommige gegevens verschaffen duidelijk feitelijke informatie over een persoon. De meest sprekende voorbeelden zijn iemands naam, geboortedatum of geslacht. Ook gegevens die een waardering over een natuurlijke persoon geven, bevatten informatie over die persoon. U kunt daarbij denken aan iemands intelligentiequotiënt (IQ).
372
12
H A N D L E I D I N G
W E T
B E S C H E R M I N G
P E R S O O N S
W E T
B E S C H E R M I N G
P E R S O O N S G E G E V E N S
Sommige gegevens hebben naar hun aard geen betrekking op een persoon. Toch kunnen die gegevens persoonsgegevens zijn, mits de betrokkene identificeerbaar is. Gegevens die naar hun aard geen betrekking hebben op een persoon zijn bijvoorbeeld: ondernemingen of
â&#x20AC;˘ Gegevens over ondernemingen of organisaties.
organisaties Gegevens over ondernemingen of organisaties zijn in de regel geen persoonsgegevens. Een onderneming of organisatie is immers geen natuurlijke persoon. Komen in uw klantenbestand alleen ondernemingen voor, dan zijn de desbetreffende gegevens dus geen persoonsgegevens. Legt u echter ook gegevens vast over uw contactpersonen bij die ondernemingen, dan zijn die gegevens wel persoonsgegevens. Gegevens over ondernemingen of organisaties kunnen wel persoonsgegevens zijn als zij mede bepalend zijn voor de wijze waarop iemand in het maatschappelijk verkeer wordt beoordeeld of behandeld. Informatie over de winst van een eenmanszaak zegt bijvoorbeeld in het maatschappelijk verkeer iets over het inkomen van de eigenaar van de onderneming. Dat gegeven is dan een persoonsgegeven. voorwerpen of objecten
â&#x20AC;˘ Gegevens over voorwerpen of objecten. Ook gegevens over voorwerpen of objecten hebben naar hun aard geen betrekking op een persoon, maar kunnen toch persoonsgegevens zijn. De betrokkene moet uiteraard wel identificeerbaar zijn. Of een gegeven over een voorwerp of een object een persoonsgegeven is, hangt af van de context waarin het gegeven wordt verwerkt. Ook hier gaat het om de vraag of het gegeven mede bepalend is voor de wijze waarop iemand in het maatschappelijk verkeer wordt beoordeeld of behandeld. De waarde van een auto is bijvoorbeeld wel een persoonsgegeven wanneer dat gegeven wordt verwerkt in de administratie van een autoverzekeringsmaatschappij. Die waarde zegt immers in het maatschappelijk verkeer in de regel iets over het inkomen van de eigenaar van die auto. In de prijslijst van een autodealer daarentegen is de waarde geen persoonsgegeven. De persoon waar de gegevens betrekking op hebben, moet vervolgens wel identificeerbaar zijn. Is de betrokkene niet identificeerbaar, dan is het gegeven geen persoonsgegeven. Een persoon is identificeerbaar als u de identiteit van de persoon redelijkerwijs, zonder onevenredige inspanning kunt vaststellen. U moet dus op de een of andere manier een verband kunnen leggen tussen het gegeven en de persoon. Soms is de identiteit eenvoudig vast te stellen: met behulp van bijvoorbeeld naam, adres en geboortedatum is dat snel gebeurd. Dit worden direct identificerende gegevens genoemd.
373 G E G E V E N S
13
identificeerbaar
HOOFDSTUK
2
Gegevens die van de naam zijn ontdaan, kunnen in combinatie met andere gegevens of door spontane herkenning toch weer tot een bepaald persoon leiden. Ook in dat geval is de persoon - indirect - identificeerbaar. Dat hangt wel af van de mogelijkheden die de verantwoordelijke heeft. Als door versleuteling van de gegevens en/of afspraken over de toegang tot die gegevens, daadwerkelijke identificatie redelijkerwijs is uitgesloten, is de persoon niet identificeerbaar. Steeds is de feitelijke situatie bepalend. Kortom: om een persoonsgegeven te zijn moet het gegeven informatie verschaffen over een persoon, direct of indirect. En de persoon moet identificeerbaar zijn, direct of indirect. Dit laatste wordt mede bepaald door de vraag of de verantwoordelijke feitelijk redelijkerwijs in staat is de identiteit van een persoon vast te stellen.
2.3 Verwerk ik persoonsgegevens? Als u hebt vastgesteld dat uw gegevens persoonsgegevens zijn, is de volgende vraag of u persoonsgegevens verwerkt in de zin van de Wbp. verwerken
De verwerking van persoonsgegevens is elke handeling of elk geheel van handelingen met persoonsgegevens. Het gaat er om of u enige feitelijke macht of invloed, al dan niet via een computersysteem, over de gegevens kunt uitoefenen: u moet een handeling met de gegevens kunnen verrichten. Als u geen macht of invloed kunt uitoefenen op de persoonsgegevens, hoeft u niet aan de Wbp te voldoen. De Wbp noemt een aantal handelingen die als verwerking worden aangeduid: • verzamelen, vastleggen en ordenen; • bewaren, bijwerken en wijzigen; • opvragen, raadplegen, gebruiken; • verstrekken door middel van doorzending; • verspreiding of enige andere vorm van terbeschikkingstelling; • samenbrengen, met elkaar in verband brengen; en • afschermen, uitwissen of vernietigen van gegevens. Dit zijn slechts voorbeelden. Elke handeling met betrekking tot persoonsgegevens is een verwerking van persoonsgegevens. Kortom: u verwerkt persoonsgegevens als u een of meer handelingen verricht met betrekking tot persoonsgegevens: u moet feitelijke macht kunnen uitoefenen over de persoonsgegevens.
2.4 Op welke verwerking van persoonsgegevens is de W b p van toepassing? De Wbp is niet op elke verwerking van persoonsgegevens van toepassing. De Wbp geldt voor de geautomatiseerde verwerking van persoonsgegevens, en voor sommige handmatige verwerkingen. 374
14
H A N D L E I D I N G
W E T
B E S C H E R M I N G
P E R S O O N S
W E T
B E S C H E R M I N G
P E R S O O N S G E G E V E N S
De Wbp is van toepassing op de geheel of gedeeltelijk geautomatiseerde
geautomatiseerde verwerking
verwerking van persoonsgegevens. Dus als u met behulp van een computer persoonsgegevens opslaat, bijwerkt, etc., dan moet u aan de Wbp voldoen. Dit is ook zo als u uw gegevens in een kast bewaart, maar uw weg in die kast vindt met behulp van een computerprogramma. De Wbp is ook van toepassing als u handmatig persoonsgegevens
handmatige verwerking
verwerkt die zijn opgenomen in een bestand of bestemd zijn om daarin te worden opgenomen. Met een bestand wordt bedoeld een gestructureerd geheel van gegevens dat betrekking heeft op verschillende personen. Dat wil zeggen dat • de gegevens onderlinge samenhang moeten vertonen; en • het systeem systematisch toegankelijk moet zijn. Een ongestructureerd handmatig dossier valt dus niet onder de Wbp, een op enige wijze gesystematiseerde dossierkast wel. Verder is relevant waar de activiteiten waarvoor persoonsgegevens worden verwerkt, plaatsvinden. De Wbp is van toepassing op de verwerking van persoonsgegevens in
vestiging in Nederland
het kader van activiteiten van een vestiging van een verantwoordelijke in Nederland. Het gaat er om dat er door één of meer vestigingen van een verantwoordelijke een economische activiteit in Nederland wordt uitgeoefend in het kader waarvan persoonsgegevens worden verwerkt. De rechtsvorm van de vestiging van de verantwoordelijke (bijvoorbeeld een B.V. of een eenmanszaak) is niet relevant. Ook bijkantoren zijn vestigingen in de zin van de Wbp. Als u (als verantwoordelijke) in een andere lidstaat van de Europese Unie (niet
vestiging in EU
in Nederland) bent gevestigd, wordt uw verwerking beheerst door het recht van die lidstaat. Dit is ook het geval als u voor die verwerking middelen (zoals telefoonlijnen) gebruikt die zich in Nederland bevinden. De Wbp is ook van toepassing als u gegevens verwerkt met behulp van middelen die zich in Nederland bevinden, terwijl u niet in Nederland én ook niet in een andere lidstaat van de Europese Unie gevestigd bent. In dat geval mag u deze persoonsgegevens alleen verwerken als u in Nederland een persoon of instantie aanwijst die namens u handelt. Een uitzondering op deze regel geldt wanneer persoonsgegevens met behulp van de genoemde middelen alleen worden doorgevoerd. U kunt hierbij denken aan telefoonlijnen en telecommunicatieapparatuur.
375 G E G E V E N S
15
vestiging buiten EU
HOOFDSTUK
2
2.5 Welke verwerkingen zijn uitgezonderd: op welke verwerkingen is de Wbp niet van toepassing? Een aantal verwerkingen is expliciet uitgezonderd van de Wbp. persoonlijk of huiselijk gebruik
De Wbp is niet van toepassing als u uitsluitend voor persoonlijk of huiselijk gebruik persoonsgegevens verwerkt. U kunt hierbij denken aan persoonlijke werkaantekeningen of het bakje met visitekaartjes van personen waarmee regelmatig contact wordt opgenomen, dat een medewerker van een bedrijf als geheugensteuntje voor zichzelf bijhoudt. Dat een secretaresse van de medewerker hier in bijzondere gevallen kennis van neemt, maakt daarbij niet uit.
uitgezonderde verwerkingen
De Wbp is verder niet van toepassing als uw gegevensverwerking onder één van de aangewezen, uitgezonderde, verwerkingen valt. De uitgezonderde gegevensverwerkingen zijn verwerkingen: • door of ten behoeve van inlichtingen- en veiligheidsdiensten; • ten behoeve van de uitvoering van de politietaak; • door gemeenten in de gemeentelijke basisadministratie; • ten behoeve van de uitvoering van de Wet op de justitiële documentatie en de verklaringen omtrent het gedrag; en • ten behoeve van de uitvoering van de Kieswet. Als u persoonsgegevens verwerkt voor uitsluitend journalistieke, artistieke of literaire doeleinden, is slechts een beperkt aantal bepalingen van de Wbp op u van toepassing. Dit is een wijziging ten opzichte van de Wpr. Pers, televisie en radio moeten nu wel aan een aantal wettelijke verplichtingen in de Wbp voldoen. Als u uitsluitend voor journalistieke, artistieke of literaire doeleinden persoonsgegevens verwerkt, moet u er voor zorgen dat uw gegevensverwerking behoorlijk en zorgvuldig is. Is de verwerking dat niet, dan kunt u aansprakelijk worden gesteld. Anderzijds is het u, in tegenstelling tot veel andere verantwoordelijken, wel toegestaan bijzondere gegevens, zoals strafrechtelijke gegevens, te verwerken.
2.6 Ben ik de verantwoordelijke? Als u hebt vastgesteld dat de Wbp van toepassing is op uw gegevensverwerking, is het van belang na te gaan of u de verantwoordelijke bent. Veel van de verplichtingen van de Wbp zijn immers opgelegd aan de verantwoordelijke. verantwoordelijke
De verantwoordelijke is degene die het doel en de middelen van verwerking vaststelt. Bent u degene die beslist of, en zo ja, welke gegevens worden verwerkt, met welk doel dat gebeurt en op welke wijze, dan bent u de verantwoordelijke. Het gaat primair om:
376
16
H A N D L E I D I N G
W E T
B E S C H E R M I N G
P E R S O O N S
W E T
B E S C H E R M I N G
P E R S O O N S G E G E V E N S
• Degene die formeel-juridisch de bevoegdheid heeft om doel en middelen
formeel juridische zeggenschap
te bepalen. Het gaat dan dus niet om degene die feitelijk de beslissingen neemt, niet om u als manager, maar om de rechtspersoon, de natuurlijke persoon, het bestuursorgaan of ieder ander die formeel bevoegd is deze beslissingen te nemen. Die is de verantwoordelijke. Als dit meerdere (rechts)personen zijn, is er sprake van gezamenlijke verantwoordelijkheid. U kunt daarbij bijvoorbeeld denken aan een aantal B.V.’s in een concern, die gezamenlijk één geïntegreerd klantenbestand gebruiken voor verschillende doeleinden. Die vennootschappen zijn gezamenlijk verantwoordelijk. Die vennootschappen kunnen in een dergelijk geval overigens ook de formeel-juridische bevoegdheid (verantwoordelijkheid) bij één vennootschap binnen het concern leggen: bijvoorbeeld de holding. Als het niet duidelijk is wie formeel-juridisch de bevoegdheid of zeggenschap heeft, moet u naar het tweede criterium kijken: • Degene aan wie de verwerking naar de maatstaven die in het maatschappelijk verkeer gelden, moet worden toegerekend.
maatstaven in maatschappelijk verkeer
Wat de in het maatschappelijk verkeer geldende maatstaven zijn, is moeilijk te zeggen: het zal van de feitelijke situatie afhangen. Dit criterium is opgenomen omdat het voor burgers soms moeilijk te bepalen is wie formeel-juridisch de bevoegdheid heeft. Als verantwoordelijke hoeft u niet feitelijk zelf de gegevens te verwerken. Van belang is of u bepaalt welke gegevens worden verwerkt, hoe lang, met welke middelen en voor welk doel. Verwerkt u gegevens ten behoeve van een ander, dan bent u wellicht de bewerker. Daarover gaat paragraaf 2.7. Kortom: u bent verantwoordelijke als u, formeel-juridisch gezien, degene bent die het doel en de middelen van verwerking vaststelt. Is niet duidelijk wie formeel- juridisch de bevoegdheid heeft, dan is de verantwoordelijke degene aan wie de verwerking naar de in het maatschappelijk verkeer geldende maatstaven moet worden toegerekend. In hoofdstuk 4 worden de verplichtingen van de verantwoordelijke beschreven.
2.7 Ben ik de bewerker?
bewerker
U bent bewerker als u degene bent die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt zonder dat u onder diens rechtstreeks gezag staat. Dus:
377 G E G E V E N S
17
HOOFDSTUK
2
U verwerkt persoonsgegevens ten behoeve van een ander. Uw dienstverlening moet gericht zijn op het uitvoeren van een bepaalde verwerking van persoonsgegevens ten behoeve van de opdrachtgever. U voert bijvoorbeeld in opdracht van een bedrijf de salarisadministratie van dat bedrijf uit: u bent bewerker. Is uw dienstverlening op iets anders gericht en verwerkt u daarbinnen zelfstandig persoonsgegevens van uw opdrachtgever, dan bent u geen bewerker, maar verantwoordelijke. Als u bijvoorbeeld als pensioenverzekeraar een flexibele collectieve pensioenregeling aan een bedrijf hebt aangeboden en dat bedrijf verstrekt u ter uitvoering van die regeling de gegevens van de deelnemende werknemers, dan bent u zelf verantwoordelijk voor het vervolgens verwerken van die gegevens. Als bewerker hebt u geen zeggenschap over de gegevensverwerking, maar handelt u naar de instructies en onder verantwoordelijkheid van de verantwoordelijke. Bepalend is dus uw positie ten opzichte van de verantwoordelijke en de mate van zeggenschap die u over de gegevensverwerking heeft. U staat niet onder rechtstreeks gezag van de verantwoordelijke. Bent u ondergeschikte of staat u anderszins in een hiĂŤrarchische verhouding tot of onder rechtstreeks gezag van de verantwoordelijke, dan bent u geen bewerker, maar is er sprake van intern beheer. Ter verduidelijking enkele voorbeelden. U bent in dienst van een bedrijf en bewerkt voor uw bedrijf persoonsgegevens: er is sprake van intern beheer. Uw bedrijf is verantwoordelijke. Ook als een gedetacheerde salarisadministrateur bij een ondernemer op kantoor de salarisadministratie doet, is sprake van intern beheer. De administrateur werkt immers onder rechtstreeks gezag van de verantwoordelijke. Besteedt de onderneming daarentegen de salarisadministratie volledig uit aan een extern servicebureau, dan is dat bureau bewerker. Kortom: u bent bewerker in de zin van de Wbp als u bij het verwerken van persoonsgegevens handelt overeenkomstig de instructies en onder verantwoordelijkheid van een persoon tot wie u niet in een hiĂŤrarchische verhouding staat. In hoofdstuk 5 worden de verplichtingen van de bewerker beschreven.
378
18
H A N D L E I D I N G
W E T
B E S C H E R M I N G
P E R S O O N S
HOOFDSTUK
3
W E T
B E S C H E R M I N G
P E R S O O N S G E G E V E N S
Aan welke eisen moet mijn gegevensverwerking voldoen? 3.1 Inleiding Nadat u hebt vastgesteld dat de Wbp op uw gegevensverwerking van toepassing is en u de verantwoordelijke bent, moet u nagaan of de door u voorgenomen gegevensverwerking ook in overeenstemming is met de Wbp. De Wbp stelt eisen aan het verwerken van persoonsgegevens. Die eisen worden in de volgende paragrafen besproken. Let u echter op: de Wbp is niet de enige wet waar u naar moet kijken. Soms hebben andere wetten geheel of gedeeltelijk voorrang op de Wbp. Sommige wetten bevatten een aantal specifieke bepalingen over gegevensverwerking. U moet voldoen aan de bepalingen van de specifieke wet voor wat betreft de daar geregelde onderwerpen en voor het overige aan de Wbp. In afdeling 7.5 van boek 7 van het Burgerlijk Wetboek (de overeenkomst inzake geneeskundige behandeling) is bijvoorbeeld een speciale regeling opgenomen over (onder meer) inzage in medische dossiers. Een arts moet zich bij het geven van inzage aan deze regeling houden. Voor het overige zijn de regels van de Wbp van toepassing: een arts mag bijvoorbeeld niet meer gegevens verzamelen dan noodzakelijk is voor zijn doel. De Wbp richt zich zowel tot de publieke sector als tot de private sector. De normen van de Wbp zijn gelijkelijk van toepassing in de publieke en in de private sector. De Wpr kende een verschillend regime voor deze sectoren. De normen van de Wbp kunnen in de praktijk in de verschillende sectoren wel anders worden ingekleurd. Dat hangt samen met de verschillende posities die de overheid en private ondernemingen innemen in de maatschappij.
3.2 Mijn gegevensverwerking moet behoorlijk en zorgvuldig en in overeenstemming met de wet zijn De Wbp vereist dat u gegevens verwerkt: â&#x20AC;˘ op behoorlijke en zorgvuldige wijze; en â&#x20AC;˘ in overeenstemming met de wet. Als u gegevens niet behoorlijk en zorgvuldig verwerkt, handelt u onrechtmatig.
behoorlijk en zorgvuldig
Doet u dat in het kader van een overheidstaak (de publieke sector), dan handelt u in strijd met de algemene beginselen van behoorlijk bestuur. Wat zorgvuldig is voor een private onderneming, hoeft dat voor een overheid niet te zijn. Dat gegevens in overeenstemming met de wet moeten worden verwerkt, betekent niet alleen dat u zich aan de Wbp moet houden. U moet zich, als gezegd, ook houden aan relevante andere regelgeving waarin bijzondere regels voor gegevensverwerking zijn opgenomen. Voorbeelden zijn afdeling 7.5
379 G E G E V E N S
19
in overeenstemming met de wet
HOOFDSTUK
3
van boek 7 van het Burgerlijk Wetboek, maar ook de Organisatiewet sociale verzekeringen 1997 en de Telecommunicatiewet.
3.3 Persoonsgegevens mag ik alleen verwerken voor een bepaald doel en op basis van een bepaalde grondslag: wat betekent dat? verzamelen voor doel
U mag op grond van de Wbp persoonsgegevens alleen verzamelen als u daarvoor een doel hebt. Dit doel moet: • welbepaald; • uitdrukkelijk omschreven; en • gerechtvaardigd zijn.
duidelijk bepaald
U mag geen gegevens verzamelen zonder dat u het doel waarvoor u dat doet, duidelijk hebt bepaald. U mag gegevens uiteraard ook voor meerdere doeleinden verzamelen. Die doeleinden hoeven niet noodzakelijkerwijs verband te houden met elkaar.
omschrijven
Het doel of de doeleinden moet u omschrijven vóórdat u begint met het verzamelen. Het is dus van belang dat u goed inventariseert en omschrijft voor welke gerechtvaardigde doeleinden u bijvoorbeeld uw klantgegevens gaat verzamelen en verwerken. Doet u dat niet, dan beperkt u uw mogelijkheden. U mag de doeleinden tijdens het verwerkingsproces namelijk niet zonder meer veranderen of uitbreiden. Wel mag u onder omstandigheden gegevens die u voor een bepaald doel hebt verzameld, ook voor andere doeleinden verder verwerken. Daarover gaat paragraaf 3.5.
noodzakelijk?
Bij het inrichten van uw gegevensverwerking moet u verder steeds nagaan of het verwerken van persoonsgegevens noodzakelijk is voor het doel. Dat betekent dat u zich moet afvragen of u niet met minder gegevens hetzelfde doel kunt bereiken. U moet ook onderzoeken of u niet langs een andere weg hetzelfde resultaat kunt bereiken, bijvoorbeeld door met behulp van technische hulpmiddelen te bewerkstelligen dat u geen of zo min mogelijk persoonsgegevens verwerkt. Wat noodzakelijk is voor het doel, kan in de publieke sector anders uitpakken dan in de private sector. Dit hangt samen met de verschillende rollen die de overheid en een private partij hebben in de maatschappij.
3.4 Op welke grondslagen mag ik mijn gegevensverwerking baseren? 3.4.1 Inleiding grondslagen
U moet uw gegevensverwerking steeds kunnen baseren op één van de zes in de Wbp genoemde grondslagen. Kunt u dat niet, dan is het verwerken van persoonsgegevens niet toegestaan. Niet alle grondslagen zijn voor iedere
380
20
H A N D L E I D I N G
W E T
B E S C H E R M I N G
P E R S O O N S
W E T
B E S C H E R M I N G
P E R S O O N S G E G E V E N S
verantwoordelijke even relevant. Alleen als u behoort tot de overheid komt de in subparagraaf 3.4.6 behandelde grondslag in aanmerking. De overige grondslagen kunnen voor alle verantwoordelijken van belang zijn. Het kan zijn dat u uw gegevensverwerking op meerdere grondslagen kunt baseren.
3.4.2 Ondubbelzinnige toestemming De eerste grondslag voor verwerking is de verwerking op grond van ondubbelzinnige toestemming van de betrokkene. In afwijking van de Wpr hoeft die toestemming niet langer schriftelijk te zijn. Een schriftelijk bewijs van de toestemming kan uiteraard wel handig zijn. De toestemming moet wel aan een aantal criteria voldoen. De betrokkene moet zijn wil in vrijheid hebben geuit. Als de betrokkene onder druk van de omstandigheden heeft ingestemd met verwerking, is van vrije wil geen sprake. Van vrije wil is ook geen sprake als de betrokkene in een afhankelijke positie staat ten opzichte van u en onder druk van die afhankelijkheid met de verwerking heeft ingestemd. Als een werkgever bijvoorbeeld bij een sollicitatie naar strafrechtelijke gegevens van de sollicitant vraagt, kan de werkgever niet zeggen dat hij deze gegevens met toestemming van de betrokkene verwerkt. De toestemming van de betrokkene moet gericht zijn op bepaalde gegevensverwerking(en). Als u van de betrokkene een onbepaalde machtiging hebt gekregen om persoonsgegevens te verwerken, niet gericht op bepaalde gegevens en op bepaalde vormen van verwerking, dan is er geen sprake van rechtsgeldige toestemming. De toestemming moet dus gericht zijn op de door u beoogde verwerking of groep van verwerkingen. U moet de betrokkene vóór het geven van de toestemming zo informeren dat hij begrijpt waarvoor hij toestemming geeft. U mag er dus niet vanuit gaan dat de betrokkene wel weet wat u met de gegevens gaat doen. De toestemming moet ondubbelzinnig zijn. U mag geen twijfel hebben over de toestemming van de betrokkene. Die twijfel kunt u voorkomen door uw verzoek om toestemming zo in te richten dat de toestemming ondubbelzinnig blijkt. Hierbij kunt u denken aan het apart bevestigen van de toestemming door het aankruisen van een vakje op een papieren of elektronisch formulier. Twijfelt u of een verkregen toestemming ook van toepassing is op het door u beoogde gebruik van de gegevens, dan moet u nagaan of de betrokkene ook voor dát gebruik toestemming heeft gegeven. De toestemming kan ook blijken uit de gedragingen van de betrokkene. Als de betrokkene bij u als restauranthouder zijn visitekaartje in een daartoe bestemd bakje achterlaat om mailings over nieuwe menu’s te ontvangen, dan
381 G E G E V E N S
21
ondubbelzinnige toestemming
HOOFDSTUK
3
blijkt uit die gedraging ondubbelzinnige toestemming voor de verwerking van persoonsgegevens voor dat doel. U moet er rekening mee houden dat de bewijslast voor het verkrijgen van de ondubbelzinnige toestemming bij u ligt: u moet kunnen bewijzen dat u toestemming hebt verkregen en waarvoor u die hebt verkregen. U zult ook moeten kunnen bewijzen dat die toestemming uit vrije wil is gegeven en dat u de betrokkene voldoende hebt geïnformeerd. Ten slotte moet u er rekening mee houden dat een toestemming altijd kan worden ingetrokken. Die intrekking heeft dan wel alleen betrekking op het verwerken van gegevens ná de intrekking. Kortom: u mag gegevens op grond van de ondubbelzinnige toestemming van de betrokkene verwerken, mits u toestemming hebt gekregen voor een bepaalde verwerking van bepaalde gegevens, de toestemming uit vrije wil is geuit, u de betrokkene hebt geïnformeerd over de gang van zaken rond de verwerking en u geen twijfel hebt over de inhoud en reikwijdte van de toestemming.
3.4.3 Noodzakelijk voor de uitvoering van een overeenkomst uitvoering van een overeenkomst
De tweede grondslag voor verwerking is de verwerking die noodzakelijk is voor de uitvoering van een overeenkomst. Als u met iemand een overeenkomst hebt gesloten, mag u de persoonsgegevens van diegene verwerken voor zover dat noodzakelijk is om de overeenkomst uit te kunnen voeren. Zo mag de uitgever van een krant de persoonsgegevens van abonnees verwerken omdat dat noodzakelijk is om de krant te kunnen bezorgen. De overeenkomst hoeft niet gericht te zijn op het verwerken van persoonsgegevens, maar die verwerking moet wel een noodzakelijk uitvloeisel daarvan zijn. U kunt uw verwerking op deze grondslag baseren wanneer u de overeenkomst niet goed kunt uitvoeren zonder de persoonsgegevens. Ook als u geen partij bent bij de overeenkomst, maar het voor de uitvoering van een overeenkomst tussen twee andere partijen wel noodzakelijk is dat ú persoonsgegevens verwerkt, is die verwerking toegestaan. De betrokkene zelf moet wel partij zijn bij de overeenkomst. Voorbeeld: in het vorige voorbeeld mag de bank van de uitgever van de krant de persoonsgegevens van een abonnee verwerken voor het afwikkelen van de betaling.
sluiten van een overeenkomst
U mag op basis van deze grondslag ook gegevens verwerken in de fase vóór het sluiten van de overeenkomst. Ook in de zogenoemde precontractuele fase kan het verwerken van persoonsgegevens noodzakelijk zijn. U kunt uw gegevensverwerking in de precontractuele fase op deze grondslag baseren als:
382
22
H A N D L E I D I N G
W E T
B E S C H E R M I N G
P E R S O O N S
W E T
B E S C H E R M I N G
P E R S O O N S G E G E V E N S
• De betrokkene verzoekt om de handelingen (waarbij persoonsgegevens worden verwerkt); en • De handelingen noodzakelijk zijn om de overeenkomst te kunnen sluiten. Een voorbeeld hiervan is de betrokkene die aan een bank een offerte vraagt voor het aangaan van een hypothecaire lening. De verwerking van persoonsgegevens is noodzakelijk om de overeenkomst te kunnen sluiten en de betrokkene heeft daarom verzocht.
3.4.4 De verwerking is noodzakelijk ter uitvoering van een wettelijke plicht van de verantwoordelijke Om uw gegevensverwerking op de derde grondslag van de Wbp te kunnen
uitvoering van een
baseren moet de verwerking noodzakelijk zijn voor de uitvoering van een
wettelijke plicht
wettelijke plicht. Het moet redelijkerwijs niet goed mogelijk zijn de wettelijke plicht uit te voeren zonder het verwerken van persoonsgegevens. Er moet een evident verband bestaan tussen het verwerken van persoonsgegevens en de wettelijke plicht. De plicht hoeft niet te gelden op grond van een “echte” wet, maar kan ook gelden op grond van bijvoorbeeld een gemeentelijke verordening. Deze grondslag kan alleen van toepassing zijn, als u als verantwoordelijke zelf onderworpen bent aan deze plicht. Een voorbeeld van een gegevensverwerking op deze grondslag is de wettelijk verplichte persoonsregistratie van werknemers op grond van de Wet stimulering arbeidsdeelname minderheden. Een ander voorbeeld is de informatieplicht op grond van de Organisatiewet sociale verzekeringen 1997.
3.4.5 Het verwerken van persoonsgegevens is noodzakelijk ter vrijwaring van een vitaal belang van de betrokkene Als het voor een vitaal belang van de betrokkene noodzakelijk is zijn of haar
vitaal belang van betrokkene
persoonsgegevens te verwerken, is die verwerking op de vierde grondslag van de Wbp toegestaan. U moet hierbij met name denken aan een dringende medische noodzaak. Het verdient overigens altijd de voorkeur om toestemming van de betrokkene te vragen. Alleen als dat niet meer mogelijk is, bijvoorbeeld omdat de betrokkene buiten bewustzijn is, mag u op deze vierde grondslag persoonsgegevens verwerken.
3.4.6 Het verwerken van gegevens is noodzakelijk voor de goede vervulling van een publiekrechtelijke taak U mag persoonsgegevens verwerken op basis van de vijfde grondslag als het verwerken van gegevens noodzakelijk is voor de goede vervulling van een publiekrechtelijke taak door uzelf als bestuursorgaan of door een bestuursorgaan waaraan de gegevens worden verstrekt.
383 G E G E V E N S
23
publiekrechtelijke taak
HOOFDSTUK
3
U kunt op deze grondslag dus persoonsgegevens verwerken als u zelf bestuursorgaan bent en de verwerking noodzakelijk is voor de goede vervulling van uw eigen publiekrechtelijke taak. Maar ook als niet-bestuursorgaan kunt u persoonsgegevens op deze grondslag verwerken, mits dat noodzakelijk is voor de goede vervulling van een publiekrechtelijke taak door het bestuursorgaan waaraan u de gegevens verstrekt. Met een publiekrechtelijke taak wordt bedoeld een taak die bij of krachtens de wet is opgedragen. Het gaat dus om taken die specifiek bij een bestuursorgaan zijn neergelegd. U kunt hierbij denken aan de taak van bestuursorganen om bezwaarschriften te behandelen. Voor een goede vervulling van die taak zal het bestuursorgaan veelal persoonsgegevens moeten verwerken. De betrokkene kan tegen een verwerking op basis van deze grondslag verzet aantekenen in verband met zijn bijzondere persoonlijke omstandigheden. Zie hierover verder paragraaf 4.7.
3.4.7 Het verwerken van persoonsgegevens is noodzakelijk voor de behartiging van een gerechtvaardigd belang gerechtvaardigd belang
U mag op basis van de zesde grondslag persoonsgegevens verwerken als dat noodzakelijk is voor een gerechtvaardigd belang van u (de verantwoordelijke) of een derde, tenzij de belangen of de fundamentele rechten van de betrokkene prevaleren. U moet een gerechtvaardigd belang hebben. Als u uw activiteiten niet goed kunt uitoefenen zonder het verwerken van persoonsgegevens, dan hebt u een gerechtvaardigd belang in de zin van de Wbp. U hebt geen gerechtvaardigd belang als u alvast vooruitlopend op een nog onbekend belang in de toekomst gegevens gaat verwerken, omdat die gegevens misschien ooit van pas zullen komen. Een gerechtvaardigd belang om persoonsgegevens te verwerken, is bijvoorbeeld een goede bedrijfsvoering. Het gaat daarbij niet alleen om externe activiteiten, maar ook om uw interne organisatie. Het gerechtvaardigd belang is ook niet beperkt tot uw kernactiviteiten, zoals bijvoorbeeld het verkopen van producten. Het kan ook betrekking hebben op activiteiten die daarmee nauw verweven zijn, zoals het sturen van reclame over nieuwe producten. Ook dan hebt u een gerechtvaardigd belang. U moet het verwerken van persoonsgegevens wel kunnen rechtvaardigen ten aanzien van een individuele persoon. U mag dus niet al uw werknemers afluisteren om te achterhalen of bedrijfsgeheimen aan derden worden verstrekt, wanneer slechts bepaalde werknemers een risico vormen.
noodzakelijk
De gegevensverwerking moet verder noodzakelijk zijn voor uw gerechtvaardigd belang.
384
24
H A N D L E I D I N G
W E T
B E S C H E R M I N G
P E R S O O N S
W E T
B E S C H E R M I N G
P E R S O O N S G E G E V E N S
Dat betekent dat u zich moet afvragen of u (i) met minder gegevens of (ii) via een minder ingrijpende weg hetzelfde resultaat kunt bereiken. Zo moet u in het hiervoor genoemde voorbeeld nagaan of u kunt volstaan met het steekproefsgewijs afluisteren van de desbetreffende werknemers. De belangen of de fundamentele rechten van de betrokkene mogen in het
belangen van betrokkene
concrete geval niet prevaleren. Bij iedere verwerking zult u uitdrukkelijk een afweging moeten maken tussen uw gerechtvaardigde belang en het belang van de betrokkene om gevrijwaard te blijven van inbreuken op (onder meer) zijn privacy. In die afweging spelen de gevoeligheid van de door u verwerkte gegevens en de maatregelen die u hebt genomen ter bescherming van de privacy van de betrokkene een rol. Hoe minder gevoelig de gegevens voor de betrokkene zijn en hoe meer beveiligingsmaatregelen u bijvoorbeeld neemt, hoe eerder het verwerken van persoonsgegevens is toegestaan. Wanneer een onderneming bijvoorbeeld haar klantenbestand gebruikt om die klanten informatie toe te sturen over een nieuw product, kan die verwerking worden gebaseerd op deze grondslag. Het “vermarkten” van nieuwe producten is een gerechtvaardigd belang van de onderneming dat in de regel opweegt tegen de geringe inbreuk op de persoonlijke levenssfeer van de klanten. Tegen een verwerking op basis van deze zesde grondslag kan de betrokkene verzet aantekenen in verband met zijn bijzondere persoonlijke omstandigheden. Dit recht van verzet wordt besproken in paragraaf 4.7.
3.5 Mijn gegevensverwerking mag niet onverenigbaar zijn met het doel waarvoor ik de gegevens heb verzameld: wat betekent dat? U verzamelt gegevens voor een bepaald doel of bepaalde doeleinden. Uiteraard mag u de gegevens dan voor dat doel of die doeleinden gebruiken. U mag nadat u de gegevens hebt verzameld, deze gegevens later ook gebruiken voor een ander doel dan waarvoor u ze hebt verzameld. U mag dat alleen niet doen op een wijze die onverenigbaar is met het doel waarvoor u de gegevens hebt verzameld. De verdere verwerking mag niet onverenigbaar zijn. Wat betekent niet onverenigbaar? Dat hangt af van de omstandigheden van uw specifieke geval. De Wbp noemt een aantal, hierna beschreven factoren die een rol spelen bij de vaststelling of een wijze van verwerking verenigbaar is met het oorspronkelijke doel. Ook andere factoren kunnen echter een rol spelen, zoals de verwachting die een betrokkene heeft ten aanzien van het gebruik van zijn persoonsgegevens. U moet steeds alle mogelijke factoren in ogenschouw nemen en een totaalbeoordeling maken. Het is niet zo dat één factor per definitie zwaarder weegt dan een andere.
385 G E G E V E N S
25
niet onverenigbaar
HOOFDSTUK
3
factoren
De Wbp noemt de volgende factoren waar u in elk geval rekening mee moet houden als u onderzoekt of uw wijze van verdere verwerking verenigbaar is met het doel waarvoor u de gegevens hebt verkregen.
verwantschap
• De mate van verwantschap tussen het oorspronkelijke doel en het doel van de verdere verwerking. Hoe dichter de twee doeleinden bij elkaar liggen (oftewel hoe meer verwant ze zijn), hoe eerder de verdere verwerking verenigbaar is met het doel waarvoor de gegevens zijn verzameld. De gegevens die zijn opgenomen in een leerlingenbestand van een school mogen bijvoorbeeld wel worden gebruikt om het aantal afgestudeerden in kaart te brengen. De desbetreffende persoonsgegevens mogen echter niet aan een bedrijf worden verkocht in zodanige vorm dat het bedrijf er een profiel van de leerling mee kan maken op basis waarvan het de leerling persoonlijk benadert. Het doel waarvoor de gegevens zijn verkregen, is in dat geval onverenigbaar met de wijze waarop ze verder worden verwerkt.
aard van de gegevens
• De aard van de gegevens. Hoe gevoeliger de gegevens voor de betrokkene zijn, hoe minder snel u mag aannemen dat deze gegevens ook voor andere doeleinden mogen worden gebruikt. Met gevoelige gegevens worden niet specifiek de bijzondere gegevens bedoeld (zie hoofdstuk 7), maar (ook) gegevens die de betrokkene als gevoelig ervaart: bijvoorbeeld gegevens over de ondertoezichtstelling van een minderjarige.
gevolgen
• De gevolgen van de beoogde (verdere) verwerking voor de betrokkene. Met name als de verdere verwerking tot gevolg heeft dat een bepaalde beslissing over de betrokkene wordt genomen, is die verwerking al snel onverenigbaar. U kunt daarbij denken aan de situatie waarin het gebruik ertoe leidt dat de betrokken wordt beperkt in zijn mogelijkheden om zich maatschappelijk te ontwikkelen. Hebt u bijvoorbeeld in uw hoedanigheid van ziektekostenverzekeraar medische gegevens over de betrokkene verkregen, dan mag u deze gegevens niet gebruiken om daarop uw beslissing te baseren om al dan niet een verzekering aan te gaan op het leven van de betrokkene.
wijze van verkrijgen en passende waarborgen
• De wijze waarop de gegevens zijn verkregen en de mate waarin passende waarborgen voor de betrokkene zijn genomen. Kunt u als werkgever aantonen dat het voor de bestrijding van fraude noodzakelijk is om zonder vooraankondiging telefoongesprekken van werknemers op te nemen, dan mag u deze vervolgens niet zomaar achteraf gebruiken voor de beoordeling van uw personeel. Deze wijze van verwerken is in de regel onverenigbaar met het doel waarvoor u de gegevens hebt verkregen.
386
26
H A N D L E I D I N G
W E T
B E S C H E R M I N G
P E R S O O N S
W E T
B E S C H E R M I N G
P E R S O O N S G E G E V E N S
Een bijzondere regeling geldt voor de verdere verwerking voor historische, statistische of wetenschappelijke doeleinden. Ook als de gegevens niet voor deze doeleinden zijn verzameld, is de verdere verwerking daarvoor toegestaan. U moet er dan wel voor zorgen dat de gegevens ook alleen voor deze doeleinden worden verwerkt. U kunt hierbij denken aan juridische maatregelen, zoals een contract waarin de desbetreffende wetenschapper zich verbindt de gegevens alleen voor dat doel te verwerken. Maar ook organisatorische of technische maatregelen zijn denkbaar. Als het resultaat van de verwerking voor statistische doeleinden is dat de gegevens geen persoonsgegevens (meer) zijn, dan mag dat resultaat voor allerlei doeleinden, bijvoorbeeld ook marktonderzoek, worden gebruikt. De Wbp bepaalt uitdrukkelijk dat u geen gegevens mag verwerken in strijd met een geheimhoudingsplicht uit hoofde van ambt, beroep of een wettelijk voorschrift. De Wbp noemt ten slotte een aantal gevallen waarin u gegevens wel mag verwerken op een wijze die mogelijk onverenigbaar is met het doel waarvoor u de gegevens hebt verzameld. Bijvoorbeeld als de verwerking van persoonsgegevens noodzakelijk is in het belang van de veiligheid van de staat of de bescherming van de betrokkene of van de rechten en vrijheden van anderen.
