en ander te verbeteren. Daarbij betrek ik een voorstel (februari 2012) voor een
Europese verordening ter vervanging van de richtlijn.
In 2008 verscheen een evaluatie van de Wbp, getiteld 'Wat niet weet, wat niet
deert'.30 Daarin werd ook aandacht besteed aan het toezicht. De opstellers merken
op dat maar een zeer klein aantal organisaties (ongeveer 0,3 promille) een FG heeft
aangesteld. Bij het tot stand komen van de wet was de gedachte dat er veel meer op
grond van zelfregulering zou gebeuren dan de praktijk nu te zien geeft. Ook de in de
wet voorziene gedragscodes, door het CBP te goed te keuren, hebben geen grote
vlucht genomen. Afgaande op de informatie op de CBP website zijn er ten tijde van
het schrijven van deze tekst slechts acht branches met een gedragscode die een goed
keurende en geldige verklaring hebben.31 Er zijn overigens wel veel 'gewone'
privacy-codes: ruim de helft van de organisaties en branches heeft er een.32 Een en
ander betekent dat het CBP nog steeds een belangrijke rol heeft te vervullen als toe
zichthouder. Niet iedereen blijkt intussen even gelukkig te zijn met de al genoemde
accentverschuiving in beleid van advisering naar toezicht. Er is een grote behoefte
aan uitleg en interpretatie van de wet en hiervoor kan men moeilijk ergens anders
terecht.33
Bij de evaluatie van de Wbp kwamen gebreken aan het licht en werden er initiatieven
ondernomen om de wet te wijzigen. Inmiddels lijkt het onwaarschijnlijk dat de Wbp
ingrijpend veranderd zal worden voordat duidelijk is hoe de nieuwe Europese regel
geving er uit zal gaan zien. Twee voornemens zijn noemenswaard. In de eerste plaats
beoogde men een meldplicht voor datalekken. Het CBP zou een boete kunnen
opleggen, als er ten onrechte niet wordt gemeld.34 In de tweede plaats wilde men
een versterking van de bestuursrechtelijke handhaving van de Wbp. Het CBP zou in
die visie ook overtreding van de materiële normen van de Wbp kunnen beboeten.
De reden destijds om het CBP niet uit te rusten met sanctiemogelijkheden bij over
treding van de materiële normen van de Wbp was, dat voor de burger sanctionering
onvoldoende voorzienbaar zou zijn, gezien het algemene en abstracte karakter van de
wet. Intussen zouden de materiële normen voldoende uitgekristalliseerd en kenbaar
zijn, zodat nu de tijd zou zijn aangebroken om de handhaving ervan met bestuurlijke
boetes mogelijk te maken.
Naar aanleiding van onder meer de Wbp-evaluatie formuleerde het toenmalige
kabinet standpunten als Nederlandse inbreng bij de discussie over de beoogde herzie
ning van deprivacyrichtlijn.35 "Bij een fundamentele herziening van de richtlijn", zo
stelde men, "behoort ook een herziening voor de aandacht van sanctionering van over
treding van de materiële normen.Wat men met deze ongrammaticale frase bedoelde
is onduidelijk. De richtlijn verhindert niet dat Nederland bestuurlijke boetes invoert.
Verder gaf men aan af te willen van de meldingsplicht en het voorafgaand onder
zoek. Er zou meer nadruk moeten liggen op de privacy-waarborgen die verantwoor
delijken zelf kunnen treffen, zoals 'privacy by design'. De positie van de burger zou
verstevigd moeten worden, bijvoorbeeld met een eenvoudige, laagdrempelige klacht
procedure.
166
Het voorstel van de Europese Commissie voor een nieuwe verordening
In januari 2012 verscheen een tekstvoorstel van de Europese Commissie, dat zou
moeten leiden tot een verordening met betrekking tot de bescherming van persoons
gegevens.36 De (concept) verordening dient ter vervanging van de vigerende richt
lijn. Het verschil tussen een verordening en een richtlijn is dat de eerste voor de
lidstaten dwingender is in details en een grotere Europese harmonisatie tot gevolg
heeft. Inhoudelijk zijn er voor het onderhavige onderwerp interessante elementen.
