presentatie plenair 2 juni - uva · 2010. 11. 8. · zwartboek medisch specialist geen bestand (hr...

Symposium

Privacy Verzekerd

i.s.m. ACIS

2 juni 2010

Verbond van Verzekeraars

2

Privacy Verzekerd!Inleiding Privacy

Verbond van Verzekeraars2 juni 2010

dr Jan Holvast


3

Overzicht presentatie

• Actualiteit• Geschiedenis privacy: discussie in

beweging• Privacy Principes• Vertaling naar wetgeving

persoonsgegevens• Conclusie


4

Actualiteit

• Ruben• Binnenhof: vuilniszakken• Google: Streetview• Facebook


5

Beleving van de burger

• Kennis over WBP en CBP is gering• Bijna iedereen vindt het (zeer)

belangrijk dat men correct met zijn gegevens omgaat

• Bij 70% geniet de overheid meer vertrouwen dan het bedrijfsleven


6

Ervaringen uit de rechtspraak

• Privacybescherming wordt er vaker bijgehaald

• Meer zaken dan iedereen denkt• Andere criteria nog steeds belangrijk:

- proportionaliteit- subsidiariteit

- goed werkgeverschap- ethische normen


7

Geschiedenis van de privacy

• Camera (1891)• Afluisterapparatuur (1920)• Sociale wetenschappen (1960)• Computer (1965)• Chipkaart (1990)• Communicatiemiddelen (1995)• Waarneming op afstand (GPS, RFID,

NFC)


8

Analyse (I)

• Privacy is – het zelfbeschikkingsrecht, – binnen bepaalde grenzen, over – de eigen ruimte,– het eigen lichaam en – de eigen gegevens

• Zelfbeschikking wil ook zeggen dat je er afstand van kunt doen


9

Analyse (II)

• Sterke relatie met ontwikkeling van de techniek

• Vooral belangenafweging• Verschil tussen:

– privacybeleving– privacyaantasting

– privacybescherming


10

Discussie in beweging

• 1970-1990: De ‘heilige’ privacy• 1990-1995: De ‘aangevallen privacy’• 1995-2001: Evenwicht• Sinds 2001: Privacy in discussie• 2010: Privacy is niet dood!


11

Bescherming van persoonsgegevens

• Wetgeving: veel en veelsoortig• Techniek: Privacy Enhancing

Technologies• Zelfregulering: Gedragscodes


12

Privacy-beginselen

• Doelspecificatie:- doelbinding- toetsingscriterium: juistheid, bewaartermijnen

• Verantwoordelijkheden• Kwaliteit van de gegevens

• Beveiliging• Transparantie

• Rechten betrokkenen


13

Juridisch kader

• Grondwet (art. 10)• Soorten wetgeving:

– moederwet: Wet bescherming persoonsgegevens (WBP)

- zelfstandige wetten: GBA, WIV 2002, WJSG, WPG

- aanvullende wetgeving: Telecomwet, Wetboek van Strafrecht, WGBO


14

Verzekeraars

• Privacy beleving consument jegens (banken en) verzekeraars: hoog

• Privacyaantasting: gering, incidenten• Privacybescherming: hoog (WBP,

Gedragscodes)• Centrale vraag: Hoe kunnen we het

vertrouwen vergroten


15

Algemeen antwoord

• Zeg wat je doet!• Doe wat je zegt• Doe geen rare dingen


16

Rare dingen:

• Ruben• Binnenhof: vuilniszakken• Google: Streetview• Facebook

PRIVACY VERZEKERD

2 juni 2010

Systeem Wbp: 10.00-10.30 u

Prof. Mr. Jan Kabel

188-11-2010Privacy Verzekerd 188-11-2010Privacy & 18

Privacy

� Relationele privacy: ‘right to be let alone’, bescherming tegen overlast, reputatiebescherming, huis, werk, recht om selectief te zijn in je contacten met anderen; 8 EVRM, 11 Gw, 12 Gw, WvSv.

� Vanaf eind IXIe eeuw: opkomst buitenfotografie

� Communicatieprivacy : bescherming vertrouwelijkheid communicatiegegevens en inhoud van de privé-communicatie, ook op de werkplek: e-mail, internetgebruik; 8 EVRM, 13 Gw, Tw, WvS.

� Al oud maar nieuw i.v.m. elektronische media

� Informationele privacy : controle-recht sui generis op verwerking van persoonsgegevens, recht om selectief te zijn in gebruik dat anderen van je persoonsgegevens maken; 8 EVRM, Richtlijn 95/46 en 2002/58 EG, 10 Gw, Wbp, Tw, Wet GBA, etc…

� Vanaf zestiger jaren: grootschalige computertechnologie centraliseringbevolkingsinformatie; geautomatiseerde beslissingsprocedures

198-11-2010Privacy Verzekerd 19

Privacy & Verzekering

� Relationeel: ongevraagde benadering van klanten; observatie door particuliere recherche-bureaux; cameraregistratie; buurtonderzoek

� Communicatie: klantbenadering via mail, telefoon, print; opnemen telefoongesprekken

