en ander te verbeteren. Daarbij betrek ik een voorstel (februari 2012) voor een Europese verordening ter vervanging van de richtlijn. In 2008 verscheen een evaluatie van de Wbp, getiteld 'Wat niet weet, wat niet deert'.30 Daarin werd ook aandacht besteed aan het toezicht. De opstellers merken op dat maar een zeer klein aantal organisaties (ongeveer 0,3 promille) een FG heeft aangesteld. Bij het tot stand komen van de wet was de gedachte dat er veel meer op grond van zelfregulering zou gebeuren dan de praktijk nu te zien geeft. Ook de in de wet voorziene gedragscodes, door het CBP te goed te keuren, hebben geen grote vlucht genomen. Afgaande op de informatie op de CBP website zijn er ten tijde van het schrijven van deze tekst slechts acht branches met een gedragscode die een goed keurende en geldige verklaring hebben.31 Er zijn overigens wel veel 'gewone' privacy-codes: ruim de helft van de organisaties en branches heeft er een.32 Een en ander betekent dat het CBP nog steeds een belangrijke rol heeft te vervullen als toe zichthouder. Niet iedereen blijkt intussen even gelukkig te zijn met de al genoemde accentverschuiving in beleid van advisering naar toezicht. Er is een grote behoefte aan uitleg en interpretatie van de wet en hiervoor kan men moeilijk ergens anders terecht.33 Bij de evaluatie van de Wbp kwamen gebreken aan het licht en werden er initiatieven ondernomen om de wet te wijzigen. Inmiddels lijkt het onwaarschijnlijk dat de Wbp ingrijpend veranderd zal worden voordat duidelijk is hoe de nieuwe Europese regel geving er uit zal gaan zien. Twee voornemens zijn noemenswaard. In de eerste plaats beoogde men een meldplicht voor datalekken. Het CBP zou een boete kunnen opleggen, als er ten onrechte niet wordt gemeld.34 In de tweede plaats wilde men een versterking van de bestuursrechtelijke handhaving van de Wbp. Het CBP zou in die visie ook overtreding van de materiële normen van de Wbp kunnen beboeten. De reden destijds om het CBP niet uit te rusten met sanctiemogelijkheden bij over treding van de materiële normen van de Wbp was, dat voor de burger sanctionering onvoldoende voorzienbaar zou zijn, gezien het algemene en abstracte karakter van de wet. Intussen zouden de materiële normen voldoende uitgekristalliseerd en kenbaar zijn, zodat nu de tijd zou zijn aangebroken om de handhaving ervan met bestuurlijke boetes mogelijk te maken. Naar aanleiding van onder meer de Wbp-evaluatie formuleerde het toenmalige kabinet standpunten als Nederlandse inbreng bij de discussie over de beoogde herzie ning van deprivacyrichtlijn.35 "Bij een fundamentele herziening van de richtlijn", zo stelde men, "behoort ook een herziening voor de aandacht van sanctionering van over treding van de materiële normen.Wat men met deze ongrammaticale frase bedoelde is onduidelijk. De richtlijn verhindert niet dat Nederland bestuurlijke boetes invoert. Verder gaf men aan af te willen van de meldingsplicht en het voorafgaand onder zoek. Er zou meer nadruk moeten liggen op de privacy-waarborgen die verantwoor delijken zelf kunnen treffen, zoals 'privacy by design'. De positie van de burger zou verstevigd moeten worden, bijvoorbeeld met een eenvoudige, laagdrempelige klacht procedure. 