3.6 Aan welke kwaliteitseisen moet mijn gegevensverwerking voldoen? De Wbp bevat een algemene norm over de kwaliteit van uw gegevensverwer-
kwaliteit
king. Uw gegevens moeten gelet op het doel waarvoor ze worden verwerkt: â&#x20AC;˘ niet bovenmatig; â&#x20AC;˘ toereikend; en â&#x20AC;˘ ter zake dienend zijn. U moet ervoor zorgen dat u voldoende en adequate gegevens verwerkt voor
niet bovenmatig
uw doel. U mag niet te gedetailleerde gegevens verwerken als dat voor uw doel niet noodzakelijk is (niet bovenmatig). Als bijvoorbeeld een incassobureau gegevens verwerkt om debiteuren te kunnen aanmanen en gelden te incasseren, dan is het voor dit doel niet noodzakelijk om gedetailleerde gegevens te verwerken over de producten of diensten die de desbetreffende debiteur heeft afgenomen. Zou het incassobureau dit wel doen, dan is sprake van een bovenmatige verwerking. U mag ook niet te weinig gegevens verwerken. Dat wil zeggen dat u alle gegevens moet verwerken die voor uw doel noodzakelijk zijn (toereikend). Als u te weinig gegevens verzamelt, kan namelijk ten onrechte een onvolledig beeld van de betrokkene ontstaan. Als het incassobureau uit het vorige voorbeeld nalaat vast te leggen dat aan een debiteur een creditnota is verstuurd, ontstaat
387 G E G E V E N S
27
toereikend
HOOFDSTUK
3
een onvolledig beeld. De gegevens die het incassobureau heeft verwerkt, zijn dan niet toereikend voor het doel. terzake dienend
Ten slotte mag u alleen dĂe gegevens verwerken die noodzakelijk zijn voor het doel (ter zake dienend). U mag dus geen overbodige gegevens verwerken. Weer in hetzelfde voorbeeld mag het incassobureau niet van alle debiteuren altijd ook de nationaliteit vastleggen. Die doet immers voor het betalen van een factuur meestal niet ter zake. Dit kan anders zijn als er voor de inning van de gelden beslag moet worden gelegd op goederen van een gehuwde debiteur. De nationaliteit kan in dat geval van belang zijn om te bepalen welk huwelijksvermogensrecht van toepassing is.
juist en nauwkeurig
De verwerkte gegevens moeten verder: â&#x20AC;˘ Juist en nauwkeurig zijn. Die verplichting is niet absoluut: u hoeft niet altijd na te gaan of de door u verwerkte gegevens juist zijn. U hoeft bijvoorbeeld niet voortdurend na te gaan of alle (adres)gegevens in uw klantenbestand nog juist zijn. Het is wel verstandig om periodiek de gegevens te controleren. U moet uzelf bij iedere wijziging van uw gegevensverwerking afvragen of die verwerking nog aan de in deze paragraaf beschreven eisen voldoet. In de loop van de tijd kan bijvoorbeeld de interpretatie van uw doel iets wijzigen. U moet dan nagaan of de gegevens die u voor dat doel verzamelt nog toereikend zijn. Is dat niet het geval, dan moet u meer of wellicht juist minder gegevens gaan verwerken.
388
28
H A N D L E I D I N G
W E T
B E S C H E R M I N G
P E R S O O N S
HOOFDSTUK
4
W E T
B E S C H E R M I N G
P E R S O O N S G E G E V E N S
Wat zijn mijn plichten als verantwoordelijke? 4.1 Inleiding De Wbp legt verplichtingen op aan degenen die persoonsgegevens verwerken. Deze verplichtingen rusten primair op de verantwoordelijke. Weliswaar hebben ook anderen plichten, zoals de in hoofdstuk 5 te bespreken bewerker, maar die verplichtingen zijn steeds afgeleid van de plichten van de verantwoordelijke. In dit hoofdstuk worden de plichten van de verantwoordelijke beschreven. De plichten worden beschreven in de volgorde van de stappen die u op grond van de Wbp moet volgen als u nu start met het verzamelen van gegevens. Verwerkt u nu al gegevens, dan hoeft u de plichten niet per se in deze volgorde te lezen. Iedereen die onder gezag van de verantwoordelijke persoonsgegevens verwerkt (dus ook uw werknemer), is verplicht tot geheimhouding van die persoonsgegevens, tenzij een wettelijk voorschrift hen tot mededeling verplicht of uit hun taak de noodzaak tot mededeling voortvloeit.
4.2 De melding
melden
4.2.1 Inleiding U moet als verantwoordelijke uw gegevensverwerking melden bij • het College bescherming persoonsgegevens, (de voormalige Registratiekamer); óf • als door u of uw brancheorganisatie een functionaris voor de gegevensbescherming is benoemd, bij deze functionaris (zie paragraaf 6.2 voor een bespreking van deze functionaris). Indien u samen met anderen doel en middelen van de verwerking bepaalt, en er dus meerdere verantwoordelijken zijn, kan die verwerking door één van de verantwoordelijken worden gemeld. Uiteraard moet bij de melding wel een opgave worden gedaan van alle verantwoordelijken. De melding moet u doen vóórdat u met verwerken begint en dus ook voordat u gegevens gaat verzamelen. Het College neemt uw melding op in een openbaar register (met uitzondering van de informatie die u over de beveiliging van uw gegevensverwerking moet verschaffen). Let op! U moet uw gegevensverwerking ook melden als u onder de Wpr voor uw persoonsregistratie een reglement hebt gemaakt of uw persoonsregistratie al bij de Registratiekamer hebt aangemeld. In dat geval moet u al uw handelingen met persoonsgegevens opnieuw bekijken: onder de Wbp moet u immers het verwerken van persoonsgegevens melden.
389 G E G E V E N S
29
bij wie moet ik melden?
HOOFDSTUK
4
4.2.2 Welke gegevensverwerking moet ik melden? wat moet ik melden?
U moet het volgende melden: • uw geheel of gedeeltelijk geautomatiseerde gegevensverwerking; en/of • uw handmatige gegevensverwerking mits deze aan een voorafgaand onderzoek is onderworpen. Let op! Een belangrijke groep gegevensverwerkingen is uitgezonderd van de meldingsplicht. Zie daarover paragraaf 4.2.3.
gegevensverwerking
U moet uw (geautomatiseerde of soms uw handmatige) gegevensverwerking melden. U moet hierbij bedenken dat verwerkingshandelingen die in het maatschappelijk verkeer als een eenheid worden beschouwd, worden gezien als één gegevensverwerking. De Kamer van Koophandel verzamelt en bewaart bijvoorbeeld persoonsgegevens in het handelsregister, en verstrekt deze aan derden. In het maatschappelijk verkeer worden al die verwerkingshandelingen als een eenheid gezien. Een dergelijk geheel aan verwerkingshandelingen neemt u in één melding op. Zie verder voor het begrip gegevensverwerking paragraaf 2.3. De gegevensverwerking die één doel of meerdere samenhangende doeleinden dient, kunt u in één melding opnemen. Verzamelt u bijvoorbeeld gegevens van klanten voor de uitvoering van opdrachten, maar verstrekt u de desbetreffende persoonsgegevens ook aan derden voor direct marketingdoeleinden, dan kunt u deze verwerkingen in één melding opnemen. Voorafgaand onderzoek.
handmatige gegevensverwerking
Een handmatige gegevensverwerking hoeft u in beginsel niet te melden. Dit is alleen anders als uw handmatige gegevensverwerking is onderworpen aan een voorafgaand onderzoek. De wetgever heeft een aantal gegevensverwerkingen benoemd, die aan een voorafgaand onderzoek zijn onderworpen. Het gaat om verwerkingen die naar het oordeel van de wetgever een grote inbreuk op de persoonlijke levenssfeer van de betrokkenen betekenen: bijvoorbeeld de verwerking van strafrechtelijke persoonsgegevens ten behoeve van derden, zonder dat de verantwoordelijke in het bezit is van een vergunning op grond van de Wet particuliere beveiligingsorganisaties en recherchebureaus. Voordat met deze aangewezen gegevensverwerkingen wordt begonnen, moet het College bescherming persoonsgegevens een voorafgaand onderzoek kunnen uitvoeren. U moet een dergelijke gegevensverwerking daarom voordat u met de verwerking begint bij het College melden (óók als u of uw brancheorganisatie een functionaris voor de gegevensbescherming heeft benoemd). In deze handleiding wordt op deze gegevensverwerkingen en meldingsplichten niet verder ingegaan.
390
30
H A N D L E I D I N G
W E T
B E S C H E R M I N G
P E R S O O N S
W E T
B E S C H E R M I N G
P E R S O O N S G E G E V E N S
4.2.3 Welke gegevensverwerking hoef ik niet te melden? De vrijstellingen Van veel gegevensverwerkingen is algemeen bekend dat zij plaatsvinden en is het onwaarschijnlijk dat de persoonlijke levenssfeer van de betrokkenen door die verwerking wordt geschaad. Denk bijvoorbeeld aan een personeels- of ledenadministratie. De wetgever acht het niet nodig dat ook al die standaardgegevensverwerkingen worden gemeld. Net als onder de WPR het geval was, is daarom onder de WBP een groot aantal verwerkingen van de meldingsplicht vrijgesteld. De vrijgestelde gegevensverwerkingen worden opgesomd in het Vrijstellingsbesluit. In het Vrijstellingsbesluit wordt per type gegevensverwerking een aantal elementen van de gegevensverwerking omschreven: • de doeleinden van de vrijgestelde verwerkingen; • de verwerkte gegevens of categorieën van gegevens; • de categorieën van betrokkenen; en • de ontvangers of categorieën van ontvangers aan wie gegevens worden verstrekt. In het Vrijstellingsbesluit is ook de maximale bewaarperiode van gegevens opgenomen. Wilt u profiteren van de vrijstelling, dan moet uw gegevensverwerking op alle bovengenoemde elementen overeenkomen met de in het Vrijstellingsbesluit omschreven gegevensverwerking. U moet er wel op bedacht zijn dat iedereen u mag verzoeken informatie te verstrekken over vrijgestelde gegevensverwerkingen. Het gaat dan bijvoorbeeld om de doeleinden van de verwerkingen en de aard van de gegevens. Onder meer de volgende verwerkingen zijn, onder de in het Vrijstellingsbesluit genoemde voorwaarden, van melding vrijgesteld: • verwerkingen door verenigingen, stichtingen en publiekrechtelijke beroepsorganisaties met betrekking tot hun leden of begunstigers; • verwerkingen door kerkgenootschappen of andere genootschappen op geestelijke grondslag met betrekking tot de daartoe behorende personen en hun gezinsleden of begunstigers; • verwerkingen met betrekking tot sollicitanten; • verwerkingen door werkgevers in het kader van de personeelsadministratie en de salarisadministratie; • verwerkingen met betrekking tot debiteuren en crediteuren en verwerkingen met betrekking tot afnemers en leveranciers; • verwerkingen van notarissen, advocaten of andere rechtshulpverleners, registeraccountants en Accountants-Administratieconsulenten met het oog op de dienstverlening aan cliënten; • verwerkingen door beroepsbeoefenaren in de gezondheidszorg, door
391 G E G E V E N S
31
vrijstellingsbesluit
HOOFDSTUK
4
verzorgingshuizen en verpleeghuizen, en van instellingen voor kinderopvang; • verwerkingen door onderwijsinstellingen met betrekking tot leerlingen, deelnemers en studenten; en • verwerkingen ten dienste van het interne beheer van de organisatie van de verantwoordelijke, zoals verwerkingen met betrekking tot netwerk- en computersystemen, communicatieapparatuur en toegangscontrole. Ook een aantal combinaties van vrijgestelde verwerkingen is van melding vrijgesteld.
4.2.4 Wat moet ik doen bij een melding? welke informatie moet ik geven?
Bij uw melding moet u onder meer de volgende informatie opgeven: • naam van de verantwoordelijke (uw organisatie); • adres van de verantwoordelijke; • doel of doeleinden van de gegevensverwerking; • (categorieën van) betrokkenen; • (categorieën van) gegevens van deze betrokkenen; • (categorieën van) ontvangers; • de voorgenomen doorgiften van persoonsgegevens aan landen buiten de Europese Unie; en • een omschrijving van de door u te nemen beveiligingsmaatregelen. Het College bescherming persoonsgegevens heeft voor de melding een standaardformulier ontwikkeld, dat zowel in papieren als elektronische vorm beschikbaar is. U kunt dit formulier van de Internetsite van het College downloaden. Het adres vindt u in de bijlage bij deze handleiding.
4.2.5 Wat moet ik doen als ik mijn gegevensverwerking wijzig? wijzigingen
Indien één van de volgende wijzigingen zich voordoet, moet u die binnen één jaar na uw eerdere melding doorgeven. Het gaat om wijzigingen in • het doel of de doeleinden van de gegevensverwerking; • de (categorieën van) betrokkenen en ontvangers; • de beveiligingsmaatregelen; en/of • de voorgenomen doorgiften aan landen buiten de Europese Unie. Dit is echter alleen nodig als de wijzigingen van meer dan incidentele aard blijken te zijn. In de praktijk moet u dus eenmaal per jaar nagaan of er wijzigingen zijn van meer dan incidentele aard. Daarnaast bent u verplicht alle afwijkingen in uw gegevensverwerking ten opzichte van uw melding, ook die van incidentele aard, gedurende ten minste drie jaren bij te houden. Dit om de betrokkene zo nodig van de verwerkingen op de hoogte te kunnen stellen.
392
32
H A N D L E I D I N G
W E T
B E S C H E R M I N G
P E R S O O N S
W E T
B E S C H E R M I N G
P E R S O O N S G E G E V E N S
Een wijziging in uw naam of adres moet u binnen één week melden aan het College. Let op! Als u gegevens verkrijgt buiten de betrokkene om, dan valt de verwerking van die gegevens, inclusief de vastlegging, onder de Wbp. Dit betekent onder meer dat u voor de verkrijging een duidelijk bepaald en gerechtvaardigd doel moet hebben en dat u de verwerking moet kunnen stoelen op één of meer van de in de Wbp genoemde grondslagen.
4.2.6 Moet ik geen reglement vaststellen? De Wpr maakte onderscheid tussen
geen reglement?
• persoonsregistraties op het gebied van de overheid en het onderwijs, de gezondheidszorg en de maatschappelijke dienstverlening; en • persoonsregistraties op het gebied van bedrijf en beroep en op overige gebieden. Voor de eerste categorie van registraties kende de Wpr de verplichting om een reglement vast te stellen. Registraties in de tweede categorie moesten worden aangemeld bij de Registratiekamer. De Wbp kent alleen de meldingsplicht voor de verantwoordelijke. De melding is wel een uitgebreide melding. Hoewel er onder de Wbp dus niet langer een wettelijke plicht bestaat om een reglement vast te stellen, kan een reglement natuurlijk wel nuttig zijn.
4.3 Hoe en wanneer moet ik de betrokkene informeren over de gegevensverwerking? 4.3.1 Inleiding Een persoon wiens gegevens worden verwerkt, moet kunnen nagaan wat er
informatieverstrekking aan
met die gegevens gebeurt. De Wbp bevat daarom een regeling over informatie-
betrokkene
verstrekking aan de betrokkene. Deze regeling maakt op een aantal punten onderscheid tussen de situatie dat u de gegevens bij de betrokkene zelf verkrijgt en de situatie dat u de gegevens op een andere manier verkrijgt.
4.3.2 Wanneer hoef ik niet te informeren? U hoeft de betrokkene niet te informeren als deze al op de hoogte is van de in paragraaf 4.3.3 beschreven informatie. De Wbp is op dit punt strenger dan de Wpr. Het is niet genoeg dat u vermoedt dat de betrokkene op de hoogte is. U moet weten dat dat het geval is. Maar wanneer weet u of de betrokkene op de hoogte is? U hoeft niet te controleren of de betrokkene de door u toegezonden of uitgereikte informatie ook daadwerkelijk heeft gelezen. U mag er na toezending of uitreiking vanuit gaan dat de betrokkene op de hoogte is. U mag er ook op vertrouwen dat de betrokkene op de hoogte is als uit een gedraging of een verklaring van de betrokkene naar objectieve maatstaven kan worden afgeleid dat dat het geval is.“Naar objectieve maatstaven” betekent dat
393 G E G E V E N S
33
betrokkene is op de hoogte
HOOFDSTUK
4
iedereen, en niet alleen u als subjectief persoon, uit de gedragingen zou afleiden dat de betrokkene op de hoogte is. U mag er niet vanuit gaan dat de betrokkene op de hoogte is, als hij of zij (redelijkerwijs) op de hoogte had kunnen zijn. Onder de Wpr was dit wel zo, maar zoals gezegd is de Wbp op dit punt strenger. Ook als de betrokkene bijvoorbeeld door onderzoek zou kunnen achterhalen wie de verantwoordelijke is en voor welke doeleinden de gegevens worden verwerkt, moet u hem of haar informeren.
4.3.3 Welke informatie moet ik verstrekken? welke informatie moet ik geven?
De informatieverstrekking aan de betrokkene moet in ieder geval omvatten: • wie u bent (dus wie de verantwoordelijke is); en • voor welk doel of doeleinden u de gegevens verzamelt en verwerkt. Daarmee kunt u echter niet altijd volstaan. U moet nadere informatie verschaffen als dat tegenover de betrokkene nodig is om een behoorlijke en zorgvuldige verwerking te waarborgen. U zult zich dus moeten afvragen of u uit oogpunt van zorgvuldigheid meer of meer gedetailleerde informatie over de verwerking aan de betrokkene moet verstrekken. U moet daarbij rekening houden met (i) de aard van de gegevens, (ii) de omstandigheden waaronder u deze hebt verkregen en (iii) het gebruik dat u ervan gaat maken. Hoe gevoeliger de gegevens die u verwerkt voor de betrokkene liggen, hoe meer reden er is om de betrokkene gedetailleerd te informeren over uw gegevensverwerking.
4.3.4 Op welk moment moet ik informeren? wanneer moet ik informeren?
Als u de gegevens bij de betrokkene zelf verkrijgt, moet u de betrokkene vóór de verkrijging informeren. Van verkrijging bij de betrokkene zelf is bijvoorbeeld sprake wanneer hij of zij op een formulier persoonsgegevens invult en dit formulier aan u toezendt. U kunt de informatie dan bijvoorbeeld op het formulier opnemen. De betrokkene heeft de informatie dan immers voordat hij het formulier terugzendt (en dus voordat hij de gegevens verstrekt). Dit is anders als u de gegevens via een andere weg verkrijgt, dus buiten de betrokkene om. Daarvan is sprake wanneer u de gegevens van een derde verkrijgt, maar bijvoorbeeld ook wanneer u zelf de betrokkene observeert bij zijn of haar gebruik van uw computernetwerk of website. In het laatste geval verstrekt de betrokkene u de gegevens immers niet bewust. Bij verkrijging buiten de betrokkene om moet u hem of haar informeren: • op het moment dat u de gegevens vastlegt; of
394
34
H A N D L E I D I N G
W E T
B E S C H E R M I N G
P E R S O O N S
W E T
B E S C H E R M I N G
P E R S O O N S G E G E V E N S
• als u de gegevens uitsluitend verzamelt om deze aan een derde te verstrekken, uiterlijk op het moment van eerste verstrekking aan die derde. Dus alleen als u de gegevens uitsluitend verzamelt om deze aan een derde te verstrekken, mag u het moment van informeren opschuiven naar het moment van eerste verstrekking. Die derde kan ook een andere vennootschap binnen uw concern zijn. De derde hoeft in dat geval bij verkrijging van de gegevens de betrokkene niet nog eens te informeren over het feit dat hij de gegevens heeft verkregen.
4.3.5 Hoe moet ik informeren? U moet de informatie op zodanige wijze verstrekken dat de betrokkene er
betrokkene moet over
daadwerkelijk de beschikking over krijgt.
informatie beschikken
Een algemene verwijzing naar elders verkrijgbare informatie is dus niet voldoende. Ook hier wordt onderscheid gemaakt tussen de situatie dat u de gegevens bij de betrokkene verkrijgt of buiten hem of haar om. • U verkrijgt de gegevens bij de betrokkene zelf. Dan kunt u de informatie bijvoorbeeld opnemen op het formulier waarop de betrokkene de gegevens verstrekt (zie ook de vorige paragraaf ). U kunt ook een folder of brochure aan de betrokkene uitreiken of toesturen. Dat moet dan wel gebeuren voordat de betrokkene de gegevens verstrekt. • U verkrijgt de gegevens via een andere weg, dus niet van de betrokkene zelf. Dan is het lastiger: gaat het om een beperkt aantal betrokkenen, dan moet u deze persoonlijk informeren. Gaat het om een hele groep, dan mag u volstaan met een algemenere vorm van informatieverstrekking. U kunt daarbij denken aan een blad of tijdschrift (van bijvoorbeeld een vereniging), maar dan moet wel vaststaan dat daarmee de hele groep van betrokkenen wordt bereikt. Een advertentie in een landelijk dagblad of een huis-aan-huisblad is niet voldoende. • Niet in alle gevallen waarin u gegevens via een andere weg verkrijgt, hoeft u de betrokkene te informeren. Dat hoeft niet als informatieverstrekking onmogelijk is, of alleen met een onevenredige inspanning kan plaatsvinden. Van een onevenredige inspanning is sprake als u alleen door een zeer tijdrovende inspanning het adres van de betrokkene kunt achterhalen. In dat geval moet u wel de herkomst van de gegevens vastleggen, zodat de betrokkene in ieder geval achteraf kan nagaan welke weg zijn gegevens hebben afgelegd. U hoeft de betrokkene ook niet te informeren als u de gegevens vastlegt of verstrekt op grond van een wettelijke plicht.
395 G E G E V E N S
35
HOOFDSTUK
4
Zie paragraaf 4.9 voor andere gevallen waarin u niet aan de informatieverplichtingen hoeft te voldoen.
4.4 Wanneer moet ik inzage geven? recht op inzage
Iedereen mag u met redelijke tussenpozen vragen of, en zo ja welke persoonsgegevens u ten aanzien van hem verwerkt. Als de betrokkene u buitensporig vaak met een dergelijk verzoek benadert, hoeft u daaraan geen gehoor te geven. U moet op een verzoek om inzage binnen vier weken antwoorden. Het antwoord moet schriftelijk zijn, tenzij een gewichtig belang van de betrokkene vergt dat u een andere vorm kiest, bijvoorbeeld mondeling. Een per elektronische post verzonden antwoord is ook schriftelijk. Uw antwoord moet in een begrijpelijke vorm bevatten: • Een volledig overzicht van de door u verwerkte gegevens van de betrokkene. • Een omschrijving van • het doel of de doeleinden van de gegevensverwerking; • de categorieën van gegevens waarop uw verwerking betrekking heeft; • de ontvangers of categorieën van ontvangers. • Alle beschikbare informatie over de herkomst van de gegevens. Desgevraagd moet u ook informatie verschaffen over de systematiek van uw geautomatiseerde gegevensverwerking. U hoeft daarbij uiteraard niet zo ver te gaan dat u bedrijfsgeheimen prijsgeeft. U moet zich ervan vergewissen dat degene die om informatie vraagt, ook degene is over wie informatie wordt gevraagd. Is de betrokkene jonger dan 16 jaar of onder curatele gesteld, dan moet het verzoek om inzage door de wettelijk vertegenwoordiger (bijvoorbeeld een ouder) worden gedaan. Uw antwoord richt u ook aan die vertegenwoordiger. Voor uw antwoord mag u ten hoogste een door de regering vast te stellen vergoeding in rekening brengen. De regering kan die vergoeding op niet hoger stellen dan ƒ 10,- (e 4,50). Alleen voor bijzondere gevallen kan de regering een ander bedrag vaststellen. Hebt u naar aanleiding van het verzoek van de betrokkene gegevens gecorrigeerd, dan moet u de vergoeding teruggeven. Let op! Soms bevatten specifieke wetten eigen regels over de vergoeding. Dergelijke wetten gaan op dit punt dan voor op de Wbp. In sommige gevallen hoeft u geen inzage te geven. Zie daarvoor paragraaf 4.9.
4.5 Wanneer moet ik corrigeren? recht op correctie
De betrokkene mag u verzoeken zijn gegevens te corrigeren. Daarbij moet hij of zij de gewenste wijzigingen aangeven. Correctie houdt in:
396
36
H A N D L E I D I N G
W E T
B E S C H E R M I N G
P E R S O O N S
W E T
B E S C H E R M I N G
P E R S O O N S G E G E V E N S
• verbeteren; • aanvullen; • verwijderen; • afschermen; of • op een andere manier er voor zorgen dat u de onjuiste gegevens niet langer gebruikt. Dit laatste kan het geval zijn als het technisch niet mogelijk is de gegevens te verbeteren, bijvoorbeeld doordat deze zijn opgeslagen op een Cd-rom. In dat geval moet u andere maatregelen nemen: bijvoorbeeld een bestand met aanvullingen en verbeteringen opnemen. U bent alleen verplicht te corrigeren als de gegevens:
wanneer moet ik corrigeren?
• feitelijk onjuist zijn; • onvolledig of niet ter zake dienend zijn voor het doel waarvoor u ze verwerkt; of • op andere wijze in strijd met een voorschrift van de Wbp of een andere wet zijn verwerkt. Voor de duidelijkheid: het hoeft helemaal niet verwijtbaar te zijn dat u de gegevens onjuist hebt verwerkt. U moet binnen vier weken schriftelijk aangeven of, en in hoeverre u aan het correctieverzoek zult voldoen. Als een gewichtig belang van de verzoeker dat eist, moet u een andere vorm dan schriftelijk kiezen: bijvoorbeeld mondeling. Weigert u correctie, dan moet u die weigering motiveren. Besluit u de gegevens te corrigeren, dan moet u dit zo snel mogelijk doen. In geval van correctie van de gegevens moet u derden aan wie u de
derden op de hoogte stellen
(onjuiste) gegevens van de betrokkene eerder hebt verstrekt, van de wijzigingen op de hoogte stellen. Dit is een wijziging ten opzichte van de Wpr. U moet dus onderzoeken aan welke derden u de (onjuiste) gegevens eerder hebt verstrekt. Die onderzoeksplicht strekt verder naarmate de aangebrachte correctie ingrijpender is of de aard van de gegevens daartoe aanleiding geeft. Hebt u bijvoorbeeld ten onrechte niet in uw systeem opgenomen dat de betrokkene is vrijgesproken van een bepaald ten laste gelegd strafbaar feit, dan is er eerder aanleiding om ook derden op te sporen aan wie in een ver verleden onjuiste gegevens zijn verstrekt. U hoeft de mededeling aan derden niet te doen als het voor u: • onmogelijk is om die derden op te sporen, bijvoorbeeld als u niet meer beschikt over de daarvoor benodigde informatie; of • u daartoe een onevenredige inspanning zou moeten leveren. Of de inspanning onevenredig is, moet worden vastgesteld door een afweging van uw belangen tegen die van de betrokkene. U kunt hierbij denken aan een
397 G E G E V E N S
37
onmogelijk of een onevenredige inspanning
HOOFDSTUK
4
verkeerd gespelde naam in een landelijk verspreid telefoonboek. In een dergelijke situatie kan van u als uitgever van dat telefoonboek moeilijk worden gevraagd om iedereen die het telefoonboek heeft ontvangen van de wijziging op de hoogte te stellen. Desgevraagd moet u de betrokkene berichten aan welke derden u de wijziging hebt meegedeeld.
4.6 Hoe moet ik mijn gegevensverwerking beveiligen? De Wbp verplicht u om uw gegevensverwerking te beveiligen. technische en organisatorische maatregelen
U moet passende technische en organisatorische maatregelen nemen om het verlies van gegevens of onrechtmatige verwerking tegen te gaan. Organisatorische maatregelen kunnen bijvoorbeeld inhouden dat maar een beperkt aantal personen toegang heeft tot uw computersysteem.
passend beveiligingsniveau
De (technische en organisatorische) maatregelen die u neemt, moeten een passend beveiligingsniveau garanderen. Passende beveiliging betekent dat u in uw keuze voor de methode van beveiliging de volgende elementen moet meewegen: â&#x20AC;˘ De risicoâ&#x20AC;&#x2122;s van de verwerking en de aard van de te beschermen gegevens. Hoe gevoeliger de gegevens, hoe zwaarder de toegepaste beveiliging moet zijn. Zijn de gegevens minder gevoelig, dan hoeft u niet steeds de zwaarst mogelijke beveiligingsmaatregelen nemen. â&#x20AC;˘ U moet rekening houden met de stand van de techniek en de kosten van de maatregelen. Als de kosten van extra maatregelen uitzonderlijk hoog zijn ten opzichte van de toename in beveiligingsniveau, dan zijn die maatregelen niet passend en hoeft u ze dus niet te nemen. Kunt u echter tegen geringe kosten komen tot een beduidend veiliger systeem, dan moet u deze maatregelen zeker nemen.
onnodige verwerking voorkomen
De (technische en organisatorische) maatregelen moeten er mede op gericht zijn onnodige verzameling of verdere verwerking te voorkomen. Bij dit laatste kunt u denken aan het gebruik van bijvoorbeeld versleuteling van persoonsgegevens.
steeds adequaat
De beveiliging moet steeds adequaat zijn. Dat betekent ook dat u periodiek moet nagaan of uw systeem aanpassing behoeft, bijvoorbeeld door technologische ontwikkelingen. De Wbp bevat geen concrete normen voor de beveiliging. In de praktijk zijn standaarden voor beveiligingen ontwikkeld. U kunt deze bijvoorbeeld vinden
398
38
H A N D L E I D I N G
W E T
B E S C H E R M I N G
P E R S O O N S
W E T
B E S C H E R M I N G
P E R S O O N S G E G E V E N S
via brancheorganisaties. De adressen van een aantal brancheorganisaties vindt u in de bijlage bij deze handleiding. U moet bij uw keuze in beveiliging wel steeds nagaan of uw beveiliging voldoet aan de algemene normen van de Wbp en dus of deze passend en adequaat is. Het College bescherming persoonsgegevens houdt toezicht op de naleving van de Wbp en dus ook op de vraag of u uw gegevensverwerking adequaat hebt beveiligd. Wanneer u een bewerker inschakelt, moet u ervoor zorgen dat deze eveneens passende beveiligingsmaatregelen neemt. Zie daarvoor hoofdstuk 5.
4.7 De betrokkene heeft het recht van verzet: wat moet ik doen? De betrokkene kan in een aantal gevallen bezwaar maken tegen een gegevensverwerking. De Wbp noemt dit het recht van verzet. De betrokkene heeft het recht van verzet als het verwerken van zijn persoonsgegevens plaatsvindt op de grondslag dat de verwerking: • noodzakelijk is voor de goede vervulling van een door u of door een ander bestuursorgaan verrichte publiekrechtelijke taak; of • noodzakelijk is voor een gerechtvaardigd belang van u (de verantwoordelijke) of een derde. De betrokkene kan tegen een verwerking op basis van deze grondslagen verzet aantekenen in verband met zijn bijzondere persoonlijke omstandigheden. U moet als verantwoordelijke (of bestuursorgaan) binnen vier weken na ontvangst van het verzet beoordelen of het verzet terecht is. Is dat het geval, dan moet u de verwerking onmiddellijk beëindigen. De betrokkene heeft ook een recht van verzet als het verwerken van zijn persoonsgegevens geschiedt voor: • Direct marketingdoeleinden. In dit geval moet u de desbetreffende verwerking altijd onmiddellijk beëindigen. Zie verder paragraaf 8.1.3. U kunt voor het in behandeling nemen van het verzet een vergoeding vragen die niet hoger mag zijn dan een door de regering vast te stellen bedrag. U moet de vergoeding teruggeven als het verzet gegrond is. De betrokkene kan zich niet verzetten tegen de verwerking van zijn gegevens in een openbaar register dat bij de wet is ingesteld, zoals het kadaster. In sommige specifieke wetten is een aparte vergoedingsregeling opgenomen, die mogelijk voorrang heeft op de regeling in de Wbp.
399 G E G E V E N S
39
recht van verzet
HOOFDSTUK
4
4.8 Hoe lang mag ik persoonsgegevens bewaren? bewaren nog noodzakelijk?
U mag persoonsgegevens niet langer bewaren dan noodzakelijk is voor het doel waarvoor u de gegevens verzamelt of (verder) verwerkt. Hoelang u uw gegevens feitelijk mag bewaren, hangt af van het doel waarvoor u de gegevens hebt verzameld en verder verwerkt. Dit kan per situatie verschillen: er is niet een vaste bewaartermijn. U moet zich steeds afvragen of het voor uw doel nog noodzakelijk is de gegevens te bewaren. Soms kan het echter juist noodzakelijk zijn om iemands naam te bewaren, om er voor te zorgen dat aan diegene bijvoorbeeld géén mailings meer worden verstuurd. Wat noodzakelijk is, kan in de publieke sector anders liggen dan in de private sector. Soms verplicht een wet u gegevens gedurende een bepaalde periode te bewaren. Als het voor uw doel niet meer noodzakelijk is de gegevens te bewaren, moet u de persoonsgegevens: • verwijderen; of bijvoorbeeld • alle identificerende kenmerken verwijderen. U mag persoonsgegevens langer bewaren als dat gebeurt voor historische, statistische of wetenschappelijke doeleinden. Het maakt daarbij niet uit of de gegevens oorspronkelijk zijn verzameld voor dat historische, wetenschappelijke of statistische doel. U kunt hierbij denken aan de situatie dat u de gegevens voor een heel ander doel hebt verzameld, maar ze daarna voor wetenschappelijk onderzoek aan een universiteit verstrekt. Die universiteit mag de persoonsgegevens dan langer bewaren, mits zij maatregelen neemt om ervoor te zorgen dat de gegevens ook uitsluitend voor het wetenschappelijke doel worden gebruikt. Voor specifieke, van de meldingsplicht vrijgestelde gegevensverwerkingen kan een maximale bewaartermijn in het Vrijstellingsbesluit zijn opgenomen. Ook in specifieke wetten kunnen maximale bewaartermijnen zijn opgenomen, zoals bijvoorbeeld voor medische dossiers.
4.9 Uitzonderingen In een aantal gevallen hoeft u niet aan sommige van de hiervoor beschreven verplichtingen te voldoen. Het gaat om: • de verplichting om gegevens niet verder te verwerken op een wijze die onverenigbaar is met het doel waarvoor u ze hebt verkregen (paragraaf 3.5); • uw informatie- en inzageverplichtingen (zie paragraaf 4.3 en 4.4; zie paragraaf 4.3 ook voor andere situaties waarin u niet hoeft te informeren); en • de verplichting om inlichtingen te verstrekken over vrijgestelde gegevensverwerkingen.
400
40
H A N D L E I D I N G
W E T
B E S C H E R M I N G
P E R S O O N S
W E T
B E S C H E R M I N G
P E R S O O N S G E G E V E N S
U hoeft aan deze verplichtingen niet te voldoen als dat noodzakelijk is: • in het belang van de veiligheid van de staat; • ter voorkoming, opsporing en vervolging van strafbare feiten; • voor gewichtige economische en financiële belangen van de staat en andere openbare lichamen; • ter bescherming van de betrokkene of van de rechten en vrijheden van anderen; • voor het toezicht op de naleving van wettelijke voorschriften die zijn gesteld ten behoeve van opsporing en vervolging van strafbare feiten of ten behoeve van gewichtige economische en financiële belangen van de staat en andere openbare lichamen. Het moet voor de bescherming van deze belangen noodzakelijk zijn dat u bijvoorbeeld uw informatie- of inzageplichten niet nakomt. Als een verzoek om inzage bijvoorbeeld disproportionele administratieve lasten voor u mee zou brengen, mag u dat verzoek om weigeren ter bescherming van uw belang bij een goede bedrijfsvoering. Het enkele feit dat een verzoek om inzage administratieve lasten meebrengt, is echter op zichzelf niet voldoende grond om het verzoek te weigeren. Bij uw afweging of u deze plichten niet na kunt komen, moet u het belang van de betrokkene uitdrukkelijk meewegen. Ten slotte hoeft u als instelling of dienst voor wetenschappelijk onderzoek of statistiek niet aan de informatieverplichtingen te voldoen wanneer u de gegevens niet van de betrokkene hebt verkregen, mits u de nodige voorzieningen hebt getroffen om te verzekeren dat de persoonsgegevens uitsluitend voor statistische en wetenschappelijke doeleinden kunnen worden gebruikt. In die situatie mag u ook inzage in de gegevens weigeren.
401 G E G E V E N S
41
HOOFDSTUK
5
De bewerker 5.1 Inleiding U zult soms niet zelf uw persoonsgegevens verwerken, maar de feitelijke handelingen laten verrichten door een daarin gespecialiseerde organisatie: bijvoorbeeld een salarisadministratiebureau. De Wbp noemt degene die ten behoeve van de verantwoordelijke gegevens verwerkt de bewerker. Zie voor een bespreking van dat begrip paragraaf 2.7. De Wbp stelt eisen aan vorm en inhoud van de afspraken die u met de bewerker maakt. Ook legt de wet een aantal zelfstandige verplichtingen en beperkingen op aan de bewerker. In dit hoofdstuk wordt behandeld: • waar u rekening mee moet houden bij het inschakelen van een bewerker; en • aan welke regels u zich moet houden wanneer u zelf bewerker bent.
5.2 Hoe schakel ik een bewerker in en welke eisen stelt de wet aan de inschakeling van een bewerker? eisen aan keuze bewerker
Als u besluit om de feitelijke handelingen met betrekking tot een gegevensverwerking door een bewerker te laten verrichten, zult u daartoe met die bewerker een relatie aangaan. De Wbp stelt eisen aan uw keuze van een bewerker en aan de manier waarop u de relatie met die bewerker vastlegt: • u moet zich ervan vergewissen dat de bewerker die u kiest voldoende waarborgen biedt met betrekking tot de technische en organisatorische beveiliging; • u moet een overeenkomst met de bewerker sluiten of een andere regeling treffen waardoor afdwingbare verbintenissen ontstaan tussen u en de bewerker; • in de overeenkomst (of andere regeling) moet u als verantwoordelijke bedingen dat de bewerker de persoonsgegevens uitsluitend verwerkt in uw opdracht; • u moet ook bedingen dat de bewerker de beveiligingsverplichtingen nakomt die op u rusten op grond van de Wbp (zie over de inhoud van die beveiligingsverplichtingen paragraaf 4.6); en ten slotte • u moet als verantwoordelijke daadwerkelijk toezien op naleving van deze beveiligingsverplichtingen. Ook het recht daartoe zult u in de overeenkomst (of andere regeling) moeten bedingen. De Wbp eist dat u de onderdelen die betrekking hebben op de bescherming van persoonsgegevens en op de beveiligingsmaatregelen, schriftelijk vastlegt. Voor zover u onder de Wpr al één of meer overeenkomsten had met een bewerker, zult u moeten onderzoeken of die overeenkomsten moeten worden aangepast op grond van de bepalingen van de Wbp.
5.3 Welke verplichtingen legt de Wbp op aan de bewerker? verplichtingen van bewerker
Als u als bewerker gegevens verwerkt, hebt u, naast de in de vorige paragraaf omschreven eisen, ook te maken met verplichtingen en beperkingen die de
402
42
H A N D L E I D I N G
W E T
B E S C H E R M I N G
P E R S O O N S
W E T
B E S C H E R M I N G
P E R S O O N S G E G E V E N S
Wbp direct aan de bewerker oplegt. Het gaat om de volgende verplichtingen en beperkingen. U mag persoonsgegevens alleen bewerken in opdracht van de verantwoordelijke. U kunt dus niet zelfstandig besluiten om over te gaan tot een bepaalde verwerking van de aan u toevertrouwde persoonsgegevens, tenzij u dat doet om aan een wettelijke plicht te voldoen. U bent, naast de verantwoordelijke, zelfstandig aansprakelijk voor de schade die iemand lijdt of het nadeel dat iemand ondervindt. U bent alleen aansprakelijk voor zover de schade het gevolg is van uw bewerkingshandelingen. Als u kunt bewijzen dat de schade niet aan u kan worden toegerekend, dan bent u niet aansprakelijk. U en degenen die onder uw gezag handelen, zijn (net als de verantwoordelijke) verplicht om persoonsgegevens waarvan zij kennisnemen, geheim te houden.
403 G E G E V E N S
43
HOOFDSTUK
6
Wat kan ik zelf regelen op grond van de Wbp? 6.1 Inleiding De Wbp geeft u als verantwoordelijke een aantal (extra) mogelijkheden om alleen of samen met anderen nadere invulling te geven aan uw gegevensverwerking en aan de regelgeving die daarop van toepassing is. Zo kunt u: • intern toezicht organiseren door een functionaris voor de gegevensverwerking te benoemen; en/of • zelfstandig of op brancheniveau een gedragscode tot stand brengen, waarin de wettelijke normen voor uw branche of sector nader worden geconcretiseerd.