� Informationeel: incidentenregistraties; overdracht gegevens bij fusies en andere vormen van herstructurering; (verrijking van) klantenbestanden, datamining, registratie en analyse van andere consumentengegevens, zoals aankoopgedrag en gebruiksgedrag, surfgedrag, voorkeuren; creditscoring; profilering; crossselling; selecties declaratiebestand; toerekening van profielen aan personen

8-11-2010Privacy & Onderneming 19

208-11-2010Privacy Verzekerd 208-11-2010Privacy & Onderneming 20

Informationele privacy

�Geen noodzakelijk verband met vertrouwelijkheid, intimiteit, reputatiebescherming

�Doel: voorkomen van ongewenste beeldvorming en daarmee samenhangende beslissingen omtrent betrokkene

� Middel: systeem Wbp�Kwaliteitseisen aan verwerking �Transparantie van de verwerking�Rechten betrokkene


Belang naleving Wbp: gevolgen niet-

naleving (2009)

�Aanpassing systemen ingevolge last onder dwangsom (in 2009 bij vier ziekenhuizen die hun informatiebeveiliging niet op orde hadden; bij arbodienst die medische gegevens van werknemers aan werkgevers verstrekte)

�Voorlopig afblazen LIS (Landelijk informatiesysteem schulden) wegens disproportionaliteit

�Geen toegang voor zorgverzekeraars tot het Elektronisch Patiëntendossier

�Publicatie onderzoeksresultaten Cbp: naam overheidsinstelling openbaar, naam bedrijf openbaar behoudens weigeringsgronden Wob (AdvanceConcepts B.V)

8-11-2010 21


Wanneer naleving vereist?

Toepasselijkheid Wbp

� Persoonsgegeven: herleidbaar tot een natuurlijk persoon, ruim begrip, inclusief cookies en ip- adressen; verwijderen NAW gegevens maakt persoon niet altijd onherleidbaar; geen overledenen (stichting joods digital monument)

� Verwerking:ruim begrip, enige beperking gelegen in het begrip bestand

� zwartboek medisch specialist geen bestand (HR 3 juni 2005, LJN AT 1093)

� uitzondering� Verwerking voor uitsluitend persoonlijk of huishoudelijk gebruik, zie

HvJEG 6 november 2003, C-101/01 (Lindqvist)

� Vestiging onderneming in Nederland of geautomatiseerde middelen in Nederland, zie Vzr. Rb Arnhem 21 november 2005, LJN AU 8824 (Lotto/Bookmaker)

8-11-2010 22


Wie moet naleven: verantwoordelijke

� Toelichting gedragscode VPFI: formeel-juridische zeggenschap over de verwerking; bevoegdheid tot vaststellen doel en middelen

� Anders Opinie 1/2010 Art. 29 Werkgroep:

� Gaat om feitelijke situatie, zelfs wanneer die formeel-juridisch niet klopt, zie SWIFT-case waarin formele verwerker voor commerciële doeleinden verantwoordelijke wordt voor verstrekking t.b.v. terrorismebestrijding

� Bij publieke taakvervulling zal expliciete wettelijke aanwijzing tot verantwoordelijkheid leiden

� Doorgaans zal verantwoordelijkheid volgen uit functionele taakvervulling � tussenpersonen bieden zelfs diensten aan en zijn verantwoordelijk

voor verwerking bijbehorende persoonsgegevens

8-11-2010 23

248-11-2010Privacy Verzekerd 248-11-2010 24

Systeem van de Wpb

� Kwaliteitseisen: � Voorwaarden rechtmatigheid verwerking : 6-15

� Verbod verwerking bijzondere gegevens: 16-24

� Transparantie� Openbaarheid van verwerking (melding): 27-32

� Informatie aan betrokkene: 33-34

� Verzets-, inzage- en correctierechten betrokkene: 35-44

� Rechtsbescherming, toezicht en sancties: 45-75

� Gegevensverkeer met derde landen: 76-78

24

K2

Dia 24

K2 KabelJ; 20-5-2010

258-11-2010Privacy Verzekerd 258-11-2010Privacy & Onderneming 25

Kwaliteitseisen verwerking Wbp

� Rechtmatige verkrijging: verzameling voor welbepaalde en gerechtvaardigde doeleinden (7)

� Gerechtvaardigde doelgebonden verwerking uitsluitend op zes gronden (8)� Subsidiariteit: doeleinde niet op andere wijze te bereiken, zie

Zienswijze Cbp z2008-00217 inzake LIS

� Met oorspronkelijk doel verenigbaar gebruik (9)

� Grenzen aan bewaartermijn (10)� HvJEG van 7 mei 2009, C-553/07 (College B&W

Rotterdam/Rijkeboer)

� Eisen aan omvang en inhoud (11)

� Proportionaliteit: niet meer dan nodig, zie Zienswijze Cbp z2008-00217 inzake LIS


Verenigbaar gebruik: art. 9 Wbp

� HvJEG 30 mei 2006, C-317.04 (EP/ETGB/RaadEU/EC) inz. Overeenkomst EG-VS inz. overdrachtPassengers Name Records door luchtvaartmaatschappijen aan Bureau Customs and Border Protection VS niet verenigbaar met doelwaarvoor gegevens zijn verkregen

