Jaarverslag in vogelvlucht

Transcriptie

1 Jaarverslag in vogelvlucht jaarverslag 2007

2 Iedereen heeft recht op een zorgvuldige omgang met zijn of haar persoonsgegevens. Het College bescherming persoonsgegevens houdt toezicht op de naleving van de wettelijke regels die zien op de bescherming van persoonsgegevens, zo nodig met behulp van sancties. Daarbij heeft het CBP oog voor de maatschappelijke context van de aan hem voorgelegde vragen, problemen of klachten. Bij het uitvoeren en verantwoorden van zijn werkzaamheden streeft het naar een open dialoog met de samenleving en naar samenwerking met andere maatschappelijke organisaties.

3 Gemak pagina 2 Inleiding door Jacob Kohnstamm, voorzitter CBP. Samenstelling College en Raad van Advies pagina in het kort pagina 8 Een samenvatting. Activiteiten van het CBP pagina 14 Internationale samenwerking, nationale samenwerking, openbaar bestuur, politie en justitie, arbeid en sociale zekerheid, gezondheidszorg, handel en diensten, internet. Organisatie pagina 46 Bijlagen pagina 58 Overzichten van wetgevingsadviezen, onderzoeksrapporten, gedragscodes, modelreglementen, documenten van de Europese Artikel 29-werkgroep en publicaties van het CBP. Preface and summary page 68 Preface by Jacob Kohnstamm, chairman of the Dutch DPA. Summary of activities and results in > Vragen en signalen In 2007 kreeg het CBP zo n 5900 brieven, s of telefoontjes binnen. Het grootste deel daarvan is afkomstig van gewone mensen die niets te vrezen hebben, maar die zich gevolgd en bespied voelen en boos zijn, zich zorgen maken of schade ondervinden door al dan niet opzettelijk onverantwoorde of onzorgvuldige verwerking van hun persoonsgegevens. Voorbeelden van deze signalen uit de samenleving zijn in kadertjes in het Activiteitenhoofdstuk opgenomen. Jaarverslag 2007 > inhoud

4 Gemak Zeker, gemak dient de mens. Een wereld zonder GSM, internet, bank- en creditkaart is daarom nauwelijks meer voorstelbaar. Onafhankelijk van tijd of plaats kan letterlijk alles op afstand bestudeerd, besteld en betaald worden. Daardoor wordt tijd bespaard en openen zich hele werelden die voorheen slechts voor een enkeling waren weggelegd. 2 Jaarverslag 2007 > inleiding

5 Deze in vele opzichten zegenrijke technologische ontwikkeling schept ook een bijna duivels dilemma: in ruil voor dat gemak laat iedereen van al zijn doen en laten onvermijdelijk digitale voetsporen achter, veelal zonder zich daarvan bewust te zijn. Omdat al die voetsporen technisch gesproken eindeloos bewaard en samengevoegd worden of kunnen worden, leven wij inmiddels in een glazen samenleving waarin even dierbare als kwetsbare gebeurtenissen uit de persoonlijke levenssfeer gebruikt, misbruikt en openbaar gemaakt worden of kunnen worden. Als die informatie daarenboven wordt ingezet in situaties waarin sprake is van machtsongelijkheid - zoals tussen overheid en burger of bedrijfsleven en consument maar ook tussen sterkere en zwakkere burgers - kan dat grote consequenties hebben. Dit is geen denkbeeldig maar eerder een onderschat gevaar. Identiteitsfraude (in de VS nu al de grootste aan misdaad gerelateerde kostenpost) is een duidelijk voorbeeld evenals discriminerende beoordeling en ongelijke behandeling (soms ook op louter statistische gronden) of de bevriezing van persoonlijke ontwikkelingsmogelijkheden en wensen. Het uiteindelijke gevolg hiervan is de ondermijning van het vertrouwen in elkaar en in de publieke en private instituties. Anders dan vaak wordt beweerd, overstijgt de beschermwaardigheid van de persoonlijke levenssfeer het belang van het individu, van gezin of van samenlevingsverband. Die beschermwaardigheid ziet uiteindelijk bovenal op de samenleving als geheel, op het collectieve belang dat gediend is met het in de praktijk daadwerkelijk respecteren van grenzen die de wetgever daartoe heeft getrokken. Die grenzen luiden, vrij weergegeven: verzamel gegevens niet dan nadat is vastgesteld dat dat noodzakelijk is; gebruik die verzamelde gegevens in beginsel niet voor een ander doel dan waarvoor ze oorspronkelijk verzameld werden en behandel verzamelde gegevens ook overigens zorgvuldig en met respect. De plicht tot naleving van die wettelijke normen is natuurlijk in de eerste en belangrijkste plaats direct neergelegd bij degenen die gegevens verzamelen en verwerken. Bovendien is voor individuele burgers een laagdrempelige toegang tot de rechter gecreëerd waardoor zij in geval van schade als gevolg van schending van de wettelijke verplichtingen voor zichzelf kunnen opkomen. Maar juist omdat met de naleving van de wet uiteindelijk een collectief belang gemoeid is en niet kan worden volstaan met borging daarvan uitsluitend door individuele private partijen, heeft de wetgever een onafhankelijke toezichthouder in het leven geroepen, het College bescherming persoonsgegevens (CBP). Het CBP heeft daartoe onder meer op handhaving gerichte bevoegdheden toegekend gekregen. Wij mogen medewerking aan onderzoek naar naleving van de wet zo nodig afdwingen en kunnen bij vastgestelde overtredingen bestuursdwang toepassen, inclusief het opleggen van daarbij behorende sancties. De vraag die wij ons net als iedere door de overheid gefinancierde organisatie periodiek dienen te stellen, is op welke wijze wij de ons toegewezen toezichthoudende taak met maximaal resultaat kunnen uitoefenen. Anders gezegd: hoe kunnen wij effectief bijdragen aan het voorkomen en bestrijden van identiteitsfraude, van misbruik en onrechtmatig gebruik van persoonsgegevens? Sinds 1998 hebben de Registratiekamer en haar opvolger het CBP die vraag beantwoord met het formuleren van vier te bewandelen sporen: het bevorderen van bewustwording en van normontwikkeling, het op de voet volgen van technologische ontwikkelingen en het in voorkomende gevallen handhavend optreden. In het afgelopen verslagjaar hebben wij besloten om die koers te wijzigen en onze prioriteit te verleggen naar wat voorheen het vierde spoor was. Gegeven de huidige staat van de privacy, zal door onderzoek te doen en door handhavend op te treden kerntaak van iedere onafhanke Jaarverslag 2007 > inleiding

