1. No category

achtergrondartikel

Privacy & Informatie
Colofon
Inhoud
Citeertitel: P&I 2006, .. (afkorting tijdschrift, jaartal, publicatienummer)
http://rechten.uvt.nl/lom2/privacy/P&I
P&I verschijnt 6 maal per jaar
Nr. 3
9e jaargang, juni 2006
131
Redactioneel / 105
132
Privacy als tunnelvisie: over de
strafprocessuele waarde van politiële
informatieverwerking / 106
133
Toets of de WBP binnen Vitalis wel vitaal is:
een onderzoek naar de mate waarin
de WBP wordt nageleefd binnen
De Vitalis Zorg Groep / 110
134
De toelaatbaarheid van drugs- en
alcoholtesten in de werkrelatie; een Europese
aangelegenheid? / 115
135
Tegenstrijdigheid tussen de opt-in regels? / 121
Redactie
Mr. Ch. Alberdingk Thijm (SOLV Advocaten, Amsterdam), S.M. Artz (College
Bescherming Persoonsgegevens), mr. E. Brouwer (Centrum voor Migratierecht,
Radboud Universiteit Nijmegen), mr. G.W.T.J. Michels (NPA), dr. mr. J. Nouwt
(Tilburg Institute for Law, Technology, and Society, UvT),
mr. J. M. Titulaer - Meddens (Privasee.nl), mr. P.R. Rodrigues (Anne Frank
Stichting), mr. H.H. de Vries (Kennedy Van Der Laan)
Redactieraad
Prof. mr. J.M.A. Berkvens (KUN), Prof. mr. H. Franken (RUL), mr. H. Gardeniers
(Net2Legal Consultants; Tilburg Institute for Law, Technology, and Society, UvT),
dr. J. Holvast (Holvast en Partner), R.J.M. van der Horst RA, (Consultant), Prof. mr.
J.J.C. Kabel (RUU), Prof. mr. H.W.K. Kaspersen (VU), E. Kindt, LL.M.
(Interdisciplinary Centre for Law & ICT, KU Leuven), Prof. mr. J.E.J. Prins (Tilburg
Institute for Law, Technology, and Society, UvT), drs. K.C. Sommer (INHolland,
School of Technology, Informatics, Haarlem), mr. J. Kohnstamm (CBP)
Redactiesecretariaat
Universiteit van Tilburg Tilburg Institute for Law, Technology, and Society,
mw. mr. J.M. Titulaer-Meddens, Postbus 90153, 5000 LE Tilburg,
e-mail: [email protected]
Uitgever: P&I is een uitgave van Kluwer BV. Kluwer, Postbus 23, 7400 GA Deventer,
tel. (0570) 633155, fax (0570) 633834.
Mr.drs. N.J.T. Duin, e-mail: [email protected]
Internet: www.kluwer.nl
Standaardpublicatievoorwaarden: Op iedere inzending van een bijdrage of informatie zijn van toepassing de Standaard-publicatievoorwaarden van Wolters
Kluwer Nederland BV, gedeponeerd ter griffie van de Rechtbank Amsterdam onder
nr. 217/1999; een kopie kan kosteloos bij de uitgever worden aangevraagd.
Abonnementen: Prijs jaarabonnement 2006 € 116,00 incl. BTW en verzendkosten.
Stud.prijs: 50% korting. Losse nummerprijs: € 23,00. Abonnementen kunnen op
elk gewenst moment worden aangegaan voor de duur van minimaal één jaar, te
rekenen vanaf het moment van eerste levering, en worden vooraf gefactureerd
voor de volledige abonnementsperiode, tenzij uitdrukkelijk schriftelijk anders is
overeengekomen. Abonnementen kunnen schriftelijk tot drie maanden voor de
aanvang van het nieuwe abonnementsjaar worden opgezegd. Bij niet-tijdige
opzegging wordt het abonnement automatisch met een jaar verlengd.
Abonnementenadministratie en productinformatie: Kluwer Afdeling Klantencontacten, Postbus 878, 7400 AW Deventer, tel. (0570) 673449, automatische
bestellijn (0570) 673511, fax (0570) 691555, e-mail [email protected]. Ook
adres-/naamswijzigingen d.m.v. verbeterd adreslabel aan voornoemd adres.
Gebruik persoonsgegevens: Kluwer BV legt de gegevens van abonnees vast voor de
uitvoering van de (abonnements-)overeenkomst. De gegevens kunnen door
Kluwer, of zorgvuldig geselecteerde derden, worden gebruikt om u te informeren
over relevante producten en diensten. Indien u hier bezwaar tegen heeft, kunt u
contact met ons opnemen.
Leveringsvoorwaarden: Op alle uitgaven van Kluwer zijn de algemene
leveringsvoorwaarden van toepassing. Deze kunt u lezen op www.kluwer.nl of
opvragen via telefoonnummer (0570) 673449.
Copyright: Alle rechten voorbehouden. Niets uit deze uitgave mag worden verveelvoudigd, opgeslagen in een geautomatiseerd gegevensbestand, of openbaar
gemaakt, in enige vorm of op enige wijze, hetzij elektronisch, mechanisch, door
fotokopieën, opnamen, of enige andere manier, zonder voorafgaande schriftelijke
toestemming van de uitgever.
Reprorecht: Voorzover het maken van kopieën uit deze uitgave is toegestaan op
grond van art. 16h t/m 16m Auteurswet 1912 jo. Besluit van 27 november 2002,
Stb. 575, dient men de daarvoor wettelijk verschuldigde vergoeding te voldoen
aan de Stichting Reprorecht Postbus 3051, 2130 KB Hoofddorp.
Vormgeving: ARTS grafische vormgeving, Wijhe
Hoewel aan de totstandkoming van deze uitgave de uiterste zorg is besteed, aanvaarden de auteur(s), redacteur(en) en uitgever(s) geen aansprakelijkheid voor
eventuele fouten en onvolkomenheden, noch voor gevolgen hiervan.
ISSN 1388-0241
Mr. H.H. Kielman en mr. W.I. Koelewijn
Mr. ir. ing. S.J.T. van der Pol
Mr. F. Smits
Mr. M.E. van der Zijde
BERICHTEN UIT BRUSSEL
Mr. J. Kohnstamm en drs. M.A.H Fontein
136
Interpretatie & harmonisatie: het
werkprogramma van de Artikel 29werkgroep voor 2006 en 2007 / 127
RECHTSPRAAK
Mr. P.R. Rodrigues
137
De voorzieningenrechter: een streng
islamitische geloofsovertuiging mag op
zichzelf geen reden tot verstoring zijn / 129
UITGELICHT
Dr. L. Dubbeld
138
Privacybeleid van Nederlandse telemedicine
websites / 132
ACTUALITEITEN
139 Privacy algemeen / 137
144 Internationaal / 138
149 Techniek / 139
154 Bedrijfsleven / 141
155 Overheid / 142
157
Zorg, welzijn en onderwijs / 144
165 Arbeid / 147
167 Politie en justitie / 147
177
Bookmark / 151
178
Agenda / 152
179
Berichten van het College bescherming
persoonsgegevens / 153
Redactioneel
131
Prins Willem Alexander, Máxima en hun dochtertje Amalia
mochten zich ‘vrij en onbespied’ wanen toen zij zich hadden
afgezonderd op een strand nabij het vakantiehuis van de
Koninklijke Familie. Het heimelijk, over grote afstand met
een telelens fotograferen van het gezin was in strijd met
hun portretrechten. Dat heeft de Rechtbank Amsterdam op
29 maart 2006 kortweg bepaald in een zaak tussen enerzijds Prins Willem Alexander en Máxima en anderzijds het
weekblad Privé.1 De uitspraak betekent flinke winst voor de
persoonlijke levenssfeer van leden van de Koninklijke
Familie en andere bekende Nederlanders die blootstaan aan
het gegluur van paparazzi.
Het portretrecht, waar het in deze zaak om draaide, leidt een
eenzaam bestaan. Het is opgenomen in art. 19-21 van de
Auteurswet 1912 (Aw), in het hoofdstuk beperkingen. Het
portretrecht heeft echter bitter weinig met het auteursrecht
te maken, laat staan dat het een beperking op dat recht is. Bij
het portretrecht gaat het veeleer om de spanning tussen het
recht op privacy en de vrijheid van meningsuiting. Op grond
van art. 21 Aw kan de geportretteerde zich verzetten tegen
openbaarmaking van het portret indien deze daar een ‘redelijk belang’ bij heeft. In de jurisprudentie is uitgemaakt dat
het recht op privacy zo’n redelijk belang is. Dit belang dient
echter wel afgewogen te worden tegenover het belang van
de vrijheid van meningsuiting. Om te beoordelen welke van
de belangen voor gaat, wordt rekening gehouden met een
myriade van factoren.
De uitspraak van de Rechtbank Amsterdam kan wel als de
Nederlandse variant van de Prinses Caroline-zaak worden
beschouwd (zie ook de rubriek Bookmark in dit nummer).
In die zaak oordeelde het EHRM dat de beperkte wijze
waarop de Duitse rechter het Duitse portretrecht had geïnterpreteerd in strijd was met art. 8 EVRM. Het EHRM lijkt
daarbij ook belang te hechten aan het feit dat het maken
van foto’s voor roddelbladen dikwijls gepaard gaat met ‘continual harassment’.
Het recht op privacy is mede tot ontwikkeling gekomen
vanwege de hinder die de pers veroorzaakte door ‘instantaneous photographs’. Het was voor Warren en Brandeis
reden om in hun beroemde Harvard Law Review-artikel The
Right to Privacy te pleiten voor een recht dat bescherming
moet bieden tegen ‘unauthorized circulation of portraits’ en
‘the evil of invasion of privacy by the newspapers’.2
Het portretrecht heeft vervolgens het pad geëffend voor het
meer algemene leerstuk van (relationele) privacy. De
bescherming van het recht op privacy in het EVRM en zoals
dat is ontwikkeld in de Nederlandse jurisprudentie is van
latere datum. Het gevolg is dat er twee aparte toetsingskaders zijn ontstaan. Eén voor inbreuk op portretrechten en
1
2
3
4
Rb. Amsterdam 29 maart 2006, LJN: AV7581 (Prins WillemAlexander e.a./De Telegraaf).
Warren en Brandeis, ‘The Right to Privacy’, Harvard Law Review
1890/5,
<http://www.lawrence.edu/fast/BOARDMAW/Privacy_brand_warr
2.html>
HR 6 januari 1995, NJ 1995, 422, m.nt. EJD (Het Parool/Van
Gasteren).
Vgl. HR 21 januari 1994, NJ 1994, 473, m.nt. DWFV.
P&I
één voor meer algemene schendingen van het recht op privacy. Denk bijvoorbeeld aan het Van Gasteren-arrest van de
Hoge Raad, waarbij in het geval van een perspublicatie eenzelfde afweging wordt gemaakt tussen het recht op privacy
van cineast Van Gasteren en de vrijheid van meningsuiting
van Het Parool.3 Er is natuurlijk geen enkele reden om ter
beoordeling van de vraag welk van deze grondrechten in het
geval van een schending van het portretrecht voorrang heeft
anders te werk te gaan.4
Het wordt tijd het portretrecht te verlossen van zijn eenzame
bestaan en de bescherming van het portret te beoordelen op
grond van de algemene bescherming van de persoonlijke
levenssfeer, net zoals EHRM dat heeft gedaan in de Carolinezaak. Het toetsingskader wordt dan geharmoniseerd. Dat
heeft als bijkomend voordeel dat het portretrecht niet langer
het exclusieve domein is van auteursrechtjuristen. Want
laten we eerlijk zijn: wat weten die nou van privacy?
Aansluitend op het voorafgaande staat in deze aflevering
van P&I de rubriek Bookmark in het teken van het portretrecht en de privacy van bekende Nederlanders.
Voorts gaan Hugo Kielman en Wouter Koelewijn in hun bijdrage aan dit nummer in op de privacybenadering bij informatieverwerking door politie en justitie.
Informatieverwerking door politie en justitie staat steeds
meer in het teken van de strijd tegen terrorisme. Vanaf dit
nummer wil de redactie telkens ten minste één bijdrage
opnemen die de spanning tussen privacy en maatregelen
tegen terrorisme behandel.
Tevens bevat dit nummer een drietal artikelen van de genomineerden voor de privacyscriptieprijs 2004-2005. De privacyscriptieprijs wordt eens per twee jaar door de Stichting
Privacy en Registratie uitgereikt aan een student, die een
voor de bescherming van de persoonlijke levenssfeer verdienstelijke scriptie heeft geschreven. De prijs wordt toegekend door een onafhankelijke jury en bestaat uit een vliegticket naar het eerstvolgende Internationale Congres van
Data Commissioners en de hotelkosten voor een verblijf van
drie dagen. Van de ingediende scripties zijn er drie
(inmiddels afgestudeerde) studenten genomineerd. Die drie
genomineerden hebben hun scriptie bewerkt tot een kort
artikel. Die artikelen zijn in dit nummer gepubliceerd.
Stephan van der Pol beschrijft in zijn artikel het door hem
uitgevoerde onderzoek naar de naleving van de WBP binnen
de Vitalis Zorg Groep te Eindhoven. Vervolgens gaat Floortje
Smits in op de toelaatbaarheid van het afnemen van alcohol- en drugstesten bij werknemers. Tot slot behandelt
Marian van der Zijde de vraag naar de rechtmatigheid van
direct marketingcommunicatie via e-mail- en sms-berichten en de verhouding tussen de toepasselijke regels uit de
WBP, de Telecommunicatiewet en het Burgerlijk Wetboek.
Op 17 mei jl. is tijdens het door het CBP georganiseerde
symposium ‘Internet en privacy’, dat tevens werd georganiseerd ter gelegenheid van het afscheid van Jan Willem
Broekema als collegelid (en tevens jurylid van de privacyscriptieprijs), de privacyscriptieprijs uitgereikt aan winnares
Marian van der Zijde. Floortje Smits en Stephan van der Pol
eindigden ex aequo op de tweede plaats. Zij ontvingen als
troostprijs een eervolle vermelding in de vorm van een certificaat en een fles wijn. Alle drie genomineerden ontvingen
voorts van Kluwer een jaarabonnement op Privacy &
Informatie. (CAT/SN)
Afl. 3 – juni 2006
105
Mr. H.H. Kielman en mr. W.I. Koelewijn*
Privacy als tunnelvisie: over de strafprocessuele
waarde van politiële informatieverwerking
132
Trefwoorden:
Politiegegevens, terrorisme, informationele opsporingsmethoden, datamining
Aan een normschending uit de Wet politieregisters
wordt door de Nederlandse strafrechter geen sanctie verbonden. Het gegevensbeschermingsrecht beschermt
namelijk niet het strafvorderlijk belang van de verdachte, maar uitsluitend diens privacy. Maatschappelijke
en technologische ontwikkelingen nopen tot een heroverweging. In deze bijdrage wordt betoogd dat bij politiële informatieverwerking strafvorderlijke belangen wel
degelijk in het geding zijn.
Inleiding
1
In het onderzoek naar de Schiedammer parkmoord is het
behoorlijk misgegaan. Technisch onderzoek op de plaats
delict werd slecht uitgevoerd, gerichte dadertips werden
over het hoofd gezien en ontlastend DNA-materiaal werd
achtergehouden.1 Deze onthullingen hebben duidelijk
gemaakt dat openheid over opsporingsmethoden absoluut
noodzakelijk is voor het behoud van een behoorlijke strafrechtspleging. Het wekt dan ook verwondering dat een deel
van het politieoptreden niet door de rechter getoetst wordt
tijdens het strafproces. Wij doelen op de voor opsporing
relevante verwerking van politiële informatie, welke wordt
gereguleerd door de Wet politieregisters (Wpolr). De vraag
rijst waarom dit niet door de strafrechter wordt getoetst.
Het antwoord moet worden gezocht in het feit dat de Wpolr
vrijwel uitsluitend vanuit het privacyperspectief van art. 10
lid 2 en 3 Grondwet wordt benaderd. De officiële titel van
de Wpolr geeft daarvoor alle aanleiding: ‘Wet (…) houdende regels ter bescherming van de persoonlijke levenssfeer in verband met politieregisters’. De gevolgen die verbonden zijn aan het gebruik van persoonsgegevens door de
politie, achtte de wetgever ‘gemeengoed’, zodat het nader
onderbouwen daarvan niet noodzakelijk werd geacht.2 Op
dit moment ligt het wetsvoorstel Wet politiegegevens
(hierna: het wetsvoorstel) bij de Tweede Kamer. Deze wet
zal de Wpolr gaan vervangen. Ook daarin blijft de argumentatie binnen het privacykader. Deze privacybenadering heeft
zodoende tot gevolg dat de wijze waarop politiegegevens
worden verwerkt niet wordt getoetst door de strafrechter.
De normen uit de Wpolr beschermen de privacy en niet het
strafvorderlijk belang van de verdachte. De privacybenadering verschilt daarmee van de discussie rond strafvorderlijke
opsporingsmethoden. Wij zetten daarbij onze vraagtekens.
De tijd dat het gebruik van persoonsgegevens uitsluitend
een administratieve en ondersteunende functie heeft ligt
inmiddels achter ons. Is het niet zo dat maatschappelijke en
technologische ontwikkelingen met zich mee brengen dat
sommige vormen van informatiegebruik door de politie als
zelfstandige opsporingsmethoden kunnen worden gekwalificeerd? En zouden er dan niet ook strafvorderlijke belangen
in het geding komen? Met dit artikel beogen we een aanzet
te geven tot discussie over de strafprocessuele waarde van
het wetsvoorstel.
De gevolgen die in het strafproces worden verbonden aan
een normschending uit de Wpolr worden in sterke mate
beïnvloed door de privacybenadering. De Hoge Raad stelt
zich op het standpunt dat de normen uit de Wpolr niet
strekken tot de bescherming van het strafvorderlijk belang
van de verdachte.3 De Hoge Raad bestempelt daarmee de
Wpolr tot privacywetgeving en creëert daarmee een onderscheid tussen de normen uit de Wpolr en strafvorderlijke
normen. Schending van de normen uit de Wpolr resulteren
in een strafprocedure in beginsel dan ook niet tot bewijsuitsluiting of niet-ontvankelijkheid van het Openbaar
Ministerie (OM). Dat is in lijn met de Europese rechtspraak
over de doorwerking van privacyschendingen in het strafproces. Het is immers vaste rechtspraak van het Europees
Hof voor de rechten van de mens (EHRM) dat schendingen
van het recht op privacy (art. 8 EVRM) niet automatisch leiden tot een schending van het ‘fair trial’ beginsel (art. 6
EVRM).4
1
*
Hugo Kielman ([email protected]) en Wouter
Koelewijn ([email protected]) zijn beiden als aio
verbonden aan eLaw@leiden, centrum voor recht in de informatiemaatschappij, Universiteit Leiden. Zij verrichten promotieonderzoek in het kader van het ANITA-project, gefinancierd
door het TOKEN-programma van NWO onder nummer
634.000.017. Zij danken Jaap van den Herik, Laurens Mommers
en Aernout Schmidt voor hun commentaar op eerdere versies
van dit artikel. Citeertitel: H.H. Kielman & W.I. Koelewijn, ‘Privacy
als tunnelvisie: over de strafprocessuele waarde van politiële
informatieverwerking’, P&I 2006, 132.
106
De strafrechtpraktijk
2
2
3
4
‘Netwerk’, EO/KRO/NCRV, Nederland 1, 5 september 2005. Th.A. de
Roos, ‘De Schiedamse Parkmoord’, NJB 2005, p. 145. F. Posthumus,
Evaluatieonderzoek in de Schiedammer parkmoord. Rapportage
in opdracht van het College van procureurs-generaal, te downloaden op <http://www.justitie.nl> ‘Zembla – Blunders na een kindermoord’, VARA, Nederland 3, 28 november 2005.
Kamerstukken II 1985/86, 19 589, nr. 3, p. 1-2.
HR 7 februari 1995, NJ 1995, 308. Bespreking arrest: M. Goos,
‘Schending Wet politieregisters geen gevolgen in strafzaak’,
Computerrecht 1995/3, p. 132-133.
EHRM 12 juli 1988 (Schenk) en EHRM 12 mei 2000 (Khan), NJCMbulletin 2000, p. 1255-1261.
Afl. 3 – juni 2006
P&I
privacy als tunnelvisie: over de strafprocessuele waarde van politiële informatieverwerking
Thans moet een normschending uit de Wpolr beoordeeld worden binnen het kader van de Wet vormverzuimen,
die na het aangehaalde arrest van de Hoge Raad in werking
is getreden. Schending van de normen uit de Wpolr zou in
strafrechtelijke zin geduid moeten worden als het verzuim
van vormen. Indien een dergelijk vormverzuim tijdens een
voorbereidend onderzoek niet meer hersteld kan worden,
heeft de rechter de bevoegdheid (1) de straf te verminderen,
(2) de resultaten van het betreffende onderzoek te laten uitsluiten van bewijs en (3) het OM niet-ontvankelijk te verklaren.5 Tevens kan de rechter het laten bij de constatering dat
vormen zijn verzuimd, zonder daaraan een direct gevolg te
verbinden.6 De rechter hoeft een dergelijk onderzoek niet
ambtshalve uit te voeren. Het ligt op de weg van de verdediging om, aan de hand van het beoordelingskader dat in lid 2
van art. 359a Sv is gegeven, aan te tonen dat vormen zijn
verzuimd en welke sanctie aan dat verzuim dient te worden
verbonden.7 Daarbij moet volgens art. 359a Sv rekening
worden gehouden met (1) ‘het belang dat het geschonden
voorschrift dient’, (2) ‘de ernst van het verzuim’ en (3) ‘het
nadeel dat daardoor wordt veroorzaakt’.
Wanneer het gaat om de gegevensverwerking door de
politie is met name de eerste wegingsfactor interessant. In
lijn met de aangehaalde uitspraak van de Hoge Raad ligt het
voor de hand te veronderstellen dat aan een schending van
de normen uit de Wpolr geen sanctie zal worden verbonden.8 De Wpolr beschermt immers de privacy en niet het
strafvorderlijk belang van de verdachte. In die redenering is
‘het belang dat het geschonden voorschrift dient’ niet strafprocesrechtelijk. Als gevolg hiervan wordt de legitimerende
functie van de Wpolr in de praktijk alleen ingeperkt door de
privacy en niet door de andere grondrechten. Deze benadering zou volstaan als het gebruik van politiegegevens zich
beperkt tot een administratieve ondersteuning van de politietaak. Wij vragen ons af of dat, onder invloed van maatschappelijke en technologische ontwikkelingen, anno 2006
nog steeds het geval is.
3
Het strafvorderlijk belang van het
wetsvoorstel
Blok heeft overtuigend betoogd dat het gebruik van persoonsgegevens niet alleen de privacy kan schenden, maar in
beginsel ook afbreuk kan doen aan een breder scala van
grondrechten. Het gebruik van één privacynoemer is te
Art. 359a lid 1 onder respectievelijk a, b, c Sv.
Zie bijvoorbeeld Hof ’s-Gravenhage 23 april 2004, LJN-nummer
AO9376.
7 HR 30 maart 2004, LJN-nummer AM2533.
8 Zie bijvoorbeeld de conclusie van A-G Michielse bij HR 18 januari
2005, LJN-nummer AR2932.
9 P.H. Blok, ‘De splitsing van privacy. Advies over het grondrecht op
privacy in het digitale tijdperk’, AA 2001, p. 435-439.
10 Zie bijvoorbeeld: Hof ’s-Hertogenbosch 14 april 2003, NJ 2003,
478.
11 Y. Buruma, ‘Schade en schuld bij het verstrekken van politiële
informatie’, in: A. van Ruth & L.G. Moor, Lekken of verstrekken? De
informele informatie-uitwisseling tussen opsporingsinstanties en
derden, Ubbergen: Tandem Felix 1997, p. 306-307.
beperkt.9 Een dergelijke zienswijze wringt ook met de benadering van strafvorderlijke opsporingsmethoden. Bij een
onrechtmatige huiszoeking wordt ook niet gesteld dat de
verdachte door die normschending wel in zijn privacy is
getroffen, maar dat de vrucht daarvan vervolgens toch
gebruikt mag worden in de strafprocedure.10
Bescherming is niet de enige functie van de Wpolr.
Buruma wees er in 1997 al op dat te veel nadruk wordt
gelegd op de beschermingsfunctie van de Wet politieregisters, waardoor er sprake is van een ‘onterechte reductie tot
privacyproblemen’.11 Tegenover deze wettelijke beschermingsfunctie staat de instrumentele functie, waarin de wet
wordt gezien als een legitimerend instrument voor de overheid. Over het algemeen wordt aangenomen dat niet-ingrijpende instrumenten geen specifieke wettelijke grondslag
behoeven, maar hun grondslag vinden in art. 2 Politiewet
1993 (Pw), waarin de politietaak is neergelegd.12 Voor de
verwerking van persoonsgegevens wordt specifieke wetgeving wel noodzakelijk geacht.13 De Wpolr neemt als uitgangspunt dat de bevoegdheden die in de wet staan
omschreven alleen mogen worden aangewend ten behoeve
van de politietaak. Het gaat dan bijvoorbeeld om opslaan,
bewaren en uitwisselen van informatie waardoor het
opbouwen en in stand houden van een informatiepositie
mogelijk is. Daarmee zijn die bevoegdheden een instrument
dat bijdraagt aan een behoorlijke taakuitoefening. Het
belang van die bijdrage is algemeen geaccepteerd.14 Een duidelijk voorbeeld van een bevoegdheid die de administratieve en ondersteunende functie ontstijgt is gerichte datamining. Deze vorm van datamining wordt ingezet naar
aanleiding van een concrete verdenking of een aanwijzing
en richt zich op een specifieke groep of persoon.15 Een
gericht dataminingsonderzoek op een aantal radicale internetforums in combinatie met politiegegevens kan bijvoorbeeld nieuwe informatie over een terroristische groepering
opleveren en zodoende een bijdrage leveren aan de opsporing van moslimterrorisme. Ook kan gewezen worden op de
CT infobox.16 Daarin worden politiegegevens geautomatiseerd verwerkt in combinatie met gegevens van de veiligheidsdiensten, het OM en de vreemdelingendienst. Door
toepassing van datamining worden uit de aanwezige databestanden de relevante gegevens gefilterd.
Het is kortom niet de kunst om informatie te verzamelen, maar om daaruit de voor de opsporing relevante informatie te selecteren. De bevoegdheden die dat laatste moge-
5
6
P&I
12 Zie met betrekking tot inbreuken op de persoonlijke levenssfeer
HR 19 december 1995, NJ 1996, 249 (Zwolsman-arrest).
Aangehaald in G.J.M. Corstens, Het Nederlands Strafprocesrecht,
Deventer: Kluwer 2002, p. 260.
13 HR 19 december 1995, NJ 1996, 249.
14 G.J.M. Corstens, p. 279.
15 R. Sietsma, J. Verbeek & J. van den Herik, Datamining en opsporing,
Toepassing van datamining ten behoeve van de opsporingstaak:
strafprocesrecht versus recht op privacy, Den Haag: Sdu Uitgevers
2002, p. 59.
16 Kamerstukken II 2004/05, 30 070, nr. 6.
Afl. 3 – juni 2006
107
privacy als tunnelvisie: over de strafprocessuele waarde van politiële informatieverwerking
lijk maken duiden wij aan met ‘informationele opsporingsmethoden’. Wij constateren een opvallende overeenkomst
tussen de aard van deze ‘informationele opsporingsmethoden’ en strafvorderlijke opsporingsmethoden. Enerzijds
wordt bescherming geboden tegen verregaande inbreuken
op de grondrechten van burgers door de politie; inbreuken
die anderzijds belangrijke instrumenten zijn voor de opsporing. Het doel van de toepassing van dergelijke ‘informationele opsporingsmethoden’ is daarmee hetzelfde als een
strafvorderlijke opsporingsmethode, namelijk: nieuwe kennis verkrijgen. Die kennis kan bijvoorbeeld meewerken aan
het construeren van een strafrechtelijke verdenking of
gebruikt worden als bewijs in een individuele strafzaak. Dat
verkrijgen van die nieuwe kennis is noodzakelijkerwijs
gebonden aan een aantal voorwaarden. Ook materieel zijn
er dus overeenkomsten. Zo is gerichte datamining een
zwaar middel dat onder het wetsvoorstel, evenals de toepassing van bijvoorbeeld een bijzondere opsporingsbevoegdheid, onder de verantwoordelijkheid van een officier
van justitie mag worden toegepast.17 Uit art. 1 Sv, vloeit
voort dat de basis voor dergelijke opsporingsmethoden
moet zijn neergelegd in een formele wet. Als het gaat om de
toepassing van technieken als gerichte datamining voorziet
de Wpolr daarin. De Wpolr heeft daarmee een sterke legitimerende instrumentele werking. Om deze redenen zijn
deze ‘informationele opsporingsmethoden’, net zoals strafvorderlijke opsporingsmethoden, terug te voeren op het
Wetboek van Strafvordering. Een duidelijker strafvorderlijk
belang van de verdachte kan er niet zijn, dunkt ons. Een
soortgelijke conclusie trekt ook Buruma.18
De recente ontwikkelingen op wetgevingsgebied zijn in
dit verband opvallend. Het legitimerend effect krijgt daarin
namelijk een nog prominentere rol. Zo stelt het kabinet in
de memorie van toelichting bij het wetsvoorstel dat meer
bevoegdheden nodig zijn om politiegegevens beter te kunnen gebruiken ter uitvoering van de politietaak. De mogelijkheden daartoe zijn ofwel te beperkt ofwel anticiperen
onvoldoende op de huidige technologische ontwikkelingen.
Daarbij verwijst het kabinet weliswaar naar het spanningsveld met de privacy, maar de noodzaak tot een uitbreiding
van de bevoegdheden is de hoofdaanleiding voor de voorgestelde regimewijziging.19 In dat nieuwe regime wordt het
mogelijk ‘zeer geavanceerde zoekmethoden’ bij een opsporingsonderzoek in te zetten op ‘alle beschikbare politiegegevens’.20 Betrek bij alle politiegegevens de gegevens uit openbare en commerciële bronnen en het is mogelijk om
bijvoorbeeld gedetailleerde profielen en beelden van personen te verkrijgen. En ook in de hoeveelheid informatie
waarvan gebruik kan worden gemaakt is een groei waarneembaar. De digitale sporen die je als burger achter laat
nemen in omvang toe en staan in honderden databases
geregistreerd. Al die gegevens worden door de overheid
17 Art. 11 lid 4 van het wetsvoorstel.
18 Y. Buruma e.a., Jaarboek wet politieregisters 2003, Deventer:
Kluwer 2003, p. 54. Zie ook: R. Sietsma e.a., p. 144.
19 H.H. Kielman & W.I. Koelewijn, ‘Minder registers, meer gegevens.
Over gegevensverwerking betreffende zware criminaliteit’, AA
2005, p. 451-457.
20 Kamerstukken II 2005/06, 30 327, nr. 3, p. 11.
108
zoveel mogelijk beschikbaar gemaakt voor de inzet van
‘informationele opsporingsmethoden’. De voorgenomen
opslag van verkeersgegevens is daarvan een goed
voorbeeld.21 Alleen op basis van deze verkeersgegevens is al
af te leiden wat de interesses van een persoon zijn, welke
vakantieplannen hij heeft, welke activiteiten hij in zijn
dagelijks leven ontplooit en met wie deze persoon contacten onderhoudt. De ‘informationele opsporingsmethoden’
zijn dan ook, zoals het kabinet het noemt, ‘bijzonder ver
strekkend’.22
4
Conclusie
Het voorgaande leidt tot de conclusie dat bij het gebruik van
politiegegevens een verschuiving waarneembaar is van een
louter administratieve ondersteuning van de politietaak
naar een zelfstandig opsporingsmiddel. De hierboven
geduide inzichten en ontwikkelingen zijn dan ook aanleiding om het strafvorderlijk belang van de normen uit de
Wpolr en het wetsvoorstel te erkennen. De opvatting dat dit
niet het geval is, is naar onze mening achterhaald. Dit
brengt met zich mee dat een verzuim van vormen uit deze
wetten in beginsel moet leiden tot een van de sancties die
voortvloeien uit art. 359a Sv. Aan de schending van strafprocessuele normen dienen immers relevante sancties te worden verbonden.23 Het is aan de rechter om te oordelen
welke sancties in de gegeven omstandigheden passend zijn.
Ons pleidooi is uitsluitend gericht op de erkenning van de
strafvorderlijke aard van de bevoegdheden uit het wetsvoorstel. Met deze benadering bevinden wij ons echter lijnrecht tegenover de heersende opvatting op dat gebied, een
opvatting die recent duidelijk naar voren kwam in het evaluatierapport Wet bijzondere politieregisters. De onderzoekers bevelen daarin aan om inzageverzoeken in politieregisters die bedoeld zijn om er ‘in strafvorderlijke zin’
voordeel mee te behalen, te weigeren.24 Een aanbeveling die
ons zorgen baart omdat het juist op de weg van de verdediging ligt om aan te tonen dat bepaalde bevoegdheden op
onrechtmatige wijze zijn ingezet.
Nu het kabinet voorstelt om de bevoegdheden tot politiële
informatieverwerking uit te breiden, is het de hoogste tijd
om de ingesleten conventies te doorbreken en de strafvorderlijke belangen onder ogen te zien. Met de parlementaire
behandeling van het wetsvoorstel is nu het moment aangebroken om de discussie over de strafprocessuele waarde
daarvan te voeren. Het wetsvoorstel is daarvoor wel aanleiding, maar de formulering ervan geeft daartoe geen aanzet.
Het zwijgt op dit punt en blijft blijk geven van een uitsluitend op privacy gerichte tunnelvisie. Het gevaar dreigt dat
de politie daarmee een ‘vrijbrief’ krijgt bij de inzet van
informationele opsporingsbevoegdheden. Dat is immers het
gevolg wanneer de politiële informatieverwerking aan het
21 A. Schmidt & G-J. Zwenne, ‘Recht en risico: kanttekeningen bij het
voorstel voor een richtlijn over de bewaring van telecommunicatieverkeersgegevens’, Mediaforum 2005, p. 292-302.
22 Kamerstukken II 2005/06, 30 327, nr. 3, p. 11.
23 HR 26 juni 1962, NJ 1962, 470 (Tweede Bloedproef-arrest).
24 Rapport van de evaluatiecommissie Wet bijzondere politieregisters,
’s-Gravenhage: WODC 2005, p. 164.
Afl. 3 – juni 2006
P&I
privacy als tunnelvisie: over de strafprocessuele waarde van politiële informatieverwerking
blikveld van de strafrechter wordt onttrokken. Het onderzoek naar de Schiedammer parkmoord heeft nog eens benadrukt dat volledige openheid van zaken over het bewijsmateriaal en de wijze van opsporing absoluut noodzakelijk is
om recht te kunnen doen aan de beginselen van een
behoorlijke strafrechtspleging. Het gebruik van persoonsgegevens bij de opsporing behoort daarop geen uitzondering
te zijn.
P&I
Afl. 3 – juni 2006
109
Mr. ir. ing. S.J.T. van der Pol*
Toets of de WBP binnen Vitalis wel vitaal is: een
onderzoek naar de mate waarin de WBP wordt
nageleefd binnen De Vitalis Zorg Groep
133
Trefwoorden:
WBP, privacybeginselen, NEN7510, gezondheidszorg
Dit artikel is een bewerking van de doctoraalscriptie
welke, ter afsluiting van de studie Nederlands recht aan
de Universiteit van Tilburg, op 20 april 2005 met succes is
verdedigd. Onderwerp van deze scriptie was een onderzoek naar de naleving van de Wet Bescherming
Persoonsgegevens (WBP)1 binnen De Vitalis Zorg Groep,
immers ook op Vitalis rust de plicht verwerkingen van
persoonsgegevens zorgvuldig en in overeenstemming
met de wet te laten plaatsvinden. Een overzicht van verwerkingen alsmede van de concrete eisen die aan verwerkingen worden gesteld is noodzakelijk om dit te kunnen beoordelen. Gebaseerd op kernbegrippen uit de wet
is een instrument ontwikkeld waarmee de verwerkingen
van Vitalis kunnen worden geïnventariseerd, beschreven
en getoetst aan de privacybeginselen transparantie, doelbinding, rechtmatige grondslag, kwaliteit, beveiliging en
bewaartermijnen.
Hoe complex toepassing van de WBP ook mag zijn, vanuit de praktijk blijkt deze wet toch een bruikbaar instrument; voor een organisatie die niet dagelijks met deze
materie werkt biedt de wet een praktisch startpunt en
werkt als een vuurtoren waarmee verantwoordelijken en
betrokkenen op koers kunnen blijven bij het zoeken
naar antwoorden op vragen over informationele privacy.
Achtergrond, aanleiding en doel van het
onderzoek
1
Stephan van der Pol is ICT-manager van De Vitalis Zorg Groep.
Citeertitel: S.J.T. van der Pol, ‘Toets of de WBP binnen Vitalis wel
vitaal is: een onderzoek naar de mate waarin de WBP wordt nageleefd binnen De Vitalis Zorg Groep’, P&I 2006, 133.
110
Opzet en opbouw onderzoek
2
Stichting De Vitalis Zorg Groep en de twee hieraan gelieerde
rechtspersonen vormen samen een organisatie die diensten
aanbiedt aan senioren op het gebied van wonen, zorg en
welzijn. Deze drie rechtspersonen kennen een gezamenlijke
Raad van Bestuur en Raad van Toezicht. De Vitalis Zorg
Groep heeft in totaal twintig vestigingen en er werken
momenteel 1390 medewerkers op circa 870 formatieplaatsen. De Vitalis Zorg Groep huisvest circa 3000 senioren, een
aantal dat zal stijgen tot meer dan 3600 bewoners in de toekomst.
De dienstverlening vraagt overeenkomsten tussen
bewoner en organisatie met betrekking tot wonen, verzor-
*
ging, verpleging en andere diensten. Het sluiten en nakomen van deze overeenkomsten vraagt vastlegging en verwerking van grote hoeveelheden gegevens, niet alleen met
betrekking tot de overeenkomst zelf, maar ook over de
(interne) processen die de nakoming mogelijk maken. Naast
overeenkomsten met bewoners zijn er uiteraard de arbeidsovereenkomsten met de medewerkers. In de huidige maatschappij staat een dienstverlener als Vitalis niet alleen;
financiers, overheid, relaties en leveranciers communiceren
met de organisatie over een veelheid van zaken en vragen
hierbij verantwoording voor geleverde diensten of producten. Ook in deze communicatie worden persoonsgegevens
gebruikt, variërend van toetsingsgegevens voor vaststelling
van de huursubsidie van een bewoner tot aan uitwisseling
van medische gegevens met andere zorgsinstellingen en
zelfs strafrechtelijke gegevens die noodzakelijk zijn bij
dwangopnames.
Uit bovenstaande is duidelijk geworden dat De Vitalis
Zorg Groep zowel voor haar klanten, haar medewerkers als
ook voor andere betrokken partijen persoonsgegevens verwerkt. Vanuit de bestaande wet- en regelgeving, maar ook
vanuit kwaliteitsoogpunt binnen de eigen organisatie, is het
noodzakelijk dat De Vitalis Zorg Groep aan de gestelde eisen
uit de WBP voldoet.
Het doel van het onderzoek is dan ook enerzijds de huidige stand van zaken vast te stellen en anderzijds benodigde
acties te definiëren. Voor het bovenstaande dient een ‘scan’
ontwikkeld te worden waarmee de eigenschappen van de
huidige verwerkingen eenduidig in kaart gebracht kunnen
