Privacy  

Vzr. Rechtbank Rotterdam 5 februari 2013, LJN CA1942 (Agens de werkende kracht B.V. tegen G4S Fire & Safety B.V)
Artikel 843A Rv, gewichtige redenen, het recht op bescherming van persoonsgegevens betreft geen absoluut recht zodat niet zonder meer kan worden geconcludeerd dat de geheimhoudingsplicht ex artikel 12 Wpb een gewichtige reden oplevert.

Agens vordert G4S te gebieden om binnen vijf dagen na betekening van het te wijzen vonnis afschriften van alle bescheiden, zowel in digitale als in schriftelijke vorm, die zij in haar bezit heeft aan Agens te verstrekken, althans op een door de voorzieningenrechter te bepalen wijze inzage in de bescheiden te verschaffen. G4S maakt bezwaar tegen afgifte van voorbedoelde medische stukken. G4S wordt bevolen om enkele bescheiden zowel in digitale als in schriftelijke vorm te verstrekken aan Agens.

4.17.   De onder ii. (het oordeel van de bedrijfsarts, als hiervoor bedoeld onder 4.5.), ix., x., xi. en xii. gevorderde bescheiden betreffen medische stukken, althans stukken die medisch gerelateerd zijn, die G4S als voormalig werkgever van [A] onder zich houdt. Met betrekking tot deze bescheiden wordt het volgende overwogen.

 

4.18.  G4S maakt bezwaar tegen afgifte van voorbedoelde medische stukken. Zij voert daartoe aan dat niet zij, maar de verzuimcoördinator en/of de bedrijfsarts van G4S over de stukken beschikt en dat zij deze stukken op grond van het medisch geheim en de Wet bescherming persoonsgegevens niet aan derden mag verstrekken. De voorzieningenrechter begrijpt het verweer van G4S zo dat G4S kennelijk een beroep doet op een beperking van de exhibitieplicht op grond van gewichtige redenen als bepaald in artikel 843a lid 4 Rv. Gewichtige redenen kunnen een weigering van een partij om aan de verplichting te voldoen rechtvaardigen.

 

4.19.  De Wet bescherming persoonsgegevens (“Wbp”) heeft geen exclusieve werking. Het recht op bescherming van persoonsgegevens betreft geen absoluut recht, zodat niet zonder meer kan worden geconcludeerd dat de geheimhoudingsplicht ex artikel 12 Wbp een gewichtige reden in de zin van artikel 843a lid 4 Rv oplevert. De Wpb staat derhalve op zichzelf niet in de weg aan een beroep op artikel 843a Rv.

Bovendien is het bestaan van een wettelijke verplichting tot geheimhouding op zichzelf niet voldoende een weigering om aan de verplichting tot het verstrekken van inlichtingen te voldoen, te rechtvaardigen. Van gewichtige redenen kan slechts sprake kan zijn indien in de concrete omstandigheden van het geval de belangen waarop de geheimhoudingsplicht zich richt, zwaarder wegen dan het zwaarwegende maatschappelijk belang dat in rechte de waarheid aan het licht komt.

 

5.  De beslissing

 

De voorzieningenrechter,

5.1.  veroordeelt G4S om binnen acht dagen na betekening van dit vonnis aan Agens te verstrekken, voor zover mogelijk zowel in digitale als in schriftelijke vorm:

1. de op de arbeidsovereenkomst van [A] betrekking hebbende arbeidsvoorwaardelijke regelingen, waaronder begrepen een arbeidsvoorwaardenreglement, personeelshandboek en/of collectieve arbeidsovereenkomst, voor zover zij deze in haar bezit heeft/kan krijgen;

2. de in de aanvraag voor een ontslagvergunning d.d. 25 juni 2009 vermelde “diverse correspondentie” en “diverse gespreksverslagen”;

3. alle salarisspecificaties die G4S aan [A] gedurende zijn dienstverband, en eventueel nadien, heeft verstrekt;

4. de eindafrekening die G4S aan [A] heeft verstrekt;

5. de pensioenregeling die op [A] van toepassing was;

HvJ EU 30 mei 2013, zaak C-342/12 (Worten) - dossier
Verzoek om een prejudiciële beslissing door  Tribunal do Trabalho de Viseu, Portugal.
Uitlegging van de artikelen 2 en 17, lid 1, van richtlijn 95/46/EG betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens.  Begrip persoonsgegevens – Gegevens die zijn opgenomen in een systeem voor de registratie van de arbeidstijden van werknemers van een onderneming.