6 lijke toezichthouder bewustwording van de normen en naleving van de wet beter en krachtiger worden gestimuleerd en afgedwongen. Alvorens handhavend op te treden dient uiteraard helderheid te worden verschaft over de normstelling op basis waarvan wij in actie zullen komen. Om die koerswijziging gericht op normstelling, onderzoek en handhaving te kunnen realiseren leggen wij waar het verzoeken om hulp en bijstand betreft, gegeven het ons toegekende budget, de prioriteit bij ernstige overtredingen met een structureel karakter en grote gevolgen voor een flink aantal burgers of voor groepen van burgers. Burgers en organisaties, die voorheen bij ons advies of hulp zouden hebben gevraagd en gekregen, zullen we echter wel zo veel mogelijk helpen zelf zicht te krijgen op rechten en plichten die uit de Wbp voortvloeien, zodat zij zelf de nodige actie kunnen ondernemen. Wij zullen daarvoor verder investeren in de content van onze twee websites. De website bevat in het bijzonder de informatie die een individuele burger nodig heeft om zelf actie te ondernemen in het geval van schending van zijn of haar rechten. De website bevat informatie die organisaties en professionals kunnen gebruiken indien zij vragen hebben over de rechten en plichten die uit de wet voortvloeien. Anders gezegd: om als toezichthouder maximaal invloed uit te oefenen op naleving van de aan ons toezicht toevertrouwde wettelijke bepalingen, hebben we vorig jaar een begin gemaakt met intensivering van het algemene voorlichtingsbeleid, waardoor burgers, professionals en organisaties beter in staat worden gesteld om hun rechten en plichten te kennen en na te (doen) leven. Daarnaast hebben wij een begin gemaakt met het geven van prioriteit aan wat een efficiënte en effectieve toezichthouder te doen staat: onderzoek doen naar de wijze waarop de relevante wettelijke bepalingen worden nageleefd en bij geconstateerde overtreding daarvan handhavend ingrijpen. Uit lezing van het voorliggende jaarverslag zal blijken dat die koerswijziging in het afgelopen verslagjaar succesvol is geweest! J. Kohnstamm voorzitter Jaarverslag 2007 > inleiding

7 Jaarverslag 2007 > inleiding 5

8 Samenstelling college en raad van advies College 2007 mr. J. Kohnstamm mw. mr. dr. J. Beuving mw. mr. M.W. McLaggan Voorzitter Collegelid, plv. voorzitter Collegelid (per 1 september 2006) Jaarverslag 2007 > Samenstelling college en raad van advies

9 Raad van Advies 2007 mw. prof. mr. I.P. Asscher-Vonk Hoogleraar sociaal recht Radboud Universiteit Nijmegen, lid SER prof. mr. J.K.M. Gevers Hoogleraar gezondheidsrecht Universiteit van Amsterdam R. Bandell Burgemeester van Dordrecht prof. mr E. Dommering Hoogleraar informatierecht Universiteit van Amsterdam mw. drs. A. van Es Voorzitter GGZ Nederland (tot 19 november 2007, i.v.m. benoeming bij ministerie van Binnenlandse Zaken en Koninkrijksrelaties) prof. dr. E.J. Fischer Bijzonder hoogleraar bedrijfsgeschiedenis Universiteit van Amsterdam prof. mr. H. Franken (voorzitter) Hoogleraar informaticarecht Universiteit Leiden mw. drs. K. de Jonge Directeur Consumentenbond (tot 1 mei 2007, i.v.m. benoeming bij Mars, Inc. te Brussel) drs. R. van Ommeren Oud-lid Raad van Bestuur ABN-AMRO drs. C. Rog Voorzitter commissie privacy VNO-NCW drs. A.D. Sixma Manager MB Digitaal Thuis bij de Consumentenbond drs. L.J.E. Smits Directeur Het Expertise Centrum Directie Buitengewoon lid College 2007 mw. ing. C.E. Romanesko directeur (tot 1 september 2007) mr. dr. U. van de Pol Ombudsman Amsterdam drs. H. de Boer (interim)directeur (vanaf 1 september 2007) Jaarverslag 2007 > Samenstelling college en raad van advies 7

10 2007 in het kort Naleving van de Wet bescherming persoonsgegevens is niet alleen in het belang van individuele burgers. Het respecteren van een ieders persoonlijke levenssfeer dient ook een collectief belang: een samenleving waarin gewaarborgd kan worden dat wij er, om de overheid, bedrijven en instellingen én elkaar te kunnen vertrouwen, vanuit mogen gaan dat onze persoonsgegevens niet worden misbruikt. Jaarverslag 2007 > 2007 in het kort

