Het College bescherming
persoonsgegevens als
toezichthouder
In juli 2008 kreeg het Gelders Archief een brief van het College bescherming
persoonsgegevens (CBP) over het feit dat er een klacht bij dit college was binnen
gekomen. Een bezoeker van het archief had opgemerkt dat men alleen stukken
kon opvragen en inzien als men zich geregistreerd had als bezoeker en dat men bij
die registratie zijn burgerservicenummer (BSN) diende op te geven. Dit nummer
werd vastgelegd in een digitaal bezoekersregister. Na een reeks brieven en telefoon
gesprekken kwam het CBP op 7 januari 2008 tot de definitieve bevinding dat het
Gelders Archief in strijd met de wet had gehandeld door het BSN te vragen en op te
slaan.1
Enige jaren eerder, in 2005, was de gemeente Nijmegen met het CBP in aanraking
gekomen. In deze plaats had men een digitaal bouwarchief opgezet. Bij aanvang
werden daarmee persoonsgegevens openbaar gemaakt, wat tot klachten had geleid.
Het CBP vond dat Burgemeester en Wethouders van de gemeente Nijmegen niet de
zorgvuldigheid hadden betracht die de Wet bescherming persoonsgegevens Wbp)
vereist. Het bouwarchief is weliswaar openbaar, maar de gemeente is niet verplicht
het actief via internet ter beschikking te stellen. Dat vereist een zorgvuldige afweging
van betrokken belangen, waarbij ook de verschillende manieren van beschikbaar
stellen bezien moeten worden. Daarin was de gemeente tekort geschoten.2
Een laatste inleidend voorbeeld betreft de Vereniging van Nederlandse Gemeenten
(VNG), die eind 2010 door het CBP op de vingers werd getikt. Op de site van de VNG
hadden aanvragen op grond van de Wet openbaarheid van bestuur gestaan met
daarin de naam en woonplaats van de indieners. De betrokken pagina' s waren voor
iedereen toegankelijk en dienden om gemeenten te adviseren over de wijze van
afhandelen van dit soort verzoeken. Het CBP meende dat de vermelding niet nood
zakelij k was voor het doel dat de VNG met de pagina' s nastreefde.3
Het CB P als 'privacy-waakhond' staat - terecht - vaak in de belangstelling. Maar
welke bevoegdheden hebben ze en hoe oefent men die uit? Hoe kijken betrokkenen
aan tegen het CBP en hoe ziet het CBP zichzelf? Hierover gaat deze bijdrage: de rol
van het CB P als toezichthouder op de omgang met persoonsgegevens in Nederland.
Het onderwerp is verder inhoudelijk beperkt tot recente ontwikkelingen en wat
redelijkerwijze relevant kan zijn voor wie geïnteresseerd is in de archiefsector. Er is
gebruik gemaakt van jaarverslagen, juridische literatuur, parlementaire stukken en
informatie die het CBP zelf op zijn website 'www.cbpweb.nl' heeft staan. Verder
komen Europese plannen om belangrijke privacywetgeving te herzien aan de orde.
Die plannen betreffen de positie van de toezichthouders. Als deze regels in werking
treden, zullen ze voor Nederland grote gevolgen hebben.
Nu het toezicht in deze bijdrage centraal staat, kunnen de inhoudelijke normen van
de Wbp en aanpalende regelingen niet veel aandacht krijgen. Toch is het nuttig om
een blik op de materiële regels te werpen om een indruk te krijgen, waaraan de
archiefinstelling zich dient te houden en om inzichtelijk te maken hoe zij met het
CBP in aanraking zou kunnen komen. Ik beperk me tot de Wbp. Omdat deze wet
beter is te begrijpen in het licht van het internationale kader volgen nu eerst enkele
opmerkingen over de bijzondere status van persoonsgegevens en over de
'privacyrichtlijn'.
Grondrechtelijke basis voor bescherming van persoonsgegevens
De bescherming van persoonsgegevens door de overheid is een verplichting die
volgt uit artikel 8 van het Europees Verdrag voor de Rechten van de Mens: "Een ieder
heeft recht op respect voor zijn privé leven, zijn familie- en gezinsleven, zijn woning en
zijn correspondentie.Dit verdrag is tot stand gekomen in het kader van de Raad van
Europa en is dus geen EU-regeling. Alle EU-lidstaten zijn wel partij bij dit verdrag.
Daarnaast hebben EU-lidstaten zich gecommitteerd aan artikel 8 van het EU-Hand-
vest, dat met betrekking tot ons onderwerp specifieker is, en dat ook een toezicht
houder verplicht stelt:
"Bescherming van persoonsgegevens
1. Eenieder heeft recht op bescherming van de hem betreffende persoonsgegevens.
2. Deze gegevens moeten eerlijk worden verwerkt, voor bepaalde doeleinden en met
toestemming van de betrokkene of op basis van een andere gerechtvaardigde grond
slag waarin de wet voorziet. Eenieder heeft recht op toegang tot de over hem
verzamelde gegevens en op rectificatie daarvan.
3. Een onafhankelijke autoriteit ziet toe op de naleving van deze regels.
De privacyrichtlijn
Er is een Europese richtlijn met betrekking tot de bescherming van persoonsgegevens
(hierna: de privacyrichtlijn of kortweg de richtlijn), die ten grondslag ligt aan de
Wbp.4 Het woord 'richtlijn' is licht misleidend, want het gaat om een dwingend
voorschrift, waarbij de speelruimte van de Nederlandse wetgever is beperkt. De richt
lijn eist onder andere dat er een onafhankelijke toezichthoudende autoriteit is en dat
deze een aantal met name genoemde bevoegdheden heeft.5 Tegen beslissingen van de
autoriteit moet beroep bij de rechter kunnen worden aangetekend. De achtergrond
voor het instellen van zo'n autoriteit is dat men het toezicht op de naleving van de
wettelijke voorschriften niet uitsluitend afhankelijk wilde stellen van het initiatief
van de burger. De gedachte was dat die burger maar weinig greep zou hebben op wat
er met zijn gegevens gebeurde, ook omdat veel buiten zijn waarneming zou vallen.
Een ander argument was dat zo'n autoriteit de rechtsontwikkeling zou bevorderen.6
Het is belangrijk dat de autoriteit onafhankelijk is van de overheid, omdat men ook
TJEERD SCHIPHOF
1 CBP zaaknummer z2008-00371, www.cbpweb.nl.
2 CBP zaaknummer z2005-0212, www.cbpweb.nl.
3 CBP zaaknummer z2010-01214, www.cbpweb.nl.
158
TJEERD SCHIPHOF HET COLLEGE BESCHERMING PERSOONSGEGEVENS ALS TOEZICHTHOUDER
4 Richtlijn 95/46/EG van het Europees parlement en de Raad betreffende de bescherming van natuurlijke
personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die
gegevens.
5 Richtlijn 95/46/EG, artikel 28.
159