6.2 De functionaris voor de gegevensbescherming 6.2.1 Wie is de functionaris voor de gegevensbescherming? De functionaris voor de gegevensbescherming is een interne toezichthouder. interne toezichthouder
De functionaris kan worden benoemd door: • u als verantwoordelijke; of • uw brancheorganisatie voor uw branche; of • een andere organisatie waarbij meerdere verantwoordelijken zijn aangesloten. Alleen een natuurlijk persoon kan functionaris zijn. Functioneert binnen uw organisatie een privacycommissie, dan kan slechts één van de leden (of iemand anders die aan de hierna te bespreken vereisten voldoet) de wettelijke taken en bevoegdheden van de functionaris op zich nemen. Een gevolg van het benoemen van een functionaris voor de gegevensbescherming is dat de verplichte melding van een gegevensverwerking kan plaatsvinden bij de functionaris in plaats van bij het College bescherming persoonsgegevens. Het benoemen van een functionaris voor de gegevensbescherming doet echter niets af aan de bevoegdheden van het College.
6.2.2 Hoe benoem ik een functionaris voor de gegevensbescherming? eisen aan functionaris
U mag alleen een persoon benoemen die: • over voldoende kennis beschikt; en • voldoende betrouwbaar is. Het gaat hier om kennis van de privacyregelgeving van uw organisatie of branche, en van de gegevensverwerkingen binnen die organisatie of branche. Hebt u een functionaris benoemd, dan kunt u hem wat betreft zijn taken als functionaris voor de gegevensbescherming geen aanwijzingen meer geven: hij moet zijn taken onafhankelijk en naar behoren kunnen uitoefenen.
404
44
H A N D L E I D I N G
W E T
B E S C H E R M I N G
P E R S O O N S
W E T
B E S C H E R M I N G
P E R S O O N S G E G E V E N S
U moet hem daartoe in staat stellen door hem de benodigde bevoegdheden te
bevoegdheden
geven. Die (interne) bevoegdheden moeten gelijkwaardig zijn aan de bevoegdheden waarover de toezichthouders van onder andere het College bescherming persoonsgegevens beschikken. Het gaat dan bijvoorbeeld om de bevoegdheid: • ruimtes te betreden; • inlichtingen te vragen; en • inzage te vorderen in gegevens en stukken. De functionaris mag van de uitoefening van zijn taak geen nadeel ondervinden. U mag het “gewone” werk van de functionaris bijvoorbeeld niet slechter beoordelen dan het is, om zo invloed uit te oefenen op zijn functioneren als functionaris voor de gegevensbescherming. Naar het zich laat aanzien, krijgt de functionaris voor de gegevensbescherming ontslagbescherming die vergelijkbaar is met die van bijvoorbeeld een ondernemingsraadslid. Het desbetreffende wetsvoorstel was bij het ter perse gaan deze handleiding nog in behandeling in het parlement. U moet ten slotte het benoemen van een functionaris voor de gegevensbescherming aanmelden bij het College bescherming persoonsgegevens. Het College houdt een lijst bij van aangemelde functionarissen. Betrokkenen kunnen aan de hand daarvan nagaan of op een bepaalde gegevensverwerking toezicht wordt gehouden door een functionaris.
6.2.3 Wat zijn de taken en bevoegdheden van de functionaris voor de gegevensbescherming? De functionaris heeft een aantal taken en bevoegdheden. De functionaris moet er op toezien dat u persoonsgegevens verwerkt in
toezien op naleving
overeenstemming met de wettelijke regels. Zijn toezicht beperkt zich uiteraard tot uw verwerking van persoonsgegevens. Is hij aangesteld door een organisatie van verantwoordelijken, dan beperkt het toezicht zich tot de verwerkingen van de aangesloten verantwoordelijken. Het ligt voor de hand dat betrokkenen zich tot de functionaris zullen wenden met klachten of verzoeken. De functionaris is verplicht tot geheimhouding van alles wat hem in dat verband bekend wordt, tenzij de betrokkene instemt met bekendmaking. De functionaris moet uw melding in ontvangst nemen en een register bijhouden van de gegevensverwerkingen die bij hem zijn gemeld. Is een gegevensverwerking van melding vrijgesteld, dan hoeft u die verwerking uiteraard ook niet bij de functionaris te melden.
405 G E G E V E N S
45
melding
HOOFDSTUK
6
verslag
De functionaris moet ten slotte ieder jaar een verslag opstellen van zijn werkzaamheden en bevindingen. In dat verslag, maar ook daarbuiten, kan hij aanbevelingen doen om te komen tot een betere bescherming van de gegevens die worden verwerkt. Uiteraard kan de functionaris desgewenst overleggen met het College bescherming persoonsgegevens.
6.3 Is zelfregulering door mijn sector mogelijk? gedragscode
Een organisatie of groep van organisaties, bijvoorbeeld uw brancheorganisatie, kan ook een gedragscode vaststellen. De gedragscode kan betrekking hebben op één of meerdere sectoren. In een gedragscode kunnen de bepalingen van de Wbp voor een sector worden geconcretiseerd en nader uitgewerkt. Ook kan in de code een regeling voor de beslechting van geschillen worden opgenomen.
verklaring CBP
Voordat u een gedragscode vaststelt, kunt u het College bescherming persoonsgegevens verzoeken de (concept)code te bekijken en daar een verklaring over af te geven. Dit verzoek kunt u ook doen als u een reeds bestaande gedragscode wijzigt of verlengt. Het College neemt het verzoek alleen in behandeling als het de verzoeker of verzoekers voldoende representatief acht én de betrokken sector of sectoren in de code voldoende nauwkeurig zijn omschreven. Het College bekijkt of de (concept)code gelet op de bijzondere kenmerken van uw sector een juiste uitwerking vormt van de Wbp of van andere wettelijke bepalingen over het verwerken van persoonsgegevens. Als in de code een regeling voor de beslechting van geschillen is opgenomen, keurt het College de code alleen goed als die regeling voldoende waarborgen bevat voor de onafhankelijkheid van de geschillenbeslechter. Het College geeft een verklaring af over de gedragscode en publiceert die mét de desbetreffende gedragscode in de Staatscourant. De regering kan eventueel nadere regels voor een sector vaststellen.
406
46
H A N D L E I D I N G
W E T
B E S C H E R M I N G
P E R S O O N S
HOOFDSTUK
7
W E T
B E S C H E R M I N G
P E R S O O N S G E G E V E N S
Mag ik bijzondere persoonsgegevens verwerken? 7.1 Inleiding De aard van sommige persoonsgegevens brengt mee dat de verwerking ervan een grote inbreuk kan vormen op de persoonlijke levenssfeer van de betrokkene, omdat die gegevens gevoelige informatie over iemand verschaffen. De Wbp noemt deze gegevens bijzondere persoonsgegevens. Voor de verwerking van bijzondere persoonsgegevens geldt een strenger regime dan voor gewone persoonsgegevens. In paragraaf 7.2 wordt uitgelegd welke gegevens bijzondere persoonsgegevens zijn. In paragraaf 7.3 worden de regels voor de verwerking van die gegevens toegelicht.
7.2 Wat zijn bijzondere persoonsgegevens? Bijzondere persoonsgegevens zijn alle persoonsgegevens die informatie
bijzondere persoonsgegevens
verschaffen over iemands: • godsdienst of levensovertuiging; • ras; • politieke gezindheid; • gezondheid; • seksuele leven; en • lidmaatschap van een vakvereniging. Verder zijn bijzondere persoonsgegevens: • strafrechtelijke persoonsgegevens; en • persoonsgegevens over onrechtmatig of hinderlijk handelen waarvoor een verbod is opgelegd (bijvoorbeeld een straatverbod). Een voorbeeld van strafrechtelijke gegevens zijn gegevens over veroordelingen, maar ook gegevens over een verdenking door Justitie van een strafbaar feit. Gegevens over iemands gezondheid omvatten uiteraard medische gegevens, maar meer in het algemeen gaat het om alle gegevens over de geestelijke of lichamelijke gezondheid van een persoon.
7.3 Wanneer is het verboden bijzondere persoonsgegevens te verwerken en wanneer niet? Het uitgangspunt van de Wbp is dat u bijzondere persoonsgegevens niet mag verwerken. De Wbp kent een aantal algemene en een aantal specifieke uitzonderingen op dit verbod. Ook als het verbod op de verwerking van bijzondere gegevens op uw verwerking niet van toepassing is, moet u voor het overige wel voldoen aan de regels van de Wbp en aan andere toepasselijke regelgeving. Dat betekent bijvoorbeeld dat u ook voor het verzamelen van bijzondere gegevens een welbepaald, uitdrukkelijk omschreven en gerechtvaardigd doel moet hebben en dat u deze gegevens moet beveiligen. Als u het verbod op het verwerken
407 G E G E V E N S
47
verbod op verwerken, tenzij
HOOFDSTUK
7
van bijzonder persoonsgegevens niet met behulp van één van de specifieke uitzonderingen kunt opheffen, is wellicht één van de algemene uitzonderingen van toepassing. De algemene uitzonderingen in de Wbp zijn dus eigenlijk een soort restbepalingen. Daarom worden in de navolgende subparagrafen eerst de specifieke uitzonderingen besproken en daarna de algemene. In deze handleiding wordt niet ingegaan op persoonsgegevens over iemands politieke gezindheid of over iemands lidmaatschap van een vakbond, noch op strafrechtelijke persoonsgegevens.
7.3.1 Persoonsgegevens over iemands godsdienst of levensovertuiging godsdienst of levensovertuiging
Het verbod op het verwerken van gegevens over iemands godsdienst of levensovertuiging geldt, kort gezegd, niet voor: • kerkgenootschappen of genootschappen op geestelijke grondslag; of • andere instellingen op godsdienstige of levensbeschouwelijke grondslag. Voorbeelden van dergelijke andere instellingen zijn een verzorgingstehuis op islamitische grondslag en een katholieke universiteit. De genootschappen en instellingen mogen gegevens verwerken over bijvoorbeeld de godsdienst van hun medewerkers of patiënten, mits uiteraard aan de algemene eisen voor gegevensverwerking van de Wbp is voldaan. Zo mag het verzorgingstehuis gegevens over de godsdienst van zijn patiënten verzamelen om hen adequate geestelijke verzorging te kunnen geven. Kerkelijke of andere geestelijke genootschappen mogen ook gegevens verwerken over de godsdienst of levensovertuiging van gezinsleden van hun eigen leden, mits het genootschap regelmatig, bijvoorbeeld eens per jaar, contact heeft met het gezinslid. U mag de gegevens over iemands godsdienst of levensovertuiging nooit aan derden verstrekken zonder de toestemming van de betrokkene.
7.3.2 Persoonsgegevens over iemands ras ras
Alleen in heel uitzonderlijke gevallen mag u gegevens over iemands ras verwerken. Dat is eigenlijk alleen toegestaan als u dat doet voor: • identificatiedoeleinden; of • in het kader van een voorkeursbeleid. In dat laatste geval moet aan aanvullende voorwaarden zijn voldaan, bijvoorbeeld dat de betrokkene daar geen schriftelijk bezwaar tegen heeft gemaakt. Een voorbeeld van het verwerken van gegevens voor identificatiedoeleinden is een systeem van toegangspasjes met foto’s van uw werknemers. Uit de foto kan onder omstandigheden het ras van de desbetreffende werknemer worden afgeleid. Deze verwerking is toegestaan als pasjes met foto voor de identificatie
408
48
H A N D L E I D I N G
W E T
B E S C H E R M I N G
P E R S O O N S
W E T
B E S C H E R M I N G
P E R S O O N S G E G E V E N S
van uw werknemers onvermijdelijk is, bijvoorbeeld omdat de omvang of de openbare toegankelijkheid van uw bedrijf meebrengt dat identificatie met behulp van een foto nodig is. Dit betekent echter niet dat u nooit foto’s van uw werknemers in bijvoorbeeld een zogenoemd “smoelenboek” mag verwerken. Als u uitdrukkelijk de toestemming van uw werknemers hebt verkregen mag u deze gegevens wel verwerken (zie paragraaf 7.3.4).
7.3.3 Persoonsgegevens over iemands gezondheid Gegevens over iemands gezondheid omvatten, als vermeld, alle gegevens die de geestelijke of lichamelijke gezondheid van een persoon betreffen. Daar valt bijvoorbeeld ook het gegeven onder dat één van uw werknemers een hartkwaal heeft. U mag deze gegevens in ieder geval verwerken als u tot de in de Wbp omschreven groepen behoort. U mag deze gegevens ook verwerken als u bijvoorbeeld uitdrukkelijke toestemming van de betrokkene hebt. Deze mogelijkheid is met name relevant voor werkgevers die maatregelen willen nemen voor hun “zieke” werknemers. Zie ook de hierna omschreven algemene uitzonderingen. Als vermeld, noemt de Wbp een aantal groepen van verantwoordelijken die, onder bepaalde voorwaarden, in ieder geval gegevens over iemands gezondheid mogen verwerken. De Wbp beperkt wel de doeleinden waarvoor die groepen gezondheidsgegevens mogen verwerken. Het betreft onder meer: • ziekenhuizen; • instellingen voor maatschappelijke dienstverlening; • verzekeraars; • speciale scholen; • reclasseringsinstellingen; • de raad voor de kinderbescherming; • (gezins-)voogdij instellingen; en • bestuursorganen en uitvoeringsinstellingen die bepaalde sociale zekerheidswetten uitvoeren. In de Wbp is een aparte bepaling opgenomen over het verwerken van gegevens over erfelijke eigenschappen. Deze gegevens mogen alleen worden verwerkt ten aanzien van de persoon bij wie deze zijn verkregen. Als een persoon erfelijkheidsgegevens over zichzelf verstrekt aan een verzekeraar voor het afsluiten van een levensverzekering, mogen deze erfelijkheidsgegevens alleen met betrekking tot hemzelf worden gebruikt en niet met betrekking tot familieleden op wie die gegevens noodzakelijkerwijs ook betrekking hebben. De Wbp vereist dat op degene die de persoonsgegevens verwerkt, een geheimhoudingsplicht rust. Voor zover die geheimhoudingsplicht niet reeds geldt uit hoofde van ambt, beroep of wettelijk voorschrift, legt de Wbp deze plicht op. Houdt u er rekening mee dat voor de vraag of u gegevens over iemands gezondheid mag verwerken, niet alleen de Wbp van belang is. Ook andere regelgeving kan van toepassing zijn, zoals bijvoorbeeld afdeling 7.5 van
409 G E G E V E N S
49
gezondheidsgegevens
HOOFDSTUK
7
boek 7 van het Burgerlijk Wetboek (de overeenkomst inzake geneeskundige behandeling) en de Wet op de medische keuringen.
7.3.4 Algemene uitzonderingen: restbepalingen algemene uitzonderingen
Ook als het verbod op het verwerken van bijzondere gegevens niet via één van de specifieke uitzonderingen kan worden opgeheven (bijvoorbeeld omdat u niet tot de verantwoordelijken behoort die gegevens over de gezondheid mogen verwerken), is het mogelijk dat u deze gegevens toch mag verwerken. Dit zijn de algemene uitzonderingen. U mag bijzondere persoonsgegevens wel verwerken als bijvoorbeeld:
uitdrukkelijke toestemming
• De betrokkene uitdrukkelijk toestemming heeft gegeven. Uitdrukkelijke toestemming betekent dat de betrokkene expliciet zijn wil moet hebben geuit. Dat is dus (nog) sterker dan de ondubbelzinnige toestemming als omschreven in paragraaf 3.4.2.
zelf openbaar
• De betrokkene de gegevens zelf al duidelijk openbaar heeft gemaakt. In dat geval zal de intentie van de betrokkene om openbaar te maken, duidelijk moeten zijn. Wanneer iemand zich bijvoorbeeld verkiesbaar stelt voor een politieke functie, zal hij met politieke opvattingen naar buiten treden. Dit zijn bijzondere persoonsgegevens, namelijk over iemand politieke gezindheid, maar onder deze omstandigheden mag u die gegevens wel verwerken.
gerechtelijke procedure
• Als de verwerking noodzakelijk is voor het vaststellen, het uitoefenen of het verdedigen van een recht in een gerechtelijke procedure. Zo kan het zijn dat u in een gerechtelijke procedure bepaalde gegevens over uw wederpartij moet verwerken om uw eigen positie te kunnen verdedigen. Het verbod op het verwerken van bijzondere persoonsgegevens is evenmin van toepassing als het verwerken geschiedt voor wetenschappelijk onderzoek of statistiek, mits u en uw onderzoek aan een aantal vereisten van de Wbp voldoen.
410
50
H A N D L E I D I N G
W E T
B E S C H E R M I N G
P E R S O O N S
HOOFDSTUK
8
W E T
B E S C H E R M I N G
P E R S O O N S G E G E V E N S
Specifieke vormen van gegevensverwerking 8.1 Direct marketing 8.1.1 Wat is direct marketing? Het is voor aanbieders van producten en diensten van belang om een directe relatie te kunnen onderhouden met bestaande klanten en om nieuwe klanten te kunnen verwerven. Hetzelfde geldt voor liefdadigheidsinstellingen ten opzichte van bestaande en nieuwe donateurs. Het onderhouden van een directe relatie met de betrokkene voor
direct marketing
commerciële of charitatieve doelen wordt direct marketing genoemd. Het gaat dan niet alleen om mailings aan de betrokkenen, maar ook om het maken van profielen om bijvoorbeeld de betrokkene direct te benaderen voor commerciële doeleinden. U kunt direct marketing op verschillende manieren bedrijven: • u kunt uw klanten of donateurs benaderen door gebruik te maken van gegevens in uw eigen klantenbestand; • u kunt gebruik maken van persoonsgegevens die een andere onderneming aan u verstrekt, om zelf een boodschap toe te zenden aan de personen die in dit bestand voorkomen; en • u kunt aan een andere onderneming die over een adressenbestand beschikt verzoeken om namens u een boodschap te zenden aan de in dat bestand opgenomen personen. In dit hoofdstuk komt aan de orde in hoeverre u persoonsgegevens mag verwerken voor direct marketingdoeleinden en welke bijzondere eisen de Wbp op dit punt stelt.
8.1.2 Mag ik direct marketing bedrijven? Of het is toegestaan om persoonsgegevens voor direct marketingdoeleinden te verwerken moet worden beoordeeld aan de hand van de algemene regels over rechtmatige verwerking van persoonsgegevens. Dit betekent onder meer dat de wijze van verwerking voor direct marketingdoeleinden niet onverenigbaar mag zijn met het doel waarvoor u de gegevens hebt verkregen (zie paragraaf 3.5). U moet steeds kijken naar de specifieke omstandigheden van het geval. Met name de mate van verwantschap tussen het doel waarvoor u de gegevens hebt verkregen en uw concrete direct marketingdoel zijn van belang. • Als u de gegevens voor een bepaald direct marketingdoel hebt verkregen, dan is verdere verwerking voor dat doel uiteraard niet onverenigbaar.
411 G E G E V E N S
51
algemene regels van toepassing
HOOFDSTUK
8
• Minder eenvoudig ligt het als u de persoonsgegevens voor een ander doel hebt verkregen. Het verwerken van gegevens voor de direct marketing van producten of diensten die verband houden met eerder geleverde producten of diensten, zal vaak niet onverenigbaar zijn. Dat kan anders worden als het gaat om heel andere producten of diensten dan in uw bedrijf of branche gebruikelijk zijn. • Ook is minder snel van verenigbaar gebruik sprake als de verdere verwerking bestaat uit de verstrekking van persoonsgegevens voor direct marketingdoeleinden aan een derde. Ook speelt een belangrijke rol of een selectie wordt gemaakt van de te verwerken gegevens en zo ja, op basis waarvan dat gebeurt. Wanneer een bank aan alle klanten met een betaalrekening informatie toezendt over spaarrekeningen is de desbetreffende verwerking niet onverenigbaar. Verstrekt een ziektekostenverzekeraar aan een leverancier van protheses persoonsgegevens die zijn geselecteerd op basis van gegevens in door de verzekerde ter vergoeding ingediende declaraties, dan is die wijze van verwerking onverenigbaar. Hebt u vastgesteld dat de voorgenomen wijze van verwerking voor direct marketingdoeleinden verenigbaar is met het doel waarvoor u de gegevens hebt verkregen, dan moet u de verwerking uiteraard wel kunnen baseren op één van de in paragraaf 3.4 beschreven grondslagen. Dikwijls is direct marketing noodzakelijk voor uw gerechtvaardigde belang bij een gezonde bedrijfsvoering en zal een afweging van dat belang tegen het privacybelang van de betrokkene in uw voordeel uitvallen. Indien u daarover echter twijfelt, kunt u beter ondubbelzinnige toestemming aan de betrokkene vragen voor de voorgenomen verwerking.
8.1.3 Wat is verzet en wat moet ik doen in geval van verzet? recht van verzet
De Wbp bepaalt dat betrokkenen bezwaar kunnen maken tegen gebruik van hun gegevens voor direct marketingdoeleinden. De wet noemt dat bezwaar verzet. Dit recht van verzet wijkt iets af van het eerder in paragraaf 4.7 omschreven recht van verzet.
betrokkene wijzen op
U moet de betrokkene wijzen op het recht van verzet:
recht van verzet • Als u zelf gegevens verwerkt voor direct marketing en direct marketingboodschappen verstuurt: in iedere boodschap (bijvoorbeeld door een adres, telefoonnummer of e-mail adres te vermelden waar men bezwaar kan maken).
412
52
H A N D L E I D I N G
W E T
B E S C H E R M I N G
P E R S O O N S
W E T
B E S C H E R M I N G
P E R S O O N S G E G E V E N S
• Als u persoonsgegevens die u zelf hebt verkregen aan een derde verstrekt
algemene bekendmaking
voor direct marketingdoeleinden of als u persoonsgegevens gebruikt voor rekening van derden voor direct marketingdoeleinden: door middel van een algemene bekendmaking. Een algemene bekendmaking is bijvoorbeeld de plaatsing van een advertentie in dag-, nieuws-, of huis-aan-huisbladen. Verstrekt u regelmatig persoonsgegevens aan een derde of gebruikt u regelmatig persoonsgegevens ten behoeve en voor rekening van derden, dan moet u eens per jaar een algemene bekendmaking publiceren. Die bekendmaking kan ook gebeuren in de vorm van een advertentie van een brancheorganisatie, waarin de individuele verantwoordelijken in een lijst zijn opgesomd. Zodra iemand bij u verzet aantekent tegen gebruik van zijn of haar gegevens
onmiddellijk beeïndigen
voor direct marketingdoeleinden, moet u dat gebruik onmiddellijk beëindigen. Verzet betekent echter niet altijd dat u de gegevens van de betrokkene helemaal niet meer mag gebruiken: alleen het gebruik voor direct marketingdoeleinden mag dan niet meer. Als bijvoorbeeld een weekbladabonnee verzet aantekent, kan de uitgever de gegevens van de betrokkene uiteraard blijven gebruiken om het blad toe te sturen en om het abonnementsgeld in rekening te brengen. Reclame toezenden voor andere publicaties is echter niet meer toegestaan. De betrokkene hoeft geen reden op te geven voor het bezwaar. Het verzet is kosteloos: dit betekent dat u voor de beëindiging van de verwerking voor direct marketingdoeleinden geen vergoeding mag vragen.
8.1.4 Gelden de direct marketingbepalingen van de Wbp voor elk direct contact? Het komt veel voor dat communicatie tussen leverancier en afnemer
direct marketingbepalingen
weliswaar een commerciële boodschap bevat, maar daar niet primair op is
niet van toepassing
gericht. De direct marketingbepalingen zijn niet van toepassing op die gevallen. U kunt daarbij denken aan bankafschriften waarop niet alleen saldo en bij- en afboekingen staan vermeld, maar waarop tevens wordt gewezen op een nieuwe spaarvorm. In dit voorbeeld is de communicatie niet primair gericht op de commerciële boodschap, maar is die boodschap meer secundair. Een ander voorbeeld is het voegen van een folder bij een krant door de uitgever van de krant. In dergelijke gevallen zijn de specifieke bepalingen met betrekking tot direct marketing niet van toepassing. Concreet betekent dit dat als een klant zich heeft verzet tegen verwerking van zijn persoonsgegevens voor direct marketingdoeleinden, u de mededeling op het bankafschrift of het bijvoegen van de folder niet achterwege hoeft te laten. Ook hoeft u daarbij niet te wijzen op de mogelijkheid van verzet.
413 G E G E V E N S
53
HOOFDSTUK
8
Deze uitzondering geldt niet als niet iedereen de boodschap krijgt, of niet iedereen dezelfde boodschap. Maakt u een bepaalde selectie om te bepalen wie welke boodschap krijgt, dan moet u weer wel rekening houden met eventueel verzet van betrokkenen. Zendt u een boodschap toe op basis van een selectie, dan zult u in die boodschap ook moeten wijzen op de mogelijkheid van verzet. telefoongesprekken
Een bijzonder geval is verder het onderhouden van een directe relatie door middel van telefoongesprekken. Indien een betrokkene zich heeft verzet tegen verwerking van zijn persoonsgegevens voor direct marketingdoeleinden, mag u diegene voor die doeleinden ook niet bellen. U hoeft echter niet in ieder commercieel gesprek dat u met een (potentiĂŤle) klant of donateur voert, te wijzen op de mogelijkheid van verzet. De betrokkene kan zich in het telefoongesprek uiteraard wel op eigen initiatief verzetten tegen het gebruik van zijn gegevens voor direct marketingdoeleinden. De branchevereniging van direct marketeers (DMSA) heeft een algemeen telefoonnummer waar betrokkenen kunnen aangeven dat zij telefonisch niet willen worden benaderd voor direct marketingdoeleinden.
8.2 Gegevensverkeer met het buitenland 8.2.1 Inleiding Door de globalisering van de economie en door de toegenomen technische mogelijkheden vindt steeds meer grensoverschrijdend verkeer van gegevens plaats. Dat geeft allerlei nieuwe mogelijkheden, maar kan ook nadelig zijn voor de persoonlijke levenssfeer van betrokkenen. De Wbp bevat enkele bepalingen over de doorgifte van persoonsgegevens naar het buitenland. In deze paragraaf komt aan de orde wat die bepalingen voor u betekenen.
8.2.2 Mag ik gegevens doorgeven naar andere landen binnen de Europese Unie? gegevensverkeer binnen de EU
De Wbp kent geen aparte bepalingen over gegevensverkeer binnen de Europese Unie. Dat is niet vreemd. De Wbp is namelijk totstandgekomen naar aanleiding van een Europese richtlijn. Die richtlijn had tot doel vrij verkeer van persoonsgegevens binnen de Europese Unie mogelijk te maken. Om dat doel te kunnen verwezenlijken, moest in alle lidstaten een goed en hoog niveau van bescherming van persoonsgegevens tot stand worden gebracht. Als alle lidstaten hun wetgeving hebben aangepast aan de richtlijn, is de Europese Unie voor wat de bescherming van persoonsgegevens betreft ĂŠĂŠn rechtsgebied. Concreet betekent dit dat u persoonsgegevens naar een andere lidstaat mag doorgeven zonder dat u aan speciale vereisten hoeft te voldoen. Uiteraard moet uw verwerking, net als een niet-grensoverschrijdende verwerking, wel voldoen aan de algemene vereisten van de Wbp. Zie daarvoor de voorgaande hoofdstukken. Voldoet u aan die eisen, dan staat niets aan doorgifte in de weg.
414
54
H A N D L E I D I N G
W E T
B E S C H E R M I N G
P E R S O O N S
W E T
B E S C H E R M I N G
P E R S O O N S G E G E V E N S
Als de doorgegeven gegevens vervolgens door een plaatselijke vestiging van uw bedrijf in dat andere land, bijvoorbeeld Frankrijk, verder worden verwerkt, moet die verdere verwerking in Frankrijk wel voldoen aan de Franse privacyregels.
8.2.3 Mag ik gegevens doorgeven naar landen buiten de Europese Unie? De Wbp kent wel enkele specifieke bepalingen over gegevensverkeer met
gegevensverkeer buiten de EU
landen buiten de Europese Unie. U mag gegevens naar een dergelijk land in beginsel alleen doorgeven als dat land een passend niveau van privacybescherming waarborgt. U moet als verantwoordelijke zelf beoordelen of het desbetreffende land
passend beschermingsniveau
buiten de Europese Unie een passend beschermingsniveau biedt. U moet daarvoor eerst nagaan of de minister van Justitie bijvoorbeeld heeft bepaald dat een bepaald land buiten de Europese Unie een passend beschermingsniveau heeft. Dan is doorgifte immers toegestaan. Als de minister (nog) niets heeft bepaald, kunt u afgaan op een eventueel oordeel van de Europese Commissie over het beschermingsniveau in een bepaald land. Bij het ter perse gaan van deze handleiding had de Europese Commissie bepaald dat Canada, Zwitserland en Hongarije een passend beschermingsniveau waarborgen. Hetzelfde geldt voor de Verenigde Staten, maar alleen voorzover de ontvanger van de gegevens zich heeft verplicht tot het naleven van de zogenoemde Safe Harbor Principles. Meer informatie over de Safe Harbor Principles en een up-to-date lijst van landen die volgens de minister of de Europese Commissie een passend beschermingsniveau waarborgen, kunt u vinden via de website van het College bescherming persoonsgegevens. Heeft noch de minister, noch de Europese Commissie een oordeel gegeven, dan moet u nagaan of het land waarnaar u gegevens wilt doorgeven een passend beschermingsniveau biedt aan de hand van (onder meer) de volgende elementen: • de aard van de gegevens; • het doel of de doeleinden van de voorgenomen verwerking; • de duur van de voorgenomen verwerking; • de algemene en sectorale rechtsregels die in het betrokken land gelden; en • de veiligheidsmaatregelen die in dat land worden nageleefd. Komt u tot de conclusie dat een land geen passend niveau van privacybescherming waarborgt, dan kunt u in bepaalde gevallen toch persoonsgegevens doorgeven.
415 G E G E V E N S
55
uitzonderingen
HOOFDSTUK
8
Dat kan: • Als de betrokkene daarvoor zijn ondubbelzinnige toestemming heeft gegeven. Die toestemming moet wel van toepassing zijn op op doorgifte naar het betrokken land. Krijgt u van de betrokkene bijvoorbeeld ondubbelzinnige toestemming voor verwerking van zijn persoonsgegevens voor direct marketingdoeleinden, dan houdt dat nog geen toestemming in voor doorgifte van die gegevens naar een land dat geen passend beschermingsniveau waarborgt. •
Als de doorgifte noodzakelijk is in het kader van een overeenkomst tussen u en de betrokkene.
Als iemand bijvoorbeeld bij een bedrijf in een ander land een product bestelt, zullen de persoonsgegevens van de betrokkene naar het desbetreffende land moeten worden doorgegeven om die bestelling te kunnen uitvoeren. Daarvoor is dan geen afzonderlijke, ondubbelzinnige toestemming nodig. • Wanneer de doorgifte geschiedt vanuit een openbaar register dat bij wettelijk voorschrift is ingesteld. Daarbij kan bijvoorbeeld worden gedacht aan het handelsregister. De Wbp kent nog enkele andere uitzonderingen op het verbod van doorgifte naar een land dat geen passend niveau van privacybescherming waarborgt. Juist omdat het hier uitzonderingen op een verbod betreft, moet u steeds zorgvuldig nagaan of uw voorgenomen verwerking onder een of meer van de uitzonderingen valt. vergunning
Waarborgt het land waarnaar u persoonsgegevens wilt doorgeven geen passend beschermingsniveau én kunt of wilt u geen gebruik maken van de hiervoor genoemde uitzonderingen, dan kunt u een vergunning voor de doorgifte aanvragen. Een dergelijke vergunning wordt verleend door de minister van Justitie, na advies van het College bescherming persoonsgegevens. De minister zal de vergunning verlenen als hij van mening is dat de verantwoordelijke voldoende waarborgen biedt voor de bescherming van de persoonlijke levenssfeer van betrokkenen. Aan de vergunning kunnen op dat punt ook nadere voorschriften worden verbonden. De bedoelde waarborgen kunnen onder meer worden geboden door middel van specifieke bepalingen in het contract tussen en de ontvanger van de gegevens. De Europese Commissie heeft daarvoor modelbepalingen vastgesteld. Deze bepalingen zijn te vinden via de website van het College bescherming persoonsgegevens. Als u deze bepalingen gebruikt, staat daarmee vast dat u voldoende waarborgen biedt voor de bescherming van de persoonlijke levenssfeer van betrokkenen. Niettemin zult u een vergunning moeten aanvragen. Die zal in dat geval wel relatief spoedig worden verleend.
416
56
H A N D L E I D I N G
W E T
B E S C H E R M I N G
P E R S O O N S
W E T
B E S C H E R M I N G
P E R S O O N S G E G E V E N S
Het aanvraagformulier voor een vergunning is te vinden op de website van het College bescherming persoonsgegevens. Ten slotte nog een algemene opmerking: ook al geeft u gegevens door naar het buitenland, die doorgifte is steeds een verwerking die valt onder de Wbp. De doorgifte moet dus steeds voldoen aan de vereisten van de Wbp. Dit betekent onder meer dat de doorgifte niet onverenigbaar mag zijn met de doeleinden waarvoor u de gegevens hebt verzameld, en dat u de doorgifte moet kunnen baseren op ĂŠĂŠn of meer van de in de Wbp genoemde grondslagen.
417 G E G E V E N S
57
voldoen aan Wbp
HOOFDSTUK
9
Wat kan er gebeuren als ik niet aan alle eisen van de Wbp voldoe? 9.1 Inleiding Op het moment dat u de Wbp of de daarop gebaseerde regelingen niet naleeft, kunt u met een aantal acties worden geconfronteerd: • Een burger kan stappen ondernemen. • Het openbaar ministerie kan u eventueel vervolgen. • Het College bescherming persoonsgegevens kan actie ondernemen. Iedereen die schade lijdt doordat u in strijd handelt met de Wbp of de daarop gebaseerde regelingen, kan deze schade op u verhalen. Ook kan de rechter u een verbod of gebod opleggen. Belanghebbenden kunnen daarnaast opkomen tegen een aantal specifieke, door u genomen beslissingen. Daarbij maakt de Wbp onderscheid tussen de situatie dat u, als verantwoordelijke, een bestuursorgaan bent en de situatie dat dat niet het geval is. Overtreding van sommige normen van de Wbp is strafbaar gesteld. Het openbaar ministerie kan u vervolgen voor de overtreding van die normen. Ten slotte kan het College bescherming persoonsgegevens actie ondernemen. Het College kan onder meer bestuursdwang toepassen of een dwangsom opleggen, en kan een bestuurlijke boete opleggen. Deze acties worden hierna besproken. Op andere mogelijke acties van het College, bijvoorbeeld het doen van onderzoek naar de naleving van de Wbp in een bepaalde sector, wordt in deze handleiding niet ingegaan.
9.2 Welke acties kunnen burgers tegen mij ondernemen? 9.2.1 Algemeen Als u of uw branche een gedragscode heeft vastgesteld en daarin is een regeling voor het beslechten van geschillen opgenomen, kan de burger uiteraard op grond daarvan actie ondernemen. In de praktijk zijn allerlei regelingen voor de beslechting van geschillen vastgesteld. Hieronder worden alleen de mogelijkheden uitgewerkt die de burger heeft op grond van de Wbp.
9.2.2 Vergoeding van schade verantwoordelijke aansprakelijk
De verantwoordelijkheid voor naleving van de Wbp én de aansprakelijkheid voor schade die het gevolg is van niet-naleving, ligt primair bij u, de verantwoordelijke. U bent als verantwoordelijke aansprakelijk voor de schade die iemand lijdt als gevolg van uw overtreding van de Wbp. Ook immateriële schade zult u eventueel moeten vergoeden. U bent ook aansprakelijk als een ander, bijvoorbeeld de door u ingeschakelde bewerker, die overtreding begaat. U kunt de door u betaalde schadevergoeding dan mogelijk wel verhalen op die bewerker, maar tegenover degene die schade lijdt, bent u aansprakelijk. Dat is alleen anders als u kunt bewijzen dat de schade niet aan u kan worden toegerekend.
418
58
H A N D L E I D I N G
W E T
B E S C H E R M I N G
P E R S O O N S
W E T
B E S C H E R M I N G
P E R S O O N S G E G E V E N S
Onder omstandigheden rust op de bewerker een zelfstandige aansprakelijkheid. Zie daarover paragraaf 5.3
9.2.3 Rechterlijk verbod of gebod Iemand die schade lijdt of dreigt te lijden als gevolg van uw overtreding van de
verbod of gebod
Wbp, kan ook aan de rechter vragen u een verbod of gebod op te leggen. De rechter kan u bijvoorbeeld verbieden bepaalde gegevens aan een derde te verstrekken of u gebieden bepaalde gegevens uit uw systeem te verwijderen.
9.2.4 Ik ben een bestuursorgaan: de belanghebbende kan bezwaar maken Als u een bestuursorgaan bent, wordt een aantal van uw beslissingen
besluit in de zin van
aangemerkt als een besluit in de zin van de Algemene wet bestuursrecht.
Algemene wet bestuursrecht
Belanghebbenden kunnen op grond van de regels van die wet bezwaar maken tegen deze besluiten. Het gaat steeds om besluiten die u neemt op verzoek van de betrokkene (of diens wettelijk vertegenwoordiger). De volgende besluiten zijn aangewezen: • het besluit op een verzoek om inlichtingen over de van aanmelding vrijgestelde gegevensverwerkingen (zie paragraaf 4.2.3); • het besluit op een verzoek om inzage in de gegevens (zie paragraaf 4.4); • het besluit op een verzoek om correctie van de gegevens (zie paragraaf 4.5); • het besluit op een verzoek om opgave van de derden die u hebt ingelicht over een correctie (zie paragraaf 4.5); • het besluit op een verzet aangetekend op grond van artikel 41 van de Wbp (zie subparagrafen 3.4.6 en 3.4.7); • het besluit op een verzet aangetekend op grond van artikel 40 van de Wbp (zie subparagraaf 8.1.3). U moet zich realiseren dat de Algemene wet bestuursrecht ook op de totstandkoming van deze besluiten van toepassing is.
9.2.5 Ik ben geen bestuursorgaan: de belanghebbende kan een verzoekschrift indienen Ook als u geen bestuursorgaan bent, kan een belanghebbende actie ondernemen tegen de in de vorige subparagraaf genoemde beslissingen. De belanghebbende moet dan een verzoekschrift indienen bij de rechtbank. Belanghebbende is niet alleen de betrokkene, maar bijvoorbeeld ook de derde van wie u de gegevens hebt verkregen. De belanghebbende moet het verzoekschrift indienen: • Binnen zes weken na ontvangst van uw beslissing. • Hebt u niet binnen de wettelijke termijn (in de meeste gevallen vier weken) geantwoord, dan moet de belanghebbende het verzoekschrift indienen binnen zes weken na afloop van die termijn.
419 G E G E V E N S
59
verzoekschrift
HOOFDSTUK
9
De gewone verzoekschriftprocedure van het Wetboek van Burgerlijke Rechtsvordering is van toepassing. In aanvulling op die procedure bepaalt de Wbp dat de rechtbank zo nodig belanghebbenden in de gelegenheid kan stellen hun zienswijze naar voren te brengen.
9.3 Welke overtredingen zijn strafbaar? strafbaar
Op een aantal overtredingen van de Wbp is straf gesteld. U kunt gestraft worden met een geldboete van ƒ 5.000,- (e 2.250,-) als u als verantwoordelijke: • uw gegevensverwerking niet hebt gemeld; • uw gegevensverwerking onjuist of onvolledig hebt gemeld; • wijzigingen in uw verwerking niet (tijdig) doorgeeft; • van uw melding afwijkende verwerkingen niet bewaart; • in strijd met een verbod van de minister van Justitie persoonsgegevens doorgeeft naar een land buiten de Europese Unie; • u geen persoon of instantie hebt aangewezen die namens u handelt wanneer u niet in Nederland of in een andere lidstaat van de Europese Unie gevestigd bent en u toch in Nederland gegevens verwerkt met (al dan niet) geautomatiseerde middelen. Als u bij deze overtredingen opzettelijk handelt, kunt u gestraft worden met een gevangenisstraf van maximaal zes maanden of een geldboete van ten hoogste ƒ 10.000,- (e 4.500,-). Het openbaar ministerie mag u niet vervolgen als het College bescherming persoonsgegevens u voor dezelfde overtreding al een bestuurlijke boete heeft opgelegd.