11 Om een krachtiger en meer zichtbare bijdrage te leveren aan het borgen van dit collectieve belang heeft het College bescherming persoonsgegevens in 2007 besloten in zijn werk meer nadruk te leggen op het uitvoeren van controlerend onderzoek ten behoeve van handhaving van de wettelijke regels. Prioriteit krijgt het aanpakken van ernstige overtredingen die structureel van aard zijn en nadelige gevolgen hebben voor grote groepen burgers. Door de verrijking en verbreding van de algemene voorlichting op de website van het CBP worden burgers gestimuleerd en geholpen om hun problemen zelf op te lossen en waar nodig ook zelf actie te ondernemen. Grootschalige gegevensverzameling en -verwerking stond ook in 2007 hoog op de agenda van het CBP. In Europees verband zijn onder meer aan de orde geweest de verzameling van gegevens zowel van passagiers die vanuit Europa naar de Verenigde Staten vliegen als van passagiers binnen de EU. Op nationaal niveau springen in het oog privacyproblemen rond de OV-chipkaart en het Elektronisch Patiëntendossier. Deze en andere onderwerpen passeren hieronder in een selectie uit de activiteiten in 2007 in kort bestek de revue. Internationale samenwerking Het CBP werkt in Europees en internationaal verband samen met andere nationale privacytoezichthouders. Op Europees niveau heeft Nederland een actieve inbreng in het adviesorgaan van EU-privacytoezichthouders, de Artikel 29-werkgroep (WP29). De WP29 heeft in 2007 harde noten gekraakt over het voorstel van de Europese Commissie om in navolging van het PNR-verdrag met de Verenigde Staten ook binnen de EU passagiersgegevens te verzamelen, met het oog op de bestrijding van internationale criminaliteit en terrorisme. Dit is in strijd met artikel 8 van het EVRM, oordeelde CBP-voorzitter Kohnstamm. Nieuws is voorts te melden op het terrein van het financieel berichtenverkeer. Meer in het bijzonder betreft dit SWIFT, het bedrijf dat internationale overboekingen faciliteert voor banken. In 2007 werd uit berichten uit de media bekend dat SWIFT back-up gegevens van rekeninghouders in de Verenigde Staten aanhoudt en dat de autoriteiten van de VS toegang kunnen vorderen tot die gegevens. In strijd met hun verplichting daartoe hadden banken hun klanten hierover niet geïnformeerd. In Nederland zijn onder dreiging van handhaving door het CBP de banken er alsnog toe overgegaan hun rekeninghouders te informeren over het doorgeven van hun gegevens. In WP29-verband heeft na een gecoördineerde actie van alle nationale databeschermingsautoriteiten SWIFT aangegeven in 2009 een dataopslagvestiging in Zwitserland te zullen openen, waarmee het probleem van de verstrekkingen aan de VS van inter-europese overboekingen wordt opgelost. Op politie- en justitiegebied wijzen de Europese toezichthouders op de blijvende noodzaak van een hoog beschermingsniveau voor persoonsgegevens die voor opsporingsdoeleinden worden uitgewisseld. Het CBP neemt op reguliere basis deel aan de Gemeenschappelijke Controle Autoriteiten binnen de EU op het gebied van politiële en justitiële samenwerking. Nationale samenwerking Samenwerking met andere toezichthouders en organisaties die te maken hebben met gegevensverwerking leidt tot efficiënter toezicht op de naleving van de wettelijke regels die persoonsgegevens beschermen en draagt tevens bij tot verbreding van het draagvlak voor privacybescherming. Jaarverslag 2007 > 2007 In het kort 9

12 Het CBP heeft samen met de Inspectie jeugdzorg in april 2007 een rondetafelconferentie georganiseerd over de beletselen die de privacywetgeving zou opwerpen tegen de uitwisseling van gegevens door hulpverleners in de strijd tegen kindermishandeling. Deze beletselen blijken er niet te zijn. Dit gezamenlijke standpunt van vertegenwoordigers van een groot aantal professionele partijen in de jeugdzorg is overgebracht aan de minister voor Jeugd en Gezin, gekoppeld aan voorstellen voor uitwisseling van gegevens die wezenlijk kan bijdragen aan de aanpak van kindermishandeling. Op het gebied van de verwerking van persoonsgegevens in de gezondheidszorg zijn afbakeningsafspraken gemaakt met de Nederlandse Zorgautoriteit en is samen met de Inspectie voor de Gezondheidszorg onderzoek gedaan naar de beveiliging van patiëntgegevens. Andere samenwerkingsprojecten in 2007 betroffen de bewaarplicht van verkeersgegevens, het gebruik van het burgerservicenummer door het bedrijfsleven en het gezamenlijk gebruik van persoonsgegevens door het CWI, het UWV en gemeenten. Het netwerk van Functionarissen voor de Gegevensbescherming (FG s), de onafhankelijke interne toezichthouders bij bedrijven en organisaties, heeft zich in 2007 weer uitgebreid. Het CBP heeft jaarlijks overleg met de beroepsorganisatie van FG s. In het in 2006 op initiatief van de Tweede Kamer gestarte traject dat moet leiden tot de oprichting van een Nationaal Mensenrechteninstituut is weer een stap gezet: de vier organisaties die in het instituut zouden gaan participeren hebben in april 2007 een notitie uitgebracht over hoe de organisatie van start kan gaan. De minister van BZK heeft nog geen beslissing genomen over het voorstel. Openbaar bestuur Het burgerservicenummer (BSN) is sinds eind november 2007 een feit. Voor het CBP treedt hiermee een nieuwe fase in. Bij de beheervoorziening BSN wordt een burgerservicepunt ingericht waar overheden en burgers met vragen terechtkunnen. Bij echte problemen met de uitvoering van de wet is het CBP als toezichthouder op de zorgvuldige omgang met persoonsgegevens de bevoegde instantie om in te grijpen. In de Gemeentelijke Basisadministratie (GBA) zijn de persoonsgegevens van de in die gemeente ingeschreven personen opgenomen. Deze administratie vormt de basis voor de uitvoering van veel overheidstaken. Het is van groot belang dat de gegevens kloppen en goed beveiligd zijn. Een maal per drie jaar moeten de gemeenten dit laten controleren. Na de aankondiging van het CBP dat het handhavend zou gaan optreden bij het niet of niet tijdig laten uitvoeren van de audits, is vergeleken met voorgaande jaren in 2007 een verbetering opgetreden in de naleving door gemeenten van hun wettelijke verplichting. Aan vier gemeenten is vorig jaar door het CBP een last onder dwangsom opgelegd. Op verzoek van de Eerste Kamer heeft het CBP eind 2007 advies uitgebracht over een wetsvoorstel dat de bevoegdheden voor de inlichtingen- en veiligheidsdiensten uitbreidt om in het kader van terrorismebestrijding gegevens in te winnen over reizen, betalingsverkeer en internetgebruik van burgers. Het CBP is van oordeel dat niet is aangetoond waarom deze maatregelen, bovenop de vele al bestaande, noodzakelijk zijn, en acht de gevolgen van de data-analyse voor de burger, maar ook voor de verantwoordelijken en de diensten, niet of onvoldoende onderkend. Kritiek heeft het CBP ook kenbaar gemaakt op het voorstel voor een landelijke verwijsindex risicojongeren (VIR). Het CBP stemt van harte in met het streven te komen tot betere en snellere hulpverlening aan kinderen en jongeren die in de knel zitten, maar het is nu niet duidelijk of de verwijsindex alleen hulpverlening als doelstelling heeft of ook het handhaven van de openbare orde. Er moet volledige helderheid zijn over kernbegrippen en criteria. 10 Jaarverslag 2007 > 2007 in het kort