Het Hof verklaart voor recht:

1) Artikel 2, sub a, van richtlijn 95/46/EG betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, moet aldus worden uitgelegd dat een arbeidstijdregister zoals dat in het hoofdgeding, met daarin voor elke werknemer het begin en het einde van de arbeidstijd alsook de bijbehorende onderbrekingen of pauzes, onder het begrip „persoonsgegevens” in de zin van die bepaling valt.

2)      De artikelen 6, lid 1, sub b en c, en 7, sub c en e, van richtlijn 95/46 moeten aldus worden uitgelegd dat zij zich niet verzetten tegen een nationale regeling zoals die in het hoofdgeding, die een werkgever verplicht aan de nationale autoriteit bevoegd voor het toezicht op de arbeidsvoorwaarden een onmiddellijk consulteerbaar arbeidstijdregister ter beschikking te stellen, voor zover deze verplichting noodzakelijk is opdat die autoriteit het haar opgedragen toezicht op de toepassing van de arbeidsvoorwaardenregeling, met name inzake arbeidstijd, kan uitoefenen.

Gestelde vragen:

1)      Dient artikel 2 van richtlijn 95/46 [...] aldus te worden uitgelegd dat de arbeidstijdregistratie – te weten de registratie voor elke werknemer van het begin en het einde van de arbeidstijd alsook de onderbrekingen of pauzes die er geen deel van uitmaken – onder het begrip ,persoonsgegevens’ valt?

2)      Indien de vorige vraag bevestigend wordt beantwoord: is de Portugese Staat krachtens artikel 17, lid 1, van richtlijn 95/46 [...] verplicht om passende technische en organisatorische maatregelen vast te stellen om persoonsgegevens te beveiligen tegen toevallige of onrechtmatige vernietiging, toevallig verlies, vervalsing, niet-toegelaten verspreiding of toegang, met name wanneer de verwerking gepaard gaat met doorzending van gegevens via een netwerk?

3)      Indien ook de vorige vraag bevestigend wordt beantwoord: wanneer de lidstaat geen enkele maatregel neemt overeenkomstig artikel 17, lid 1, van richtlijn 95/46 [...] en de voor de verwerking van voornoemde gegevens verantwoordelijke werkgever een systeem van beperkte toegang tot deze gegevens invoert waarbij de nationale overheid die bevoegd is voor de controle van de arbeidsvoorwaarden, niet automatisch toegang krijgt tot deze gegevens, dient het beginsel van voorrang van het Unierecht dan aldus te worden uitgelegd dat de lidstaat deze werkgever niet kan bestraffen voor een dergelijke handelwijze?”

Antwoord kamervragen over een uitspraak van het Europese Hof van de Rechten van de Mensen over de opslag van vingerafdrukken, Aanhangsel van de Handelingen 2012/13, nr. 2245.
Zie EHRM in de zaak M. K. c. FRANCE (Requête no 19522/09,  IT 1119). Het arrest heeft geen gevolgen voor de Nederlandse geldende regelgeving en praktijk, reeds omdat op grond van het Besluit identiteitsvaststelling verdachten en veroordeelden, de vingerafdrukken van de verdachte na een vrijspraak of sepot worden vernietigd.