worden en door herhaalde toepassing actueel gehouden
kunnen worden.
Het onderzoek is opgebouwd uit drie onderdelen: een theoretische inventarisatie van relevante regelgeving welke van
toepassing is op de omgang met persoonsgegevens binnen
Vitalis, een meldingssystematiek waarmee alle actuele verwerkingen binnen Vitalis in kaart kunnen worden gebracht
en tot slot een beoordelingssysteem waarmee kan worden
getoetst of en zo ja in welke mate de beschreven verwerkingen voldoen aan de WBP.
In het eerste deel van het onderzoek, inventarisatie van
regelgeving, is gestart met het onderzoeken en beschrijven
van de achtergronden van de WBP, zowel vanuit Europees
perspectief alsook vanuit de Nederlandse context, om zo te
1
Wet van 6 juli 2000, Stb. 302, houdende regels inzake de bescherming van persoonsgegevens.
Afl. 3 – juni 2006
P&I
onderzoek naar de mate waarin de wbp wordt nageleefd binnen de vitalis zorg groep
komen tot een theoretisch fundament voor dit onderzoek
alsmede het begrippenkader dat noodzakelijk is om de volgende twee onderdelen van het onderzoek op te zetten.
In het tweede deel van het onderzoek, het inventariseren
van alle actuele verwerkingen, is gebruik gemaakt van een
structuur welke is afgeleid van de meldingssystematiek die
het CBP hanteert. Deze basisvorm is uitgebreid met een
aantal begrippen om het voor de organisatie te vergemakkelijken een verwerking te beschrijven en daarnaast zijn een
aantal begrippen opgesplitst of anderszins gesimplificeerd
omdat al snel bleek dat het onverkort hanteren van de CBPterminologie binnen een organisatie die niet dagelijks hiermee in aanraking komt onwerkbaar is en tot onbruikbare
resultaten in casu onvolledige of incorrecte meldingen leidt.
Het laatste onderzoeksdeel, het toetsen aan de wettelijke
bepalingen en beoordelen van de beschreven verwerkingen,
is opgezet volgens de standaarden voor beschrijvend onderzoek en uitgevoerd middels interviews.2 De marsroute die
hierbij is gevolgd verloopt vanaf het definiëren van een theoretische variabele (voldoen de aanwezige verwerkingen
aan de WBP) via het afleiden van ruwe variabelen (voldoen
de verwerkingen aan de zes privacybeginselen) en het
detailleren van deze ruwe variabelen tot aan het formuleren
van interviewvragen en het ontwerpen van antwoordschalen en scoringssystemen.
Met behulp van statistische analyses kunnen de resultaten van de interviewvragen worden herleid naar een oordeel dat een antwoord is op de onderzoeksvraag: hoe is het
gesteld met de vitaliteit van de WBP bij Vitalis?
Binnen dit artikel zullen de verschillende fasen van het
onderzoek worden beschreven waarbij evenwicht is gezocht
tussen de noodzakelijke theoretische onderbouwing en de
praktische ervaringen, opgedaan bij de uitvoering van het
onderzoek.
Het recht op bescherming van de persoonlijke levenssfeer,
bescherming van de privacy, is vastgelegd in internationale
verdragen, in Europese wetgeving, in de Nederlandse
Grondwet en in de hierop gebaseerde nationale wet- en
regelgeving. Ook in het verdrag tot vaststelling van een
Grondwet voor Europa3 heeft de bescherming van privacy
een eigen plaats gekregen in onder meer art. II-67 en II-68.
Dit laatste artikel is gebaseerd op art. 286 van het Verdrag
tot oprichting van de Europese Gemeenschap en op Richtlijn
nr. 95/46/EG4 alsmede op art. 8 EVRM.
Het recht op privacy kent in de zorg een drietal gedaanten:
het recht op lichamelijke integriteit, het recht op bescher-
3
4
Theoretisch kader voor inventarisatie,
gebaseerd op art. 27 e.v. WBP
4
Binnen dit onderzoek is ervoor gekozen de inventarisatie
van gevoerde verwerkingen te doen op basis van de structuur van een melding zoals deze aan het CBP dient te
gebeuren. Hiermee worden twee vliegen in een klap geslagen: het overzicht over alle verwerkingen is gestandaardiseerd en, doordat alle verwerkingen binnen dit
onderzoek worden beschreven en toegezonden (via de
onderzoeker) aan de FG, is tegelijkertijd de melding een feit.
De melding van een verwerking, door of namens de verantwoordelijke, dient een aantal gegevens te bevatten gegeven
in art. 27 e.v. WBP. Deze basisset van gegevens vormt
binnen dit onderzoek de eerste stap in de inventarisatie van
de verwerkingen bij De Vitalis Zorg Groep.
Praktische structuur voor het inventariseren
van de verwerkingen
5
De WBP als basis voor privacybescherming
3
2
ming van de ruimtelijke privacy en het recht op bescherming van informationele privacy wanneer verwerking van
(medische) persoonsgegevens aan de orde is.5 Startpunt
voor dit onderzoek in deze inventarisaties van wet- en
regelgeving is art. 10 Grondwet waarin het recht op eerbiediging van de persoonlijke levenssfeer is vastgelegd.
Omgang met (medische) persoonsgegevens wordt
hoofdzakelijk gereguleerd door de WBP en de WGBO, waarbij de WBP de implementatie is van de eerder genoemde
Richtlijn nr. 95/46/EG en de opvolger van de Wet
Persoonsregistraties (WPR). Er is door de wetgever bewust
gekozen voor specifieke, bovensectorale wetgeving in de
vorm van de WBP omdat, volgens de regering, privacywetgeving een nieuw rechtsgebied is dat het best tot zijn recht
zal komen in een enkele wet.6
B. Emans, Interviewen, theorie, techniek en training, Groningen:
Wolters-Noordhoff 1990, p. 101 e.v.; D.B. Baarda & M.P.M. de
Goede, Methoden en technieken, Houten: Stenfert Kroese 1995, p.
141 e.v.
Verdrag tot vaststelling van een Grondwet voor Europa (met
Protocollen, Bijlagen en Slotakte) Rome, 29 oktober 2004, Trb.
2004, 275.
Richtlijn nr. 95/46/EG van 23 november 1995 betreffende de
bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens, PbEG L 281.
P&I
Om met de geïnventariseerde verwerkingen het tweede
deel van het onderzoek uit te kunnen voeren, is het noodzakelijk dat het verzamelen in het eerste deel gestructureerd
kan gebeuren. Het opzetten van een logische structuur die
gebruikt wordt om de interviews voor de inventarisatie af te
nemen is daarom van belang. De basisstructuur van de
inventarisatie is gebaseerd op de begrippen uit de WBP.
Deze begrippen zullen worden gebruikt om, per rol van
Vitalis, een invulling aan de gewenste standaardbeschrijving
te geven. De twee hoofdrollen die door Vitalis worden vervuld zijn die van zorgverlener en die van werkgever.
Alvorens gestart kan worden, is het noodzakelijk een verdeling te maken in de (zorg)producten die door de organisatie
5
6
J. Nouwt, Zorg voor privacy, informatietechnologie en informationele
privacy in de gezondheidszorg, Den Haag: SDU 1997, p. 2; H.J.J.
Leenen, Handboek gezondheidsrecht deel 1: rechten van mensen in
de gezondheidszorg, Houten: Bohn Stafleu van Loghum 2000, p.
248.
C. Cuijpers, Privacy of privaatrecht, een privaatrechtelijk alternatief
voor de implementatie van de Europese privacyrichtlijn, Den Haag:
SDU 2004, p. 13 e.v.
Afl. 3 – juni 2006
111
onderzoek naar de mate waarin de wbp wordt nageleefd binnen de vitalis zorg groep
geleverd worden en daarnaast een verdeling in de producten die Vitalis als werkgever aan haar personeel levert.
Met behulp van deze begrippen en praktische toevoegingen, welke tezamen de helft vormen van het totale
onderzoek, zullen de bestaande verwerkingen in kaart worden gebracht. Naast deze inhoudelijke kenmerken van verwerkingen, stelt de WBP ook eisen en voorwaarden waaronder verwerkt mag worden. Nu de verschillende (kenmerken
van) verwerkingen beschreven zijn, wordt in de volgende
onderdelen ingegaan op de eisen die aan verwerkingen
gesteld worden.
6
Toetsen van bestaande verwerkingen aan de
privacybeginselen
Nu het fundament voor het inventariseren van verwerkingen is gelegd, kan per beschreven verwerking worden vastgesteld wat de eisen zijn waaraan deze verwerking moet
voldoen. De basis waarop deze beoordeling zal plaatsvinden, wordt gevormd door de algemene beginselen van privacy zoals deze ten grondslag liggen aan de huidige wettelijke bescherming van privacy. Deze beginselen vormen
zowel de basis voor de Richtlijn nr. 95/46/EG als ook voor de
nationale wetgeving. Deze beginselen, voor het eerst geformuleerd door de OESO in de Guidelines for protection of privacy and transborder flows of personal data, zijn specifiek van
toepassing op de bescherming van persoonsgegevens (informationele privacy) en niet op andere vormen van privacybescherming7 (lichamelijke, ruimtelijke en/of relationele
privacy). Deze beginselen zijn in twee groepen te verdelen:
de eerste groep heeft betrekking op de verwerkte gegevens
als zodanig en de voorwaarden waaronder ze verwerkt
mogen worden en de tweede groep heeft betrekking op de
verplichtingen van de verwerker en de rechten van de
betrokkenen.
Specifiek voor toetsing van privacybescherming bij gebruik
van ICT in de zorg zijn deze algemene beginselen, via de
beginselen uit de WBP, vertaald in zes algemene beginselen:
transparantie, doelbinding, rechtmatige grondslag voor verwerking, kwaliteit van de gegevens, beveiliging en bewaartermijnen.8 Vanuit deze zes beginselen worden de geïnventariseerde verwerkingen beoordeeld, maar om deze eisen te
concretiseren en verderop in dit onderzoek ook meetbaar te
maken, is de WBP niet meer dan een kader van waaruit de
concrete normen nog moeten worden afgeleid. De concrete
voorwaarden waaraan verwerkingen moeten voldoen worden vaak gegeven door een veelheid, van de WBP afgeleide
of hieraan gerelateerde, wetten en besluiten. Deze relevante
wet- en regelgeving zal, per beginsel, worden verdeeld in
een aantal hoofdcategorieën. Allereerst zal worden gekeken
of een verwerking is vrijgesteld van melding zodat de extra
bepalingen uit het Vrijstellingsbesluit van toepassing zijn. A
contrario redenerend kan een niet gemelde verwerking ook
getoetst worden aan dit besluit; de verwerking is immers
7
J. Nouwt & C.P. Louwerse, ‘Algemene beginselen van gegevensverwerking’, in: Handboek Privacy in de gezondheidszorg, Den Haag:
Koninklijke Vermande 2004, Band 1, hoofdstuk 1.1, p. 7 e.v.
112
niet gemeld en moet dus voldoen aan de bepalingen uit het
Vrijstellingsbesluit.
6.1
Transparantie
Het gaat bij het transparantiebeginsel om het uitgangspunt
dat de betrokkene in casu de patiënt/cliënt en/of de hulpverlener op de hoogte is van het feit dat er persoonsgegevens over hem worden verwerkt en met welk doel (openness principle) en dat betrokkene hierover wordt
geïnformeerd. Het transparantiebeginsel is neergelegd in
art. 33, 34, 41, 43 en 44 WBP. Hoewel in de ICT-privacybeginselen niet expliciet benoemd, maken ook de rechten van
betrokkenen deel uit van het transparantiebeginsel; kennisnemen van verwerkingen is onvoldoende indien betrokkenen niet ook de mogelijkheid hebben hun rechten uit te
oefenen. De samenhang met het transparantiebeginsel blijkt
mede uit de plaats van deze bepalingen in de WBP. De rechten van betrokkenen zijn opgenomen in art. 5 en 35-42
WBP; direct aansluitend op de bepalingen aangaande de
transparantie.
Voor het beoordelen van de geïnventariseerde verwerkingen zijn er uit deze artikelen en de gerelateerde literatuur 23 indicatoren afgeleid welke samen een beeld geven
van de mate waarin de getoetste verwerking aan de transparantie-eis voldoet.
6.2
Doelbinding
Dit beginsel stelt dat gegevens alleen maar mogen worden
verwerkt onder vooraf uitdrukkelijk omschreven en
gerechtvaardigde doeleinden (purpose specification
principle). Hieronder valt ook de beperking op de hoeveelheid gegevens; niet meer gegevens mogen worden verzameld en verwerkt dan noodzakelijk voor het behalen van
deze doelen. De verzamelde gegevens mogen daarnaast niet
worden gebruikt voor doeleinden die niet met het oorspronkelijke doel verenigbaar zijn (use limitation principle).
De WBP codificeert doelbinding in art. 7 en 9 en het begrip
doelbinding is tijdens de inventarisatiefase ook al kort aan
de orde geweest. Concretisering van dit begrip leidt tot vier
interviewvragen welke als samenstel uitsluitsel geven over
de wijze waarop dit beginsel wordt gehandhaafd bij de verwerkingen van Vitalis.
6.3
Rechtmatige grondslag voor verwerking
Naast een concreet en duidelijk omschreven doel voor de
verwerking vraagt de WBP ook een rechtmatige grondslag
voor de verwerking. Persoonsgegevens mogen alleen worden verzameld en verwerkt wanneer de grondslag hiervoor
in de WBP kan worden gevonden. De WBP geeft een zestal
grondslagen voor verwerking waarvan er minimaal één van
toepassing moet zijn; elke gegevensverwerking of categorie
van verwerkingen dient herleidbaar te zijn tot een van de in
art. 8 limitatief benoemde grondslagen. Voor bijzondere
persoonsgegevens gelden zelfs nog aanvullende, specifieke
regels, gebaseerd op het uitgangspunt dat bijzondere per8
T.F.M. Hooghiemstra, Privacy bij ICT in de Zorg. Bescherming van
persoonsgegevens in de informatiestructuur van de gezondheidszorg,
Den Haag: CBP 2002, p. 35.
Afl. 3 – juni 2006
P&I
onderzoek naar de mate waarin de wbp wordt nageleefd binnen de vitalis zorg groep
soonsgegevens niet mogen worden verwerkt tenzij daarvoor
een wettelijke mogelijkheid is gegeven. Criteria voor de
beoordeling van de rechtmatigheid van verwerking zijn
opgenomen in art. 6, 8 en 16-23 WBP. Uit deze bepalingen
zijn veertien indicatoren gedistilleerd welke zijn gebruikt
als interviewvraag om zo te komen tot een uitspraak over
de grondslagen voor de verwerkingen.
6.4
Kwaliteit van de gegevens
Het kwaliteitsbeginsel valt in twee onderdelen uiteen: de
verzamelde persoonsgegevens moeten relevant zijn voor
het doel waarvoor zij worden verwerkt ofwel de gegevens
moeten toereikend, terzake dienend en niet overmatig zijn
in relatie tot het doel waarvoor ze worden verwerkt (collection limitation principle). Daarnaast moeten de persoonsgegevens juist, accuraat, volledig en actueel zijn (data quality
principle). Dit impliceert mede dat ze, indien nodig, worden
bijgewerkt en dat er redelijke maatregelen zijn getroffen om
onjuistheden en tekortkomingen te herstellen. De WBP
waarborgt de kwaliteit van de gegevens vanuit het gestelde
in art. 6 en 11. Vertaling van deze bepalingen naar interviewvragen resulteerde in een set van zes vragen.
6.5
Beveiliging
De essentie hier is dat de verantwoordelijke ervoor zorg
draagt dat alle passende technische en organisatorische
maatregelen worden getroffen om verlies, beschadiging of
onrechtmatige verwerking van gegevens te voorkomen
(security safeguards principle). Ook moeten er zo min mogelijk gegevens worden gebruikt die herleidbaar zijn tot individuele personen. Art. 6, 12 en 13 WBP vormen samen de
basis voor de beveiligingsmaatregelen door de verantwoordelijke. Art. 14 WBP legt de eis van beveiliging ook neer bij
de bewerker. De maatregelen ter beveiliging kunnen in drie
soorten worden onderscheiden: de geheimhoudingsplicht,
de technische en organisatorische maatregelen en de verplichting van de verantwoordelijke toe te zien op de beveiliging van een bewerker.
Voor elke afzonderlijke verwerking van persoonsgegevens zal dus vastgesteld moeten worden welke technische
en organisatorische maatregelen zijn genomen en of deze
afdoende zijn om het gewenste en passende niveau van
beveiliging te bereiken. Met hulp van de deelgebieden zoals
deze af te leiden zijn uit onder meer AV23 van het CBP en de
NEN7510 kan het gestelde uit art. 13 vertaald worden naar
147 indicatoren c.q. interviewvragen. Met de antwoorden op
deze vragen kunnen zowel uitspraken worden gedaan over
de deelgebieden van beveiliging evenals over de beveiliging
als geheel.
6.6
Bewaartermijnen
Art. 10 WBP introduceert de voorwaarde voor de bewaartermijn: persoonsgegevens mogen niet langer worden bewaard
in een vorm die het mogelijk maakt de betrokkene te identificeren dan noodzakelijk voor het bereiken van het doel
waarvoor deze zijn verzameld. De verantwoordelijke dient
zich af te vragen of er voldoende redenen zijn op grond
waarvan de gegevens bewaard dienen te blijven. Zijn deze
redenen aanwezig dan kan de verantwoordelijke bepalen
P&I
welke bewaartermijnen op deze gegevens van toepassing
zijn. Zijn deze redenen er niet, dan mogen de gegevens niet
meer verwerkt worden tenzij voor een ander, verenigbaar
doel.
Een instelling is dus verplicht alle verwerkingen feitelijk
te toetsen op het specifieke karakter van de gegevens en de
toepasselijke regelgeving. Voor wat betreft de dagelijkse
praktijk resulteert dit in een verplichting om op welhaast
continue basis de bestaande verwerkingen te controleren op
inhoud en waar nodig op te schonen. Voor het praktische
deel van het onderzoek zijn vier indicatoren afgeleid om
een uitspraak te kunnen doen over de naleving van de
bewaartermijnen
7
Praktische uitvoering van de beoordeling van
verwerkingen
Zoals reeds eerder aangegeven was het de bedoeling alle
aanwezige verwerkingen te toetsen op de privacybeginselen
(en dus op naleving van de WBP) hetgeen in de praktijk zou
neerkomen op het toepassen van ongeveer 200 vragen, verdeeld over de zes benoemde ruwe variabelen. Dit zou voor
de organisatie een te grote belasting zijn en er tevens toe
leiden dat de doorlooptijd van dit onderzoek veel te lang
zou worden. In overleg met de opdrachtgever is ervoor
gekozen de detailtoets uit te voeren op het niveau van de
zelfstandige vestigingen en voorlopig niet per geïdentificeerde verwerking. Dit had wel tot gevolg dat een ander
scoringssysteem moest worden gekozen voor die vragen die
specifiek op benoemde verwerkingen van toepassing zijn.
Er is voor gekozen een uitspraak te laten doen over de
stand van zaken voor alle verwerkingen van een locatie
geaggregeerd, wat resulteerde in een 5-punts schaal van:
– nooit: waarde 2;
– soms (minder dan 50% van de gevallen): waarde 3;
– meestal (meer dan 50% van de gevallen): waarde 4;
– altijd: waarde 5.
met daarnaast uiteraard de keuzemogelijkheid ‘weet niet’
(waarde 1) indien de status van de verwerkingen niet
bekend is (hetgeen overigens direct een indicatie is voor de
mate waarin de WBP leeft). In sommige gevallen was het
niet mogelijk een vraag te formuleren die beantwoord kon
worden over alle verwerkingen heen. De toets op het betreffende criterium is niet opgenomen in de huidige vragenlijst,
maar blijft voor het vervolgonderzoek (het toetsen van de
individuele verwerkingen) uiteraard wel relevant.
8
Analyse onderzoeksgegevens
Het oorspronkelijke doel van deze vragenlijst was de toets
op het al dan niet voldoen aan de wettelijke eisen, uitgevoerd per beschreven verwerking. Zoals reeds eerder aangegeven is de uitvoering door praktische beperkingen vanuit
de onderzoeksomgeving gewijzigd; de toets heeft niet
plaatsgevonden per verwerking, maar per organisatieonderdeel.
Om te komen tot een uitspraak over de theoretische
variabele c.q. de afgeleide ruwe variabelen wordt in principe de weg die is gevolgd bij de afleiding naar interview-
Afl. 3 – juni 2006
113
onderzoek naar de mate waarin de wbp wordt nageleefd binnen de vitalis zorg groep
vragen in omgekeerde richting afgelegd. Eerst is op de antwoorden van de, bij de verschillende indicatoren behorende, detailvragen de itemanalyse uitgevoerd (correlatietoetsen). Van de uitkomsten van de detailvragen is, per
indicator, de mediaan bepaald waarmee inzicht is verkregen
in de stand van zaken met betrekking tot de indicatoren
transparantie, doelbinding, enzovoort.
De laatste verwerkingsstap is het samenvoegen van de
uitkomsten per indicator tot een einduitkomst voor de theoretische variabele ‘voldoen aan de WBP’. Ook hier is eerst
getest op significante verschillen in de uitkomsten van de
verschillende organisatieonderdelen, zowel voor wat betreft
de zes indicatoren apart als voor wat betreft de eindresultaten voor de theoretische variabele. Het blijkt dat er bij de
uitkomsten voor de individuele indicatoren slechts bij
‘bewaartermijnen’ een significant verschil zit in de mate
waarin de ICT-afdeling voldoet aan de WBP ten opzichte van
de rest van de organisatie. Bij het toetsen van de samengevoegde waarden voor de theoretische variabele blijkt er
geen significant verschil te zijn tussen ICT en de rest van de
organisatie. Alle waarden mogen dus worden beschouwd
als zijnde afkomstig uit één populatie waardoor de actiepunten in gelijke mate geldend zijn voor de gehele organisatie. De eindwaarde van de theoretische variabele bedraagt,
teruggebracht naar de complete organisatie een ‘3’ ofwel, in
de terminologie van de achterliggende vragenlijst, De Vitalis
Zorg Groep voldoet soms aan de WBP.
9
Conclusies
Statistisch gezien is de respons onvoldoende om met zekerheid conclusies te formuleren. Om in de toekomst toch
voort te kunnen bouwen zijn de voorgenomen statistische
analyses alsnog uitgevoerd als ware er voldoende grondslag.
De organisatie als geheel blijkt qua naleving van de WBP
geen vastgelegde procedures te hebben en waar de begrippen als zodanig bekend zijn, worden deze niet consequent
nageleefd in de dagelijkse werkzaamheden; Vitalis voldoet
‘soms’ aan de WBP. Specifiek binnen de ICT-afdeling blijkt
de technische naleving van de NEN7510 wel te gebeuren,
maar het formele beleidsmatige en procedurele kader ontbreekt. De keuzes die gemaakt zijn en worden, zijn gebaseerd op technische uitgangspunten en zijn niet per definitie slecht, maar missen de aansluiting met de rest van de
organisatie, met name op het gebied van het herkennen van
de noodzaak van de uitgevoerde acties.
Terugkijkend naar het uitgangspunt van dit onderzoek
en de vraag waarmee ooit is gestart (voldoet Vitalis aan de
WBP?), moet er nu geconcludeerd worden dat dit eigenlijk
een vraag is die niet beantwoord kan worden.
De WBP, ooit tot stand gebracht omdat er volgens de
regering behoefte was aan specifieke, bovensectorale, privacywetgeving ter bescherming van de informationele privacy, is ontworpen als een ‘omnibuswet’, ingevuld met vage
normen en ruime definities. Om te komen tot een bruikbare
invulling van deze wet moet een beroep gedaan worden op
een veelheid van andere regelingen, sectorale regels,
beleidsafspraken, grondrechten, enzovoort. Voor verant-
114
woordelijken en betrokkenen in dit onderzoek blijkt de
WBP als beschermingsinstrument van informationele privacy dan ook nauwelijks te leven, laat staan actief toegepast
te worden, omdat het voor de gemiddelde organisatie zonder specialistische hulp gewoonweg onmogelijk is de WBP
als direct ijkpunt voor privacybescherming te gebruiken.
De vraag of een organisatie in casu De Vitalis Zorg
Groep, aan de eisen van de WBP voldoet kan dus beter
anders geformuleerd worden: voldoet de organisatie aan de
algemene privacybeginselen zoals deze in verschillende
wettelijke regelingen zijn uitgewerkt? De WBP kan hierbij
de rol van eenduidig startpunt vervullen, maar draagt niet
of nauwelijks bij aan de invulling.
Zal De Vitalis Zorg Groep (of een willekeurige zorginstelling) ooit aan de WBP voldoen? Nee, en wel om drie redenen: ten eerste is er de dynamiek van de huidige organisatie; beleid verandert, de dagelijkse behoefte aan meer of
andere verwerkingen wijzigt van dag tot dag, meldingen
zoals die zijn geïnventariseerd veranderen qua inhoud of
doel, kortom de verwerkingen wijzigen constant en zullen
dus steeds opnieuw getoetst en (indien van toepassing)
gemeld moeten worden.
Ten tweede zijn er de veranderingen in techniek, in organisatie, in communicatie met betrokkenen, in doelen voor
verwerking enzovoort waardoor ‘voldoen aan de eisen van
de WBP’ een continue toetsing, evaluatie en bijsturing zal
vereisen.
Als laatste is er de problematiek van de terminologie van de
WBP. Door het gebruik van open normen kan een organisatie niet zelf vaststellen of er aan de WBP is voldaan. Slechts
een (rechterlijke) toetsing achteraf zal antwoord kunnen
geven of er een aanvaardbare afweging heeft plaatsgevonden tussen de belangen van de betrokkene en de belangen
van de organisatie. Een (bestuurs-)rechterlijke toets op de
algemene beginselen van behoorlijk bestuur of op de zorgvuldigheid die in het maatschappelijke verkeer is vereist
geeft voor één specifieke verwerking in één specifieke context uitsluitsel over het al dan niet voldoen aan de eisen die
de WBP stelt. Voor alle niet getoetste situaties kan een organisatie niet meer dan zijn uiterste best doen, in de hoop dat
de uitgevoerde acties een juiste vertaling van de WBP zijn.
Afl. 3 – juni 2006
P&I
Mr. F. Smits*
De toelaatbaarheid van drugs- en alcoholtesten in
de werkrelatie; een Europese aangelegenheid?
134
Trefwoorden:
Werknemer, drugs- en alcoholtest, drugs, arbeidsrelatie, alcohol
Dit artikel is een bewerking van de doctoraalscriptie
Nederlands Recht die op 14 september 2004 is verdedigd
aan de Universiteit van Tilburg.
De mogelijkheid tot het afnemen van een test op drugsof alcoholgebruik (d&a-test) in de werkrelatie is in
Nederland beperkt toegestaan in specifieke beroepsgroepen. De Europese Commissie wil hier wellicht verandering in brengen door het ontwerpen van een nieuwe
richtlijn ten aanzien van het recht op privacy in de werkrelatie, waarin ook de toelaatbaarheid van de d&a-test
wordt geregeld. Gesteld dat deze richtlijn er komt op
grond van het Europese recht en Nederland deze moet
implementeren, kan het nuttig zijn naar de wetgeving
van een staat te kijken, in dit geval Californië, waar de
d&a-test in de werkrelatie in meer situaties is toegelaten
dan nu in Nederland het geval is.
Onderzoek naar de plannen van de Europese Commissie,
Nederlandse wetgeving en de wetgeving in de staat
Californië wijst uit dat de mogelijkheid de werknemer
aan een d&a-test te onderwerpen in de Wet op de
Medische Keuringen én de Wet bescherming persoonsgegevens moet worden opgenomen. Bovendien moet een
andere grondslag worden gekozen dan de huidige mogelijke grondslag, namelijk op grond van het geven van uitdrukkelijke toestemming door de werknemer.
Inleiding
1
Het recht op privacy van de werknemer in de arbeidsrelatie
blijft een onderwerp dat nog volop in beweging en ontwikkeling is. Bepaalde subonderwerpen in het recht op privacy
zijn inmiddels door jurisprudentie en publicaties redelijk
uitgekristalliseerd. Zo kan worden gedacht aan het gebruik
van e-mail en internet op de werkplek en de controle
daarop, of het gebruik van (verborgen) cameratoezicht op
de werkplek.
Een minder besproken onderwerp betreft de mogelijkheden van of juist de beperkingen voor de werkgever die
zijn werknemers wenst te controleren op het gebruik van
drugs of alcohol door middel van het afnemen van de zogenaamde drugs- en alcoholtest (verder: de d&a-test). In
*
Floortje Smits is werkzaam als Juridisch Adviseur bij Pellicaan
Advocaten te Rosmalen. Citeertitel: F. Smits, ‘De toelaatbaarheid
van drugs- en alcoholtesten in de werkrelatie; een Europese aangelegenheid?’, P&I 2006, 134.
P&I
Nederland bestaan hiertoe slechts zeer beperkte mogelijkheden. De vraag of hier een meer algemene behoefte
bestaat, door middel van het aanpassen van wetgeving laat
ik hier buiten beschouwing. Wel kan ik stellen dat in theorie
hieraan behoefte bestaat.
Uit onderzoek van het Instituut voor Onderzoek naar
Leefwijzen en Verslaving (IVO) blijkt dat 4% van de werkende beroepsbevolking wel eens alcohol drinkt vlak voor
of op het werk, 1% daarvan doet dit minstens een keer per
week. Verder blijkt dat 21% van de gehele werkende
beroepsbevolking excessief drinkt, en dat zo’n 5% van de
gehele werkende beroepsbevolking probleemdrinker is.1
Nadelige gevolgen van ernstig drankmisbruik kunnen onder
meer zijn een verhoogd ziekteverzuim, onzorgvuldigheid bij
het verrichten van werkzaamheden en meer kans op agressie op het werk. Ook het gebruik van drugs op het werk kan
soortgelijke problemen geven.
In 2002 heeft de Europese Commissie (EC) haar voornemen geuit een nieuwe richtlijn omtrent het privacyrecht in
de arbeidsrelatie te creëren en meer in het bijzonder de toelaatbaarheid van d&a-testen in de werkrelatie in te voeren.
De huidige Richtlijn nr. 95/46/EG, welke van toepassing is
op de arbeidsrelatie, zou te algemene beginselen geven op
het gebied van privacy en zou niet specifiek zien op de
bescherming van de privacy in de arbeidsrelatie.
Als deze richtlijn er komt, houdt dit in dat de Nederlandse
staat uiteindelijk de toelaatbaarheid van de d&a-test in de
Nederlandse wetgeving dient vorm te geven.
Gesteld dat het in bepaalde sectoren wenselijk is dat d&atesten worden uitgevoerd, is aanpassing van nationale wetgeving noodzakelijk om d&a-testen in de arbeidsrelatie toelaatbaar te maken en op welke wijze dient aan deze
aanpassing vorm te worden gegeven, gelet op de betrokken
belangen?
Eerst behandel ik de plannen van de Europese
Commissie ten aanzien van een toekomstige richtlijn.
Nadien wordt ingegaan op bestaande initiatieven van de
International Labour Organisation (ILO) op het gebied van
de d&a-test.
Voorts geef ik nadere informatie over de wijze waarop
de d&a-test kan worden uitgevoerd en zal ik uiteenzetten
hoe de toelaatbaarheid van de d&a-test is geregeld in een
land waar de d&a-test wel gangbaar is in de werkrelatie. Tot
slot bespreek ik de Nederlandse wetgeving die raakvlakken
heeft met de toelaatbaarheid van de d&a-test. Zoals te verwachten is, zal hieruit blijken dat de d&a-test slechts zeer
beperkt toelaatbaar is in Nederland.
1
IVO, Alcohol en werk, een onderzoek naar alcoholgebruik onder de
werkende beroepsbevolking, februari 2003.
Afl. 3 – juni 2006
115
de toelaatbaarheid van drugs- en alcoholtesten in de werkrelatie; een Europese aangelegenheid?
Met deze informatie zal ik in mijn conclusie uiteenzetten of
aanpassing van nationale wetgeving noodzakelijk is om de
toelaatbaarheid van de d&a-test te incorporeren en zo ja, op
welke wijze de aanpassing van Nederlandse wetgeving
dient te geschieden.
Voornemen tot een nieuwe richtlijn
2
‘De EU (Europese Unie) heeft behoefte aan duidelijkere,
eenvoudige regels over de bescherming van persoonsgegevens van werknemers, die meer rekening houden met de
relatie tussen werkgever en werknemer. Een duidelijk en
eenvoudig kader van principes en regels dat geldt in de hele
EU is een goede zaak voor de werknemers en het bedrijfsleven.’, zo omschreef A. Diamantopoulou2 de reden achter het
voornemen te bekijken of er een noodzaak tot een nieuwe
richtlijn bestaat. Een nieuwe richtlijn dient in aanvulling op
met name de bestaande Richtlijn nr. 95/46 EG, welke in
Nederland heeft geleid tot implementatie van de Wet
bescherming persoonsgegevens (WBP).
Naar aanleiding van dit voornemen is een zogenaamde
consultation paper3 geschreven die het nut van een nieuwe
richtlijn nader toelicht en waarbij bovendien een aantal
sociale partners zijn betrokken. De plannen een richtlijn te
creëren op dit gebied, staan inmiddels in de ijskast, het is
aldus niet zeker of een richtlijn in de toekomst nog werkelijkheid wordt.
In de consultation paper wordt uiteengezet dat als gevolg
van technologische ontwikkelingen er steeds meer faciliteiten bestaan om de werknemer in de gaten te houden, te
controleren of te testen op de werkplek. Als gevolg van globalisering krijgen Europese dochtermaatschappijen van bijvoorbeeld een Amerikaanse moedermaatschappij te maken
met conflicterende belangen aangezien de wetgeving ten
aanzien van het recht op privacy kan verschillen. Het recht
op privacy in de specifieke relatie tussen werkgever en
werknemer is niet afdoende geregeld in bestaande richtlijnen, zo oordeelt de EC (Europese Commissie) in haar consultation paper. De EC heeft met name een belangrijk punt door
te stellen dat het geven van toestemming voor het verwerken van persoonsgegevens door de werkgever een ongewenste grondslag is. Dit wordt ingegeven door het feit dat
de werkgever een gezags- en instructiebevoegdheid heeft
ten opzichte van de werknemer, en de werknemer daardoor
de zwakkere partij is.
Hierdoor ontstaat een spanningsveld, tussen het belang
van de werkgever zijn werknemer te kunnen instrueren en
zonodig controleren of deze zich aan bepaalde instructies
houdt en het belang van de werknemer het recht op privacy
op de werkplek te kunnen bewaken.4
2
3
4
Diamantopoulou was tot 2004 Europees Commissaris voor
Werkgelegenheid en Sociale Zaken.
Te raadplegen via:
<http://europa.eu.int/comm/employment_social/news/2002/oct/
data_prot_en.pdf>
P.F. van der Heijden (red.), Privacy op de werkplek, ’s-Gravenhage:
Sdu Juridische en Fiscale Uitgeverij 1992, p. 14.
116
De consultation paper behandelt meerdere facetten van
privacy in de arbeidsrelatie, de d&a-test is hiervan slechts
een klein onderdeel. Ik beperk mij hier tot de toelaatbaarheid van de d&a-test.
Ten aanzien van d&a-testen stelt de EC in de consultation
paper dat omtrent de toelaatbaarheid van de d&a-test het
beleid van diverse Europese landen aanzienlijk verschilt.
Hierin zou meer eenheid moeten komen, waarbij geldt dat
terughoudend moet worden omgesprongen met het toestaan van het afnemen van de d&a-test, het analyseren van
de testresultaten en het gebruiken van deze testresultaten.
De d&a-test afnemen zelf levert namelijk een aanzienlijke inbreuk op de privacy op. Bovendien bevatten de resultaten verkregen uit de d&a-test persoonsgegevens, soms
zelfs zogenaamde gevoelige persoonsgegevens en kunnen
deze ook gegevens bevatten waarvoor de test niet is afgenomen, zoals zwangerschap of ziekten.
Er moet een duidelijke grondslag bestaan voor het afnemen van de d&a-test. Verder moet worden overwogen wat
met de resultaten verkregen uit de d&a-test kan worden
gedaan door de werkgever. Niet in ieder geval betekent een
positief testresultaat immers dat de werknemer zijn werk
niet kan verrichten, of een ontslag gerechtvaardigd is. Ook
dient altijd een afweging van belangen plaats te vinden bij
de vraag of het afnemen van d&a-test en het analyseren en
gebruiken van de resultaten verkregen uit de d&a-test toelaatbaar is in de gegeven omstandigheden.
Gezien het vroege stadium waarin de plannen van de EU
zich bevinden een nieuwe Richtlijn te creëren, zijn de uitgangspunten in de consultation paper nog van algemene
aard.
ILO
3
De Code of Practice5 van de ILO ten behoeve van de bescherming van privacy op de werkplek, en mede de aanpak van
drugs- en alcoholgebruik blijkt een handzaam instrument te
zijn voor ondernemingen die een d&a-test-beleid wensen
op te stellen. Tevens zijn er ‘Guiding Principles’6 van de ILO
ten behoeve van het testen van werknemers op drugs en
alcohol, welke als appendix op voornoemde Code of Practice
is opgenomen. Dergelijke codes of principles zijn geen bindende instrumenten, doch richtlijnen waarmee door de
gebruiker flexibel mag worden omgesprongen. Deze richtlijnen kunnen nooit dwingende regelgeving van een land
opzij zetten. De status van de richtlijnen in de Nederlandse
wetgeving zal hoogstens die van een norm zijn die invulling
geeft aan de open normen in het goed werkgever- en werknemerschap. Wel wordt de ILO als een gevestigde autoriteit
