Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 15 september 2010
In uw brief van 20 mei jl. met kenmerk 2010Z06905/2010D23416 vraagt u om een reactie op het jaarverslag van het College bescherming persoonsgegevens (Cbp) over het jaar 2009. Deze reactie bied ik u hierbij aan, mede namens de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties.
Het Cbp heeft een belangrijke taak. Het College ziet toe op de naleving van de Wet bescherming persoonsgegevens (Wbp) en adviseert de regering over voorgenomen wetgeving die betrekking heeft op de verwerking van persoonsgegevens. Het Cbp heeft ervoor gekozen als toezichthouder de prioriteit bij handhaving te leggen. De behandeling van een aantal onderzoeken in het jaarverslag is daar een weerslag van.
In het jaarverslag reageert het Cbp tevens op de evaluatierapporten over de werking van de Wbp, het rapport van de Adviescommissie Veiligheid en persoonlijke levenssfeer (commissie Brouwer-Korf) en het kabinetsstandpunt van 3 november 2009 (TK 2009–2010, 31 051, nr. 5) over deze rapporten.
Het Cbp vraagt daarbij aandacht voor drie onderwerpen:
1. de positie van de burger;
2. de positie van de verantwoordelijke;
3. de positie van de toezichthouder.
Wat betreft de positie van de burger pleit het Cbp ervoor dat burgers op een eenvoudige en toegankelijke manier kennis kunnen nemen van het doel van de gegevensverwerking, de waarborgen die zijn genomen om onrechtmatig gebruik van hun gegevens tegen te gaan en de wijze waarop zij hun rechten kunnen uitoefenen (transparantie). Daarnaast bepleit het Cbp de introductie van laagdrempelige klachtenregelingen.
Op grond van de huidige wetgeving kunnen burgers de rechten van inzage en van correctie inroepen wanneer zij een beeld willen verkrijgen van de gegevens die in een registratie zijn opgenomen, respectievelijk wanneer zij menen dat hun gegevens onjuist zijn verwerkt. Tevens bevat de Wbp in artikel 33, derde lid, de verplichting voor de verantwoordelijke om, met inachtneming van de aard van de gegevens, de omstandigheden waaronder zij worden verkregen of het gebruik dat ervan wordt gemaakt, zodanige nadere informatie te verschaffen aan de betrokkene dat een behoorlijke en zorgvuldige verwerking ten opzichte van hem is gewaarborgd.
Zoals in het kabinetsstandpunt uiteen is gezet, bevordert de overheid de transparantie naar de burger toe op vele manieren, onder andere met behulp van internet. Zo kunnen burgers op www.burgerservicenummer.nl zien welke organisaties welk soort gegevens uitwisselen met behulp van het burgerservicenummer (BSN). Via www.mijnoverheid.nl wordt inzichtelijk gemaakt hoe bepaalde gegevens van de burger zijn opgenomen in de GBA en enkele andere overheidsregistraties. Wat betreft de introductie van laagdrempelige klachtregelingen wil het kabinet via positieve prikkels stimuleren dat ondernemingen overgaan tot het instellen van een dergelijke voorziening. Het ontheffen of vrijstellen van administratieve lasten als de meldplicht is daartoe een middel.
Ten aanzien van de positie van de verantwoordelijke constateert het Cbp dat er een verschuiving plaatsvindt van ex ante toezicht naar ex post toezicht waarbij wellicht procedurele verplichtingen verdwijnen. Het Cbp is van opvatting dat in het kabinetsstandpunt in dit kader te weinig verplichtingen voor de verantwoordelijke zijn opgenomen om een zorgvuldige verwerking van persoonsgegevens te waarborgen, terwijl compliance niet te vrijblijvend mag zijn.
Het Cbp stelt in dit verband het volgende voor:
1. actievere invulling van de transparantieverplichting;
2. verplichte melding van datalekken;
3. toepassing van privacy by design.
Bij de behandeling van het kabinetsstandpunt in het AO van 3 februari 2010 is toegezegd dat een meldplicht zal worden ingevoerd voor ernstige inbreuken op de beveiliging van gegevens. Daartoe wordt thans wetgeving voorbereid. Over de twee andere voorgestelde maatregelen merk ik op dat ik in het algemeen meer heil zie in het beschikbaar stellen van de nodige instrumenten en voorzieningen dan in het opleggen van meer (wettelijke) verplichtingen. Zo kan de compliance van de verantwoordelijke worden gestimuleerd door het ontwikkelen en vervolgens beschikbaar stellen van een model voor een Privacy Impact Assessment (PIA). Het Cbp heeft daartoe het initiatief genomen. De toepassing ervan zal door mijn ministerie is samenwerking met de ministeries van Binnenlandse Zaken en Koninkrijksrelaties en het ministerie van Economische Zaken worden bevorderd.
Bij de invulling van zijn rol als toezichthouder concentreert het Cbp zich op de handhaving van de wet. Dat heeft onder meer tot gevolg dat het Cbp als toezichthouder overheden en bedrijven wel instrumenten biedt als richtsnoeren en zienswijzen, maar niet meer optreedt als adviseur voor individuen, bedrijven en overheden. Deze opvatting van het Cbp over de invulling van zijn rol als toezichthouder past geheel in het beleid dat het kabinet in zijn standpunt heeft geformuleerd.
De minister van Justitie,
E. M. H. Hirsch Ballin