� Doel 1 verwerking PNR: vliegen� Doel 2: terrorismebestrijding� Doel 1 # 2: nietigheid overeenkomst

8-11-2010Privacy & Onderneming 26


Belang voor verzekeringssector

� Gerechtvaardigde doeleinden

� Acceptatie- en aansprakelijkheidsbeleid

� Gerichte marketing activiteiten

� Risicobeoordeling en fraude bestrijding

� Gronden

� Toestemming (altijd bij medische gegevens)

� Overeenkomst (acceptatie en aansprakelijkheidsbeleid)

� Wet (Wet op het financieel toezicht (Wft), Besluit gebruik sofinummer)

� Belangenafweging (marketing, risicobeoordeling en fraudebestrijding)


Kwaliteitseisen verwerking Wbp

�Beveiligingseisen (12-14)� Meldplicht datalekken voor aanbieders van

telecommunicatiediensten, zie art, 4 herziene Rl 2002/58; pleidooi uitbreiding door Cbp; beveiligingslekken in het EPD

�Verbod verwerking bijzondere gegevens, tenzij … (16-24)� Advance online test waarmee een consument kan ‘controleren’ of

hij gezond leeft of niet. Op basis van de opgegeven levensstijl wordt dan een ‘nieuwe’ leeftijd berekend; ‘jonger’ als je gezond leeft en ‘ouder’ als dat niet zo is, bijzonder gegeven, zie Bevindingen Cbp 15 december 2009

� HvJEG in Lindqvist: vermelding van het feit dat iemand zijn voet heeft bezeerd en met gedeeltelijk ziekteverlof is, is een bijzonder gegeven

8-11-2010 28

29

Systeem bijzondere gegevens

� Bijzondere gegevens: godsdienst of levensovertuiging, ras, politieke gezondheid, gezondheid, seksuele leven, lidmaatschap vakvereniging, strafrechtelijke gegevens en gegevens over verboden onrechtmatig of hinderlijk gedrag

� Verbod niet van toepassing indien gegevens worden verwerkt

� door uitdrukkelijk aangewezen verantwoordelijken� Verwerking gezondheidsgegevens alleen door verzekeraars en

tussenpersonen als bedoeld in art. 1.:1 Wft en dan alleen door geheimhoudingsplichtigen

� voor uitdrukkelijk aangewezen doeleinden � Noodzakelijk voor risicobeoordeling � Of voor uitvoering verzekeringsovereenkomst

� Extra voorwaarden� Betrokkene heeft geen bezwaar gemaakt tegen verwerking voor

risicobeoordeling

�8-11-2010Privacy Verzekerd 29

30

Uitzonderingen

� Uitdrukkelijke toestemming

� Gegevens zijn door betrokkene duidelijk openbaar gemaakt

� Noodzakelijk in procedure

� Zwaarwegend algemeen belang op basis van bijzondere wettelijke regeling of ontheffing door Cbp



Belang voor verzekeringssector

� Gegevens over erfelijke ziekten in verzekeringsaanvraag mogen alleen m.b.t. betrokkene worden verwerkt (Cbp 6 september 2002, z2002-0280)

� Medische gegevens alleen met toestemming van betrokkene te verwerken voor marketing (Cbp 8 juni 2005)

� Verstrekking door zorgverzekeraar van tandartsnota’s aan advocaat niet noodzakelijk (Cbp 3 juli 2003, z2003-0214)


Transparantie

�Openbaarheid van verwerking (melding): 27-32� Melding (27-30) inclusief vrijstelling; bestuurlijke boete op niet

melding van nieuwe verwerkingen zie Rb den Bosch 18 januari 2005, LJN AT 0462 (€ 108.000, gematigd tot € 15.000)

� Voorafgaand onderzoek (31-32)

� Informatie aan betrokkene: 33-34� Gegevens verkregen bij betrokkene: informatie identiteit

verantwoordelijke en doeleinden op moment verkrijging (33), zie Cbp9 november 2007, z2007-01131 (informatieplicht registratie facultatieve gegevens hotelgasten)

� Niet bij betrokkene verkregen: op moment van vastlegging of eerste verstrekking (34), zie Cbp 16 oktober 2001 (DNB


Rechten betrokkene

�Mededeling en inzage op verzoek (35)

�Correctie (36) en doorgeven correctie (38)

�Algemeen verzetsrecht (40): alleen tegen verwerking ex 8e en 8f op grond van bijzondere persoonlijke omstandigheden

�Verzetsrecht direct marketing (41) (telefoon/post): bekendmaken mogelijkheid en (kosteloze) beëindiging verwerking bij verzet (optout). E-mail, sms: opt in voor nieuwe klanten; soft opt in voor bestaande klanten

�Verzetsrecht geautomatiseerde besluitvorming ex profilering (42)

8-11-2010Privacy 33

348-11-2010Privacy Verzekerd 348-11-2010Privacy 34

Profilering (42 Wbp)

Nadelige behandeling

inspraakrechtbij nadelig

besluit en informatielogica besluit

in kader contract

verzetsrechttegen

nadelig besluiten informatie logica

buiten contract

geautomatiseerdeprofilering: 42 Wbp

verbod besluittegen

betrokkene6Rl. jo. 29 toel.