gezien op het gebied van gedragscodes in de arbeidsrelatie
en wordt de ILO erkend door veel Europese landen.
5
6
ILO, Protection of workers’ personal data. An ILO code of practice,
Geneve: ILO 1997, 47 p.
ILO, Guiding Principles on drug and alcohol testing in the workplace
as adopted by the ILO Interregional Tripartite Experts Meeting on
drug and alcohol testing in the workplace 10-14 mei 1993, Oslo,
Noorwegen.
Afl. 3 – juni 2006
P&I
de toelaatbaarheid van drugs- en alcoholtesten in de werkrelatie; een Europese aangelegenheid?
De d&a-test
4
Ik veronderstel dat er bij de lezer slechts een geringe
bekendheid bestaat omtrent de manieren waarop een d&aonderzoek kan plaatsvinden, hier volgt een nadere toelichting. Er bestaan verschillende manieren om het menselijk
lichaam op de aanwezigheid van drugs en alcohol te testen.
Deze testen kunnen vervolgens op verschillende manier en
om diverse redenen uitgevoerd worden.7
Op technisch gebied zijn er ademtests, urinetests, bloedtests en haartests, ieder met zijn eigen analysemethode. Bij
de urinetest zijn meerdere methoden mogelijk. Zo zijn er
eenvoudige, maar relatief onbetrouwbare doe-het-zelf-kits,
maar is er ook de zeer betrouwbare, maar dure gaschromatografie/massaspectroscopietest. In feite is er in het afgelopen decennium niets veranderd in de keuze tussen de
ademtest, de bloedtest, de haartest en de urinetest.
Bij de keuze voor een bepaalde d&a-test is de mate van
inbreuk op de persoonlijke levenssfeer en de mate van
betrouwbaarheid van essentieel belang. Bovendien is van
belang of er door het afnemen van een test ook meerdere
persoonlijke gegevens kunnen worden herleid. In de
Verenigde Staten, waar de d&a-test redelijk is ingeburgerd
op de werkplek, wordt doorgaans gekozen voor de urinetest.
Er zijn drie verschillende grondslagen waarop de d&a-test in
de werkrelatie doorgaans wordt uitgevoerd:
– de massatest: iedere persoon in een bepaalde functie
moet op een bepaald moment getest worden (bijvoorbeeld bij sollicitatie);
– de randomtest: een op objectieve wijze te bepalen groep
moet de test ondergaan (bijvoorbeeld door loting);
– ‘for cause’-test: iemand die in een bijzondere situatie
verkeert, moet getest worden (bijvoorbeeld na een
ongeval of naar aanleiding van een redelijke verdenking).
Indien er gegevens worden verwerkt uit de resultaten van
d&a-testen kunnen (al dan niet in theorie) hieruit gegevens
betreffende iemands ras, gezondheid en strafrechtelijke persoonsgegevens worden verkregen of worden herleid. Uit de
resultaten verkregen van uitsluitend een bloedtest kunnen
gegevens betreffende iemands ras worden herleid. Gegevens betreffende de gezondheid kunnen worden herleid uit
de resultaten van zowel de urinetest als de bloedtest.
Hieruit blijkt dan ook dat de wijze waarop de test wordt
uitgevoerd, bijvoorbeeld het afnemen van een bloedtest versus het afnemen van een urinetest een verschillende mate
van inbreuk op de persoonlijke levenssfeer oplevert en de
gegevens daaruit verkregen een verschillende mate van
hoeveelheid verkregen persoonlijke gegevens. Kan met de
urinetest op geschikte wijze een d&a-test worden ondergaan, dan zal hiervoor altijd moeten worden gekozen, om te
7
8
J.H.J. Terstegge, ‘Het testen van werknemers op alcohol en drugs’,
SR 1993, p. 160-165.
Artikel 1, sectie 1, Californische constitutie: ‘All people are by
nature free and independent and have inalienable rights. Among
these are ... pursuing and obtaining safety, happiness and privacy.’
P&I
voorkomen dat de inbreuk op de persoonlijke levenssfeer te
groot is en er niet meer gegevens worden verzameld dan
waarvoor de d&a-test is bedoeld.
De toelaatbaarheid van de d&a-test in de
staat Californië, Verenigde Staten
5
Aangezien de d&a-test relatief onbekend is in Nederland, is
een vergelijking met een staat waar de d&a-test wel toelaatbaar is en bovendien een ingeburgerd fenomeen, interessant. Gekozen is voor de staat Californië, Verenigde Staten.
In Californië is de d&a-test in de werkrelatie een ingeburgerd fenomeen. Dit blijkt onder meer uit diverse wetgeving
en Californische rechtspraak en jurisprudentie. In Californië
kent de d&a-test in vergelijking tot andere Amerikaanse staten relatief veel beperkingen en bestaat er een constitutioneel recht op privacy. Dat maakt de vergelijking tot
Nederland zinvol, waar immers veel belang wordt gehecht
aan het recht op privacy en de d&a-test naar alle verwachting aan beperkingen moet zijn onderworpen.
De werknemer kan zijn recht op privacy effectueren door de
Californische constitutie in te roepen.8 Zowel medewerkers
van publieke als private instellingen hebben deze mogelijkheid. Het recht op privacy is van toepassing in de werkrelatie, en is van toepassing bij de vraag of de d&a-test toegestaan is in de werkrelatie. Het recht op privacy kan worden
ingeroepen als er sprake is van een wettelijk beschermd privacybelang, de werknemer een redelijke privacyverwachting heeft en hierop een substantiële inbreuk wordt gedaan.
Ook wordt in ieder geval een afweging van het privacybelang van de werknemer en het belang van de werkgever een
d&a-test uit te voeren gedaan.9
De toelaatbaarheid van de d&a-test is voorts gecodificeerd in verschillende ‘Codes’ waarin onder meer staat
opgenomen dat een werkgever met meer dan 25 werknemers verplicht is een alcohol- en drankmisbruikbeleid op te
stellen en een d&a-test altijd door een gecertificeerd laboratorium dient plaats te vinden.
Overige grondslagen voor het afnemen van een d&a-test
zijn terug te vinden in Amerikaanse rechtspraak en jurisprudentie. Hieruit zijn de volgende regels te herleiden.
Al eerder vermeldde ik dat in meerdere gevallen de d&a-test
kan worden uitgevoerd.
In de sollicitatiefase wordt de d&a-test, ongeacht de
functie, toelaatbaar geacht omdat de werkgever de sollicitant op geen enkele andere wijze kan controleren of observeren op gebruik van drugs of alcohol.
De interne sollicitant kan echter niet zonder meer aan
een d&a-testbeleid worden onderworpen. De werkgever
heeft bij bestaande werknemers andere mogelijkheden om
na te gaan of er wellicht sprake is van alcohol- of drugsmisbruik, zoals veelvuldige afwezigheid en verminderde
9
Deze voorwaarden kunnen worden herleid uit de zaak Hill v.
National Collegiate Athletic Assn. (1994) 7 Cal.4th 1, 26 Cal.Rprt.2d
384;865 P.2d 633.
Afl. 3 – juni 2006
117
de toelaatbaarheid van drugs- en alcoholtesten in de werkrelatie; een Europese aangelegenheid?
prestaties. Bij een redelijke verdenking van drugs- of alcoholmisbruik is een d&a-test hierom weer wel toegestaan.
Indien er sprake is van bijzondere veiligheidsvereisten
die aan een functie zijn verbonden, waarbij er ernstige
schade kan optreden indien er drugs of alcohol wordt
gebruikt door een werknemer, is een d&a-test wel toegestaan. Dit is het geval indien een werknemer intern solliciteert naar een dergelijke functie.
Indien een werknemer een veiligheidsgevoelige functie
bekleedt, zal deze mogen worden onderworpen aan random
d&a-testen, zonder verdenking en voorafgaande aankondiging dus. Onder veiligheidsgevoelige functies worden verstaan een arts of arts-assistent, een docent, schoolconciërge
en werknemers die in aanraking komen met gevaarlijke
stoffen of gevaarlijke machines.
Een essentieel kenmerk van de toelaatbaarheid van de
d&a-test en het gebruik van de resultaten ervan in Californië
bestaat in het feit dat de toelaatbaarheid volledig onafhankelijk is van de toestemming van de werknemer. Wel staat
de belangenafweging tussen werkgever en werknemer centraal en wordt in theorie voorkomen dat een d&a-test wordt
afgenomen, dan wel de resultaten worden gebruikt, indien
de werkgever daartoe geen gerechtvaardigd belang heeft, en
bestaat er een redelijke privacyverwachting van de werknemer in de werksfeer.
6
Nederlandse wetgeving
Om de d&a-test te kunnen implementeren in Nederland,
dient de wetgeving hiervoor te worden aangepast. Dit kan
gestalte krijgen in de Wet bescherming persoonsgegvens
(WBP) en de Wet op de Medische Keuringen (WMK).10
7
Wet bescherming persoonsgegevens
De WBP is een wettelijk kader voor de omgang met persoonsgegevens. Hoewel deze wet geen specifieke aandacht
geeft aan de arbeidsrelatie, is deze wet hierop wel van toepassing. Van deze wet kan niet bij CAO of individuele
arbeidsovereenkomst worden afgeweken.
Centraal staat de belangenafweging die moet worden
gemaakt als persoonsgegevens worden verwerkt.11 Indien
het afnemen van een d&a-test is toegestaan in een arbeidsrelatie, zal gegevensverwerking alleen dan mogen plaatsvinden indien de gegevensverwerking toelaatbaar is op
grond van art. 8 WBP, die een aantal grondslagen geeft voor
verwerking, zoals de ondubbelzinnige toestemming, de uitvoering van een overeenkomst of de nakoming van een wettelijke verplichting. De meest geschikte grondslag die ook in
art. 8 sub f WBP wordt genoemd voor het verwerken van de
gegevens uit de d&a-test betreft de noodzakelijke gegevensverwerking voor een gerechtvaardigd belang van degene die
verantwoordelijk is voor de gegevensverwerking of van een
10 Hoewel ook andere Nederlandse wetgeving, zoals de Grondwet,
het Burgerlijk Wetboek en de Wet op de ondernemingsraden
raakvlakken kunnen hebben met dit onderwerp, laat ik deze hier
buiten beschouwing.
118
derde, terwijl het belang van (in dit geval) de werknemer
niet onevenredig wordt geschaad.
De verwerking van gegevens verkregen uit d&a-testen
zal aan strenge voorwaarden moeten voldoen, nu de gegevens onder de noemer ‘bijzondere’ gegevens zullen vallen.
In de WBP is in art. 16 een aparte regeling opgenomen voor
de verwerking van bijzondere gegevens. De verwerking van
deze gegevens is in principe verboden tenzij de verwerking
onder een van de in de WBP genoemde uitzonderingen valt.
Verwerking is uitsluitend toegestaan indien sprake is van
een zwaarwegend belang dan wel een dergelijke verwerking bij wet bepaald is. De gevallen waarin het verbod niet
geldt wordt voor iedere categorie gevoelige gegevens nader
toegelicht in art. 17-22 WBP. Aansluitend geeft art. 23 WBP
aan dat het verbod van art. 16 WBP gegevens te verwerken,
onverminderd art. 17-22 WBP, niet van toepassing is als de
uitdrukkelijke toestemming wordt gegeven door de betrokkene. Uitdrukkelijke toestemming houdt in dat er sprake
moet zijn van vrijheid van beslissen, duidelijke omschrijving
van de reikwijdte van de toestemming en op basis van
goede informatie.12 De vraag blijft of de toestemming van de
werknemer wel in vrijheid wordt afgelegd. Dit gezien de
positie van de werknemer ten opzichte van de werkgever.
Het verbod gevoelige gegevens te verwerken als het gaat
om zogenaamde gezondheidsgegevens kan worden opgeheven in het uitzonderingsartikel 21 WBP. Indien verwerking
van gezondheidsgegevens noodzakelijk is voor onder meer
de re-integratie van een arbeidsongeschikte werknemer,
geldt het verbod van art. 16 WBP niet. De gegevens betreffende iemands gezondheid betreffen niet uitsluitend de
gegevens die in het kader van een medisch onderzoek of
een medische behandeling door een arts worden verwerkt,
maar alle gegevens die de geestelijke of lichamelijke
gezondheid van een persoon betreffen.13 Gegevens verkregen uit de urine- of bloedtest geven ook aan of een persoon
al dan niet een goede gezondheid heeft. Ook als er geen bijzonderheden in het bloed of de urine worden aangetroffen,
behoort dat gegeven mijns inziens te worden aangemerkt
als een gegeven betreffende iemands gezondheid.
Op grond van de Arbeidsomstandighedenwet is de
werkgever in alle gevallen weer verplicht zich bij te laten
staan door een gecertificeerde Arbodienst. Het zorgvuldigheidsbeginsel van art. 6 WBP brengt dan met zich mee dat
de verwerking van medische gegevens niet door de werkgever zelf geschiedt, maar door de Arbodienst onder het
beroepsgeheim van de bedrijfsarts.
De vraag is alleen of de uitdrukkelijke toestemming als
grondslag voor verwerking van gevoelige gegevens ook
moet gelden in het geval van het afnemen van een d&a-test.
Ik ben van mening dat dit niet het geval moet zijn. De werknemer is in de arbeidsrelatie immers nooit geheel vrij een
keuze te maken de d&a-test niet te ondergaan. Het is beter
als de werkgever een grondslag voor het afnemen van de
11 Uit art. 1 WBP blijkt welke gegevens onder de term persoonsgegevens vallen en blijkt bovendien dat zowel het begrip ‘verwerken’
als het begrip ‘persoonsgegeven’ een grote reikwijdte hebben.
12 Kamerstukken II 1997/98, 25 892, nr. 3, p. 65.
13 Kamerstukken II 1997/98, 25 892, nr. 3, p. 109.
Afl. 3 – juni 2006
P&I
de toelaatbaarheid van drugs- en alcoholtesten in de werkrelatie; een Europese aangelegenheid?
d&a-test heeft, welke onafhankelijk van de keuze van de
werknemer is. Ook voor de werkgever heeft deze overweging een groot voordeel. Op grond van de WBP is het de
werknemer namelijk toegestaan zijn gegeven toestemming,
voor het afnemen van een d&a-test en voor het verwerken
van gegevens verkregen uit de d&a-test, weer in te trekken.
Dat levert een onzekere situatie voor de werkgever op.
Uit de WBP volgt aldus dat in feite alleen met de uitdrukkelijke toestemming of een wettelijke uitzondering de gegevens uit een d&a-test mogen worden verwerkt.
Op dit moment geldt uitsluitend voor specifieke beroepsgroepen dat de mogelijkheid van het afnemen van de d&atest is geregeld, zoals voor vrachtwagenchauffeurs en luchtvaartpersoneel.14 Dit is mogelijk door de toepassing van art.
23 lid 1 sub e WBP. Dit artikel verklaart het verbod gevoelige
persoonsgegevens (en dus ook de gezondheidsgegevens) te
verwerken buiten toepassing indien de verwerking noodzakelijk is met het oog op een zwaarwegend algemeen belang,
passende waarborgen worden geboden ter bescherming van
de persoonlijke levenssfeer en dit bij wet wordt bepaald dan
wel het College ontheffing heeft verleend.
8
Stichting van de Arbeid
Voordat de gegevens uit de d&a-test kunnen worden verwerkt, moet uiteraard eerst een grondslag bestaan om de
d&a-test af te nemen. Dat kan echter slechts op zeer
beperkte basis.
Tien jaar geleden ontstond er veel commotie toen Exxon
(Esso) wereldwijd bekendmaakte zijn werknemers voortaan
op alcohol- en drugsgebruik te willen gaan testen. Juist het
feit dat de tests op willekeurig gekozen tijdstippen zouden
worden uitgevoerd, zorgde voor veel discussie.15
In deze zelfde periode verzocht de Minister van Sociale
Zaken en Werkgelegenheid, minister De Vries, de Stichting
van de Arbeid een advies16 uit te brengen aangaande de
aanpak van problematiek van alcohol en werk. In het advies
wordt overigens opgemerkt dat het advies tevens handzaam
kan zijn bij de problematiek van drugs- en medicijngebruik.
In dit advies wordt onder meer ingegaan op de vraag of
alcoholtests wenselijk, gerechtvaardigd en uitvoerbaar zijn,
de overige punten in dit advies laat ik hier buiten beschouwing. Waar de werkgeversvertegenwoordigers wel heil zien
in het ontwikkelen van een alcoholbeleid waarbij de alcoholtest wordt ingevoerd in bepaalde sectoren van risicovolle
beroepen, zijn de werknemersvertegenwoordigers hier pertinent tegen het invoeren van een alcoholtest. Aangezien de
meningen van werkgevers- en werknemersvertegenwoordigers aanzienlijk uiteenliepen, is destijds nog geen consensus
ontstaan omtrent de wenselijkheid en mogelijkheden van
een alcoholtestbeleid in de werkrelatie.
9
Wet op de Medische Keuringen
De enige algemene mogelijkheid een d&a-test uit te voeren
buiten de zeer specifieke beroepsgroepen zoals de luchtvaart om, bestaat in de WMK. Zolang een test in het kader
van een medische keuring plaats zou vinden, was de regering van mening dat er op zich geen bezwaar bestond tegen
het afnemen van een d&a-test.
De per 1 januari 1998 in werking getreden WMK biedt
geen juridische grondslag voor een routinematige controle
van sollicitanten op het gebruik van alcohol, drugs of
geneesmiddelen.17
De mogelijkheid van een aanstellingskeuring is beperkt
tot functies waaraan op het punt van de medische geschiktheid bijzondere eisen moeten worden gesteld. Hieronder
wordt begrepen de bescherming van de gezondheid en veiligheid van de aspirant-werknemer en van derden bij de uitvoering van de desbetreffende arbeid, zo volgt uit art. 4 lid 1
WMK. Voorzover die bescherming afhankelijk is van het
reactievermogen van de sollicitant, kunnen vragen over
alcoholgebruik tijdens de aanstellingskeuring gerechtvaardigd zijn. Er mogen geen zaken worden onderzocht die
niet van belang zijn voor het doel van de keuring. Op grond
van art. 4 lid 2 WMK geldt echter wel een verbod voor de
werkgever om tijdens de sollicitatie vragen te stellen over
de gezondheidstoestand van de sollicitant.
Het is twijfelachtig of de WMK een daadwerkelijk
wapen kan bieden aan de werkgever die de sollicitant wil
testen op drugs- en alcoholgebruik. De WMK is niet bedoeld
voor de specifieke d&a-test, maar voor de medische keuring. De werkgever is al bij het plaatsen van zijn vacature
verplicht te melden dat er een medische keuring zal plaatsvinden. Daarvoor dient de sollicitant voorts zijn uitdrukkelijke toestemming te geven. Tot slot zal de sollicitant ook
zijn toestemming moeten geven om de testresultaten te
laten openbaren aan de werkgever.
De WMK stelt als doel te voorkomen dat sollicitanten
met gezondheidsproblemen ten onrechte worden uitgesloten van het recht op arbeid als gevolg van te uitgebreide
medische keuringen.
De WMK regelt geen details. Hiervoor zijn weer nadere
regels opgesteld in besluiten, protocollen en richtlijnen
opgesteld door beroepsbeoefenaren.
Tot slot zijn de WGBO en Arbowet bij het afnemen van
de d&a-test en het gebruiken van de gegevens van onmisbaar belang. Hierin is opgenomen dat – wederom – zonder
een uitdrukkelijke toestemming van de werknemer de
werkgever geen resultaten, verkregen uit het afnemen van
de d&a-test kan ontvangen van de bedrijfsarts.
10
Conclusie en aanbevelingen
De vraag rijst nu of de wijze waarop de d&a-test is toegestaan in Californië, een handzame leidraad kan zijn voor de
14 De Wet Luchtvaart kent een verbod op alcohol- en drankgebruik,
de luchtvaartpolitie kan hier zonodig op controleren.
15 J.H.J. Terstegge, ‘Privacybescherming van werknemers; actie vereist door ‘Europa?’’, P&I 2002, p. 33.
P&I
16 Stichting van de Arbeid: Advies ‘Alcohol en Werk’, 24 augustus
1993, Publikatienr. 6/93.
17 H. Uhlenbroek, ‘Werknemers en alcoholgebruik’, ArbeidsRecht
1998/3, p. 18.
Afl. 3 – juni 2006
119
de toelaatbaarheid van drugs- en alcoholtesten in de werkrelatie; een Europese aangelegenheid?
toelaatbaarheid van de d&a-test in Nederland. Het moeilijke
hierbij is dat een Amerikaans rechtssysteem uitgaat van
rechtspraak en jurisprudentie (case-law). Regels voor de
toelaatbaarheid van d&a-testen moeten worden herleid uit
een veelheid van jurisprudentie. In het Nederlandse rechtssysteem neemt de codificatie van regels een veel belangrijkere plaats in. Een tweede moeilijke aspect is dat op dit
moment niet geheel duidelijk is in welke mate Nederland
de d&a-test moet toelaten in het geval de Europese
Commissie op het gebied van de d&a-test een richtlijn uitvaardigt.
Wel kan worden gekeken naar de inhoud van de regels
omtrent de toelaatbaarheid van de d&a-test, om zo te bekijken of deze inhoud toepasbaarheid is in het Nederlandse
systeem.
De algemene regel dat bij sollicitaties een d&a-test toelaatbaar is, werkt uitsluitend indien deze in beginsel nondiscriminatoir en voorzienbaar is, zoals in feite ook nu het
geval is in de WMK als het om de bijzondere beroepsgroepen gaat.
Ten aanzien van de interne sollicitatie kan wel aansluiting worden gezocht bij het huidige art. 4 WMK en de risicovolle beroepen die hier worden genoemd. Ik ben van
mening dat in het Californische systeem een te grote onduidelijkheid bestaat over de invulling van het begrip ‘risicovol
beroep’, en alle synoniemen daarvan.
Dit probleem geldt ook voor de random d&a-test aangezien in Californië, nu ook bij de random d&a-test de term
risicovol beroep onduidelijk is. Verder verwacht ik gezien de
inhoud van de consultation paper van de Europese
Commissie niet dat de random d&a-test in een eventuele
richtlijn zal worden opgenomen.
De ‘for cause’-test zou wellicht wel worden opgenomen
in een Europese richtlijn. Hier zal ook wellicht het voorbehoud worden gemaakt dat deze d&a-test uitsluitend in de
zogenaamde risicovolle beroepsgroepen kan worden uitgevoerd.
kan de uitzondering worden gemaakt dat de toestemming
van de werknemer de test af te nemen en de resultaten te
verwerken, niet vereist is, doch dat deze d&a-testen uitsluitend op een zwaarwegende grondslag met het oog op de
veiligheid, waarbij een afweging van de wederzijdse belangen wordt gemaakt en een hoge mate van zorgvuldigheid in
acht wordt genomen.
De vrijheid van de sollicitant zich al dan niet te conformeren
aan een d&a-testbeleid, zou kunnen worden gevonden door
wel de werkgever te verplichten de sollicitant kenbaar te
maken dat een d&a-test tot de mogelijkheden behoort.
Tot slot zou op grond van art. 23 lid 1 sub e WBP een wettelijke uitzondering kunnen worden gemaakt opdat het verwerken van de gevoelige persoonsgegevens wel is toegestaan. Dit kan bewerkstelligen dat de uitdrukkelijke
toestemming van de werknemer niet vereist is, terwijl de
grondslag waarop de gegevens verkregen uit de d&a-test
worden verwerkt verandering op dat gebied, aan alle vereisten van de WBP dient te voldoen.
Ten aanzien van de interne sollicitatie van de reeds in dienst
getreden werknemer (bovendien geldt bij de huidige werknemer dat er een bijzondere aanleiding moet zijn, alleen de
for-cause-test is mijns inziens toelaatbaar) zou kunnen worden geregeld dat de d&a-test alleen toelaatbaar is indien de
functie van de werknemer beantwoordt aan de vereisten
van art. 4 WMK. Op deze manier kan ook worden gezorgd
dat de toelaatbaarheid van de d&a-test zoveel mogelijk op
een centrale plaats wordt geregeld.
Indien ten aanzien van de sollicitant zal gelden dat geen
vereisten aan de functie worden gesteld om een d&a-test af
te nemen, verdient het mijns inziens de voorkeur ook deze
regel neer te leggen in de WMK.
Aangezien de WMK echter nu uitgaat van een algemene
medische keuring, waarvoor ook in diverse stadia de uitdrukkelijke toestemming van de werknemer vereist is, verdient het aanbeveling de d&a-test apart in de WMK op te
nemen, naast de medische keuring. Voor de d&a-test kunnen in dit geval aparte voorwaarden worden opgenomen en
120
Afl. 3 – juni 2006
P&I
Mr. M.E. van der Zijde*
Tegenstrijdigheid tussen de opt-in regels?
135
Trefwoorden:
direct marketing, e-mail, sms, spam
De inhoud van dit artikel is gebaseerd op de scriptie getiteld ‘Direct e-mail en direct sms. Een onderzoek naar de
vraag wanneer het verzenden van direct marketingcommunicatie via e-mail en sms onrechtmatig is’.
De fragmentatie van de algemene en bijzondere
Europese en Nederlandse regelgeving van toepassing op
direct marketing ontstaat door verschillen in opzet, doelstellingen en de samenloop van (soft) opt-in en opt-out.
Door bestudering van de verhouding tussen de verschillende soorten opt-in c.q. opt-out regelgeving binnen de
Wet Bescherming Persoonsgegevens (WBP),
Telecommunicatiewet (Tw) en het Burgerlijk Wetboek
(BW) en daarmee de afgrenzing binnen de bevoegdheidsverlenende of verbiedende bepalingen zal in dit artikel
worden onderzocht welke gevolgen deze complexiteit
met zich meebrengt.
Inleiding
1
Reclamefolders in de brievenbus, telefoontjes met een aanbieding voor een nieuw tijdschrift of het Tellsell-programma op televisie met daarin het laatste fitnessapparaat
dat hoop biedt op een strak lijf; elke consument is wel eens
in aanraking gekomen met ‘direct marketing’. Direct marketing is een vorm van marketing, waarbij de intentie van de
opdrachtgever erin bestaat direct contact te leggen en/of
een duurzame relatie op te bouwen, door middel van voornamelijk directe communicatiemedia, met individuen uit
één of meerdere doelgroepen die men door middel van
databasetechnieken gesegmenteerd heeft en geïdentificeerd
heeft, om uiteindelijk een product of dienst te promoten,
aan te bieden, informatie te verstrekken of een andere service te bezorgen.1 De ontwikkeling van direct marketing en
haar instrumenten vindt naar gelang de communicatiemedia zich ontwikkelt op steeds nieuwe wijzen plaats. Dit leidt
tot een eveneens omvangrijk palet aan termen als e-marketing en m-marketing, de equivalenten voor e-mail marketing en mobile marketing. Of wat te denken van search
engine marketing en games marketing. De met deze media
*
1
Marian van der Zijde is advocaat IE/ICT bij AKD Prinsen Van
Wijmen te Eindhoven. Citeertitel: M.E. van der Zijde,
‘Tegenstrijdigheid tussen de opt-in regels?’, P&I 2006, 135.
M. Walrave, Direct Marketing en Privacy. De verhouding tussen
direct marketingcommunicatie en de bescherming van de informationele en de relationele privacy van consumenten (diss. KU
Leuven, Faculteit Sociale Wetenschappen 1999), p. 28.
P&I
verbonden communicatietechnieken maken een gepersonaliseerde communicatie en het verzamelen en analyseren
van persoonsgegevens mogelijk en zijn daarmee tevens een
stimulans voor nieuwe activiteiten op direct marketingebied, zoals direct e-mail en direct sms. Lage kosten en een
groot bereik zijn belangrijke redenen voor bedrijven en
organisaties om e-mail en sms op steeds grotere schaal toe
te passen. Helaas liggen deze eigenschappen ook ten grondslag aan een grote hoeveelheid ongevraagde communicatie:
spam.
Een dergelijke ontwikkeling als spam toont het spanningsveld aan dat kan ontstaan tussen ongevraagde directe communicatie enerzijds en anderzijds het belang van eenieder
om niet overspoeld te worden met ongevraagde reclameberichten en gewoonweg – tenzij verzocht – in de privé-sfeer
met rust gelaten te worden.
Redenen voor de Europese wetgever om naast de
bestaande Privacyrichtlijn2 door middel van sectorale wetgeving in de Richtlijn nr. 2002/58/EG inzake privacy en
elektronische communicatie,3 het verbod van ongevraagde
faxberichten en ongevraagde oproepen met zogeheten automatische oproepapparaten in juli 2002 uit te breiden naar
e-mail, sms en mms. Het gebruik van de term ‘e-mail’ in
deze richtlijnbepaling lijkt op voorhand verwarrend en
techniekafhankelijk wegens de verbondenheid aan de betekenis van ‘electronic e-mail’. Dit begrip is echter nader
gedefinieerd in art. 2 onder h Richtlijn nr. 2002/58/EG en
omvat elk tekst-, spraak-, geluids- of beeldbericht dat over
een communicatienetwerk wordt verzonden en in het netwerk of in de eindapparatuur van de ontvanger kan worden
opgeslagen tot het door de ontvanger wordt opgehaald.
Richtlijn nr. 2002/58/EG inzake privacy en elektronische
communicatie is op 22 april 2004 geïmplementeerd in de
Nederlandse wetgeving en heeft geleid tot een herziening
van de Telecommunicatiewet, die op 19 mei 2004 in werking is getreden. Nederland kent derhalve twee jaar een
‘soft opt-in’ regime (zie hierna, paragraaf 2) voor het verzenden van ongevraagde elektronische berichten voor
beoogde direct marketing.
De opt-in regel was echter niet nieuw; de Nederlandse
wetgeving verplichtte met de inwerkingtreding van art.
7:46h BW op 1 februari 2001 voor het doen van ongevraagde communicatie voor direct marketingdoeleinden
2
3
Richtlijn nr. 95/46/EG van het Europees Parlement en de Raad
van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PbEG L
281/31).
Richtlijn nr. 2002/58/EG van het Europees Parlement en de Raad
van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de
sector elektronische communicatie (PbEG 2002, L 201/37).
Afl. 3 – juni 2006
121
tegenstrijdigheid tussen de opt-in regels?
met oproepapparaten en faxen reeds de voorafgaande toestemming van de consument. Overige communicatietechnieken mochten in Nederland zonder beperking worden
ingezet door de verkoper, tenzij de koper hiertegen bezwaar
had gemaakt.
Fragmentatie opt-in en opt-out regels
2
De regulering dan wel beteugeling van ongevraagde communicatie voor direct marketingdoeleinden vindt plaats
door middel van de algemene privacyregels van de Wet
bescherming persoonsgegevens en de hiertoe ter specificatie en aanvulling dienende sectorale privacyregels in de
Telecommunicatiewet met daarnaast de opt-in regels in het
Burgerlijk Wetboek.
2.1
Wet bescherming persoonsgegevens
Art. 7:46h BW gaf samen met de materiële normen uit de
Wet bescherming persoonsgegevens in art. 6, 7, 8, 9 en 11 en
de opt-out regel van art. 41 WBP reeds de handvatten om
regulering van spam mogelijk te maken.
In het kader van transparantie moet voor ogen worden
gehouden dat bij toegestaan secundair gebruik van de persoonsgegevens het tot de eisen van een zorgvuldige gegevensverwerking behoort de betrokkene hierover vervolgens
in kennis te stellen door de volgende gegevens mede te
delen:
– de identiteit van de verantwoordelijke;
– de beoogde direct marketingdoeleinden van verwerking
en
– aanvullende informatie over onder andere welke verstrekte gegevens waarvoor bestemd zijn en de rechten
van inzage, correctie en verzet.
De opt-out regel is opgenomen in art. 41 WBP. Met het
absolute recht van verzet van dit artikel kan de betrokkene
zich te allen tijde kosteloos verzetten tegen de verwerking
van gegevens met het oog op werving voor commerciële en
charitatieve doeleinden.
2.2
Telecommunicatiewet
De soft opt-in regel is in onze nationale wetgeving neergelegd middels art. 11.7 leden 1 en 2 Tw. Deze luiden als volgt:
De algemene norm in art. 6 WBP bepaalt dat de verwerking
van persoonsgegevens in overeenstemming met de wet en
op behoorlijke en zorgvuldige wijze dient te geschieden. Uit
dit rechtmatigheidsregime volgt aldus dat direct marketingcommunicatie via e-mail of sms die hier niet aan voldoet als
onrechtmatig zal worden bestempeld.
Of deze gegevens nu uit eigen beheer worden samengesteld, via een listbroker4 worden verkregen of nooit in de
beheersmacht komen van een afzender omdat hij dit aan
een host5 overlaat; in alle gevallen dienen de gegevens voor
reeds duidelijk omschreven (direct marketing)doeleinden te
zijn verzameld (art. 7 WBP) en dient deze gegevensverwerking te zijn gebaseerd op een rechtvaardigingsgrondslag
(art. 8 WBP).
‘1. Het gebruik van automatische oproepsystemen zonder menselijke tussenkomst, faxen en elektronische
berichten voor het overbrengen van ongevraagde communicatie voor commerciële, ideële of charitatieve doeleinden aan abonnees is uitsluitend toegestaan, indien de
desbetreffende abonnee daarvoor voorafgaand toestemming heeft verleend, onverminderd hetgeen is bepaald
in het tweede lid;
2. Een ieder die elektronische contactgegevens voor
elektronische berichten heeft verkregen in het kader
van de verkoop van zijn product of dienst mag deze
gegevens gebruiken voor het overbrengen van communicatie voor commerciële, ideële of charitatieve doeleinden met betrekking tot eigen gelijksoortige producten of
diensten, mits bij de verkrijging van de contactgegevens
aan de klant duidelijk en uitdrukkelijk de gelegenheid is
geboden om kosteloos en op gemakkelijke wijze verzet
aan te tekenen tegen het gebruik van die elektronische
contactgegevens, en, indien de klant hiervan geen
gebruik heeft gemaakt, hem bij elke overgebrachte communicatie de mogelijkheid wordt geboden om onder
dezelfde voorwaarden verzet aan te tekenen tegen het
verder gebruik van zijn elektronische contactgegevens.
Artikel 41, tweede lid, van de Wet bescherming persoonsgegevens is van overeenkomstige toepassing’.
De verdere verwerking voor de verzending van de e-mail- of
sms-berichten ten behoeve van direct marketingdoeleinden
kan onrechtmatig zijn, indien deze doeleinden niet bekend
waren bij de betrokkene ten tijde van de verzameling van de
gegevens en dit geplande secundair gebruik niet voldoet
aan de verenigbaarheidtoets (art. 9 WBP).
Met de eis van doelbinding in art. 7 en 9 vormt art. 8
WBP het bindende element tussen deze twee artikelen. Art.
8 WBP is op alle soorten van verwerking van toepassing en
niet alleen op de verzameling van persoonsgegevens zoals
bij art. 7 WBP of op de verdere verwerking ervan als in art. 9
WBP.
Elke verwerking zal dus op één of meerdere van de zes
grondslagen van art. 8 WBP gebaseerd moeten zijn. Voor
verwerking van persoonsgegevens voor direct marketingdoeleinden zijn de gronden a, b en f van belang.
Worden derhalve direct marketingberichten via e-mail of
sms ongevraagd verzonden, dan gelden de hierboven weergegeven voorwaarden. Hierbij zal de afzender zich bovendien beter eerst kunnen concentreren of de uitzonderings-
4
5
Een listbroker is een handelaar waarvan de activiteiten zijn
gericht op het aanbieden van verschillende soorten lijsten met
persoonsgegevens waaronder met name e-mailadressen (het
zogenaamde listbroking).
122
Een host levert diensten die bestaan uit een complete dienstverlening voor het opzetten van spammingcampagnes. Deze
dienstverleners nemen naar de wensen van de klant de verzameling van de adressen en mailing voor hun rekening.
Afl. 3 – juni 2006
P&I
tegenstrijdigheid tussen de opt-in regels?
tweede lid, van de Wet bescherming persoonsgegevens
is van overeenkomstige toepassing.’
regel van lid 2 op de opt-in regel (het ‘softe’ aspect) van toepassing is.
Uitgezonderd van het beschermingsregime van dit artikel
zijn tot nu toe rechtspersonen ongeacht of zij wel of niet
abonnee zijn. Hier komt wellicht verandering in. Op voorstel
van minister Brinkhorst is namelijk op 31 maart 2006 een
wetsvoorstel aangenomen dat onder meer beoogt de
Telecommunicatiewet op dit punt te wijzigen. Het wetsvoorstel is voor advies gezonden aan de Raad van State. Bij
indiening van het wetsvoorstel bij de Tweede Kamer zal de
precieze tekst openbaar worden gemaakt.
2.3
Burgerlijk Wetboek
Wegens de herziening van de Telecommunicatiewet zou
zonder een aanpassing van art. 7:46h BW de situatie ontstaan dat het gebruik van elektronische berichten (via
e-mail, sms of mms) voor het doen van ongevraagde communicatie voor direct marketingdoeleinden aan consumenten en abonnees onder twee tegenstrijdige regimes (opt-in
onderscheidenlijk opt-out) zou komen te vallen.6 Daarom is
gelijktijdig met de inwerkingtreding van de herziene
Telecommunicatiewet art. 7:46h BW aangepast.
In lid 2 van art. 7:46h BW is bepaald dat de inzet van het
oproepapparaat, de fax en elektronische berichten voor het
overbrengen van ongevraagde communicatie ter bevordering van een koop op afstand, alleen is toegestaan na voorafgaande toestemming. Zie hieronder de leden 2 en 3 van art.
7:46h BW:
‘(…)
2. Het gebruik van automatische oproepsystemen zonder menselijke tussenkomst, faxen en elektronische