Vraag 2 en 3 - Raakt deze uitspraak de Nederlandse wetgeving en praktijk van het afnemen en opslaan van vingerafdrukken? Zo ja, op welke wijze en met welke gevolgen? Zo nee, waarom niet? Acht u het in het licht van deze uitspraak mogelijk dat ook Nederland in de afweging van publieke belangen, zoals het bestrijden van criminaliteit enerzijds en de particuliere belangen van de bescherming van de persoonlijke levenssfeer anderzijds, bij het opslaan van vingerafdrukken de grens van de «margin of appreciation» van artikel 8 van het Europees Verdrag van de Rechten van de Mens en de Fundamentele Vrijheden (EVRM) overschrijdt? Zo ja, op welke wijze? Zo nee, waarom niet?

Antwoord 2 en 3
In het arrest van het Europees Hof voor de Rechten van de Mens (verder: EHRM) van 18 april 2013, nr. 19522/09 (M.K. tegen Frankrijk) stond de regeling voor het bewaren van vingerafdrukken in Frankrijk centraal. In Frankrijk werden ook de vingerafdrukken van personen die zijn vrijgesproken of ontslagen van alle rechtsvervolging of wiens zaak was geseponeerd bewaard. Ook de vingerafdrukken van de klager werden, na een vrijspraak en een sepot voor twee diefstallen, bewaard. Het EHRM acht de toepassing van de Franse bewaarregeling in dit geval niet proportioneel en daarmee in strijd met artikel 8 EVRM.
Het arrest heeft geen gevolgen voor de Nederlandse geldende regelgeving en praktijk, reeds omdat op grond van het Besluit identiteitsvaststelling verdachten en veroordeelden de vingerafdrukken van de verdachte na een vrijspraak of sepot worden vernietigd.

Vraag 4
In hoeverre is deze uitspraak van belang bij uw toezegging gedaan bij het debat in de Eerste Kamer d.d. 9 april 2013 over het wetsvoorstel Herziening ten nadele (32 044)2 om die wet zodanig aan te passen dat «in gevallen waarin naar het oordeel van het OM vaststaat dat de vrijgesproken persoon het misdrijf onmogelijk kan hebben begaan, zijn gegevens niet zullen worden bewaard»? Kan deze uitspraak ook betekenen dat vingerafdrukken van geen enkele vrijgesproken persoon nog bewaard mogen worden? Zo ja, wat betekent dat voor de werking van de Wet herziening ten nadele? Zo nee, waarom niet?

Antwoord 4
Uit het arrest kan niet worden afgeleid dat de vingerafdrukken van vrijgesproken personen nimmer mogen worden bewaard. Het EHRM noemt in het arrest enkele factoren op basis waarvan hij («en conclusion») tot het oordeel komt dat de toepassing van de Franse bewaarregeling in de zaak van de klager niet proportioneel is. Een van die factoren is dat die regeling in het geheel geen onderscheid maakt tussen gegevens van veroordeelden en personen die, zoals de klager, zijn vrijgesproken (paragraaf 42). Een andere factor is dat de regeling niet uitsluit dat vingerafdrukken ook worden bewaard bij vrijspraken voor lichte strafbare feiten (paragraaf 41). In de voorgenomen bewaarregeling, die ter uitvoering van de Wet herziening ten nadele zal worden getroffen, zullen echter verschillende beperkingen worden opgenomen die bij veroordeelden niet zijn voorzien. De belangrijkste beperking is dat vingerafdrukken van vrijgesproken personen alleen – en in opdracht van de rechter-commissaris – voor een eventuele herziening ten nadele kunnen worden gebruikt. Zij zullen daartoe in de databank voor vingerafdrukken afgeschermd worden bewaard. Zij kunnen, anders dan bij vingerafdrukken van veroordeelden het geval is, dus niet worden gebruikt in andere strafzaken. Bovendien zullen vingerafdrukken alleen worden bewaard bij vrijspraken of een ontslag van alle rechtsvervolging voor misdrijven waarbij herziening ten nadele op grond van een novum mogelijk is. Er worden dus geen vingerafdrukken bewaard in geval van lichte strafbare feiten. Om deze redenen meen ik dat artikel 8 EVRM, zoals uitgelegd in het arrest, niet aan de voorgenomen bewaarregeling in de weg staat.
Uit mijn toezegging aan de Eerste Kamer, waaraan in de vraagstelling wordt gerefereerd, vloeit voort dat in de bewaarregeling een extra beperking zal worden opgenomen. Deze houdt in dat vingerafdrukken van vrijgesproken personen niet zullen worden bewaard wanneer naar het oordeel van het openbaar ministerie vaststaat dat de vrijgesproken persoon het misdrijf onmogelijk kan hebben begaan. Deze extra waarborg kan slechts bijdragen aan het oordeel dat de voorgenomen bewaarregeling proportioneel is in het licht van artikel 8 EVRM, doordat zij bewaring van vingerafdrukken uitsluit wanneer het doel van de regeling daarmee niet kan worden bereikt.