statistische verwerkingbuiten doel

onderzoek Cbpvoorafgaand aan

verwerking31-32 Wbp

verwerking metspecifieke risico's

Andere gesystematiseerdeverwerking

Verwerkingvan persoonsgegevens

34


Problemen bij Profilering

� Aard profielen

� Distributieve profielen: de gegevens gelden voor de groep én voor de personen

� Probleem bij: non-distributieve profielen: de gegevens gelden voor de groep maar niet met zekerheid voor de persoon als individu

� Aard gegevens

� Regering: artikel 42 beschermt tegen besluitvorming op grond van geautomatiseerde waarde-oordelen en niet tegen besluitvorming op grond van geautomatiseerde objectieve criteria

� Cbp Advies 13 juli 2009, z2009-00345: geen aanknopingspunten te vinden voor die stelling.

35


Toezicht

� Publiek toezicht: Cbp

� Toezichthouder in de zin van Hoofdstuk 5 Awb

� Onderzoek op verzoek of ambsthalve (60 Wbp)

� Bestuursdwang medewerken (61, lid 4 Wbp)

� Doorbreken geheimhoudingsplicht (61, lid 5 Wbp)

� Binnentreden woningen (61, lid 2 Wbp)

� Toezicht binnen de onderneming: Functionaris voor de gegevensbescherming (Fgb)

� Interne, onafhankelijke toezichthouder � Bevoegdheden afdeling 5.2. Awb� Geen sanctiemogelijkheden � Cbp blijft bevoegd

8-11-2010 36


Toepassing systeem Wbp: EUROKIT

(Cbp 16 oktober 2001, z2001-1068 )

DNB BelastingdienstDuits Mailbedrijf

Alle Nederlanders boven de zes jaar

1. Geheimhoudingsplicht belastingdienst: 9 lid 42. Adres als persoonsgegeven: 1 sub a. 3. Verstrekken en ontvangen als verwerking : 1 sub b. 4. Rechtmatige verwerking: 8 sub a t/m f, i.c. 8f 5. Meldingsplicht DNB: 29 jo. 42 Vrijstellingsbesluit6. Meldingsplicht Belastingdienst: 277. Informatieplicht DNB: 34 lid 1 sub a., jo 34 lid 48. Positie Duitse bewerker: 4

Gewenningspakket euromunten

37

adresgegevens------

38

Grondslag en verenigbaar gebruik

Symposium Privacy Verzekerd - 2 juni 2010Elisabeth Thole

39

Verdere verwerking van persoonsgegevens

• Verzekeraar verwerkt persoonsgegevens van verzekerden voor andere dan oorspronkelijke doeleinden.

• Persoonsgegevens van verzekerden worden overgedragen aan andere verzekeraar, bijvoorbeeld in geval van overname, faillissement of afloop aanbestedingstraject.

40

Kader

• EU Privacyrichtlijn (1995)

• Wet bescherming persoonsgegevens (2001)• Toezichthouder: College Bescherming

Persoonsgegevens

• Gedragscode Verwerking Persoonsgegevens Financiële Instellingen (2010)

41

Persoonsgegevens

• Elk gegeven over een levende persoon• Direct of indirect identificerend• Anonieme data• Bijzondere persoonsgegevens• Verwerken

42

Privacy – wie is wie? (I)

• Verantwoordelijke is degene die formeel juridisch de bevoegdheid heeft om het doel en de middelen voor de verwerking vast te stellen

• Bewerker heeft geen zeggenschap over de gegevens, maar handelt in opdracht en naar de instructies van de verantwoordelijke

• Betrokkene: de verzekerde of verzekeringsnemer

43

Privacy – wie is wie? (II)

• Gemeenschappelijke verantwoordelijke• Gedifferentieerde verantwoordelijkheid• Gezamenlijke verantwoordelijkheid

44

Verplichtingen verantwoordelijke

• Doeleinden• Grondslag• Verenigbaar gebruik/doelbinding • Informatieplicht • Meldingsplicht• Doorgifte

45

Rechtmatigheid van gegevensverwerking

Artikelen 6 en 11 Wbp/ artikelen 4.1 en 4.5Gedragscode

Verwerking:• In overeenstemming met de wet• Behoorlijk• Zorgvuldig • Eerlijk en rechtmatig• Toereikend, ter zake dienend, niet bovenmatig

46

Doeleinden (I)

• Artikel 7 Wbp/artikelen 4.2 en 5 Gedragscode

• Verzameling voor gerechtvaardigde doeleinden– Uitdrukkelijk en welbepaald– Gerechtvaardigd

47

Doeleinden (II)

• Mogelijke doeleinden:

– Uitvoeren verzekeringsovereenkomst– Statistische/ wetenschappelijke doeleinden

– fraudebestrijding– Direct marketing/onderhouden contact

– Wettelijke verplichtingen

48

Grondslagen

• Artikel 8 Wbp/artikel 4.3 Gedragscode

• Verwerken zonder grondslag is verboden

• Belangrijke grondslagen zijn:

(i) Uitvoering overeenkomst(ii) Toestemming(iii) Gerechtvaardigd belang

49

Uitvoering overeenkomst (I)