berichten voor het overbrengen van ongevraagde communicatie, ter bevordering van de totstandkoming van
een koop op afstand, aan een natuurlijk persoon die niet
handelt in de uitoefening van een beroep of bedrijf, is
uitsluitend toegestaan, indien de desbetreffende persoon daarvoor voorafgaand toestemming heeft verleend
onverminderd hetgeen is bepaald in lid 3.
3. Een ieder die elektronische contactgegevens voor
elektronische berichten heeft verkregen in het kader
van de verkoop van een zaak mag deze gegevens gebruiken voor het overbrengen van communicatie ter bevordering van de totstandkoming van een koop op afstand
met betrekking tot eigen gelijksoortige zaken, mits bij
de verkrijging van de contactgegevens aan de klant duidelijk en uitdrukkelijk de gelegenheid is geboden om
kosteloos en op gemakkelijke wijze verzet aan te tekenen tegen het gebruik van die elektronische contactgegevens, en, indien de klant hiervan geen gebruik heeft
gemaakt, hem bij elke overgebrachte communicatie de
mogelijkheid wordt geboden om onder dezelfde voorwaarden verzet aan te tekenen tegen het verder gebruik
van zijn elektronische contactgegevens. Artikel 41,
6
7
Kamerstukken II 2002/03, 28 851, nr. 3, p. 178 (MvT).
E. Schreuders, Datamining, de toetsing van beslisregels en privacy.
Een juridische Odyssee naar een procedure om het toepassen van
P&I
Minder bekend, maar later in het jaar 2004 trad op 30 juni
2004 wegens een te late implementatie van de Richtlijn nr.
2000/31/EG betreffende elektronische handel, nog een optin regel in werking met art. 3:15e BW. Op grond van dit artikel dient ongevraagde commerciële communicatie via
elektronische post reeds bij de ontvangst duidelijk en
ondubbelzinnig als zodanig herkenbaar te zijn.
Rechtmatig tegenover niet-rechtmatig
handelen
3
Ten aanzien van deze gefragmenteerde wetgeving kan verder worden opgemerkt dat de direct marketinghandelingen
afhankelijk van de desbetreffende bepalingen als rechtmatig
of niet-rechtmatig kunnen worden aangemerkt. Zo kan de
Wet bescherming persoonsgegevens als ‘dwingend recht’
worden bezien, waarbij rechtmatig handelen zich kenmerkt
door bevoegdheidsverlenende bepalingen tegen de achtergrond van een algemeen verbod. Handelingen waarvoor in
regels geen bevoegdheid valt aan te wijzen, zijn niet toegestaan.7
Indien de regulering het uitgangpunt niet-onrechtmatig
hanteert, wordt uitgegaan van ‘regelend recht’. Dit wil zeggen dat partijen in beginsel niet begrensd worden door het
recht en vrij gelaten zijn zelf hun relaties vorm te geven.8
Daartegenover zijn er specifieke verboden.
In bepaalde relaties kan er echter een verschuiving door
het recht worden bewerkstelligd van een niet-onrechtmatigheidsregime naar een rechtmatigheidsregime. Deze verschuiving heeft bijvoorbeeld plaatsgevonden vanuit het criterium van machtsongelijkheid bij een koop op afstand
tussen verkoper en consument.
In de navolgende paragrafen zullen de verschillende opt-in
regels in de verschillende wetten tegen elkaar worden afgezet. Begonnen wordt met de verhouding tussen de algemene en bijzondere privacywetgeving opgenomen in respectievelijk de Wet bescherming persoongegevens en de
Telecommunicatiewet. Daarbij wordt tevens ingegaan op
het bestaande initiatief waarbij de consument zich kan
afmelden voor ongevraagde communicatie (het Infofilter)
en de wijze waarop in de wetgeving de aanzet tot een opt-in
of opt-out wilsuiting is vormgegeven.
Vervolgens worden de formuleringen van de beide optin regels in art. 11.7 Tw en art. 7:46h BW met elkaar vergeleken, waarbij wordt gefocust op de vraag of bij onenigheid
over (on)gevraagde communicatie, de afzender dan wel de
ontvanger een al dan niet gegeven toestemming zal moeten
aantonen. Aangezien de direct marketinginstrumenten
direct e-mail en direct sms in mijn scriptie centraal stonden,
zullen de hieronder genoemde voorbeelden zich tot e-mail
en sms beperken.
8
beslisregels te kunnen toetsen (diss. Tilburg), Tilburg: CRBI 2001,
p. 17.
Idem, p. 17.
Afl. 3 – juni 2006
123
tegenstrijdigheid tussen de opt-in regels?
4
Verhouding tussen de WBP en Tw
4.1
De verhouding tussen art. 9 en art. 11.7 lid 2 Tw
Elke gegevensverwerking, voor welk doeleinde dan ook,
dient te voldoen aan de verenigbaarheidstoets van art. 9
WBP. Men kan zich dan ook afvragen of het soft opt-in
regime, neergelegd in art. 11.7 lid 2 Tw tevens verenigbaar
gebruik van de persoonsgegevens in de zin van art. 9 WBP
inhoudt. Ter beantwoording van deze vraag zal ik de beide
artikelen met elkaar vergelijken.
De vijf criteria ter beoordeling van onverenigbaarheid uit
lid 2 van art. 9 WBP luiden als volgt:
1. de verwantschap tussen het doel van de beoogde verwerking en het doel waarvoor de gegevens zijn verkregen;
2. de aard van de betreffende gegevens;
3. de gevolgen van de beoogde verwerking voor de betrokkene;
4. de wijze waarop de gegevens zijn verkregen;
5. de mate waarin jegens de betrokkene wordt voorzien in
passende waarborgen.
De voorwaarden van art. 11.7 lid 2 Tw zijn de volgende:
a. de gegevens mogen worden gebruikt voor het overbrengen van communicatie voor commerciële, ideële of charitatieve doeleinden met betrekking tot eigen gelijksoortige producten of diensten;
b. de gegevensverwerking betreft elektronische contactgegevens;
c. deze dienen te zijn verkregen in het kader van de verkoop van een product of dienst;
d. bij de verkrijging van de contactgegevens moet aan de
klant duidelijk en uitdrukkelijk de gelegenheid zijn
geboden om kosteloos en op gemakkelijke wijze verzet
aan te tekenen tegen het gebruik van die elektronische
contactgegevens, en, indien de klant hiervan geen
gebruik heeft gemaakt, bij elke overgebrachte communicatie.
Zoals blijkt is in art. 11.7 lid 2 Tw een specifieke verenigbaarheidtoets opgenomen op één onderdeel na: sub c, de
gevolgen van de beoogde verwerking voor de betrokkene. Er
is dus geen sprake van een afdoende specificering van art. 9
WBP.
Met betrekking tot dit criterium is van belang in welke mate
de betrokkene de gevolgen ondervindt van de direct marketingcommunicatie, terwijl de gegevens door hem zijn afgegeven voor de aanschaf van een product of dienst.
Voor ongevraagde direct e-mail bestaan de gevolgen voor de
betrokkene uit de vondst van een reclameboodschap in zijn
mailbox. Dit e-mailbericht kan in beginsel na waarneming
van de Afzender- en Subjectheader zonder het te openen
met een druk op de deleteknop worden verwijderd.
Daartegenover worden veel berichten toch per ongeluk geopend omdat de betrokkene niet in de gaten heeft dat het
hier ongevraagde reclame betreft of door de informatie in
de onderwerpsregel zelfs misleid wordt.
124
Naast deze praktische gevolgen kan de ongevraagde
commerciële benadering bij de betrokkene vervolgens reacties teweegbrengen waardoor het bericht onder meer als
onaangenaam, storend, opdringerig of als een inbreuk op de
privé-sfeer wordt ervaren.
De gevolgen van ongevraagde direct sms zijn vergelijkbaar.
Dit marketinginstrument kan bijvoorbeeld door een smsdienstverlener worden ingezet nadat een klant via sms een
beltoon heeft besteld en ontvangen. Kenmerkend voor sms
is dat onderwerpsaanduiding niet mogelijk is en de wijze
waarop de meeste mobiele telefoons zijn ingericht niet toelaat dat sms-berichten op voorhand verwijderd kunnen
worden. Het bericht wordt hoe dan ook afgeleverd en opgeslagen in de inbox en zal altijd eerst geopend moeten worden en al dan niet per ongeluk worden ingezien om het vervolgens te kunnen verwijderen. Daar komt bij dat de kosten
van een opt-out-sms voor rekening van de klant komen.
Verder kan deze directe benadering via sms eveneens als
onaangenaam, storend, opdringerig of als een inbreuk op de
privé-sfeer worden ervaren. Dit zal zeer aannemelijk zijn
omdat men de mobiele telefoon vaak bij zich draagt en de
ontvangst van een sms-bericht door het geluid- en/of trilsignaal een korte onderbreking van de bezigheden inhoudt.
Convergerende communicatietechnieken hebben
bovendien tot gevolg dat met de mobiele telefoon ook kan
worden gemaild. Door een verbinding te leggen met de
e-mailserver kunnen de wachtende e-mailberichten worden
gedownload en ingezien. Indien hierbij gebruik wordt
gemaakt van GPRS zal voor de hoeveelheid gegevens die
worden gedownload moeten worden betaald. Als men
ervoor kiest op deze manier e-mailberichten te lezen, dan
zijn de ongevraagde direct marketingberichten die per
ongeluk worden binnengehaald dus een directe kostenpost.
Het opdringerige aspect is in vergelijking tot sms minder
aanwezig omdat het initiatief bij de gebruiker ligt verbinding te maken met de e-mailserver.
De vraag is nu of deze gevolgen als een vervelende verandering in de situatie van de betrokkene moeten worden opgevat en of hiermee de persoonlijke levenssfeer wordt
geschaad.
Bovenstaande bezien doet concluderen dat de eerste
vraag positief beantwoord kan worden. Voor schending van
de persoonlijke levenssfeer lijkt me dat een nuance op zijn
plaats is en dat er in ieder geval sprake moet zijn van een
regelmatige verzending.
Dit geldt niet voor dagelijkse ongevraagde direct sms
waarbij de berichten gewoonweg in de mobiele telefoon
worden ‘gestopt’ en verplicht moeten worden geopend. Ook
de grote mate van opdringerigheid draagt bij aan de conclusie dat hier wel sprake is van een inbreuk op de persoonlijke
levenssfeer. Voor sms-gebruikers zijn bovendien in
Nederland nog geen filtertechnieken beschikbaar.
Verenigbaar gebruik in de zin van art. 9 WBP kan dan ook
ontbreken. Dit betekent dat ook al is er voldaan aan art. 11.7
lid 2 Tw, de Wet bescherming persoonsgegevens wellicht
alsnog een rechtmatige verzending van een ongevraagd
direct sms-bericht in de weg kan staan. Bij regelmatige inzet
Afl. 3 – juni 2006
P&I
tegenstrijdigheid tussen de opt-in regels?
van het marketinginstrument direct sms valt dan ook aan te
bevelen hiertoe alleen over te gaan nadat de voorafgaande
toestemming van de betrokkene is verkregen.
De verhouding tussen de Infofilterbestanden en de
specifieke opt-in of opt-out wilsuiting
Een consument kan zich in de algemene registers van het
Infofilter inschrijven voor onder andere de communicatiemiddelen e-mail en sms. Daarnaast worden deze
Infofilterbestanden door de aangesloten bedrijven en organisaties ook nog steeds afgenomen.
Hoe verhoudt een dergelijke inschrijving in het Infofilter
zich tot de bijzondere opt-in en opt-out keuzes van consumenten?
Ter beantwoording van deze vraag kan er onderscheid
worden gemaakt tussen een klant die tijdens de verzameling van zijn elektronische contactgegevens, na de kennisgeving over mogelijke toekomstige commerciële benadering
via e-mail of sms, zijn uitdrukkelijke toestemming heeft
gegeven of daartegenover juist de keuze om zijn verzetsrecht toe te passen (voorlopig) open heeft gelaten.
In de eerstgenoemde situatie van een uitdrukkelijke
opt-in zal deze specifieke wilsuiting mijns inziens moeten
gelden boven de inschrijving in het Infofilter, ongeacht of
deze voor of na 19 mei 2004 heeft plaatsgevonden. Het feit
dat de klant specifiek kiest om op de hoogte te worden
gehouden van vergelijkbare producten of diensten in relatie
tot hetgeen hij reeds heeft aangeschaft of afgenomen, dient
voor de algemene opt-out te gaan.
Voor de tweede situatie moet worden afgevraagd of het
open laten van een opt-out eveneens als een specifieke
wilsuiting kan worden bezien. Met andere woorden hoe
verhoudt het niet gebruik maken van een aangeboden optout mogelijkheid zich tot een inschrijving in het Infofilter?
Vanuit het perspectief van de consument c.q. klant kan
worden bepleit dat juist een brede algemene afmelding
voorkomt dat men zich telkens weer opnieuw moet verzetten tegen een commerciële benadering, waarbij het niet
hoeft uit te maken dat er recentelijk een nieuw soft opt-in
regime is ingevoerd. Een recht als het verzetsrecht lijkt zich
namelijk bijna te ontwikkelen in een opteerplicht voor de
Nederlandse consumenten.
Naast art. 41 lid 4 WBP dat bepaalt dat de betrokkene in
elke boodschap moet worden gewezen op de mogelijkheid
tot het doen van verzet, gaat art. 11.7 lid 2 Tw namelijk verder met de voorwaarde dat de mogelijkheid tot het aantekenen van verzet moet worden aangeboden.
Omdat algemene opt-out filters zich op moeilijke wijze
verhouden tot een opt-in regime kan dus worden gezegd
dat de commercieel benaderde klant in elk bericht geconfronteerd wordt met een opt-out mogelijkheid en tevens
van hem vereist wordt zijn keuze opnieuw aan te duiden.
Een bijna cynische conclusie die luidt dat de huidige systematiek in de weg staat van de keuze om niet in elk bijzonder geval te opteren voor opt-out, kan worden getrokken.
4.2
9
In de opzet van art. 11.7 lid 2 Tw is geen rekening gehouden
met de uitoefening van het verzetsrecht middels algemene
registers. Uit de invoering van het soft opt-in regime volgt
immers afschaffing hiervan. Maakt men geen gebruik van
het verzetsrecht ten tijde van de verzameling dan zal wanneer art. 11.7 lid 2 Tw wordt toegepast en ondanks dat de
klant in de Infofilterbestanden voorkomt, ongevraagde
direct e-mail of sms in beginsel toegestaan zijn.
Het feit dat hierbij de bestanden van het Infofilter worden genegeerd betekent echter een schending van de overeengekomen voorwaarden van dit zelfreguleringsinitiatief.
Helaas wordt naar de (reeds ingeschreven) consumenten
onvoldoende uitgedragen dat een eenmalige inschrijving in
het Infofilter nog steeds betekent dat men zich, indien
daarom wordt verzocht, zal dienen te ‘opt-outen’. It’s better
to be safe then sorry.
5
Verhouding tussen de Telecommunicatiewet
en het Burgerlijk Wetboek
In het bestaande recht zijn twee soft opt-in regimes opgenomen in respectievelijk art. 11.7 Tw en art. 7:46h BW,
ofwel in enerzijds een rechtmatigheidsregime en anderzijds
een niet-onrechtmatigheidsregime.
Het eerstgenoemde opt-in regime geldt voor ongevraagde commerciële, charitatieve en ideële berichten. In lid
1 van art. 11.7 Tw is opgenomen dat verzending is toegestaan, mits de verzender kan aantonen dat de desbetreffende abonnee daarvoor voorafgaand toestemming heeft
verleend.
Op de verzender rust dus de bewijslast zoals dat bij
rechtmatigheidsregimes gebruikelijk is om aan te tonen dat
hij bevoegd gehandeld heeft.9 Hieruit kan tevens indirect
een plicht worden afgeleid, die bestaat uit het aanleggen
van databestanden waarmee desgevraagd de ontvangen
toestemming van de geselecteerde abonnees kan worden
aangetoond.
Het opt-in regime opgenomen in art. 7:46h lid 2 BW
stelt regels voor ongevraagde commerciële communicatie
en bepaalt dat dit uitsluitend is toegestaan indien de desbetreffende persoon daarvoor voorafgaand toestemming heeft
verleend. In tegenstelling tot art. 11.7 Tw wordt aan de
afzender echter niet de plicht opgelegd het rechtmatige optin handelen, desgevraagd te kunnen aantonen.
De vraag is nu of dit betekent dat door het weglaten van
dit vereiste het aantonen van de al dan niet verleende toestemming nu op de ontvanger van het bericht rust in plaats
van op de afzender.
Enerzijds kan worden beargumenteerd dat de bewijslast
rust op de ontvanger van het bericht omdat de kern van de
bepaling zich richt tot de ‘verlening’ van de toestemming en
dat, zoals gebruikelijk in een niet-onrechtmatigheidsregime,
degene die zich niet rechtmatig behandeld acht, dit ook zal
moeten bewijzen. Deze bewering sluit ook aan bij de hoofd-
Het vereiste om de voorafgaande toestemming te kunnen aantonen is bij amendement voorgesteld en aangenomen, zie
Kamerstukken II 2002/03, 28 851, nr. 15.
P&I
Afl. 3 – juni 2006
125
tegenstrijdigheid tussen de opt-in regels?
regel van bewijslastverdeling zoals opgenomen in art. 150
Wetboek van Burgerlijke Rechtsvordering (Rv).
Anderzijds is de opt-in regel in art. 7:46h lid 2 BW gelijkluidend opgezet als de opt-in regel in art. 11.7 lid 1 Tw en zou
naar analogie het zwaartepunt ten aanzien van de bewijslast van de toestemming bij de afzender gelegd moeten
worden. Bovendien blijkt uit de ratio van de regels voor de
koop op afstand juist een bescherming van de consument
en is er een verschuiving van een niet-onrechtmatigheidsnaar een rechtmatigheidsregime waarneembaar.
Samenvattend zal op de partij die stelt dat er niet is voldaan
aan art. 7:46h lid 2 BW, ook ingevolge de hoofdregel van art.
150 Rv de bewijslast rusten. Mogelijkerwijs zal een rechter
wel afwijken van deze hoofdregel van bewijslastverdeling
op grond van de eisen van redelijkheid en billijkheid. Het
bewijs dat de ontvanger van de ongevraagde communicatie
hiertoe zijn toestemming heeft verleend is namelijk gemakkelijker door de afzender aan te leveren dan door de ontvanger.
Ditzelfde argument kan ten grondslag liggen aan de
beslissing om aan een verzwaarde stelplicht op te leggen.
De afzender zal in de meeste gevallen een professioneel
bedrijf of organisatie betreffen die om tot een selectie van
een doelgroep te komen de beschikking heeft over databestanden waarin de van belang zijnde (persoons)gegevens
zijn opgeslagen. Feitelijke gegevens over de opt-in of optout keuze van een klant zullen hiervan onderdeel uitmaken.
Omdat het vrijwel onmogelijk is te bewijzen dat men op bijvoorbeeld een elektronisch invulformulier het opt-in vakje
met de muis niet heeft aangeklikt, wordt de ontvanger van
het bericht tevens in een benadeelde positie gebracht ten
opzichte van de afzender. Een tweede reden om de door de
eiser gestelde ontbrekende toestemming door de gedaagde
(de afzender) te laten weerleggen.
6
tie kan worden beschouwd van de verenigbaarheidstoets,
opgenomen in art. 9 WBP. Er ontbreekt echter één voorwaarde die wel onderdeel uitmaakt van art. 9 WBP. Zo moet
uit hoofde van art. 9 WBP ook worden getoetst in welke
mate de betrokkene de gevolgen ondervindt van de ongevraagde direct marketingcommunicatie. Hierdoor kan met
betrekking tot het marketinginstrument direct sms de situatie ontstaan dat ongevraagde direct sms-berichten toelaatbaar zijn op grond van art. 11.7 Tw, maar anderzijds niet de
verenigbaarheidstoets van art. 9 WBP doorstaan.
Ongevraagde direct marketingcommunicatie die op grond
van de Telecommunicatiewet dus geoorloofd is, zou dan alsnog op grond van de Wet bescherming persoonsgegevens
als onrechtmatig kunnen worden aangemerkt.
Tevens is geconstateerd dat in art. 7:46h lid 2 BW is
nagelaten een verplichting op te nemen op grond waarvan
de verkoper de verleende toestemming voor ongevraagde
elektronische communicatie van de consument moet aantonen. Dit heeft tot gevolg dat indien een geschil over ongevraagde direct marketingcommunicatie leidt tot een gerechtelijke procedure, een consument die stelt geen
toestemming te hebben verleend, tevens zal moeten trachten om omkering van de bewijslastverdeling te bewerkstelligen of de rechter zal moeten bewegen aan de wederpartij
een verzwaarde stelplicht op te leggen.
Conclusie
Met de introductie van een soft opt-in regel in de
Telecommunicatiewet én het Burgerlijk Wetboek is getracht
een gelijkluidende formulering aan te houden. Deze nieuwe
regels naast de materiële normen en het recht van verzet
(art. 41) in de Wet bescherming persoonsgegevens sluiten
bovendien op elkaar aan, zie bijvoorbeeld de verwijzing
naar art. 41 WBP in art. 11.7 Tw en art. 7:46h BW.
Uit bovenstaande vergelijkingen van de gefragmenteerde
wetgeving blijkt echter dat er toch een aantal onduidelijkheden zijn aan te wijzen. In de eerste plaats is door de
Nederlandse wetgever in het midden gelaten of consumenten in beginsel geoorloofde ongevraagde direct marketingcommunicatie door inschrijving in de Infofilterbestanden
kunnen doorkruisen. Ook de initiatiefnemers van het
Infofilter hebben sinds de overgang naar een opt-in regime
hierover geen gerichte oplossing aangedragen.
Ten tweede bestaan er toch een aantal lacunes in de wetgeving. Gebleken is dat lid 2 van art. 11.7 Tw als een specifica-
126
Afl. 3 – juni 2006
P&I
Berichten uit Brussel
Interpretatie & harmonisatie: het werkprogramma van de
Artikel 29-werkgroep voor 2006 en 2007
Mr. J. Kohnstamm en mw. drs. M.A.H. Fontein*
136
Inleiding
1
De Artikel 29-werkgroep, de onafhankelijke overleg- en
adviesgroep van nationale dataprotectietoezichthouders
van de lidstaten van de Europese Unie, heeft in de afgelopen
bijeenkomst, van 4 en 5 april 2006, de speerpunten van
haar activiteiten voor de komende twee jaren vastgesteld.
Deze komende periode valt vrijwel samen met het voorzitterschap van de president van de Duitse nationale toezichtautoriteit, Peter Schaar, die aan het begin van de vergadering is herkozen als voorzitter van de werkgroep voor de
periode van twee jaar.
Zorg dragen voor geharmoniseerde interpretatie, implementatie en naleving van de Europese dataprotectieregels is
dus de kerntaak van de groep. Het hoofddoel voor de
komende periode is het verder ontwikkelen van een geharmoniseerde interpretatie van de richtlijnen, teneinde de
toepassing ervan te verbeteren. Hiervoor gaat zij langs twee
‘aanvliegroutes’ te werk; enerzijds zal een aantal inhoudelijke onderwerpen worden behandeld die van strategisch
belang zijn. Anderzijds zal een aantal kernbegrippen uit de
algemene privacyrichtlijn nader worden toegelicht. Dit zal
deels autonoom gebeuren, en deels als uitvloeisel van de
analyse van de inhoudelijke onderwerpen.
Taken van de Artikel 29-werkgroep
2
De groep ontleent haar bestaansrecht en haar naam aan art.
29 van Richtlijn nr. 95/46/EG. Haar taken zijn vastgelegd in
art. 30 van de richtlijn. Dit artikel is de leidraad geweest in
het bepalen van het werkprogramma. De taken die voortvloeien uit art. 30 zijn:
– bijdragen aan een homogene toepassing van de richtlijn
door het bestuderen van elke kwestie betreffende de
toepassing van de nationale bepalingen ter implementatie van de richtlijn;
– adviseren van de Europese Commissie over het beschermingsniveau in de EU en in derde landen;
– adviseren van de Commissie over voorstellen tot wijziging van de richtlijn en over elk ander voorstel voor
communautaire maatregelen die voor de rechten en
vrijheden van personen in verband met de verwerking
van persoonsgegevens gevolgen hebben;
– advies uitbrengen over Europese gedragscodes.
Wanneer de groep vaststelt dat er tussen wetgeving of praktijk van de lidstaten discrepanties ontstaan waardoor aan de
gelijkwaardigheid van de bescherming in de Europese Unie
afbreuk zou kunnen worden gedaan, dient de groep de
Europese Commissie hiervan op de hoogte te brengen.
Tevens kan de groep uit eigen beweging aanbevelingen
doen over elke aangelegenheid die met de bescherming van
bovengenoemde rechten en vrijheden verband houdt.
*
Het werkprogramma: interpretatie van
richtlijnen
3
Van de volgende kernbegrippen zullen interpretaties worden gegeven: Ten eerste de definitie van ‘persoonsgegeven’.
De behoefte aan een nadere analyse van het begrip op
Europees niveau is mede voortgevloeid uit de komst van
nieuwe technologieën zoals RFID. Een heldere en geharmoniseerde interpretatie van het begrip ‘persoonsgegeven’ is
noodzakelijk. Het begrip is gedefinieerd als ‘iedere informatie betreffende een geïdentificeerde of identificeerbare
natuurlijke persoon’. Het onderscheid tussen twee aspecten
van de definitie, ‘betreffende’ en ‘geïdentificeerde of identificeerbare’, zal een belangrijke rol spelen. Tevens komen
vragen rondom anonimisering van informatie aan de orde.
Deze analyse zal vervolgens worden gebruikt in de behandeling van twee hoofdonderwerpen, te weten RFID’s en
identiteitsmanagement. Dit laatste onderwerp wordt met
name besproken in het licht van e-government. Hierbij zullen ook kwesties rondom wat in Nederland het burgerservicenummer heet aan de orde komen.
Daarnaast zal de werkgroep kijken naar de begrippen
‘betrokkene’ en ‘toestemming’, in het bijzonder in de context van (minderjarige) kinderen. Ook zal zij een interpretatie geven van art. 8 Richtlijn nr. 95/46/EG, dat ziet op de verwerking van bijzondere gegevens, door middel van een
rapport over e-patiëntendossiers. In veel EU-landen wordt
er op dit moment nagedacht over de opzet van e-patiëntendossiers. In een aantal landen is reeds met de bouw daarvan
begonnen. De vragen die in dit verband aan de orde komen
Jacob Kohnstamm is voorzitter van het College bescherming
29-werkgroep. Citeertitel: J. Kohnstamm & M.A.H. Fontein,
persoonsgegevens en namens Nederland lid van de Artikel 29-
‘Interpretatie & harmonisatie: het werkprogramma van de Artikel
werkgroep. Anne-Marije Fontein is coördinator internationaal
29-werkgroep voor 2006 en 2007’, P&I 2006, 136.
bij het College bescherming persoonsgegevens en in die functie is zij onder andere plaatsvervangend lid van de Artikel
P&I
Afl. 3 – juni 2006
127
het werkprogramma van de artikel 29-werkgroep
zijn onder andere of deelname aan e-patiëntendossiers verplicht kan worden gesteld, of dit noodzaakt tot wetgeving of
dat er andere grondslagen mogelijk zijn, en hoe de systemen zouden moeten worden ingericht.
Ook is de groep van plan een nadere interpretatie te geven
van art. 6 lid 1 sub e Richtlijn nr. 95/46/EG, over de bewaartermijn van persoonsgegevens. Hierbij zal ook aandacht
worden besteed aan de kwestie van de openbaarmaking van
de archieven van de geheime diensten in de voormalige
Oostbloklanden. Dit is een thema dat in de nieuwe lidstaten
grote prioriteit heeft.
De Europese Commissie is in 2006 begonnen met de evaluatie van het juridische kader rondom elektronische communicatie. Hieronder valt ook de e-privacyrichtlijn, Richtlijn nr.
2002/58/EG. Gezien de taken van de Artikel 29-werkgroep
volgend uit art. 30 van de algemene privacyrichtlijn, en het
hoofddoel dat de groep zich voor de komende jaren heeft
gesteld, zal zij ook bijdragen aan de evaluatie van de
e-privacyrichtlijn.
Grensoverschrijdende ontwikkelingen
4
Naast de activiteiten ten bate van het hoofddoel, het geven
van een geharmoniseerde interpretatie van de privacyrichtlijnen, richt de Artikel 29-werkgroep zich met name op die
onderwerpen die per definitie een grensoverschrijdend
karakter hebben. Nationale toezichthouders kunnen deze
onderwerpen alleen niet effectief aanpakken.
Samenwerking en harmonisatie zijn hierbij van groot
belang. Zaken als identiteitsmanagement en -fraude en
internationale doorgiften zijn hiervan een voorbeeld, en dit
laatste is dan ook een onderwerp dat de blijvende aandacht
van de Artikel 29-werkgroep heeft. Zij streeft naar een succesvolle uitbouw van de Binding Corporate Rules (BCRs).
Brede toepassing en goedkeuring van BCRs zal worden
gestimuleerd. Ook zal de groep een seminar organiseren
over doorgiften, waarin onder andere aandacht zal zijn voor
de Amerikaanse Safe Harbour, en voor BCRs. Tevens is de
verwachting dat nieuwe ontwikkelingen rondom de doorgifte van passagiersgegevens naar derde landen in het kader
van vliegveiligheid en terrorismebestrijding tot betrokkenheid van de groep zullen nopen.
berichten uit brussel
van een belangrijk onderdeel en de groep wil hierop een
meer proactief beleid voeren. Daarom zijn de nationale toezichthouders in maart 2006 een gecoördineerd, EU-breed
gezamenlijk onderzoek gestart naar de verwerking van persoonsgegevens bij private ziektekostenverzekeringen. Doel
hiervan is om inzicht te krijgen in de naleving van de gegevensbeschermingsregels. De nationale rapportages zullen
ook op Europees niveau worden geëvalueerd en leiden
mogelijk tot aanbevelingen van de Artikel 29-werkgroep
voor de sector, teneinde de naleving te vergroten op een
manier die de minste lasten voor de sector met zich meebrengt.
De hier genoemde speerpunten zijn overigens in lijn met
het strategiedocument dat de groep in september 2004
heeft aangenomen waarin zij haar visie geeft op haar rol, en
haar hoofdactiviteiten benoemt.1 Tevens zijn deze speerpunten een antwoord op de analyse van de Europese
Commissie in haar eerste verslag over de toepassing van de
richtlijn uit mei 2003.2 De activiteiten van de Artikel 29werkgroep passen binnen de lijn die de Commissie heeft
uitgezet om zorg te dragen voor een betere toepassing van
de richtlijn. Uiteraard zal de werkgroep ook input leveren
indien de Commissie een bericht uitbrengt als follow-up
van het werkprogramma voor een betere implementatie
van de richtlijn. Bijdragen aan geharmoniseerde interpretatie, implementatie en naleving van de Europese dataprotectieregels zal hierbij het richtsnoer blijven.
Handhaving
5
Tot slot zal de Artikel 29-werkgroep haar werk op het
gebied van handhaving voortzetten. De groep heeft reeds in
2004 aangegeven dat het nastreven van geharmoniseerde
naleving van de Europese dataprotectieregels een van haar
strategische en permanente doelen is. Handhaving is hier-
1
Strategy document, WP98, doc 11648/04, 30 september 2004, te
2
Verslag van de Commissie, Eerste verslag over de toepassing van
vinden via <http://www.europa.eu.int/comm/justice_home/
de Richtlijn gegevensbescherming (95/46/EG), Com(2003)265
fsj/privacy/workinggroup/wpdocs/2004_en .htm>
definitief, 15 mei 2003, te vinden via <http://www.europa.eu.int/
comm/justice_home/fsj/privacy/lawreport/index_en.htm>
128
Afl. 3 – juni 2006
P&I
Rechtspraak
De voorzieningenrechter: een streng islamitische geloofsovertuiging mag op zichzelf geen reden tot verstoring zijn
Rb. Amsterdam 1 december 2005, LJN-nummer AU7314
Mr. P.R. Rodrigues*
137
Inleiding
1
Er zijn gevallen waarin strafrechtelijke, verblijfsrechtelijke
of inlichtingenmatige maatregelen onvoldoende soelaas
bieden om te voorkomen dat de voorbereiding van een terroristische activiteit plaatsvindt, een radicaliseringproces
gedijt of een evenement met een radicaal karakter plaatsvindt. De overheid kan deze processen ‘verstoren’. Een van
de vormen waarin dit kan gebeuren is het persoonsgericht
verstoren. Een individu wordt zodanig in de gaten gehouden
dat er van radicale activiteiten niet veel meer terecht komt.
Het gaat bij dit persoonlijk verstoren om het hinderlijk en
merkbaar volgen. Daarbij wordt dus een stevige inbreuk
gemaakt op het privé-leven. Het is de vraag op grond van
welke aanwijzingen een dergelijke inbreuk op de privacy
gerechtvaardigd is. Eind 2005 wordt een islamitische moeder van drie kinderen bijkans gestoord van het verstoren en
spant een kort geding tegen de gemeente Amsterdam aan.
Beoordeling voorzieningenrechter
2
Hieronder is de inhoudelijke beoordeling van het geschil
door de rechtbank integraal weergegeven.
5. Vaststaat dat eiseres sinds 19 oktober 2005 op gezag van
de burgemeester van Amsterdam wordt verstoord. Dit persoonlijk verstoren houdt in dat bij haar woning enkele
malen per dag opvallend, dat wil zeggen met als zodanig
herkenbare voertuigen van de politie, wordt gesurveilleerd.
Daarnaast belt de politie haar regelmatig op en wordt ook
wel bij haar aangebeld. Namens de gemeente is hierover ter
zitting verklaard dat de politie eiseres geregeld opbelt en bij
haar aanbelt, om zodoende met haar in gesprek te blijven,
onder meer met het doel om haar op andere – minder radicale – gedachten te brengen. Eiseres heeft een uitgebreid
overzicht overgelegd van de verstorende acties die de politie tot aan de zittingsdatum heeft ondernomen. De
gemeente heeft niet betwist dat dit overzicht in grote lijnen
juist is. Het komt erop neer dat drie- tot vijfmaal per dag
opvallend is gesurveilleerd, waarbij de politie gemiddeld vijf
minuten bleef. Dat gebeurde ook ’s nachts.
6. Anders dan de gemeente heeft betoogd, vormen deze verstoringsmaatregelen een inbreuk op de persoonlijke levenssfeer van eiseres, zoals beschermd door art. 8 EVRM. Van
*
Peter Rodrigues is hoofd van de afdeling Onderzoek &
Documentatie bij de Anne Frank Stichting en tevens redacteur
van P&I. Citeertitel: P.R. Rodrigues, ‘De voorzieningenrechter:
P&I
politiesurveillances zal in het algemeen een geruststellende
werking uitgaan, maar hier wordt deze bevoegdheid ingezet
om iemand dicht op de huid te zitten door met grote regelmaat op willekeurige tijdstippen indringend te controleren.
Aannemelijk is dat deze maatregelen bij de ‘verstoorde’ tot
grote psychische druk leiden, mede omdat het voortdurende politieoptreden ook de buurt niet kan ontgaan. Daar
komt bij dat eiseres als gescheiden moeder de zorg heeft
voor drie jonge kinderen, die de inval van het arrestatieteam
van de politie, met het geweld van dien, en het afvoeren van
hun moeder nog vers in het geheugen hebben. Aannemelijk
is dat de kinderen inderdaad angstig reageren op de telkens
voor de woning verschijnende politieauto’s.
7. Art. 8 lid 2 EVRM bepaalt dat een inbreuk op de persoonlijke levenssfeer gerechtvaardigd is, voor zover is voldaan
aan de in die bepaling omschreven voorwaarden. In de eerste plaats dient de inbreuk bij de wet te zijn voorzien. De
gemeente heeft in dat kader aangevoerd dat de bevoegdheid van de burgemeester tot het geven van een aanwijzing
tot verstoren voortvloeit uit art. 12 Politiewet, dat hem de
bevoegdheid geeft om aanwijzingen te geven aan de onder
zijn gezag staande politie ten behoeve van de ordehandhaving. De grondslag moet klaarblijkelijk worden gevonden in
de algemene bevoegdheden van de burgemeester.
Specifieke gepubliceerde beleidsregels over verstoren ontbreken. Weliswaar verwijst de burgemeester in zijn brief
aan de raadsman van eiseres van 3 november 2005 naar ‘de
landelijke lijn inzake het persoongericht verstoren’, maar
een dergelijk stuk is niet door de gemeente overgelegd en
zij heeft zich daarop ook niet beroepen. Desgevraagd heeft
de gemeente verklaard dat de aanwijzing tot het verstoren
van eiseres geen besluit is in de zin van de Awb en dat het
kort geding het enige rechtsmiddel is voor een burger, die
meent dat hij of zij ten onrechte wordt verstoord. Het is de
vraag of hiermee is voldaan aan het vereiste van aanwezigheid van juridische procedures om vermeend willekeurige
inbreuken op fundamentele rechten aan te vechten en of
dus kan worden gezegd dat deze inbreuk afdoende bij de
wet is voorzien.
8. De tweede voorwaarde waaraan volgens art. 8 lid 2 EVRM
dient te zijn voldaan om de inbreuk op de persoonlijke
levenssfeer te rechtvaardigen, is dat de inbreuk een legitiem
doel dient. Naar mag worden aangenomen probeert de
gemeente met de verstoringsmaatregelen de in art. 8 lid 2
EVRM vermelde doelen te dienen, zoals het belang van de
een streng islamitische geloofsovertuiging mag op zichzelf geen
reden tot verstoring zijn’, P&I 2006, 137.
Afl. 3 – juni 2006
129
streng islamitische geloofsovertuiging mag geen reden tot verstoring zijn
nationale veiligheid, de openbare veiligheid en het voorkomen van wanordelijkheden en strafbare feiten. Aan deze
voorwaarde is dan ook voldaan.
–
–
–
9. Ten slotte dient de inmenging in de persoonlijke levenssfeer krachtens het bepaalde in art. 8 lid 2 EVRM noodzakelijk te zijn in een democratische samenleving. Daarbij geldt
