Het College bescherming persoonsgegevens als toezichthouder In juli 2008 kreeg het Gelders Archief een brief van het College bescherming persoonsgegevens (CBP) over het feit dat er een klacht bij dit college was binnen gekomen. Een bezoeker van het archief had opgemerkt dat men alleen stukken kon opvragen en inzien als men zich geregistreerd had als bezoeker en dat men bij die registratie zijn burgerservicenummer (BSN) diende op te geven. Dit nummer werd vastgelegd in een digitaal bezoekersregister. Na een reeks brieven en telefoon gesprekken kwam het CBP op 7 januari 2008 tot de definitieve bevinding dat het Gelders Archief in strijd met de wet had gehandeld door het BSN te vragen en op te slaan.1 Enige jaren eerder, in 2005, was de gemeente Nijmegen met het CBP in aanraking gekomen. In deze plaats had men een digitaal bouwarchief opgezet. Bij aanvang werden daarmee persoonsgegevens openbaar gemaakt, wat tot klachten had geleid. Het CBP vond dat Burgemeester en Wethouders van de gemeente Nijmegen niet de zorgvuldigheid hadden betracht die de Wet bescherming persoonsgegevens Wbp) vereist. Het bouwarchief is weliswaar openbaar, maar de gemeente is niet verplicht het actief via internet ter beschikking te stellen. Dat vereist een zorgvuldige afweging van betrokken belangen, waarbij ook de verschillende manieren van beschikbaar stellen bezien moeten worden. Daarin was de gemeente tekort geschoten.2 Een laatste inleidend voorbeeld betreft de Vereniging van Nederlandse Gemeenten (VNG), die eind 2010 door het CBP op de vingers werd getikt. Op de site van de VNG hadden aanvragen op grond van de Wet openbaarheid van bestuur gestaan met daarin de naam en woonplaats van de indieners. De betrokken pagina' s waren voor iedereen toegankelijk en dienden om gemeenten te adviseren over de wijze van afhandelen van dit soort verzoeken. Het CBP meende dat de vermelding niet nood zakelij k was voor het doel dat de VNG met de pagina' s nastreefde.3 Het CB P als 'privacy-waakhond' staat - terecht - vaak in de belangstelling. Maar welke bevoegdheden hebben ze en hoe oefent men die uit? Hoe kijken betrokkenen aan tegen het CBP en hoe ziet het CBP zichzelf? Hierover gaat deze bijdrage: de rol van het CB P als toezichthouder op de omgang met persoonsgegevens in Nederland. Het onderwerp is verder inhoudelijk beperkt tot recente ontwikkelingen en wat redelijkerwijze relevant kan zijn voor wie geïnteresseerd is in de archiefsector. Er is gebruik gemaakt van jaarverslagen, juridische literatuur, parlementaire stukken en informatie die het CBP zelf op zijn website 'www.cbpweb.nl' heeft staan. Verder komen Europese plannen om belangrijke privacywetgeving te herzien aan de orde. Die plannen betreffen de positie van de toezichthouders. Als deze regels in werking treden, zullen ze voor Nederland grote gevolgen hebben. Nu het toezicht in deze bijdrage centraal staat, kunnen de inhoudelijke normen van de Wbp en aanpalende regelingen niet veel aandacht krijgen. Toch is het nuttig om een blik op de materiële regels te werpen om een indruk te krijgen, waaraan de archiefinstelling zich dient te houden en om inzichtelijk te maken hoe zij met het CBP in aanraking zou kunnen komen. Ik beperk me tot de Wbp. Omdat deze wet beter is te begrijpen in het licht van het internationale kader volgen nu eerst enkele opmerkingen over de bijzondere status van persoonsgegevens en over de 'privacyrichtlijn'. Grondrechtelijke basis voor bescherming van persoonsgegevens De bescherming van persoonsgegevens door de overheid is een verplichting die volgt uit artikel 8 van het Europees Verdrag voor de Rechten van de Mens: "Een ieder heeft recht op respect voor zijn privé leven, zijn familie- en gezinsleven, zijn woning en zijn correspondentie.Dit verdrag is tot stand gekomen in het kader van de Raad van Europa en is dus geen EU-regeling. Alle EU-lidstaten zijn wel partij bij dit verdrag. Daarnaast hebben EU-lidstaten zich gecommitteerd aan artikel 8 van het EU-Hand- vest, dat met betrekking tot ons onderwerp specifieker is, en dat ook een toezicht houder verplicht stelt: "Bescherming van persoonsgegevens 1. Eenieder heeft recht op bescherming van de hem betreffende persoonsgegevens. 2. Deze gegevens moeten eerlijk worden verwerkt, voor bepaalde doeleinden en met toestemming van de betrokkene of op basis van een andere gerechtvaardigde grond slag waarin de wet voorziet. Eenieder heeft recht op toegang tot de over hem verzamelde gegevens en op rectificatie daarvan. 3. Een onafhankelijke autoriteit ziet toe op de naleving van deze regels. De privacyrichtlijn Er is een Europese richtlijn met betrekking tot de bescherming van persoonsgegevens (hierna: de privacyrichtlijn of kortweg de richtlijn), die ten grondslag ligt aan de Wbp.4 Het woord 'richtlijn' is licht misleidend, want het gaat om een dwingend voorschrift, waarbij de speelruimte van de Nederlandse wetgever is beperkt. De richt lijn eist onder andere dat er een onafhankelijke toezichthoudende autoriteit is en dat deze een aantal met name genoemde bevoegdheden heeft.5 Tegen beslissingen van de autoriteit moet beroep bij de rechter kunnen worden aangetekend. De achtergrond voor het instellen van zo'n autoriteit is dat men het toezicht op de naleving van de wettelijke voorschriften niet uitsluitend afhankelijk wilde stellen van het initiatief van de burger. De gedachte was dat die burger maar weinig greep zou hebben op wat er met zijn gegevens gebeurde, ook omdat veel buiten zijn waarneming zou vallen. Een ander argument was dat zo'n autoriteit de rechtsontwikkeling zou bevorderen.6 Het is belangrijk dat de autoriteit onafhankelijk is van de overheid, omdat men ook TJEERD SCHIPHOF 1 CBP zaaknummer z2008-00371, www.cbpweb.nl. 2 CBP zaaknummer z2005-0212, www.cbpweb.nl. 3 CBP zaaknummer z2010-01214, www.cbpweb.nl. 158 TJEERD SCHIPHOF HET COLLEGE BESCHERMING PERSOONSGEGEVENS ALS TOEZICHTHOUDER 4 Richtlijn 95/46/EG van het Europees parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens. 5 Richtlijn 95/46/EG, artikel 28. 159

Periodiekviewer Koninklijke Vereniging van Archivarissen

Jaarboeken Stichting Archiefpublicaties | 2013 | | pagina 81