De functionaris voor de gegevensbescherming: een interne toezichthouder Verschenen in Privacy & Informatie, nr. 4 - augustus 2005

Transcriptie

1 UITGELICHT De functionaris voor de gegevensbescherming: een interne toezichthouder Verschenen in Privacy & Informatie, nr. 4 - augustus 2005 Auteur: Mr. P.G.C.Bunt Via de website van het College bescherming persoonsgegevens kan iedereen zich toegang verschaffen tot het Openbaar Register van functionarissen voor de gegevensbescherming. Wat is de taak van die functionaris waaraan de Wet bescherming persoonsgegevens een aparte paragraaf wijdt? In dit artikel wordt een aantal aspecten daarvan toegelicht. Inleiding Binnen de algemene normen van de Wet bescherming persoonsgegevens (WBP) is veel ruimte gelaten voor nadere invulling en concrete uitwerking door middel van zelfregulering. Daarbij valt te denken aan de ontwikkeling van gedragscodes voor bepaalde branches en aan de mogelijkheid voor organisaties om een functionaris voor de gegevensbescherming te benoemen. Gemakshalve zal ik deze figuur verder functionaris noemen, zoals ook de wetgever doet. Keuzevrijheid In de Europese Richtlijn 95/46/EG (hierna: de Richtlijn) is de mogelijkheid opgenomen om een functionaris aan te stellen. 1 Wat is de taak van deze functionaris? Uit artikel 18 van de Richtlijn blijkt dat hij met name op onafhankelijke wijze toezicht uitoefent op de toepassing van de nationale privacywet binnen de organisatie van de verantwoordelijke die hem heeft aangesteld en dat hij een register bijhoudt van de door de verantwoordelijke verrichte verwerkingen. Hiermee wordt duidelijk gemaakt dat de nadruk ligt op toezicht houden en niet op het administreren van aangemelde verwerkingen. De verantwoordelijke haalt met een functionaris dus meer in huis dan een alternatief meldingenloket. Ook de WBP maakt dit duidelijk, want zij introduceert de functionaris in paragraaf 2 van hoofdstuk 9 dat als titel Toezicht draagt. Het aanstellen van een functionaris is een keuze waartoe de WBP de mogelijkheid biedt. De verantwoordelijke is daartoe niet verplicht. Met als enige uitzondering de Informatie Beheer Groep, die op grond van artikel 8a Wet verzelfstandiging informatiseringsbank verplicht is om een functionaris te benoemen. Kiest een organisatie voor een functionaris, dan kan deze pas als zodanig aan de slag als hij aangemeld is bij het College bescherming persoonsgegevens (CBP). Een verantwoordelijke die zichzelf als functionaris aanmeldt, wordt door het CBP geweigerd. Een toezichthouder die toezicht houdt op zijn eigen handelen kan niet onafhankelijk genoemd worden. Omdat het CBP de aanmelding opneemt in het Openbaar Register kan een ieder achterhalen of een organisatie, die persoonsgegevens verzamelt, beschikt over een interne toezichthouder. 2 Opname in het Openbaar Register is op zich geen garantie dat de functionaris over de benodigde deskundigheid en kwaliteiten beschikt. In die zin is het niet vergelijkbaar met registers als het Architectenregister of het BIG-register, waarin alleen gediplomeerde beroepsbeoefenaren zich kunnen laten registreren. Het Nederlands Genootschap van Functionarissen voor de Gegevensbescherming (NGFG) 1 Richtlijn 95/46/EG betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens. 2 Op 10 juni 2005 bevat het Openbaar Register 182 functionarissen. 1