• Artikel 8b Wbp/artikel 5.2 Gedragscode• Uitvoering verzekeringsovereenkomst• Overeenkomst moet met de betrokkene zijn

afgesloten• Verantwoordelijke hoeft geen partij te zijn• Overeenkomst hoeft niet gericht te zijn op

gegevensverwerking• Verwerking moet redelijkerwijs te verwachten zijn

door betrokkene• Offertefase

50

Uitspraak CBP – juni 2009 (ASN/Cordaid)

• Rechtmatige verstrekking van gegevens van minderjarige bankrekeninghouders door ASN-bank aan charitatieve instelling? - Kinderen ontvangen acceptgiro van Cordaid- Cordaid krijgt adressen van ASN-bank- Kinderen hebben bij ASN-bank een

jeugdspaarrekening- Onrechtmatige verstrekking van gegevens

wegens strijd met artikelen 6,8 en 33 Wbp

51

Toestemming (II)

• Artikel 8a Wbp• Ondubbelzinnig/ bekend zijn waarvoor de

toestemming wordt gegeven• Vrije wilsuiting• Schriftelijk/mondeling/aankruisen vakje• Kan ook blijken uit gedragingen• Jonger dan 16 jaar (artikel 5 lid 1 Wbp)• Toestemming kan worden ingetrokken (artikel

5 lid 2 Wbp)

52

Gerechtvaardigd belang (III)

• Artikelen 8f, 34 lid 3 en 40 Wbp/artikel 7.2 Gedragscode

• Gerechtvaardigd belang/reguliere bedrijfsactiviteiten

• Van de verantwoordelijke of een derde• Proportionaliteit/subsidiairiteit• Recht van verzet wegens bijzondere

persoonlijkeomstandigheden/informatieplicht?

53

Verenigbaar gebruik

• Artikel 9 Wbp/artikel 4.4 Gedragscode• Wat is verenigbaar gebruik?

- verder verwerken- gericht tot verantwoordelijke- verwantschap met oorspronkelijke doel - wijze waarop de gegevens zijn verkregen- aard van de gegevens- gevolgen voor betrokkene- voorzien in passende waarborgen

54

Vzr. RB Amsterdam februari 2004 (Broadcast)

• Verkoop van klantenbestand door curator uit faillissement van vennootschap aan Broadcast

• Broadcast zal bestand voor vergelijkbare doeleinden gebruiken

• Broadcast informeert de betrokkenen schriftelijk, en biedt recht van verzet

• Betreft geen “gevoelige gegevens’’• Rechter: dit valt binnen ‘’verenigbaar gebruik’’

55

Verdere verwerking van persoonsgegevens

- Toegestaan, mits gerechtvaardigd belang of toestemming

- Informatieplicht- Bij gerechtvaardigd belang recht van verzet

aanbieden

56

Contactgegevens Van Doorne Privacy Team

Elisabeth TholeTel. 020 – 6789 293

Fax 020 – 7954 293

E-mail [email protected]

Postbus 75265

1070 AG Amsterdam

Jachthavenweg 121

1081 KM Amsterdam

57

Compliance & toezicht

Hester de Vries, advocaat Kennedy Van der Laan

58

Compliance & toezicht

Belang van Privacy Compliance

-Vertrouwen van klanten

- Imagoschade onderneming

- Sancties

Inrichting van toezicht

Intern

Extern

59

Compliance

• Wet- en regelgeving ter bescherming van persoonsgegevens

• Wet bescherming persoonsgegevens

• Telecommunicatiewet

• Zelfregulering

• Gedragscode verwerking persoonsgegevens financiële instellingen

60

Belang van Privacy Compliance

61

Privacy Compliance

• Opzetten privacy governance & compliance

• Risico-inventarisatie

• Privacybeleid

• Interne instructies

• Externe communicatie

• Monitoring (zelfevaluatie/audit: opvolging van acties)

• Opleiding

• Klachtenregeling

62

Privacy Governance & Compliance

63

Toezicht - Gedragscode

64

Functionaris Gegevensbescherming

Onafhankelijke positie /ontslagbescherming

Melding FG bij CBP

Toezien op naleving

Aanbevelingen / geen sanctiemogelijkheden

Laat bevoegdheden CBP onverlet…

65

Toezicht – CBP

66

Taken & bevoegdheden CBP

Toezien op naleving Wbp

Wetgevingsadvies

Onderzoeksbevoegdheden

Sancties

67

Verzekeraars & CBP

Melding gegevensverwerking (art. 27 e.v. Wbp)

-Tenzij verwerking is vrijgesteld (art. 29 Wbp, Vrijstellingsbesluit Wbp)

- Alternatief: melden bij FG

Voorafgaand onderzoek ‘gevoelige’ verwerking

- bijv. bij heimelijke waarneming / verwerken strafrechtelijke gegevens t.b.v. derden

- ‘ zwarte lijsten’ en waarschuwingslijsten

-- onderzoek naar ‘ rechtmatigheid gegevensverwerking’

68

Verzekeraars & CBP

Aanvraag vergunning voor export persoonsgegevens naar landen

buiten de EU zonder passend beschermingsniveau

-Outsourcing (offshoring) gegevensverwerking naar bewerker in lage lonen land (op basis

modelcontracten)