166 Het voorstel van de Europese Commissie voor een nieuwe verordening In januari 2012 verscheen een tekstvoorstel van de Europese Commissie, dat zou moeten leiden tot een verordening met betrekking tot de bescherming van persoons gegevens.36 De (concept) verordening dient ter vervanging van de vigerende richt lijn. Het verschil tussen een verordening en een richtlijn is dat de eerste voor de lidstaten dwingender is in details en een grotere Europese harmonisatie tot gevolg heeft. Inhoudelijk zijn er voor het onderhavige onderwerp interessante elementen. Veel elementen van het voorstel zijn omstreden, daarom moet het hier bij een signa lering blijven. In het voorstel staan hogere eisen aan de onafhankelijkheid van de toezichthouder ten opzichte van de overheid en aan een adequate financiering. De aanstelling van een FG wordt in een aantal gevallen verplicht, onder meer voor overheidsinstellingen en voor ondernemingen die 250 of meer werknemers hebben. Toezichthouders krijgen meer sanctiemogelijkheden met hoge maximumboetes, oplopend tot één miljoen euro of 2% van de wereldwijde omzet. De meldingsplicht verdwijnt en in plaats daarvan worden er hogere eisen gesteld aan de procedures en de transparantie bij de verantwoordelijke voor gegevensverwerkingen.37 Er is nog een punt dat niet direct van belang is voor het onderwerp van deze bijdrage, maar dat wel opmerkelijk en potentieel gunstig is voor de archiefsector: een element in het Commissievoorstel houdt in dat organisaties die historisch, statistisch of weten- schappelij k onderzoek doen, meer mogelij kheden krij gen om bijzondere persoons gegevens te publiceren, zoals het bekend maken van onderzoeksresultaten of het faciliteren van onderzoek. Dat is nu praktisch verboden. Het voorstel staat genoem de organisaties toe om een eigen afweging te maken. De Europese Commissie mag op dit punt wel te zijner tijd nadere regels stellen. Tot zover het voorstel voor een ver ordening, waarvan we nog moeten afwachten of en hoe het de eindstreep zal halen. Afsluiting Ten tijde van de totstandkoming van de Wbp waren er nogal wat verwachtingen, die anno 2013 niet zijn uitgekomen. Van intern, decentraal toezicht door een functi onaris voor de gegevensbescherming (FG) wordt maar weinig gebruik gemaakt. Ook zelfregulering, in de vorm van in de wet voorziene, door het CBP goedgekeurde gedragscodes, heeft geen hoge vlucht genomen. Betrokkenen maken nauwelijks van de mogelijkheden gebruik om gegevens in te zien of te klagen over verwerkingen. De Wbp werd destijds, in navolging van de privacyrichtlijn, bewust algemeen en abstract geformuleerd. Men vertrouwde er op dat er een zekere rechtsontwikkeling zou plaatsvinden, zodat bijvoorbeeld door jurisprudentie er een verfijning in de normstelling zichtbaar zou worden. Dat is niet gebeurd. Er is weinig jurisprudentie en wat er is, is voor de leek maar moeilijk toegankelijk. In deze situatie wordt er veel verwacht van de toezichthouder, die echter heeft aangegeven de nadruk te willen leggen op de handhavende taak ten koste van de adviserende en voorlichtende taak. De professional in het veld die met vragen over de wet of de wetstoepassing worstelt, 167 HET BESTEL 30 Winter e.a. 2008. 31 Wbp, artikel 25; H.R. Kranenborg en L.F.M. Verhey, Wet bescherming persoonsgegevens in Europees perspectief, Deventer, 2011, p. 158-161 e.v. Goedgekeurde gedragscodes zijn die van energieleveranciers en netbeheerders, recherchebureaus, de farmaceutische industrie, (handels)informatiebureaus, zorgverzekeraars, financiële instellingen en de sector onderzoek en statistiek. 32 Winter e.a. 2008, p. 157. 33 Winter e.a. 2008, p. 158-159. TJEERD SCHIPHOF HET COLLEGE BESCHERMING PERSOONSGEGEVENS ALS TOEZICHTHOUDER 34 Op het moment van het afsluiten van deze bijdrage (7 maart 2013) ligt er een wetsvoorstel over dit onderwerp ter advisering bij de Raad van State. 35 Kamerstukken I, 2009-2010, 31 051, nr. A. 36 Europese Commissie, Proposal for Regulation of the European Parliament and the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)COM (2012) 11 final. 37 Zie hiervoor RH. Blok, 'Het wordt menens' in Privacy 6cInformatie (2012), 5 (oktober).

Periodiekviewer Koninklijke Vereniging van Archivarissen

Jaarboeken Stichting Archiefpublicaties | 2013 | | pagina 85