2 richt zich onder meer op het bevorderen van de kwaliteit en integriteit van de beroepsuitoefening door de leden. 3 Eisen Het spreekt voor zich dat de functionaris behalve aan formele vereisten ook aan bepaalde inhoudelijke criteria moet voldoen om een factor van betekenis te zijn in het privacykwaliteitsbeleid van de verantwoordelijke. De WBP stelt zelf in artikel 63 drie eisen aan de functionaris: 1. het is een natuurlijk persoon; 2. die beschikt over voor vervulling van zijn taak toereikende kennis; 3. en die voldoende betrouwbaar kan worden geacht. Over de eerste eis is geen discussie mogelijk: slechts een individu en niet bijvoorbeeld een commissie of een ondernemingsraad komt in aanmerking als functionaris. Een functionaris kan een eigen medewerker zijn of iemand van buiten. De WBP staat dit laatste niet in de weg. Maar welke betekenis moeten we toekennen aan de tweede eis? De wetgever zegt in de memorie van toelichting dat onder toereikende kennis wordt verstaan kennis van de organisatie, de gegevensverwerkingen die zich binnen de organisatie afspelen, de belangen die daarbij betrokken zijn en uiteraard kennis van de privacywetgeving die op de verwerkingen binnen zijn organisatie van toepassing zijn. 4 Volgens het CBP betekent dit dat de functionaris niet alleen op de hoogte is van de inhoud van de WBP en het daarbij behorende Vrijstellingsbesluit, maar ook tenminste op hoofdlijnen kennis heeft van andere wettelijke regelingen die van toepassing zijn op de werkzaamheden van de verantwoordelijke die hem heeft aangesteld. Bovendien is het een pré als hij beschikt over een zekere mate van kennis op het gebied van informatie- en communicatietechnologie, organisatiekunde en logische, fysieke en organisatorische beveiliging. Aantal en soort gegevens bepalen immers de benodigde beveiliging, die overigens passend moet zijn gedurende het hele traject van verzamelen tot en met vernietigen dat een persoonsgegeven kan afleggen. Over de derde eis zegt de wetgever: Ook moet hij voldoende betrouwbaar worden geacht. Deze betrouwbaarheid uit zich bijvoorbeeld in het vermogen alle bij de verwerking betrokken belangen op een onafhankelijke wijze tegen elkaar te kunnen afwegen. De functionaris moet in staat zijn op een juiste en zorgvuldige wijze gebruik te maken van zijn bevoegdheden. Voorwaar geen beperkt pakket van eisen! Blijkbaar gaat het bij de eis van toereikende kennis om het weten, bij betrouwbaar moet gedacht worden aan het op juiste en zorgvuldige wijze gebruik maken van die kennis en van de bevoegdheden. Al die capaciteiten zijn van belang. Bijvoorbeeld als de functionaris bestaande gegevensverwerkingen toetst en als hij de verantwoordelijke adviseert over de mogelijke reactie op een klacht van een betrokkene. Maar ook als hij de verantwoordelijke adviseert over de gevolgen van een voorgenomen uitbreiding of inkrimping van de soorten betrokkenen, de verwerking van andersoortige gegevens, verstrekkingen aan andere landen of gebruik van een ander computersysteem. De deskundigheid van de functionaris bepaalt de kwaliteit van zijn advies. Zijn vermogen om diplomatiek op te treden en zijn gezag, mede beïnvloed door zijn positie binnen de organisatie, bepalen het effect van zijn advies op het handelen van de verantwoordelijke. Door de inbreng van de functionaris kan klantgericht werken ondersteund worden. Door zorgvuldig om te gaan met de persoonsgegevens van klanten, werknemers, leerlingen, patiënten en burgers kan hun vertrouwen gewonnen worden en behouden blijven. In dit 3 Zie 4 Memorie van Toelichting blz

3 licht bezien is het niet vreemd dat het CBP er van overtuigd is dat integratie van deze vorm van toezicht in de normale bedrijfsvoering een effectieve bijdrage zal leveren niet alleen aan het kwaliteitsbeleid van de verantwoordelijke, maar ook aan het realiseren van het grondrecht op bescherming van de persoonlijke levenssfeer. Toezicht De functionaris wordt niet bij of krachtens wettelijk voorschrift met toezicht belast, daarom is hij geen toezichthouder in de zin van de Algemene wet bestuursrecht (AWB). Maar de wetgever vindt dat de functionaris wel bevoegdheden toekomen die vergelijkbaar zijn met die welke de AWB toekent aan toezichthouders. 5 Dit zijn de bevoegdheid om ruimtes te betreden, inlichtingen te vragen, inzage te vragen en zaken te onderzoeken. Hiermee geeft de wetgever in ieder geval aan dat het ook wat hem betreft niet gaat om een decoratieve functie. Dit blijkt tevens uit het voorschrift dat de verantwoordelijke de functionaris geen aanwijzingen kan geven wat betreft de uitoefening van zijn functie. En hij dient de functionaris in de gelegenheid te stellen zijn taak naar behoren te vervullen. Daarbij kan gedacht worden aan een aanvaardbare inschaling, toewijzing van voldoende uren en werkplek, administratieve ondersteuning, studiefaciliteiten en budget ten behoeve van controles. 6 Het mag niet zo zijn dat de functionaris door gebrek aan faciliteiten wordt belemmerd in zijn taakuitoefening. Het toezicht dat de functionaris uitoefent, vertaalt zich in verslagen, adviezen en aanbevelingen aan de verantwoordelijke. Overzicht Net als het CBP dient de functionaris een register bij te houden van verwerkingen waarvoor een meldingsplicht geldt. 7 De WBP schrijft voor dat dit register door een ieder kosteloos geraadpleegd kan worden. De functionaris zal een gedegen overzicht moeten hebben van alle verwerkingen die in de organisatie plaatsvinden, anders kan hij immers geen belangen afwegen of goede adviezen geven. Het ligt dus voor de hand dat hij naast het register dat hij op grond van de WBP moet bijhouden van aangemelde verwerkingen, ook een overzicht heeft van niet-meldingsplichtige verwerkingen. Dit draagt bij aan de transparantie van de gegevensverwerking. Zo is hij een belangrijke informatiebron voor de verantwoordelijke zelf, de werknemers en betrokkenen. Vacature Als de bij het CBP aangemelde functionaris stopt met zijn werkzaamheden, is het noodzakelijk dat het CBP daarvan op de hoogte wordt gesteld. Waarom? Als er geen functionaris meer is, is er geen interne toezichthouder en vervalt het toezicht geheel aan het CBP. Ook is er dan geen beheerder meer van het door de wet geëiste register en kan de verantwoordelijke wijzigingen en nieuwe meldingen niet meer indienen bij zijn functionaris. Het CBP zal de naam van de functionaris uit het Openbaar Register verwijderen.wordt de vacature meteen, aansluitend, ingevuld door een nieuwe functionaris, dan kan het CBP deze naam direct opnemen. Is er nog geen nieuwe kandidaat, maar wil de verantwoordelijke de functie wel handhaven, dan vervangt het CBP in het Openbaar Register de naam van de oude functionaris door het woord vacature en gunt het de verantwoordelijke een redelijke termijn om naar een nieuwe functionaris te zoeken. Wordt de vacature niet opgevuld of verdwijnt deze functie uit de organisatie, dan wordt de verantwoordelijke uit het Openbaar Register verwijderd. De meldingsplichtige verwerkingen die bij de functionaris waren gemeld, gaan niet automatisch over naar het 5 Artikel 64, lid 3 WBP. 6 Artikel 63, lid 2 WBP. 7 Artikel 30 WBP. 3