dat de inbreuk noodzakelijk dient te zijn en dat de daartoe
aangevoerde rechtvaardigingsgronden relevant en toereikend moeten zijn. Verder dient de inbreuk proportioneel te
zijn.
10. Volgens de gemeente maakt de politie een zodanig
gebruik van haar bevoegdheden en instrumenten dat het de
verstoorde persoon en zijn omgeving duidelijk wordt dat hij
of zij de bijzondere aandacht heeft van de politie. Dat heeft
enerzijds tot doel om die persoon weinig gelegenheid te
bieden activiteiten te verrichten die een bedreiging vormen
voor de openbare orde en anderzijds om de aantrekkelijkheid en het gewicht van die persoon binnen een netwerk te
verminderen.
11. De Projectleider Verstoren en de Chef van de Dienst
Centrale Recherche van de politie Amsterdam-Amstelland
hebben ter zitting verklaard dat aan het besluit om eiseres
te verstoren een aantal feiten en omstandigheden ten
grondslag ligt, die puntsgewijs zijn opgenomen in het rapport van de commissaris van politie (…). Namens de
Gemeente is uitdrukkelijk verklaard dat met dat rapport alle
feiten en omstandigheden die tot de aanwijzing tot verstoren hebben geleid, aan de voorzieningenrechter zijn voorgelegd. Op basis van deze acht punten, die in onderlinge
samenhang moeten worden bezien, wordt wekelijks geëvalueerd of de aanwijzing om eiseres te verstoren dient te
worden ingetrokken of voortgezet, dan wel of er aanleiding
is tot het instellen van een strafrechtelijk onderzoek. Deze
wekelijkse evaluatie heeft tot nu toe niet geleid tot een wijziging van de verstoringsmaatregelen jegens eiseres.
12. Vooropgesteld wordt dat de eerste vijf punten betrekking hebben op de geloofsovertuiging van eiseres, te weten:
– het veranderen van christelijk geloof naar islamitisch
geloof;
– het veranderen van kleding;
– het aangaan van een islamitisch huwelijk;
– veranderen van moskee omdat de leer niet streng
genoeg is;
– geen hand meer geven aan het andere geslacht.
Dergelijke punten kunnen uiteraard slechts als bijkomende
omstandigheden worden beschouwd en zullen op zichzelf
geen aanleiding kunnen zijn om tot verstoring over te gaan.
Of eiseres nu wel of niet een islamitisch huwelijk is aangegaan en wel of niet regelmatig een moskee bezoekt doet
dan ook minder terzake. Overigens kan dat in het kader van
dit kort geding niet worden vastgesteld.
13. De overige drie punten die volgens het rapport van de
commissaris van politie aanleiding vormden om tot verstoring over te gaan, betreffen:
130
rechtspraak
de mogelijke aanwezigheid van explosieven;
aantreffen cassettebandje met oproep tot Jihad en aanwijzingen voor het doorsnijden van de keel;
contact met iemand die banden heeft met de
Hofstadgroep.
14. Vaststaat dat bij de inval door de politie in de woning
van eiseres op 12 augustus 2005 geen explosieven zijn aangetroffen en dat uit hetgeen de gemeente ter zitting naar
voren heeft gebracht niet is gebleken dat zich op dit punt
nadien nieuwe ontwikkelingen hebben voorgedaan. Er loopt
volgens de gemeente thans geen strafrechtelijk onderzoek
tegen eiseres, dus het is ook niet waarschijnlijk dat hierin
binnen afzienbare tijd verandering zal komen. Hierin kan
derhalve geen aanleiding worden gevonden om de verstoring jegens eiseres voort te zetten.
15. De cassettebandjes zijn volgens mededeling ter zitting
van de Projectleider Verstoren tijdens de inval op 12
augustus 2005 in de woning van eiseres aangetroffen. Ze
zijn vervolgens ter plekke door een door de politie meegebrachte tolk Arabisch afgeluisterd, maar niet in beslag genomen en in de woning achtergelaten. Een proces-verbaal
waarin iets over het aantreffen van deze cassettebandjes is
vermeld, is niet overgelegd. Eiseres heeft ontkend dat zij
ooit in het bezit is geweest van dergelijke cassettebandjes
en heeft verder verklaard de Arabische taal niet goed te
beheersen. Of deze cassettebandjes tijdens de inval op
12 augustus 2005 in de woning van eiseres zijn gevonden,
kan in het kader van dit kort geding niet worden vastgesteld. Nu ze echter niet in beslag zijn genomen en eiseres
ontkent dat ze er ooit zijn geweest, vallen ook op dit punt
geen nieuwe ontwikkelingen te verwachten. Ook dit kan
geen aanleiding zijn om de verstoring jegens eiseres voort te
laten duren.
16. Ten slotte is door de politie geconstateerd dat de kinderen van eiseres gedurende een bepaalde periode met de
auto naar school zijn gebracht door een zekere H. El. J., die
volgens de politie banden heeft met leden van de
Hofstadgroep. Eiseres heeft op dit punt verklaard dat zij
sinds het behalen van haar rijbewijs zelf haar kinderen per
auto naar school brengt, dat zij sinds augustus 2005 geen
contact meer heeft met deze persoon en dat zij – behalve
dat hij de vader is van een kind van school – niets van deze
persoon weet. Namens de gemeente is ter zitting erkend dat
dit wegbrengen plaatsvond vóór augustus 2005 en dat deze
persoon sindsdien niet meer bij eiseres is gesignaleerd. Dit
betekent dat zich ook in dit opzicht na de aanwijzing om
eiseres te gaan verstoren geen nieuwe feiten of omstandigheden meer hebben voorgedaan. Sinds eiseres zelf een rijbewijs heeft, valt dit soort contacten ook niet meer te verwachten. Derhalve kan ook dit punt geen aanleiding zijn om
de verstoring thans nog voort te zetten.
17. In het midden kan blijven of de burgemeester op grond
van de destijds bekende feiten in redelijkheid tot verstoring
van eiseres kon besluiten. Op dit moment komt het er echter op neer dat de belangrijkste redenen waarop het besluit
Afl. 3 – juni 2006
P&I
rechtspraak
streng islamitische geloofsovertuiging mag geen reden tot verstoring zijn
om eiseres te verstoren is gebaseerd zich niet meer voordoen en dat er ook geen concrete aanwijzingen zijn dat
daarin binnen afzienbare tijd verandering zal komen. De
streng islamitische geloofsovertuiging kan zoals gezegd
alleen een bijkomende omstandigheid vormen en mag op
zichzelf geen reden tot verstoring zijn. Bij deze stand van
zaken valt niet in te zien wat eiseres anders kan doen om
een einde aan de verstoring te maken dan haar streng islamitisch geloof af te zweren. Dit betekent dat het verder verstoren van eiseres niet noodzakelijk moet worden geacht in
een democratische samenleving. Voortzetting van de verstoring is buitenproportioneel en daarmee onrechtmatig. In
de huidige omstandigheden kan de gemeente daartoe in
redelijkheid dan ook niet besluiten. De vordering van eiseres om de gemeente te verbieden haar nog langer te verstoren is dan ook toewijsbaar, als hierna is vermeld.
3
Commentaar
De gemeente wordt verboden de vrouw nog verder te verstoren en wordt veroordeeld in de kosten van het geding.
Haar verzoek tot schadevergoeding en tot rehabilitatie in
haar woonbuurt wordt binnen het bestek van een kort
geding als te complex beschouwd en afgewezen.
De voorzieningenrechter heeft een afgewogen vonnis gewezen. Nadrukkelijk wordt het persoonlijk verstoren getoetst
aan art. 8 EVRM, het recht op eerbiediging van de persoonlijke levenssfeer.
Allereerst constateert de rechter dat een inbreuk op de privacy bij wet moet zijn voorzien. Er is weliswaar een landelijke richtlijn verstoren, maar daar heeft de gemeente geen
beroep op gedaan. Het komt mij voor dat de uitzondering
van art. 8 lid 2 EVRM alleen mogelijk is bij wet. De rechter
heeft twijfels of art. 12 Politiewet voldoende basis biedt,
omdat dit een algemene bevoegdheid van de burgemeester
is. Specifieke gepubliceerde beleidsregels over verstoren
ontbreken. De voorzieningenrechter laat de vraag of de
inbreuk afdoende bij wet is voorzien nadrukkelijk onbeantwoord.
Wel acht hij het doel van de inbreuk legitiem: het waarborgen van de openbare veiligheid en het voorkomen van
strafbare feiten. Dit is een tweede vereiste op grond van art.
8 lid 2 EVRM.
De derde eis is dat inbreuk noodzakelijk dient te zijn. Uit
het onderzoek van de rechtbank blijkt daarvan geen sprake.
Vijf van de acht indicaties die de gemeente heeft genoemd
ter rechtvaardiging van haar actie hebben betrekking op de
geloofsovertuiging van de vrouw en kunnen slechts als bijkomende omstandigheden worden beschouwd (zie rechtsoverweging 12). De drie andere indicaties blijken niet
(meer) relevant en rechtvaardigen evenmin het verstoren
(zie rechtsoverweging 13).
die zijn genoemd op zichzelf van onvoldoende betekenis
acht en slechts als bijkomende omstandigheid kunnen gelden. Hiermee wordt voorkomen dat data over religieuze
beleving kunnen leiden tot ingrijpende maatregelen tegen
burgers. In de tweede voortgangsrapportage terrorismebestrijding valt te lezen dat uitwisseling van gegevens via de
zogenoemde Contra Terrorisme (CT) Infobox wordt gebruikt
bij het verstoren (Kamerstukken II 2004/05, 29 754, nr. 24, p.
6-7). Het is goed mogelijk dat op deze wijze ook de religieuze profiling in kwestie tot stand is gekomen.
Gelukkig staat in het ‘beleidskader aanpak radicaliseringhaarden’ dat verstoring van radicalisering ongewenste
neveneffecten kan hebben (Stcrt. 2006, 6). Zo kan verstoring
leiden tot gevoelens van discriminatie en stigmatisering,
wat juist polarisatie en radicalisering kan bevorderen. Het
is, aldus de nota, van groot belang een afweging te maken
tussen de te nemen maatregel, het gewenste effect en het te
verwachten resultaat.
Nog even terug naar de wettelijke basis voor het verstoren.
Naar aanleiding van Kamervragen geeft minister Donner
van Justitie aan dat er volgens hem een voldoende wettelijke basis is (Aanhangsel Handelingen II 2005/06, nr. 693).
De verstoringacties vinden plaats in het kader van handhaving van de openbare arde. Op grond van art. 172
Gemeentewet is de burgemeester bestast met de handhaving hiervan. De burgemeester heeft, aldus Donner, in het
kader van deze bestuurlijke verantwoordelijkheid een algemene zorg voor de voorkoming van strafbare feiten die
invloed hebben op de orde en rust in de gemeentelijke
samenleving.
Inmiddels heeft in Amsterdam een tweede kort geding
plaatsgevonden tegen een verstoringactie. Het betreft ditmaal een jongeman van Marokkaanse afkomst die de verstoringactie onrechtmatig acht. De voorzieningenrechter is
van oordeel dat gezien de aard en omvang van de verstoring
art. 12 Politiewet (openbare orde) voldoende basis biedt
(Rb. Amsterdam 9 maart 2006, LJN-nummer AV 4173).
Tevens acht hij de verstoring proportioneel en zodoende
rechtmatig. In het vonnis in de zaak van de moslima hoefde
de rechter niet meer de vraag te beantwoorden of er voldoende wettelijke basis is. In het latere vonnis van de jongeman lijkt de (andere) voorzieningenrechter daar wat
gemakkelijker overheen te stappen. Het komt mij voor dat
bij inbreuken op grondrechten de wettelijke grondslag voor
de uitzondering evident moet zijn. Inbreuken moeten op
grond van het vereiste van ‘accordance with the law’ van
art. 8 lid 2 EVRM een materieelrechtelijke basis hebben in
het nationale recht en voldoen aan de eisen van voorzienbaarheid en kenbaarheid. Een algemene grondslag als die
van art. 12 Politiewet vind ik daarvoor te mager. Dat geldt
ook voor de door Donner aangedragen grondslag ex art. 172
Gemeentewet.
Het is uiteraard denkbaar dat de gemeente niet alle wetenschap die zij over de vrouw beschikt aan de rechter heeft
willen of kunnen voorleggen. Dat neemt niet weg, dat ik het
van groot belang acht dat de rechter de religieuze factoren
P&I
Afl. 3 – juni 2006
131
Uitgelicht
Privacybeleid van Nederlandse telemedicine websites
Dr. L. Dubbeld*
138
Inleiding
1
Onderzoek van de Universiteit Twente naar websites van
telemedicine bedrijven wijst uit dat websitebezoekers
slechts in beperkte mate online informatie wordt aangeboden over maatregelen voor privacybescherming en informatiebeveiliging die worden toegepast bij telecardiologische
producten en diensten.
Minder dan de helft van de onderzochte websites, die
afkomstig zijn uit Nederland, de Verenigde Staten, vijf
Europese landen en Israël, is voorzien van een privacybeleid. Wat betreft de inhoud, opbouw en omvang vertonen de
onderzochte privacybeleidsdocumenten onderling sterke
verschillen. Het privacybeleid dat vermeld staat op websites
van Nederlandse telecardiologie aanbieders is bijvoorbeeld
aanzienlijk minder uitgebreid dan dat van Amerikaanse
bedrijven.
Het gebrek aan online informering over privacy en
informatiebeveiliging op Nederlandse telecardiologie websites is vanuit privacyperspectief dubieus, aangezien de
websites wel persoonsgegevens kunnen verwerken en het
informeren van betrokkenen over gegevensverwerking
immers een eerste vereiste is voor het voldoen aan wettelijke eisen ten aanzien van bescherming van persoonsgegevens.
Telemedicine, de toepassing van informatie- en communicatietechnologie voor zorgverlening op afstand, wordt nog
maar mondjesmaat in de praktijk gebruikt. Er heerst een
wijdverspreid besef dat hardnekkige obstakels het realiseren van de voordelen van telemedicine, bijvoorbeeld het
mogelijk maken van patiëntgeoriënteerde en kosteneffectieve zorg, in de weg staan.1 Privacy en informatiebeveiliging zijn – net als in de context van andere ICT-toepassingen
in de zorgsector – veelgenoemde hindernissen.2 Het infor-
1
2
Analyse van websites van telecardiologiebedrijven
3
Telemedicine en online privacybeleid
2
*
meren van betrokkenen en belanghebbenden over oplossingen voor privacyvraagstukken lijkt een belangrijke stap op
weg naar succesvolle toepassing van telemedicine.
Vanuit dit perspectief kan verwacht worden dat commerciële bedrijven die telemedicine aanbieden zorgprofessionals, patiënten en andere stakeholders inlichten over
waarborgen voor privacy bij het gebruik van hun producten
en diensten. Een van de manieren waarop telemedicine aanbieders privacykwesties aan de orde kunnen stellen is via
hun website – tegenwoordig immers een van de belangrijkste visitekaartjes van bedrijven binnen en buiten de ICT-sector. Websites kunnen bijvoorbeeld worden voorzien van een
privacybeleid of third-party security seal, en daarmee uitdrukking geven aan het belang dat wordt toegekend aan
privacy en informatiebeveiliging.3 En de manieren waarop
websites naar beveiligingsmaatregelen van hun producten
verwijzen maken duidelijk welke privacybeschermende
strategieën telemedicine bedrijven voorstaan en toepassen.
Onderzoek naar het privacybeleid op websites van commerciële telemedicine aanbieders genereert dus inzichten
in, onder andere, de manieren waarop het publiek wordt
geïnformeerd over privacyaspecten van telemedicine systemen – en die zijn, bijvoorbeeld vanuit de Wet bescherming
persoonsgegevens (WBP), Telecommunicatiewet (Tw), en
Wet koop op afstand (BW), van belang met het oog op de
informatieplicht van verwerkers van persoonsgegevens.
Lynsey Dubbeld is verbonden aan de Universiteit Twente bij de
capaciteitsgroep Science, Technology, Health & Policy Studies
van de Faculteit Bedrijf, Bestuur & Technologie. Citeertitel: L.
Dubbeld, ‘Privacybeleid van Nederlandse telemedicine websites’,
P&I 2006, 138.
I. Lutke Schipholt, ‘Pionieren met thuiszorgtechnologie: implementatie behoeft duidelijke regels en tarieven’, Medisch Contact
2005, p. 2082-2085.
A.J.G. van Rijen e.a., Inzicht in e-health: achtergrondstudie uitgebracht door de Raad voor de Volksgezondheid en Zorg bij het advies
E-health in zicht, Zoetermeer: Raad voor de Volksgezondheid en
Zorg 2002.
132
Dit artikel doet verslag van de resultaten van een verkennend onderzoek van de Universiteit Twente, dat in drie
stappen inventariseerde in hoeverre en op welke manieren
telemedicine bedrijven op hun websites aandacht besteden
aan privacy.4
Allereerst is een korte inventarisatie gemaakt van de
gegevensverwerking die via de websites plaatsvindt. Wordt
er gebruik gemaakt van cookies? En zo ja, worden websitebezoekers geïnformeerd over de toepassing van cookies,
zodat zij ze kunnen weigeren (zoals art. 11 Tw voorschrijft)?
3
4
A.I. Anton e.a., ‘Precluding incongruous behavior by aligning software requirements with security and privacy policies’, Information
and Software Technology 2003, p. 967-977.
Deze benadering is geïnformeerd door eerdere studies naar online
privacy, zoals W.F. Adkinson e.a., Privacy Online: a report on the
information practices and policies of commercial websites,
Washington: The Progress & Freedom Foundation 2002;
Electronic Privacy Information Center, Surfer beware: personal privacy and the internet, Washington: Electronic Privacy Information
Center 1997; Federal Trade Commision, Privacy online: fair information practices in the electronic marketplace: a report to Congress,
Washington: Federal Trade Commission 2000; A. Ladson & B.
Fraunholz, ‘Facilitating online privacy on ecommerce websites: an
Australian experience’, Information, Communication & Ethics in
Society 2005-1, p. 59-68.
Afl. 3 – juni 2006
P&I
uitgelicht
privacybeleid van nederlandse telemedicine websites
eerste stap van het onderzoek) en de resultaten van de vragenlijsten.
Vindt er via websites ook andere verwerking van persoonsgegevens (zoals bedoeld in art. 1 WBP) plaats? En zo ja,
worden betrokkenen over die verwerking geïnformeerd
(zoals voortvloeit uit art. 33 WBP)?
Daarnaast is verkend in hoeverre de geselecteerde websites informatie bieden over de manieren waarop gegevensbescherming wordt geregeld op de website en/of in de
systemen die het bedrijf op de markt aanbiedt. Welk privacybeleid (dat wil zeggen omvattende beschrijving van de
informatiepraktijken van een website) wordt vermeld?
Welke privacystatements (dat wil zeggen uitspraken over
privacy) bevat de website? Verwijzen de websites ook naar
naleving van wetgeving, richtlijnen of standaarden op het
gebied van privacy (bijvoorbeeld de Nederlandse WBP en
Richtlijn nr. 2002/58/EG)? Bevatten websites een third-party
privacy of security seal (zoals de seals van Verisign en
Truste)?
Ten slotte is de inhoud van de gevonden privacybeleidsstukken bekeken. Welke principes voor bescherming van
persoonsgegevens komen in deze documenten aan de orde?
En wat houden de privacy policies precies in, zoals kan worden verwacht vanuit de Wet koop op afstand (art. 7:46a-46j
BW)?
Met het oog op de aanhoudende hoge sterftecijfers van
hart- en vaatziekten vormt telecardiologie een veelbelovende tak van sport voor commerciële telemedicine aanbieders, en zijn diverse harttelemonitoring apparaten ontwikkeld.5 Daarom heeft het onderhavige onderzoek zich
toegelegd op een analyse van bedrijven die specifiek opereren op de telecardiologiemarkt en die via hun websites artsen en/of patiënten informeren over hun producten en
diensten.
Er is gekeken naar zes Nederlandstalige websites, en om
recht te doen aan het internationale karakter van de telemedicine sector ook naar de websites van zes Amerikaanse
bedrijven, en van zes bedrijven met hoofdvestigingen in
andere landen (twee in Duitsland, en verder in Frankrijk,
Italië, Zwitserland en Israël). In alle gevallen betreft het
commerciële websites, en is geen onderscheid gemaakt tussen websites die het online aankopen van producten of
diensten mogelijk maken en websites die uitsluitend online
informatie bieden over dergelijke aankopen.6
Hoewel het grootste deel van het onderzoek bestond uit
een analyse van websites, en een analyse van de daarop
gevonden privacybeleidsdocumenten, is aan drie van de
Nederlandse bedrijven ook een vragenlijst gestuurd waarin
hun visie op online privacybeleid is gevraagd. In dit artikel
wordt vooral gerapporteerd over het privacybeleid van de
onderzochte websites, en bespreekt alleen de conclusie de
verkenning van de gegevensverwerking van websites (de
Bestaande onderzoeken suggereren dat de vermelding van
een privacy policy op websites nog in de kinderschoenen
staat.7 In onze verkennende studie bleek dit ook: minder
dan de helft van de websites die onderzocht zijn vermeldt
een privacybeleid, dat wil zeggen een specifiek document
dat uiteenzet welke privacyregels het bedrijf hanteert. De
Nederlandse websites doen het qua aantallen niet veel
slechter dan de buitenlandse: twee van de zes heeft een
online beleidsdocument, tegen vijf van de twaalf internationale websites.
Het merendeel van de onderzochte websites bevat weliswaar geen uitvoerig privacybeleid, maar wel een aantal
uitspraken over privacy. Vier van de zes Nederlandse websites bevatten privacystatements, bijvoorbeeld over het
gebruik van persoonsgegevens van patiënten voor het uitvoeren van telemonitoring diensten, en de afscherming van
patiëntgegevens tegen toegang door ongeautoriseerde personen.
Bijna de helft van de websites uit ons onderzoek verwijst daarnaast op een of andere manier naar informatiebeveiliging. Van de Nederlandse bedrijven besteedt slechts
één website aandacht aan technische beveiliging van data –
zij het een gehele pagina met informatie over de technische
en organisatorische maatregelen voor informatiebeveiliging
van de aangeboden telemonitoring systemen. Drie van de
zes Amerikaanse websites die een tekst over informatiebeveiliging bevatten verwijzen naar beveiligde online verzending van patiëntengegevens.
Idealiter worden privacy policies prominent en eenvoudig toegankelijk op alle relevante pagina’s in een website
vermeld.8 Veel populaire (lees: drukbezochte) e-commerce
websites plaatsen een hyperlink onderaan iedere pagina
(bijvoorbeeld onder de titel ‘Privacy Statement’, ‘Our Privacy
Practices’, of ‘Privacy Policy’) van waaruit kan worden doorgeklikt naar de volledige tekst met het beleid. In het onderhavige onderzoek blijkt dat vrijwel alle gevonden privacybeleidsdocumenten op iedere pagina in de website zijn
geplaatst en dus goed zichtbaar zijn. De enige uitzondering
is een Amerikaanse firma die een downloadable beleidsdocument uitsluitend plaatst op de webpagina’s waar bezoekers worden gevraagd persoonlijke informatie te registreren.
Van de onderzochte Nederlandse websites verwijst
slechts een enkele naar naleving van wetgeving, namelijk
5
6
Voorbeelden van telecardiologie zijn bijvoorbeeld de holterfoon,
en mobiele telefoons met geïntegreerde ECG-recorder. Zie bijvoorbeeld: L. Dubbeld, ‘Bescherming van persoonsgegevens bij
telemonitoring van hartpatiënten’, P&I 2005-1, p. 2-7; A.
Mampuya & C. Westerreicher, ‘Telemonitoring van hartpatiënten’,
in: J. van Kammen (red.), Zorgtechnologie: kansen voor innovatie en
gebruik, Den Haag: Stichting Toekomstbeeld der
Techniek/Beweton 2002, p. 218-221.
P&I
Privacybeleid op websites van telecardiologiebedrijven
4
7
8
Vergelijk A. Holleman, ‘Privacystatements op het internet’, P&I
2003-6, p. 253-258.
Bijvoorbeeld Federal Trade Commision, Privacy online: fair information practices in the electronic marketplace: a report to Congress,
Washington: Federal Trade Commission 2000.
Bijvoorbeeld Federal Trade Commission, Privacy online: a report to
Congress, Washington: Federal Trade Commission 1998.
Afl. 3 – juni 2006
133
privacybeleid van nederlandse telemedicine websites
naar de WBP. Er is geen enkele verwijzing naar andere wetgeving die relevant is bij gegevensverwerking via commerciële websites, zoals de Wet koop op afstand (art. 7:46a-46j
BW), de Telecommunicatiewet (met name art. 11 Tw), de
Europese richtlijn betreffende bescherming van persoonsgegevens (Richtlijn nr. 95/46/EG) of betreffende privacy en
elektronische communicatie (Richtlijn nr. 2002/58/EG).9 Dit
is een opvallend verschil met de Amerikaanse bedrijven,
uitgelicht
waarvan de meerderheid verwijst naar de ‘Health Insurance
Portability and Accountability Act’ (HIPAA), de federale privacywet die de bescherming van patiëntengegevens en
zorgdossiers regelt. Twee van de Amerikaanse websites
doen bovendien aan zelfregulering: zij zijn voorzien van een
third party security seal, een certificaat van een onafhankelijke instantie dat weergeeft op welke manieren de beveiliging van persoonsgegevens is gegarandeerd.
Tabel 1. Online privacy op websites van telecardiologiebedrijven
Tabel 2. Inhoud van privacy policies van onderzochte telecardiologiebedrijven
9
A. Holleman, ‘Privacystatements op het internet’, P&I 2003-6, p.
253-258.
134
Afl. 3 – juni 2006
P&I
uitgelicht
5
privacybeleid van nederlandse telemedicine websites
Privacybeleidsdocumenten nader bekeken
De bovenstaande bevindingen suggereren dat er geringe
kwantitatieve verschillen zijn tussen de privacybeleidsdocumenten van de diverse telecardiologiebedrijven: qua prevalentie en locatie is privacybeleid in verschillende landen
tamelijk vergelijkbaar. Wat betreft de vorm en inhoud is het
beleid echter aanzienlijk meer divers. De afgelopen jaren
zijn er diverse initiatieven tot standaardisatie en (zelf-)regulering van online privacy policies ondernomen.
Certificeringinitiatieven zoals Truste en Verisign, en softwareprogramma’s zoals Privacybird en P3P, beogen websitebezoekers op een transparante en eenvoudige manier te
informeren over privacypraktijken van de betreffende webpagina’s, en uniforme criteria voor privacybescherming te
ontwikkelen.10 Vanuit de WBP, de Tw en de Wet koop op
afstand kan bovendien verwacht worden dat websites
bepaalde informatie (zoals identiteit van de verantwoordelijke, doeleinden van verwerking, en het recht van betrokkene om verwerking te weigeren) vermelden, en dat een
privacy policy de uitgelezen plek is om dat te doen.
In ons onderzoek bleek dat de beleidsdocumenten van telecardiologiebedrijven verre van gestandaardiseerd en omvattend zijn: de documenten zijn niet alleen onderling verschillend qua opbouw en omvang, ook de principes en
regels die er in vermeld staan vertonen verschillen. In sommige gevallen is een privacybeleid niet meer dan een drieof viertal zinnen waarin wordt verwezen naar een aantal
algemene processen van gegevensverwerking binnen het
bedrijf in kwestie. In andere gevallen worden in bestanden
van wel vijf pagina’s tot in detail beschreven op welke
manieren persoonsgegevens worden verwerkt en beveiligd.
Het kortste privacybeleidsdocument dat in ons onderzoek
werd gevonden beschrijft in drie zinnen dat de organisatie
zich tot doel stelt om patiëntengegevens zorgvuldig en met
respect voor privacy te verwerken, en verwijst daarbij naar
het naleven van (niet nader genoemde) wettelijke regels op
het gebied van beperkte verzameling van gegevens en
informed consent. Ter vergelijk: een ander beleidsdocument
vat in een pagina samen hoe gegevens van websitebezoekers worden gebruikt en beveiligd, welke data via de website worden verzameld, en op welke manier betrokkenen
daartegen bezwaar kunnen maken. Verschillende beleidsstukken van Amerikaanse websites zijn overigens wel uitvoeriger in het beschrijven van de verantwoordelijkheden
van de organisatie voor het beschermen van persoonsgegevens en de rechten van individuen om zeggenschap te hebben over hun data. De langste privacy policy die we vonden,
een document van vijf pagina’s, informeert Amerikaanse
consumenten over de beveiliging van hun gegevens, het
gebruik en de verstrekking ervan, en op welke wijze ze
gebruik kunnen maken van hun rechten op inzage, correctie
en verwijdering.
10 Vergelijk bijvoorbeeld E. Dyson, ‘Privacy protection: time to think
and act locally and globally’, First Monday 1998-3.
P&I
Ondanks deze diversiteit in lengte en inhoud staat vast
dat alle onderzochte privacy policies bepaalde regels bevatten – hoe schetsmatig ook beschreven – waarmee betrokkenen keuzen kenbaar kunnen maken aangaande het gebruik
van persoonsgegevens, vooral in het kader van het verstrekken van gegevens aan derden.
Wat betreft de andere principes die doorgaans in privacybeleidsdocumenten worden opgenomen,11 zoals maatregelen voor informatiebeveiliging, het recht van betrokkenen
op inzage, en klachtenprocedures waarvan consumenten
gebruik kunnen maken, zijn er sterke verschillen tussen de
onderzochte websites. De privacy policies van de
Amerikaanse bedrijven schenken zonder uitzondering aandacht aan de rechten van consumenten om hun gegevens in
te zien en de mogelijkheid om een klacht in te dienen, maar
zeggen zelden iets over informatiebeveiliging. Opvallend
genoeg vermelden Europese privacybeleidsstukken vaker
informatiebeveiliging, maar nauwelijks een klachtenregeling waarvan consumenten gebruik kunnen maken.
Bovendien noemt geen van de Nederlandse privacy policies
het recht van betrokkenen op inzage, correctie en verwijdering van persoonsgegevens.
6
De stand van zaken in online privacybeleid
van telecardiologiebedrijven
In het licht van aanhoudende publieke en politieke discussies over privacyrisico’s van telemedicine (en de toenemende regulering en wetgeving op het gebied van de informatieplicht van verantwoordelijken van websites) had
verwacht kunnen worden dat telemedicine aanbieders in
hun bedrijfspresentaties op internet uitvoerige aandacht
aan privacy zouden besteden. Maar ons onderzoek laat zien
dat websites van telecardiologiebedrijven slechts in
beperkte mate informatie bieden over regels voor privacy
en informatiebeveiliging die gelden bij het gebruik van hun
website of hun producten en diensten. Privacy policies worden op minder dan de helft van de websites vermeld, en
bevatten in die gevallen meestal een summier aantal principes over persoonsgegevensbescherming. Aan de eisen aan
privacystatements zoals die door bijvoorbeeld Holleman en
de Amerikaanse Federal Trade Commission zijn beschreven12 voldoet de grote meerderheid van de websites zeker
niet. Bovendien – en dit fenomeen komt ook naar voren in
de vragenlijsten van Nederlandse telecardiologiebedrijven –
zijn beleidsdocumenten veelal onduidelijk over het object
van hun bescherming: er is vaak niet expliciet gemaakt of
de regels in privacy policies betrekking hebben op gegevensverwerking via de website, of gegevensverwerking die
plaatsvindt wanneer consumenten eenmaal gebruik maken
van de producten of diensten waarvoor de website adverteert.
11 Vergelijk A. Holleman, ‘Privacystatements op het internet’, P&I
2003-6, p. 258; Federal Trade Commision, Privacy online: fair
information practices in the electronic marketplace: a report to
Congress, Washington: Federal Trade Commission 2000, p. 12.
12 Ibidem.
Afl. 3 – juni 2006
135
privacybeleid van nederlandse telemedicine websites
Toch is het de vraag of de stand van zaken rond online
informering van telemedicine consumenten en de gegevensbescherming van hun gegevens aanleiding zijn tot grote
ongerustheid. Allereerst zijn de websites die in dit artikel
zijn besproken weliswaar commercieel van aard (dat wil
zeggen eigendom van organisaties met een winstoogmerk),
maar ze worden niet gebruikt voor online verkoop van producten of diensten. De eisen ten aanzien van het informeren
van consumenten die de Wet koop op afstand stelt zijn dus
niet van toepassing op dit soort websites. Bovendien is de
gegevensverwerking via de onderzochte websites beperkt:
ongeveer de helft van de bedrijven verzamelt gegevens
zoals naam, e-mailadres of woonplaats via elektronische
formulieren waarmee consumenten informatie kunnen aanvragen. Websitebezoekers zijn echter niet verplicht
bepaalde persoonlijke informatie in te vullen voor het bekijken van (delen van) de website. En met uitzondering van
een bedrijf maken de websites geen enkel gebruik van
cookies.
Een tweede nuancering heeft te maken met de selectie
van websites in het onderhavige onderzoek. Amerikaanse
websites bleken behoorlijk voorbeeldig in het vermelden
van hun privacybeleid: de policies zijn ondubbelzinnig en
omvattend, en websites zijn soms zelfs voorzien van een
officieel beveiligingscertificaat. Deze robuuste aandacht
voor privacy en informatiebeveiliging zou het gevolg kunnen zijn van de in de VS al sinds 2000 in werking zijnde
HIPAA. Het is mogelijk dat Europese websites hun privacybeleid verder ontwikkelen naarmate de aanpassingen die in
2004 in de Telecommunicatiewet zijn gemaakt een grotere
bekendheid krijgen.
7
uitgelicht
ging onoverkomelijk hoge kosten (en ogenschijnlijk weinig
tot geen baten) met zich brengt.
Als websites kunnen worden beschouwd als een essentieel platform om belanghebbenden te informeren over de
privacyrisico’s (en oplossingen) van commerciële telemonitoring systemen, dan functioneren de huidige websites op
zijn zachtst gezegd teleurstellend. Kennelijk wordt door veel
bedrijven vergeten dat het informeren van betrokkenen
over gegevensverwerking een eerste vereiste is voor het
serieus nemen van privacybescherming, en bovendien in
sommige gevallen wettelijk vereist is. Daarnaast is het
gebrek aan prominente aandacht voor bescherming en
beveiliging van persoonlijke informatie natuurlijk een
gemiste kans voor de telecardiologie-industrie, aangezien
de acceptatie van telemedicine zou kunnen groeien als het
publiek duidelijk wordt gemaakt dat privacybescherming
adequaat is geregeld.
Conclusie
Ons onderzoek suggereert dat zich grofweg twee strategieën uitkristalliseren met betrekking tot de manieren
waarop telemedicine bedrijven omgaan met online privacy.
Aan de ene kant ontwikkelen websites zich tot media
waarop bedrijven hun commitment met privacy tonen, bijvoorbeeld door de vermelding van policies en seals die laten
zien dat er regulering plaatsvindt, en dat kwesties rond
informatiebescherming een onderwerp van serieuze aandacht en investeringen vormen. Aan de andere kant zijn er
websites die opvallend weinig aandacht aan privacy besteden, daarmee de suggestie wekkend dat er in het geheel
geen problemen bestaan. Misschien is het de inzet van dit
soort websites om als het ware geen slapende honden wakker te maken, en het vertrouwen uit te stralen dat eventuele
risico’s als een vanzelfsprekendheid en zonder ruchtbaarheid aan de orde zijn gesteld.
Die laatste strategie lijkt vooral exemplarisch voor de
websites van Nederlandse bedrijven, en blijkt ook uit de
resultaten van de vragenlijsten, waarin zonder uitzondering
de mening wordt geventileerd dat eventuele privacyproblemen vanzelf zullen worden opgelost. Bovendien – en ook dit
komt naar voren in de vragenlijsten – ontbreekt bij
Nederlandse bedrijven het besef dat privacybescherming
een toegevoegde waarde aan diensten en producten kan
leveren, en overheerst de perceptie dat informatiebeveili-
136
Afl. 3 – juni 2006
P&I
Actualiteiten
Privacy algemeen
139
het instituut een totaalbeeld geven van
de vele afzonderlijke maatregelen die
worden genomen, zoals cameratoezicht, preventief fouilleren en biometrische scans. (JH)
Sms’jes met
verkeersinformatie van de
baan
Bron: Rathenau Instituut, informatie:
[email protected] of
070-3421542
Regelgeving en beleid
Automobilisten krijgen vanaf morgen
geen sms’jes, maar gesproken berichten met verkeersinformatie binnen op
hun mobiele telefoon. Rijkswaterstaat
ziet af van het plan tekstberichtjes te
sturen, omdat die de bestuurders te
veel afleiden. Bij de proef wordt