9.4 Welke acties kan het College bescherming persoonsgegevens ondernemen als ik de Wbp niet naleef? 9.4.1 Bestuursdwang of dwangsom bestuursdwang
Als u één of meerdere bepalingen van de Wbp of de daarop gebaseerde regelingen overtreedt, kan het College bescherming persoonsgegevens bestuursdwang toepassen. Bestuursdwang houdt in dat u een termijn krijgt om de overtreding ongedaan te maken. Laat u dat na, dan kan het College zelf op uw kosten de overtreding ongedaan maken.
dwangsom
Het College kan er ook voor kiezen u een last op straffe van een dwangsom op te leggen. Het College zal dit doen als zij de overtreding niet gemakkelijk zelf ongedaan kan maken. Het College kan u bijvoorbeeld gelasten binnen één week bepaalde gegevens te verwijderen of uw gegevensverwerking binnen één maand aan te melden, op straffe van een dwangsom per dag dat u niet aan deze last voldoet.
420
60
H A N D L E I D I N G
W E T
B E S C H E R M I N G
P E R S O O N S
W E T
B E S C H E R M I N G
P E R S O O N S G E G E V E N S
Het College is onderworpen aan de regels van de Algemene wet bestuursrecht. Dat betekent onder meer dat het College u altijd een termijn moet gunnen om de overtreding ongedaan te maken, de zogenoemde begunstigingstermijn. Het betekent ook dat u bezwaar kunt maken tegen een besluit van het College om bestuursdwang toe te passen of een dwangsom op te leggen. Het ministerie van Justitie heeft een aantal folders uitgegeven over het maken van bezwaar.
9.4.2 Bestuurlijke boete Het College kan in een aantal gevallen een bestuurlijke boete opleggen. Voordat het College u een boete oplegt, moet het een rapport opmaken. Dat rapport wordt u toegezonden. U bent niet verplicht een voor uzelf belastende verklaring af te leggen: u hebt dus het recht om te zwijgen. Dat recht ontstaat op het moment dat u redelijkerwijs kunt vermoeden dat het College aan u een boete gaat opleggen, bijvoorbeeld op het moment dat u een afschrift van het rapport ontvangt. Het College moet u voordat het een boete oplegt, in de gelegenheid stellen uw zienswijze naar voren te brengen. Besluit het College vervolgens toch om u een boete op te leggen, dan kunt u tegen dat besluit bezwaar maken. Het ministerie van Justitie heeft een aantal folders uitgegeven over het maken van bezwaar. Als u aannemelijk kunt maken dat u geen verwijt kan worden gemaakt van de overtreding, mag het College u geen boete opleggen. Het College mag u ook geen boete opleggen als er meer dan vijf jaar is verstreken tussen het moment van overtreding en het opleggen van de boete. Legt het College u toch een boete op, dan moet u eerst bezwaar maken, waarna u tegen de beslissing op bezwaar eventueel in beroep kunt bij de rechtbank. De boete kan ten hoogste ƒ 10.000,- (e 4.500,-) bedragen. Het College mag die boete opleggen als u als verantwoordelijke: • Uw gegevensverwerking niet hebt gemeld; • Uw gegevensverwerking onjuist of onvolledig hebt gemeld; • Wijzigingen in uw verwerking niet (tijdig) doorgeeft; of • Van uw melding afwijkende verwerkingen niet bewaart. U moet de boete betalen binnen zes weken nadat het besluit in werking is getreden. Het besluit tot oplegging van een boete treedt pas in werking als: • De bezwaartermijn is verstreken; of, • Als u bezwaar hebt gemaakt, op het moment dat op bezwaar is beslist. Betaalt u niet op tijd, dan kan het College de boete innen via een dwangbevel van de rechter.
421 G E G E V E N S
61
bestuurlijke boete
BIJLAGE
Van Wpr naar Wbp: wat is veranderd en hoe luidt de overgangsregeling? In deze bijlage worden de belangrijkste verschillen aangestipt tussen de oude Wet persoonsregistraties en de nieuwe Wet bescherming persoonsgegevens. Het overzicht is niet uitputtend. Ook wordt de overgangsregeling beschreven. • “Verwerking van persoonsgegevens” in plaats van “persoonsregistratie”. De Wbp regelt de verwerking van persoonsgegevens. Dit begrip omvat ook het verzamelen, en dus het verkrijgen, van persoonsgegevens. Dit was anders onder de Wpr. De regels van de Wbp zijn dus ook van toepassing op het verzamelen en verkrijgen van gegevens. • “Verantwoordelijke” in plaats van “houder”. De Wbp richt zich primair tot de verantwoordelijke in plaats van tot de houder. Om te bepalen wie de verantwoordelijke is, moet ten eerste worden gekeken wie formeel-juridisch de bevoegdheid heeft om het doel en de middelen van de gegevensverwerking te bepalen. Pas als onduidelijk is wie die bevoegdheid heeft, moet worden gekeken aan wie die bevoegdheid moet worden toegerekend naar de maatstaven die in het maatschappelijk verkeer gelden. Dit was anders onder de Wpr. • Onderscheid publieke en private sector is vervallen. De Wbp is zonder onderscheid van toepassing op de verwerking van persoonsgegevens. De reglementplicht voor de publieke sector is vervallen. Ook overheden moeten hun gegevensverwerking melden bij het College bescherming persoonsgegevens. Bij die melding moet wel veel informatie over de gegevensverwerking worden verstrekt. De normen van de Wbp kunnen in de private sector anders worden ingevuld dan in de publieke sector. Dat hangt samen met de verschillende posities die private partijen en overheden in de maatschappij innemen. • De informatieverplichtingen zijn uitgebreid. De verantwoordelijke moet degene wiens persoonsgegevens worden verwerkt (de betrokkene), informeren over de gegevensverwerking, tenzij de betrokkene op de hoogte is. Dit was anders onder de Wpr, waar de houder de betrokkene niet hoefde te informeren als de betrokkene redelijkerwijs op de hoogte kon zijn. Er is onder de Wbp een aantal andere uitzonderingen op deze informatieverplichting.
422
62
H A N D L E I D I N G
W E T
B E S C H E R M I N G
P E R S O O N S
W E T
B E S C H E R M I N G
P E R S O O N S G E G E V E N S
• Betrokkene heeft het recht van verzet. De betrokkene heeft in een aantal gevallen het recht van verzet in verband met zijn bijzondere persoonlijke omstandigheden. De verantwoordelijke moet de verwerking beëindigen als het verzet naar zijn oordeel gerechtvaardigd is. Als persoonsgegevens worden verzameld en verder verwerkt voor direct marketingdoeleinden, heeft de betrokkene het recht van kosteloos verzet. In geval van dergelijk verzet moet de verantwoordelijke de verwerking voor die doeleinden altijd beëindigen. • Risicoaansprakelijkheid voor onrechtmatige gegevensverwerking afgezwakt. De verantwoordelijke is niet aansprakelijk voor schade die ontstaat door een onrechtmatige gegevensverwerking als hij of zij kan aantonen dat hem of haar geen verwijt treft. Dat is een soepelere regeling dan onder de Wpr gold. • Varia. De Wbp is ook deels van toepassing op pers, radio en televisie. Als persoonsgegevens worden verwerkt voor journalistieke, artistieke of literaire doeleinden moet aan een aantal verplichtingen van de Wbp worden voldaan. Het regime voor gevoelige gegevens (onder de Wbp: bijzondere gegevens) is iets aangescherpt. Bijzondere gegevens mogen alleen voor een concreet omschreven belang of een (nader omschreven) zwaarwegend algemeen belang worden verwerkt. De Wbp introduceert de functionaris voor de gegevensbescherming. De verantwoordelijke of een brancheorganisatie kan een functionaris benoemen. De bevoegdheden van het College bescherming persoonsgegevens (vroeger de Registratiekamer) zijn uitgebreid. Het College kan bijvoorbeeld een bestuurlijke boete opleggen als u uw gegevensverwerking niet meldt.
Overgangsrecht Gegevensverwerkingen die reeds plaatsvonden op het moment dat de Wbp in werking trad, moet u binnen één jaar na dat moment: • in overeenstemming brengen met de Wbp; en • melden bij • het College bescherming persoonsgegevens (vroeger de Registratiekamer); of • (als die is benoemd) bij de functionaris voor de gegevensbescherming. Let op! U moet uw gegevensverwerking onder de Wbp dus opnieuw melden, óók als u uw persoonsregistratie onder de Wpr al hebt aangemeld. Dit moet
423 G E G E V E N S
63
BIJLAGE
binnen 茅茅n jaar nadat de Wbp in werking is getreden. De regering kan deze termijn eventueel verlengen tot maximaal drie jaar. Als u na het in werking treden van de Wbp gegevens gaat verwerken, moet die verwerking meteen aan de Wbp voldoen. Als u bijzondere gegevens verwerkt moet u uw verwerking van bijzondere gegevens binnen drie jaar na de inwerkingtreding van de Wbp in overeenstemming brengen met de regels van de Wbp die speciaal over bijzondere gegevens gaan. Voor het overige gelden de gewone, hiervoor beschreven overgangsregels. Verwerkt u op het tijdstip van de inwerkingtreding van de Wbp bijzondere gegevens op grond van een overeenkomst die tot stand is gekomen v贸贸r inwerkingtreding van de Wbp en is die verwerking noodzakelijk voor de uitvoering van die overeenkomst, dan hoeft u niet opnieuw toestemming te vragen aan de betrokkene. Als u op het moment van inwerkingtreding van de Wbp gegevens verwerkt die op grond van de Wbp zijn onderworpen aan een voorafgaand onderzoek, moet u deze verwerking bij het College bescherming persoonsgegevens melden voor een voorafgaand onderzoek. U hoeft de verwerking echter gedurende het onderzoek niet op te schorten. Dit is wel zo als u een zodanige verwerking na inwerkingtreding van de Wbp (gaat) uitvoeren.
424
64
H A N D L E I D I N G
W E T
B E S C H E R M I N G
P E R S O O N S
W E T
ADRESSEN
B E S C H E R M I N G
P E R S O O N S G E G E V E N S
College bescherming persoonsgegevens Postbus 93374 2509 AJ Den Haag fax:
070 381 13 01
e-mail:
info@cbpweb.nl
website: www.cbpweb.nl Adviseurs van het College bescherming persoonsgegevens zijn dagelijks (m.u.v. woensdag) telefonisch bereikbaar van 9.00 tot 12.00 uur op 070 381 13 00.
Ministerie van Justitie Postbus 20301 2500 EH Den Haag tel:
070 370 68 50
e-mail:
voorlichting@minjus.nl
website: www.justitie.nl VNO-NCW Postbus 93002 2509 AA Den Haag tel:
070 349 03 49
fax:
070 349 03 00
e-mail:
informatie@vno-ncw.nl
website: www.vno-ncw.nl/privacy FNV Postbus 8456 1005 AL Amsterdam tel:
0900 330 03 00
website: www.fnv.nl (zoeken op â&#x20AC;&#x153;privacyâ&#x20AC;?) DMSA
Colofon Uitgave: Ministerie van Justitie Den Haag, april 2002 2e gewijzigde druk www.justitie.nl Samenstelling: mr. L.B. Sauerwein en mr. J.J. Linnemann Kennedy Van der Laan Amsterdam
Postbus 75959 1070 AZ Amsterdam tel:
020 517 12 12
e-mail:
info@dmsa.nl
website: www.dmsa.nl Vereniging van Nederlandse Gemeenten (VNG) Postbus 30435 2500 GK Den Haag tel:
070 373 83 93
website: www.vng.nl
425 G E G E V E N S
65
426
66
H A N D L E I D I N G
W E T
B E S C H E R M I N G
P E R S O O N S
W E T
B E S C H E R M I N G
427 G E G E V E N S
67
P E R S O O N S G E G E V E N S
428
68
W
E
T
B
E
S
C
H
E
R
M
I
N
G
P
E
R
S
O
O
N
S
G
E
G
E
V
E
N
S 429
COLLEG E BESCHERMIN G PERSOONSGEGEVEN S
Privacy: checklist voor
Juliana van Stolberglaan -10 Postbu s 93374 2509 AJ Den Haag TELEFOO N 070 888 85 00 X 070 888 85 01 MAI L info@cbpweb.nl INTERNE T www.cbpweb.nl
de ondernemingsraad INHOUD
COLOFON
April 2002 Uitgave: College bescherming persoonsgegevens Bewerker: mr. M.Th. van Munster-Frederiks Grafisch ontwerp: Proforma, strategie, ontwerp en management Druk: Sdu Grafisch Bedrijf
430 C O L L E G E BESCHERMING P E R S O O N S G E G E V E N S
I N H O U D S O P G AV E
D E O N D E R N E M I N G S R A A D D I E N T DOO R D E O N D E R N E M E R B E T R O K K E N T E W O R D E N BI J R E G E L I N G E N V O OR HE T VE R W E R K E N
Voorwoord
5
1 Privacy, persoonsgegevens en de ondernemingsraad
6
2 De Wet bescherming persoonsgegevens
8
VA N P E R S O O N S G E G E V E N S E N HE T G E B R U I K VA N P E R S O N E E L S VOLGSYSTEMEN. DE O NDERNEMINGSRAAD HEEFT DE PLICHT Z I JN I N S T E M M I N G S R E C H T V O OR D E Z E V E R W E R K I N G E N
3 Algemene toetsingsvragen
10
4 Toetsingsvragen voor de verwerking van persoonsgegevens
14
5 Toetsingsvragen voor personeelsvolgsystemen
26
UIT T E OEFENEN .
Bijlage: OR privacychecklist
431 222
:
<
VORIGE
32
INHOUD
VOLGENDE
> 3
VOORWOORD Ondernemingsraden spelen bij de privacybescherming van medewerker s op de werkplek een cruciale rol. De Wet op de Ondernemingsraden bepaal t dat een ondernemer de instemming van de ondernemingsraa d nodig heeft als hij regelingen voo r persoonsgegevens van medewerkers wil verwerken.
Per 1 september 2001 is de Wet bescherming persoonsgegevens in werking getreden als de opvolger van de Wet Persoonsregistraties. Reden voor het College bescherming persoonsgegevens om de "Checklist voor ondernemingsraden " , die gebaseerd was op de Wet Persoonsregistraties, aan te passen aan deze nieuwe wet. Aan de hand van 25 toetsingsvragen met voorbeelden worden de belangrijkste voorwaarden besproken voor het behoorlijk, zorgvuldig en rechtmatig omgaan met persoonsgegevens van medewerkers op het werk. Als de organisatie een functionaris voor de gegevensbescherming heeft aangesteld, kan deze interne toezichthouder ook de ondernemingsraad met advies ter zijde staan. Het College wil met deze privacychecklist ondernemingsraden een handreiking bieden bij het realiseren van een passend niveau van privacybescherming in bedrijven en organisaties. Ik wens u daarbij veel succes. mr. P.J. Hustinx Voorzitter
432 4
P R I VA CY : C H E C K L I S T V O OR D E O N D E R N E M I N G S R A A D
<
VORIGE
INHOUD
VOLGENDE
> VOOR WOOR D
5
onderneming werkzaam zijn (of wel personeelsvolgsystemen geregeld in artikel 27, eerste lid onder l. van de WOR). De OR draagt dus medeverantwoordelijkheid voor de omgang met en de bescherming van persoonsgegevens op het werk. Om ondernemingsraden een handreiking te bieden bij de afwegingen die rond het verwerken van persoonsgegevens gemaakt moeten worden, heeft het College bescherming persoonsgegevens een checklist ontwikkeld. De checklist wordt in deze brochure uitvoerig toegelicht, voorafgegaan door een schets van de Wet bescherming persoonsgegevens op hoofdpunten.
k
1
DE ONDERNEMINGSRAAD
In de checklist en de toelichting daarop worden de begrippen 'ondernemer' en 'medewerker' gehanteerd. Voor het begrip ondernemer is aansluiting gezocht bij de definitie in artikel 1, eerste lid onder d. van de WOR: de natuurlijke persoon of de rechtspersoon die een onderneming in stand houdt. Met het begrip medewerker(s) wordt bedoeld de in de onderneming werkzame perso(o)nen in de zin van artikel 2 van de WOR. De WOR is van toepassing op zowel het bedrijfsleven als de overheidsdiensten.
De ondernemingsraad (OR) is nauw betrokken bij afspraken over de verwerkin g van personeelsgegevens en personeelsvolgsystemen in een onderneming.
De checklist begint met een aantal algemene toetsingsvragen om te beoordelen of er inderdaad sprake is van verwerking van persoonsgegevens en van personeelsvolgsystemen volgens de Wet bescherming persoonsgegevens (Wbp).
P R I VA C Y, P E R S O O N S G E G E V E N S E N
Specifieke toetsingsvragen voor verwerking van persoonsgegevens zoals de ondernemer deze wil laten verrichten, maken vervolgens het grootste deel van de privacychecklist uit.
De in artikel 27 van de Wet op de ondernemingsraden (WOR) geregelde verplichte instemming van de OR met betrekking tot voorgenomen besluiten is per 4 maart 1998 uitgebreid. De OR dient sindsdien ook te oordelen over twee soorten besluiten die de persoonlijke levenssfeer van medewerkers raken. De beoordeling door de OR betreft voorgenomen besluiten tot vaststelling, wijziging of intrekking van twee soorten
Personeelsvolgsystemen zijn bijzondere gevallen van de verwerking van persoonsgegevens. Hierbij moet een OR niet te snel denken dat deze niet in de onderneming voorkomen want ook systemen die geschikt zijn om personeel te volgen, vallen hieronder. De checklist sluit af met specifieke toetsingsvragen voor deze verwerkingen.
regelingen: a
Een regeling omtrent het verwerken van alsmede de bescherming van de persoonsgegevens van de personen die in de onderneming werkzaam zijn (geregeld in artikel 27, eerste lid onder k. van de WOR).
b
Regelingen inzake voorzieningen die gericht zijn op of geschikt zijn voor waarneming van of controle op aanwezigheid, gedrag of prestaties van de personen die in de
<
VORIGE
INHOUD
VOLGENDE
>
433 6
P R I VA CY : C H E C K L I S T V O OR D E O N D E R N E M I N G S R A A D
P R I VA CY , P E R S O O N S G E G E V E NS E N D E O N D E R N E M I N G S R A A D
7
dienst, ras, politieke gezindheid, gezondheid, seksuele geaardheid, lidmaatschap van een vakvereniging, strafrechtelijke gegevens en gegevens over onrechtmatig of hinderlijk gedrag waarvoor een verbod is opgelegd) gelden striktere normen. 3
Kwaliteit
De persoonsgegevens moeten zoveel mogelijk juist, nauwkeurig, toereikend, ter zake dienend en niet bovenmatig zijn. 4
k
2
5
6
7
8
9
Gegevensverkeer met landen buiten de Europese Unie
Het verkeer van persoonsgegevens naar een land buiten de Europese Unie (EU) is in principe alleen toegestaan als dat land een passend niveau van bescherming heeft. Al deze basisvoorwaarden voor de verwerking van persoonsgegevens zijn verwerkt in de hierna volgende toetsingsvragen.
Rechtmatig e grondslag
P R I VA CY : C H E C K L I S T V O OR D E O N D E R N E M I N G S R A A D
Verwerking doo r een bewerker
Als de verwerking wordt uitbesteed aan een bewerker, moet worden verzekerd dat deze zich houdt aan de aanwijzingen van de verantwoordelijke.
Persoonsgegevens (dat zijn alle gegevens die informatie kunnen verschaffen over een identificeerbare natuurlijke persoon) mogen slechts voor bepaalde en gerechtvaardigde doeleinden worden verzameld en niet worden verwerkt voor doeleinden die daarmee onverenigbaar zijn.
8
B eveiliging
Passende maatregelen van technische en organisatorische aard vormen het noodzakelijke sluitstuk van een rechtmatige verwerking.
Doelbinding
De verwerking van persoonsgegevens (dat is elke handeling die met persoonsgegevens verricht kan worden) moet berusten op een in de Wbp genoemde grondslag, zoals toestemming, overeenkomst, wettelijke plicht, gerechtvaardigd belang van het bedrijf of de organisatie. Voor bijzondere gegevens (gods-
Rechten van de betrokkenen
De betrokkenen hebben het recht om kennis te nemen van hun gegevens en om te verzoeken deze te laten verbeteren of te laten verwijderen. Tevens hebben zij er recht op om bezwaar te maken tegen het verwerken van persoonsgegevens.
Het wettelijk kader voo r de omgang met persoonsgegeven s is vastgeleg d in de Wet bescherming persoonsgegeven s (Wbp). Deze wet is sinds 1 september 2001 van kracht en is de opvolger van de Wet persoonsregistraties. Voor het rechtmatig verwerke n van persoonsgegeven s en het zorgvuldig en behoorlij k omgaan met persoonsgegeven s schrijf t de Wbp een aantal dwingende normen voor. Deze normen zijn uitgewerk t in een aantal basisvoorwaarden.
2
Melden : voornemen en verwerking
De verwerking van persoonsgegevens moet vooraf worden gemeld bij het College bescherming persoonsgegevens (CBP) of een functionaris voor de gegevensbescherming, tenzij de verwerking daarvan is vrijgesteld. Van bepaalde persoonsgegevens moet ook al het plan (voornemen) deze te verwerken gemeld worden met het oog op een beoordeling door het CBP (voorafgaand onderzoek).
D E W E T B E S C H E R M I NG P E R S O O N S G E G E V E NS
1
Transparantie
De betrokkene (dat is de persoon wiens persoonsgegevens worden verwerkt) moet kunnen overzien door wie en voor welk doel zijn gegevens worden verwerkt.
434
<
VORIGE
INHOUD
VOLGENDE
>
D E WE T B E S C H E R M I N G P E R S O O N S G E G E V E NS
9
Voorbeelden van persoonsgegeven s zijn: – naam , adres, burgerservicenummer (he t ‘administratieve schaduw-beeld’) – een video-opnam e van een persoon – gegevens over iemands telefoon - of computergebruik – het kentekennummer of het benzineverbruik van een lease-auto – iemands ziekteverzuim en de redenen daarvan – een registratie van gevolgde cursussen en opleidingen in het kader van carriè reverloop – biometrische gegeven s (b. v. irisscan, vingerafdruk).
Van een persoonsgegeven is pas sprake als de identiteit van de persoon op wie de informatie betrekking heeft, ook redelijkerwijs kan worden vastgesteld. Dit betekent dat de informatie individualiseerbaar moet zijn. Of gegevens individualiseerbaar zijn, wordt bepaald door de grenzen van wat redelijkerwijs binnen de mogelijkheden van de onderneming ligt of wat met behulp van aanvullende informatie achterhaald kan worden. Zodra gegevens tot één of meer betrokken medewerkers te herleiden zijn, zal al snel sprake zijn van persoonsgegevens. De omvang van een bepaalde afdeling kan er dus toe doen. Een personeelsnummer in een bedrijf is tot een persoon te herleiden. Ook met behulp van een login-naam is een medewerker te traceren.
3
ALGEMENE TOETSINGSVRAGE N
Volgens de omschrijving in artikel 27, eerst e lid, onder k. van de WOR is het instemmingsrecht van toepassing ten aanzien van een voorgenomen besluit van de ondernemer inzake de vaststelling, wijzigin g of intrekking van een regeling omt rent het verwerken van alsmed e de bescherming van persoonsgegeven s van de in de onderneming werkzame personen. Hiermee wordt in de praktijk een regeling bedoeld omt rent de verwerkin g van persoonsg egevens. Voor de interpretatie van de begrippen ‘persoonsgegeven’ en ‘verwerking’ moet worden gekeken naar de Wbp. 1
Geen persoonsgegevens zijn bijvoorbeeld: – de getotaliseerde gegevens over het personeelsbestan d van een bedrijf met een redelijke omvan g of – de geaggregeerde (dat wil zeggen gegroepeerde, niet tot een individuele medewerker te herleiden ) gegeven s over het telefoongebruik binnen een onderneming. 2
Is sprak e van verwerkin g van persoonsgegevens?
De Wbp kent het ruime begrip 'verwerking van persoonsgegevens'. Hieronder wordt verstaan elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder het geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.
Is sprak e van een persoonsgegeven?
Een persoonsgegeven in de zin van de Wbp is elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Het kan om allerlei soorten informatie gaan: om eigenschappen van de betrokkene, diens opvattingen of gedragingen. Meer in het algemeen gaat het om gegevens die bepalend kunnen zijn voor de manier waarop de betrokken persoon in het maatschappelijk verkeer wordt beoordeeld of behandeld. 435
<
VORIGE
INHOUD
VOLGENDE
>
11
Op de in artikel 27, eerste lid, onder k. van de WOR genoemde verwerkingen is de Wbp van toepassing als de gegevens geheel of gedeeltelijk geautomatiseerd worden verwerkt. Ook is de Wbp van toepassing op persoonsgegevens die in een bestand zijn opgeslagen. Denk hierbij ook aan handmatig bijgehouden bestanden. Van een bestand is sprake bij structurering en een bepaalde mate van toegankelijkheid van de gegevens.
4
Kan de OR gebrui k make n van het instemmingsrecht?
Wanneer de ondernemer van plan is een besluit te nemen tot vaststelling, wijziging of intrekking van een regeling ten aanzien van de verwerking van persoonsgegevens of een personeelsvolgsysteem heeft de OR de plicht zijn instemmingsrecht uit te oefenen. De OR kan eventueel een beroep doen op het initiatiefrecht van artikel 23 van de WOR wanneer de ondernemer, in de ogen van de OR, niet de noodzakelijke actie onderneemt.
3 Wie is de verantwoordelijke?
De verantwoordelijke is degene die beslist of, en zo ja, welke gegevens worden verwerkt, met welk doel dat gebeurt en op welke wijze. Het gaat primair om degene die formeel-juridisch de zeggenschap heeft. Meestal is dit de rechtspersoon. Als dit onvoldoende duidelijk is, moet gekeken worden naar het tweede criterium: degene aan wie de verwerking naar de maatstaven die in het maatschappelijk verkeer gelden, moet worden toegerekend. Bij concernverhoudingen is bepalend onder wiens bevoegdheid de operationele gegevensverwerking plaats vindt. De feitelijke macht of invloed van een andere rechtspersoon binnen het concern is niet van belang.
In het geval dat de OR niet instemt met het voorgenomen besluit van de ondernemer, kan de ondernemer de kantonrechter om toestemming vragen (artikel 27, vierde lid WOR).
In de WOR is geregeld wat onder onderneming, ondernemer en bestuurder moet worden verstaan. In zijn algemeenheid kan gesteld worden dat de ondernemer in de zin van de WOR gezien kan worden als de verantwoordelijke in het kader van de Wbp. Bij een concern zal iedere dochtermaatschappij op zich de verantwoo rdelijke zijn. Dit betekent dat personeelsgegeven s niet zomaar verstrekt mogen worden aan bijvoorbeeld de Raad van Bestuur van het concern of een stafafdelin g van het concern. Daarvoor moet een goed e en rechtsgeldig e reden zijn.
Als de verantwoordelijke niet zelf persoonsgegevens verwerkt maar de feitelijke handelingen laat verrichten door een daarin gespecialiseerde organisatie (bijvoorbeeld een salarisadministratiebureau), dan is deze organisatie een zogenaamde 'bewerker'. De Wbp stelt eisen aan vorm en inhoud van de afspraken die de verantwoordelijke met een bewerker maakt. De verantwoordelijke kan altijd aansprakelijk worden gesteld voor een onrechtmatige verwerking. De bewerker is zelfstandig aansprakelijk voor gebreken binnen zijn organisatie.
<
VORIGE
INHOUD
VOLGENDE
>
436 12
P R I VA CY : C H E C K L I S T V O OR D E O N D E R N E M I N G S R A A D
ALGEMENE TOETSINGSVRAGE N
13
doelen bepalen vóórdat hij begint met het verwerken van persoonsgegevens. Hierbij is van belang dat het doel van de verwerking zo nauwkeurig en volledig mogelijk wordt omschreven. Als er meerdere doelstellingen zijn, moeten deze afzonderlijk worden genoemd en getoetst op de noodzaak om met het oog hierop persoonsgegevens te verzamelen.
k
Doel van het verwerken is bijvoorbeeld het registreren van toetsaanslagen op de compute r per tijdseenheid ter voorkoming van de zogenaamd e ‘muisarm’. Of is het doel ook de productie van de medewerker op de compute r vast te stellen? Wordt het telefoongebruik allee n maa r geregistreerd met het oog op kostenbeheersing of ook om de productie te meten ? Vinden video-opnamen alleen plaats ter beveiligin g van medewerker s en eigendommen of ook om de medewerker s te observe ren bij het uitvoeren van hun werkzaamheden?
4
7
TOETSINGSVRAGEN VOOR DE VER WERKING VAN PERSOONSGEGEVENS Alvorens in te stemmen met een regeling voor de verwerking van persoonsgegevens kan de regeling krachten s artikel 27, eerst e lid onder k. van de WOR op de volgende punten worden getoetst. 5
Worden de persoonsgegevens in overeenstemming met de wet en op een behoorlijke en zorgvuldige wijze ver werkt?
De hoofdregel van de Wbp eist dat persoonsgegevens op behoorlijke en zorgvuldige wijze en in overeenstemming met de wet worden verwerkt. Dat gegevens in overeenstemming met de wet moeten worden verwerkt, betekent niet alleen dat de ondernemer zich aan de Wbp moet houden. Hij moet zich ook houden aan andere relevante regelgeving waarin bijzondere regels voor gegevensverwerking zijn opgenomen (bijvoorbeeld de sociale verzekeringswetgeving). 6
Vrijwaring van een vitaal belang (grondslag d) zal in de praktijk weinig voorkomen. Het moet gaan om een zaak van 'leven of dood ' die ook nog spoedeisend moet zijn. De grondslag genoemd onder e) heeft vooral betrekking op de situatie dat een bestuursorgaan gegevens moet verwerken om zijn publiekrechtelijke taak op een goede manier te kunnen uitoefenen of dat een bedrijf of organisatie informatie met het oog hierop aan een bestuursorgaan moet verstrekken. Vaak vindt samenloop met de wettelijke plicht tot verstrekking vangegevens plaats. Ook kunnen er gerechtvaardigde belangen voor een ondernemer zijn om gege-
Voor wel k doe l worden de persoonsgegeven s verwerkt?
De ondernemer (verantwoordelijke) moet de 437 14
P R I VA CY : C H E C K L I S T V O OR D E O N D E R N E M I N G S R A A D
Wanneer mogen persoonsgegevens verwerkt worden?
Verwerking van persoonsgegevens mag alleen plaatsvinden op een of meer van de volgende gronden. Deze zijn: a Ondubbelzinnige toestemming; b Noodzakelijk voor de uitvoering van een overeenkomst; c Noodzakelijk voor de nakoming van een wettelijke verplichting; d Noodzakelijk ter vrijwaring van een vitaal belang van de betrokkene; e Noodzakelijk voor een goede vervulling van een publiekrechtelijke taak; f Noodzakelijk voor de behartiging van een gerechtvaardigd belang van de ondernemer - terwijl de persoonlijke levenssfeer van de betrokkenen niet prevaleert. Ook al staat de toestemming voorop, vaak zal de grondslag voor de verwerking een andere zijn. In veel gevallen vloeit de verwerking voort uit een arbeidsovereenkomst (grondslag b) of wordt deze voorgeschreven door de overheid (grondslag c), bijvoorbeeld in het kader van de uitvoering van de sociale zekerheid.
<
VORIGE
INHOUD
VOLGENDE
>
T O E T S I N G S V R A G E N V O O R D E V E R W E R K I N G VA N P E R S O O N S G E G E V E N S
15
vens over zijn medewerkers te verwerken (grondslag f), bijvoorbeeld maatregelen in het belang van de bedrijfsveiligheid of de bescherming van bedrijfsbelangen. De privacybelangen van de betrokken medewerkers dienen in dit geval altijd tegenover de belangen van de ondernemer uitdrukkelijk worden afgewogen. Ook al heeft de ondernemer een gerechtvaardigd belang om persoonsgegevens te verwerken dan nog kan het zo zijn dat verwerking achterwege moet blijven vanwege een klemmend belang van privacybescherming van medewerkers. Het bieden van een bezwaarmogelijkheid kan aan de belangen van de medewerkers tegemoet komen.
of vrijwillig zijn verstrekt. ‘Verenigbaar’ met het doel waarvoor de persoonsgegevens in het kade r van de arbeidsverhoudin g zijn vastgelegd is het verzorgen van een mailin g in het kader van een employee benefits-programma. ‘Niet verenigbaar ’ met het doel van een verzekerdenadministratie is het verst rekken van informatie ove r de arbeidsongeschiktheid van een medewerker door een ondernemer die tevens assurantiepersoon is, in een ontslagprocedure bij de kanton rechter. 9
De ondubbelzinnige toestemming (grondslag a) van de betrokken medewerker functioneert in de praktijk als een restcategorie. Deze toestemming mag niet verward worden met de instemming van de OR. Ook al heeft de OR zijn instemming aan een bepaalde verwerking gegeven, de toestemming van de individuele medewerker blijft noodzakelijk als deze grond van toepassing is. 8
De OR kan de volgende vragen stellen: a Wordt voldoende gebruik gemaakt van de mogelijkheden van anonimisering, versleuteling, codering van gegevens? b Moeten de gegevens op individueel niveau worden verzameld of kan worden volstaan met gegevens op het niveau van een afdeling of van het bedrijf als geheel (geaggregeerd niveau)? c Moeten over alle personeelsleden gegevens worden vastgelegd of kan worden volstaan met het verzamelen van informatie over medewerkers in bepaalde functies of op bepaalde plaatsen? d Kan worden volstaan met een steekproef of moeten voortdurend gegevens worden vastgelegd? Of gaat het juist om bepaalde personeelsleden?
Blijft het gebruik van de persoonsgegeven s beperkt tot de doelen waarvoor de gegevens werde n verzameld?
Natuurlijk mogen gegevens worden gebruikt voor de doeleinden die hiervoor zijn vastgesteld. Maar het is niet zo dat ander gebruik in het geheel niet is toegestaan. Onder de Wbp is verdergaand gebruik toegestaan op voorwaarde dat dit ëniet onverenigbaar í is met het doel waarvoor de gegevens zijn verzameld. Criteria voor het beoordelen hiervan zijn onder meer: a De verwantschap tussen het doel van de door de ondernemer gewenste verwerking van de persoonsgegevens en het doel waarvoor deze zijn verkregen; b De aard van de gegevens; c De gevolgen van de verwerking voor de betrokken medewerker; d De wijze waarop de gegevens zijn verkregen; e De waarborgen waarmee het verdergaande gebruik wordt omgeven. Om te kunnen beoordelen of in een concreet geval sprake is van verenigbaar gebruik, moeten deze factoren in onderling verband worden beoordeeld. Van belang is om de gevolgen voor de medewerker in te schatten. Voorts kan het uitmaken of de gegevens door de medewerker verplicht zijn aangeleverd
In het doel van de personeelsadministratie van een wereldwijd concer n kan ook besloten liggen de verspreidin g van informati e over ‘skills’ van de medewerker s binnen het concern in het kader van loopbaanontwikkeling en detachering. In eerst e instanti e is voor het maken van een selectie de naam van de medewerker niet relevant. Informatie ove r ‘skills’ kan dus anonie m worden aangeboden. Pas als een dochtermaatschappij geïnteresseerd is, kan ook de naam van de medewerker worden verst rekt. 10 Zijn voldoende maatregelen genomen om te waarborgen dat de persoonsgegevens juist en nauwkeurig zijn?
Persoonsgegevens waarop medewerkers worden beoordeeld en op grond waarvan beslissingen worden genomen, moeten 438
16
P R I VA CY : C H E C K L I S T V O OR D E O N D E R N E M I N G S R A A D
Wordt volstaan met zo min mogelij k persoonsgegevens?
Een belangrijk uitgangspunt van privacybescherming is dat zo min mogelijk persoonsgegevens worden verwerkt. Alleen die persoonsgegevens die nodig zijn om het doel te bereiken, mogen worden verwerkt. Het minimum aan persoonsgegevens is daarom ook meteen het maximum.
<
VORIGE
INHOUD
VOLGENDE
>
T O E T S I N G S V R A G E N V O O R D E V E R W E R K I N G VA N P E R S O O N S G E G E V E N S
17
toereikend, ter zake dienend en niet bovenmatig zijn. De ondernemer moet maatregelen treffen om te waarborgen dat de gegevens juist en nauwkeurig zijn.
13 Worde n gegevens ook aan personen buiten de onder nemin g verstrekt?
Voor het verstrekken van persoonsgegevens wordt in de Wbp geen onderscheid gemaakt of dit voor intern (binnen de onderneming) of extern (buiten de onderneming) gebruik is. Gesteld kan worden dat dezelfde afwegingen gelden voor zowel intern als extern gebruik (zie hiervoor toetspunt 7). De afgrenzing ligt ook in het begrip verantwoordelijke (zie toetsingsvraag 3).
De ondernemer kan regelmati g een overzicht van de gegeven s verst rekken aan de medewerker s met het verzoe k deze op juistheid te controleren. Hierbij zijn niet alleen adresgegevens, etc. in de personeelsadministratie van belang maar bijvoorbeeld ook de aanwezigheidsregistratie. Na maanden weet een medewerker vaak niet meer op welke dagen hij hoeveel uur heeft gewerkt, maar na een week nog wel. Hetzelfde geldt voor registratie van de productie. De wijze van verzamelen dient dus de nauwkeurigheid en juist heid van de gegevens te bevo rderen.
Als de ondernemer op grond van een gerechtvaardigd belang personeelsgegevens aan een derde verstrekt, moet een afweging worden gemaakt tussen het bedrijfsbelang en het privacybelang van de medewerker. Omdat bij extern gebruik de kans op inbreuk in de persoonlijke levenssfeer van de medewerker groter is dan bij intern gebruik, zullen in de praktijk de waarborgen in dat geval ook groter moeten zijn.
11 Worden persoonsgegevens zoveel mogelijk verzameld bij de medewerker zelf?
De medewerker is doorgaans de eerste bron voor gegevens. Soms zal een ander ook zonder toestemming gegevens over een medewerker mogen verstrekken aan de ondernemer. De medewerker dient er wel van op de hoogte te zijn als dit gebeurt.
Aan de uitvoeringsinstelling voor de uitkering van sociale verzekeringen mogen persoonsgegevens van medewerker s worden verst rekt. Ook kunnen in het kader van de arbeidsvoorwaarden zogenaamde employee benefitsafspraken gemaak t zijn die gegevensverstrekking aan bijvoorbeeld een assurantietussenpersoon meebrengen. Ook bij het verst rekken van per soonsgegevens binnen een concern zal deze verstrekkin g getoetst moeten worden aan de rechtmatigheidgronden genoemd in toetspunt 7.
Hierbij kunnen door de OR bijvoorbeeld de volgende vragen worden gesteld: a Wordt de medewerker als eerste gevraagd om gegevens waarover hij zelf de beschikking heeft? b Weet hij wanneer gegevens over hem worden verzameld bij derden?
14 Vindt gegevensverkeer naar het buitenland plaats?
Hier moet onderscheid worden gemaakt tussen gegevensverkeer binnen de Europese Unie (EU) en buiten de EU. De Wbp kent geen aparte bepalingen voor gegevensverkeer binnen de Europese Unie. Op basis van de Europese privacyrichtlijn is binnen de EU-lidstaten een gelijkwaardige bescherming van persoonsgegevens tot stand gebracht en vrij verkeer van persoonsgegevens mogelijk gemaakt. Gegevensverkeer van Nederland naar een ander EU-land hoeft alleen te voldoen aan de algemene vereisten van de Wbp.
12 Hebben slecht s die personen toegang tot persoonsgegeven s die de gegevens nodi g hebben voor de vervullin g van hun taak?
Doorgaans mogen persoonsgegevens alleen worden gebruikt door bepaalde functionarissen en alleen maar ten aanzien van medewerkers met wie zij te maken hebben: denk aan de afdeling Personeel & Organisatie/Human Resource Management en lijnchefs. De verspreiding van persoonsgegevens moet aan banden worden gelegd.
Voor gegevensverkeer naar landen buiten de EU, de zogenaamde derde landen, gelden specifieke bepalingen.
Niet toegestaan is bijvoorbeeld: Het plaatsen van gegevens ove r het ziekteverzuim van individuele medewerkers op het prikbord in de hal, of het met naam en toenaam noemen van veroorzakers van bedrijfsongevallen in het bedrijfsinfobulletin. In het kade r van het veiligheidsbeleid is dat niet nodig, wel het benoemen van het ongeval en de oorzaken.