-Uitwisseling gegevens binnen concern wereldwijd (Binding Corporate Rules)

69

Verzekeraars & CBP

• “Het CBP heeft ervoor gekozen als toezichthouder de

prioriteit bij handhaving te leggen in de overtuiging zo de meest

effectieve bijdrage te kunnen leveren aan de bevordering van de naleving van

de Wet bescherming persoonsgegevens (Wbp). Bij het vaststellen van

prioriteiten voor 2009 is gebruik gemaakt van een risicoanalyse van

verwerkingen van persoonsgegevens in verschillende sectoren van de

samenleving. (…)” (Bron Jaarverslag 2009 CBP

70

Verzekeraars & CBP

Onderzoeksbevoegdheid CBP (art. 60 Wbp)

-Ambtshalve of naar aanleiding van klacht

- 2009: 108 onderzoeken door CBP

- Schriftelijk onderzoek / Bedrijfsinval

- Draaiboek bedrijfsinval

- Samenstellen team (CBP / compliance officer / advocaat)

- Heldere afspraken maken over doel onderzoek

- Vinger aan de pols houden / volledig dossier bijhouden / einde dag overleg

71

Verzekeraars & CBP

Rapportage naar aanleiding van onderzoek

-Rapport voorlopige bevindingen

-Termijn voor reactie (zienswijze) verantwoordelijke (art. 60, lid 2 Wbp)

-Definitief rapport van bevindingen

-Beraad: maatregelen nemen om tegemoet te komen aan bezwaren?

72

Sancties wegens niet naleving Wbp

Bestuurlijke boete

-EURO 4500,-- / meldingsplicht

Bestuursdwang /last onder dwangsom

- Alle verplichtingen op grond van de Wbp

Strafrechtelijke vervolging

- max. 6 maanden gevangenisstraf of geldboete van EURO 7.600,--

-Meldingsplicht

-Overtreding regels doorgifte persoonsgegevens naar landen op ‘ zwarte lijst’

73

Verzekeraars & OPTA

Onderzoeksbevoegdheid OPTA (art. 15.1 e.v. TW)

Bestuurlijke boete overtreding SPAM-verbod max. EURO 450.000,--

74

Toekomst – handhaving CBP

Uitbreiding boetebevoegdheid

Maximum boete??

Verschuiving van toezicht ex ante naar toezicht ex post

Meer nadruk op Privacy Governance / Accountability

- Aantonen dat compliance is geborgd

-Compliance raamwerk / privacy officer

-Meldplicht ‘datalekken’

Symposium

Privacy Verzekerd

i.s.m. ACIS

2 juni 2010

INZAGERECHT

Richard van Schaik

2 juni 2010

77

Inleiding – verzoek tot inzage (1)

Voorbeeld 1

Werknemer X doet verzoek bij werkgever om inzage personeelsdossier in verband met misgelopen promotie.

Verzocht wordt om kopieën van beoordelingsverslagen, notulen bestuursvergadering en interne gesprekverslagen, notities, etc.

77

78


� Voorbeeld 2

78

79


� Inzagerecht:

� Recht van de betrokkene om te weten welke persoonsgegevens er over hem worden verwerkt.

� Kernvraag: welke gegevens mogen onder welke omstandigheden worden ingezien?

79

80

Overzicht

1. Situatie onder WPR

2. Richtlijn 95/46

3. Artikel 35 Wbp

4. Rechtspraak (Dexia, HBU)

5. Rechtspraak na Dexia/HBU

6. Procedurele aspecten

7. Openstaande kwesties

80

81

Situatie onder WPR (1) - regelgeving

� Artikel 29 WPR

� 1. De houder deelt een ieder op diens verzoek schriftelijk binnen vier weken mede of hem betreffende persoonsgegevens in de registratie zijn opgenomen.

� 2. Indien zodanige gegevens in de registratie zijn opgenomen, stelt de houder de verzoeker desverlangd binnen vier weken na ontvangst van het verzoek schriftelijk een volledig overzicht daarvan met inlichtingen over de herkomst ter beschikking

81

82

Situatie onder WPR (2) - regelgeving

� “Het tweede lid bepaalt dat desgevraagd een volledig overzicht van de opgenomen persoonsgegevens ter beschikking moet worden gesteld. De houder kan niet volstaan met het verstrekken van globale informatie.”

� “Tevens dient de houder desverlangd inlichtingen over de herkomst te geven. Omdat hier wordt gesproken over ‘inlichtingen’ in plaats van over een ‘overzicht’ kan in dit opzicht met globale informatie worden volstaan.”