13 Politie en justitie Veiligheid en privacy zijn beide voor burgers onmisbaar. Maar al te vaak worden deze waarden in het publieke debat op ongenuanceerde wijze als tegenpolen tegen elkaar opgezet. Om de discussie weer vlot te trekken, heeft het CBP in samenwerking met de ministeries van Justitie en van Binnenlandse Zaken en Koninkrijksrelaties onderzoek laten doen naar het vinden van een juiste balans tussen het nastreven van een veilige samenleving en het waarborgen van het recht op de persoonlijke levenssfeer. Op 1 november 2007 is het externe onderzoeksrapport met handvatten voor een doeltreffender dialoog tijdens een symposium gepresenteerd. Bij het tappen van telefoongesprekken door de politie in het kader van strafrechtelijk onderzoek worden vaak ook gesprekken tussen advocaten en hun cliënten vastgelegd. Deze gesprekken met verschoningsgerechtigde geheimhouders moeten zo spoedig mogelijk worden gewist. Uit onderzoek van het CBP bij de landelijke tapkamers blijkt dat dit in lang niet alle gevallen correct en tijdig gebeurt. Het OM heeft maatregelen ter verbetering aangekondigd. In adviezen over voorgestelde nieuwe wetgeving of andere maatregelen op het gebied van het strafrecht stelt het CBP regelmatig de vraag: is aangetoond dat de regeling echt nodig is? Is het duidelijk dat bestaande of al eerder voorgestelde wettelijke mogelijkheden tekortschieten? Het voorstel van de minister van Justitie voor een centrale databank waarin de identiteit van alle verdachten en veroordeelden worden opgeslagen, is in het licht van de toekomstige verbeterde identificatiemogelijkheden naar het oordeel van het CBP bijvoorbeeld onvoldoende gemotiveerd. En dragen de plannen van politie, Openbaar Ministerie en Koninklijke Marechaussee om van alle automobilisten ongeacht of ze iets op hun kerfstok hebben of niet die over de Utrechtse brug Amsterdam binnenrijden, de kentekens op te slaan, echt bij aan een veiliger samenleving? Arbeid en sociale zekerheid Burgers zijn niet al automatisch verdacht door het simpele feit dat zij een uitkering of huurtoeslag krijgen. In het project Waterproof werden alle AOW-ers en ontvangers van een bijstandsuitkering in 65 gemeenten in Friesland, Groningen en Drenthe aan de hand van gegevens over hun waterverbruik en de watervervuilingsheffing gecontroleerd op fraude. Daarnaast zijn de gegevens gebruikt voor controle op fraude met huurtoeslag. Het CBP heeft deze bestandskoppelingen onderzocht en geoordeeld dat zij onrechtmatig zijn. Het bestrijden van uitkeringsfraude is nodig, maar controle met behulp van bestandskoppelingen is alleen toegestaan op grond van deugdelijke risicoanalyse. Daarmee kan namelijk aannemelijk worden gemaakt dat nadere controle van een groep burgers die een grote kans loopt in de fraudezone te geraken noodzakelijk is. Als gevolg van de CBP-uitspraak wordt nu door de Sociale Inlichtingen- en Opsporingsdienst gewerkt aan de ontwikkeling van risicoanalyses met gebruikmaking van Privacy Enhancing Technology (PET). Fraudebestrijding en bescherming van persoonsgegevens kunnen op deze wijze goed hand in hand gaan. Een andere methode om uitkeringsfraude aan het licht te brengen is die van de heimelijke waarneming door sociaal rechercheurs. De wijze van verwerking van de persoonsgegevens die met deze activiteiten samenhangt is geregeld in een procesbeschrijving die door het CBP is goedgekeurd. Onderzoek in 2006 wees uit dat de naleving van de plicht om burgers te informeren over het feit dat zij waren geobserveerd te wensen over liet. De procesbeschrijving is vervolgens in 2007 aangescherpt. Mogen bij de overgang naar een nieuwe arbodienstverlener de arbodossiers van de werknemers, zonder dat dat wettelijk geregeld is, worden overgedragen door de oude aan de nieuwe arbodienst? Nee, oordeelde het CBP in Naar aanleiding van signalen uit de praktijk dat dit Jaarverslag 2007 > 2007 In het kort 11