handsfree apparatuur gebruikt.
Directeur Goos van verkeersveiligheidorganisatie 3VO zei gisteren in
deze krant ongelukken te vrezen als
automobilisten via hun gsm verkeersinformatie doorkrijgen. 3VO vindt het
verstandiger de berichten over bijvoorbeeld ongelukken op de weg, spookrijders, omleidingen of slecht weer in
besproken vorm door te geven. Ook de
PvdA pleitte daar deze week voor.
Aan de proef met cell broadcasting
doen voorlopig honderd automobilisten mee. Als het systeem bevalt,
wordt het op grote schaal geïntroduceerd. De informatie kan dan in een
klap terechtkomen bij iedereen die
zich binnen een bepaalde afstand van
een zendmast bevindt. Mensen kunnen zelf op hun telefoon aangeven of
zij de verkeersgegevens willen ontvangen.
De overheid experimenteert al langer met cell broadcasting. Zo zijn in
Zoetermeer tekstberichtjes verstuurd
die eruit zien als sms’jes, om de burgers te waarschuwen voor een explosie, gifwolk of andere rampen. (GM)
Bron: Algemeen Dagblad 21 april 2006
140
Screening Society
Het Rathenau Instituut in Den Haag
heeft een project Screening Society
gestart. Het is bedoeld om een discussie over nut, noodzaak en wenselijkheid van veiligheidsmaatregelen op
gang te brengen. Met het project wil
P&I
privacy algemeen
Literatuur
141
Anonieme communicatie
Als nummer 76 in de reeks Nationaal
Programma Informatietechnologie en
Recht is verschenen Anoniem communiceren: van drukpers tot weblog, Een
onderzoek naar de grondrechtelijke
bescherming van anonieme openbare
communicatie. Op deze studie promoveerde onlangs Anton Ekker aan de
Universiteit van Amsterdam. Het boek
beschrijft hoe anonimiteit in het communicatieproces is gereguleerd.
Daarbij komt onder meer het
Amerikaanse recht aan de orde. (JH)
Bron: Rathenau Instituut, informatie:
[email protected] of
070-3421542
142
Geheimhoudingsplicht
advocaten moet blijven
Voorzitter Van Wijmen van de
Commissie Advocatuur heeft op
24 april jl. het rapport ‘Een maatschappelijke Orde’ overhandigd aan minister
Donner van Justitie. De belangrijkste
conclusies zijn dat de kernwaarden van
de advocatuur (te weten onafhankelijkheid, partijdigheid, integriteit, vertrouwelijkheid, deskundigheid en
publieke verantwoordelijkheid voor de
goede rechtsbedeling) moeten worden
vastgelegd in de Advocatenwet en dat
de geheimhoudingsplicht en het daaraan verbonden verschoningsrecht
overeind blijven, evenals het procesmonopolie in civiele zaken.
De Orde moet worden hervormd,
stelt de commissie. Er moet een
Afl. 3 – juni 2006
Regelgevende Raad voor de
Advocatuur worden ingesteld ‘met een
meerderheid van onafhankelijke deskundigen, te benoemen door de
Minister van Justitie’. Deze raad stelt
de regels ‘voor de toelating tot het
beroep, van het beroep zelf en van de
beroepsuitoefening, en ter bevordering
van de goede werking van de markt
waarin het beroep wordt uitgeoefend.’
De Orde, waarvan de advocaten verplicht lid blijven, zal deze Raad adviseren.
Verder wil de commissie geen no
cure no pay, omdat de nadelen te groot
zijn als de advocaat een percentage
ontvangt van een positief resultaat,
maar ze wil wel experimenten met een
no win no fee-systeem, dat die nadelen
niet zou kennen.
Andere elementen van het rapport:
alle advocaten moeten een verplicht
kwaliteitssysteem toepassen en de
resultaten daarvan worden gepubliceerd op een internetsite; de prijsstelling van advocaten(kantoren) wordt
gepubliceerd; alle kantoren dienen
zich aan te sluiten bij de klachten- en
geschillenregeling; de permanente
opleiding moet een minder vrijblijvend
en zwaarder karakter krijgen; de
Raden van Discipline dienen in meerderheid te bestaan uit met rechtspraak
belaste leden van de rechterlijke
macht. (SN)
Bron: Orde van de dag. Nieuwsbrief Orde
van Advocaten, extra editie 24 april 2006
143
Etniciteit
zedendelinquenten
registreren
Uit de studie Zedencriminaliteit in
Nederland, uitgegeven in het kader van
het onderzoeksprogramma Politie en
Wetenschap, komt naar voren dat
sommige etnische groepen naar verhouding zijn oververtegenwoordigd in
de gewelddadige zedencriminaliteit.
Het betreft vooral Antillianen en
Marokkanen en in iets mindere mate
Surinamers, aldus criminoloog Anton
van Wijk. In de politiestatistieken is
dat niet altijd terug te vinden, omdat
bij aangiften en processen-verbaal
137
internationaal
alleen geboorteland en nationaliteit
worden vastgelegd. Tweede en derde
generatie allochtonen belanden zo als
Nederlanders in de politiesystemen,
terwijl er forse verschillen in delictgedrag zijn aan te wijzen langs etnische
lijnen. ‘Voor wetenschappers kan het
zeer interessant zijn om die gegevens
wél structureel te verzamelen, onder
andere omdat je dan de interventies
daarop kan aanpassen’, aldus Van Wijk,
als wetenschapper verbonden aan de
Politieacademie. Volgens de onderzoekers is het aan de politiek om te bepalen ‘tot welke generatie de culturele
achtergrond van belang wordt geacht
voor het registreren ingeval er een
delict is gepleegd’. (JH)
Bron: Binnenlands Bestuur 10 februari
2006
Internationaal
Regelgeving en beleid
144
Commissie Meijers over
Europese
gegevensbestanden
In een brief aan de vaste commissie
voor BZK van de Tweede Kamer, vraagt
de Permanente Commissie van
Deskundigen in Internationaal
Vreemdelingen-, Vluchtelingen- en
Strafrecht (Commissie Meijers) aandacht voor verschillende, op dit
moment in Brussel aanhangige, voorstellen inzake de opzet van grootschalige gegevensbestanden en de uitwisseling van persoonsgegevens. Deze
voorstellen betreffen de opzet van een
Visum Informatie Systeem (VIS), de
vervanging van het huidige Schengen
Informatiesysteem (SIS) door SIS II en
het voorgestelde gebruik van biometrie in deze systemen en op reisdocumenten en paspoorten. Daarnaast wijst
de Commissie Meijers naar de inhoud
van recente mededelingen van de
Europese Commissie inzake het interoperabiliteitsbeginsel en het beginsel
van beschikbaarheid van informatie
(‘principle of availability’). Volgens het
eerste beginsel zullen het gebruik en
de onderlinge samenhang van de ver-
138
actualiteiten
schillende systemen worden verruimd.
Op basis van het tweede beginsel zullen lidstaten in bepaalde situaties worden verplicht de in de nationale
bestanden voorhanden persoonsinformatie ter beschikking te stellen aan
andere lidstaten.
De op grond van deze voorstellen
te nemen maatregelen vormen naar
het oordeel van de Commissie Meijers
een aantasting van grondrechten, zoals
het recht op privé-leven en het nondiscriminatiebeginsel. Daarnaast zijn
de voorstellen in strijd met de kernbeginselen van het Europese recht inzake
de gegevensbescherming, zoals het
doelbindingsbeginsel en de bescherming van de rechten van geregistreerden. De registratie van persoonsgegevens van zowel EU- als
niet-EU-onderdanen en de mogelijkheid om deze personen te controleren
of zelfs de toegang tot het EU-grondgebied te weigeren, is bovendien in strijd
met het recht op vrij verkeer van EUonderdanen en legaal verblijvende
derdelanders. Ten aanzien van het
voorgestelde gebruik en de (centrale)
opslag van biometrische gegevens, zijn
de mogelijke voordelen en risico’s nog
onvoldoende in kaart gebracht. De
Europese bewindslieden lijken daarbij
geen acht te slaan op de kritische rapporten van onafhankelijke adviesorganen over dit onderwerp.
Het Europese Parlement en de
nationale parlementen hebben onvoldoende zeggenschap over toekomstige
systemen en het gebruik van technologie daarbij. Voor een duidelijk beeld
van de consequenties van de voorstellen, dienen de huidige voorstellen in
hun samenhang te worden gezien.
Vóórdat ingestemd kan worden met de
genoemde voorstellen, moeten minimumvoorwaarden ter bescherming
van de betrokken individuen worden
vastgesteld.
In 2003 heeft de Commissie
Meijers in een uitgebreid commentaar
al haar bezorgdheid uitgesproken naar
aanleiding van deze Europese ontwikkelingen (CM0313, 20 november
2003). (EB)
Bron: Permanente Commissie van
Deskundigen in Internationaal
Vreemdelingen-, Vluchtelingen- en
Strafrecht, Brief aan de vaste commissie
Afl. 3 – juni 2006
voor BZK van de Tweede Kamer, 13 april
2006. Kenmerk 0605-I,
<www.commissie-meijers.nl>
145
Commissie Meijers en
nieuw voorstel van het
Oostenrijkse
voorzitterschap voor de
Verordening inzake SIS II
In een brief van 13 april 2006,
CM0406, reageert dezelfde Commissie
Meijers op een nieuw voorstel van het
Oostenrijkse voorzitterschap voor de
Verordening inzake SIS II, gedateerd
27 januari 2006, doc. 5709/06. Deze
tekst bevat volgens de Commissie
Meijers een aantal ingrijpende amendementen op het oorspronkelijke
voorstel van de Europese Commissie
(COM (2005) 236). De Commissie
Meijers meent dat in de voorliggende
tekst de rechten van de in SIS II geregistreerde individuen onvoldoende zijn
gewaarborgd. Belangrijke voorstellen
ter verbetering van de rechtspositie
van het individu die in het
Commissievoorstel waren opgenomen,
zijn eruit gehaald. De Commissie
Meijers wijst erop dat de praktijk met
het huidige SIS aantoont hoe belangrijk passende rechtswaarborgen zijn.
Een recente uitspraak van het Hof van
Justitie (31 januari 2006, C-503/03)
illustreert dat het gebruik van SIS tot
een ongerechtvaardigde beperking kan
leiden van het recht op vrij verkeer van
door het EU-recht beschermde derdelanders. In de brief beschrijft de
Commissie Meijers de belangrijkste
wijzigingen in deze tekst ten opzichte
van het Commissievoorstel. Zij verzoekt de Staten-Generaal er bij de
Nederlandse regering op aan te dringen om niet akkoord te gaan met het
bovengenoemde voorstel. (EB)
Bron: Permanente Commissie van
Deskundigen in Internationaal
Vreemdelingen-, Vluchtelingen-, en
Strafrecht, Brief aan de Tweede Kamer,
13 april 2006. Kenmerk: CM0604,
<www.commissie-meijers.nl>
P&I
actualiteiten
146
Koppeling EU-databanken
risicovol
Het aan elkaar koppelen van Europese
databanken draagt risico’s in zich door
de privacybescherming. De middelen
dreigen het doel te rechtvaardigen.
Dat schrijft de Europese dataprotectieautoriteit, P. Hustinx, in een opinie
over een discussiestuk van de
Europese Commissie over de koppeling van Europese databanken. In het
stuk verkent Brussel de mogelijkheden
om in de toekomst databanken met
elkaar te verknopen of onderling te
laten communiceren. Volgens de commissie is deze interoperabiliteit meer
een technische dan een juridische of
politieke kwestie. Daar is Hustinx het
niet mee eens.
Als het eenmaal technisch mogelijk
is gegevens uit te wisselen, is dat
meestal een sterke motivatie om het
ook te gaan doen. ‘Men kan er rustig
van uitgaan dat technische mogelijkheden gebruikt gaan worden zodra ze
beschikbaar zijn’, aldus Hustinx. ‘Zo
kunnen de middelen het doel rechtvaardigen. Dat leidt meestal tot pleidooien voor minder strikte juridische
randvoorwaarden. Juridische aanpassingen bevestigen vaak een in de praktijk gegroeide werkelijkheid.’ Hustinx
wijst er verder op dat voor verschillende databanken juridische regiems
gelden. Als de databanken gekoppeld
worden, verdwijnt dat onderscheid
snel. Koppeling van databanken is in
zijn ogen alleen acceptabel als de privacybescherming daar niet onder lijdt.
Hij betreurt het dat de Commissie in
het discussiestuk nauwelijks iets zegt
over privacybescherming.
Hustinx waarschuwt verder voor
het verkeer van biometrische kenmerken als uniek identificatienummer in
de databanken, om databestanden te
koppelen. Maar biometrische kenmerken zijn niet feilloos en daarmee niet
geschikt als uniek identificatienummer. ‘Dit vormt waarschijnlijk een
inbreuk op het principe van datakwaliteit’, aldus Hustinx.
Daarnaast dreigt het gevaar van
‘function creep’: als twee databestanden met verschillende doeleinden
worden gekoppeld, ontstaat in feite
P&I
techniek
een nieuwe databank, waarvoor de
oorspronkelijke gegevens nooit verzameld zijn. Dat is volgens Hustinx in
strijd met het uitgangspunt dat gegevens alleen gebruikt mogen worden
voor het doel waarvoor ze verzameld
zijn. Hustinx vindt dat eerst bekeken
moet worden hoe bestaande databanken beter benut kunnen worden. (GM)
Bron: Stcrt. 2006, 58
Rechtspraak en casuïstiek
147
Woningverhuur en
discriminatie
In februari 2006 is door het Juristen
Comité voor de Mensenrechten van
Chicago een proces onder federaal
recht aangespannen tegen de eigenaren van de populaire website Craiglist
waar vraag en aanbod op de woningmarkt druk gebruik van maken.
Volgens het juristencomité zijn de
berichten op de website in strijd met
de Fair Housing Act. Deze wet verbiedt
verhuurders te discrimineren op grond
van onder meer ras, geslacht, religie en
burgerlijke staat. Het juristencomité
heeft meer dan 200 berichten met een
discriminerende inhoud aangetroffen,
zoals: geen minderheden. Volgens het
comité moet er op de website een filter geplaatst worden zodat dergelijke
discriminerende eisen niet meer
gesteld kunnen worden. Op de website
wordt wel gewaarschuwd niet in strijd
met de wet te handelen door discriminerende berichten achter te laten. In
Nederland zou het van de aard van de
te huur aangeboden woonruimte
afhangen of dergelijke eisen gesteld
mogen worden. Zo mag in verband
met de privé-sfeer een oudere dame
de voorkeur voor een meisje uitspreken bij het verhuren van een kamer in
haar eigen woonhuis. (PR)
Bron: <www.clccrul.org>
Afl. 3 – juni 2006
148
E-mailbescherming in
Duitsland
E-mails vallen in Duitsland niet onder
het ‘Fernmeldegeheimnis’ als ze eenmaal bij de ontvanger op een harde
schijf staan. Alleen gedurende hun
daadwerkelijke verzending zijn
e-mails beschermd tegen nieuwsgierige blikken van politie en justitie. Dat
heeft het Duitse Constitutionele Hof
onlangs besloten. Een rechter in
Baden-Württemberg had eerder
e-mails onder het Fernmeldegeheimnis
geschaard (art. 10 Duitse grondwet),
dat het briefgeheim regelt en post- en
telecommunicatieverzendingen tot
‘unverletzlich’ verklaart. Het Hof verwijst nu naar een eerdere uitspraak,
die poststukken uitsluitend gedurende
hun verzending onder art. 10 van het
Grundgesetz liet vallen. De uitspraak
van verleden week leidt ertoe dat
lagere justitie- en politiefunctionarissen dan voorheen beslag kunnen leggen op eenmaal aangekomen e-mails,
als ze dat voor een onderzoek noodzakelijk achten. De Duitse Justitie hoopt
hiermee effectiever kinderporno aan te
pakken. Het Duitse ministerie van
Justitie is verheugd omdat de uitspraak
‘eindelijk duidelijkheid’ verschaft voor
politie en justitie, in een tot nog toe
‘ondoorzichtig juridisch gebied’. (SN)
Bron: Zeger Luyendijk, ‘Duitse e-mail
alleen tijdens verzending beschermd’,
Orde van de dag 16 maart 2006
Techniek
Regelgeving en beleid
149
RFID op de politieke
landkaart
Op 5 april jl. liet de Themacommissie
Technologiebeleid van de Tweede
Kamer zich informeren over de kansen
en risico’s van RFID tijdens een publiek
debat, dat werd georganiseerd in
samenwerking met ECP.NL en het RFID
Platform Nederland. Het was de eerste
keer dat de politiek zich op deze schaal
139
techniek
liet voorlichten over dit onderwerp. De
leden van de commissie wilden aan de
hand van het debat inventariseren
welke politieke vragen samenhangen
met de ontwikkelingen van RFID.
In het debat werd duidelijk dat de ontwikkeling van RFID-technologie grote
kansen biedt voor onze maatschappij,
maar dat Nederland deze op dit
moment te weinig benut. Met name de
economie kan profiteren van RFID,
maar ook op het gebied van zorg en
veiligheid is de technologie van grote
waarde. De aanwezigen vonden dat
met name de overheid een actievere
rol moet spelen bij de ontwikkeling
van RFID. Zo zou de overheid net als in
het buitenland moeten optreden als
‘launching customer’ en moeten bijdragen aan de bewustwording rondom
RFID-toepassingen. Andere belangrijke
aandachtspunten betroffen standaardisatiebeleid en frequentiebeheer.
Naast de kansen van RFID kwamen
ook de mogelijke privacyrisico’s aan de
orde. Om deze risico’s tot een minimum te beperken moet de consument
goed geïnformeerd worden over de
mogelijkheden en onmogelijkheden
van de technologie. Alleen met voldoende informatie kan de consument
een vrije keuze maken over het al dan
niet accepteren van de technologie,
aldus de aanwezigen. Zij waren het
erover eens dat hier een gezamenlijke
taak voor het bedrijfsleven, de overheid en consumentenorganisaties ligt.
Naast voorlichting pleitte men ook
voor meer onderzoek naar beveiliging
van RFID-systemen. Samenwerking
tussen bedrijfsleven en onafhankelijke
onderzoeksinstellingen werd hier als
mogelijk actiepunt aangedragen. De
aanwezigen waren het erover eens dat
het veranderen van de privacywetgeving in dit stadium van de ontwikkeling geen zin heeft. Wel werd er gewezen op het feit dat de huidige
wetgevingsconcepten in de toekomst
steeds minder goed houdbaar zullen
blijken wanneer RFID op grote schaal
wordt ingezet. (SN)
Bron: Persbericht ECP.NL / RFID Platform
Nederland, 6 april 2006
140
actualiteiten
150
Digibewust:
DigiRaad en DigiQuest
Om mensen beter te informeren over
de risico’s bij het gebruik van digitale
middelen hebben het ministerie van
Economische Zaken, ECP.NL, Microsoft,
KPN, Waarschuwingsdienst, De consumentenbond, UPC, Kennisnet, TPG
Post, VNO-NCW en ANWB het initiatief
genomen voor een landelijke publiekscampagne. Daarom hebben de betrokken partijen op 19 april 2006 een
intentieverklaring ondertekend.
Gezamenlijk willen zij het digibewust
zijn in Nederland bevorderen. De eerste activiteiten van de campagne zijn
de DigiRaad en de DigiQuest.
De digitale wereld verandert in
hoog tempo. Steeds meer mensen
maken gebruik van internet, e-mail en
andere digitale toepassingen. Met alle
genoegens maar ook ongemakken van
dien. Digibewust zijn betekent dat je
optimaal gebruik maakt van de mogelijkheden van digitale middelen, zoals
internet, e-mail, chatten, online betalen enzovoort, terwijl je je tegelijkertijd bewust bent van de mogelijke
gevaren en risico’s ervan, zoals hacking, spam, virussen en het geven van
(te veel) persoonlijke informatie, en
wat je daaraan kunt doen. Uit onderzoek van Millward Brown, september
2005, blijkt dat onvoldoende veiligheidsmaatregelen worden genomen bij
het gebruik van digitale middelen. De
Digibewust publiekscampagne maakt
onderdeel uit van het driejarige programma Digibewust. Het is de bedoeling dat naast bovengenoemde partijen
ook andere bedrijven en organisaties
zich aansluiten.
Een van de activiteiten binnen de
campagne Digibewust is de DigiRaad,
een nieuw initiatief voor en vooral
door jongeren. Vanaf 19 april 2006
kunnen jongeren tussen de 12 en 18
jaar zich via <www.digibewust.nl/
digiraad> aanmelden. De DigiRaad gaat
minister Brinkhorst van Economische
Zaken adviseren over hoe hij het internet voor jongeren veiliger kan maken.
Ook toetst hij nieuwe ideeën zoals
filmpjes, quizzen, games en websites.
In de praktijk blijkt dat de jeugd te
weinig betrokken wordt bij dit soort
Afl. 3 – juni 2006
processen. Door ze wel te betrekken
wordt zoveel mogelijk aangesloten bij
de belevingswereld en informatiebehoefte van jongeren. De DigiRaad gaat
deze rol vervullen. Onder andere MSN,
Kennisnet, Kidsweek en Kaboem werken mee om de DigiRaad onder de
aandacht te brengen van een groot
aantal jongeren. In mei wordt bekend
gemaakt wie de twaalf vertegenwoordigers zijn die in de DigiRaad zullen
plaatsnemen.
Na de zomervakantie gaat de
DigiQuest van start. Dit is een grootse,
professioneel opgezette digitale speurtocht voor jongeren op internet,
waardoor zij op een interactieve
manier kennismaken met de positieve
en negatieve aspecten van de digitale
wereld en ze spelenderwijs leren hoe
ze zich in die wereld het best kunnen
gedragen. Bij het maken van de
DigiQuest zijn veel marktpartijen en
jongerenmedia betrokken die bekendheid zullen geven aan de online speurtocht. Er wordt dan ook verwacht een
bereik van honderdduizenden jongeren te halen. Vooraf wordt de
DigiQuest uitgebreid getest en beoordeeld door de DigiRaad.
Digibewust is een publiekprivaat
programma om de bewustwording van
veilig gebruik van digitale middelen bij
burgers en bedrijven te vergroten. De
afgelopen jaren is door verschillende
initiatieven gewerkt aan deze bewustwording. Daarmee is al veel bereikt,
maar er moet nog veel meer gebeuren.
In het Digibewust programma zijn
bestaande activiteiten en nieuwe initiatieven ondergebracht. Deze activiteiten komen beter tot hun recht en hebben meer effect in publiekprivate
samenwerking. Kijk voor meer informatie op <www.digibewust.nl>. (SN)
Bron: Persbericht ECP.NL, 19 april 2006
151
Petitie Consumentenbond
voor veiliger computer
Beveiliging van digitale producten en
diensten moet een standaardonderdeel
worden van het aanbod van de leveranciers. De Consumentenbond heeft
op 19 april jl. een door tienduizend
P&I
actualiteiten
leden ondertekende petitie van die
strekking aangeboden aan de
Technologiecommissie van de Tweede
Kamer.
Bij het begin van de overheidscampagne Digibewust breekt de
Consumentenbond verder een lans
voor een gezamenlijke aanpak van de
onveiligheid op internet. Uitgangspunt
is dat overheid, bedrijfsleven en consumenten samen verantwoordelijk zijn
voor het veilig maken van digitale producten en diensten.
De bond constateert dat consumenten steeds meer gebruikmaken
van mogelijkheden om op hun computer of op websites persoonlijke gegevens op te slaan. Daarbij worden zij
steeds meer geconfronteerd met
kwaadwillenden die de gegevens
weten te achterhalen en misbruiken.
Volgens de bond zijn digitale
beveiligingsproducten vaak lastig te
gebruiken, loopt de kwaliteit uiteen en
creëren bedrijven zelf problemen met
de veiligheid. Toch verwijzen ze voor
de oplossing hoofdzakelijk naar de
consument.
In de petitie wordt bepleit dat consumenten niet meer zelf hun beveiliging moeten aanschaffen en configureren, maar dat aan de aanbieder kunnen
overlaten. ‘Beveiliging wordt dan een
tussenhandelmarkt, net als bij autogordels’, aldus de Consumentenbond.
(SN)
Bron: Geert Kelfkens, ‘Petitie
Consumentenbond bepleit veiliger pc’,
Automatisering Gids 19 april 2006
Rechtspraak en casuïstiek
152
RFID vatbaar voor virussen
De ontdekking dat het mogelijk is een
RFID-virus te maken, is gedaan door de
Amerikaanse promovenda Melanie
Rieback en haar mede-hacker Patrick
Simpson. RFID’s (radio frequentie identificatie) zijn kleine stickers met informatie die door radiogolven op afstand
kunnen worden uitgelezen. In toekomstige supermarkten zitten ze op elk
product. De boodschappen kunnen
zonder tussenkomst van caissières
P&I
bedrijfsleven
door elektronische poortjes worden
afgerekend. Daarnaast zien ziekenhuizen, vliegvelden, veehouders en veiligheidsdiensten mogelijkheden voor
RFID-systemen. Naast producten kunnen ook dieren en mensen met de
chips worden uitgerust. Zo loopt in
Nederland een proefproject bij het
Academisch Medisch Centrum in
Amsterdam, waar artsen, verpleegsters
en medicijnen van chips zijn voorzien.
Op die manier worden de gangen van
mensen en producten ‘gemonitord’.
De hoogleraar van Rieback, computerexpert Andy Tanenbaum, heeft een
scenario uitgewerkt waarin een virus
een bagageafhandelingssysteem op
een vliegveld treft. Het virus kan bijvoorbeeld koffers de verkeerde kant
opsturen. Of nog erger, het besmette
bagagesysteem negeert sommige koffers, die daardoor ongezien aan boord
van het vliegtuig kunnen komen.
Volgens Tanenbaum kunnen virussen
op RFID’s meer kwaad doen dan in
computers. Softwarefabrikanten zien
het gevaar niet, zegt Tanenbaum. (JH)
Bron: de Volkskrant 15 maart 2006
153
De technologie berust op het traceren van een voor camera’s kenmerkende ruis die is terug te vinden op
elke foto die ermee werd gemaakt.
Digitale camera’s gebruiken een
geheugenchip met beeldpunten. Elk
beeldpunt registreert een bepaalde
lichtintensiteit en vertaalt deze in een
elektrische stroom. Elk beeldpunt
heeft echter een eigen foutmarge die
geaccepteerd wordt bij de productie
van de camera. Samen genereren deze
foutmarges een patroon dat met zeer
hoge waarschijnlijkheid valt te koppelen aan een bepaalde camera.
Fridrich en haar collega’s analyseerden 2700 foto’s die werden
gemaakt met negen digitale camera’s.
In alle gevallen slaagden zij erin de
juiste camera aan het bijbehorende
beeld te koppelen.
De algoritmen die Fridrich c.s. hebben ontwikkeld, zijn ook geschikt om
bewerkingen en vervalsingen in foto’s
op te sporen. Als voldoende foto’s
voorhanden zijn, is het mogelijk daaruit de voor een camera kenmerkende
‘vingerafdruk’ op te maken. Als dat
patroon ontbreekt in een foto of een
deel daarvan, is er zeer waarschijnlijk
sprake van een vervalsing. (SN)
Bron: NRC Handelsblad 20 april 2006
Digitale camera heeft een
‘vingerafdruk’
Bedrijfsleven
Een verborgen patroon in digitale
foto’s kan onthullen met welke camera
ze zijn gemaakt. Dat patroon is te
gebruiken voor opsporingsonderzoek.
Wetenschappers van Binghamton
University in de Amerikaanse staat
New York hebben een algoritme ontwikkeld en gepatenteerd dat dit
patroon herkent. Foto’s zijn ermee te
koppelen aan een digitale camera zoals
kogels kunnen worden herleid naar
het pistool waaruit ze zijn afgevuurd.
Volgens Jessica Fridrich, universitair hoofddocent van Binghamton
University, kunnen bijvoorbeeld
makers van kinderpornografie zo makkelijker worden opgespoord. Het verweer van een mogelijke dader dat
bepaalde foto’s niet met zijn camera
zijn gemaakt, valt te ontkrachten als de
foto een soort vingerafdruk draagt die
alleen van zijn camera afkomstig kan
zijn.
Afl. 3 – juni 2006
Rechtspraak en casuïstiek
154
Dexia-zaak door hof
bekrachtigd
Het Hof Amsterdam heeft uitspraak
gedaan in een zaak die door een belegger was aangespannen tegen Dexia. De
belegger had beroep aangetekend
tegen de afwijzing van zijn verzoek om
inzage in de eigen gegevens, in het bijzonder tegen het argument dat het
verzoek gestoeld was op misbruik van
recht. Het hof bekrachtigt de uitspraak
van de rechtbank en oordeelt dat het
verzoek terecht is afgewezen.
In september 2004 heeft De W.
naar aanleiding van een uitzending
van TROS Radar een verzoek om inzage
ingediend bij Dexia. Deze uitzending
141
overheid
leidde tot ruim 3000 verzoeken om
inzage. Het verzoek van De W. werd
afgewezen met als argument dat het
geen ander doel had dan om Dexia te
schaden. De bevoegdheid is misbruikt.
De W. bestrijdt deze opvatting en voert
onder meer aan dat hij inzage in zijn
gegevens wenste om te kunnen controleren of zijn financiële gegevens bij
Dexia wel juist zijn. Dit had hij nodig
in verband met zijn belastingaangifte.
Het hof onderschrijft het uitgangspunt dat het doel van het inzagerecht
is om na te gaan of de gegevens juist
zijn en om daardoor in staat te zijn de
verwerking in rechte te kunnen aanvechten. Met het College bescherming
persoonsgegevens (CBP) is het hof van
mening dat er daarom geen motiveringsplicht is. Dat wil – anders dan het
CBP kennelijk meent – echter in het
geheel niet zeggen dat het doel waarmee inzage wordt gevraagd daarmee
niet relevant is. Het recht van de
betrokkene moet soms wijken voor
andere belangen, zoals dat van de verantwoordelijke wanneer deze stelt en
zo nodig kan bewijzen dat de bevoegdheid wordt misbruikt. De stelling dat
Dexia dit misbruik niet genoeg heeft
onderbouwd en bijvoorbeeld geen
rekening heeft gehouden met de
belangen van De W. wordt door het hof
niet gevolgd. Het verzoek om inzage is
daarvoor te veel gekoppeld aan de uitzending van TROS Radar. Ook de verweerschriften ademen daarvoor te veel
een sfeer van rancune en strijdlustigheid uit. De bewijzen die De W. aanvoert zijn onvoldoende gemotiveerd.
Ook het hof concludeert daarom dat
De W. misbruik maakte van zijn desbetreffende bevoegdheid en de bestreden
beschikking wordt bekrachtigd. (JH)
Bron: Hof Amsterdam, rolnr. 641/05, LJNnr. AU8223
142
actualiteiten
Overheid
–
Regelgeving en beleid
155
Biometrie in
reisdocumenten
–
–
–
Naar aanleiding van een artikel in de
Volkskrant van 25 februari 2006 over
de centrale opslag van reisdocumentgegevens heeft minister Pechtold de
behoefte gevoeld de Kamer nader te
informeren. In het bewuste artikel
wordt de indruk gewekt dat het parlement zou worden gepasseerd met de
centrale registratie van gelaatscans en
vingerafdrukken in paspoorten.
Eerder heeft minister Pechtold de
Kamer geïnformeerd over de te nemen
maatregelen in het kader van de
bestrijding van terrorisme en het voornemen om de opzet van de reisdocumentenadministratie te wijzigen. Die
administratie heeft nu een decentraal
karakter en zou een centraal karakter
moeten gaan krijgen om (meer) zekerheid te kunnen bieden omtrent de
identiteit van de houder van het document en de betrouwbaarheid van het
document. De minister heeft daarbij
aangegeven dat een dergelijke wijziging een aanpassing van de
Paspoortwet noodzakelijk maakt. Het
in 2002 ingediende wetsvoorstel tot
wijziging van de Paspoortwet in verband met de invoering van biometrie
is inmiddels achterhaald en zal daarom
worden ingetrokken.
In tegenstelling tot de suggestie die
wordt gewekt in het artikel van de
Volkskrant is het niet zo dat het
ministerie van BZK reeds bezig zou zijn
met het inrichten van de centrale
administratie voordat het parlement
daarmee zou hebben ingestemd. Het
ministerie van BZK werkt wel aan het
toegezegde nieuwe wetsvoorstel, dat
de minister in het najaar bij de Kamer
verwacht te kunnen indienen. In dat
kader worden thans documenten
opgesteld waarin onder meer beschreven wordt:
– welke gegevens de administratie
moet bevatten;
– welke functies de nieuwe administratie zou moeten hebben;
Afl. 3 – juni 2006
wie en met welk doel de administratie zou kunnen bevragen en
wie in de administratie gegevens
zou kunnen muteren;
op welke wijze de administratie
bevraagd zou kunnen worden;
aan welke beschikbaarheidseisen
de administratie moet voldoen;
hoe de administratie moet worden
beveiligd.
Over deze vraagstukken wordt overigens ook (ambtelijk) overleg met het
College bescherming persoonsgegevens gevoerd. De Nederlandse reisdocumenten worden in augustus 2006
uitgerust met een chip met daarin de
gezichtsopname. Bij de invoering van
de gezichtsopname (die wordt
gemaakt op basis van de foto die de
burger indient) verandert er niets aan
het decentrale karakter van de reisdocumentenadministratie. De foto wordt
dan net als nu opgeslagen in de decentrale reisdocumentenadministratie.
Het wetsvoorstel waarbij de opname
van de vingerafdrukken in de reisdocumentenadministratie wordt geregeld
én waarbij die administratie een centraal karakter krijgt, zou in het najaar
van 2006 bij de Tweede Kamer ingediend moeten worden. De administratie van de reisdocumenten blijft
decentraal totdat het parlement heeft
ingestemd met het wetsvoorstel. (PR)
Bron: Kamerstukken II 2005/06, 25 764,
nr. 29
156
Burgerservicenummer pas
in 2007
De invoering van het burgerservicenummer (BSN) loopt weer vertraging
op. ICTU streeft nu naar introductie in
het najaar, maar uiterlijk op 1 januari
2007.
ICTU wijt het uitstel aan vertragingen in de parlementaire behandeling
van de wet Algemene Bepalingen BSN.
Nadat de invoering op 1 januari 2006
niet mogelijk bleek, streefde het programmabureau burgerservicenummer
naar introductie ‘ruim voor de zomer’.
Dat is nu ook geen realistisch doel
meer. De gemeenten willen vervolgens
P&I
actualiteiten
niet in of direct na de zomer belast
worden met invoeringswerkzaamheden vanwege de drukte rond nieuwe
paspoorten en rijbewijzen.
Het burgerservicenummer is de
unieke cijferreeks waarmee iedere
inwoner van Nederland zich straks kan
identificeren bij overheidsinstanties.
Onder meer de invoering van het
Elektronisch Patiëntendossier is afhankelijk van de beschikbaarheid van het
BSN als spil in de identificatie. De cijferreeks is dezelfde als in het huidige
sofinummer. Voordat dit nummer breder kan worden toegepast, moet daarvoor eerst een wettelijk kader komen.
Volgens VVD-parlementariër Zsolt
Szabo wacht de Kamer nog op antwoorden op schriftelijke vragen die
zich toespitsen op privacy en de mogelijkheden voor publiek en privaat
gebruik van het BSN. Daarna moet de
wet nog langs de Eerste Kamer.
In mei verwacht ICTU de beheervoorziening BSN op te leveren. Dit is
een compleet nieuw systeem dat een
koppeling krijgt met het oude sofinummeruitgiftesysteem. Met de
nieuwe software is het mogelijk snel
online te controleren of bijvoorbeeld
NAW-gegevens kloppen met het BSN.
Bij nieuwe inschrijvingen vindt een
check plaats op eventuele eerdere uitgifte van een BSN of sofinummer. Een
website maakt inzichtelijk wie toegang
heeft tot welke informatie. Volgens de
woordvoerder van het ministerie van
Binnenlandse Zaken is het geen probleem dat de techniek al klaar is terwijl het juridisch kader nog in behandeling is. (SN)
Bron: Thijs Doorenbosch,
‘Burgerservicenummer weer verlaat’,
Automatisering Gids 2006, nr. 14, 6 april
2006 en Nieuwsbrief BSN, 31 maart
2006, <www.programmabsn.nl>
P&I
overheid
Zorg, welzijn en onderwijs
Regelgeving en beleid
157
Onderwijstoezicht en
bijzondere gegevens
Er is een wetsvoorstel in behandeling
in de Tweede Kamer ter uitbreiding
van de taak van de vertrouwensinspecteur ten behoeve van personen die in
het onderwijs te maken krijgen met
discriminatie of radicalisering. De aanslagen in Madrid en Londen alsmede
de moord op Theo van Gogh hebben
geleid tot het besef bij de regering dat
effectieve maatregelen noodzakelijk
zijn ter bestrijding van terrorisme. In
het kader van het Breed Initiatief
Maatschappelijke Binding wordt
samen met maatschappelijke organisaties gezocht naar oplossingen om
potentieel gewelddadige vormen van
radicalisme te voorkomen en om de
sociale binding te bevorderen. Het
onderwijs speelt daarbij een belangrijke rol. Het gaat daarbij zowel om de
rol die het onderwijs kan spelen om
sociale binding en burgerschap te
bevorderen als om vorm en van radicalisering binnen het onderwijs tegen te
gaan. Het daadkrachtig bestrijden van
radicalisme in het onderwijs is noodzakelijk met het oog op de veiligheid
op en rondom de school. Uit onderzoek door de inspectie, dat werd ingesteld na de moord op Theo van Gogh,
is gebleken dat veel scholen te maken
hebben met incidenten als bommeldingen, bedreigingen of het ingooien
van een ruit van een docent. Het meldpunt (sinds maart 2005 operationeel)
maakt het mogelijk dat vertrouwensinspecteurs in dit soort gevallen vragen kunnen beantwoorden, begeleiding kunnen bieden en eventueel
kunnen adviseren om aangifte te doen
bij justitie. Bij het meldpunt kunnen
alle betrokkenen in het onderwijs
(docenten, schoolleiding, ouders, leerlingen) terecht die in het onderwijs te
maken krijgen met discriminatie of
radicalisering. Een goede taakuitoefening van de vertrouwensinspecteur
brengt mee dat hij bijzondere persoonsgegevens als bedoeld in art. 16