Een redactionele bijdrage van Sil Kingma, SOLV Samen.

Onlangs heeft Stichting Brein de rechter gevraagd om ING te gebieden om de NAW-gegevens van gevolmachtigden op een bepaalde bij ING aangehouden rekeningnummer te verstrekken [red. IEF 12670]. Brein is bekend geraakt met het rekeningnummer omdat hiernaar op een website van FTD World, de vermeende inbreukmakende partij, wordt verwezen. Voor een volledige uiteenzetting van het feitencomplex verwijs ik graag naar een eerdere bijdrage van mijn collega Caroline de Vries.

Volgens de rechter kan de vordering van Brein worden toegewezen indien voldoende aannemelijk is dat ING onrechtmatig handelt ten opzichte van Brein. Bij beantwoording van deze vraag komt het volgens de rechter neer op een afweging van de wederzijdse belangen. ING dient zich de privacybelangen van haar klanten aan te trekken. Het belang van Brein is erin gelegen dat zij dient op te treden tegen auteursrechtinbreuken ten behoeve van bij haar aangesloten rechthebbenden, aldus de rechter.

Geen wettelijke verstrekkingsplicht
In mijn bijdrage “De botsing tussen IE- en privacyrechten. Het einde van het Lycos/Pessers-tijdperk” in het tijdschrift Privacy & Informatie, heb ik al eens betoogd dat een rechter in een geval als het onderhavige - waarbij NAW-gegevens bij een derde worden gevorderd door een auteursrechthebbende – helemaal niet behoort toe te komen aan een belangenafweging. Op grond van Europese privacyregelgeving is voor honorering van een verzoek als in het onderhavige geval een specifieke wettelijke regeling vereist, die momenteel in de Nederlandse wetgeving ontbreekt. Alleen al om die reden had de rechter de vordering van Brein moeten afwijzen.

Doelbindingsbeginsel uit de Wbp
Daar komt bij dat de rechter, evenals de betrokken partijen, bij het afwegen van de wederzijdse belangen de relevante privacywetgeving – met name de Wet bescherming persoonsgegevens (hierna: "Wpb") - onjuist lijkt te hebben toegepast. Ter toelichting op dit standpunt het volgende.

De Wbp waarborgt het recht op eerbiediging van het recht op bescherming van de persoonlijke levenssfeer, met name met betrekking tot de geautomatiseerde verwerking van persoonsgegevens. Artikel 7 van de Wbp regelt dat persoonsgegevens van individuen alleen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden mogen worden verzameld. Deze doeleinden moeten bepalen welke persoonsgegevens worden verzameld, hoe ze mogen worden gebruikt en aan wie ze mogen worden verstrekt. Voor een rechtmatige verwerking van persoonsgegevens dienen ze bovendien vooraf aan de betrokken personen te zijn gecommuniceerd.

Het doelbindingsbeginsel (artikel 9 Wbp) schrijft voor dat een Verantwoordelijke, in dit geval ING, persoonsgegevens niet verder mag verwerken op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen. Persoonsgegevens worden doorgaans door particulieren aan bank verstrekt met het doel een rekening te openen en/of andere financiële diensten af te nemen en niet met het doel om een bank in staat te stellen deze persoonsgegevens aan (derden) auteursrechthebbenden te verstrekken.