4 CBP. De verantwoordelijke zal die verwerkingen moeten melden bij het CBP zodat ze opgenomen kunnen worden in het openbaar meldingenregister dat het CBP bijhoudt. Toezicht op toezicht? De WBP geeft geen concrete beschrijving van een functionaris. Dat heeft tot gevolg dat er variatie mogelijk is. Verschillen tussen functionarissen kunnen zich voordoen zowel qua kennis als qua gezag dat zij als intern toezichthouder genieten. Maar ook de organisaties waar zij werkzaam zijn verschillen. Die verschillen doen zich voor in organisatieomvang, maar ook in karakter, afhankelijk van bijvoorbeeld sector en type gegevens dat hoofdzakelijk verwerkt wordt. Daarom is het, voor de rechtszekerheid, noodzakelijk dat er desondanks een onafhankelijke landelijke toezichthoudende autoriteit is. In Nederland is dat het CBP. Afgaande op de wettekst lijkt dit College een nogal passieve taak te hebben. Overigens geheel passend bij zelfregulering: het in ontvangst nemen van de gegevens van de aangemelde functionarissen, deze personen op de verzendlijst van zijn jaarverslag zetten en een luisterend oor bieden aan de functionaris en de verantwoordelijke. Omdat het CBP toeziet op de juiste naleving van de WBP, dat wil zeggen inclusief de artikelen die betrekking hebben op de functionaris, is het echter niet uit te sluiten dat het CBP zo nodig een actievere rol speelt. Het CBP behoudt namelijk zijn bevoegdheden, waaronder die van de echte AWB-toezichthouder, ook als er een functionaris is aangesteld die toch voor een deel gelijksoortige bevoegdheden heeft. Maar uitgangspunt voor het CBP is dat het zich terughoudend opstelt daar waar de interne toezichthouder de naleving van de bescherming van de persoonsgegevens waarborgt. Hoewel de functionaris en het CBP in beginsel binnen de gegeven grenzen los van elkaar moeten functioneren, spreekt het voor zich dat zij hun contact niet beperken tot het moment van de aanmelding. Het CBP verstrekt via zijn website, elektronische nieuwsbrief en op verzoek informatie. 8 Tevens is voor elke functionaris een medewerker beschikbaar die bekend is met de sector waarin de functionaris werkt. Niet alleen de betrokkene van wie gegevens verwerkt worden is gebaat bij een op goed niveau functionerende functionaris. De verantwoordelijke en de functionaris zelf plukken daar eveneens de vruchten van. Ook het CBP is gebaat bij adequaat functionerende interne toezichthouders, die hem zo in staat stellen als tweedelijnsorganisatie op te treden. Soepel samenspel De wetgever heeft over de onderlinge verhouding tussen de verantwoordelijke, de functionaris en het CBP uitgesproken dat het de bedoeling is dat zich tussen die drie een soepel samenspel ontwikkelt. Van de kant van het CBP wordt daaraan gewerkt langs verschillende wegen. Onder meer door anderen te laten delen in zijn deskundigheid. Door het privacybewustzijn te bevorderen, niet alleen door het geven van voorlichting maar ook door onafhankelijk, gedegen en verantwoord toezicht. En door zijn oor bij anderen te luisteren te leggen, bijvoorbeeld in bijeenkomsten, speciaal voor functionarissen die werkzaam zijn in eenzelfde sector. Zo wordt er nu door enkele functionarissen, het CBP en het NGFG een bijeenkomst voorbereid voor functionarissen in de zorgsector. Deze bijeenkomst zal plaatsvinden in de herfst van Eerder al waren er bijeenkomsten voor functionarissen werkzaam in de onderwijssector, bij gemeenten en bij departementen. Al met al krijgt het CBP steeds meer gesprekspartners die zich in de WBP hebben verdiept en die met het CBP de ongespecificeerde normen in die wet concreter kunnen maken. 8 Zie 4

5 5