WBP moet kunnen vastleggen. In het
Afl. 3 – juni 2006
bijzonder kan het gaan om persoonsgegevens betreffende iemands godsdienst of levensovertuiging, ras of politieke gezindheid. Ook voor deze
nieuwe taak geldt dat een juridische
grondslag in de wet nodig is die deze
verwerking van bijzondere persoonsgegevens mogelijk maakt. (PR)
Bron: Kamerstukken II 2005/06, 30 460,
nr. 3
158
Bewaartermijn
patiëntendossiers naar
vijftien jaar
Op 1 februari 2006 trad een wijziging
in de Wet inzake de geneeskundige
behandelingsovereenkomst (WGBO) in
werking die onder meer voorziet in
verlenging van de bewaartermijn voor
patiëntendossiers van tien naar vijftien
jaar. De wijziging werkt terug tot en
met 1 april 2005. Het gaat om een
voorlopige wijziging, in afwachting van
besluitvorming over voorstellen die
door de Gezondheidsraad zijn gedaan.
De WGBO trad op 1 april 1995 in
werking. De wet bevat onder andere
een plicht voor de hulpverlener om
een dossier aan te leggen over de
behandeling van zijn patiënt. In dat
dossier moet hij alle gegevens bewaren
die van belang zijn voor een goede
hulpverlening. De termijn van bewaring bedroeg voor gegevens van na
1 april 1995 tien jaar, te rekenen vanaf
het tijdstip waarop de gegevens zijn
vervaardigd, tenzij er een goede reden
is langer te bewaren. Er werd een overgangsregeling getroffen voor oude
gegevens van vóór 1995. Deze mochten allemaal bewaard blijven tot 1 april
2005. Vooral de met deze datum
samenhangende plicht tot vernietiging
leidde de afgelopen jaren tot veel kritiek, onder meer omdat de mogelijkheden voor wetenschappelijk onderzoek
er te zeer door worden belemmerd. In
2004 adviseerde de Gezondheidsraad
de termijn te verlengen tot minstens
30 jaar. Om zich gedegen op dit advies
te kunnen beraden besloot het kabinet
tot een tijdelijke wetswijziging. ‘Tot
nader order’ geldt een bewaartermijn
van vijftien jaar, of zoveel langer als
143
zorg, welzijn en onderwijs
redelijkerwijs nodig is voor goede
hulpverlening. Oude gegevens mogen
ook langer bewaard blijven, tot 1 april
2010. Inmiddels werkt binnen het
ministerie van VWS een commissie
aan een wettelijke regeling voor de
lange termijn. (SN)
Bron: ‘Bewaartermijn patiëntendossiers
voorlopig van tien naar vijftien jaar’,
Nieuwsbericht KNMG 16 februari 2006
159
Behandelmogelijkheden
voorkomen dwangopname
De ministers Hoogervorst (VWS) en
Donner (Justitie) stuurden op 20 maart
2006 twee wijzigingen in de Wet bijzondere opnemingen in psychiatrische
ziekenhuizen (Wet Bopz) naar de
Tweede Kamer. Het gaat om een aanpassing van de voorwaardelijke
machtiging en een verruiming van de
mogelijkheden om bij een gedwongen
opname over te gaan tot dwangbehandeling. Aan beide wijzigingen bestaat
in de praktijk dringend behoefte.
Bij een voorwaardelijke machtiging
kan de patiënt, door het naleven van
voorwaarden, een opneming/verblijf in
een psychiatrisch ziekenhuis voorkomen. In 2005 heeft de Hoge Raad vastgesteld dat een voorwaardelijke
machtiging alleen verleend mag worden als de patiënt uitdrukkelijk
instemt met de voorwaarden. Om de
voorwaardelijke machtiging breder te
kunnen toepassen, wordt op dit punt
de Wet Bopz gewijzigd. Voortaan is het
voor het verlenen van een voorwaardelijke machtiging ook voldoende
dat de rechter het vertrouwen heeft
dat de patiënt – ondanks het ontbreken van diens uitdrukkelijke instemming – zich aan de voorwaarden
houdt. Dit is in het belang van patiënten die de bereidheid daartoe niet kunnen of willen uitspreken. Met deze
wijziging wordt meer ruimte geboden
voor alternatieven voor gedwongen
opnames.
De tweede wijziging vloeit voort
uit een dringende behoefte aan verruiming van de mogelijkheden van intramurale dwangbehandeling. Betrokken
ministers hebben eerder aangekondigd
144
actualiteiten
dat ze de Wet Bopz hierop wilden wijzigen. Nu is dwangbehandeling slechts
mogelijk als er (onmiddellijk dreigend)
gevaar binnen de inrichting is. In het
nieuwe wetsvoorstel wordt het mogelijk dwangbehandeling toe te passen
als voldoende vaststaat dat de patiënt
anders te lang opgenomen moet blijven omdat het gevaar, veroorzaakt
door zijn geestelijke stoornis, niet
wordt weggenomen. De wijziging is
van toepassing op psychiatrische patiënten en niet op verstandelijk gehandicapten of mensen in een verpleeginrichting. (SN)
Bron: Persbericht ministerie van
Volksgezondheid, Welzijn en Sport,
20 maart 2006
160
Identificatieplicht voor
kinderen in de zorg
Ouders die met hun kind naar het ziekenhuis gaan omdat het kind behandeld moet worden, kunnen niet volstaan met het tonen van het eigen
identiteitsbewijs. Sinds 1 januari 2006
zijn volwassenen én kinderen verplicht
zich te identificeren als zij naar een
ziekenhuis gaan voor medische zorg.
Het gaat erom dat kan worden
vastgesteld wie het kind is en of het
kind de verzekerde persoon is, niet wie
de begeleider is. Het kind moet dus óf
ingeschreven staan in het paspoort van
de ouder, óf het kind moet een eigen
identiteitsbewijs of paspoort hebben.
Kinderen onder de twaalf jaar hebben
voor een behandeling altijd toestemming van de ouders nodig. Kinderen
tussen de twaalf en zestien jaar hebben meestal toestemming van de
ouders nodig voor een behandeling.
Kinderen vanaf veertien jaar zijn
sowieso verplicht een eigen identiteitsbewijs bij zich te hebben. Het zou
dus kunnen voorkomen dat kinderen
tussen de twaalf en veertien jaar voor
een bepaalde behandeling geen toestemming van de ouders nodig hebben, maar niet zonder dat de ouders
het weten naar het ziekenhuis kunnen,
omdat zij nog geen eigen identiteitsbewijs hebben. In uitzonderlijke gevallen
zal het kind aan het ziekenhuis duide-
Afl. 3 – juni 2006
lijk kunnen maken dat het niet wil dat
ouders weten van de behandeling. Het
ziekenhuis moet dan een pragmatische
oplossing kunnen zoeken, bijvoorbeeld
een schoolpasje accepteren.
Het doel van de identificatieplicht
in de Zorgverzekeringswet is het voorkómen van misbruik van verzekeringspassen bij het inroepen van zorg ten
laste van de zorgverzekering.
Daarnaast kan door het vaststellen van
de identiteit persoonsverwisseling
voorkomen worden, wat van belang is
voor de kwaliteit van de zorg. Om deze
reden vroeg een aantal ziekenhuizen al
langer om een identiteitsbewijs. Ook
bij kinderen onder de veertien jaar
komt fraude met verzekeringspassen
voor. Bovendien is de juistheid van het
medisch dossier voor de gezondheid
van kinderen van groot belang. (SN)
Bron: Nieuwsbericht ministerie van
Volksgezondheid, Welzijn en Zorg,
20 maart 2006
Rechtspraak en casuïstiek
161
Medisch advies IND-arts
Artsen die met hun adviezen of met
hun geneeskundige verklaringen buiten het medisch domein treden, worden als regel door de tuchtcolleges stevig op de vingers getikt. Dat schrijven
Crul en Rijksen in Medisch Contact.
Een arts is geen socioloog, pedagoog,
theoloog of politicus en dus: schoenmaker, blijf bij je leest. Vooral het
gesteggel over de kinderen bij echtscheidingen verleidt artsen wel eens
om buiten hun medische boekje te
gaan. Een arts van de Immigratie- en
Naturalisatie Dienst (IND) deed dat nu
juist niet en toch kreeg hij een waarschuwing. Begrijpelijk of niet, zo vragen Crul en Rijksen zich af.
Vanuit zijn functie bij het ministerie van Justitie moest de arts advies
geven over de vraag of de in Nederland
gestarte medische behandeling van
een uitgewezen asielzoeker in het land
van herkomst (Pakistan) zou kunnen
worden voortgezet. De arts die daarvoor – volgens het boekje – gebruik
maakte van het ‘landeninformatiesys-
P&I
actualiteiten
teem’ van het IND, antwoordde
bevestigend: ‘Ja, de behandeling van
de posttraumatische stressstoornis
(PTSS) van de man is ook in Pakistan
mogelijk’. Maar had de arts daarmee
mogen volstaan of had hij dieper moeten graven?
Anders dan het regionaal tuchtcollege dat politieke en/of religieuze
aspecten beschouwt als buiten het
deskundigheidsgebied van een arts liggend, had het hoogste tuchtcollege in
dit geval een ruimere interpretatie in
petto. Ook al wordt algemeen aangenomen dat bij de behandeling van
PTSS de aard van het onderliggend
trauma geen bepalende rol speelt, in
dit concrete geval zouden de klachten
het gevolg zijn van negatieve ervaringen met bepaalde uitingsvormen van
de islam. Nu de arts op grond van
informatie van klagers raadsman had
kunnen weten dat er in dit concrete
geval wel degelijk een relatie zou kunnen liggen, had hij dit moeten meenemen in zijn advies en de stukken niet
zomaar mogen retourneren met de
mededeling dat hij niet gerechtigd was
een medisch onderzoek op te starten.
Gerechtigd of niet: als arts heb je een
professionele verantwoordelijkheid
waaraan instructies of orders van derden geen afbreuk mogen doen. Een
advies waarvan op voorhand vaststaat
dat het opvolgen ervan in het land van
herkomst geen enkele zin heeft, kan
beter achterwege blijven. Of daarvan
sprake is in deze casus, is niet duidelijk. Evenmin wordt er een ondubbelzinnig antwoord gegeven op de vraag
of een adviserend arts al dan niet kan
volstaan met het louter gebruikmaken
van het landeninformatiesysteem. (SN)
Bron: Centraal Tuchtcollege voor de
Gezondheidszorg, 19 januari 2006. Stcrt.
2006, 17, p. 10; B.V.M. Crul & W.P.
Rijksen, ‘Hoe diep moet je graven als
adviserend arts?’, Medisch Contact
10 maart 2006
162
Openbaarmaking
onderzoeksrapport
Op 27 oktober 2003 verzoekt eiser A
met een beroep op de Wet openbaar-
P&I
zorg, welzijn en onderwijs
heid van bestuur (Wob) aan verweerder, de Minister van VWS, om openbaarmaking van stukken die zijn opgesteld naar aanleiding van een
steekincident in het psychiatrisch ziekenhuis TPZ Helmerzijde.
Op 19 januari 2004 besluit de
minister de getuigenverklaringen, het
behandelplan van de dader en de
basisgegevens van de dader niet openbaar te maken op grond van art. 10 lid
1, onder d Wob. De (rest van de) basisgegevens van de dader en de afspraken
met de dader met betrekking tot de
veiligheid worden op grond van art. 10
lid 2, onder e Wob niet openbaar
gemaakt.
A maakt tegen dit besluit bezwaar
en verzoekt op 27 maart 2004 aan de
voorzieningenrechter van de rechtbank om een voorlopige voorziening te
treffen inhoudende openbaarmaking
van het onderzoeksrapport van de
Inspectie Volksgezondheid naar aanleiding van het steekincident.
Op 28 april 2004 oordeelt de voorzieningenrechter:
– dat verweerder op juiste gronden
art. 10 lid 1, onder d Wob heeft toegepast ten aanzien van de stukken
genaamd ‘verslag van strafbaar feit
ten behoeve van de Inspectie’, ‘bijlage 3’ en ‘bijlage 4’, aangezien
deze stukken persoonsgegevens
bevatten betreffende de gezondheid overeenkomstig art. 16 Wet
bescherming persoonsgegevens;
– dat de brief van 23 september
2003 van Mediant aan de Inspectie
voor de Gezondheidszorg geen
gegevens bevat waarvoor het algemene uitgangspunt van openbaarheid moet wijken indien het stuk
geanonimiseerd wordt voorzover
het de naam van de dader betreft;
– dat verweerder ten onrechte openbaarmaking van Bijlage 1 bij voormelde brief heeft geweigerd, waartoe wordt overwogen dat indien de
naam van de dader wordt weggehaald, zoals hierboven is gemotiveerd, het belang van de openbaarheid zwaarder dient te wegen dan
het belang van eerbiediging van de
persoonlijke levenssfeer, en dat,
voorzover het stuk namen van
andere betrokkenen bevat eveneens het belang van de openbaar-
Afl. 3 – juni 2006
–
–
heid zwaarder weegt gelet op het
feit dat zij vanuit hun beroep
daarin vermeld zijn;
dat openbaarheid van Bijlage 6 bij
bedoelde brief achterwege dient te
blijven voorzover in dit stuk
gedeelten betrekking hebben op de
privacy van de dader en het slachtoffer, zodat de alinea op pagina 2
bovenaan en de daarop aansluitende passage betreffende
‘Voorlopige conclusie’ verwijderd
dienen te worden, dat ten aanzien
van de rest van het stuk de namen
van dader en slachtoffer verwijderd dienen te worden, evenals de
geboortedata, en dat de privacy
van degene die het verslag heeft
opgesteld niet in geding is, nu het
verslag uit hoofde van diens
beroep is opgesteld;
dat ook ten aanzien van bijlage 5
bij genoemde brief van 23 september 2003 het algemeen belang van
openbaarmaking dient te prevaleren boven de belangen die zijn
gediend met weigering van openbaarmaking, waarbij wordt aangetekend dat de privacy van de dader
niet in geding is indien zijn naam
wordt verwijderd.
De voorzieningenrechter heeft vervolgens geoordeeld dat weliswaar het
verzoek om voorlopige voorziening
gedeeltelijk kan worden toegewezen,
maar dat het bij wijze van voorlopige
voorziening openbaar maken van de
stukken een (te) vergaande maatregel
is omdat het leidt tot een onomkeerbare situatie, hetgeen op gespannen
voet staat met het karakter van een
voorlopig oordeel.
In beroep oordeelt de rechtbank
dat het verslag van het strafbaar feit,
een behandelbespreking en een tweetal verslagen van de psychiater terecht
met een beroep op schending van de
persoonlijke levenssfeer, niet openbaar
zijn gemaakt. Eveneens zijn terecht de
namen van de dader en het slachtoffer
in de getuigenverklaringen van medewerkers van de instelling en in de
afspraken die zijn gemaakt met de
dader, geanonimiseerd. De minister
heeft echter niet aannemelijk gemaakt
dat door openbaarmaking van de
getuigenverklaringen en de afspraken,
de toezichthoudende taak van de
145
zorg, welzijn en onderwijs
Inspectie significant in negatieve zin
wordt beïnvloed. Met uitzondering van
de namen dienen de stukken dan ook
openbaar te worden gemaakt. De
rechtbank verklaart het beroep
gegrond. (SN)
Bron: Rb. Almelo 24 november 2005,
LJN AU9704. Gezondheidszorg
Jurisprudentie, 2006/33
163
Geen klachten over
beveiliging
persoonsgegevens sociale
zekerheid
De afgelopen twee jaar zijn er geen
klachten ingediend door burgers over
misbruik van hun persoonsgegevens in
de sociale zekerheid. Dat er geen
klachten zijn ingediend is positief,
maar betekent niet automatisch dat de
gegevensbescherming ook goed is
geregeld. Dat staat in het rapport
‘Doelbinding en beveiliging in de keten
van werk en inkomen’ dat de Inspectie
Werk en Inkomen op 1 maart 2006
heeft gepubliceerd.
De Inspectie Werk en Inkomen
heeft een onderzoek gedaan naar de
klachten die zijn ingediend over privacy en gegevensbescherming bij het
College bescherming persoonsgegevens (CBP), de Nationale ombudsman,
het Uitvoeringsinstituut werknemersverzekeringen (UWV), de Centrale
organisatie voor Werk en Inkomen
(CWI), het ministerie van Sociale
Zaken en Werkgelegenheid en de
Inspectie Werk en Inkomen. De inspectie vond geen klachten over verkeerd
gebruik van gegevens.
De inspectie stelt vast dat UWV en
CWI vorderingen hebben gemaakt bij
de beveiliging van Suwinet. Ze hebben
onder meer beveiligingstests uitgevoerd. Naar verwachting zullen de uitvoeringsorganisaties zich in 2006 voor
het eerst verantwoorden over de werking van hun beveiligingsmaatregelen:
de mate waarin de maatregelen in de
praktijk worden nageleefd. Bij de
gemeenten is minder bekend over de
kwaliteit van de beveiliging. Een eerste
inventarisatie laat zien dat veel
gemeenten niet aantoonbaar voldoen
146
actualiteiten
aan de wettelijke eisen. Zolang de werking van de maatregelen niet aantoonbaar op orde is, blijft er onzekerheid
bestaan over de mate waarin de beveiliging van Suwinet is gewaarborgd.
De uitvoeringsorganisaties UWV
en CWI maken samen met de gemeenten gebruik van Suwinet-Inkijk, een
elektronische voorziening waarmee
persoonsgegevens van miljoenen
Nederlanders kunnen worden geraadpleegd. De organisaties gebruiken die
gegevens om mensen te helpen bij het
zoeken naar werk en vast te stellen of
mensen recht hebben op een uitkering.
Eind 2004 hadden zo’n 25 000 medewerkers van deze organisaties en twee
ondersteunende organisaties, het
Inlichtingenbureau en het Bureau
Keteninformatisering Werk en
Inkomen, toegang tot gegevens in
Suwinet-Inkijk. (SN)
Bron: Persbericht IWI 1 maart 2006
164
Privacygevaar van DBC’s
voor GGZ
De redactie van het Tijdschrift voor
Psychotherapie introduceert in aflevering 2006-2 een nieuwe forumdiscussie
over het gebruik van DBC’s. De redactie
signaleert dat eerst na de invoering
van DBC’s voor psychiaters en psychotherapeuten het protest en de discussie over privacy pas goed op gang
komt. Vragen die worden opgeroepen
zijn: hoe zit het met de privacy? Is
digitale aanlevering van patiëntengegevens wel verantwoord? Hoeveel
invloed krijgen zorgverzekeraars op de
inhoudelijke uitoefening van het
beroep? Had George Orwell toch
gelijk? De redactie geeft de aftrap voor
een discussie over DBC’s in de geestelijke gezondheidszorg, die wordt
gestart met een bijdrage van Richard
Hees, Kaspar Mengelberg, Wietse
Velthuys en Sophie van der Zee, met
als titel ‘Het gevaar van diagnosebehandelcombinaties’.
In hun artikel wijzen zij erop dat
therapeuten als gevolg van de DBC’s nu
gedwongen worden om gedetailleerd
te openbaren wat er in hun spreekkamers gebeurt. Dit alles onder het mom
Afl. 3 – juni 2006
van ‘transparantie’ en ‘verantwoording
afleggen’. Het blijft onduidelijk voor de
auteurs in hoeverre het medisch
beroepsgeheim hierdoor wordt ondergraven. Zij betreuren het daarom dat
de beroepsverenigingen van psychiaters en psychotherapeuten zich niet
feller hebben verzet tegen de invoering
van de DBC-systematiek.
Het principiële punt dat de auteurs
aan de orde stellen is dat psychiaters
en psychotherapeuten in hun handelen
voortaan gedwongen zijn zich te laten
leiden door externe belangen, zoals
het winstoogmerk van de zorgverzekeraars. De invoering van de
Zorgverzekeringswet en de DBC-systematiek leidt in hun ogen tot de aantasting en uiteindelijk zelfs verdwijning van het medisch beroepsgeheim.
De bescherming van de privacy van de
patiënt komt daardoor in gevaar, en zal
voor patiënten onvoorspelbare negatieve gevolgen hebben. Door te coderen volgens de DBC-systematiek handelen de behandelaars in strijd met de
wet, te weten: de WGBO, de Wet BIG,
de WBP en zelfs met het Europees
Verdrag tot bescherming van de rechten van de mens en de fundamentele
vrijheden (EVRM, art. 8). Hierdoor
komt de vertrouwensrelatie tussen de
behandelaar en de patiënt ernstig in
gevaar.
Psychiaters en psychotherapeuten
zijn geheimdragers en oefenen een
vertrouwensberoep uit. Daarom moeten zij, aldus de auteurs, autonoom
kunnen blijven en niet onderhorig
worden aan de overheid of de zorgverzekeraars. Zij moeten vrij blijven om
eigen therapeutische beslissingen te
nemen en om het zwijgen te bewaren
over wat hen in hun spreekkamer
wordt toevertrouwd. Een vrije toegang
tot de hulpverlener, waarbij men op
geheimhouding kan vertrouwen, is
immers ook in het belang van de
volksgezondheid in het algemeen. (SN)
Bron: Richard Hees, Kaspar Mengelberg,
Wietse Velthuys & Sophie van der Zee,
‘Het gevaar van diagnose-behandelcombinaties’, Tijdschrift voor Psychotherapie
2006 (32), nr. 2, p. 115-117
P&I
actualiteiten
zorg, welzijn en onderwijs
Arbeid
Rechtspraak en casuïstiek
165
RFID-implantaat voor
toegang datacenter
Beveiliging is een hot item, maar kan
haaks staan op burgerrechten als privacy. RFID doorbreekt in de ogen van
privacypuristen grenzen. Implantaten
leggen de lat weer hoger.
Het Amerikaanse surveillancebedrijf CityWatcher.com heeft twee van
zijn werknemers voorzien van RFIDimplantaten voor toegang tot het datacenter. Het bedrijf in Cincinnati heeft
een strikter beleid ingevoerd voor de
beveiliging van het datacentrum, waar
de surveillancevideobeelden zijn opgeslagen. Toegang tot dat centrum
gebeurde eerst nog door middel van
een RFID-tag die de werknemers aan
hun sleutelbos hingen. Het surveillancebedrijf, dat in dienst van de overheid
criminele gebieden in zes steden
‘bewaakt’, argumenteert dat het oude
systeem te kwetsbaar was. De twee
werknemers die zich volgens hun
werkgever vrijwillig hebben aangemeld, hebben een glazen capsule met
een RFID-module van VeriChip geïnjecteerd gekregen in hun bovenarm. Bij
CEO Sean Darks is ook een capsule
ingebracht. Deze modules zijn passief
en vallen vanaf maximaal enkele centimeters afstand uit te lezen.
CityWatcher.com stelt het implantaat niet verplicht. Werknemers zonder implantaat hebben echter geen
toegang tot het datacentrum. De
Amerikaanse privacyorganisatie
Caspian (Consumers Against
Supermarket Privacy lnvasion and
Numbering), die strijdt tegen de invoering van RFID-tags in bonuskaarten
van supermarkten, uit kritiek: ‘Het is
moreel fout om een loonstrookje te
koppelen aan een implantaat’, aldus
woordvoerster Katherine Albrecht. (JH)
Bron: Computable 24 februari 2006
P&I
166
Zonder toestemming
verstrekken van informatie
over functioneren
Een ambtenaar, werkzaam bij de
Immigratie- en Naturalisatiedienst
(IND) van het ministerie van Justitie,
krijgt per 1 mei 2002 op verzoek eervol ontslag. Voorafgaand aan haar vertrek neemt zij per e-mail afscheid van
alle medewerkers van drie directies
van de IND. In die mail levert zij kritiek
op twee met name genoemde leidinggevenden. Het ministerie merkt deze
mail aan als smaad en laster en straft
de ambtenaar met inhouding van een
half maandsalaris.
In november 2002 solliciteert de
ambtenaar naar de functie van
gerechtssecretaris bij het parket te
Amsterdam. Zij wordt echter niet
benoemd, omdat het parket op basis
van informatie over haar gedrag en de
disciplinaire bestraffing, dat desgevraagd door de IND wordt verstrekt,
twijfel heeft over een aantal vaardigheden waarover zij zou moeten
beschikken als parketsecretaris.
Bij brief van 7 januari 2003 wendt
de ambtenaar zich tot de IND met een
verzoek om schadevergoeding wegens
loonderving, omdat de IND door het
zonder toestemming verstrekken van
informatie over haar functioneren aan
het parket jegens haar als gewezen
ambtenaar onrechtmatig, want in
strijd met de Wet bescherming persoonsgegevens (WBP), heeft gehandeld. De IND beslist afwijzend op dit
verzoek. De rechtbank verklaart het
tegen de beslissing ingestelde beroep
als ongegrond. In hoger beroep wordt
deze uitspraak bevestigd door de
Centrale Raad van Beroep.
De Centrale Raad stelt allereerst
vast dat de ambtenaar tot 1 mei 2002
was aangesteld door het ministerie, en
dat het ministerie ook de beoogde
nieuwe werkgever was. Dit betekent
niet alleen dat het parket in dit geval
niet als een derde in de zin van de
WBP kan worden beschouwd, maar
ook dat geen sprake is van het verstrekken of doorzenden van gegevens
aan de derde. Naar het oordeel van de
Raad is aan de orde het raadplegen of
gebruiken van persoonsgegevens door
Afl. 3 – juni 2006
de verantwoordelijke, te weten
gedaagde. Dat appellante tussentijds
geen dienstverband had met gedaagde
maakt dat niet wezenlijk anders.
Verder overweegt de Raad dat de stelling van de ambtenaar dat het verwerken van haar persoonsgegevens slechts
was toegestaan indien zij daarvoor
ondubbelzinnig toestemming had verleend, miskent dat zodanige verwerking ook toelaatbaar is indien is voldaan aan een van de andere
voorwaarden genoemd in art. 8 Wbp.
De Raad is op grond van de stukken
van oordeel dat dit laatste het geval is
en gaat om die reden voorbij aan de
vraag of en in hoeverre hier al dan niet
toestemming was verleend.
De Raad is voorts van oordeel dat
het raadplegen van appellantes persoonsgegevens in haar personeelsdossier, welke gegevens betrekking hebben op haar functioneren als
justitieambtenaar in haar voormalige
functie, noodzakelijk kan worden
geacht voor de behartiging van het
gerechtvaardigde belang van het
ministerie. Het ministerie diende zich
immers een oordeel te vormen over de
geschiktheid van de solliciterende
ambtenaar voor de door haar geambieerde functie van parketsecretaris,
meer in het bijzonder over haar integriteit, en voor het vormen van dat
oordeel was informatie over haar eerdere functioneren van groot belang.
Tegen dat gerechtvaardigde belang kan
niet opwegen het persoonlijke belang
van appellante om informatie over
haar disciplinaire bestraffing en de
daaraan ten grondslag liggende gedraging achter te houden. (HdV)
Bron: Centrale Raad van Beroep, 04/2623
AW, LJN: AU7816
Politie en justitie
Regelgeving en beleid
167
Naam tippende advocaat in
strafdossiers
De naam van de tipgevende advocaat
in de zaak Plooy is twee keer in een
strafdossier terechtgekomen. Dat blijkt
147
zorg, welzijn en onderwijs
uit het antwoord van minister Donner
van Justitie op vragen van Kamerlid
Vos van GroenLinks. De eerste keer
was in of omstreeks april 2005. Een
strafdossier met daarin de per abuis
niet onleesbaar gemaakte naam van de
advocaat (in de aangifte van officier
van justitie Plooy) werd verstrekt ‘aan
een achttal raadslieden’. Die kregen
daarop het verzoek de aangifte van mr.
Plooy te retourneren, dan wel de naam
van de tippende advocaat onleesbaar
te maken. ‘Deze actie heeft toen landelijke publiciteit gekregen’, aldus de
minister.
De tweede keer werd bij een doorzoeking in het kantoor van een andere
advocaat de aangifte van Plooy gevonden, met daarin wederom de naam van
de tippende advocaat. De advocaat
waar de doorzoeking plaatsvond,
maakt geen deel uit van de bovengenoemde groep van acht. Deze advocaat
legde tijdens het verhoor een verklaring af en van het verhoor is een proces-verbaal opgemaakt. ‘Deze stukken
zijn opgenomen in de strafdossiers die
verband houden met de recente aanhoudingen in het onderzoek naar het
lekken van vertrouwelijke informatie
door politieambtenaren.’
Hoewel de naam van de raadsman
dus reeds eerder bekend was geworden, betreurt Donner het dat de naam
in de bovengenoemde verklaring van
de advocaat en het proces-verbaal van
bevindingen niet onleesbaar is
gemaakt. Hij zegt verder: ‘Overigens
zijn de strafdossiers waarin de verklaringen zijn opgenomen op 19 januari
uitsluitend verstrekt aan de raadslieden van de drie verdachten en aan de
rechtbank. Ten aanzien van twee gedetineerde verdachten gelden thans nog
beperkingen. Ik acht het zorgwekkend
dat informatie uit dit strafrechtelijk
onderzoek kennelijk bekend is
gemaakt aan de media.’ (SN)
Bron: ‘Naam tippende advocaat twee
keer in strafdossiers’, Orde van de dag:
elektronische nieuwsbrief Nederlandse
Orde van Advocaten 9 maart 2006
148
actualiteiten
168
Namen van wiettelers op
internet
Politie en het Openbaar Ministerie zullen de Limburgse gedeputeerde M.
Vestjens (CDA, Veiligheid) geen persoonlijke gegevens verstrekken over
mensen die worden verdacht van wietteelt. Vestjens wil die gegevens op
internet plaatsen. De Sevenumse burgemeester P. Mengde stelt na overleg
met het Openbaar Ministerie dat
bekendmaking van wiettelers via
internet in strijd is met de Privacywet.
Mengde is de woordvoerder van
het project Het Groene Goud, waarbij
de gemeenten in het politiedistrict
Venray, politie, Openbaar Ministerie,
provincie, LLTB, energieleverancier
Essent, uitkeringsinstantie UWV en
woningcorporaties samenwerken om
het de wiettelers (financieel) zo moeilijk mogelijk te maken.
Tijdens de ondertekening van het convenant tussen deze partijen, op
16 maart 2006 in Sevenum, maakte
Vestjens tot ieders verrassing bekend
dat hij naam, adres en plaats delict van
de wiettelers via internet bekend wil
maken. Daar zou hij onder meer de
nieuwe website
<www.hetgroenegoud.info>
voor willen gebruiken.
Dat ziet de projectgroep niet zitten.
‘Als politie en justitie de persoonlijke
gegevens zouden verstrekken, dan
zouden ze zich medeschuldig maken
aan het plegen van een strafbaar feit’,
stelt burgemeester Mengde.
‘Bovendien, door de namen te publiceren, veroordeel je iemand nog voordat
hij door de rechter schuldig is bevonden. Daar werken we niet aan mee. We
zullen alleen de plaats- en straatnaam
op onze website publiceren van een
opgerolde hennepkwekerij of -plantage. Het is nooit onze intentie
geweest namen te publiceren, daarover staat ook niks in het convenant. In
onze ogen is dit geen efficiënte manier
om de hennepteelt te ontmoedigen. En
bovendien, als er wiet in een maïsveld
wordt ontdekt, welke naam zet je dan
op de site. Die van de agrariër van wie
het land is?’, licht Mengde toe.
Mengde meldt dat hij met Vestjens
telefonisch contact heeft gehad over
Afl. 3 – juni 2006
deze kwestie. ‘We verschillen hierover
van mening’, aldus de burgemeester.
‘Vestjens wil de namen toch op
Internet, maar wij zullen daar niet aan
meewerken. Binnenkort gaan we daarover nog eens met elkaar in gesprek,
maar ik denk niet dat hij ons kan overtuigen.’ (SN)
Bron: Dagblad De Limburger 24 maart
2006, <www.hetgroenegoud.info/
limburger_24_03_06.htm>
169
Chaos bij politie lonend
voor misdaad
Duizenden misdrijven in Nederland
blijven onopgelost door gebrekkige
uitwisseling van informatie bij de politie. Het zal zeker vijf jaar duren voordat de 25 regiokorpsen en het Korps
Landelijke Politiediensten (KLPD) een
gezamenlijk, gemoderniseerd computersysteem hebben. Dit zeggen ICTdeskundigen bij de politie.
Het is voor agenten en rechercheurs een hels karwei om buiten de
eigen regio informatie over politiezorg
of opsporing te krijgen. De 26 politiekorpsen gebruiken zeker vijf uiteenlopende computersystemen, die elk naar
eigen behoefte zijn aangepast. De
registratie van gegevens is niet eenduidig.
Bij de korpsen biedt het onderhoud
van de systemen en de zeker tweeduizend verschillende computerprogramma’s werk aan een paar honderd specialisten. Ook hebben sommige korpsen
binnenshuis de informatiehuishouding
nog niet op orde.
De in 2003 opgerichte Nationale
Recherche, het paradepaardje van de
Nederlandse politie, kampt met een
achterstand. Omdat ze uiteenlopende
systemen gebruiken, kunnen de zeven
kernteams voor de opsporing van
zware misdaden, die bij de Nationale
Recherche werden ondergebracht, niet
digitaal alle informatie uitwisselen.
Met vragen moeten rechercheurs
bellen, mailen of faxen naar collega’s.
Voor hun opsporingsonderzoeken zijn
ze afhankelijk van de bereidwilligheid
van anderen.
P&I
actualiteiten
Naar verwachting gaat de
Nationale Recherche in september volledig over op een informatiesysteem.
Deze database wordt niet gekoppeld
aan de computers van de regiokorpsen.
Daardoor kunnen andere rechercheafdelingen geen gebruik maken van de
informatie die de Nationale Recherche
over criminelen heeft verzameld.
In alle geledingen van de politie
wordt erkend dat door de chaos in het
informatiebeheer criminelen buiten
schot blijven. Een aantal misdadigers
maakt bewust gebruik van de armoedige informatie-uitwisseling. Ze opereren in steeds wisselende politieregio’s.
Al jaren is zonder resultaat gewerkt
aan verbetering van de informatie-uitwisseling. Dit jaar is de politie in feite
helemaal opnieuw begonnen.
Driehonderd infodeskmedewerkers
zijn opgeleid om te werken met de
diverse systemen die de korpsen in
gebruik hebben.
Sinds januari mogen ze zelfstandig
de in totaal 54 bronnen van de korpsen
raadplegen. Bij de politie heet het dat
de beste rechercheur degene is met de
beste contacten bij de infodesk.
Intussen ontwikkelt de politie de eigen
zoekmachine Blue View, waarmee
alleen de infodesk in bijna alle systemen informatie kan vinden. Elf korpsen gebruiken dat systeem nu. Een van
de nadelen ervan is dat de gevonden
informatie niet ouder is dan een jaar.
(GM)
Bron: de Volkskrant 1 april 2006
Rechtspraak en casuïstiek
170
Opname DNA-profiel
De Rechtbank Roermond heeft op
22 december 2005 een bezwaarschrift
van een wegens mishandeling veroordeelde man gegrond verklaard. Het
bezwaar richtte zich tegen het afnemen van celmateriaal ter bepaling van
het DNA-profiel. Dit profiel zou worden opgenomen in de DNA-databank
en worden vergeleken met reeds in de
databank aanwezige profielen. In zijn
bezwaarschrift en ter terechtzitting
beroept klager zich op het bepaalde in
P&I
zorg, welzijn en onderwijs
art. 2 lid 1 onder b van de Wet DNAonderzoek veroordeelden. Hij voert
hierbij aan dat het gaat om een voetbalincident van zeer beperkte strekking en omvang, en dat redelijkerwijs
niet aannemelijk is te achten dat het
DNA-profiel van klager van betekenis
zal kunnen zijn voor de voorkoming,
opsporing, vervolging en berechting
van strafbare feiten. Voorts acht klager
met de DNA-afname en het bepalen en
verwerken van zijn DNA-profiel zijn
recht op privacy ernstig geschonden, is
hij van mening dat hiermee een ongeoorloofde inbreuk wordt gemaakt op
zijn recht op eerbiediging van zijn
privé-leven zoals tot uitdrukking
gebracht in art. 8 EVRM.
De officier van justitie heeft
gesteld dat het beroep niet behoort te
slagen. Blijkens de memorie van toelichting heeft de wetgever de uitzonderingsbepaling willen reserveren
voor uitzonderlijke omstandigheden.
Naar het oordeel van de officier van
justitie is van een door de wetgever
bedoelde uitzonderlijke omstandigheid geen sprake.
De rechtbank stelt vast dat het
delict waar het hier om gaat een voetbalincident betreft waarbij klager een
speler van de tegenpartij heeft geslagen waardoor die tegenspeler letsel
heeft opgelopen en pijn heeft ondervonden. Uit de memorie van toelichting (Kamerstukken II 2005/06, 28 685,
nr. 3) blijkt dat deze uitzondering
slechts een beperkte reikwijdte heeft.
Dat neemt niet weg dat de officier van
justitie ook in omstandigheden die de
wetgever in de parlementaire geschiedenis niet uitdrukkelijk als voorbeelden heeft genoemd, is gehouden na te
gaan of redelijkerwijs aannemelijk is
dat het bepalen en verwerken van het
DNA-profiel van een veroordeelde
gelet op de aard van het misdrijf of de
bijzondere omstandigheden waaronder het misdrijf is gepleegd, van betekenis zal kunnen zijn voor de voorkoming, opsporing, vervolging en
berechting van strafbare feiten van de
veroordeelde. De rechtbank neemt in
aanmerking dat het in casu gaat om
een voetbalincident, gepleegd door
een 44-jarige man die geen strafblad
had, die voor dit feit een voorwaardelijke werkstraf van 40 uren opgelegd
heeft gekregen, en tegen wie verder
Afl. 3 – juni 2006
geen ander strafrechtelijk onderzoek
loopt. De rechtbank overweegt dat,
zoals haar ambtshalve bekend is, het
uitzonderlijk is dat het duwen of slaan
tijdens een voetbalwedstrijd tot een
strafrechtelijke vervolging leidt. De
kans dat een eventueel soortgelijk incident in de toekomst wederom tot een
strafrechtelijke vervolging zal leiden,
acht de rechtbank op grond hiervan
zeer gering, nog daargelaten de vraag
of in dergelijke situaties het DNA-profiel van enige strafvorderlijke betekenis is.
Het geheel van feiten en omstandigheden in aanmerking nemend is de
rechtbank van oordeel dat in casu de
afname van DNA-materiaal ten
behoeve van het bepalen en verwerken
van het DNA-profiel van klager disproportioneel is, nu het redelijkerwijs
aannemelijk is dat het bepalen en verwerken van zijn DNA-profiel niet van
betekenis zal kunnen zijn voor de in
art. 2 lid 1 onder b van de Wet
genoemde doeleinden. (PR)
Bron: Rb. Roermond 22 december 2005,
LJN-nr. AU8499
171
Politie zoekt getuigen via
billboard