Een ander doel waarvoor ING blijkens het door haar gehanteerde privacystatement persoonsgegevens verzamelt, is om aan wettelijke verplichtingen te voldoen. Onder een wettelijke verplichting valt ieder wettelijk voorschrift. Zowel een wet in formele als een wet in materiële zin valt hieronder. Maar ook rechtstreeks werkende verdragsbepalingen.

Een bepaling op basis waarvan een bank gehouden kan worden om aan een auteursrechthebbende NAW-gegevens van mogelijk inbreukmakend handelende klanten te verstrekken, ontbreekt hier ter lande. Brein zou derhalve niet succesvol kunnen betogen dat het ING op basis van dit doel vrijstaat om de persoonsgegevens van de inbreukmakers aan haar te verstrekken. Ook de overige in het door ING gehanteerde privacystatement opgenomen doeleinden bieden geen rechtvaardigingsgrond voor inwilliging van de door Brein ingestelde vordering.

Het behoeft dan ook geen nader betoog dat honorering van het verzoek van Brein door ING, onvermijdelijk tot gevolg zal hebben dat ING persoonsgegevens zal verwerken op een wijze die onverenigbaar is met de doeleinden waarvoor ING ze heeft verzameld. In dat geval zou ING onvermijdelijk in strijd handelen met het doelbindingsbeginsel.

Nuance tussen artikel 8 en 43 Wbp
Het voorgaande neemt niet weg dat de rechter - met partijen - er vanuit gaat dat het doelbindingsbeginsel met een beroep op artikel 8 (f) van de Wbp aan de kant kan worden geschoven. Dit ten onrechte.

Artikel 8 Wbp versterkt uitsluitend en limitatief de rechtvaardigingsgronden op basis waarvan een Verantwoordelijke persoonsgegevens voor door hem vooraf welbepaalde doeleinden mag verzamelen en verder mag verwerken. Als gezegd is het verstrekken van persoonsgegevens aan een derde auteursrechthebbende niet een dergelijk vooraf vastgesteld en aan de rekeninghouder gecommuniceerd doel. Een inbreuk op het doelbindingsbeginsel van artikel 9 van de Wbp is daarom niet te rechtvaardigen met een beroep op artikel 8 (f) van de Wbp.

Volgens mij is een schending van artikel 9 Wbp door een Verantwoordelijke enkel toegestaan op basis van een beperkt aantal in artikel 43 van de Wbp opgenomen zwaarwegende belangen. De bescherming van degene waarvan persoonsgegevens worden verwerkt en van de rechten en vrijheden van anderen, is daar een van. Een ander belang is bijvoorbeeld de staatsveiligheid.

Brein had zich derhalve met een beroep op artikel 43 Wbp op het standpunt kunnen stellen dat het ING is toegestaan om het doelbindingsbeginsel te doorbreken. Als zwaarwegend belang had Brein de bescherming van de rechten van anderen, te weten de auteursrechten van de rechthebbenden die zij vertegenwoordigt, kunnen opvoeren.

Conclusie
Concluderend staat wat mij betreft vast dat niet artikel 8 (f) Wbp, maar enkel artikel 43 Wbp een grondslag voor een geoorloofde schending van het in artikel 9 Wbp neergelegde doelbindingsbeginsel kan bieden. Of het bewandelen van de route via artikel 43 Wbp in het onderhavige geval tot een andere uitspraak zou moeten leiden, is maar de vraag.. Zoals eerder aangegeven, lijkt de afwezigheid van een specifieke wettelijke bepaling die een auteursrechthebbende het recht verleent om NAW-gegevens bij derden op te vragen, hieraan in de weg te staan.