14 standpunt problemen opleverde, heeft het CBP in 2007 onderzocht of binnen de bestaande wettelijke kaders nog een andere benadering mogelijk is. Dat leidt tot de uitkomst dat er bij het overdragen verschil wordt gemaakt tussen gegevens waarop niet en waarop wel het medisch beroepsgeheim rust. In het eerste geval mogen de gegevens overgaan, in het tweede alleen onder bepaalde voorwaarden. Ook het standaard door het UWV verstrekken aan alle huidige werkgevers van gegevens over het arbeidsongeschiktheidsverleden van een nieuwe werknemer is door het CBP onderzocht, met als uitkomst dat het UWV dat alleen nog maar gaat doen als de betreffende werkgever daarbij een concreet, rechtstreeks geraakt belang heeft. Gezondheidszorg Over het conceptwetsvoorstel dat de invoering van een elektronisch patiëntendossier (EPD) regelt, heeft het CBP een kritisch advies uitgebracht. Het openstellen van de kasten met patiëntendossiers voor alle zorgverleners brengt naar het oordeel van het CBP teveel risico s mee met het oog op de voor bijzonder gevoelige persoonsgegevens vereiste bescherming. Noodsituaties daargelaten zouden alleen zorgverleners die een behandelrelatie met de patiënt hebben, tot het dossier toegang moeten hebben. Anders bestaat de kans dat onbevoegden met medische gegevens aan de haal gaan. Het CBP heeft in 2007 ook negatief geadviseerd over het wettelijk verplicht stellen van het Elektronisch Kinddossier jeugdgezondheidszorg in het wetsvoorstel dat ziet op jeugdgezondheidszorg en infectieziekten. De noodzaak van een centrale elektronische opslag van gegevens was niet voldoende onderbouwd. Inmiddels heeft het kabinet laten weten niet langer te streven naar een centraal elektronisch kinddossier en zoekt het naar andere manieren om berichten in de jeugdgezondheidszorg uit te wisselen. Met de minister van VWS heeft het CBP afspraken gemaakt over de inzet van Privacy Enhancing Technology bij het gebruik van gegevens in het DBC-informatiesysteem en ten behoeve van de risicoverevening in het kader van de Zorgverzekeringswet. Handel en diensten Na de aankondiging van het CBP handhavend te zullen optreden tegen de onrechtmatige gecombineerde opslag van de naw-gegevens van reizigers en hun reisgegevens lijken de OV-bedrijven ten langen leste oog te hebben gekregen voor de Wbp-strijdige neveneffecten van de OV-chipkaart. In 2007 is onderzoek gedaan naar de werking van de kaart in een pilot in het Amsterdamse metronet, met als conclusie dat het OV-chipkaartsysteem onrechtmatig wordt toegepast. GVB en andere openbaarvervoerbedrijven hebben inmiddels toezeggingen gedaan om de praktijk Wbp-conform te maken. In het technische ontwerp voor de gegevensopslag wordt een scheiding aangebracht tussen de naw-gegevens enerzijds en de reisbewegingen anderzijds. Daardoor wordt het risico van het onrechtmatig volgen van het reisgedrag van individuele personen aanmerkelijk beperkt. In 2004 heeft de Stichting Fraude Aanpak Detailhandel een waarschuwingssysteem in het leven geroepen, dat bestaat uit een centraal bestand een zwarte lijst met de persoonsgegevens van alle personeelsleden die ernstige vergrijpen hebben gepleegd. Werkgevers kunnen dit bestand raadplegen voordat zij een sollicitant in dienst nemen. Aan deze doelstelling heeft het CBP zijn goedkeuring verleend. In 2007 is onderzoek gedaan naar de werking van het systeem. Daarbij is geheel in strijd met de destijds door de FAD zelf aangegeven grenzen onder meer gebleken dat niet alleen personen die ernstige vergrijpen hebben gepleegd in het bestand zijn 12 Jaarverslag 2007 > 2007 in het kort

15 opgenomen, maar ook veel vaak jonge werknemers die zich hebben schuldig gemaakt aan een relatief heel licht vergrijp. Daarover zijn zij in vele gevallen ook niet geïnformeerd. Het CBP heeft een aankondiging uitgevaardigd tot handhavend optreden om ervoor te zorgen dat het waarschuwingssysteem wordt gehanteerd in overeenstemming met de door de FAD in 2004 verstrekte informatie en het op basis daarvan goedgekeurde protocol. Verdere acties van het CBP betroffen zeer uiteenlopende onderwerpen: cameratoezicht in kleedruimtes van zwembaden, registratie van hotelgasten, de permanente screening van rechtspersonen, de naleving van de informatieplicht door particuliere recherchebureaus en het doorgeven van persoonsgegevens aan landen zonder voldoende beschermingsniveau. Internet Persoonsgegevens worden op heel veel manieren op het internet gepubliceerd en zijn over het algemeen wereldwijd, vierentwintig uur per dag toegankelijk voor een omvangrijk en divers publiek. Voor internetgebruikers onder wie veel kinderen van wie de persoonsgegevens op het web staan, kunnen de gevolgen onvermoed groot zijn. Om duidelijk te maken wat wel en niet is toegestaan bij het publiceren van persoonsgegevens op internet, heeft het CBP in 2007 richtsnoeren ontwikkeld en gepubliceerd. Aan de hand van deze leidraad kunnen verantwoordelijken beoordelen of publicatie van persoonsgegevens op internet is toegestaan. Ook is veel voorlichtingsmateriaal op de CBP-site geplaatst. Ten aanzien van minderjarigen is het CBP actief in het aangeven van de regels die gelden voor sociale netwerken en voor online marketing. De overheid maakt ook gebruik van het internet. Het CBP heeft in 2007 onderzoek gedaan naar de manier waarop de gemeente Nijmegen gegevens over bouwvergunningen bekend maakt. Daarbij kwamen integraal gescande aanvraagformulieren op het net, met niet alleen gegevens over het betrokken pand en de voorgenomen verbouwing, maar ook met de persoonsgegevens van de aanvrager, inclusief handtekening. Volgens het CBP moet de gemeente alleen de verplichte gegevens over het bewuste pand en de voorgenomen verbouwing op het internet plaatsen. De goede vervulling van een publiekrechtelijke taak rechtvaardigt nog niet dat een bestuursorgaan alle gegevens automatisch op het internet publiceert. Over de privacyaspecten van actieve openbaarmaking in het kader van de Wet openbaarheid van bestuur zal het CBP in 2008 eveneens richtsnoeren uitbrengen. Jaarverslag 2007 > 2007 In het kort 13