De personeelsgegeven s van een Nederlandse dochtermaatschappij of de vaardigheidsgegeven s van de medewerker s mogen niet zonder meer worden opgeslagen in de centrale database van de moedermaatschappij in de Verenigde Staten. 439
18
P R I VA CY : C H E C K L I S T V O OR D E O N D E R N E M I N G S R A A D
<
VORIGE
INHOUD
VOLGENDE
>
T O E T S I N G S V R A G E N V O O R D E V E R W E R K I N G VA N P E R S O O N S G E G E V E N S
19
De hoofdregel is dat persoonsgegevens alleen mogen worden doorgegeven naar een derde land als voldaan is aan de algemene vereisten van de Wbp én het derde land een passend beschermingsniveau waarborgt.
De kwestie van de doorgifte van persoonsgegevens aan derde landen wordt verder uitgewerkt in het informatieblad "Doorgifte naar derde landen" en de brochure "Derde landen". Dit informatiemateriaal is te raadplegen op www.cbpweb.nl.
Om vast te stellen of dit het geval is, moet de verantwoordelijke eerst nagaan of er een besluit is van de Minister van Justitie of van de Europese Commissie waarin iets wordt bepaald over het niveau van bescherming in een derde land. Is er geen besluit dan moet een verantwoordelijke zelf aan de hand van de relevante wettelijke regelingen een analyse van de situatie maken. Op de CBP-website is een link naar een lijst met landen te vinden waar de Europese Commissie een besluit over heeft genomen. Deze lijst bevat de landen waar een passend niveau van bescherming aanwezig wordt geacht.
15 Worde n de persoonsgegevens nie t langer bewaard dan nodig?
Gegevens mogen niet langer worden bewaard dan noodzakelijk is voor de verwezenlijking van de doeleinden waarvoor zij werden verzameld. De bewaartermijn kan meteen bij het vaststellen van het doel worden bepaald. Het is goed om met een standaardtermijn te werken, waarvan in bijzondere gevallen kan worden afgeweken. In het zogenaamde Vrijstellingsbesluit is bepaald welke categorieën van verwerkingen vrijgesteld zijn van de meldingsplicht aan het CBP. In het Vrijstellingsbesluit staan per categorie van verwerkingen specifieke bewaartermijnen genoemd. Het is verstandig om deze termijnen toe te passen. Wijkt een bedrijf of organisatie hiervan af dan moet alsnog melding plaatsvinden van de verwerking van persoonsgegevens.
Als een derde land geen passend beschermingsniveau heeft, zijn er twee mogelijkheden om toch gegevens naar derde landen door te mogen geven. De eerste mogelijkheid zijn de uitzonderingen die in de wet worden genoemd. Deze uitzonderingen dienen restrictief geïnterpreteerd te worden. Restrictief wil zeggen dat de wet streng moet worden geïnterpreteerd: aan de woorden van de wet wordt een minder ruime betekenis toegekend dan in het gewone spraakgebruik.
Het Vrijstellingsbesluit noemt voo r personeelsadministraties een bewaar termijn van maximaal twee jaar nadat het dienstverband met de medewerker is beë indigd. Voor sollicitanten registratie s wordt een termij n genoem d van uiterlijk 4 weken nadat de sollicitatieprocedure is beë indigd.
Voorbeelden van de uitzonderingen zijn de ondubbelzinnige toestemming van bet rokkene n of doo rgifte die noodzakelijk is in het kader van een over eenkomst bijvoorbeeld een arbeidsovereenkomst
16 Zijn voldoende maatregelen genomen om de persoonsgegeven s te beveiligen?
Gegevens moeten voldoende beschermd zijn tegen onbevoegd gebruik of andere vormen van onrechtmatige verwerkingen. De ondernemer moet hiervoor zorg dragen. Het noodzakelijke niveau van beveiliging wordt bepaald aan de hand van een risicoanalyse. Hierbij zijn onder meer de aard van de gegevens en de kring van de gebruikers van belang.
De tweede mogelijkheid is een vergunning van de Minister van Justitie. Aan een dergelijke vergunning worden nadere voorwaarden verbonden die als waarborg voor de bescherming van persoonsgegevens dienen. Een vorm van deze waarborg is het gebruik van modelcontracten voor de doorgifte van gegevens die opgesteld worden door de Europese Commissie.
Door midde l van wachtwoordbeveiliging op de compute r, toegangsbeveiliging of het gebrui k van firewalls bij koppeling van het systeem met het internet kan bijvoorbeeld beveiligin g plaatsvinden.
Voor de Verenigde Staten geldt een apart regime. Alleen voor die ondernemingen die zich verplicht hebben te voldoen aan de zogenaamde Veilige Haven Overeenkomst (Safe Harbor Agreement) geldt dat er sprake is van een passend beschermingsniveau. Deze lijst met ondernemingen is te vinden op de website van het U.S. Department of Commerce (http://safeharbor.export.gov/list.aspx).
Het CBP-rapport Beveiliging van persoonsgegevens (2001) bevat een uitwerking van de wettelijke verplichting tot het beveiligen van persoonsgegevens en beveelt concrete beveiligingsmaatregelen aan (zie www.cbpweb.nl).
<
VORIGE
INHOUD
VOLGENDE
>
440 T O E T S I N G S V R A G E N V O O R D E V E R W E R K I N G VA N P E R S O O N S G E G E V E N S
21
Medische informatie over de medewerke r zal slecht s met zijn uitdrukkelijke
17 Blijft het verwerke n van ‘bijzondere ’ persoonsgegevens zoveel mogelijk achterwege?
toestemming aan de ondernemer moge n worden gegeven. Een arbo -art s mag zich zonder de toestemming van de medewerker wel tegenover de ondernemer uitlaten over de vraa g of deze al dan niet in staa t is tot het verrichten van arbeid in het kader van reïntegratie. Ook mag de arbo-arts de onder nemer informeren over de eventuele aanpassingen op de werkplek die nodig zijn voor de reïntegratie van de medewerker. Het behoort tot de taak van de arbo-arts om de ondernemer te informeren over de beperkingen die een medewerker ondervind t ten gevolge van zijn ziekte of handicap . Het medisch beroepsgeheim geldt wel voo r de gegevens die iets over de aard van de ziekte zegge n en ook bijvoorbeeld voo r de uitslagen van drugs- en alcoholtests.
Voor bepaalde soorten gegevens geldt een bijzonder beschermingsniveau. Het zijn gegevens die in het maatschappelijk verkeer als gevoelig worden ervaren. Het gaat om gegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, en gegevens betreffende het lidmaatschap van een vakvereniging. Ook strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag zijn bijzondere gegevens.
19 Worde n de medewerker s voldoende geïnformeerd over de Persoonsgegevens over iemand s ras mogen alleen verwerkt worden met het
verwerkin g van hun gegevens?
oog op identificati e van de medewerker of in het kader van een voorkeursbeleid voor bepaalde minderheidsgroeperingen . Verwerking van gegevens over het lidmaatschap van een vakbond mag plaatsvinden door de vakbond zelf voor zover dat gele t op de doelstelling van de vakbon d noodzakelijk is of met uitdrukkelijke toestemmin g van het vakbondslid.
Medewerkers van wie gegevens worden verwerkt, moeten kunnen nagaan wat er met die gegevens gebeurt. Volgens de Wbp moet een onderneming die persoonsgegevens verwerkt, de betrokken persoon informeren over het doel van het verzamelen en de naam en het adres van het bedrijf.
De verwerking van deze gegevens is verboden tenzij de Wbp een uitzondering geeft op dit verbod. Als de ondernemer het voornemen heeft bijzondere gegevens te verwerken, wordt aangeraden de tekst van de Wbp over de bijzondere gegevens (zie artikelen 16 t/m 24) te raadplegen. Per bijzonder gegeven staan de uitzonderingen uitdrukkelijk genoemd. Daarnaast zijn er algemene uitzonderingen die voor alle bijzondere gegevens gelden.
De informatieplicht van de ondernemer over het verwerken van persoonsgegevens is vanzelfsprekend, wannee r de medewerke r bij indienstt reding de nodig e formulieren ten behoeve van de personeels- en salarisadministratie invult . Vóór het moment waarop de gegeven s worden verkregen , dient dan de personeelsfunctionari s de nodige informatie te verst rekken (b.v. via een folder) . Dergelijke informatie moet ook worden verstrekt bijvoorbeeld bij het ter beschikkin g stelle n van een lease-auto. Het gaa t dan om de gegevensverwerking met bet rekking tot het autogebruik, zoals welke gegeven s worden vastgeleg d en met welk doel.
Een voorbeeld van een algemen e uitzondering is de uitdrukkelijke toestemming van de medewerker of in het geval de medewerker de persoonsgege vens zelf al duidelij k openbaa r heeft gemaakt . Bijvoorbeeld als een medewerker zelf mededeelt dat hij in het verlede n is veroordeel d wegens fraude en deze veroordeling van belang is voo r zijn functie of voor het bedrijf.
Als gegevens niet van de medewerkers worden verkregen maar van een derde, moet de medewerker worden geïnformeerd op het moment dat de gegevens worden vastgelegd. Een voorbeeld van gegevens die via derden worden verkregen, zijn de gegevens die bij refe renties worden opgevraag d tijden s de sollicitatiep rocedu re. Ook moet de ondernemer de medewerke r informeren wanneer hij deze observeert bij zijn gebruik van het computernetwerk of website; de medewerker verst rekt immer s niet bewust deze gegevens.
18 Blijven medische gegeven s onde r beheer van een art s of van andere personen die gebonden zijn aan het medisch beroepsgeheim?
Medische gegevens zijn niet alleen bijzondere gegevens, maar vallen ook onder het medisch beroepsgeheim. Daarom is het van groot belang dat deze gegevens niet door de ondernemer worden beheerd, maar onder het beheer blijven van bijvoorbeeld de bedrijfsarts. 441 22
P R I VA CY : C H E C K L I S T V O OR D E O N D E R N E M I N G S R A A D
<
VORIGE
INHOUD
VOLGENDE
>
T O E T S I N G S V R A G E N V O O R D E V E R W E R K I N G VA N P E R S O O N S G E G E V E N S
23
20 Zijn de medewerker s op de hoogt e van hun rechten en weten zij hoe zij deze kunnen uitoefenen?
Medewerkers hebben het recht op inzage in hun personeelsdossier. Ook kunnen zij verzoeken om verbetering, aanvulling, verwijdering of afscherming van hun gegevens. Hierdoor kunnen zij zich tegen onjuiste of incomplete gegevens in het dossier verweren. Op deze manier kan de medewerker voorkomen dat hij gedurende zijn gehele loopbaan door bepaalde incidenten wordt achtervolgd. Ook kunnen zij verzoeken niet meer relevante gegevens te verwijderen. Het komt ook voor dat zij na kennisneming van de gegevens behoefte hebben de eigen visie vast te leggen, bijvoorbeeld een reactie op een klacht van een klant. Daarnaast heeft de medewerker het recht zich te verzetten tegen bepaalde verwerkingen waarbij de ondernemer een gerechtvaardigd belang heeft, maar de medewerker meent dat zijn recht op eerbiediging van de persoonlijke levenssfeer prevaleert. De ondernemer bepaalt of het verzet wordt gehonoreerd.
< 24
VORIGE
INHOUD
P R I VA CY : C H E C K L I S T V O OR D E O N D E R N E M I N G S R A A D
VOLGENDE
>
442 T O E T S I N G S V R A G E N V O O R D E V E R W E R K I N G VA N P E R S O O N S G E G E V E N S
25
k
Een prikklok is gericht op controle op aanwezigheid . Een badg e kan uitsluitend bedoeld zijn als een (elekt ronische) sleutel. Een badg e kan echter ook geschik t zijn om aan - en afwezigheid van een medewerker te regist reren of te observeren op welke plaats binnen een gebou w een medewerke r zich bevindt. Een badge kan verder geschikt zijn voo r de bedienin g van een koffieautomaat of als betaalmiddel in de bedrijfskantine . Ook kan een badge toegang geven tot het communicatienetwerk in het bedrijf , waarvan het inen uitloggen van medewerkers doorgaans wordt vastgelegd. Een videocamer a is geschikt voo r observatie van medewerkers. Wanneer camera' s in grootwinkelbedrijven worden opgehangen uit een oogpun t van beveiliging tegen winkeldiefstal , zal een onvermijdelijk gevolg zijn dat deze ook de gedragingen van de medewerkers vastleggen . Zo kunnen de gedragingen en de prestaties van de medewerker s worden gevolgd.
5
Dat een voorziening ervoor geschikt is om medewerkers te observeren is niet altijd direct duidelijk. Het kan gaan om technische voorzieningen die letterlijk buiten het gezichtsveld van de medewerker liggen. Voorzieninge n die buiten het gezichtsvel d van de medewerker vallen, zijn bijvoorbeeld functie s van software waarmee de medewerker s dagelijks werken, zoals een programma ter voorkoming van RSI (KANS) Een dergelij k programma is ook geschik t om medewerker s te observeren.Ook het e-mail verkeer en internetgebruik van medewerkers is geschik t om medewerkers gade te slaan. Zo kan de ondernemer zien wanneer en aan wie de medewerker berichten verstuurt.
TOETSINGSVRAGE N VOO R PERSONEELSVOLGSYSTEMEN Bij de beoordelin g van personeelsvolgsystemen kan de OR krachtens artike l 27, eerste lid onder l. van de WOR de voorgestelde regeling op de onderstaande punten toetsen.
22 Is het nodig om gebrui k te maken van een personeelsvolgsysteem?
21 Is sprake van een personeelsvolgsysteem?
Volgens de omschrijving in artikel 27, eerste lid, onder sub l is het instemmingsrecht van de OR van toepassing, als een voorziening gericht is op of geschikt is voor waarneming van of controle op aanwezigheid, gedrag of prestaties van de in de onderneming werkzame personen. In het dagelijkse spraakgebruik worden dergelijke "voorzieningen" aangeduid als personeelsvolgsystemen. Als er sprake is van een personeelsvolgsysteem, dan mag er van worden uitgegaan dat er ook sprake is van verwerking van persoonsgegevens. Vaak blijkt uit de opzet van een systeem dat het gericht is op het volgen van personeel. De wet voegt toe als criterium dat de instemming van de OR ook vereist is als een systeem daarvoor geschikt is. Er moet dus naar de mogelijke effecten van zo'n systeem worden gekeken. Als die zijn dat het personeel hoewel het in feite niet wordt gevolgd, wel kan worden gevolgd, dan is sprake van een voorziening in de zin van de WOR. 26
P R I VA CY : C H E C K L I S T V O OR D E O N D E R N E M I N G S R A A D
De eerste vraag die gesteld moet worden, is of het gebruik van een personeelsvolgsysteem wel nodig is in de onderneming. Pas als deze vraag positief beantwoord wordt, komt de vraag naar de wijze van uitvoering aan de orde. Over de noodzaak van een personeelsvolgsysteem kunnen diverse vragen worden gesteld: a Waarom stelt de ondernemer de voorziening voor of heeft hij deze in gebruik? b Is sprake van een wettelijke of contractuele verplichting? c Zo niet, is het om een andere reden noodzakelijk om de voorziening in te voeren of te gebruiken? d Als er geen van buiten komende noodzaak bestaat, kan de ondernemer dan een gerechtvaardigd belang aantonen voor het gebruik van het systeem? 443
<
VORIGE
INHOUD
VOLGENDE
>
T O E T S I N G S V R A G E N V O OR P E R S O N E E L S V O L G S Y S T E M E N
27
e
Hoe verhoudt zich het belang van de ondernemer tot de belangen van de medewerker? Vragen hierbij zijn - Hoe indringend is de observatie? - Komen de belangen van de medewerkers in het gedrang? - En zo ja, is het mogelijk om het doel dat de ondernemer voor ogen staat te bereiken op een voor de medewerkers minder belastende wijze?
24 Wordt de personeelsbeoordelin g uitsluitend gebaseerd op de gegeven s die met een personeelsvolgsysteem zijn verzameld?
Van belang is dat gegevens niet zomaar worden vastgelegd in de personeelsadministratie en dat niet uitsluitend op grond hiervan personeelsbeoordeling plaatsvindt. Van belang is dat medewerkers kort na de observatie door het personeelsvolgsysteem in de gelegenheid worden gesteld om te reageren op de resultaten en dat hun visie hierop bij de resultaten wordt gevoegd.
Van belang is of het gebruikte middel redelijk is in verhouding tot het beoogde doel en of ook met minder ingrijpende middelen kan worden volstaan. Het is denkbaar dat de voorziening zo indringend is, dat de OR, vanuit het oogpunt van de belangen van de medewerkers en gelet op het doel dat de ondernemer voor ogen staat, niet met de regeling wil instemmen. Het is ook denkbaar dat de OR wel wil instemmen, maar onder voorwaarden. Dergelijke voorwaarden voor het gebruik van de voorziening kunnen in de regeling worden opgenomen. Enkele van die voorwaarden volgen hierna.
25 Is het noodzakelijk heimelij k gebruik te maken van een personeelsvolgsysteem?
Heimelijke controle (bijvoorbeeld met een verborgen camera) mag alleen in uitzonderlijke omstandigheden plaatsvinden, dus niet systematisch. Er moet sprake zijn van een redelijke verdenking ten aanzien van een of meer medewerkers die de inzet van dergelijke controle rechtvaardigt. Hierbij is vereist dat andere middelen zijn uitgeput en dat er een zwaarwegend belang van de onderneming in het geding is. In de onder- neming moet verder bekend zijn dat in uitzonderlijke situaties heimelijk een personeelsvolgsysteem kan worden ingezet.
23 Worde n de medewerker s van tevoren op de hoogte gestel d van de observatie?
De medewerkers moeten met name worden ge誰nformeerd over: a Het doel van de observatie; b De redenen voor observatie en tijdschema; c Het gebruik van de verzamelde gegevens; d Bewaartermijnen, etc.
Vragen die hierbij door de OR gesteld kunnen worden zijn: a Staat vast welk gedrag niet wordt getolereerd? b Zijn de betrokken medewerkers gewaarschuwd dat schadelijk gedrag niet wordt getolereerd? c Is op een andere wijze gepoogd om het schadelijke gedrag te voorkomen of te achterhalen? d Is dit de enige mogelijkheid die rest om het misbruik te achterhalen? e Is voldoende gewaarborgd dat de controle niet lichtvaardig wordt ingezet? f Wordt de betrokkene direct met de resultaten geconfronteerd? g Krijgt hij de gelegenheid om zich te verweren? h Wordt een beslissing tot ontslag niet louter gebaseerd op de door de controle verzamelde gegevens? i Krijgt, afhankelijk van de ernst van hetgeen is geconstateerd, de medewerker nog een waarschuwing?
Structureel heimelijke opnamen zijn niet toegestaan. Incidenteel kan heimelijke controle gerechtvaardigd zijn (zie onder toetsingsvraag 25). De medewerkers moeten in elk geval op het moment dat het systeem wordt ingevoerd hiervan op de hoogte worden gesteld. Verder moeten zij worden ge誰nformeerd over de reden van de observatie en het tijdschema dat daarbij wordt gehanteerd. Denk hierbij aan de wijze van het volgen van telefoongesprekken in callcenters. Relevante vragen zijn: a Waarom gebeurt dit? b Hoe vaak? c Hoe worden medewerkers hierover en over de resultaten ge誰nformeerd?
444 28
P R I VA CY : C H E C K L I S T V O OR D E O N D E R N E M I N G S R A A D
<
VORIGE
INHOUD
VOLGENDE
>
T O E T S I N G S V R A G E N V O OR P E R S O N E E L S V O L G S Y S T E M E N
29
Verwerkingen van persoonsgegevens die een bijzonder risico voor de persoonlijke levenssfeer inhouden, zoals bij heimelijke observatie, worden door het CBP onderworpen aan een voorafgaand onderzoek. Het CBP onderzoekt dan de rechtmatigheid van deze gegevensverwerking. Meer informatie hierover is te vinden in het informatieblad Voorafgaand onderzoek op de website: www.cbpweb.nl.
< 30
VORIGE
INHOUD
VOLGENDE
>
P R I VA CY : C H E C K L I S T V O OR D E O N D E R N E M I N G S R A A D
445 31
B I J L A G E : OR P R I VA C Y C H E C K L I S T Algemen e toetsingsvragen 1
Is sprake van een persoonsgegeven?
2
Is sprake van verwerking van persoonsgegevens?
3
Wie is de verantwoordelijke?
4
Kan de OR gebruik maken van het instemmingsrecht?
Getoetst ?
Getoetst? 16 Zijn voldoende maatregelen genomen om de persoons-
n
gegevens te beveiligen? 17 Blijft het verwerken van 'bijzondere' persoonsgegevens
18 Blijven medische gegevens onder beheer van een arts of
van andere personen die gebonden zijn aan het medisch beroepsgeheim?
Toetsingsvragen voor de verwerkin g van persoonsgegevens 5
n
zoveel mogelijk achterwege?
Worden de persoonsgegevens in overeenstemming met de wet en op een behoorlijke en zorgvuldige wijze verwerkt?
19 Worden de medewerkers voldoende
ge誰nformeerd over
n
de verwerking van hun gegevens? 20 Zijn de medewerkers op de hoogte van hun rechten en
n
weten zij hoe zij deze kunnen uitoefenen?
6
Voor welk doel worden de persoonsgegevens verwerkt?
7
Wanneer mogen persoonsgegevens verwerkt worden?
Toetsingsvragen voor personeelsvolgsystemen
8
Blijft het gebruik van de persoonsgegevens beperkt tot de doelen waarvoor de gegevens werden verzameld?
21 Is sprake van een personeelsvolgsysteem?
9
Wordt volstaan met zo min mogelijk persoonsgegevens?
n
22 Is het nodig om gebruik te maken van een personeels-
n
volgsysteem?
10 Zijn voldoende maatregelen genomen om te waarborgen
23 Worden de medewerkers van tevoren op de hoogte
dat de persoonsgegevens juist en nauwkeurig zijn?
n
gesteld van de observatie?
11 Worden persoonsgegevens zoveel mogelijk verzameld bij
n
24 Wordt de personeelsbeoordeling niet uitsluitend
de medewerker zelf?
gebaseerd op de gegevens die met een personeelsvolgsysteem zijn verzameld?
12 Hebben slechts die personen toegang tot persoonsgegevens
die de gegevens nodig hebben voor de vervulling van hun taak?
n
25 Is het noodzakelijk heimelijk gebruik te maken van
een personeelsvolgsysteem?
13 Worden gegevens ook aan personen buiten de onder-
neming verstrekt? 14 Vindt gegevensverkeer naar het buitenland plaats? 15 Worden de persoonsgegevens niet langer bewaard dan
nodig? 446 32
:
<
VORIGE
INHOUD
VOLGENDE
> :
33
C O L L E G E BESCHERMIN G P E R S O O N S G E G E V E N S Het College beschermin g persoonsgegevens (CBP) houdt toezicht op de naleving van wetten die het gebru ik van persoonsgegevens regelen. Bij het CB P moet het gebruik van persoonsgegeven s worden gemeld, tenzij hiervoor een vrijstellin g geldt. Advies, bemiddeling , onderzoek en interventie
Het CBP adviseert de regering en organisaties over de bescherming van persoonsgegevens en onderwerpen die daarmee samenhangen. Het CBP toetst gedragscodes en bemiddelt in geschillen tussen burgers en gebruikers van persoonsgegevens. Op eigen initiatief of op verzoek van een belanghebbende kan het CBP onderzoeken of de manier waarop persoonsgegevens in een bepaalde situatie zijn gebruikt, in overeenstemming is met de wet en daaraan zonodig gevolgen verbinden. Voor in gebreke blijven bij de melding kan een boete worden opgelegd. Bij overtreding van de wet of daarop gebaseerde regelingen kan het CBP overgaan tot bestuursdwang of een dwangsom opleggen. Over zijn werkzaamheden en bevindingen brengt het CBP jaarlijks een openbaar verslag uit. Het CBP is bij de uitvoering van zijn bevoegdheden gehouden aan de normen die worden gesteld in de Algemene wet bestuursrecht. Beslissingen van het CBP zijn vatbaar voor bezwaar en beroep. Het gedrag van het CBP kan onderzocht worden door de Nationale Ombudsman. Informatie
Voor meer informatie kunt u kijken op de website: www.cbpweb.nl. Alle publicaties kunt u via de website bestellen of elektronisch binnenhalen; telefonisch bestellen is ook mogelijk. Voor eerste advies kunt u gebruik maken van het telefonisch spreekuur, op maandag, dinsdag, donderdag en vrijdag van 9.00 - 12.00 uur, telefoon 070-888 85 00.
Aan de tekst van deze brochure kunne n geen rechten worden ontleend. 447 34
P R I VA CY : C H E C K L I S T V O OR D E O N D E R N E M I N G S R A A D
<
VORIGE
INHOUD
VOLGENDE
>
COLLEG E BESCHERMIN G PERSOONSGEGEVEN S
35
448
449
450
451
452
CBP Richtsnoeren Actieve openbaarmaking en eerbiediging
BEVEILIGING van persoonsgegevens van de persoonlijke levenssfeer
augustus 2009 februari 2013 453
INHOUD Samenvatting 2 Inleiding 4 Schema beveiliging van persoonsgegevens 6 1
Beveiliging in de Wbp 8 1.1 Achtergrond 8 1.2 Begrippen uit de Wbp 8 1.3 Artikel 12 Wbp: verwerking in opdracht; geheim足 houdingsplicht 9 1.4 Artikel 13 Wbp: beveiliging 9 1.5 Artikel 14 Wbp: beveiliging bij verwerking door een bewerker 11 1.6 Beveiliging als onderdeel van privacy by design 12 1.7 De rol van de functionaris voor de gegevens足 bescherming (fg) 12
2
Het vakgebied informatiebeveiliging 13 2.1 Achtergrond 13 2.2 Begrippen uit het vakgebied informatiebeveiliging 13 2.3 Maatregelen in een plan-do-check-act-cyclus 14 2.4 Maatregelen op basis van risicoanalyse 15 2.5 Maatregelen op basis van beveiligingsstandaarden 16
3
Beveiliging in de praktijk 17 3.1 Betrouwbaarheidseisen 18 3.2 Maatregelen 21 3.3 Controle 26 3.4 Evaluatie en aanpassing 27
4
Beveiliging bij verwerking door een bewerker 29 4.1 Risicoanalyse van verwerking door een bewerker 29 4.2 Afspraken in de bewerkersovereenkomst 32 4.3 Toezicht op naleving van de afspraken 34 4.4 Evaluatie en aanpassing van verwerking door een bewerker 35
5
Handhaving en de rol van het CBP 37 5.1 Maatregelen door betrokkenen 37 5.2 Handhaving door het cbp 37
BIJLAGE: Tekst van de geciteerde wetsartikelen 39
454
COLLEGE BESCHERMING PERSOONSGEGEVENS
CBP Richtsnoeren BEVEILIGING van persoonsgegevens
februari 2013
455
1
SAMENVATTING Verantwoord omgaan met persoonsgegevens valt of staat met een adequate beveiliging van de gegevens. In de praktijk blijkt dat de aandacht voor beveiliging nogal eens tekortschiet. In de media zijn vrijwel dagelijks berichten te vinden over datalekken door onvoldoende beveiliging, waardoor persoonsgegevens op straat liggen. Het College bescherming persoonsgegevens (CBP) ontvangt ook regelmatig signalen over tekortschietende beveiliging en de kwalijke gevolgen ervan. Beveiliging van persoonsgegevens is een van de speerpunten van het handhavingsbeleid van het cbp. Het cbp houdt toezicht op de naleving van de Wet bescherming persoonsgegevens (Wbp). Artikel 13 van de Wbp eist dat bedrijven en overheden die persoonsgegevens verwerken, ‘passende technische en organisatorische maatregelen’ nemen om persoonsgegevens te beveiligen. Voldoen aan de wettelijke normen Wanneer zijn beveiligingsmaatregelen nu ‘passend’ zoals de Wbp eist? Deze richtsnoeren leggen uit hoe het cbp bij het onderzoeken en beoordelen van beveiliging van persoonsgegevens in individuele gevallen de beveiligingsnormen uit de Wbp toepast. De richtsnoeren vormen de verbindende schakel tussen enerzijds het juridisch domein, met daarbinnen de eisen uit de Wbp, en anderzijds het domein van de informatiebeveiliging, waarin de noodzakelijke kennis en kunde aanwezig is om daadwerkelijk aan die eisen te voldoen. Dat betekent dat de richtsnoeren in samenhang moeten worden gebruikt met algemeen geaccep teerde beveiligingsstandaarden binnen de praktijk van de informatiebeveiliging, zoals de Code voor Informatiebeveiliging of de ict-beveiligingsrichtlijnen voor webapplicaties van het Nationaal Cyber Security Centrum. Op tijd beginnen Het uitgangspunt om tot een passende beveiliging te komen is dat in een organisatie bestuurders en de mensen die verantwoordelijk zijn voor de informatiesystemen en -beveiliging gezamenlijk naden ken over de wijze van beveiliging, al vóórdat ze persoonsgegevens gaan verzamelen. De beveiliging van persoonsgegevens binnen een organisatie moet gedurende de gehele levensduur van een infor matiesysteem punt van aandacht zijn, van het allereerste ontwerp tot aan het onomkeerbaar wissen van het laatste back-up-bestand na afloop van de bewaartermijn. De beveiliging past binnen het bre dere verband van privacy by design, waarbij de bescherming van persoonsgegevens en de borging van de rechten van de betrokkenen vanaf het allereerste begin in de informatiesystemen wordt ingebouwd. ‘Plan-do-check-act’ Voor een blijvend passend beveiligingsniveau is inbedding van de zogeheten plan-do-check-act-cyclus in de dagelijkse praktijk van de organisatie noodzakelijk. Dat komt kort gezegd op het volgende neer: 1. Beoordeel de risico’s Beoordeel de risico’s die de gegevens en de aard van de verwerking met zich meebrengen voor de betrokkenen en bepaal op basis daarvan het gewenste beveiligingsniveau. Inventariseer vervolgens de dreigingen die kunnen leiden tot een beveiligingsincident, de gevolgen die het beveiligings incident kan hebben en de kans dat deze gevolgen zich voor zullen doen. Tref op basis daarvan gericht beveiligingsmaatregelen die het gewenste beveiligingsniveau kunnen waarborgen. 2. Maak gebruik van algemeen geaccepteerde beveiligingsstandaarden Het vakgebied informatiebeveiliging kent vele beveiligingsmethoden, -standaarden en -maatregelen die zijn gebaseerd op ervaringen uit de dagelijkse beveiligingspraktijk. Gebruik bij het nemen van beveiligingsmaatregelen de richtsnoeren in samenhang met de beschikbare bevei ligingsstandaarden. Deze standaarden geven houvast bij het daadwerkelijk treffen van passende maatregelen om de beveiligingsrisico’s af te dekken. 3. Controleer en evalueer regelmatig Controleer met zekere regelmaat of de beveiligingsmaatregelen daadwerkelijk zijn getroffen en worden nageleefd. Beoordeel periodiek of het beveiligingsniveau nog steeds past bij de risico’s die de verwerking en de aard van de te verwerken gegevens met zich meebrengen en of de beveiligingsmaatregelen nog steeds voldoen. Betrek daarbij ook de stand van de techniek en de nieuwste inzichten binnen het vakgebied informatiebeveiliging. Pas waar nodig de beveiligings maatregelen aan.
2
CBP Richtsnoeren
456
Tot slot Met deze richtsnoeren wil het cbp duidelijk maken wat het van de beveiliging van persoonsgegevens verwacht. Daarbij heeft een organisatie de ruimte om de beveiliging van persoonsgegevens in te rich足 ten op de wijze en met de middelen die in de specifieke situatie van deze organisatie het meest passend zijn. Een organisatie dient hierbij altijd de rechten van de betrokkenen te waarborgen en er moet sprake zijn van adequate, vakkundig toegepaste beveiliging waarbij de organisatie optimaal benut wat het vakgebied informatiebeveiliging te bieden heeft.
457
Beveiliging van persoonsgegevens
3
INLEIDING Iedereen moet erop kunnen vertrouwen dat zijn of haar persoonsgegevens voldoende worden beveiligd. Als dit niet zo is, kan dat leiden tot schade voor de betrokkenen (degenen op wie de persoons‑ gegevens betrekking hebben). Datalekken kunnen bijvoorbeeld tot gevolg hebben dat betrokkenen het slachtoffer worden van identiteitsfraude, oplichting of andere vormen van misbruik van hun persoonsgegevens. Ook als persoonsgegevens incorrect, verouderd of onvolledig zijn, kan dit de betreffende personen ernstig belemmeren in hun deelname aan het maatschappelijk leven. Een consequentie van het gebruik van foutieve of achterhaalde persoonsgegevens kan bijvoorbeeld zijn dat mensen geen toegang krijgen tot voorzieningen waar ze recht op hebben. Een van de belangrijkste doelstellingen van de beveiliging van persoonsgegevens is het voorkomen van dergelijke schade en waar deze zich toch voordoet, de gevolgen voor de betrokkenen zo veel mogelijk te beperken. Het College bescherming persoonsgegevens (cbp) houdt toezicht op de naleving van de Wet bescher ming persoonsgegevens (Wbp) en aanverwante wetten. Hoofdstuk 1 van deze richtsnoeren geeft de eisen weer die de Wbp stelt aan het beveiligen van persoonsgegevens. Hoofdstuk 2, 3 en 4 geven aan hoe het cbp de beveiliging van persoonsgegevens beoordeelt en hoofdstuk 5 gaat nader in op het toezicht door het cbp. Deze richtsnoeren dienen voor het cbp als uitgangspunt bij het onderzoeken en beoordelen van de beveiliging van persoonsgegevens en bij het toepassen van handhavende maatregelen. De beveiliging van persoonsgegevens wordt in deze richtsnoeren in algemene zin beschreven, waarbij is aangesloten op standaarden, methoden en maatregelen die in het vakgebied informatiebeveiliging gebruikelijk zijn. In specifieke situaties kunnen organisaties ook met andere standaarden, methoden en maatregelen het vereiste beveiligingsniveau bereiken. Bij onderzoeken en beoordelingen van de beveiliging van persoonsgegevens zijn deze richtsnoeren voor het cbp evenwel het uitganspunt. In deze richtsnoeren is een aantal praktijkvoorbeelden opgenomen. Deze praktijkvoorbeelden dienen uitsluitend ter illustratie. De voorbeelden gaan uit van de situatie bij het verschijnen van deze richt snoeren en kunnen in de loop van de tijd door nieuwe ontwikkelingen worden achterhaald. Deze richtsnoeren gelden voor verwerkingen van persoonsgegevens waarop de Wbp van toepassing is, zowel in de publieke als in de private sector. De richtsnoeren richten zich primair op de bestuurlijke verankering van de beveiliging van persoonsgegevens in organisaties. Bij het implementeren, con troleren en evalueren van beveiligingsmaatregelen binnen een organisatie dient de organisatie deze richtsnoeren te gebruiken in samenhang met de algemeen geaccepteerde beveiligingsstandaarden die binnen het vakgebied informatiebeveiliging beschikbaar zijn. Het beveiligen van persoonsgegevens is een van de verplichtingen die de Wbp oplegt aan verant woordelijken voor de verwerking van persoonsgegevens. De beveiligingsmaatregelen die de verant woordelijke treft, zijn onderdeel van het totaal aan maatregelen dat de verantwoordelijke neemt om te voldoen aan de Wbp. Bij de beoordeling van de rechtmatigheid van een verwerking spelen ook de overige bepalingen uit de Wbp een rol. Deze richtsnoeren gaan niet uitputtend in op deze andere bepalingen. Behalve de Wbp kunnen op verwerkingen van persoonsgegevens nog andere wetten of regels van toepassing zijn. Voorbeelden van dergelijke regels zijn het Besluit voorschrift informatiebeveiliging rijksdienst 2007 (hierna: vir 2007)1 en het Besluit voorschrift rijksdienst – bijzondere informatie (hierna: vir-bi)2. Organisaties dienen bij de beveiliging van persoonsgegevens te voldoen aan alle wetten en regels die van toepassing zijn. Deze richtsnoeren gaan niet in op deze overige wet- en regelgeving. De Registratiekamer, de voorloper van het cbp, bracht in 2001 een publicatie uit over de beveiliging van persoonsgegevens (hierna: a&v 23).3 Deze richtsnoeren vervangen a&v 23. 1 Stcrt. 2007, 122, p. 11. Het VIR 2007 geldt voor de ministeries met de daaronder vallende diensten, bedrijven en instellingen. 2 Stcrt. 2004, 47; rectificatie in Stcrt. 2004, 49. Het VIR-BI is een aanvulling op het VIR 2007 en is van toepassing op de beveiliging van informatie waarvan de kennisname door niet-gerechtigden schade of nadeel op kan leveren voor de staat, zijn bondgenoten of een of meer ministeries. 3 G.W. van Blarkom en drs. J.J. Borking, ‘Beveiliging van persoonsgegevens’, Achtergrondstudies en Verkenningen nr. 23, Registratiekamer, april 2001 (http://www.cbpweb.nl/downloads_av/av23.pdf ).
4
CBP Richtsnoeren
458
a&v 23 schreef op basis van een risicoclassificatie beveiligingsmaatregelen voor. De risicoclassificatie was gebaseerd op de aard van de verwerkte persoonsgegevens in combinatie met de hoeveelheid verwerkte persoonsgegevens en de complexiteit van de verwerking. Een risicogerichte benadering, waarbij op basis van analyse van de risico’s gericht beveiligingsmaatregelen worden getroffen, ontbrak. Als gevolg daarvan is a&v 23, in ieder geval waar het gaat om het concreet treffen van beveiligingsmaatregelen, in de loop der jaren steeds verder af komen te staan van de beveiligings praktijk. In deze richtsnoeren is daarom gekozen voor een methodiek die aansluit bij de gangbare praktijk van de informatiebeveiliging en die verantwoordelijken de flexibiliteit biedt om die beveiligingsmaatregelen te treffen die in hun situatie het meest passend zijn. Rechterlijke uitspraken kunnen naast wetswijzigingen, technische ontwikkelingen en praktijk ervaringen aanleiding geven tot aanvulling of herziening van deze richtsnoeren. Het cbp herziet de richtsnoeren in ieder geval bij de invoering van de algemene verordening gegevensbescherming.4 Bij het opstellen van de richtsnoeren is overigens zo veel mogelijk rekening gehouden met de relevante bepalingen uit de verordening. Deze richtsnoeren treden in werking met ingang van 1 maart 2013, zijnde de datum van publicatie in de Staatscourant.
4 D e Europese Commissie stelt een nieuw regelgevend kader voor dat bestaat uit een algemene verordening bescherming persoons gegevens en een richtlijn die betrekking heeft op de bescherming van persoonsgegevens die worden verwerkt in het kader van politiële en justitiële activiteiten. Meer informatie is beschikbaar op de website van de Eerste Kamer (http://www.eerstekamer.nl/eu/edossier/ e120003_voorstel_voor_een) en op de website van de Europese Commissie (http://ec.europa.eu/justice/data-protection/).
459
Beveiliging van persoonsgegevens
5
SCHEMA BEVEILIGING VAN PERSOONSGEGEVENS
wettelijk kader
Artikel 12 wbp Verwerking in opdracht; Geheimhoudingsplicht
Artikel 13 Wbp Beveiliging
Artikel 14 Wbp Beveiliging bij verwerking door een bewerker
§ 1.3
§ 1.4
§ 1.5
Maatregelen in een plan-do-check-act-cyclus
§ 2.3
Maatregelen op basis van risicoanalyse
§ 2.4
Evaluatie en aanpassing
Betrouwbaarheidseisen
Maatregelen op basis van beveiligingsstandaarden
§ 3.1
§ 2.5
Maatregelen betrouwbaarheidseisen
§ 3.4
§ 3.2 evaluatie en aanpassing
maatregelen
Evaluatie en aanpassing van verwerking door een bewerker
Risicoanalyse van verwerking door een bewerker
controle
§ 4.4
§ 4.1
Controle
Toezicht op naleving van de afspraken
Afspraken in de bewerkersovereenkomst
§ 3.3
§ 4.3
§ 4.2
kaders voor het toezicht
6
CBP Richtsnoeren
460
461
Beveiliging van persoonsgegevens
7
1
BEVEILIGING IN DE WBP Dit hoofdstuk gaat in op de wettelijke verplichting om persoonsgegevens te beveiligen zoals die is opgenomen in de Wet bescherming persoonsgegevens (Wbp). De eisen uit de Wbp die voor deze richtsnoeren relevant zijn staan in dit hoofdstuk weergegeven, voorzien van de relevante onderdelen uit de memorie van toelichting bij de Wbp.5 De volledige tekst van de geciteerde wetsartikelen is opgenomen in een bijlage bij deze richtsnoeren. 1.1
Achtergrond De beveiliging van persoonsgegevens is onderdeel van de informationele privacy: de bescherming van de persoonlijke levenssfeer bij het verzamelen en verwerken van persoonsgegevens. De bescherming van de persoonlijke levenssfeer is een van de grondrechten van onze rechtsorde.6 Sinds 2001 wordt hieraan uitvoering gegeven door de Wbp, die tevens de implementatie vormt van de Europese richtlijn 95/46/eg.