Sil Kingma
SOLV Samen

CBP, CBP adviseert over brief- en telecommunicatiegeheim in Grondwet, adviesdatum 11 februari 2013, CBPWeb.nl.
Uit't persbericht: Het College bescherming persoonsgegevens (CBP) heeft geadviseerd over het conceptwetsvoorstel tot aanpassing van artikel 13 van de Grondwet (brief-, telefoon- en telegraafgeheim) aan de condities van de huidige tijd. Dit artikel zal voortaan ook gelden voor digitale communicatiemiddelen. Het aldus voorgestelde brief- en telecommunicatiegeheim richt zich primair tegen (heimelijke) inzage in de inhoud van communicatie door de overheid. Het CBP heeft bezwaar tegen het wetsvoorstel en adviseert het niet in de huidige vorm in te dienen.

In hoofdpunten:
Verkeersgegevens
In de toelichting bij het wetsvoorstel wordt aangegeven dat verkeersgegevens (informatie over de communicatie, zoals wanneer en hoe lang iemand heeft gebeld of geïnternet) niet primair tot het belang behoren dat artikel 13 van de Grondwet beoogt te beschermen, omdat zij niet de inhoud van de communicatie weergeven.
 
In het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (EVRM) en het Unierecht wordt niet op deze manier onderscheid gemaakt tussen verkeersgegevens en de communicatie-inhoud. Verkeersgegevens kunnen ook veel over iemand zeggen. Bij nieuwe communicatiemiddelen is het moeilijk een (technische) scheiding aan te brengen tussen verkeersgegevens en inhoud van de communicatie. Daarom adviseert het CBP nadere aandacht te besteden aan de reikwijdte van artikel 13.
 
Informed consent
Het CBP adviseert de passages over zogeheten informed consent in de toelichting bij het wetsvoorstel zodanig aan te passen dat alle drie de voorwaarden voor een geldige toestemming voor de gegevensverwerking op grond van de Wet bescherming persoonsgegevens (vrij, specifiek en geïnformeerd) worden genoemd.
 
Beperkingensystematiek Grondwet
De memorie van toelichting laat ruimte voor de mogelijkheid dat de burger minder bescherming kan ontlenen aan het voorgestelde artikel 13 van de Grondwet dan aan artikel 8 van het EVRM. Dat heeft te maken met de ruimere mogelijkheden in artikel 13 tot beperking van het grondrecht. Deze keuze is onvoldoende gemotiveerd, aldus het CBP.
 
Bescherming persoonsgegevens in randapparatuur
Gegevens opgeslagen in randapparatuur, zoals een computer of smartphone, worden niet beschermd in het voorgestelde artikel 13 van de Grondwet. Het CBP adviseert ook deze gegevens onder de bescherming van artikel 13 te laten vallen.

B. van der Sloot, De nieuwe consumentenrechten in de Algemene verordening gegevensbescherming: vergeten worden, dataportabiliteit en profilering, Tijdschrift voor Consumentenrecht en handelspraktijken 2012-6, p. 250-259.
De Europese Dataprotectierichtlijn stelt regels ten aanzien van de verwerking van persoonsgegevens. Anders dan het recht op privacy ziet het gegevensbeschermingsrecht niet zozeer op restricties, maar op waarborgen door middel van de codificatie van algemene zorgvuldigheidsnormen, en niet op de relatie tussen staat en burger,maar op die tussen burgers en bedrijven onderling. In januari 2012 is er een voorstel gedaan voor een Algemene verordening gegevensbescherming, die de richtlijn uit 1995 op termijn zal moeten vervangen. De verordening speelt onder meer in op het digitale tijdperk en de snelgroeiende internetdiensten. De verordening zet daarbij in op een vergroting van de handhavende rol van de staat en op concrete rechten van de consument, zoals het recht om vergeten teworden, het recht op dataportabiliteit en het recht op bescherming tegen profilering. Dit artikel belicht de belangrijkste wijzigingen onder de verordening,analyseert de nieuw toegekende consumentenrechten en beoordeelt in hoeverre de verordening consumenten in het digitale tijdperk een adequate bescherming zal bieden.

Lees verder

SCL The IT Law Community bericht: The EU data protection authorities are keen to see clear limits established on profiling and have published an advice paper on the topic.