Kamerstukken II 1986/87, 19 095, nr. 6, p. 57-58

82

83

Situatie onder WPR (3) - Rechtspraak

� HR 16 juni 2000, NJ 2000, 613 (GAK/N.):

� - Volledige correspondentie tussen GAK en derde valt niet onder bereik van de WPR;

� Gegevens nodig om aangifte tegen derde te doen in verband met laster: geen door WPR rechtens beschermd belang;

� Belangenafweging (belang betrokkene tegenover belang derde + eigen belang GAK (uitvoeringstaak))

83

84

Overzicht


2. Richtlijn 95/46

3. Artikel 35 Wbp





84

85

EU Richtlijn 95/46

85

86

Richtlijn 95/46

� Considerans 41:

� Een ieder moet over over het recht kunnen beschikken toegang te verkrijgen tot de gegevens die het onderwerp van een verwerking vormen en hemzelf betreffen, “zodat hij zich van de juistheid en de rechtmatigheid van de verwerking ervan kan vergewissen.”

86

87

Richtlijn 95/46

Artikel 12 RL:

� vrijelijk en zonder beperking, met redelijke tussenpozen en zonder bovenmatige vertraging of kosten:

� - uitsluitsel omtrent het al dan niet bestaan van verwerkingen van hem betreffende gegevens, alsmede ten minste informatie over de doeleinden van deze verwerkingen, de categorieën gegevens waarop deze verwerkingen betrekking hebben en de ontvangers of categorieën ontvangers aan wie de gegevens worden verstrekt;

� - verstrekking, in begrijpelijke vorm, van de gegevens die zijn verwerkt, alsmede de beschikbare informatie over de oorsprong van de gegevens;

87

88

Richtlijn 95/46

� - mededeling van de logica die ten grondslag ligt aan de automatische verwerking van hem betreffende gegevens, in elk geval als het gaat om de geautomatiseerde besluiten als bedoeld in artikel 15, lid 1;

� Uitzondering (artikel 13 RL):� veiligheid van de staat;

� landsverdediging;

� openbare veiligheid;

� voorkomen, onderzoeken, opsporen en vervolgen strafbare feiten;

� economisch belang Lid-Staat

� taak op het gebied van controle, inspectie of regelgeving ivm uitoefening openbaar gezag;

� bescherming van de betrokkene of van de rechten en vrijheden van anderen.

88

89

Overzicht


2. Richtlijn 95/46

3. Artikel 35 Wbp





89

90

Art 35 Wbp – rechten betrokkene

� Rechten betrokkene ex art 35 Wbp:

� a) een volledig overzicht in begrijpelijke vorm van de betrokkene betreffende persoonsgegevens;

� b) een omschrijving van het doel of de doeleinden van verwerking;

� c) de categorieën van gegevens waarop de verwerking betrekking heeft en de ontvangers of categorieën van ontvangers; alsmede

� d) de beschikbare informatie over de herkomst van de gegevens.

90

91

Artikel 35 – Parlementaire

Geschiedenis

� Achterliggende gedachte artikel 35:

‘Empowerment van de betrokkene’

Echter, hieraan zijn grenzen verbonden.

Bijvoorbeeld: artikel 3:13 BW (doel: schade toebrengen).

91

92

Art 35 Wbp – aanvullende eisen

� Aanvullende eisen/voorwaarden:

� - vrijelijk en met redelijke tussenpozen (lid 1);

� - mededeling door verantwoordelijke binnen vier weken (lid 1 en 2);

� - verantwoordelijke deelt, alvorens mededeling te doen waartegen een derde bedenkingen kan hebben, derde in de gelegenheid zijn zienswijze naar voren te brengen indien de mededeling gegevens bevat die hem betreffen, tenzij dit onmogelijk blijkt of onevenredige inspanning kost (lid 3).

� - vaststelling identiteit verzoeker (art 37);

� - wettelijk vertegenwoordiger igv curatele of <16 jaar (art 37).

� - vergoeding: max. € 4,50 (tenzij bijzondere gevallen).

92

93

Artikel 43 Wbp – uitzonderingen op

artikel 35 Wbp

� Art. 43: art. 35 Wbp niet van toepassing indien noodzakelijk is in het belang van:

� a. veiligheid van de staat;

� b. voorkoming, opsporing en vervolging van strafbare feiten;

� c. gewichtige economische en financiële belangen van de staat en andere openbare lichamen;

� d. het toezicht op de naleving van wettelijke voorschriften die zijn gesteld ten behoeve van de belangen, bedoeld onder b en c; of

� e. de bescherming van de betrokkene of van de rechten en vrijheden van anderen

93

94

Overzicht


2. Richtlijn 95/46

3. Artikel 35 Wbp





94

95

Uitleg artikel 35

95

96

Dexia uitspraken - achtergrond

� Product: Winstverdriedubbelaar: aankoop aandelen met geleend geld. Grote verliezen � schuld bij bank. ‘Banken hadden meer informatie moeten verschaffen’

� Actie: verzoek om volledig overzicht van betrokkene betreffende persoonsgegevens (inclusief kopieën).

� Achterliggende reden verzoek: dossiervorming

96

97


� TROS Radar modelbrief. Volledig overzicht gevraagd van:

� - kopie van de overeenkomst;

� - risicoprofiel;

� - aankoopbewijzen van de in de effectenlease-overeenkomstgenoemde aandelen;

� - afschriften van dividenduitkeringen;

� - inventarisatie van kredietwaardigheid;

� - schriftelijke uitwerking gevoerde telefoongesprekken;

� - alle overige documenten die op betrokkene van toepassing zijn;

� - doel van verwerking, ontvangers en herkomst van gegevens.