1.2
Begrippen uit de Wbp Voor deze richtsnoeren zijn de volgende begrippen uit de Wbp relevant: • Persoonsgegevens Persoonsgegevens in de zin van de Wbp zijn alle gegevens “betreffende een geïdentificeerde of identificeerbare natuurlijke persoon”.7 Een persoon is identificeerbaar “indien zijn identiteit redelij kerwijs, zonder onevenredige inspanning, vastgesteld kan worden”.8 9 • Verwerking Een verwerking van persoonsgegevens in de zin van de Wbp is “elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens”.10 Verwerkingen zijn “in ieder geval het verza melen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschik kingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens”.11 • Verantwoordelijke De verantwoordelijke in de zin van de Wbp is degene die “het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt”.12 De verantwoordelijke bepaalt welke persoonsgege vens, voor welk doel, op welke manier en met welke middelen worden verwerkt.13 • Betrokkene De betrokkene is degene “op wie een persoonsgegeven betrekking heeft”14 of “waarover de gege vens informatie bevatten”.15 • Bewerker Bij de verwerking van persoonsgegevens kan de verantwoordelijke een bewerker inschakelen. “De bewerker is […] een buiten de organisatie van de verantwoordelijke staande persoon of instel ling”.16 Hij “bewerkt gegevens ten behoeve van de verantwoordelijke, dat wil zeggen overeen
5 In paragraaf 1.3, 1.4 en 1.5 worden de citaten uit de Wbp gecursiveerd weergegeven. De bijbehorende citaten uit de memorie van toelichting volgen direct na het betreffende citaat uit de Wbp. 6 Artikel 10 Grondwet; artikel 8 Europees verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (EVRM); artikel 7 en 8 van het EU-Handvest voor de grondrechten. 7 Artikel 1 sub a Wbp. 8 Kamerstukken II 1997-1998, 25 892, nr. 3, p. 47. 9 De Europese toezichthouders op de gegevensbescherming hebben in 2007 een advies gepubliceerd over het begrip ‘persoons gegevens’, waarin het begrip uitgebreid en voorzien van voorbeelden wordt toegelicht. Groep gegevensbescherming artikel 29 (WP 29), Advies 4/2007 over het begrip persoonsgegevens, goedgekeurd op 20 juni 2007 (http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2007/wp136_nl.pdf ). 10 Artikel 1 sub b Wbp. 11 Artikel 1 sub b Wbp. 12 Artikel 1 sub d Wbp. 13 De Europese toezichthouders op de gegevensbescherming hebben in 2010 een advies gepubliceerd over de begrippen ‘verantwoor delijke’ en ‘bewerker’, waarin deze beide begrippen uitgebreid en voorzien van voorbeelden worden toegelicht. WP29, Advies 1/2010 over de begrippen “voor de verwerking verantwoordelijke” en “verwerker”, goedgekeurd op 16 februari 2010 (http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp169_nl.pdf ). 14 Artikel 1 sub f Wbp. 15 Kamerstukken II 1997-1998, 25 892, nr. 3, p. 63. 16 Kamerstukken II 1997-1998, 25 892, nr. 3, p. 61.
8
CBP Richtsnoeren
462
komstig diens instructies en onder diens (uitdrukkelijke) verantwoordelijkheid”.17 De bewerker “beperkt […] zich tot het verwerken van persoonsgegevens zonder zeggenschap te hebben over het doel van en de middelen voor de verwerking van persoonsgegevens. Hij neemt geen beslissingen over het gebruik van de gegevens, de verstrekking aan derden en andere ontvangers, de duur van de opslag van de gegevens enz.”18 1.3
Artikel 12 Wbp: verwerking in opdracht; geheimhoudingsplicht Artikel 12 Wbp richt zich op de bewerker en op hen die onder het gezag van de verantwoordelijke of de bewerker werkzaam zijn. Zij verwerken uitsluitend persoonsgegevens in opdracht van de verantwoordelijke: “Een ieder die handelt onder het gezag van de verantwoordelijke of van de bewerker, alsmede de bewerker zelf, voor zover deze toegang hebben tot persoonsgegevens, verwerkt deze slechts in opdracht van de verantwoordelijke, behoudens afwijkende wettelijke verplichtingen.”19 “Het uitgangspunt is dat de verantwoordelijke verantwoordelijk en aansprakelijk is voor de gege vensverwerking. Deze verantwoordelijkheid kan hij slechts dragen wanneer zijn ondergeschikten of degenen die in opdracht van de verantwoordelijke gegevens verwerken, zich naar zijn aanwijzingen richten.”20 Verder wordt aan hen een geheimhoudingsplicht opgelegd: “De personen, bedoeld in het eerste lid, voor wie niet reeds uit hoofde van ambt, beroep of wettelijk voorschrift een geheimhoudingsplicht geldt, zijn verplicht tot geheimhouding van de persoonsgegevens waarvan zij kennis nemen, behoudens voor zover enig wettelijk voorschrift hen tot mededeling verplicht of uit hun taak de noodzaak tot mededeling voortvloeit.”21 “[Deze] bepaling legt een geheimhoudingsplicht op aan de bewerker, alsmede degenen die onder het gezag van de verantwoordelijke of de bewerker werkzaam zijn. In beginsel kan slechts een uitdrukke lijke wettelijke verplichting op de geheimhoudingsplicht een inbreuk maken.”22
1.4
Artikel 13 Wbp: beveiliging De verantwoordelijke treft passende beveiligingsmaatregelen: “De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking.”23 “Onder onrechtmatige vormen van verwerking vallen de aantasting van de gegevens, onbevoegde kennisneming, wijziging, of verstrekking daarvan.”24 De maatregelen garanderen een passend beveiligingsniveau: “Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van te beschermen gegevens met zich meebrengen.”25
17 18 19 20 21 22 23 24 25
Kamerstukken II 1997-1998, 25 892, nr. 3, p. 61. Kamerstukken II 1997-1998, 25 892, nr. 3, p. 61-62. Artikel 12 lid 1 Wbp. Kamerstukken II 1997-1998, 25 892, nr. 3, p. 97. Artikel 12 lid 2 Wbp. Kamerstukken II 1997-1998, 25 892, nr. 3, p. 97. Artikel 13 Wbp. Kamerstukken II 1997-1998, 25 892, nr. 3, p. 98. Artikel 13 Wbp.
463
Beveiliging van persoonsgegevens
9
1 beveiliging in de wbp
“In het begrip ‘passend’ ligt besloten dat de beveiliging in overeenstemming is met de stand van de techniek. […] Het begrip ‘passend’ duidt mede op een proportionaliteit tussen de beveiligings maatregelen en de te beschermen gegevens. Naarmate bijvoorbeeld de gegevens een gevoeliger karak ter hebben, of de context waarin deze worden gebruikt een grotere bedreiging voor de persoonlijke levenssfeer betekenen, worden zwaardere eisen gesteld aan de beveiliging van de gegevens. Er is geen verplichting om steeds de allerzwaarste beveiliging te nemen. Daarom duidt ook het feit dat inbreuken zijn gemaakt op het beveiligingsniveau niet noodzakelijkerwijs op nalatigheid in de beveiliging. Er moet sprake zijn van een adequate beveiliging.”26 “Er kunnen geen algemene uitspraken worden gedaan over wat als een ‘passende beveiligingsmaat regel’ kan worden beschouwd. […] Dit criterium moet in het licht van de concrete omstandigheden worden ingevuld en is voor een deel dynamisch. Het vereiste niveau van bescherming is hoger naar mate er meer mogelijkheden voorhanden zijn om dat niveau te waarborgen. […] In het algemeen kan worden gesteld dat indien met naar verhouding geringe extra kosten meer beveiliging kan worden bewerkstelligd deze als ‘passend’ moeten worden beschouwd, terwijl kosten die disproportioneel zijn aan de extra beveiliging die daardoor zou worden verkregen, niet worden vereist. Met zich ontwikke lende techniek zal periodiek een nieuwe afweging moeten worden gemaakt.”27 Voor de maatregelen geldt verder: “Technische en organisatorische maatregelen dienen cumulatief te worden getroffen. Software is een belangrijk instrument tot beveiliging. [De Wbp] geeft de normen die mede met behulp van software dienen te worden gehandhaafd.”28 Naast de beveiliging van persoonsgegevens ziet artikel 13 Wbp ook op de toepassing van privacy enhancing technologies (pet): “De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.”29 “De beveiligingsverplichting die in dit artikel is opgenomen strekt zich uit tot alle onderdelen van het proces van gegevensverwerking. Juridische normen zullen moeten worden vertaald in de feitelijke inrichting en verdere ontwikkeling van informatiesystemen. Steeds meer zullen ‘privacy enhancing technologies’ (pet) daarvoor onmisbaar zijn. Door te eisen dat de inrichting van systemen mede gericht moet zijn op het voorkomen van onnodige verzameling en verdere verwerking van persoons gegevens, wordt bewerkstelligd dat in plaats van een voortdurende controle op individuele gevallen van onrechtmatig gegevensgebruik het accent meer gelegd kan worden op de structuur van informatiesystemen.”30 pet is de verzamelnaam voor een aantal technieken die de verantwoordelijke kan toepassen om bij het verwerken van persoonsgegevens de risico’s voor de betrokkenen te beperken. Een centraal principe van pet is het verminderen van de herleidbaarheid: de mate waarin persoonsgegevens kunnen worden herleid tot de betrokkenen. De zwaarste vorm van pet is anonimisering van de verwerkte persoonsgegevens. Van anonimisering is sprake als de gegevens op geen enkele manier meer tot de betrokkene te herleiden zijn. Er is dan geen sprake meer van persoonsgegevens en de Wbp is niet meer van toepassing op de gegevens. Een lichtere vorm van pet is het scheiden van de verwerkte persoonsgegevens in (zeer goed beveiligde) identificerende gegevens en niet-identificerende gegevens. Alleen met behulp van de identificerende gegevens kan de identiteit van de betrokkenen worden achterhaald.31
26 Kamerstukken II 1997-1998, 25 892, nr. 3, p. 99. 27 Kamerstukken I 1999-2000, 25 892, nr. 92c, p. 15. 28 Kamerstukken II 1997-1998, 25 892, nr. 3, p. 99. 29 Artikel 13 Wbp. 30 Kamerstukken II 1999-2000, 25 892, nr. 22. 31 Het ministerie van Binnenlandse Zaken en Koninkrijksrelaties heeft een publicatie uitgebracht waarin de toepassing van PET uitvoerig wordt toegelicht: Drs. ing. Ronald Koorn RE e.a., Privacy enhancing technologies, Witboek voor beslissers, ministerie van Binnenlandse Zaken en Koninkrijksrelaties, december 2004 (http://www.cbpweb.nl/downloads_technologie/witboek_pet.pdf ).
10
CBP Richtsnoeren
464
1.5
Artikel 14 Wbp: beveiliging bij verwerking door een bewerker Bij verwerking door een bewerker zorgt de verantwoordelijke voor voldoende waarborgen en ziet deze toe op naleving: “Indien de verantwoordelijke persoonsgegevens te zijnen behoeve laat verwerken door een bewerker, draagt hij zorg dat deze voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen. De verantwoordelijke ziet toe op de naleving van die maatregelen.”32 “De verantwoordelijke draagt zorg dat de bewerker a. de persoonsgegevens verwerkt in overeenstemming met artikel 12, eerste lid en b. de verplichtingen nakomt die op de verantwoordelijke rusten ingevolge artikel 13.”33 “De strekking van de bepaling is te voorkomen dat bij eventuele tekortkomingen in de gegevens verwerking, verantwoordelijke en bewerker zich wat betreft hun verantwoordelijkheden achter elkaar zouden kunnen verschuilen. De verplichtingen moeten over en weer duidelijk zijn neergelegd. Op de verantwoordelijke rust een zorgplicht daarvoor zorg te dragen. Niet alleen dient hij civielrechtelijk de bewerker voldoende te hebben duidelijk gemaakt hoe met de persoonsgegevens wordt omgegaan, tevens dient hij toe te zien op de feitelijke naleving van de aldus gecreëerde verplichtingen.”34 De te treffen beveiligingsmaatregelen worden vastgelegd in de bewerkersovereenkomst: “De uitvoering van verwerkingen door een bewerker wordt geregeld in een overeenkomst of krachtens een andere rechtshandeling waardoor een verbintenis ontstaat tussen de bewerker en de verantwoordelijke.”35 “Met het oog op het bewaren van het bewijs worden de onderdelen van de overeenkomst of de rechtshandeling die betrekking hebben op de bescherming van persoonsgegevens, alsmede de beveiligingsmaatregelen als bedoeld in artikel 13 schriftelijk of in een andere, gelijkwaardige vorm vastgelegd.”36 “De ratio is dat de betrokkene als een soort impliciete derde belanghebbende, in geval jegens hem onrechtmatig wordt gehandeld, over de nodige bewijsstukken kan beschikken wanneer deze overeen komstig de regels van het procesrecht een rol gaan spelen. Klassiek zou daartoe een schriftelijke neer slag van de afspraken, van belang kunnen zijn. In de toekomstige informatiemaatschappij zijn ook andere, gelijkwaardige vormen van gegevensopslag denkbaar […].”37 De bewerker kan bij de verwerking van persoonsgegevens een subbewerker inschakelen. Dit gebeurt uitsluitend met uitdrukkelijke instemming van de verantwoordelijke: “Uit de verantwoordelijkheid van de opdrachtgever – die in de zin van de wet geldt als verantwoor delijke voor de gegevensverwerking – vloeit voort dat hij uitdrukkelijk heeft ingestemd met het subbewerkerschap. Indien de verantwoordelijke daarvoor in zijn overeenkomst met de bewerker uit drukkelijk ruimte heeft gegeven, kan de bewerker – met behoud van zijn volle aansprakelijkheid voor de naleving van zijn contract met de verantwoordelijke – delen van de verwerking uitbesteden aan ‘subbewerkers’.”38 De door de subbewerker te treffen beveiligingsmaatregelen worden vastgelegd in de overeenkomst tussen de bewerker en de subbewerker en de verantwoordelijke wordt in staat gesteld om toe te zien op naleving:
32 33 34 35 36 37 38
Artikel 14 lid 1 Wbp. Artikel 14 lid 3 Wbp. Kamerstukken II 1997-1998, 25 892, nr. 3, p. 99. Artikel 14 lid 2 Wbp. Artikel 14 lid 5 Wbp. Kamerstukken II 1997-1998, 25 892, nr. 3, p. 100. Kamerstukken II 1997-1998, 25 892, nr. 3, p. 63.
465
Beveiliging van persoonsgegevens
11
1 beveiliging in de wbp
“De bewerker dient […] contractueel verzekerd te hebben dat de subbewerker zich eveneens richt naar de instructies van de verantwoordelijke, tot geheimhouding verplicht is en de nodige beveiligings maatregelen ten opzichte van de gegevensverwerking neemt. De verantwoordelijke dient hiervan wel op de hoogte te worden gesteld opdat deze in staat is toe te zien op de naleving van zijn afspraken met de bewerker.”39 1.6
Beveiliging als onderdeel van privacy by design De verantwoordelijke kan op de meest efficiënte en effectieve wijze aan de Wbp voldoen door al bij het ontwerp van de verwerking rekening te houden met de wettelijke eisen (privacy by design). De beveiliging van persoonsgegevens is een van de aspecten waarmee de verantwoordelijke bij de toepassing van privacy by design rekening moet houden. Andere aspecten zijn onder meer data minimalisatie (het beperken van de verwerking van persoonsgegevens tot het hoogst noodzakelijke) en transparantie (het adequaat informeren van de betrokkenen over wat er met hun persoonsgegevens gebeurt). Deze aspecten van privacy by design vallen buiten het bereik van deze richtsnoeren.
1.7
De rol van de functionaris voor de gegevensbescherming (fg) De Wbp geeft verantwoordelijken en brancheorganisaties de mogelijkheid om een interne toezicht houder aan te stellen: de functionaris voor de gegevensbescherming (fg).40 Bij de beveiliging van persoonsgegevens kan deze een belangrijke rol spelen, onder meer bij de controle op naleving van beveiligingsmaatregelen (zie paragraaf 3.3 en 4.3 van deze richtsnoeren) en bij evaluatie en aanpassing van de beveiliging (zie paragraaf 3.4 en 4.4). Het is echter aan de organisatie en aan de fg zelf om hier invulling aan te geven.
39 Kamerstukken II 1997-1998, 25 892, nr. 3, p. 63. 40 Artikel 62, 63 en 64 Wbp.
12
CBP Richtsnoeren
466
2
HET VAKGEBIED INFORMATIEBEVEILIGING De beveiliging van persoonsgegevens valt uiteen in twee aspecten: de bescherming van persoons gegevens en het beveiligen van informatie. Dit hoofdstuk gaat in op het laatste. Het hoofdstuk richt zich met name op drie elementen uit het vakgebied informatiebeveiliging die het CBP beschouwt als randvoorwaarden om tot passende maatregelen te komen zoals de wet die voorschrijft: maatregelen treffen op basis van risicoanalyse, beveiligingsstandaarden toepassen en de inbedding in een plan-docheck-act-cyclus. 2.1
Achtergrond Informatiebeveiliging omvat het geheel aan maatregelen waarmee organisaties hun informatie beveiligen. Het gaat daarbij om alle informatie die de organisatie verwerkt, zowel digitaal als nietdigitaal. Persoonsgegevens, zoals het klantenbestand en de personeelsadministratie, maken hier deel van uit. Organisaties hebben niet alleen informatie nodig om hun bedrijfsprocessen uit te voeren, maar ook om hun interne bedrijfsvoering bij te sturen en strategische beslissingen te nemen. De term ‘informatiebeveiliging’ wordt ook gebruikt voor het vakgebied dat zich bezighoudt met het beveiligen van informatie.
2.2
Begrippen uit het vakgebied informatiebeveiliging Een centraal begrip uit het vakgebied informatiebeveiliging is: • Betrouwbaarheid en betrouwbaarheidseisen Betrouwbaarheid is de mate waarin een organisatie voor de informatievoorziening kan rekenen op een informatiesysteem. De betrouwbaarheid van een informatiesysteem is de verzamelterm voor drie aspecten van beveiliging die binnen het vakgebied informatiebeveiliging algemeen zijn geac cepteerd: beschikbaarheid, integriteit en vertrouwelijkheid. De betrouwbaarheidseisen geven weer aan welke eisen het informatiesysteem moet voldoen met betrekking tot deze drie aspecten. De hierboven genoemde aspecten beschikbaarheid, integriteit en vertrouwelijkheid worden binnen het vakgebied informatiebeveiliging als volgt gedefinieerd: • Beschikbaarheid Beschikbaarheid betreft het waarborgen dat geautoriseerde gebruikers op de juiste momenten toegang hebben tot informatie en aanverwante bedrijfsmiddelen (informatiesystemen). • Integriteit Integriteit betreft het waarborgen van de juistheid, tijdigheid (actualiteit) en volledigheid van informatie en de verwerking ervan. • Vertrouwelijkheid Met vertrouwelijkheid wordt gedoeld op het waarborgen dat informatie alleen toegankelijk is voor degenen die hiertoe zijn geautoriseerd. Naast de drie bovengenoemde aspecten, die betrekking hebben op de informatie en de verwerking ervan, wordt nog een vierde aspect onderkend: • Controleerbaarheid Controleerbaarheid betreft de mogelijkheid om met voldoende zekerheid vast te kunnen stellen of wordt voldaan aan de eisen ten aanzien van beschikbaarheid, integriteit en vertrouwelijkheid. Het begrip ‘betrouwbaarheid’ uit het vakgebied informatiebeveiliging komt overeen met het begrip ‘beveiligingsniveau’ dat in de memorie van toelichting bij de Wbp wordt gehanteerd, met daarbij de kanttekening dat het aspect ‘beschikbaarheid’ deels buiten de reikwijdte van artikel 13 Wbp valt.
467
Beveiliging van persoonsgegevens
13
2
het vakgebied informatiebeveiliging
Het begrip ‘beschikbaarheid’ uit het vakgebied informatiebeveiliging valt uiteen in twee aspecten: • H et waarborgen dat informatiesystemen op de juiste momenten beschikbaar zijn voor de gebruiker, bijvoorbeeld door extra machinecapaciteit in te zetten, zodat bedrijfskritische informatiesystemen 7 dagen per week, 24 uur per dag gebruikt kunnen worden. Dit aspect valt buiten de reikwijdte van artikel 13 Wbp. • Het beveiligen van gegevens tegen verlies, waarbij onder ‘verlies’ het definitief verloren gaan van de gegevens wordt verstaan. Bedrijfscontinuïteitsbeheer is mede gericht op dit aspect.41 Dit aspect komt overeen met het “beveiligen tegen verlies” uit artikel 13 Wbp. Het begrip ‘integriteit’ komt binnen de context van de beveiliging van persoonsgegevens overeen met de beveiliging tegen “aantasting van de gegevens [of onbevoegde wijziging]”42 uit de Wbp. Het begrip ‘vertrouwelijkheid’ komt overeen met de beveiliging tegen “onbevoegde kennisneming […] of verstrekking”43 uit de Wbp. 2.3
Maatregelen in een plan-do-check-act-cyclus Inbedding van de plan-do-check-act-cyclus of kwaliteitscirkel in de dagelijkse praktijk van de organi satie stelt de verantwoordelijke in staat om tot een blijvend passend beveiligingsniveau te komen. Het onderstaande schema geeft deze cyclus weer.
betrouwbaarheidseisen
evaluatie en aanpassing
maatregelen
controle
Na het vaststellen van de betrouwbaarheidseisen treft de verantwoordelijke maatregelen waarmee hij waarborgt dat aan de betrouwbaarheidseisen wordt voldaan. Vervolgens controleert de verantwoor delijke of de maatregelen daadwerkelijk getroffen zijn en het gewenste effect sorteren. Het totaal aan betrouwbaarheidseisen, maatregelen en controle wordt regelmatig geëvalueerd en waar nodig aan gepast, waardoor een blijvend passend beveiligingsniveau wordt bereikt. De volgende paragrafen gaan nader in op twee elementen die het cbp beschouwt als noodzakelijke randvoorwaarden om tot passende maatregelen te komen: het treffen van maatregelen op basis van risicoanalyse en het toepassen van beveiligingsstandaarden. De risicoanalyse geeft aan welke risico’s moeten worden afgedekt om aan de betrouwbaarheidseisen te voldoen. Beveiligingsstandaarden geven aan welke maatregelen daarbij ter beschikking staan.
41 Deze maatregel wordt nader uitgewerkt in NEN-ISO/IEC 27002:2007 nl, paragraaf 14. 42 Kamerstukken II 1997-1998, 25 892, nr. 3, p. 98. 43 Kamerstukken II 1997-1998, 25 892, nr. 3, p. 98.
14
CBP Richtsnoeren
468
2.4
Maatregelen op basis van risicoanalyse Het treffen van maatregelen op basis van een risicoanalyse stelt de verantwoordelijke in staat om passende maatregelen te treffen die een passend beveiligingsniveau garanderen.44 Onderstaand schema geeft de belangrijkste elementen uit de risicoanalyse weer, met daarbij de verschillende typen maatregelen die de verantwoordelijke kan treffen om de risicoâ&#x20AC;&#x2122;s af te dekken.
Preventieve maatregelen voorkomen dat een dreiging leidt tot een beveiligingsincident
dreiging
Detectieve maatregelen weten dat er een beveiligingsincident heeft plaatsgevonden beveiligingsincident
Correctieve maatregelen repareren van de gebleken tekortkomingen in de beveiliging
Repressieve maatregelen beperken van de negatieve gevolgen van het beveiligingsincident
Herstelmaatregelen verhelpen van de negatieve gevolgen
gevolgen
De verantwoordelijke inventariseert de dreigingen die kunnen leiden tot een beveiligingsincident, de gevolgen die dit incident kan hebben en de kans dat deze gevolgen zich voordoen. De dreigingen kunnen onder meer samenhangen met de specifieke kenmerken van de verwerking en de gebruikte technologie. Bij verwerking via internet is bijvoorbeeld hacking een dreiging waarmee rekening moet worden gehouden; bij verwerking op draagbare computers en opslag op draagbare geheugenmedia zijn vermissing en diefstal dreigingen die de verantwoordelijke in de risicoanalyse moet betrekken. De verantwoordelijke treft maatregelen op basis van de uitgevoerde risicoanalyse en kiest de maat regelen zodanig dat wordt voldaan aan de vastgestelde betrouwbaarheidseisen. Praktijkvoorbeeld
Hulp na datalek als voorbeeld van een herstelmaatregel Onderstaand voorbeeld illustreert wat in het vakgebied informatiebeveiliging wordt verstaan onder een herstelmaatregel. Hackers plegen twee grootschalige inbraken bij een grote fabrikant van spelcomputers en computerspellen en stelen daarbij de accountgegevens van meer dan honderd miljoen abonnees. Bij de inbraken zijn er mogelijk tien miljoen creditcardnummers buitgemaakt en hebben de hackers bovendien toegang gekregen tot een oude database met daarin de incassogegevens van ruim 10.000 mensen. De fabrikant besluit om ervoor te zorgen dat Amerikaanse abonnees eventuele schade als gevolg van identiteitsfraude door de inbraken vergoed krijgen tot een miljoen dollar per gebruiker. Voor dit doel maakt de fabrikant afspraken met een bedrijf dat gespecialiseerd is in het monitoren van identiteitsfraude. Ook andere delen van de wereld krijgen een dergelijke regeling.
44 De relatie tussen de risicoanalyse zoals deze in de informatiebeveiliging gebruikelijk is en het privacy impact assessment (PIA) wordt toegelicht in de inleiding bij hoofdstuk 3 van deze richtsnoeren.
469
Beveiliging van persoonsgegevens
15
2
het vakgebied informatiebeveiliging
2.5
Maatregelen op basis van beveiligingsstandaarden De risicoanalyse geeft aan welke risico’s moeten worden afgedekt; beveiligingsstandaarden geven houvast bij het daadwerkelijk treffen van passende maatregelen om de risico’s af te dekken. Veel bevei ligingsstandaarden bevatten ook een ‘basisset’ aan maatregelen die in de meeste situaties noodzakelijk zijn om tot adequate beveiliging te komen. Beveiligingsstandaarden vormen een weerslag van de lessons learned die bij de beveiliging in een speci fieke branche of in een specifieke technologische omgeving zijn opgedaan. Ze geven weer welke maat regelen door beveiligingsdeskundigen binnen de betreffende context in het algemeen als ‘passend’ worden beschouwd en, in het geval van de meer technisch gerichte standaarden, welke technologische middelen bij de beveiliging worden toegepast. Er worden ook met grote regelmaat nieuwe beveili gingsstandaarden en nieuwe versies van bestaande beveiligingsstandaarden gepubliceerd, waarmee wordt aangesloten op de nieuwste ontwikkelingen binnen het vakgebied. Correct gebruik van actuele beveiligingsstandaarden stelt de verantwoordelijke in staat om passende maatregelen te treffen en om tot een evenwichtig en effectief geheel aan technische en organisatorische maatregelen te komen. Het vervolg van deze paragraaf licht het gebruik van standaarden toe aan de hand van concrete voorbeelden. Een zeer veel gebruikte beveiligingsstandaard is de Code voor Informatiebeveiliging (nen-iso/iec 27002:2007 nl).45 Deze standaard is onderdeel van een groep onderling samenhangende standaarden voor het initiëren, implementeren, handhaven en verbeteren van de informatiebeveiliging in een or ganisatie. Evenals de standaard nen-iso/iec 27001:2005 nl, die tot dezelfde groep behoort, is de Code voor Informatiebeveiliging opgenomen in de “lijst met open standaarden waarvoor voor overheids organisaties een ‘pas-toe-of-leg-uit- regime’ geldt”46 van het College en Forum Standaardisatie.47 De Code voor Informatiebeveiliging is een technologieneutrale standaard die binnen de informatie beveiliging breed wordt toegepast bij het formuleren en implementeren van beveiligingsmaatregelen. Daarom wordt in deze richtsnoeren, waar deze ingaan op concrete beveiligingsmaatregelen, verwezen naar de betreffende onderdelen van de Code voor Informatiebeveiliging. De relevante informatie is daarbij opgenomen in de tekst van de richtsnoeren. Voor de zorgsector is de Code voor Informatiebeveiliging nader uitgewerkt in de standaard nen 7510.48 De Code voor Informatiebeveiliging en nen 7510 zijn beveiligingsstandaarden die het hele terrein van de informatiebeveiliging binnen een organisatie afdekken. Het zijn algemene, technologie neutrale standaarden, wat betekent dat ze niet ingaan op de maatregelen die moeten worden getroffen bij een specifiek type verwerking of bij het gebruik van een specifieke technologie. Er zijn ook beveiligingsstandaarden die dit wel doen. Voorbeelden zijn de Data Security Standard van de Payment Card Industry voor de veilige afhandeling van creditcardbetalingen49 en de standaarden voor de beveiliging van cloud computing van het Amerikaanse National Institute of Standards and Technology.50 Voor de beveiliging van webapplicaties zijn er de ict-beveiligingsrichtlijnen voor web applicaties van het Nationaal Cyber Security Centrum (ncsc) van het ministerie van Veiligheid en Justitie51 en voor de beveiliging van mobiele apparaten zijn er de beveiligingsrichtlijnen voor mobiele apparaten van het ncsc.52 Over het algemeen wordt een optimale beveiliging bereikt door de infor matiebeveiliging binnen de organisatie in te richten op basis van een algemene beveiligingsstandaard zoals de Code voor Informatiebeveiliging en bijvoorbeeld bij de ontwikkeling en het beheer van web applicaties uit te gaan van de ict-beveiligingsrichtlijnen voor webapplicaties van het ncsc. 45 Deze standaard is verkrijgbaar bij NEN (http://www.nen.nl/). 46 Artikel 3 sub b Instellingsbesluit College en Forum Standaardisatie 2012, Stcrt, 2011, 23581. 47 Het Forum Standaardisatie adviseert op basis van onderzoek het College Standaardisatie over de digitale uitwisseling van informatie tussen overheden onderling en tussen overheid, bedrijven en burgers. Het College doet vervolgens aanbevelingen aan verschillende ministers over beleid op dit gebied en beheert de lijst met aanbevolen en verplichte open standaarden die voor de publieke sector van toepassing zijn. College en Forum Standaardisatie (http://www.forumstandaardisatie.nl/). 48 NEN, Steunpunt NEN 7510 (http://www.nen7510.org). 49 PCI Security Standards Council, Data security standards overview (https://www.pcisecuritystandards.org/security_standards/index.php). 50 NIST, Cloud computing program (http://www.nist.gov/itl/cloud/index.cfm). 51 NCSC, ICT-beveiligingsrichtlijnen voor webapplicaties (https://www.ncsc.nl/dienstverlening/expertise-advies/kennisdeling/whitepapers/ict-beveiligingsrichtlijnen-voor-webapplicaties.html). 52 NCSC, Beveiligingsrichtlijnen voor mobiele apparaten (https://www.ncsc.nl/dienstverlening/expertise-advies/kennisdeling/whitepapers/beveiligingsrichtlijnen-voor-mobiele-apparaten.html).
16
CBP Richtsnoeren
470
3
BEVEILIGING IN DE PRAKTIJK Dit hoofdstuk geeft per onderdeel van de plan-do-check-act-cyclus weer hoe het CBP de beveiliging van persoonsgegevens beoordeelt. Het hoofdstuk beschrijft de beveiliging van persoonsgegevens in algemene zin, waarbij wordt aangesloten op standaarden, methoden en maatregelen die in het vakgebied informatiebeveiliging gebruikelijk zijn. In specifieke situaties kunnen organisaties ook met andere standaarden, methoden en maatregelen het vereiste beveiligingsniveau bereiken. Bij onderzoeken en beoordelingen van de beveiliging van persoonsgegevens is het onderstaande voor het cbp evenwel het uitgangspunt. Artikel 13 Wbp vereist bij de beveiliging van persoonsgegevens een risicogerichte benadering. Het artikel vraagt om “passende technische en organisatorische maatregelen” die “rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau [garanderen] gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens met zich meebrengen”. Deze risicogerichte benadering valt in de praktijk uiteen in een aantal onderdelen, die worden weergegeven in onderstaand schema. In het vervolg van deze paragraaf worden deze onder delen nader toegelicht.
bescherming van persoonsgegevens
privacy impact assessment (pia)
betrouwbaarheidseisen
vaststellen betrouwbaarheidseisen
risicoanalyse
maatregelen
beveiliging van persoonsgegevens
Het uitvoeren van een privacy impact assessment (pia) helpt de verantwoordelijke om de risico’s te beoordelen die een verwerking van persoonsgegevens met zich meebrengt voor de rechten en vrij heden van de betrokkenen en om maatregelen te treffen die deze risico’s beperken.53 Een pia wordt als regel uitgevoerd in het eerste ontwerpstadium van een verwerking. De uitkomsten van de pia kunnen van invloed zijn op de beveiliging van de persoonsgegevens die worden verwerkt, maar kunnen bij voorbeeld ook leiden tot de keuze om minder persoonsgegevens te verzamelen dan in eerste instantie was voorzien of tot het uitbreiden van de mogelijkheden voor de betrokkenen om zeggenschap uit te oefenen over het gebruik van hun gegevens. De pia valt buiten de reikwijdte van artikel 13 Wbp en van deze richtsnoeren. Wel geeft het uitvoeren van een pia een totaalbeeld van de risico’s voor de betrok kenen en helpt het de verantwoordelijke om beveiligingsmaatregelen te treffen als onderdeel van een samenhangend geheel aan maatregelen waarmee hij de risico’s voor de betrokkenen afdekt en voldoet aan de Wbp.54
53 In Europese regelgeving wordt voor de PIA de term ‘privacyeffectbeoordeling’ gebruikt. 54 De PIA wordt ook genoemd in het regeerakkoord VVD – PvdA, Bruggen slaan, 29 oktober 2012: “Bij de bouw van systemen en het aanleggen van databestanden is bescherming van persoonsgegevens uitgangspunt. Daar hoort een zogenaamd privacy impact assessment (PIA) standaard bij.”
471
Beveiliging van persoonsgegevens
17
3 beveiliging in de praktijk
In het vakgebied informatiebeveiliging vormen de betrouwbaarheidseisen – de eisen aan beschikbaar heid, integriteit en vertrouwelijkheid – het uitgangspunt voor de te treffen beveiligingsmaatregelen.55 Bij het verwerken van persoonsgegevens dienen de betrouwbaarheidseisen niet uitsluitend te worden vastgesteld vanuit het belang van de verantwoordelijke, maar met name ook vanuit het belang van de betrokkenen. Er is sprake van een “passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens met zich meebrengen”. Het vaststellen van de betrouwbaar heidseisen vanuit het belang van de betrokkenen wordt nader beschreven in paragraaf 3.1 van deze richtsnoeren. In het vakgebied informatiebeveiliging is het gangbaar dat de verantwoordelijke beveiligingsmaat regelen treft op basis van een risicoanalyse, waarbij hij de dreigingen inventariseert die kunnen leiden tot een beveiligingsincident, de gevolgen die het beveiligingsincident kan hebben en de kans dat deze gevolgen zich voordoen. De verantwoordelijke kiest de maatregelen zodanig dat wordt voldaan aan de vastgestelde betrouwbaarheidseisen.56 De risicoanalyse is een belangrijke randvoorwaarde voor “[maatregelen die], rekening houdend met de stand van de techniek en de kosten van de tenuitvoer legging, een passend beveiligingsniveau [garanderen]”.57 Paragraaf 3.2 van deze richtsnoeren gaat hier nader op in. 3.1
Betrouwbaarheidseisen De verantwoordelijke stelt vast aan welke eisen betreffende beschikbaarheid, integriteit en vertrouwe lijkheid het informatiesysteem moet voldoen. Daarbij draagt hij er zorg voor dat er sprake is van een “passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens met zich meebrengen.”58
De risico’s die de aard van de te beschermen gegevens met zich meebrengt
betrouwbaarheidseisen
Risico’s voor de betrokkene(n)
laag
midden
hoog
beschikbaarheid integriteit vertrouwelijkheid
informatiebeveiliging
De risico’s die de verwerking met zich meebrengt
Het bovenstaande betekent dat de verantwoordelijke een vertaalslag moet maken van de risico’s voor de betrokkene(n) naar de betrouwbaarheidseisen zoals het vakgebied informatiebeveiliging die kent. Deze vertaalslag is weergegeven in bovenstaand schema. Voor deze vertaalslag zijn vooral de gevolgen relevant die betrokkenen kunnen ondervinden van verlies of onrechtmatige verwerking van hun persoonsgegevens. Deze gevolgen kunnen, afhankelijk van de aard van de verwerking en van de verwerkte persoonsgegevens, onder meer bestaan uit stigmatisering of uitsluiting, schade aan de gezondheid of blootstelling aan (identiteits)fraude. Voor het vaststellen van de betrouwbaarheidseisen zijn, vanuit de beveiliging van persoonsgegevens en het belang van de betrokkenen bezien, de risico’s voor één, individuele betrokkene maatgevend. De schade die betrokkenen ondervinden van verlies of onrechtmatige verwerking van hun persoons gegevens wordt bepaald door de aard van de gegevens en de aard van de verwerking en niet door het aantal anderen van wie de persoonsgegevens eveneens verloren zijn gegaan of onrechtmatig zijn verwerkt. 55 56 57 58
18
CBP Richtsnoeren
Zie paragraaf 2.2 van deze richtsnoeren. Zie paragraaf 2.4 van deze richtsnoeren. Artikel 13 Wbp. Artikel 13 Wbp.