16 Samenwerking internationaal Het digitaal vastleggen van ons doen en laten houdt niet op bij de grens, of het nu gaat om reizen, werken bij een multinational of het overboeken van geld. Tegen de wind in van een groeiende hoeveelheid privacyonvriendelijke maatregelen werken privacytoezichthouders in internationaal verband en op Europees niveau intensief samen bij het bevorderen van een zo hoog mogelijk beschermingsniveau voor persoonsgegevens die worden uitgewisseld. 14 Jaarverslag 2007 > activiteiten

17 samenwerking internationaal Wat beschermen wij? Is de publicatie in een wetenschappelijk blad van een röntgenfoto met vermelding van een zeer ongewone voornaam van de patiënt een persoonsgegeven? Is informatie over de waarde van een bepaalde woning te beschouwen als een persoonsgegeven? Of de gegevens die afkomstig zijn uit het per satelliet volgen van taxi s ter verbetering van de dienstverlening? Zijn de regels voor gegevensbescherming al van toepassing vóór de geboorte? Omdat het begrip persoonsgegeven van Richtlijn 95/46/EG belangrijk is voor de toepassing en interpretatie van de regels voor gegevensbescherming heeft de Artikel 29-werkgroep van de Europese toezichthouders er een advies over opgesteld. Het CBP heeft een actieve inbreng gehad in het opstellen van het advies, dat op 20 juni 2007 is goedgekeurd en gepubliceerd. Het document is door het grote aantal voorbeelden goed bruikbaar voor de praktijk. Een brug slaan over de oceaan Wordt in Europees verband gestreefd naar gezamenlijke standpunten, ook de trans-atlantische kloof in de benadering van veiligheid en privacy kan worden verkleind. In een toespraak voor de jaarlijkse Internationale Conferentie van Toezichthouders op de bescherming van persoonsgegevens, die van september 2007 te Montreal plaatsvond, gaf CBP-voorzitter Jacob Kohnstamm aan hoe dit zou kunnen. Het Noordamerikaanse systeem legt de nadruk op repressie en schadevergoeding, het Europese op preventie en dataminimalisatie. De verschillende benaderingen zijn onder meer het gevolg van een andere kijk op de rol van de overheid en hebben gevolgen voor de manier waarop privacybescherming op beide continenten is geregeld. Kohnstamm meent dat het bij het bijeenbrengen van de wederzijdse sterke punten denkbaar is om op een belangrijk onderdeel van het Amerikaanse rechtssysteem vergoeding van eventuele schade in plaats van de nadruk op het voorkomen daarvan meer nadruk te leggen. Daaraan moeten dan wel fundamentele procedurele eisen worden toegevoegd, zoals handhaving van de rechtspositie van individuen, onafhankelijk toezicht en gelijke behandeling van iederéén, zowel Europese als Amerikaanse staatsburgers. Gebruik van passagiersgegevens Wat betreft het verstrekken van passagiersgegevens door luchtvaartmaatschappijen aan de Verenigde Staten in het kader van de terrorismebestrijding, lijkt de trans-atlantische kloof het afgelopen jaar juist minder overbrugbaar geworden. Het eerste verdrag dat hierover tussen de Europese Unie en de Verenigde Staten was gesloten, werd door een uitspraak van het Hof van Justitie van de EG op 30 mei 2006 vernietigd. Het tijdelijk verdrag dat daaropvolgend tussen de EU en de VS werd overeengekomen is in 2007 opgevolgd door een nieuwe overeenkomst. Dit bevat naar het oordeel van de gezamenlijke Europese toezichthouders nog veel ongunstiger voorwaarden dan het oorspronkelijke verdrag. Het CBP heeft de minister van Justitie in augustus 2007 geadviseerd het wetsvoorstel tot goedkeuring van het verdrag niet in te dienen, omdat in het verdrag op onverantwoorde wijze met persoonsgegevens wordt omgesprongen. Een net zo harde kritische noot is gekraakt over het voorstel van de Europese Commissie om ook binnen de Europese Unie passagiersgegevens te verzamelen voor opsporings- en vervolgingsdoeleinden in de strijd tegen internationale criminaliteit en terrorisme. Niet noodzakelijk, technisch onhelder en in strijd met artikel 8 van het Europees Verdrag voor de rechten van de mens. Zo karakteriseert CBP-voorzitter Jacob Kohnstamm het voorstel. De werkgroep van Europese privacytoezichthouders (WP29) en de Working Party on Police and Justice, waarin het CBP zitting heeft, hebben in een op 18 december 2007 aangenomen Opinie het voorstel aangeduid als wéér een stap op de weg naar een Europese surveillance society. Zij hebben een beroep op de Commissie gedaan om in een open debat met alle betrokken partijen, waaronder luchtvaartmaatschappijen en nationale parlementen, tot een evenwichtiger benadering te komen. > APK-reclame Ik kreeg gisteren aan mij gerichte reclame in de bus waarin een kentekenplaat was opgenomen met ons kenteken. Het bericht was: let op! Uw APK verloopt. Wij zijn nog nooit bij de garage die deze mailing deed geweest, en het is ook geen dealer. Wordt dit door de BOVAG of zo verspreid? Jaarverslag 2007 > activiteiten 15