Veel elementen van het voorstel zijn omstreden, daarom moet het hier bij een signa
lering blijven. In het voorstel staan hogere eisen aan de onafhankelijkheid van de
toezichthouder ten opzichte van de overheid en aan een adequate financiering.
De aanstelling van een FG wordt in een aantal gevallen verplicht, onder meer voor
overheidsinstellingen en voor ondernemingen die 250 of meer werknemers hebben.
Toezichthouders krijgen meer sanctiemogelijkheden met hoge maximumboetes,
oplopend tot één miljoen euro of 2% van de wereldwijde omzet. De meldingsplicht
verdwijnt en in plaats daarvan worden er hogere eisen gesteld aan de procedures en
de transparantie bij de verantwoordelijke voor gegevensverwerkingen.37 Er is nog
een punt dat niet direct van belang is voor het onderwerp van deze bijdrage, maar dat
wel opmerkelijk en potentieel gunstig is voor de archiefsector: een element in het
Commissievoorstel houdt in dat organisaties die historisch, statistisch of weten-
schappelij k onderzoek doen, meer mogelij kheden krij gen om bijzondere persoons
gegevens te publiceren, zoals het bekend maken van onderzoeksresultaten of het
faciliteren van onderzoek. Dat is nu praktisch verboden. Het voorstel staat genoem
de organisaties toe om een eigen afweging te maken. De Europese Commissie mag
op dit punt wel te zijner tijd nadere regels stellen. Tot zover het voorstel voor een ver
ordening, waarvan we nog moeten afwachten of en hoe het de eindstreep zal halen.
Afsluiting
Ten tijde van de totstandkoming van de Wbp waren er nogal wat verwachtingen,
die anno 2013 niet zijn uitgekomen. Van intern, decentraal toezicht door een functi
onaris voor de gegevensbescherming (FG) wordt maar weinig gebruik gemaakt. Ook
zelfregulering, in de vorm van in de wet voorziene, door het CBP goedgekeurde
gedragscodes, heeft geen hoge vlucht genomen. Betrokkenen maken nauwelijks van
de mogelijkheden gebruik om gegevens in te zien of te klagen over verwerkingen.
De Wbp werd destijds, in navolging van de privacyrichtlijn, bewust algemeen en
abstract geformuleerd. Men vertrouwde er op dat er een zekere rechtsontwikkeling
zou plaatsvinden, zodat bijvoorbeeld door jurisprudentie er een verfijning in de
normstelling zichtbaar zou worden. Dat is niet gebeurd. Er is weinig jurisprudentie
en wat er is, is voor de leek maar moeilijk toegankelijk. In deze situatie wordt er veel
verwacht van de toezichthouder, die echter heeft aangegeven de nadruk te willen
leggen op de handhavende taak ten koste van de adviserende en voorlichtende taak.
De professional in het veld die met vragen over de wet of de wetstoepassing worstelt,
167
HET BESTEL
30 Winter e.a. 2008.
31 Wbp, artikel 25; H.R. Kranenborg en L.F.M. Verhey, Wet bescherming persoonsgegevens in Europees perspectief,
Deventer, 2011, p. 158-161 e.v. Goedgekeurde gedragscodes zijn die van energieleveranciers en netbeheerders,
recherchebureaus, de farmaceutische industrie, (handels)informatiebureaus, zorgverzekeraars, financiële
instellingen en de sector onderzoek en statistiek.
32 Winter e.a. 2008, p. 157.
33 Winter e.a. 2008, p. 158-159.
TJEERD SCHIPHOF HET COLLEGE BESCHERMING PERSOONSGEGEVENS ALS TOEZICHTHOUDER
34 Op het moment van het afsluiten van deze bijdrage (7 maart 2013) ligt er een wetsvoorstel over dit
onderwerp ter advisering bij de Raad van State.
35 Kamerstukken I, 2009-2010, 31 051, nr. A.
36 Europese Commissie, Proposal for Regulation of the European Parliament and the Council on the protection
of individuals with regard to the processing of personal data and on the free movement of such data (General Data
Protection Regulation)COM (2012) 11 final.
37 Zie hiervoor RH. Blok, 'Het wordt menens' in Privacy 6cInformatie (2012), 5 (oktober).