472
Voor de genoemde vertaalslag zijn geen algemene regels te geven. Bij verwerkingen met een hoog risico voor de betrokkene(n) is over het algemeen een hoge mate van vertrouwelijkheid vereist. Afhankelijk van de aard van de verwerking geldt hetzelfde voor de integriteit en voor de beveiliging van de persoonsgegevens tegen verlies. De rest van deze paragraaf gaat nader in op de risico’s die de verwerking en de aard van de te bescher men gegevens met zich meebrengen. Er is sprake van “een passend beveiligingsniveau gelet op de risico’s die […] de aard van de te beschermen gegevens met zich meebreng[t]”.59 De stand van de techniek, ontwikkelingen in de maatschappij en andere factoren kunnen van invloed zijn op de gevolgen die verlies of onrechtmatige verwerking van persoonsgegevens met zich mee kun nen brengen voor de betrokkenen. Onderstaande opsomming van categorieën van persoonsgegevens waar deze gevolgen ernstig kunnen zijn, is daarom niet uitputtend: • Bijzondere persoonsgegevens zoals bedoeld in artikel 16 Wbp Het gaat daarbij om persoonsgegevens over iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, lidmaatschap van een vakvereniging en om strafrechte lijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag. • Gegevens over de financiële of economische situatie van de betrokkene Hieronder vallen bijvoorbeeld gegevens over (problematische) schulden. • (Andere) gegevens die kunnen leiden tot stigmatisering of uitsluiting van de betrokkene Hieronder vallen bijvoorbeeld gegevens over gokverslaving, prestaties op school of werk of relatieproblemen. • Gegevens die betrekking hebben op mensen uit kwetsbare groepen Het gaat hier bijvoorbeeld om mensen die te maken hebben met stalking of die in een blijf-vanmijn-lijfhuis verblijven, om klokkenluiders of om informanten van de politie of het Openbaar Ministerie. • Gebruikersnamen, wachtwoorden en andere inloggegevens De mogelijke gevolgen voor betrokkenen hangen af van de verwerkingen en van de persoons gegevens waar de inloggegevens toegang toe geven. Bij de afweging moet worden betrokken dat veel mensen wachtwoorden hergebruiken voor verschillende verwerkingen. • Gegevens die kunnen worden misbruikt voor (identiteits)fraude Het gaat hierbij onder meer om biometrische gegevens, kopieën van identiteitsbewijzen en om het burgerservicenummer (bsn). Praktijkvoorbeeld
Het e-mailadres als bijzonder persoonsgegeven Het onderstaande voorbeeld illustreert dat een persoonsgegeven dat op zichzelf niet in de categorie van bijzondere persoonsgegevens valt (het e-mailadres) alsnog een bijzonder persoonsgegeven kan worden door de context waarbinnen het wordt gebruikt. Een organisatie voor jongeren met belangstelling voor sadomasochisme (sm) organiseert een feest en verstuurt per e-mail een bevestiging van deelname aan iedereen die zich voor dit feest heeft aangemeld. Bij de verzending van de mailing maakt de organisatie een fout, waardoor alle e-mailadressen zichtbaar zijn voor alle 65 ontvangers van de e-mail. Een e-mailadres is een persoonsgegeven en kan, bijvoorbeeld als het de voor- en achternaam van de betrokkene bevat, de betrokkene direct identificeren. Normaal gesproken is een e-mailadres geen gevoelig gegeven maar in dit geval ontstaat er door de context, deelname aan een sm-feest, een relatie met het seksuele leven van de betrokkene en wordt het gegeven alsnog gevoelig. De verantwoordelijke moet in zo’n geval extra beveiligingsmaatregelen treffen om het uitlekken van de e-mailadressen te voorkomen. Er is sprake van “een passend beveiligingsniveau gelet op de risico’s die de verwerking […] met zich meebreng[t]”.60
59 Artikel 13 Wbp. 60 Artikel 13 Wbp.
473
Beveiliging van persoonsgegevens
19
3 beveiliging in de praktijk
Behalve de aard van de verwerkte gegevens, kan ook de verwerking zelf risico’s met zich meebrengen voor de betrokkenen. Factoren die een rol spelen zijn onder meer: • Hoeveelheid verwerkte persoonsgegevens per persoon Naarmate er per persoon meer persoonsgegevens worden verwerkt, kan verlies of onrechtmatige verwerking leiden tot een grotere inbreuk op de persoonlijke levenssfeer. Bijvoorbeeld: het uit lekken van een compleet medisch dossier leidt over het algemeen tot een grotere inbreuk dan het uitlekken van een herhaalrecept. • Doel of doelen waarvoor de persoonsgegevens worden verwerkt Naarmate de beslissingen die op basis van de verwerkte persoonsgegevens worden genomen in grijpender zijn, is ook de impact van verlies of onrechtmatige verwerking groter. Bijvoorbeeld: als een organisatie financiële gegevens gebruikt om iemands kredietwaardigheid te bepalen zijn de gevolgen ingrijpender dan bij gebruik van dezelfde gegevens voor marketingdoeleinden. Praktijkvoorbeeld
Beveiliging van via internet toegankelijke bijzondere persoonsgegevens Onderstaand voorbeeld illustreert hoe de combinatie van de aard van de verwerkte gegevens (bijzondere persoonsgegevens) en de risico’s die de verwerking met zich meebrengt (grote hoeveelheid gegevens per persoon) leidt tot zwaardere eisen aan de beveiliging en, in combinatie met de aanwezige dreigingen, tot aanscherping van de beveiligingsmaatregelen. Beveiligingsonderzoekers komen erachter dat een webapplicatie die toegang geeft tot elektronische dossiers met persoonsgegevens beveiligingslekken bevat, waardoor onbevoegden toegang kunnen krijgen tot de achterliggende database. De applicatie wordt gebruikt door een groot aantal organisaties. In de applicatie worden bijzondere persoonsgegevens (medische gegevens) en het BSN verwerkt en de hoeveelheid gegevens die per persoon wordt verwerkt is in sommige gevallen aanzienlijk. Onrechtmatige toegang tot de dossiers kan voor de betrokkenen dus grote schade met zich meebrengen. Daarbij gaat het om een webapplicatie, waarbij altijd rekening moet worden gehouden met de mogelijkheid dat een hacker onrechtmatig toegang krijgt tot de verwerkte persoonsgegevens. De leverancier van de applicatie besluit daarom om niet alleen de beveiligingslekken te dichten, maar ook de beveiliging van de toegang tot de dossiers met persoonsgegevens aan te scherpen door gebruik te maken van zogeheten tweefactorauthenticatie. Gebruikers kunnen in het vervolg alleen nog maar toegang krijgen tot de applicatie als ze beschikken over een combinatie van een wachtwoord en een fysiek herkenningsmiddel (token). Door het gebruik van tweefactorauthenticatie wordt voorkomen dat een hacker door het wachtwoord te achterhalen zich toegang verschaft tot de verwerkte persoonsgegevens. Bepaalde verwerkingen brengen door de combinatie van de aard van de verwerkte gegevens, de hoeveelheid gegevens die per persoon wordt verwerkt en de doelen waarvoor de persoonsgege vens worden verwerkt dusdanige risico’s met zich mee dat het hoogste beveiligingsniveau is vereist. Verwerkingen in deze categorie zijn onder meer verwerkingen bij opsporingsdiensten met bijzondere bevoegdheden of verwerkingen waarbij de belangen van een grote groep betrokkenen zeer ernstig kunnen worden geschaad indien de verwerkingen onzorgvuldig of onbevoegd geschieden, zoals bij dna-databanken. Daarnaast vallen ook verwerkingen waarop een bijzondere geheimhoudingsplicht van toepassing is binnen deze categorie. Deze geheimhoudingsplicht kan door de overheid zowel wettelijk als anderszins formeel zijn geregeld of door een private organisatie zijn ingevoerd voor haar medewerkers. Bij dergelijke verwerkingen wordt er al in het vroegste ontwerpstadium rekening gehouden met het vereiste beveiligingsniveau (security by design) en het vereiste niveau van gegevensbescherming (privacy by design). Privacy enhancing technologies (pet) zijn bij dergelijke verwerkingen onmisbaar. Bij de keuze van de beveiligingsmaatregelen is het vereiste beveiligingsniveau leidend. Indien het rea liseren van het vereiste beveiligingsniveau tegen acceptabele kosten niet mogelijk is, wordt van verwerking afgezien.
20
CBP Richtsnoeren
474
3.2
Maatregelen Na het vaststellen van de betrouwbaarheidseisen treft de verantwoordelijke passende beveiligings maatregelen die waarborgen dat aan de betrouwbaarheidseisen wordt voldaan. “De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau.” 61 De maatregelen zijn gebaseerd op een risicoanalyse en dekken de risico’s zodanig af dat aan de betrouwbaarheidseisen wordt voldaan.62 Naarmate de vereiste betrouwbaarheid c.q. het vereiste beveiligingsniveau hoger is, treft de verantwoordelijke meer en zwaardere beveiligingsmaatregelen om de aanwezige risico’s af te dekken en het vereiste beveiligingsniveau daadwerkelijk te garanderen.
Praktijkvoorbeeld
Risicoanalyse door ziekenhuizen Onderstaand voorbeeld is ontleend aan de toezichtpraktijk van het CBP. Het geeft onder meer weer welke aandachtspunten het CBP in het betreffende onderzoek hanteerde bij de beoordeling van de uitgevoerde risicoanalyses. Gezamenlijk met de Inspectie voor de Gezondheidszorg (IGZ) voert het CBP in 2007 een onderzoek uit naar de mate waarin de normen voor de informatiebeveiliging worden nageleefd door twintig ziekenhuizen. Bij vijf van de onderzochte ziekenhuizen concluderen IGZ en CBP dat er geen sprake is van een passend beveiligingsniveau zoals bedoeld in artikel 13 Wbp. Na nader onderzoek in 2008 legt het CBP in 2009 aan vier van de ziekenhuizen een last onder dwangsom op, waarbij het CBP de ziekenhuizen onder meer sommeert om een risicoanalyse informatiebeveiliging uit te voeren en daarvan een rapportage op te stellen. Als toelichting op deze maatregelen verwijst het CBP naar de NEN 7510, waarin de Code voor Informatiebeveiliging voor de zorgsector nader is uitgewerkt en die als een gezaghebbende en sectorale uitwerking van artikel 13 Wbp wordt beschouwd. Het CBP geeft daarbij het volgende aan: “Een risicoanalyse vormt de basis voor het informatiebeveiligingsbeleid van een organisatie. Zonder risicoanalyse is het niet mogelijk om een adequaat informatiebeveiligingsbeleid te formuleren: pas na een risicoanalyse kunnen de prioritaire maatregelen voor informatiebeveiliging worden bepaald. De definitie van een risicoanalyse in NEN 7510 – ‘beoordeling van de bedreigingen voor, effecten op en kwetsbaarheid van informatiesystemen en gegevens en de waarschijnlijkheid van het optreden van deze bedreigingen’ is gangbaar binnen het vakgebied informatiebeveiliging en geeft een organisatie – binnen de grenzen van de definitie – de vrijheid zelf een risicoanalysemethode te kiezen. Zodra echter elementen uit de definitie ontbreken is de risicoanalyse ontoereikend en wordt gezien het bovenstaande niet voldaan aan de norm van artikel 13 Wbp.” Het cbp constateert dat twee van de vier ziekenhuizen in eerste instantie een risicoanalyse hebben uitge voerd die niet voldoet aan de last. In de risicoanalyse van één ziekenhuis ontbreekt een inventarisatie van de (reële) bedreigingen, is er geen zicht op de kwetsbaarheid van de informatiesystemen en is er onvol doende zicht op de beveiligingsmaatregelen die al zijn geïmplementeerd, waardoor er niet kan worden afgeba-kend welke maatregelen er uiteindelijk nog moeten worden getroffen. Het tweede ziekenhuis heeft aan de hand van een checklist in kaart gebracht hoe informatiebeveiliging volgens NEN7510 in de dagelijkse praktijk wordt toegepast, wat geen of hooguit zeer beperkt inzicht geeft in de concrete ICT-risico’s die het ziekenhuis loopt. Beide ziekenhuizen vullen de risicoanalyse aan, zodat zij uiteindelijk alsnog aan de last voldoen. De risicoanalyse geeft aan welke risico’s moeten worden afgedekt; beveiligingsstandaarden geven houvast bij het daadwerkelijk treffen van passende maatregelen om de risico’s af te dekken. Welke beveiligingsstandaarden voor een bepaalde verwerking relevant zijn en welke beveiligingsmaatregelen op grond van deze beveiligingsstandaarden moeten worden getroffen, moet van geval tot geval wor den bepaald. 61 Artikel 13 Wbp. 62 Zie paragraaf 2.4 van deze richtsnoeren.
475
Beveiliging van persoonsgegevens
21
3 beveiliging in de praktijk
Bij het onderzoeken en beoordelen van de beveiliging van persoonsgegevens hanteert het cbp als uitgangspunt een aantal beveiligingsmaatregelen die binnen het vakgebied informatiebeveiliging gebruikelijk zijn en die in veel situaties in een of andere vorm noodzakelijk zijn. Het gaat om de volgende maatregelen: • Beleidsdocument voor informatiebeveiliging63 Het beleidsdocument gaat expliciet in op de maatregelen die de verantwoordelijke treft om de verwerkte persoonsgegevens te beveiligen. Het document is goedgekeurd op bestuurlijk c.q. leidinggevend niveau en kenbaar gemaakt aan alle werknemers en relevante externe partijen. • Toewijzen van verantwoordelijkheden voor informatiebeveiliging64 Alle verantwoordelijkheden, zowel op sturend als op uitvoerend niveau, zijn duidelijk gedefinieerd en belegd. • Beveiligingsbewustzijn65 Alle werknemers van de organisatie en, voor zover van toepassing, ingehuurd personeel en externe gebruikers krijgen geschikte training en regelmatige bijscholing over het informatiebeveiligings beleid en de informatiebeveiligingsprocedures van de organisatie, voor zover relevant voor hun functie. Binnen de training en bijscholing wordt expliciet aandacht besteed aan de omgang met (bijzondere of anderszins gevoelige) persoonsgegevens. • Fysieke beveiliging en beveiliging van apparatuur66 IT-voorzieningen en apparatuur zijn fysiek beschermd tegen toegang door onbevoegden en tegen schade en storingen. De geboden bescherming is in overeenstemming met de vastgestelde risico’s. • Toegangsbeveiliging67 Er zijn procedures om bevoegde gebruikers toegang te geven tot de informatiesystemen en -diensten die ze voor de uitvoering van hun taken nodig hebben en om onbevoegde toegang tot informatiesystemen te voorkomen. De procedures omvatten alle fasen in de levenscyclus van de gebruikerstoegang, van de eerste registratie van nieuwe gebruikers tot de uiteindelijke afmelding van gebruikers die niet langer toegang tot informatiesystemen en -diensten nodig hebben. Waar van toepassing wordt bijzondere aandacht besteed aan het beheren van toegangsrechten van gebruikers met extra ruime bevoegdheden, zoals systeembeheerders. • Logging en controle68 Activiteiten die gebruikers uitvoeren met persoonsgegevens worden vastgelegd in logbestanden. Hetzelfde geldt voor andere relevante gebeurtenissen, zoals pogingen om ongeautoriseerd toegang te krijgen tot persoonsgegevens en verstoringen die kunnen leiden tot verminking of verlies van persoonsgegevens. De logbestanden worden periodiek gecontroleerd op indicaties van onrecht matige toegang of onrechtmatig gebruik van de persoonsgegevens en waar nodig wordt actie ondernomen. De verantwoordelijke moet er rekening mee houden dat er, als de gegevens in de logbestanden tot personen herleidbaar zijn, sprake is van een verwerking van persoonsgegevens in de zin van de Wbp waarop de verplichtingen uit deze wet van toepassing zijn. In dat geval kan er ook sprake zijn van een personeelsvolgsysteem in de zin van artikel 27 lid 1 van de Wet op de ondernemingsraden (WOR), waarvoor instemming van de ondernemingsraad is vereist. • Correcte verwerking in toepassingssystemen69 In alle toepassingssystemen, inclusief toepassingen die door gebruikers zelf zijn ontwikkeld, zijn beveiligingsmaatregelen ingebouwd. Tot deze beveiligingsmaatregelen behoort de controle dat de invoer, de interne verwerking en de uitvoer aan vooraf gestelde eisen voldoen (validatie). Voor systemen waarin gevoelige persoonsgegevens worden verwerkt of die invloed hebben op de ver werking van gevoelige persoonsgegevens, kunnen aanvullende beveiligingsmaatregelen nodig zijn.
63 64 65 66 67 68 69
22
CBP Richtsnoeren
Deze maatregel wordt nader uitgewerkt in NEN-ISO/IEC 27002:2007 nl, paragraaf 5.1.1. Deze maatregel wordt nader uitgewerkt in NEN-ISO/IEC 27002:2007 nl, paragraaf 6.1.3. Deze maatregel wordt nader uitgewerkt in NEN-ISO/IEC 27002:2007 nl, paragraaf 8.2.2. Deze maatregel wordt nader uitgewerkt in NEN-ISO/IEC 27002:2007 nl, paragraaf 9.1 en 9.2. Deze maatregel wordt nader uitgewerkt in NEN-ISO/IEC 27002:2007 nl, paragraaf 11.2. Deze maatregel wordt nader uitgewerkt in NEN-ISO/IEC 27002:2007 nl, paragraaf 10.10. Deze maatregel wordt nader uitgewerkt in NEN-ISO/IEC 27002:2007 nl, paragraaf 12.2.
476
• Beheer van technische kwetsbaarheden70 Software, zoals browsers, virusscanners en operating systems, wordt up-to-date gehouden. Ook installeert de verantwoordelijke tijdig oplossingen die de leverancier uitbrengt voor beveiligings lekken in deze software. Meer in het algemeen verkrijgt de verantwoordelijke tijdig informatie over technische kwetsbaarheden van de gebruikte informatiesystemen. De mate waarin de organisatie blootstaat aan dergelijke kwetsbaarheden wordt geëvalueerd en de verantwoordelijke treft geschik te maatregelen getroffen voor de behandeling van de risico’s die daarmee samenhangen. • Incidentenbeheer71 Er zijn procedures voor het tijdig en doeltreffend behandelen van informatiebeveiligingsincidenten en zwakke plekken in de beveiliging, zodra ze zijn gerapporteerd. Het beoordelen van de risico’s voor de betrokkenen en het effectief informeren van de betrokkenen en, waar van toepassing, de toezichthouder is in deze procedures opgenomen. De lessen getrokken uit de afgehandelde incidenten worden gebruikt om de beveiliging waar mogelijk structureel te verbeteren. Als een vervolgprocedure na een informatiebeveiligingsincident juridische maatregelen omvat (civiel- of strafrechtelijk), wordt het bewijsmateriaal verzameld, bewaard en gepresenteerd overeenkomstig de voorschriften voor bewijs die voor het relevante rechtsgebied zijn vastgelegd. • Afhandeling van datalekken en beveiligingsincidenten72 De verantwoordelijke meldt datalekken die onder een wettelijke meldplicht vallen bij de betref fende toezichthouder.73 Als hij daartoe wettelijk verplicht is, of als er anderszins aanleiding voor is, informeert hij ook de betrokkenen over het beveiligingsincident of het datalek. • Continuïteitsbeheer74 Door natuurrampen, ongevallen, uitval van apparatuur of opzettelijk handelen kunnen persoons gegevens verloren gaan. Door in de organisatie continuïteitsbeheer in te richten worden de gevol gen tot een aanvaardbaar niveau beperkt, waarbij gebruik wordt gemaakt van een combinatie van preventieve maatregelen en herstelmaatregelen. Er is pas sprake van een passend beveiligingsniveau als de gekozen maatregelen onderdeel zijn van de dagelijkse praktijk van de organisatie. De eerste stap is documentatie: de relevante beveiligings maatregelen zijn gespecificeerd en geïntegreerd in functionele en technische beschrijvingen van ictsystemen, in gebruikershandleidingen, werkinstructies, contracten, dienstenniveauovereenkomsten en andere relevante documenten. De tweede stap is daadwerkelijke implementatie van de gekozen maatregelen. “Een ieder die handelt onder het gezag van de verantwoordelijke of van de bewerker, alsmede de bewerker zelf, voor zover deze toegang hebben tot persoonsgegevens, verwerkt deze slechts in opdracht van de verantwoordelijke, behoudens afwijkende wettelijke verplichtingen.”75 De hierboven genoemde maatregelen ‘beveiligingsbewustzijn’, ‘toegangsbeveiliging’ en ‘logging en controle’ zijn er mede op gericht om ongeoorloofde omgang met persoonsgegevens binnen de organi satie tegen te gaan.
70 Deze maatregel wordt nader uitgewerkt in NEN-ISO/IEC 27002:2007 nl, paragraaf 12.6. 71 Deze maatregel wordt nader uitgewerkt in NEN-ISO/IEC 27002:2007 nl, paragraaf 13.2. 72 Deze maatregel wordt nader uitgewerkt in NEN-ISO/IEC 27002:2007 nl, paragraaf 13.1.2. 73 Bij het verschijnen van deze richtsnoeren is de situatie rond de meldplicht voor datalekken als volgt: • Er is een meldplicht van toepassing voor aanbieders van openbare telecommunicatienetwerken en -diensten (http://www.meldplichttelecomwet.nl/inbreuken.html). • In december 2011 is een voorstel tot aanpassing van de Wbp gepresenteerd. Het voorstel bevat een verplichting om beveiligingsincidenten te melden bij het CBP waarvan redelijkerwijs kan worden aangenomen dat die leiden tot een aanmerkelijk risico op verlies of onrechtmatige verwerking en waaraan nadelige gevolgen voor de persoonsgegevens en de persoonlijke levenssfeer van de betrokkene zijn verbonden (http://www.internetconsultatie.nl/camerabeelden). • De Europese Commissie heeft een conceptverordening gepresenteerd die de huidige richtlijn 95/46/EG, waarop de Wbp gebaseerd is, moet gaan vervangen. In de conceptverordening is een verplichting opgenomen om datalekken te melden bij de toezichthoudende autoriteit (http://ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm). 74 Deze maatregel wordt nader uitgewerkt in NEN-ISO/IEC 27002:2007 nl, paragraaf 14. 75 Artikel 12 lid 1 Wbp.
477
Beveiliging van persoonsgegevens
23
3 beveiliging in de praktijk
“De personen, bedoeld in het eerste lid, voor wie niet reeds uit hoofde van ambt, beroep of wettelijk voorschrift een geheimhoudingsplicht geldt, zijn verplicht tot geheimhouding van de persoonsgegevens waarvan zij kennis nemen, behoudens voor zover enig wettelijk voorschrift hen tot mededeling verplicht of uit hun taak de noodzaak tot mededeling voortvloeit.”76 Bij het onderzoeken en beoordelen van de beveiliging van persoonsgegevens hanteert het cbp, waar het gaat om de geheimhouding van de verwerkte persoonsgegevens, als uitgangspunt een aantal maat regelen die in het vakgebied informatiebeveiliging gangbaar zijn. Deze maatregelen zijn: • Gegevensbescherming en geheimhouding van persoonsgegevens77 De organisatie heeft beleid ontwikkeld voor de bescherming en voor de geheimhouding van persoonsgegevens. Dit beleid is vastgelegd en geïmplementeerd en de organisatie communi ceert dit naar alle personen die betrokken zijn bij het verwerken van persoonsgegevens. In het beleid is opgenomen dat persoonsgegevens uitsluitend worden verwerkt in opdracht van de verantwoordelijke. • Geheimhoudingsovereenkomsten78 De verplichting tot geheimhouding van persoonsgegevens is vastgelegd in geheimhoudingsovereenkomsten. Praktijkvoorbeeld
Onrechtmatige inzage in een medisch dossier Onderstaand voorbeeld illustreert wat wordt bedoeld met ongeoorloofde omgang met persoonsgegevens binnen de organisatie. In 2007 doet het cbp samen met de Inspectie voor de Gezondheidszorg (IGZ) onderzoek naar de informatiebeveiliging bij een aantal ziekenhuizen. Uit het onderzoek blijkt dat de directie van een van de onderzochte ziekenhuizen wel heel persoonlijk is geconfronteerd met het belang van informatiebeveiliging. Tijdens een opname van de voorzitter van de Raad van Bestuur in zijn eigen ziekenhuis hebben namelijk verschillende medewerkers die hem niet behandelden zich toegang verschaft tot zijn elektronisch medisch dossier.79 “De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.”80 Bij het onderzoeken en beoordelen van de naleving van de wettelijke verplichting tot het toepassen van pet hanteert het cbp als uitgangspunt een aantal gangbare pet-maatregelen. Deze maatregelen zijn: • Encryptie (versleuteling) en hashing81 De verantwoordelijke maakt gebruik van cryptografische bewerkingen om de persoonsgegevens die hij verwerkt te beveiligen. Hij past encryptie (versleuteling) toe bij verzending van persoonsge gevens via het internet, bij de opslag van persoonsgegevens op draagbare apparatuur en op verwij derbare media zoals usb-sticks en in andere situaties waar persoonsgegevens kwetsbaar zijn voor toegang door onbevoegden (bijvoorbeeld persoonsgegevens die via het world wide web kunnen worden benaderd). Bij de opslag en verwerking van wachtwoorden maakt hij gebruik van hashing. Bij het toepassen van cryptografische technieken past hij alle gangbare voorzorgsmaatregelen toe, zoals goed ingericht sleutelbeheer en het gebruik van sleutellengten en versleutelingstechnieken die in overeenstemming zijn met de actuele stand van de techniek.
76 Artikel 12 lid 2 Wbp. 77 Deze maatregel wordt nader uitgewerkt in NEN-ISO/IEC 27002:2007 nl, paragraaf 15.1.4. 78 Deze maatregel wordt nader uitgewerkt in NEN-ISO/IEC 27002:2007 nl, paragraaf 6.1.5. 79 Inspectie voor de Gezondheidszorg (IGZ) en CBP, Informatiebeveiliging in ziekenhuizen voldoet niet aan de norm, Rapportage van een onderzoek in 2007 door het College bescherming persoonsgegevens en de Inspectie voor de Gezondheidszorg naar de informatiebeveiliging in 20 ziekenhuizen, Den Haag, november 2008, p. 26. (http://www.cbpweb.nl/downloads_rapporten/rap_2008_informatiebeveiliging_ziekenhuizen.pdf ) 80 Artikel 13 Wbp. 81 Deze maatregel wordt nader uitgewerkt in NEN-ISO/IEC 27002:2007 nl, paragraaf 12.3.
24
CBP Richtsnoeren
478
• Omgang met e-waste (afgedankte apparatuur en opslagmedia) Alle apparatuur die opslagmedia bevat, zoals laptops of smartphones, wordt ontdaan van de nog eventueel aanwezige persoonsgegevens alvorens het apparaat te verwijderen of hergebruiken. Opslagmedia met gevoelige persoonsgegevens worden fysiek vernietigd of de persoonsgegevens worden vernietigd, verwijderd of overschreven met technieken die het onmogelijk maken om de oorspronkelijke persoonsgegevens terug te halen.82 Hetzelfde geldt voor verwijderbare media zoals usb-sticks.83 Nader bekeken
Encryptie, hashing, pseudonimisering en anonimisering Onderstaand worden de cryptografische bewerkingen encryptie en hashing toegelicht. Verder wordt aangegeven dat toepassing van deze cryptografische bewerkingen op zichzelf leidt tot pseudonimisering (het vervangen van een identificerend gegeven door een ander identificerend gegeven) en niet tot anonimisering. Encryptie (versleuteling) en hashing (het omzetten van gegevens in een unieke code) zijn cryptografische bewerkingen die worden toegepast op gegevens met onder meer als doel om deze onbruikbaar te maken voor onbevoegden. Kenmerkend voor encryptie is dat deze bewerking omkeerbaar is: door gebruik van de juiste sleutel kan de oorspronkelijke informatie worden verkregen (decryptie). Encryptie wordt onder meer gebruikt om gegevens te beveiligen bij verzending van gegevens via het internet, bij de opslag van gegevens op draagbare apparatuur en op verwijderbare media zoals USB-sticks en in andere situaties waar gegevens kwetsbaar zijn voor toegang door onbevoegden (bijvoorbeeld gegevens die via het world wide web kunnen worden benaderd). Hashing is een bewerking die van informatie, ongeacht de lengte, een unieke hashcode maakt die altijd even lang is (de lengte is afhankelijk van de gebruikte hashingmethode). Hashing wordt onder meer gebruikt bij de opslag en verwerking van wachtwoorden: op het moment dat de gebruiker een (nieuw) wachtwoord kiest, wordt de bijbehorende hashcode opgeslagen. Wanneer de gebruiker vervolgens inlogt, wordt de hashcode van het ingevoerde wachtwoord vergeleken met de opgeslagen hashcode en krijgt de gebruiker toegang tot het informatiesysteem als de codes overeenkomen. Cryptografische bewerkingen zijn in principe te ‘kraken’, wat inhoudt dat onbevoegden toegang kunnen krijgen tot de oorspronkelijke gegevens. Kraken wordt tegengegaan door het gebruik van (combinaties van) de nieuwste cryptografische technieken en door toepassing van zogenoemde salts (extra informatie die bij hashing wordt toegevoegd aan het oorspronkelijke gegeven om het kraken van de hashcode te bemoeilijken). Dit terrein ontwikkelt zich voortdurend en het is zeer goed mogelijk dat een cryptografische bewerking die in de huidige situatie veilig genoeg is dat over een aantal jaren niet meer is. Bij gebruik van cryptografische bewerkingen wordt daarom periodiek beoordeeld of nog steeds wordt voldaan aan de betrouwbaarheidseisen. Door toepassing van encryptie en hashing kan de mate waarin de verwerkte persoonsgegevens kunnen worden herleid naar “een geïdentificeerde of identificeerbare natuurlijke persoon” worden verminderd. Een voorbeeld is het versleutelen of hashen van klantnummers. Het toepassen van cryptografische bewerkingen op identificerende gegevens leidt op zichzelf tot pseudonimisering (het identificerende gegeven wordt vervangen door een ander identificerend gegeven) en niet tot anonimisering (de gegevens worden omgezet naar “een vorm die identificatie van de betrokkene feitelijk niet langer mogelijk maakt”84). Nog afgezien van de mogelijkheid dat de gebruikte cryptografische bewerkingen gekraakt worden, leidt het toepassen van cryptografische bewerkingen op identificerende gegevens om de volgende redenen tot pseudonimisering en niet tot anonimisering: • Encryptie is omkeerbaar. De verantwoordelijke beschikt over de juiste sleutel en is daarmee in staat om decryptie toe te passen op het versleutelde gegeven en daardoor het oorspronkelijke identificerende gegeven te achterhalen.
82 Deze maatregel wordt nader uitgewerkt in NEN-ISO/IEC 27002:2007 nl, paragraaf 9.2.6. 83 Deze maatregel wordt nader uitgewerkt in NEN-ISO/IEC 27002:2007 nl, paragraaf 10.7.2. 84 Kamerstukken II 1997-1998, 25 892, nr. 3, p. 50.
479
Beveiliging van persoonsgegevens
25
3 beveiliging in de praktijk
• Encryptie en hashing zijn herhaalbaar. De verantwoordelijke beschikt over de oorspronkelijke gegevens en kan door deze opnieuw te versleutelen of hashen de bijbehorende versleutelde gegevens of hashcodes achterhalen. De verantwoordelijke kan maatregelen treffen om bij gebruik van encryptie of hashing de herleidbaarheid van de betreffende persoonsgegevens te beperken, bijvoorbeeld door de cryptografische bewerking uit te laten voeren door een derde die als enige over de juiste sleutel beschikt. Van geval tot geval moet een verantwoordelijke vaststellen of dergelijke maatregelen daadwerkelijk leiden tot anonimisering. Voor anonimisering zijn niet alleen de direct identificerende gegevens van belang. “Het verwijderen van de direct identificerende kenmerken biedt op zichzelf niet altijd voldoende garantie dat geen sprake meer is van persoonsgegevens. Door middel van spontane herkenning, vergelijking van gegevens en/of koppeling aan gegevens uit andere bron, kan immers desondanks, soms zonder bijzonder inspanning, identificatie tot stand worden gebracht.” 85 Verder moet bij anonimisering rekening worden gehouden met de stand van de techniek. “Wat [...] bij een bepaalde stand van de techniek als anoniem, want redelijkerwijs niet op een persoon herleidbaar gegeven, kan worden beschouwd, kan door technische ontwikkelingen alsnog een persoonsgegeven worden gelet op de toegenomen mogelijkheden tot herleiding.” 86 3.3
Controle De verantwoordelijke stelt vast of de maatregelen daadwerkelijk getroffen zijn en worden nageleefd en of de organisatie door het treffen van deze maatregelen aan de betrouwbaarheidseisen voldoet. De verantwoordelijke stelt vast of de technische en organisatorische maatregelen in de praktijk worden nageleefd en of deze een passend beveiligingsniveau garanderen. Waar nodig voert hij aanpassingen door. Bij onderzoek en beoordeling hanteert het cbp als uitgangspunt de volgende controles die in het vakgebied informatiebeveiliging gangbaar zijn: • Controle op naleving van de maatregelen binnen de organisatie87 De verantwoordelijke beoordeelt regelmatig of de beveiligingsmaatregelen binnen de organisatie daadwerkelijk worden nageleefd. Waar dit niet gebeurt, treft de verantwoordelijke corrigerende maatregelen. • Controle op technische naleving88 De verantwoordelijke beoordeelt regelmatig of de beveiligingsmaatregelen binnen de technische systemen daadwerkelijk worden nageleefd. Verder betrekt het cbp hierbij de inzet van de volgende gangbare middelen voor de controle op uit voering en naleving van de beveiligingsmaatregelen: • Werkplekcontroles Buiten kantooruren laat de verantwoordelijke controleren of er documenten met gevoelige persoonsgegevens aanwezig zijn op werkplekken, in vergaderruimtes, bij printers of kopieer apparaten of in niet-afgesloten papierbakken. Op deze manier kan de verantwoordelijke vaststellen of de gedragsregels voor de omgang met documenten met gevoelige persoonsgegevens effectief zijn en afdoende bekend zijn gemaakt binnen de organisatie. • Social engineering tests In deze tests proberen experts per telefoon of per e-mail om, vaak onder valse voorwendselen, persoonsgegevens ‘los te krijgen’. Door dergelijke tests uit te laten voeren kan de verantwoordelijke vaststellen in hoeverre gedragsregels voor het verstrekken van persoonsgegevens daadwerkelijk worden nageleefd.
85 86 87 88
26
CBP Richtsnoeren
Kamerstukken II 1997-1998, 25 892, nr. 3, p. 48. Kamerstukken II 1997-1998, 25 892, nr. 3, p. 49. Deze maatregel wordt nader uitgewerkt in NEN-ISO/IEC 27002:2007 nl, paragraaf 15.2.1. Deze maatregel wordt nader uitgewerkt in NEN-ISO/IEC 27002:2007 nl, paragraaf 15.2.2.
480
• Beoordeling van de beveiligingsmaatregelen in toepassingssystemen89 De verantwoordelijke laat een code review (een inspectie van de programmacode) uitvoeren om vast te stellen of de beveiligingsmaatregelen die zijn ingebouwd in de toepassingssystemen nog steeds toereikend zijn of dat deze bijvoorbeeld moeten worden aangepast aan de stand van de techniek of aan de nieuwste inzichten in de informatiebeveiliging. Bij toepassingen die worden onderhouden door een externe partij worden daarnaast ook de werkzaamheden van deze derde partij beoordeeld: hoe snel verhelpt deze bijvoorbeeld geconstateerde kwetsbaarheden of beveiligingslekken in het toepassingssysteem? • Tests van nieuwe en gewijzigde informatiesystemen90 De bekendste vorm hiervan is waarschijnlijk de penetratietest, waarin experts proberen om de beveiliging van een informatiesysteem te doorbreken. Over het algemeen gaat hier een aantal andere tests aan vooraf, waarin de experts per informatiesysteem of per subsysteem vaststellen of de gespecificeerde beveiligingsmaatregelen daadwerkelijk zijn getroffen. De functie van de pene tratietest is vooral het blootleggen van onvoorziene risico’s of zwakke plekken in de beveiliging. • Beveiligingsassessments In dergelijke assessments wordt vastgesteld in hoeverre de gekozen beveiligingsmaatregelen daad werkelijk zijn geïmplementeerd en worden nageleefd. Bovengenoemde controlemiddelen kunnen hier deel van uitmaken. Nader bekeken
Papier hier… Onderstaand wordt ingegaan op de beveiliging van persoonsgegevens die op papier worden verwerkt en wordt aangegeven hoe de controle op naleving past binnen het totaal aan beveiligingsmaatregelen. De meeste organisaties verwerken persoonsgegevens niet alleen in geautomatiseerde systemen maar ook op papier. Bij dat laatste gaat het niet alleen om papieren dossiers maar bijvoorbeeld ook om documenten uit een elektronisch dossier die worden uitgeprint om ze in een vergadering te bespreken. Als de organisatie hier onvoldoende zorgvuldig mee omgaat, kunnen er ondanks alle overige beveiligingsmaatregelen alsnog persoonsgegevens weglekken. Preventieve maatregelen bestaan allereerst uit het opstellen en binnen de organisatie bekend maken van gedragsregels. Middelen waarvan de organisatie gebruik kan maken bij een veilige omgang met persoonsgegevens op papier zijn afsluitbare dossierkasten en papierversnipperaars of afsluitbare prullen bakken voor vertrouwelijke stukken, waarvan de inhoud door een gespecialiseerd bedrijf wordt verwijderd en vernietigd. Controle op de naleving van de gedragsregels is noodzakelijk, met name voor organisaties die gevoelige gegevens op papier verwerken. Door werkplekcontroles wordt vastgesteld dat er aan het einde van de werkdag geen documenten met gevoelige persoonsgegevens op werkplekken zijn achter gebleven, dat er geen gevoelige informatie bij printers of kopieerapparaten of in vergaderkamers ligt en dat alle dossierkasten zijn afgesloten. Deze controle is extra belangrijk als de organisatie gebruikmaakt van een locatie die toegankelijk is voor het publiek, zoals een gemeentehuis, of die gedeeld wordt met andere organisaties.
3.4
Evaluatie en aanpassing In de evaluatie bepaalt de verantwoordelijke onder meer of de vastgestelde betrouwbaarheidseisen nog steeds aansluiten bij de risico’s die de verwerking en de aard van de te verwerken gegevens met zich meebrengen en of door de getroffen maatregelen nog steeds aan de betrouwbaarheidseisen wordt voldaan. De verantwoordelijke stelt periodiek, of wanneer de omstandigheden daar aanleiding toe geven, vast of de getroffen “technische en organisatorische maatregelen” nog steeds een “passend beveiligingsniveau [garanderen]”.91 (“Met zich ontwikkelende techniek zal periodiek een nieuwe afweging moeten worden gemaakt.”)92 Waar nodig voert hij aanpassingen door.
89 90 91 92
Deze maatregel wordt nader uitgewerkt in NEN-ISO/IEC 27002:2007 nl, paragraaf 12.5.5. Deze maatregel wordt nader uitgewerkt in NEN-ISO/IEC 27002:2007 nl, paragraaf 10.3.2. Artikel 13 Wbp. Kamerstukken I 1999-2000, 25 892, nr. 92c, p. 15.
481
Beveiliging van persoonsgegevens
27
3 beveiliging in de praktijk
Bij grote veranderingen in de organisatie of in de informatiesystemen stelt de verantwoordelijke vast of het bestaande pakket aan beveiligingsmaatregelen nog steeds voldoet aan het vereiste beveiligings niveau. Voorbeelden van dergelijke veranderingen zijn: • Nieuwe locatie De organisatie verhuist van een eigen gebouw, dat met elektronische toegangspasjes was beveiligd, naar werkplekken in een open kantoortuin die wordt gedeeld met medewerkers van een andere organisatie. • Nieuwe taken De organisatie krijgt nieuwe taken, waardoor er per betrokkene veel meer persoonsgegevens worden verwerkt. • Nieuwe functionaliteit De organisatie besluit om een internetportaal te creëren waarmee betrokkenen inzage kunnen krijgen in de persoonsgegevens die de organisatie van hen verwerkt. • Nieuwe werkwijze en technologie De organisatie introduceert ‘het nieuwe werken’, wat onder meer inhoudt dat medewerkers hun eigen apparatuur aan kunnen sluiten op het interne netwerk van de organisatie. Waar nodig stelt de verantwoordelijke de betrouwbaarheidseisen bij op basis van de nieuwe situatie en/of past hij het pakket beveiligingsmaatregelen aan. Verder kunnen de stand van de techniek en de kosten van de uitvoering van beveiligingsmaatregelen in de loop van de tijd veranderen. Ook kan de aard van de verwerking of van de verwerkte persoons gegevens in de loop van de tijd leiden tot nieuwe of andere risico’s voor de betrokkenen, bijvoorbeeld als gevolg van maatschappelijke ontwikkelingen. Om te kunnen blijven spreken van passende maatre gelen, of van die maatregelen die in redelijkheid mogen worden verwacht, is het dan ook noodzakelijk om periodiek te bepalen of de vastgestelde betrouwbaarheidseisen nog steeds aansluiten bij de risico’s die de verwerking en de aard van de te beschermen gegevens met zich meebrengen en de beveiligings maatregelen waar nodig bij te stellen. Bij dit laatste neemt de verantwoordelijke ook de getrokken lessen uit de opgetreden beveiligingsincidenten mee.