18 > activiteiten Het Commissievoorstel voorziet in de verzameling van enorme hoeveelheden persoonsgegevens van alle passagiers die de EU inof uitvliegen, ongeacht of zij onder verdenking staan of volstrekt onschuldige reizigers zijn. Deze data zullen met het oog op profilering gedurende een disproportioneel lange periode van dertien jaar worden opgeslagen. Voor de strijd tegen internationaal terrorisme en georganiseerde misdaad is de noodzaak van de voorgestelde excessieve gegevensverzameling niet aangetoond. Bovendien wijzen de werkgroepen er op dat de grote mate van vrijheid die de lidstaten hebben voor het uitwerken van de richtlijn kan leiden tot ongewenste verschillen in interpretatie. De rechten van de betrokkenen zijn volstrekt onvoldoende gewaarborgd en het beschermingsniveau bij de doorgifte van gegevens naar derde landen is onhelder. Uit het Financieele Dagblad van 19 maart 2007: SWIFT Niet alleen luchtvaartmaatschappijen, ook banken geven persoonsgegevens door aan de Amerikaanse autoriteiten. Op dit terrein is in 2007 positief nieuws te melden. Het doorsluizen van bankgegevens vindt plaats, naar in de zomer van 2006 bekend is geworden, via SWIFT, een wereldwijd opererend dienstverlenend bedrijf voor financieel berichtenverkeer dat internationale overboekingen faciliteert. SWIFT slaat alle berichten op in twee verwerkingscentra, één in de EU en één in de VS. Sinds 9/11 verplichten de VS SWIFT bij dwangbevel om toegang te verschaffen tot in de VS opgeslagen gegevens. Na interventie van de Artikel 29-werkgroep waarin de Europese privacytoezichthouders verenigd zijn, heeft SWIFT in 2007 aangegeven in 2009 een nieuwe dataopslagvestiging in Zwitserland te zullen openen. Daarmee zal het probleem van de verstrekkingen aan de VS van inter-europese overboekingen worden opgelost. Een ander punt van kritiek was het feit dat rekeninghouders bij banken niet op de hoogte zijn gesteld van het feit dat hun gegevens worden doorgegeven. Het CBP heeft actie ondernomen om de Nederlandse financiële instellingen hun cliënten hierover op een correcte wijze te laten informeren. Op 9 januari 2007 heeft het CBP de individuele banken geschreven dat het verwacht dat zij zullen voldoen aan de informatieplicht van art. 33 Wbp. In een brief van 22 maart 2007 heeft het CBP de wijze van informeren nader gespecificeerd. Door de banken is een inhoudelijk door het CBP goedgekeurde advertentie geplaatst in de dagbladen. Tevens hebben de banken op hun websites melding gemaakt van de verstrekking van gegevens naar de VS in het kader van antiterrorisme wetgeving. Het informeren van hun cliënten doen banken vooralsnog op verschillende manieren. Zo hebben verschillende banken een pop-up of een link met de tekst van de advertentie binnen hun internet bankierenomgeving geplaatst en zijn banken hun cliënten schriftelijk gaan informeren. Een jaar later is de beslissing om, na de eenwording van de Europese betalingsmarkt (SEPA), puur Europese transacties niet meer te spiegelen naar de VS een feit: het nieuwe computer centrum zal in Zwitserland gevestigd worden. Kortom: na indringende besprekingen tussen het CBP en de elkaar opvolgende ministers van Financiën, Gerrit Zalm en Wouter Bos, en na de nodige tussen de Europese Data Protectie Autoriteiten gecoördineerde acties, waarbij het CBP in de richting van De Nederlandsche Bank en de Nederlandse Vereniging van Banken de nodige pressie uitoefende, is het lek van de onrechtmatige verstrekking van miljoenen bancaire gegevens van niets vermoedende Europese burgers naar de VS binnenkort grotendeels gedicht. De dreiging met de inzet van de handhavende bevoegdheden van het CBP in deze affaire in combinatie met politieke en publicitaire pressie heeft de bancaire wereld doen besluiten snel tot compliance met Europese privacy regelgeving over te gaan. Jacob Kohnstamm 16 Jaarverslag 2007 > activiteiten