In the latest input to the data protection reform discussions, the Article 29Working Party has published an advice paper on profiling, setting out some further guidance and indicating a preferred definition.

The Working Party believes that connecting personal data to create and use profiles has become an important challenge for individuals' rights and freedoms. Profiling is seen by them as enabling companies and public authorities to determine, analyze or predict peoples' personality or aspects of their personality – especially their behaviour, interests and habits. Furthermore, the Article 29 Working Party are concerned that people understand little about profiling and usually do not know to what extent they are being profiled.

Lees verder

B. van der Sloot, Tussen beeld en werkelijkheid: het verschil tussen de traditionele kartografie en Google Street View, Geo-Info 2013-3, p. 4-6.
Middels een 360 graden horizontaal en 290 graden verticaal panoramisch zicht kunnen gebruikers van de Google Street View rondlopen door de door hen aangeklikte straten en inzoomen op details in het beeld dat is gebaseerd op foto’s. Dit wijkt op een fundamentele wijze af van de tot nu toe gangbare vormen van kartografie, die doorgaans een extract van de werkelijkheid vormen en een presentatie geven op grond van bewust gekozen selecties. Het weergeven van het leven op straat in al zijn detail levert een flink aantal vragen op, waaronder de vraag naar de bescherming van de persoonlijke levenssfeer.

Lees verder

CBP, Advies concept wetsvoorstel Basisregistratie Ondergrond, z2012-00836, CBPWeb.nl
Uit't persbericht: Het ministerie van Infrastructuur en Milieu heeft het College bescherming persoonsgegevens (CBP) om advies gevraagd over het conceptwetsvoorstel betreffende de basisregistratie ondergrond. In deze registratie staan gegevens over de geologische en bodemkundige opbouw van de ondergrond, de ondergrondse infrastructuur en de gebruiksrechten in relatie tot de ondergrond. Een aantal van deze gegevens zijn persoonsgegevens, zoals de gegevens van een natuurlijke vergunninghouder van gebruiksrechten. Het CBP heeft enkele opmerkingen bij het conceptwetsvoorstel en adviseert de minister daaraan op passende wijze aandacht te schenken.

Doel en verstrekking van gegevens
Het CBP adviseert onder meer om de twee doelomschrijvingen van de basisregistratie ondergrond aan te passen. Persoonsgegevens mogen alleen worden verzameld voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden.

Invoering basisregistratie ondergrond
Met het oog op een doelmatige informatievoorziening in de publieke sector werkt de overheid aan een stelsel van basisregistraties. Een basisregistratie fungeert voor bestuursorganen als unieke bron van essentiële gegevens. Het kabinet heeft op 12 december 2008 besloten tot de invoering van de basisregistratie ondergrond. Deze basisregistratie wordt samengesteld uit reeds bestaande registraties.

Verwerking en bescherming persoonsgegevens; Brief regering; Rapportage 1e kwartaal 2013 EU-regelgeving gegevensbescherming, Kamerstukken II 2012/13, 32 761, nr. 48.
Een artikelsgewijze bespreking van en de Nederlandse standpunten op diverse bepalingen rondom het toezichthouderschap, bestuursrechtelijke boete (artikel 79) en de bepalingen over de bijzondere gegevensverwerkingen (artikelen 80 tot en met 85), en geclusterd: het klachtrecht, het aansprakelijkheidsrecht en de sanctionering; uitwerking door de Raadswerkgroep van het thema "risico-georiënteerde benadering". Een vergadering over het thema "flexibiliteit voor gegevensverwerking in de publieke sector".

Een selectie: Artikel 46 voorziet in de verplichting van de lidstaten om een onafhankelijke toezichthouder in te stellen. Nederland stelt daarbij de vraag of dit artikel uitsluit dat meer dan één toezichthouder kan worden ingesteld, zodat de bestaande situatie kan worden gehandhaafd, waarbij het College bescherming persoonsgegevens (Cbp) en de Onafhankelijke Post- en Telecommunicatieautoriteit (OPTA) beiden taken vervullen voor de handhaving van de bescherming van persoonsgegevens. De verordening sluit dat niet uit, zo blijkt uit de behandeling.