28
CBP Richtsnoeren
482
4 BEVEILIGING BIJ VERWERKING DOOR EEN BEWERKER Veel verantwoordelijken (organisaties die persoonsgegevens verwerken) laten hun persoonsgegevens verwerken door een zogeheten bewerker. Van verwerking door een bewerker is bijvoorbeeld sprake bij gebruik van een extern callcenter voor klantcontacten, bij het verwerken van persoonsgegevens in de cloud of bij externe hosting van een website waarbij persoonsgegevens worden verwerkt.93 94 95 Dit hoofdstuk geeft weer hoe het CBP de beveiliging van persoonsgegevens beoordeelt bij verwerking door een bewerker. Het hoofdstuk moet worden gelezen in samenhang met hoofdstuk 3: hoofdstuk 3 geeft in het algemeen weer hoe het CBP de beveiliging van persoonsgegevens beoordeelt en hoofdstuk 4 bevat de specifieke uitgangspunten voor verwerking door een bewerker. 4.1
Risicoanalyse van verwerking door een bewerker De verantwoordelijke voert een risicoanalyse uit betreffende de verwerking door een bewerker. In de risicoanalyse stelt de verantwoordelijke vast of en zo ja, onder welke voorwaarden, de bewerker “voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen” en de verantwoordelijke voldoende in staat is om “toe [te zien] op de naleving van die maatregelen.”96 Verder stelt hij vast of en zo ja, onder welke voorwaarden, er voldoende waarborgen zijn dat de bewerker “de verplichtingen nakomt die op de verantwoordelijke rusten ingevolge artikel 13.”97 In de risicoanalyse betrekt de verantwoordelijke in ieder geval de gangbaarste dreigingen en kwets baarheden die samenhangen met verwerking door een bewerker en de mogelijke gevolgen voor de betrokkenen. Welke dreigingen en kwetsbaarheden in een specifieke situatie daadwerkelijk aanwezig zijn, hangt onder meer af van de aard van de dienstverlening. Het vervolg van deze paragraaf geeft de gangbaarste dreigingen en kwetsbaarheden weer die samenhangen met de verwerking van persoons gegevens door een bewerker. Als de bewerker onvoldoende beveiligingsmaatregelen treft, dan kan dat leiden tot verlies of onrecht matige verwerking van de verwerkte persoonsgegevens. Onder meer zijn hier de volgende kwetsbaar heden te onderkennen: • Onvoldoende beveiliging van de verwerkte persoonsgegevens Verwerking door een bewerker betekent dat de verantwoordelijke, behalve de bewerking zelf, ook de beveiliging van de verwerkte persoonsgegevens uit handen geeft. Als de verantwoordelijke bij voorbeeld gebruikmaakt van de diensten van een hostingprovider, dan zal deze ook een groot deel van de beveiliging van de betreffende website voor zijn rekening nemen.98 Daarbij gaat het onder meer om maatregelen zoals logging en controle (het vastleggen van belangrijke gebeurtenissen en het controleren op tekenen van onrechtmatige toegang tot de verwerkte gegevens) en het up-todate houden van de systeemprogrammatuur op de webserver. Dit zijn beveiligingsmaatregelen die de verantwoordelijke niet zelf kan treffen, omdat hij slechts in beperkte mate toegang heeft tot de webserver en in veel gevallen ook de benodigde expertise mist. Als de bewerker hierin tekortschiet, kan dat leiden tot verlies of onrechtmatige verwerking van de verwerkte persoonsgegevens.
93 Het CBP heeft een zienswijze uitgebracht waarin een aantal vragen over cloud computing wordt beantwoord. CBP, Zienswijze inzake de toepassing van de Wet bescherming persoonsgegevens bij een overeenkomst met betrekking tot cloud computing diensten van een Amerikaanse leverancier, 7 augustus 2012 (http://www.cbpweb.nl/Pages/med_20120910-zienswijze-cbp-cloudcomputing.aspx). 94 Het onafhankelijk overlegorgaan van de privacytoezichthouders van de lidstaten van de Europese Unie heeft een advies uitgebracht over de privacyaspecten van cloud computing. Groep Gegevensbescherming Artikel 29 (WP29), Advies 05/2012 over Cloud Computing, Goedgekeurd op 1 juli 2012 (http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp196_nl.pdf ). 95 Het NCSC heeft een publicatie uitgebracht over cloud computing en beveiliging. NCSC, Cloud computing & security, januari 2012 (https://www.ncsc.nl/dienstverlening/expertise-advies/kennisdeling/whitepapers/whitepaper-cloudcomputing.html). 96 Artikel 14 lid 1 Wbp. 97 Artikel 14 lid 3 sub b Wbp. 98 Een hostingprovider stelt webruimte ter beschikking aan partijen die een website op het internet willen plaatsen en die geen gebruik kunnen of willen maken van een eigen webserver.
483
Beveiliging van persoonsgegevens
29
4
beveiliging bij verwerking door een bewerker
• Onvoldoende beveiliging van de dienstverlening door de bewerker De bewerker biedt in veel gevallen faciliteiten waarmee de verantwoordelijke de persoonsgegevens kan uploaden die door de bewerker moeten worden bewerkt of waarmee de verantwoordelijke de verwerkte persoonsgegevens kan raadplegen of aanpassen. Onvoldoende beveiliging van deze faciliteiten kan leiden tot verlies of onrechtmatige verwerking van de persoonsgegevens. Praktijkvoorbeeld
Beveiligingsincidenten bij verwerking door een bewerker Onderstaande voorbeelden illustreren de dreiging van onvoldoende beveiliging van de verwerkte gegevens door de bewerker. De onderstaande praktijkvoorbeelden kwamen in 2012 in het nieuws: • Door een beveiligingsfout in een website kan een hacker zich toegang verschaffen tot de server waarop de website zich bevindt. Op de server treft de hacker ruim 150 databases aan die toebehoren aan verschillende organisaties, waaronder een database met 12.000 e-mailadressen die afkomstig zijn uit een marketingactie. De databases zijn allemaal volledig toegankelijk als gevolg van een menselijke fout van de ICT-dienstverlener die de server beheert. • Een hacker breekt in bij een online verkoper van theaterkaarten. Hij ontdekt op de server een database die zonder wachtwoord te benaderen is, met daarin ruim vierenhalfmiljoen databaseregels die onder meer (deels verouderde) creditcardgegevens bevatten. Hij constateert dat de database zonder wachtwoord toegankelijk is als gevolg van aanpassingen op de server die zijn uitgevoerd bij een eerdere hack. De ICT-dienstverlener die de server beheert, heeft de eerdere hack niet bemerkt. Naast onvoldoende beveiliging kan onvoldoende transparantie van de kant van de bewerker ertoe leiden dat de verantwoordelijke niet voldoet aan zijn wettelijke verplichtingen. Hierbij zijn onder meer de volgende situaties te onderkennen: • Onvoldoende transparantie over de beveiliging De verantwoordelijke moet zorgen dat de bewerker voldoende technische en organisatorische beveiligingsmaatregelen treft en hij moet toezien op de naleving. Als de verantwoordelijke onvol doende inzicht heeft in het geboden beveiligingsniveau of als hij niet vast kan stellen of de bewer ker de overeengekomen beveiligingsmaatregelen daadwerkelijk heeft getroffen, dan kan hij niet aan deze wettelijke verplichting voldoen. Ook kan hij ten onrechte veronderstellen dat de bewerker bepaalde beveiligingsmaatregelen heeft getroffen, wat kan leiden tot verlies of onrechtmatige verwerking van de verwerkte persoonsgegevens. • Onvoldoende transparantie over opgetreden beveiligingsincidenten Als de bewerker de verantwoordelijke niet tijdig en adequaat informeert over opgetreden beveili gingsincidenten, dan kan dat tot gevolg hebben dat de betreffende persoonsgegevens onrechtmatig worden verwerkt. Als een hostingprovider de verantwoordelijke bijvoorbeeld niet informeert over een inbraak in diens online database met creditcardgegevens, dan kan de verantwoordelijke vervol gens de betrokkenen niet informeren en zullen de betrokkenen hun creditcard pas laten blokkeren wanneer ze constateren dat er ten onrechte bedragen van hun rekening worden afgeschreven. Dit stelt de dief onnodig lang in staat om te frauderen met de gestolen creditcardgegevens. Naast onvoldoende beveiliging en onvoldoende transparantie kan het aanpassen of staken van de dienstverlening onder meer leiden tot verlies van de verwerkte persoonsgegevens: • Onvoldoende continuïteit van de dienstverlening door de bewerker Overname of faillissement van de bewerker kunnen ertoe leiden dat de bewerker zijn dienst verlening aanpast of staakt. Het gevolg kan onder meer zijn dat de persoonsgegevens die de bewerker verwerkte tijdelijk of permanent niet meer toegankelijk zijn voor de verantwoordelijke. • Onvoldoende portabiliteit van de verwerkte persoonsgegevens Bewerkers maken bij het verwerken van persoonsgegevens niet altijd gebruik van standaard technologieën en -oplossingen. Door de bewerker verwerkte persoonsgegevens kunnen daardoor niet altijd zonder meer overgebracht worden naar een database van een andere bewerker of van de verantwoordelijke zelf. Als de bewerker zijn dienstverlening staakt, kan dit betekenen dat de verwerkte persoonsgegevens verloren gaan.
30
CBP Richtsnoeren
484
Praktijkvoorbeeld
Faillissement clouddienstverlener Onderstaand praktijkvoorbeeld illustreert de dreiging van onvoldoende continuïteit van de dienstverlening door de bewerker. Een Nederlandse clouddienstverlener biedt een aantal huisartseninformatiesystemen aan. Afnemers van de diensten kunnen deze informatiesystemen gebruiken om op de servers van het bedrijf hun patiëntendossiers bij te houden. Honderden huisartsenpraktijken en zorgcentra maken gebruik van deze diensten en in totaal beheert de dienstverlener zo’n anderhalf tot twee miljoen elektronische patiëntendossiers. Als de dienstverlener failliet dreigt te gaan, ontstaat er onder de afnemers van de diensten grote onrust. Niet alleen zijn de klanten bang dat ze niet meer bij hun gegevens kunnen, maar ook de communicatie met verzekeraars over registraties en declaraties dreigt te stagneren als de huisartseninformatiesystemen niet meer beschikbaar zijn. Een aantal klanten van de dienstverlener, tevens lid van gebruikersverenigingen van de betreffende systemen, besluit in allerijl om de door de clouddienstverlener verwerkte gegevens elders onder te brengen. Ook Kamerleden maken zich zorgen, onder meer over wat er bij een eventuele overname met de patiëntgegevens gebeurt en wat dit betekent voor de privacy van de betrokkenen. Uiteindelijk wordt er een passende overnamepartij gevonden. Bewerkers kunnen bij het uitvoeren van hun dienstverlening gebruikmaken van de diensten van sub bewerkers, die zelf ook weer bewerkers kunnen inschakelen. Bij bewerking door subbewerkers zijn de bovengenoemde dreigingen en kwetsbaarheden in versterkte mate aanwezig. Dit geldt in ieder geval voor: • Onvoldoende beveiliging door de subbewerker(s) Om voor de verwerking als geheel te kunnen spreken van een adequaat beveiligingsniveau, moe ten de bewerker en de eventuele subbewerkers de juiste beveiligingsmaatregelen treffen en moeten de beveiligingsmaatregelen gezamenlijk de belangrijkste dreigingen afdekken. Naarmate het aantal subbewerkers toeneemt, wordt ook de kans groter op lacunes in de beveiliging.99 • Onvoldoende transparantie over de verwerking en de beveiliging door de subbewerker(s) Om aan zijn wettelijke verplichtingen te kunnen voldoen moet de verantwoordelijke voldoende inzicht hebben in welke subbewerkers welke taken uitvoeren bij de verwerking en in het daarbij ge boden beveiligingsniveau. Als hij hier niet voldoende inzicht in heeft of als hij niet vast kan stellen of alle subbewerkers de overeengekomen beveiligingsmaatregelen daadwerkelijk hebben getroffen, kan hij niet aan deze wettelijke verplichting voldoen. Ook kan hij dan ten onrechte veronderstellen dat een subbewerker bepaalde beveiligingsmaatregelen heeft getroffen, wat kan leiden tot verlies of onrechtmatige verwerking van de verwerkte persoonsgegevens.
Praktijkvoorbeeld
Stroomstoring bij een subbewerker Onderstaand voorbeeld geeft weer hoe een bewerker afhankelijk kan zijn van een subbewerker. Een clouddienstverlener biedt kantoorautomatiseringsapplicaties aan. Afnemers van de diensten kunnen met deze applicaties onder meer hun klantenbestand beheren. De gegevens worden opgeslagen in databases van de dienstverlener. Voor de opslag van de gegevens maakt de clouddienstverlener gebruik van de diensten van een subbewerker, een grote aanbieder van gegevensopslag in de cloud. Een blikseminslag in een transformator in de buurt van een van de datacentra van de subbewerker veroorzaakt een explosie waarna brand uitbreekt, met als gevolg dat de subbewerker ook zijn noodgeneratoren niet op kan starten en de stroom volledig uitvalt. Doordat de servers van de subbewerker niet beschikbaar zijn, kunnen ook de kantoorautomatiseringsapplicaties van de clouddienstverlener een aantal uren niet worden gebruikt. Uiteindelijk blijkt de schade bij de subbewerker zo groot te zijn dat deze er niet in slaagt om alle gegevens terug te halen.
99 Zie ook WP29, Advies 1/2010 over de begrippen “voor de verwerking verantwoordelijke” en “verwerker”, p. 31-32: “De richtlijn belet geenszins dat om organisatorische redenen meerdere entiteiten als gegevensverwerker of (sub-)verwerker worden aangewezen of dat de desbetreffende taken worden onderverdeeld. Zij moeten zich echter allen bij de verwerking houden aan de opdrachten van de voor de verwerking verantwoordelijke. […] Het strategische punt is hier dat – wanneer meerdere partijen bij het proces betrokken zijn – de verplichtingen en verantwoordelijkheden uit de wetgeving duidelijk behoren te worden belegd en niet versnipperd mogen raken over de keten van uitbesteding/onderaanneming.” (http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp169_nl.pdf ).
485
Beveiliging van persoonsgegevens
31
4
beveiliging bij verwerking door een bewerker
Naast de verwerking door subbewerkers is een tweede aandachtspunt de verwerking van persoons gegevens buiten Nederland. Hiervan is sprake in de volgende situaties: • Bewerker (deels) buiten Nederland De verantwoordelijke stelt persoonsgegevens ter beschikking aan een bewerker die is gevestigd buiten Nederland of die een of meer vestigingen heeft buiten Nederland, om deze gegevens daar door de bewerker te laten verwerken. • Subbewerker (deels) buiten Nederland De bewerker stelt persoonsgegevens ter beschikking aan een subbewerker die is gevestigd buiten Nederland of die een of meer vestigingen heeft buiten Nederland, om deze gegevens daar door de subbewerker te laten verwerken. • Cloud computing met gegevensopslag buiten Nederland De verantwoordelijke, de bewerker of een of meer subbewerkers maken gebruik van cloud com puting, waarbij persoonsgegevens worden opgeslagen buiten Nederland. Bij verwerking van persoonsgegevens buiten Nederland moet in de risicoanalyse rekening worden gehouden met het volgende: • Niet-naleving van de Wbp De Wbp bevat regels voor doorgifte van persoonsgegevens aan landen buiten de Europese Unie. Het is aan de verantwoordelijke om te zorgen dat deze worden nageleefd.100 De regels voor door gifte van persoonsgegevens vallen buiten het bestek van deze richtsnoeren.101 • Onvoldoende beveiliging, transparantie, continuïteit en/of portabiliteit Bij verwerking van persoonsgegevens buiten Nederland kunnen alle eerder in deze paragraaf genoemde dreigingen en kwetsbaarheden in versterkte mate aanwezig zijn. Dit geldt met name voor de mate waarin de verantwoordelijke vast kan stellen of afgesproken beveiligingsmaatregelen daadwerkelijk zijn getroffen. De geografische afstand kan dusdanig zijn dat de verantwoordelijke dit niet zelf kan onderzoeken, waardoor hij afhankelijk wordt van voldoende gekwalificeerde, lokale partijen die dit namens hem vast kunnen stellen. 4.2
Afspraken in de bewerkersovereenkomst De verantwoordelijke stelt vast welke beveiligingsmaatregelen de bewerker moet treffen om aan de betrouwbaarheidseisen te voldoen en op welke wijze de verantwoordelijke toeziet op naleving. De afspraken hierover legt hij vast in de overeenkomst met de bewerker. “[De verantwoordelijke] draagt zorg dat [de bewerker] voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen.”102 “De verantwoordelijke draagt zorg dat de bewerker de persoonsgegevens verwerkt in overeenstemming met artikel 12, eerste lid en de verplichtingen nakomt die op de verantwoordelijke rusten ingevolge artikel 13.” 103 “De uitvoering van verwerkingen door een bewerker wordt geregeld in een overeenkomst of krachtens een andere rechtshandeling waardoor een verbintenis ontstaat tussen de bewerker en de verantwoordelijke.”104 “Met het oog op het bewaren van het bewijs worden de onderdelen van de overeenkomst of de rechtshandeling die betrekking hebben op de bescherming van persoonsgegevens, alsmede de beveiligingsmaatregelen als bedoeld in artikel 13 schriftelijk of in een andere, gelijkwaardige vorm vastgelegd.”105 Bij de beoordeling hanteert het cbp de volgende uitgangspunten: • Beveiligingseisen in de bewerkersovereenkomst106 Er is een bewerkersovereenkomst waarin alle relevante afspraken zijn vastgelegd over de beveili gingsmaatregelen die de bewerker moet treffen en over de wijze waarop de verantwoordelijke toeziet op naleving. 100 Artikel 76, 77 en 78 Wbp. 101 Meer informatie is beschikbaar op de website van het CBP. CBP, Regels voor doorgifte van persoonsgegevens (http://www.cbpweb.nl/Pages/th_doo_regels.aspx) 102 Artikel 14 lid 1 Wbp. 103 Artikel 14 lid 3 Wbp. 104 Artikel 14 lid 2 Wbp. 105 Artikel 14 lid 5 Wbp. 106 Deze maatregel wordt nader uitgewerkt in NEN-ISO/IEC 27002:2007 nl, paragraaf 6.2.3.
32
CBP Richtsnoeren
486
• Differentiatie van de verwerkte persoonsgegevens107 Het kan voorkomen dat niet alle persoonsgegevens die de bewerker verwerkt even gevoelig zijn en dat niet voor alle verwerkte persoonsgegevens dezelfde afspraken van toepassing zijn. In de bewerkersovereenkomst is in dergelijke gevallen vastgelegd welke afspraken van toepassing zijn op welke persoonsgegevens. Praktijkvoorbeeld
Noodstroomvoorziening en afspraken in het bewerkerscontract Onderstaand voorbeeld illustreert hoe specifieke afspraken in de bewerkersovereenkomst de dienstverlening door de bewerker kunnen beïnvloeden. Een datacentrum wordt getroffen door een stroomstoring, die iets minder dan drie kwartier duurt. Het datacentrum beschikt over verschillende noodstroomvoorzieningen in de vorm van een uninterruptible power supply (UPS) en dieselaggregaten. In een van de datahallen verloopt de overgang op noodstroom niet helemaal soepel: de batterijen van de noodstroomvoorziening houden er na zes seconden mee op en het duurt twintig seconden voordat het dieselaggregaat is aangeslagen. Een aantal websites dat gebruikmaakt van servers in de getroffen datahal is na veertien seconden weer online. Bij andere klanten, waaronder een groot sociaal netwerk, duurt dit aanzienlijk langer. Het verschil wordt bepaald door de afspraken die de klanten in het bewerkerscontract hebben gemaakt over de noodstroomvoorziening. Websites van klanten die hebben gekozen voor een zogenoemde dubbele voeding komen weer online op het moment dat het dieselaggregaat aanslaat; de overige klanten moeten handmatig worden overgezet op noodstroom en voor hen duurt de storing ruim een uur. Bij de beoordeling van de afspraken in de bewerkersovereenkomst betrekt het cbp in ieder geval de volgende onderwerpen: • De dienstverlening door de bewerker Omschrijving van de dienst(en) die de bewerker verleent en de persoonsgegevens die de bewerker daarbij verwerkt (eventueel gedifferentieerd op basis van gevoeligheid). Verder wordt omschreven welke (groepen) medewerkers van de bewerker toegang hebben tot welke persoonsgegevens en welke handelingen deze medewerkers uit mogen voeren met de persoonsgegevens. Er is een ex pliciet verbod opgenomen om andere handelingen met de persoonsgegevens uit te voeren dan wat hier is omschreven. • De betrouwbaarheidseisen die op de verwerking van toepassing zijn Weergave van de betrouwbaarheidseisen die op de verwerking van toepassing zijn, waar van toe passing gedifferentieerd op basis van de gevoeligheid van de verwerkte persoonsgegevens. • De beveiliging door de bewerker Afspraken over de technische en organisatorische beveiligingsmaatregelen waarmee de bewerker invulling geeft aan de betrouwbaarheidseisen. Deze maatregelen liggen in het verlengde van de beveiligingsmaatregelen die de verantwoordelijke moet treffen. Deze worden nader toegelicht in paragraaf 3.2 van deze richtsnoeren.108 • Transparantie over de beveiliging Afspraken over de inhoud en de frequentie van de rapportages die de bewerker aan de verant woordelijke oplevert over de beveiliging; omschrijving van het recht van de verantwoordelijke om de naleving van de beveiligingsmaatregelen door onafhankelijke deskundigen vast te laten stellen. Onafhankelijke deskundigen kunnen bijvoorbeeld it-auditors of penetratietesters zijn. • Transparantie over opgetreden beveiligingsincidenten Afspraken over de inhoud van rapportages over beveiligingsincidenten en datalekken, de criteria voor rapportage van incidenten en de snelheid waarmee wordt gerapporteerd. In de afspraken is opgenomen dat de bewerker beveiligingsincidenten en datalekken die (mogelijk) gevolgen hebben voor betrokkenen meteen rapporteert en dat de bewerker waar nodig ook meewerkt aan het ade quaat informeren van de betrokkenen.
107 Deze maatregel wordt nader uitgewerkt in NEN-ISO/IEC 27002:2007 nl, paragraaf 7.2. 108 Bij gebruik van specifieke vormen van dienstverlening kunnen aanvullende afspraken in het bewerkerscontract noodzakelijk zijn. Zie bijvoorbeeld voor afspraken over (technische) beveiligingsmaatregelen in bewerkersovereenkomsten met betrekking tot cloud computing: ENISA, Procure Secure – A guide to monitoring of security service levels in cloud contracts (http://www.enisa.europa.eu/activities/Resilience-and-CIIP/cloud-computing/procure-secure-a-guide-to-monitoring-of-securityservice-levels-in-cloud-contracts).
487
Beveiliging van persoonsgegevens
33
4
beveiliging bij verwerking door een bewerker
• Verwerking door subbewerkers Afspraken over het al dan niet toestaan van verwerking door subbewerkers, met daarbij de even tuele beperkingen. Beperkingen zijn bijvoorbeeld dat de bewerker subbewerkers mag inschakelen maar dat de subbewerkers geen subsubbewerkers in mogen schakelen of dat bij de verwerking van specifieke klassen van persoonsgegevens geen subbewerkers mogen worden ingeschakeld. Als bewerking door subbewerkers is toegestaan, dan is in de bewerkersovereenkomst opgenomen dat met de subbewerkers overeenkomsten moeten worden afgesloten en dat alle verplichtingen uit het bewerkerscontract die relevant zijn voor de beveiliging van de verwerkte persoonsgegevens daarin moeten worden overgenomen. • Verwerking van de persoonsgegevens buiten Nederland Afspraken over welke persoonsgegevens in welke landen worden verwerkt. • Voorwaarden voor heronderhandeling of beëindiging van de overeenkomst Afspraken over heronderhandeling van de bewerkersovereenkomst als een wijziging in de verwerkte persoonsgegevens of in de betrouwbaarheidseisen daar aanleiding toe geeft. Bij de afspraken is ook een noodplan opgenomen voor het geval een van de partijen de relatie wil beëindigen voor het einde van de looptijd van de overeenkomst. Verder is vastgelegd hoe en in welke vorm de verantwoordelijke de verwerkte persoonsgegevens weer ter beschikking krijgt en hoe wordt geborgd dat de bewerker na het beëindigen van de relatie niet meer over de persoons gegevens kan beschikken. Zoals aangegeven moet de bewerker als hij gebruikmaakt van subbewerkers, met deze subbewerkers overeenkomsten afsluiten. In deze overeenkomsten moeten bovengenoemde onderwerpen worden afgedekt en moeten alle bepalingen uit het bewerkerscontract worden overgenomen die relevant zijn voor de beveiliging van de verwerkte persoonsgegevens. Bewerkers die gevestigd zijn buiten de eu of die persoonsgegevens verwerken buiten de eu, hebben in veel gevallen maatregelen getroffen om de doorvoer van persoonsgegevens vanuit de eu mogelijk te maken. Een voorbeeld van een dergelijke maatregel, die door Amerikaanse bedrijven wordt ge bruikt, is certificering van de bewerker op basis van het Safe Harbor-raamwerk.109 Deze maatregelen worden getroffen in aanvulling op bovenstaande beveiligingsmaatregelen en vormen op zichzelf geen waarborg voor de adequate beveiliging van de verwerkte persoonsgegevens. Evenmin biedt de Safe Harbor-certificering zekerheid over de waarborgen bij de eventuele subbewerkers. 4.3
Toezicht op naleving van de afspraken De verantwoordelijke stelt vast dat de afspraken in de bewerkersovereenkomst daadwerkelijk worden nageleefd. “De verantwoordelijke ziet toe op de naleving van [de technische en organisatorische beveiligingsmaatregelen door de bewerker].”110 Bij de beoordeling van het toezicht op naleving van de gemaakte afspraken onderkent het cbp in ieder geval de volgende kernpunten: • Controle en beoordeling van de dienstverlening door de bewerker111 De verantwoordelijke stelt vast dat de afspraken uit de bewerkersovereenkomst daadwerkelijk worden nageleefd. Hij stelt in ieder geval vast dat de bewerker overeengekomen rapportages daad werkelijk levert en beoordeelt deze ook inhoudelijk. Verder maakt hij om voldoende zekerheid te krijgen over de naleving gebruik van bijvoorbeeld audits of andere onderzoeken door onafhanke lijke partijen. • Beoordeling en afhandeling van beveiligingsincidenten en datalekken112 De verantwoordelijke beoordeelt de beveiligingsincidenten en datalekken die worden gerappor teerd door de bewerker of door eventuele subbewerkers. Datalekken die onder een wettelijke
109 Export.gov, U.S.-EU Safe Harbor (http://export.gov/safeharbor/eu/index.asp). 110 Artikel 14 lid 1 Wbp. 111 Deze maatregel wordt nader uitgewerkt in NEN-ISO/IEC 27002:2007 nl, paragraaf 10.2.2. 112 Deze maatregel wordt nader uitgewerkt in NEN-ISO/IEC 27002:2007 nl, paragraaf 13.1.2.
34
CBP Richtsnoeren
488
meldplicht vallen, meldt hij bij de betreffende toezichthouder. Als hij daartoe wettelijk verplicht is of als er anderszins aanleiding voor is, informeert hij ook de betrokkenen over het beveiligingsincident of het datalek. • Beheer van wijzigingen in de dienstverlening door de bewerker113 De verantwoordelijke stelt periodiek vast dat de beveiligingsmaatregelen die met de bewerker zijn overeengekomen nog steeds aantoonbaar overeenstemmen met de betrouwbaarheidseisen en neemt het initiatief tot aanpassing als dat niet meer het geval is. Van wijzigingen die de bewerker initieert stelt de verantwoordelijke vast dat na implementatie nog steeds aan de betrouwbaarheids eisen wordt voldaan. Nader bekeken
Controle en beoordeling van de dienstverlening door de bewerker Effectieve controle en beoordeling van de dienstverlening vereisen een samenspel tussen twee partijen: de verantwoordelijke, die daadwerkelijk moet controleren en beoordelen, en de bewerker, die de verantwoordelijke daartoe de mogelijkheid moet bieden. Naast rapportages door de bewerker en onderzoek door een onafhankelijke derde in opdracht van de verantwoordelijke, staat beide partijen daarbij nog een aantal andere instrumenten ter beschikking. Deze instrumenten worden onderstaand toegelicht. Het eerste instrument is de Third Party Mededeling (TPM). Een TPM is een verklaring van een onafhankelijke externe deskundige, waarin deze een oordeel geeft over de maatregelen die een bewerker heeft getroffen. De TPM wordt opgesteld in opdracht van de bewerker en wordt verstrekt aan de verantwoordelijken die gebruikmaken van de diensten van de bewerker. Het doel van het verstrekken van een TPM is om de verantwoordelijken inzicht te bieden in de getroffen maatregelen, zonder dat iedere verantwoordelijke daar zelf onderzoek naar hoeft te (laten) doen. Afspraken over te verstrekken TPM’s worden vastgelegd in het bewerkerscontract. Het tweede instrument is certificering. Certificering houdt in dat de maatregelen van de bewerker door een geaccrediteerde onafhankelijke externe deskundige worden getoetst aan een norm. Relevante normen in dit verband zijn NEN-ISO/IEC 27001:2005 nl, die betrekking heeft op de wijze waarop de bewerker de informatiebeveiliging stuurt en beheerst, en NEN-ISO-IEC 20000-1:2011 en, die betrekking heeft op de sturing en beheer sing van de dienstverlening door de bewerker. Certificering vindt plaats op initiatief van de bewerker. Als de verantwoordelijke dit instrument in wil zetten, kiest hij voor een bewerker die tegen de relevante norm(en) is gecertificeerd. Het is aan de verantwoordelijke om voor zijn specifieke situatie vast te stellen hoe veel zekerheid hij aan het gebruik van deze instrumenten kan ontlenen en of hij met alle middelen die hij tot zijn beschikking heeft in staat is om te voldoen aan zijn wettelijke verplichting om toezicht te houden op de naleving van de technische en organisatorische beveiligingsmaatregelen door de bewerker.
4.4
Evaluatie en aanpassing van verwerking door een bewerker De verantwoordelijke voert periodiek een evaluatie uit van de bewerking door een bewerker en past deze bewerking waar nodig aan. Als zich tussentijds grote veranderingen voordoen, beoordeelt hij deze en voert hij de eventueel noodzakelijke aanpassingen door. De verantwoordelijke stelt periodiek, of wanneer de omstandigheden daar aanleiding toe geven, vast of er nog steeds sprake is van “voldoende waarborgen […] ten aanzien van de technische en organisatorische beveiligingsmaatregelen”114 en of de bewerker nog steeds “de verplichtingen nakomt die op de verantwoordelijke rusten ingevolge artikel 13.”115 Waar nodig voert hij aanpassingen door. Bij grote veranderingen in de dienstverlening door de bewerker en eventuele subbewerkers stelt de verantwoordelijke vast of de gemaakte afspraken nog steeds toereikend zijn. Van dergelijke verande ringen is bijvoorbeeld sprake als de bewerker wordt overgenomen of een ingrijpende aanpassing door voert in zijn algemene voorwaarden. Ook grote veranderingen bij de verantwoordelijke zelf kunnen hier aanleiding toe geven, bijvoorbeeld als in de nieuwe situatie de persoonsgegevens die de bewerker verwerkt veel gevoeliger zijn dan voorheen het geval was. 113 Deze maatregel wordt nader uitgewerkt in NEN-ISO/IEC 27002:2007 nl, paragraaf 10.2.3. 114 Artikel 14 lid 1 Wbp. 115 Artikel 14 lid 3 Wbp.
489
Beveiliging van persoonsgegevens
35
4
beveiliging bij verwerking door een bewerker
Het aanbod aan dienstverlening kan in de loop van de tijd veranderen en ook kunnen de ervaringen die de verantwoordelijke met de bewerker heeft opgedaan aanleiding zijn om voor een andere bewer ker of een andere vorm van dienstverlening te kiezen. Verder kan de aard van de verwerking of van de verwerkte persoonsgegevens in de loop van de tijd leiden tot nieuwe of andere risico’s voor de betrokkenen, bijvoorbeeld als gevolg van maatschappelijke ontwikkelingen. De verantwoordelijke voert daarom een periodieke evaluatie uit en kiest op basis daarvan zo nodig voor een andere bewerker, een andere vorm van dienstverlening of voor aanscherping van de afspraken in het bewerkerscontract. Bij dit laatste neemt de verantwoordelijke ook de getrokken lessen uit de opge treden beveiligingsincidenten mee.
36
CBP Richtsnoeren
490
5
HANDHAVING EN DE ROL VAN HET CBP Verantwoordelijken die in strijd handelen met het bepaalde in de Wbp kunnen op verschillende manieren in rechte worden aangesproken, zowel civiel-, bestuurs- als strafrechtelijk. Betrokkenen hebben een aantal mogelijkheden om zelf hun recht te halen, zowel op grond van de Wbp als op grond van het algemene bestuursrecht en het civiele recht. Daarnaast heeft het CBP als toezichthouder een aantal bestuursrechtelijke mogelijkheden om te handhaven op het bepaalde in de Wbp. 5.1
Maatregelen door betrokkenen Waar van toepassing kunnen betrokkenen zelf een belangrijke bijdrage leveren aan de beveiliging van hun persoonsgegevens, bijvoorbeeld door te kiezen voor sterke (moeilijk te raden) wachtwoorden en door gebruikte apparatuur voldoende te beveiligen. Betrokkenen die menen dat hun persoons足 gegevens onvoldoende worden beveiligd, kunnen actie ondernemen door hun vraag of klacht voor te leggen aan de verantwoordelijke. Verder kunnen zij gebruikmaken van het recht op inzage, correctie, verwijdering en verzet.116 Het recht op inzage en correctie kan betrokkenen helpen bij het achterhalen en laten corrigeren van fouten of onvolledigheden in hun persoonsgegevens. Het recht op verwijdering en verzet geeft betrokkenen onder bepaalde voorwaarden de mogelijkheid om zich te onttrekken aan verwerkingen die voor hen risicovol zijn. Het cbp heeft op www.mijnprivacy.nl concrete hulp足middelen voor betrokkenen gepubliceerd, waaronder voorbeeldbrieven aan verantwoordelijken. Als een verantwoordelijke zich niet houdt aan het bepaalde in de Wbp, kan een betrokkene ook zelf de rechter vragen om een verbod op te leggen op het verder verwerken van bepaalde persoonsgegevens117 of om hem/haar een schadevergoeding toe te kennen.118 De Wbp biedt betrokkenen daarnaast in een aantal specifieke gevallen (onder meer bij weigering van inzage in persoonsgegevens en bij weigering van een verzoek tot verbetering, aanvulling of verwijdering van gegevens) de mogelijkheid een verzoekschrift in te dienen bij de rechtbank, mits de verantwoordelijke een bedrijf of een burger is. Als de verantwoordelijke een bestuursorgaan is, zijn de bezwaar- en beroepsregels uit de Algemene wet bestuursrecht (Awb) van toepassing.
5.2
Handhaving door het cbp Het cbp heeft de wettelijke taak om toe te zien op de naleving van de Wbp.119 Daartoe beschikt het cbp over een aantal middelen. De signalen die het cbp ontvangt via de signaalfunctie op www.mijnprivacy.nl, het telefonisch spreek足 uur en per post geven een beeld van de naleving van de wettelijke regels die zien op de bescherming van persoonsgegevens en kunnen voor het cbp aanleiding zijn om een onderzoek in te stellen. Het cbp kan op grond van een klacht van een belanghebbende of op eigen initiatief een onderzoek instellen naar de naleving van de Wbp.120 Daarbij kan het cbp zijn toezichthoudende bevoegdheden inzetten,121 waarbij een verantwoordelijke verplicht is alle gevraagde medewerking te verlenen. Het cbp kan inlichtingen vorderen, inzage vorderen in zakelijke gegevens, zaken en middelen onderzoeken (waaronder computerapparatuur) en ruimtes betreden, waaronder woningen.122 Het aantal aangedragen zaken en de complexiteit daarvan neemt echter voortdurend toe, terwijl de middelen die het cbp ter beschikking staan begrensd zijn. Het cbp kan derhalve niet alle zaken die worden aangebracht in behandeling nemen en moet keuzes maken. Het cbp geeft prioriteit aan zaken waarbij het een vermoeden heeft van ernstige, structurele overtredingen die veel mensen treffen en waarbij het cbp door de inzet van handhavingsinstrumenten effectief verschil kan maken.123 Indien de Wbp niet wordt nageleefd, kan het cbp bestuursdwang toepassen. Onder een last onder be足 stuursdwang wordt verstaan het met feitelijk handelen optreden door een bestuursorgaan tegen een illegale situatie, doorgaans op kosten van de overtreder. Ook kan het cbp een last onder dwangsom opleggen. Een last onder dwangsom kan bijvoorbeeld inhouden dat een verantwoordelijke bepaalde 116 Artikelen 5, 35, 36, 37, 38, 39, 40 en 41 Wbp. 117 Artikel 50 Wbp. 118 Artikel 49 Wbp. 119 Artikel 51 Wbp. 120 Artikel 60 Wbp. 121 Voor al zijn toezichthoudende activiteiten, niet alleen bij ambtshalve onderzoeken. 122 Artikel 61 lid 2 Wbp jo. artikel 5:15 Awb. 123 CBP, Beleidsregels handhaving door het CBP (http://www.cbpweb.nl/Pages/ind_cbp-beleidsregels-cbp.aspx).
491
Beveiliging van persoonsgegevens
37
beveiligingsmaatregelen moet treffen binnen een vastgestelde termijn op straffe van een dwangsom van een bepaald bedrag per dag. Als de verantwoordelijke niet voldoet aan de last, kan het te betalen geldbedrag fors oplopen, tot een vooraf vastgesteld maximumbedrag. Het cbp werkt bij onderzoeken naar overtredingen van de Wbp met een internationaal karakter samen met collega-toezichthouders binnen en buiten de eu.
38
CBP Richtsnoeren
492
BIJLAGE: TEKST VAN DE GECITEERDE WETSARTIKELEN Deze bijlage bevat de volledige tekst van artikel 12, 13 en 14 Wbp. 1
Artikel 12 Wbp 1 Een ieder die handelt onder het gezag van de verantwoordelijke of van de bewerker, alsmede de bewerker zelf, voor zover deze toegang hebben tot persoonsgegevens, verwerkt deze slechts in opdracht van de verantwoordelijke, behoudens afwijkende wettelijke verplichtingen. 2 De personen, bedoeld in het eerste lid, voor wie niet reeds uit hoofde van ambt, beroep of wet telijk voorschrift een geheimhoudingsplicht geldt, zijn verplicht tot geheimhouding van de per soonsgegevens waarvan zij kennis nemen, behoudens voor zover enig wettelijk voorschrift hen tot mededeling verplicht of uit hun taak de noodzaak tot mededeling voortvloeit. Artikel 272, tweede lid, van het Wetboek van Strafrecht is niet van toepassing.
2
Artikel 13 Wbp De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onno dige verzameling en verdere verwerking van persoonsgegevens te voorkomen.
3
Artikel 14 Wbp 1 Indien de verantwoordelijke persoonsgegevens te zijnen behoeve laat verwerken door een be werker, draagt hij zorg dat deze voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen. De verantwoordelijke ziet toe op de naleving van die maatregelen. 2 De uitvoering van verwerkingen door een bewerker wordt geregeld in een overeenkomst of krachtens een andere rechtshandeling waardoor een verbintenis ontstaat tussen de bewerker en de verantwoordelijke. 3 De verantwoordelijke draagt zorg dat de bewerker a de persoonsgegevens verwerkt in overeenstemming met artikel 12, eerste lid en b de verplichtingen nakomt die op de verantwoordelijke rusten ingevolge artikel 13. 4 Is de bewerker gevestigd in een ander land van de Europese Unie, dan draagt de verantwoorde lijke zorg dat de bewerker het recht van dat andere land nakomt, in afwijking van het derde lid, onder b. 5 Met het oog op het bewaren van het bewijs worden de onderdelen van de overeenkomst of de rechtshandeling die betrekking hebben op de bescherming van persoonsgegevens, alsmede de beveiligingsmaatregelen als bedoeld in artikel 13 schriftelijk of in een andere, gelijkwaardige vorm vastgelegd.
493
Beveiliging van persoonsgegevens
39
40
CBP Richtsnoeren
494
colofon
Beveiliging van persoonsgegevens College bescherming persoonsgegevens, Den Haag, februari 2013.
息 Niets uit deze uitgave mag worden verveel足 voudigd en/of openbaar gemaakt door middel van druk, fotokopie, microfilm of op welke wijze dan ook, zonder voorafgaande schriftelijke toestemming van het College bescherming persoonsgegevens.
Het College bescherming persoonsgegevens houdt onder de Wet bescher足ming persoonsgegevens toezicht op de naleving van wetten die het gebruik van persoonsgegevens regelen. Onduidelijkheid over wet- en regelgeving kan ten koste gaan van de bescherming van de gegevens van burgers. Daarom geeft het College in zijn Richtsnoeren ten behoeve van toepassing in de praktijk nadere invulling aan de geldende wettelijke normen. Rechterlijke uitspraken kunnen naast wetswijzigingen, technische ontwikke足 lingen en praktijkervaringen aanleiding geven tot aanvulling of herziening van deze richtsnoeren. Deze richtsnoeren treden in werking met ingang van 1 maart 2013, zijnde de datum van publicatie in de Staatscourant.
495
Postbus 93374 2509 AJ 93374 Den Haag Postbus 2509 ajâ&#x20AC;&#x2C6;Den Haag e-mail info@cbpweb.nl
www.cbpweb.nl www.cbpweb.nl www.mijnprivacy.nl 496