19 samenwerking internationaal Doorgifte persoonsgegevens door multinationals De Artikel 29-werkgroep heeft de afgelopen jaren een gezamenlijk beleid ontwikkeld voor de behandeling van Binding Corporate Rules (BCR s), interne gedragscodes van multinationale ondernemingen op grond waarvan zij van de nationale toezichthouders een vergunning kunnen krijgen voor doorgifte van persoonsgegevens naar onderdelen van het bedrijf die in derde landen zijn gevestigd. Op de bijeenkomst van 14 november 2007 van het European Privacy Officers Network (EPON) is door het CBP een presentatie gegeven over BCR s. Bij de behandeling van de BCR s wordt eerst vastgesteld welke Data Protection Authority (DPA) de leidende toezichthouder, lead DPA, dient te zijn. Vervolgens onderhandelt de lead DPA met het betreffende bedrijf over de BCR totdat er overeenstemming is over een concept-tekst. Deze consolidated draft wordt aan de betrokken landen aangeboden met het verzoek commentaar te leveren. Na instemming door de landen leidt dit tot een final draft die wordt rondgestuurd ter goedkeuring. Vervolgens moet in sommige landen nog een formeel traject (melding of vergunning) worden doorlopen. Het CBP maakt zich internationaal sterk voor verdere verbetering en versnelling van de afstemmingsprocedure tussen de DPA s van de lidstaten. Europese toezichthouders: versterkt gezamenlijk toezicht op politie en justitie Ruimere uitwisseling van informatie en beschikbaarstelling van gegevens in het kader van opsporing aan justitie en politie in andere lidstaten kan alleen als er een toereikend en geharmoniseerd systeem beschikbaar is voor de bescherming van persoonsgegevens. Dit moet bovendien niet alleen gelden voor de uitwisseling tussen lidstaten onderling, maar ook voor de overdracht van gegevens aan derde landen en internationale instellingen. De Europese privacytoezichthouders maken zich ernstig zorgen over het verloop van de onderhandelingen over het concept Europees Kaderbesluit over de bescherming van persoonsgegevens in de derde pijler van het EU-verdrag. Tijdens de Europese Lenteconferentie van Data Protection Commissioners op 10 en 11 mei 2007 op Cyprus hebben de Europese toezichthouders dan ook een verklaring uitgegeven waarin zij nogmaals wijzen op de absolute noodzaak van een hoog beschermingsniveau voor persoonsgegevens die voor deze doeleinden worden uitgewisseld en hebben ze een dringend beroep gedaan op de lidstaten om de fundamentele rechten en vrijheden van de burgers in de Unie te respecteren en te versterken. Het CBP heeft namens de Europese conferentie de oproep aan de minister van Justitie en aan de Eerste en Tweede Kamer doorgeleid. Om in de toekomst beter en meer te gaan samenwerken op het politie- en justitieterrein is op Cyprus op initiatief van het CBP besloten om een werkgroep voor politie en justitie in te stellen, de Working Party on Police and Justice. Aan deze werkgroep zullen vertegenwoordigers van alle 27 lidstaten deelnemen met als doel een vinger aan de pols te houden bij de ontwikkelingen op justitieel en politieel gebied. De op Cyprus opgerichte werkgroep heeft (vooralsnog) geen officieel mandaat zoals de Artikel 29- werkgroep, maar de oprichting ervan toont dat de Europese toezichthouders vooruitlopen op hun taak en deze serieus nemen. > Sponsorloterij De heer X meldt dat hij op de een of andere manier wordt geconfronteerd met zaken waar hij absoluut niets mee te maken wil hebben, zoals de sponsorloterij, de staatsloterij en andere onzin. Hij wil dat er onmiddellijk een einde komt aan dit ongewenst gebruik van zijn gegevens voor onzinnige reclameboodschappen. Kan het CBP wat doen aan het tegengaan van ongewenste post? Jaarverslag 2007 > activiteiten 17

20 > activiteiten Eurodac Eurodac is een EU-breed systeem voor het vergelijken van vingerafdrukken van asielzoekers en in de EU aangetroffen illegaal verblijvende vreemdelingen. De database is gebaseerd op een hit/ no hitsysteem: lidstaten nemen vingerafdrukken af en vergelijken deze met de in het systeem aanwezige gegevens. Op deze wijze kan worden vastgesteld welke lidstaat krachtens de Conventie van Dublin als land van eerste aanvraag verantwoordelijk is voor de behandeling van een asielverzoek. Op 17 juli 2007 is het overkoepelend rapport van de Eurodac Supervision Coordination Group verschenen over het onderzoek naar de werking van Eurodac in de EU-lidstaten. Aan de orde kwamen onder meer bijzondere zoekacties in het systeem, het gebruik van Eurodac voor andere doeleinden dan alleen het asielbeleid en de kwaliteit van de gegevens. Het CBP dat namens de Eurodac Supervision Coordination Group de inspectie in Nederland uitvoerde, concludeerde dat over het geheel genomen geen oneigenlijk gebruik is geconstateerd. Op onderdelen, zoals het informeren van de gebruikers van het systeem, is wel verbetering mogelijk. Het CBP is daarnaast door de Europese Commissie in oktober 2007 gevraagd commentaar te leveren op het voornemen van de Commissie om vermoedelijk in het voorjaar van 2008 een voorstel te presenteren betreffende de toegang tot Eurodac voor opsporingsautoriteiten. Het CBP heeft via de Working Party on Police and Justice de Europese Commissie, Raad en Parlement laten weten vooralsnog niet in te zien op welke wijze een dergelijke toegang gerechtvaardigd zou kunnen zijn. > Foto op zwarte lijst Piet werkt bij een bedrijf dat een zwarte lijst hanteert voor het terugbrengen van gereedschappen. Daarop wordt bijgehouden hoe vaak je de gereedschappen te laat hebt teruggebracht. Als dat een x aantal keren gebeurt, krijg je geen gereedschap meer mee en wordt de manager ingeschakeld. Piet is de gelukkige bij wie dit wegens diverse omstandigheden is gebeurd. Maar nu is er naar degenen van de afdeling waar de tools worden verstrekt een mail gestuurd met zijn foto uit het smoelenboek. Mag er een zwarte lijst zijn die ook nog eens openbaar is aangeplakt en waarop zonder toestemming foto s zijn afgedrukt? 18 Jaarverslag 2007 > activiteiten