In artikel 47 is de onafhankelijke positie van de toezichthouder gegarandeerd. Inzake art. 47, lid 5, spreekt het wat Nederland betreft voor zich dat elke lidstaat gehouden is de toezichthouder op redelijke en evenredige wijze in staat te stellen zijn taken en bevoegdheden onder de verordening en nationaal recht uit te kunnen oefenen. Nederland komt die verplichting na.

Artikel 48 bevat de algemene bepalingen voor de benoeming van leden van de toezichthouders. Nederland acht artikel 48, lid 2, dat kwaliteitseisen bevat voor deze leden te onbepaald.

De artikelen 49 en 50 bevatten bepalingen over, respectievelijk, de inrichting van de nationale instellingswet en het ambtsgeheim voor de toezichthouder. Deze bepalingen gaven geen aanleiding voor een interventie.

In artikel 51 is de belangrijke regeling van de bevoegdheid van toezichthouders in de EU neergelegd. Hoofdregel is dat de toezichthouder op het eigen territoir de bevoegdheden uitoefent, maar dat bij grensoverschrijdende aspecten de toezichthouder bevoegd is van de lidstaat waar de hoofdvestiging van de verantwoordelijke is gevestigd. Deze bepaling is in het concept van de verordening zeer belangrijk. De bepaling geeft echter ook aanleiding tot zeer veel vragen. Nederland stemt in met het one stop shop-principe, maar heeft nog wel de nodige vragen bij de invulling daarvan.

De eerste vraag van Nederland bij art. 51, lid 2, is wat het verwerken van persoonsgegevens in het kader van een vestiging betekent. De vraag is dus of er ook verwerkingen buiten het kader van een vestiging kunnen worden verricht. Het is immers zo dat iedereen uiteindelijk wel ergens gevestigd is, ook al worden data door de verantwoordelijke feitelijk mobiel verwerkt. De tweede vraag van Nederland is of het criterium van de hoofdvestiging dat gedefinieerd is in artikel 4, onder 13, van de verordening in de praktijk niet voor bijzonder veel interpretatieproblemen kan zorgen. Wanneer de plaats waar de beslissingen worden genomen verschilt van de plaats waar een eventuele centrale verwerking plaatsvindt, kan dat lastig te bepalen zijn. De derde vraag van Nederland is of de keuze van de hoofdvestigingsregel niet voor nodeloos veel problemen zal zorgen. Het is ogenschijnlijk aantrekkelijk voor bedrijven, die met één vaste toezichthouder te maken hebben, maar onaantrekkelijk voor betrokkenen die zich tot een buitenlandse toezichthouder moeten richten, als ze feitelijk al kunnen begrijpen dat dit de bedoeling is. Daarin ligt het gevaar dat dit leidt tot een overvraging van de nationale toezichthouder waartoe betrokkenen zich dan zullen moeten richten.

Verder is het een redelijk belang van de toezichthouders om zonder middeling van de EDPB te kunnen zien wat zich aan gegevensbeschermingszaken op het eigen grondgebied afspeelt. Een alternatief is dan om de nationale toezichthouder algemeen bevoegd te maken voor elke verwerking die op het grondgebied van de nationale staat plaatsvindt te regelen, waarna bij bestaande grensoverschrijdende aspecten het consistency mechanisme moet worden geadresseerd met het doel een "lead authority" aan te wijzen die in het vervolg als enig contactpunt voor verantwoordelijke en betrokkenen kan fungeren, zo hebben vele lidstaten, en ook Nederland, voorgesteld. In dit verband verdient ook artikel 73 aandacht, omdat het om dezelfde redenen niet wenselijk is dat elke betrokkene in elke lidstaat naar elke toezichthouder mag gaan om daar elke klacht in te dienen.