De regiopolitie Haaglanden heeft een
nieuw middel ontwikkeld om getuigen
van ongelukken en bijvoorbeeld
geweldsdelicten op te sporen. Het gaat
om speciaal gemaakte billboards die
overal waar nodig kunnen worden
neergezet.
Deze aanplakborden zijn nog niet
eerder in Nederland gebruikt. ‘Het idee
is opgedaan in het buitenland’, zegt
politiewoordvoerder J. van den Braak.
De billboards werden onlangs voor het
eerst in gebruik genomen in Delft. De
politie is daar op zoek naar getuigen
van een fatale confrontatie tussen de
38-jarige Delftenaar Frank van Oosten
en twee fietsers in de Delftse binnenstad in de vroege ochtend van Goede
Vrijdag. Van Oosten overleed een dag
later in het ziekenhuis.
Hij stond zestiende op de lijst van
Leefbaar Delft bij de jongste verkiezin-
149
zorg, welzijn en onderwijs
gen. Van Oosten stond bekend om zijn
grote hart voor zwakkeren. (GM)
Bron: Algemeen Dagblad 2 april 2006
172
Opsporing van groter
belang dan privacy van
verdachte
Met het naar buiten brengen van de
volledige identiteit en de foto van
Johan Frederik Stellingwerf beleefde
Nederland een primeur. Het Openbaar
Ministerie gebruikte dit uitzonderlijke
opsporingsmiddel voor het eerst bij
een verdachte van zedenmisdrijven.
Eerder werd het middel al wel
ingezet bij de opsporing van veroordeelde en voortvluchtige tbs’ers.
Voordat het wordt ingezet, wordt
een afweging gemaakt tussen de privacy van de verdachte en de ernst van
de verdenkingen, aldus het Openbaar
Ministerie. In het geval van
Stellingwerf werd zijn opsporing
belangrijker geacht dan zijn privacy.
Want de kans is groot dat hij weer toeslaat. (GM)
Bron: Algemeen Dagblad 22 april 2006
173
Politiemensen verdacht
van verkopen informatie
Twee hoge functionarissen van de
politie in Amsterdam worden verdacht
van corruptie. De mannen hebben volgens justitie vertrouwelijke politieinformatie doorverkocht. De 45-jarige
verdachten zouden zeker 6500 euro
hebben gekregen voor de informatie
die ze doorspeelden. Ze moeten volgende week voor de rechtbank verschijnen. Een van hen wordt ook verdacht van mishandeling.
De twee werkten tot voor kort als
inspecteur bij het Amsterdamse Korps.
Het is onduidelijk aan wie ze de informatie hebben doorverkocht. Het korps
wil niets kwijt over de verdenkingen.
Ook de advocaten zeggen niets tot de
verdachten voor de rechter komen.
150
actualiteiten
Het is niet voor het eerst dit jaar dat
belangrijke Amsterdamse politiemensen worden verdacht van lekken. In
januari werd een 49-jarige rechercheur opgepakt, samen met een
bevriende ex-rechercheur. Ze zouden
leden van de Hells Angels hebben
getipt over een naderende politieinval. Topcrimineel Willem Holleeder
zou volgens de inmiddels overleden
Willem Endstra politiemensen voor
honderdduizenden euro’s hebben
omgekocht. Hij zou zo veel vertrouwelijke informatie hebben verkregen.
(GM)
Bron: Algemeen Dagblad 5 april 2006
174
Camera betrapt
schennispleger in vol
ornaat
De politie Twente maakt jacht op een
schennispleger die met geslachtsdeel
en al op de bewakingscamera van een
bank in Hengelo is vastgelegd.
De man drong zich in het centrum van
de Twentse stad hinderlijk op aan twee
17-jarige scholieren. Net toen een van
de meisjes wilde pinnen bij de
Rabobank, liet hij zijn broek zakken en
toonde zijn geslachtsdeel.
De man had echter buiten de
bewakingscamera gerekend en werd
– met jongeheer en al – op de gevoelige plaat vastgelegd. De politie heeft
de beelden inmiddels opgevraagd en
gebruikt ze in de speurtocht naar de
dader.
Volgens politiewoordvoerder
Ageeth Doldersum zullen de beelden
van de man ‘ook om reden van privacy’
hooguit in gekuiste vorm aan het
publiek worden getoond. (GM)
Bron: Algemeen Dagblad 13 april 2006
175
Weer laptop gestolen
De politie is ernstig in verlegenheid
gebracht door een nieuwe diefstal van
onzorgvuldig beheerde dienstgoederen. Autokrakers hebben onlangs een
Afl. 3 – juni 2006
doorgeladen dienstpistool en een laptop gestolen uit de auto van een
rechercheur van de Dienst Centrale
Recherche (DCR) van de Amsterdamse
politie.
De spullen lagen in de kofferbak
van het geparkeerde voertuig. De
betrokken rechercheur zat op het
moment van de diefstal in een eetcafé.
Behalve het dienstwapen namen de
dieven het politielegitimatiebewijs en
de agenda van de rechercheur mee. De
man was werkzaam op de afdeling
Zware Criminaliteit van de DCR. Korte
tijd later werden in Amstelveen twee
verdachten aangehouden. Zij waren
andermaal op het dievenpad. Inzet van
een zogeheten lokauto – bedoeld om
autokrakers te kunnen pakken – wierp
bij de relatief snelle opsporing van de
dieven vruchten af. De twee bekenden
in de auto van de rechercheur te hebben ingebroken. In totaal hield de politie drie verdachten aan in de zaak. De
betrokken rechercheur is overgeplaatst
naar een andere afdeling. Hem is voorwaardelijk ontslag aangezegd. (JH)
Bron: Metro 22 maart 2006
176
Politie stuurt 3000 smsberichten
Op 21 maart verzond de Nijmeegse
politie 3000 sms-berichten naar
mobiele nummers die ten tijde van de
moord op de Nijmeegse activist Louis
Sévèke in de omgeving van de moord
zijn gebruikt.
De politie heeft daarvoor bij de
mobiele aanbieders alle nummers
opgevraagd. De politie kon voor het
opvragen van de mobiele nummers
gebruik maken van de nieuwe
bevoegdheden uit de Wet bevoegdheden vorderen gegevens die op 1 januari 2006 in werking is getreden. De
ontvangers van de sms werden opgeroepen naar een uitzending van het
televisieprogramma Opsporing
Verzocht te kijken en zich als getuige
te melden. Eerder gebruikte de politie
in Rotterdam en Limburg een vergelijkbare methode. Op 29 maart werd
bekend dat zich bij de Nijmeegse poli-
P&I
actualiteiten
tie geen enkele nieuwe getuige heeft
gemeld. Het is niet bekend wat de
Nijmeegse politie verder met de nummers gaat doen. In principe heeft
iedere politieagent de bevoegdheid om
aan de hand van telefoonnummers ook
de bijbehorende naam, adres en woonplaats (NAW) van de abonnees op te
vragen. (JH)
arbeid
–
–
–
Bron: Bits of Freedom Nieuwsbrief
29 maart 2006, nr. 4.7
eerste geval onder druk mogen
staan;
te laten weten dat het in veel
gevallen verboden is om stiekem
foto’s maken;
proefprocedures te ondersteunen
en zo mogelijk te voeren tegen
media die het ‘spotten’ van BN’ers
belonen;
zich sterk te maken voor het tegengaan van onzinverhalen in de
media.
doorslaggevend belang of de publicatie
een bijdrage levert aan het publieke
debat. Een publicatie met
‘nieuwswaarde’ mag, maar een publicatie louter uit ‘nieuwsgierigheid’ niet.
Andere voorbeelden van BN’ers wier
privacy recentelijk is geschonden, hetgeen door de rechter ook is vastgesteld, zijn:
– Prinses Máxima (2006: geschil met
Privé over het slaan en ontslaan
van kindermeisjes);
Bookmark
177
STIP.NU
De Stichting Tegen Inbreuk Privacy,
kortweg STIP, is een initiatief van drie
vrouwen die ook samen het bestuur
van STIP vormen. Het zijn Karin
Bloemen (voorzitter), Monique
Rijkaard (penningmeester) en Kriek
Wille (advocaat, secretaris). Het comité
van aanbeveling bestaat uit presentator Jack Spijkerman, cabaretier Paul de
Leeuw, zakenvrouw Sylvia Toth, voetballer Aron Winter en fotomodel Sarah
Hagens. STIP trad medio 2005 voor het
eerst in de publiciteit tijdens een interview met Karin Bloemen in het televisieprogramma Barend & Van Dorp.
De Stichting STIP is ontstaan naar
aanleiding van de publicatie eind 2003
in een roddelblad van foto’s van Karin
Bloemen op een privé naaktstrand. In
hetzelfde nummer stond een verzonnen verhaal over Monique Rijkaard, die
borstkanker zou hebben.
De Stichting STIP heeft tot doel de privacy (van bekende Nederlanders) te
verbeteren door:
– het publiek bewust te maken van
het recht op privacy voor iedereen,
dus ook voor bekende
Nederlanders (BN’ers);
– uit te leggen dat er een verschil is
tussen gekozen en ongekozen
publiciteit: op privé-terrein zou de
privacybescherming 100% moeten
zijn;
– aandacht te vragen voor het verschil tussen nieuwswaardigheid en
nieuwsgierigheid. Het recht op privacybescherming zou alleen in het
P&I
De website van STIP bevat informatie
over STIP: wat het is, wie het is, wat
het doet en waarom het bestaat.
Daarnaast bevat de website de volgende rubrieken: Privacy Test, Nieuws,
Forum, Links, Contact en Home. Een
aantal van deze rubrieken zijn nog in
ontwikkeling.
STIP richt zich vooral op de
onrechtmatigheid van publicaties over
BN’ers en andere personen. Daarover
wil STIP het publiek informeren. Dat
doet het bijvoorbeeld via de rubriek
Nieuws en Waarom STIP. Daarin is een
overzicht te vinden van een aantal
praktijkvoorbeelden van onrechtmatige perspublicaties over personen. Een
belangrijk voorbeeld die een centrale
plaats inneemt op de site is de uitspraak van het Europese Hof voor de
rechten van de mens in de zaak van
Prinses Caroline van Monaco. Bij de
vraag of persvrijheid of privacy voorrang heeft, is volgens het Hof van
Afl. 3 – juni 2006
–
–
–
–
–
–
–
Prinses Máxima en Prins Willem
Alexander (2005: geschil met SBS6
en Privé over het publiceren van
materiaal afkomstig van de digitale
camera van Prinses Máxima);
Rachel Hazes (2005: geschil met
Privé over haar vermeende verhouding met een ex-profvoetballer);
Caroline Tensen (2004: geschil
over vermeende verhouding met
een getrouwde man en de publicatie van de foto’s van haar kinderen);
Nico Zwinkels (2004: geschil met
Privé over vermeende seksuele
intimidatie);
Karin Bloemen (2003: geschil met
Weekend over de publicatie van
naaktfoto’s);
Paul de Leeuw (2003: geschil met
Story over de publicatie van foto’s
met zijn zoon) en
Ron Brandsteder (2002: geschil
met Party, Story, Weekend,
151
politie en justitie
actualiteiten
Telegraaf en Privé over vermeend
buitenechtelijk kind).
De toekomstplannen van STIP bestaan
onder andere uit een reclamecampagne met als inzet de bewustwording
van het publiek dat ook BN’ers recht
op privacy hebben en dat het schenden
daarvan verboden is. Verder is STIP van
plan om voor haar donateurs een databank op te zetten met uitspraken van
rechters in zaken tegen de pers.
Daardoor kunnen zij nagaan of zij ‘een
zaak’ tegen de pers hebben als de pers
hen op de korrel heeft genomen.
Voorts wil STIP bedrijven gaan aanpakken die met de jacht op BN’ers
– ten koste van hun privacy – de kost
verdienen. Zij denken aan websites als
vipspotting.nl en zijonline.nl, die het
‘vangen’ van BN’ers beloont. Ook de
Paparazzirally, een evenement waarbij
deelnemers gevraagd wordt een eigen
artiestenstal te gaan samenstellen door
als paparazzifotografen langs de
woningen van bekende Nederlanders
te rijden, heeft de aandacht van STIP.
Iedereen die STIP een warm hart toedraagt – en wie doet dat niet? – kan
donateur worden voor € 100 per jaar.
(SN)
Agenda
178
Congres Domotica & Zorg
Op dinsdag 20 juni 2006 vindt in het
Evoluon te Eindhoven het congres
Domotica & Zorg plaats, georganiseerd
door Smart Homes – Nationaal
Kenniscentrum Domotica en Slim
Wonen.
Tijdens het congres vertellen
diverse sprekers over de ervaringen die
zij hebben opgedaan met domoticaprojecten in de zorgsector. Het gaat
daarbij om projecten voor ouderen,
dementerenden en mensen met een
lichamelijke of verstandelijke handicap.
Meer informatie: Stichting Smart
Homes, Timo van Leent, tel. 0497514984, <www.smart-homes.nl>,
e-mail: [email protected]. (SN)
152
Afl. 3 – juni 2006
P&I
Berichten van het College
bescherming persoonsgegevens
Dit katern is samengesteld door en
valt onder de verantwoordelijkheid
van het College bescherming persoonsgegevens (CBP). De uitspraken
en adviezen zijn samenvattingen van
een selectie uit de zaken die het CBP
heeft behandeld. De volledige tekst
van de uitspraken en adviezen en
van overige publicaties die in dit
katern worden genoemd, kunt u
aanvragen bij het CBP of inzien op
onze internetsite: www.cbpweb.nl.
Postbus 93374
2509 AJ Den Haag
Telefoon 070 888 85 00
Fax 070 888 85 01
[email protected]
www.cbpweb.nl
179
Inleiding
Het CBP heeft de afgelopen tijd veel
vragen en klachten binnen gekregen
van burgers over het feit dat huisartsen, anticiperend op het wetsvoorstel
gebruik BSN in de zorg, patiënten
reeds om hun sofinummer vragen.
Gebruik van het sofinummer door
hulpverleners vóór inwerkingtreding
van dit wetsvoorstel is echter verboden. Het CBP vindt het een ernstige
zaak dat het sofinummer ondanks het
geldende verbod toch wordt opgevraagd door huisartsen.
Verder ook in dit katern:
– Bank beperkt inzagerecht ten
onrechte.
– Addendum Zorgverzekeraars van
goedkeurende verklaring voorzien.
– Whistle blowing – opinion Dutch
DPA.
Verbod op voortijdig
opvragen sofinummer door
huisartsen
Het CBP heeft veel vragen en klachten
binnen gekregen van burgers over het
feit dat huisartsen, anticiperend op het
wetsvoorstel gebruik BSN in de zorg,
patiënten reeds om hun sofinummer
vragen. Gebruik van het sofinummer
door hulpverleners vóór inwerkingtreding van dit wetsvoorstel is echter verboden. Het CBP vindt het een ernstige
P&I
zaak dat het sofinummer ondanks het
geldende verbod toch wordt opgevraagd door huisartsen. Naar aanleiding van de grote hoeveelheid vragen
en klachten heeft het CBP er bij de
Landelijke Huisartsen Vereniging op
aangedrongen hun leden hierover te
informeren.
In 2006 wordt het huidige sofinummer
vervangen door het BSN. Een kleine
groep zal geen BSN krijgen en behoudt
het sofinummer. Het gebruik van het
BSN in de zorg wordt geregeld in het
wetsvoorstel gebruik BSN in de zorg,
dat momenteel bij de Tweede Kamer
ligt. Dit wetsvoorstel regelt dat ook
binnen de zorgsector gebruik zal moeten worden gemaakt van het BSN. Dit
is nodig om eenduidig te kunnen vaststellen welke gegevens bij welke cliënt
horen. De introductie van het BSN in
de zorg zal daarmee bijdragen aan het
goed functioneren van het toekomstige
Electronisch Patiënten Dossier (EPD).
Het wetsvoorstel bevat maatregelen
die ervoor zullen moeten zorgen dat
het juiste BSN aan een persoon wordt
gekoppeld. Deze maatregelen zijn er
met name op gericht om vervuiling
van patiëntendossiers te voorkomen.
Doordat nu al het sofinummer bij patiënten wordt opgevraagd, zonder dat
de huisartsen de mogelijkheid hebben
te controleren of het inderdaad om het
juiste nummer gaat, treden grote risico’s op.
De gevolgen van het voortijdig opvragen van het sofinummer zijn groot.
Een onjuiste koppeling van een sofinummer/BSN aan een persoon, bijvoorbeeld ten gevolge van identiteitsfraude of onzorgvuldig gebruik van het
sofinummer/BSN, kan vervuiling van
pa-tiëntendossiers veroorzaken. Dit
levert gevaar op voor de gezondheid
van de betrokkenen. De medische
gegevens van meerdere personen kunnen bijvoorbeeld in één dossier terecht
komen alsof zij allen betrekking hebben op dezelfde persoon, met alle
gevolgen van dien. Als voorbeeld kan
gesteld worden: ‘Een vrouw die volgens haar medisch dossier twee keer
in korte tijd is bevallen; een man die
plots geen litteken meer heeft van een
forse operatie’ (Kamerstukken II
2003/04, 29 623, nr. 3, p. 2).
Afl. 3 – juni 2006
De algemene maatregel van bestuur bij
art. 17 van het wetsvoorstel gebruik
BSN in de zorg zal maatregelen treffen
met betrekking tot de overgangstermijn tussen inwerkingtreding van het
wetsvoorstel en het moment waarop
alle zorgaanbieders het BSN moeten
gebruiken. Op grond van deze maatregelen zullen alle zorgaanbieders in die
overgangstermijn de juiste nummers
van hun patiënten krijgen. Het
ministerie van VWS heeft aangegeven
dat de zorgaanbieder die het BSN zal
moeten gebruiken de mogelijkheid
wordt geboden om in één keer alle
juiste nummers op te vragen en daarmee zijn registratie te vullen. De nummers hoeven derhalve niet, zoals op dit
moment gebeurt, door huisartsen zelf
bij hun patiënten te worden opgevraagd, huisartsen kunnen straks vrij
eenvoudig de juiste nummers krijgen.
(z2006-0238, 4 april 2006)
Bank beperkt inzagerecht
ten onrechte
Het CBP startte een ambtshalve onderzoek naar de weigering van de bank
om op grond van de Gedragscode
financiële instellingen inzage te geven
in bepaalde telefoongesprekken die
het concern heeft opgenomen. In de
gedragscode staat volgens de bank dat
betrokkenen alleen bij geschillen recht
op inzage in opgenomen telefoongesprekken hebben.
Wettelijk kader/norm
Art. 35 WBP regelt het recht op inzage.
Betrokkene kan een verzoek tot inzage
indienen bij de verantwoordelijke
waarna de verantwoordelijke verplicht
is om betrokkene een volledig overzicht van diens verwerkte persoonsgegevens te verstrekken. Onderdeel 7.1
van de Gedragscode vermeldt dat een
betrokkene gerechtigd is een financiële
instelling schriftelijk een overzicht te
vragen van de hem of haar betreffende
persoonsgegevens die door die financiële instelling worden verwerkt.
Onderdeel 8.5 van de Gedragscode vermeldt dat een cliënt bij interpretatieverschillen of onenigheden met
betrekking tot de inhoud van de opgenomen telefoongesprekken, het recht
heeft deze te beluisteren en/of een
153
berichten van het college bescherming persoonsgegevens
transcriptie hiervan te verkrijgen. De
toelichting inzake voice logging vermeldt daarbij dat indien een cliënt
daarom vraagt te allen tijde nadere
informatie wordt verschaft.
Visie bank
De bank heeft bij de beoordeling van
een verzoek om inzage geen onderscheid gemaakt tussen klanten die wel
en klanten die geen geschil hebben
met de bank. Het verzoek om inzage
behoeft niet gemotiveerd te worden en
de WBP en de Gedragscode, voorzover
daarin uitwerking wordt gegeven aan
art. 35 WBP, worden hierbij gebruikt
als toetsingskader.
Beoordeling CBP
Het CBP richt zich in deze beoordeling
op de vraag of de bank zich terecht
beroept op de opvatting dat een
betrokkene niet zonder meer het recht
heeft om persoonsgegevens in te zien,
telefoongesprekken te beluisteren
en/of een transcriptie hiervan te verkrijgen. Toetsingskader voor de beoordeling vormen art. 35 WBP en de
Gedragscode. De reactie van de bank
op de voorlopige bevindingen van het
CBP komt neer op de volgende redenering:
1. art. 35 WBP en art. 7.1.1
Gedragscode geven een betrokkene
alleen recht op een overzicht van
persoonsgegevens;
2. art. 8.5.5 van de Gedragscode geeft
een betrokkene in aanvulling
daarop onder omstandigheden een
verder strekkend recht op inzage;
3. inzage kan door de bank worden
geweigerd indien er sprake is van
misbruik van recht, art. 3:13 BW.
Inzage
Ieder heeft op grond van de WBP zonder voorbehoud het recht kennis te
nemen van de verwerking van zijn persoonsgegevens. De wetgever heeft
geen motiveringsplicht voor een verzoek om kennisneming bij de betrokkene gelegd. Het belang van kennisneming is voorondersteld (voor een
weergave van de achtergronden, zie:
CBP 3 september en 13 oktober 2004,
z2003-1617, Dexia). Dit recht is in de
Gedragscode nader uitgewerkt en
vormt, gelet op de bijzondere kenmerken van de sector waarin de bank
154
werkzaam is, een juiste uitwerking van
de WBP. Het CBP heeft de Gedragscode
op 27 januari 2003 voorzien van een
goedkeurende verklaring ex art. 25
WBP. De Gedragscode is met ingang
van 4 februari 2003 in werking getreden. Opgemerkt dient te worden dat
de Gedragscode voor de bank een
instrument vormt om ten aanzien van
haar cliënten een behoorlijke en zorgvuldige gegevensverwerking te waarborgen. Deze waarborging genereert
vervolgens vertrouwen in de organisatie en integriteit van de bank.
De Gedragscode is in ons rechtsstelsel
niet van gelijke rangorde als de WBP.
De Gedragscode is een uitwerking van
de dwingende bepalingen van de WBP
en kan als zodanig geen regeling
bevatten die de hogere en dwingende
rechten van betrokkenen die voortvloeien uit de WBP, opzij kan zetten of
kan inperken. De Gedragscode kan
daarentegen wel, in het kader van de
zelfregulering, de rechten van verantwoordelijken beperken en verplichtingen van de verantwoordelijke naar
betrokkenen verzwaren ten opzichte
van de WBP.
De Gedragscode vermeldt dat het recht
kennis te nemen van de eigen gegevens een algemeen erkend recht is dat
slechts in een drietal uitputtend opgesomde uitzonderingssituaties vervalt:
1. inzage kan geweigerd worden als
het om zaken gaat als veiligheid
van de staat en voorkoming,
opsporing en vervolging van strafbare feiten;
2. indien naast de gegevens van
betrokkene ook gegevens van een
ander verwerkt worden die bedenkingen kan hebben tegen het verlenen ook van inzage in zijn of haar
gegevens;
3. indien gegevens verwerkt worden
ten behoeve van wetenschappelijke of statistische doeleinden.
Door middel van zelfregulering heeft
de bank vrijwillig de werking uitgesloten van andere weigeringsgronden die
ontleend zouden kunnen worden aan
de WBP.
Ten aanzien van misbruik van recht is
het CBP van oordeel dat een betrokkene zijn bevoegdheid uit art. 35 WBP
kan misbruiken waardoor deze
Afl. 3 – juni 2006
bevoegdheid niet kan worden ingeroepen (art. 3:15 BW jo. 3:13 BW). Of
sprake is van misbruik van recht, zal
aan de hand van de concrete omstandigheden moeten worden beoordeeld.
Daarbij geldt dat het aan de bank is om
voldoende feiten en omstandigheden
te stellen, en zonodig – in rechte – aan
te tonen, waaruit kan volgen dat
sprake is van misbruik van recht. Dit
oordeel wordt gesteund door de reeds
eerder aangehaalde uitspraken van het
Hof Den Bosch van 16 januari 2006.
Telefoongesprekken
De bank beschikt in voorkomende
gevallen over opnamen van telefoongesprekken met betrokkenen.
Onderdeel 8.5 van de Gedragscode
regelt de wijze waarop de bank dient
om te gaan met deze opnamen. Deze
regeling vormt een nadere uitwerking
van het recht op inzage ex art. 35 WBP,
maar is niet uitputtend bedoeld in de
zin dat rechten van betrokkenen die op
grond van de WBP bestaan, kunnen
worden beperkt. Art. 35 WBP houdt
naar het oordeel van het CBP in dat
betrokkenen het recht hebben opgenomen telefoongesprekken te beluisteren
en/of een transcriptie hiervan te verkrijgen. Dit recht, is op voorspraak van
de NVB, in de Gedragscode nader
geconcretiseerd voor de situatie dat er
sprake is van interpretatieverschillen
of onenigheden met betrekking tot de
inhoud van opgenomen telefoongesprekken. De door het CBP afgegeven
goedkeurende verklaring d.d. 27 januari 2003 van de Gedragcode is mede
op deze zienswijze gebaseerd.
De lezing van de bank dat alleen bij
geschillen inzage kan worden verkregen is dan ook onjuist.
De regeling in onderdeel 8.5 beoogt als
waarborg vast te leggen dat óók bij
geschillen een recht op inzage bestaat.
Onderdeel 8.5 vormt hierin een bijzondere uitwerking van de weigeringsgronden van art. 43 WBP en voorkomt
onder meer dat financiële instellingen
te lichtvaardig inzage weigeren ter
bescherming van de eigen belangen.
Naast deze bijzondere regeling blijft
derhalve onverkort het regime van
onderdeel 7.1 van de Gedragscode gelden; betrokkenen hebben recht op
inzage in hun persoonsgegevens. Dit
P&I
berichten van het college bescherming persoonsgegevens
recht strekt zich ook uit tot telefoongesprekken waarover geen interpretatieverschil of onenigheid bestaat.
Conclusie
De bank leest onderdeel 8.5 van de
Gedragscode op een onjuiste wijze.
Met deze lezing beperkt de bank het
recht dat betrokkenen hebben op
grond van art. 35 WBP. Gelet op de
onderlinge verhouding tussen de
Gedragscode en de WBP, biedt de
Gedragscode geen grondslag voor de
bank om betrokkenen niet in staat te
stellen opgenomen telefoongesprekken te beluisteren en/of een transcriptie hiervan te verstrekken als geen
sprake is van een interpretatieverschil
of onenigheid met betrekking tot de
inhoud van het gesprek.
(z2005-1028, 17 maart 2006)
Addendum Zorgverzekeraars
van goedkeurende verklaring
voorzien
Het Addendum Zorgverzekeraars bij de
Gedragscode Verwerking
Persoonsgegevens Financiële
Instellingen is, op verzoek van
Zorgverzekeraars Nederland, het
Verbond van Verzekeraars en de
Nederlandse Vereniging van Banken,
door het CBP van een goedkeurende
verklaring voorzien. In het Addendum
zijn nadere afspraken gemaakt over de
‘Chinese muren’ die moeten voorkomen dat binnen één concern medische
persoonsgegevens worden gebruikt
voor andere verzekeringen (bijvoorbeeld een levensverzekering) en diensten. Ook is vastgelegd dat medische
persoonsgegevens die noodzakelijk
zijn voor de basisziektekostenverzekering niet gebruikt mogen worden voor
de acceptatie van een aanvullende verzekering. Naleving van de gedragscode
en het Addendum is krachtens de
Zorgverzekeringswet verplicht gesteld.
In het Addendum wordt duidelijkheid
gegeven over kwesties waarover in de
praktijk bij zowel ziektekostenverzekeraars als ook zorgaanbieders onduidelijkheid was:
– er zijn regels opgesteld voor het
opvragen van (medische) gegevens
bij zorgaanbieders;
– er zijn voorwaarden opgenomen
onder welke verzekerden, geselec-
P&I
–
teerd op basis van hun medische
gegevens, aangeschreven mogen
worden, voor bijvoorbeeld marketingdoeleinden;
de positie van de medisch adviseur
binnen het verzekeringsconcern en
voor welke persoonsgegevens hij
verantwoordelijk is, is vastgesteld
(een medisch adviseur toetst onder
meer aanvragen voor aanvullende
zorgverzekeringen en adviseert
een zorgverzekeraar over mogelijke medische risico’s).
Bij het Addendum hoort ook het
Protocol materiële controle. Dit protocol schrijft voor op welke wijze materiële controle moet plaatsvinden.
Materiële controles zijn erop gericht
de rechtmatigheid van declaraties te
toetsen en/of de doelmatigheid van
behandelingen vast te stellen. De
Minister van Volksgezondheid, Welzijn
en Sport is voornemens een wettelijke
voorziening te treffen waarmee een
wettelijke grondslag voor doorbreking
van het medisch beroepsgeheim voor
materiële controle bij aanvullende verzekeringen zal worden gecreëerd.
Over de inhoud van het Addendum is
overeenstemming bereikt met de
Koninklijke Nederlandsche
Maatschappij tot bevordering der
Geneeskunst (KNMG) en de
Nederlandse Patiënten Consumenten
Federatie (NPCF). Het Addendum
treedt in werking één dag na publicatie in de Staatscourant. De goedkeurende verklaring van het CBP is geldig
tot en met 4 februari 2008.
(z2004-1442, 27 april 2006)
Whistle blowing – opinion
Dutch DPA
In 2005, the Dutch Data Protection
Authority received several requests
from multinational companies for an
authorisation to transfer data to companies’ international ethics hotlines in
the United States for so-called whistle
blowing purposes. These requests
entailed transfers both in the context
of the obligations under article 301(4)
of the US Sarbanes Oxley Act that ‘Each
Audit Committee shall establish procedures for the confidential, anonymous
submission by employees of the issues
of concerns regarding questionable
Afl. 3 – juni 2006
accounting or auditing matters’, and
transfers with a wider purpose.
In January 2006, the Dutch Data
Protection Authority informed several
companies of the conditions it sets to
the whistle blowing schemes. The following elements are, amongst others,
considered relevant.
1. General conditions for a whistle
blowing scheme
In principle, companies can have a
legitimate interest in having an ethics
hotline or whistle blowing scheme
(article 7(f) of Directive 95/46/EC). The
processing should however be necessary for the legitimate interest of the
company, and the fundamental rights
and interests of data subjects should
not prevail. This balance of interest
test should take into account issues of
proportionality, subsidiarity, seriousness of the alleged offences that can be
notified and the consequences for the
data subjects. In the context of the
balance of interest test, adequate safeguards will also have to be provided
for.
In addition to that, other conditions for
legitimate processing should be met.
In particular, data should be processed
fairly and lawfully, and should be processed for specified, explicit, and legitimate purposes. Data should be kept
in a form which permits identification
of data subjects for no longer than
necessary, and be adequate, relevant
and not excessive. Furthermore, they
must be accurate, and, where necessary and kept up to date. The rules on
sensitive data processing and the
information duty must be obeyed, and
adequate security measures must be
taken.
2. Grounds for processing and transfer
of data
National legal obligations could in
principle be a basis for establishing a
whistle blowing scheme under article
7(c) of Directive 95/46/EC. In case of
foreign legal obligations, such as article 301 (4) of the Sarbanes Oxley Act,
whistle blowing lines cannot be based
on article 7(c) of Directive 95/46/EC.
The only possible ground would then
be article 7(f), under the general conditions mentioned above.
155
berichten van het college bescherming persoonsgegevens
Concretely, the obligations upon companies listed at the US stock exchange
to install a whistle blowing line for the
reporting of alleged accounting or
auditing matters, are of interest to
these companies. In this context, the
scope is limited: Only procedures for
the confidential, anonymous submission by employees of concerns regarding questionable accounting or auditing matters are covered. The
consequences for the companies in
case they cannot comply with these
obligations will have to be taken into
account when assessing the application of article 7(f). However, the mere
existence of a foreign legal obligation
does not in itself justify a legitimate
interest under article 7(f) of Directive
95/46/EC.
The whistle blowing lines are used for
other purposes as well, such as breach
of company policy or national legal
obligations.
Under normal circumstances, reports
on improper conduct of any nature,
should be handled through the regular
channels, such as via the management
hierarchy, a position involving confidentiality, human resources, the works
council, or, in case of accounting, via
the controller or external auditors. The
use of a whistle blowing scheme
should be redundant under normal circumstances and can therefore not take
the place of regular reporting systems.
Considering the subsidiary and complementary character of the whistle
blowing lines, its purpose needs to be
limited; the whistle blowing line
should be used for reporting substantial offences. This presupposes a certain level of seriousness of the reported facts or situations. The seriousness
of the case will depend on the circumstances. The reporting of an alleged
abuse via a whistle blowing line must
be proportionate: The character and
seriousness of the offence determine
the way the report should be made.
The employee should also base his
allegation on a reasonable suspicion
that an offence has occurred or could
occur.
In this context, also, transfer of data to
the mother company (whether within
the EU or not) will only be justified in
156
case of substantial abuses that exceed
the (national) level of the daughter
company. In most cases, these will therefore concern cases of misconduct of
higher management. Exceptionally,
also offences of low rank employees
are eligible for reporting to the mother
company. The circumstances of the
particular case would be decisive.
3. Anonymous reporting
The Dutch DPA favours whistle blowing schemes which enable confidential, rather than anonymous, reporting.
This implies that the whistle blower
makes his identity known to the person or committee handling his report,
after which his identity is treated confidentially. Companies should set up a
whistle blowing scheme which takes
as a starting point confidential reporting whereby the identity of the
whistle blower is recorded. Companies
should encourage confidential reporting and curb or avoid anonymous
reporting, and create the necessary
trust in confidential reporting.
Non anonymous reports have several
advantages: the limitation of false or
slanderous reports; the protection of
the whistle blower against retaliation;
better handling of the report because
additional details can be requested
from the whistle blower.
To ensure protection of the whistle
blower, his data should under no circumstances be provided to the person
about whom a report is made, also in
case that person places an access
request under article 11 of Directive
95/46/EC.
tively and needs to be argued case by
case.
On the other hand, the information
duty also obliges the controller to
inform the employees in general in a
clear and transparent manner about
the existence, purposes and functioning of the whistle blowing scheme,
and the controller(s) involved.
5. Treatment of the whistle blowing
reports
The reports should be handled by a
specialized (part of the) company. It is
preferable to designate an external
organisation to handle the first review
and check whether the report is relevant considering the scope of the
whistle blowing scheme and the other
legal requirements. In this way, it is
avoided that data, that should not be
processed further, reaches the organisation of the client. Employees should
be bound by a duty of confidentiality.
6. Storage limit
Processing of data should be stopped
immediately if it is established a
report was unfounded. Data related to
a report should not be kept longer than
two months after the finalisation of
the investigation relating to the report,
unless disciplinary measures are taken
against the whistle blower (in case of a
false report) or the person on whom a
report was filed (founded report).’
(Januari 2006)
4. Information to be given to data
subjects
The information duty consists on the
one hand of informing the data subject
that a report on him has been filed, not
later than at the moment of the recording of the information. If it is necessary for the assessment of the report,
for example for the gathering of evidence, the information provision can
temporarily be postponed on the basis
of article 43 of the Dutch Data
Protection Act (implementing article
13 Directive 95/46/EC). However, this
exemption must be interpreted restric-
Afl. 3 – juni 2006
P&I

 Download  Report
Privacy Statement

Privacy Statement

ComVice Computerservicebureau Privacyverklaring Doeleinden

ComVice Computerservicebureau Privacyverklaring Doeleinden

2. Patiënt, privacy en aansprakelijkheid

2. Patiënt, privacy en aansprakelijkheid

Handreiking verantwoording privacy aan gemeenteraad

Handreiking verantwoording privacy aan gemeenteraad

Online privacy - IT

Online privacy - IT

privacy statement als je daar meer over wil weten.

privacy statement als je daar meer over wil weten.

U kunt hier de privacy verklaring als PDF-document - Tally-ho

U kunt hier de privacy verklaring als PDF-document - Tally-ho

A4 Privacy Enschede - Privacy Event Enschede

A4 Privacy Enschede - Privacy Event Enschede

www.politea.nl,Leeuweriklaan 9, 5613 AG Eindhoven, 06

www.politea.nl,Leeuweriklaan 9, 5613 AG Eindhoven, 06

Privacy statement

Privacy statement

expydoc.com

Your ExpyDoc

© Copyright 2024 ExpyDoc