97

98


� Resultaat:

� - meer dan 3000 verzoeken bij Dexia;

� - Dexia weigert medewerking: ‘overzicht’ betekent slechts ‘een beknopt verhaal, korte opgave synoniem aan samenvatting’;

� - Bemiddeling CBP en gestaakt;

� - gebrek aan uniformiteit rechtspraken (Arnhem, Zwolle, Den Bosch, Almelo, Amsterdam)

98

99


� Kortom: tijd voor Hoge Raad

HR 29 juni 2007, NJ 2007, 638 en 639

99

100

Dexia uitspraken - rechtsvragen

� Relevante rechtsvragen:

� - Reikwijdte begrip ‘volledig overzicht’ (art. 35 Wbp);

� - Verhouding art. 35 Wbp � art. 3:13 BW

� - Verhouding art. 35 Wbp � art. 43 sub e Wbp

100

101

Dexia uitspraken – Reikwijdte begrip

‘volledig overzicht’ (1)

� Uitgangspunt HR:

� “De verantwoordelijke behoort specifieke informatie te verstrekken aan de betrokkene waardoor deze in staat wordt gesteld behoorlijk kennis te nemen van zijn gegevens en van de wijze waarop deze verwerkt zijn. De betrokkene kan bij het vragen van deze informatie volstaan met een verwijzing naar art 35 Wbp en behoeft geen nadere reden op te geven”

101

102


‘volledig overzicht’ (2)

� Met betrekking tot ‘volledig overzicht’:

� De verantwoordelijke kan bij verstrekken van volledig overzicht niet volstaan ‘met de verstrekking van globale informatie, doch (moet) alle relevante informatie over de betrokkene verschaffen, hetgeen, afhankelijk van de omstandigheden, vaak zal kunnen – en zo nodig op aanwijzing van de rechter zal moeten – gebeuren door het verstrekken van afschriften, kopieën of uittreksels.’

� “‘Volledig overzicht’ is derhalve een verruiming van de verplichting tot het verschaffen van informatie en niet een beperking”.

� Bevestiging in Gedragscode Financiële Instellingen (recht vervalt slechts in uitzonderingsgevallen).

102

103


‘volledig overzicht’

� Vallen notities ook onder begrip

‘volledig overzicht’?

Hoge Raad:

� Ja: notities die bij derden of betrokkenen zelf zijn opgehaald (maken naar aard deel uit van bestand of zijn bestemd om daarin te worden opgenomen).

� Nee: interne notities met persoonlijke gedachten van medewerkers bedoeld voor intern overleg en beraad (niet vanzelfsprekend bedoeld te zijn om tezamen met andere persoonsgegevens in een bestand te worden opgenomen).

103

104

Dexia uitspraken – Misbruik van

recht?

� HR verwijst naar uitspraak Hof:

� Doel van art. 35 Wbp: nagaan of gegevens verwerkt worden, welke dit zijn, of verwerking juist is, ter zake dienend, etc.

� Enkele omstandigheid dat met verkregen gegevens vervolgens een ander doel zou kunnen dienen, nl. een civiele procedure, is ‘ontoereikend om misbruik van recht aan te nemen.’

� Dit zou slechts anders zijn indien dat doel onrechtmatig is.

Ook conflictsituatie als zodanig levert geen misbruik van recht op.

104

105

Dexia uitspraken – verhouding met

art. 43, onder e Wbp

� HR:

� Weigering alleen mogelijk indien de met het verstrekken van kopieën of transcripties gemoeide administratieve lasten zodanig disproportioneel zijn, dat verantwoordelijke in een van zijn rechten en vrijheden wordt aangetast of dreigt te worden aangetast.

� Gaat daarbij om beoordeling van individuele betrokkene. Belang verantwoordelijke om administratieve lasten te beperken als zodanig is niet voldoende.

105

106

Tussenconclusie

Tussenconclusie na Dexia en HBU

1. Recht op inzage omvat volledig overzicht,

niet alleen globale informatie, maar onder

omstandigheden ook afschriften, kopieën

of uittreksels;

2. Geen motivering vereist bij verzoek;

3. Misbruik recht zal niet snel worden aangenomen (alleen indien achterliggende reden onrechtmatig is);

4. Beroep op artikel 43, onder e Wbp niet snel aangenomen.

106

107

Overzicht


2. Richtlijn 95/46

3. Artikel 35 Wbp





107

108

Rechtspraak na Dexia en HBU (1)

� Hof Amsterdam 15 april 2008, LJN BH2840

(o.v.n. Dexia): gelet op belang is verstrekken van alle afschriften (inclusief telefoonnotities) uit het op de relatie betrekking hebbende ongevallendossier passende uitoefening van inzagerecht � gegevensdrager ter hand stellen.

� Rechtbank Zutphen 20 augustus 2008, LJN BE 8959

�Arbeidszaak. Afgifte gevraagd van werkgever van verklaringen van collega’s in kader van onderzoek naar werknemer. Belangenafweging 6 EVRM – 8 EVRM

108

109

Rechtspraak na Dexia en HBU

� EHRM 28 april 2009, EHRC 2009/77

� Inzagerecht moet praktisch en effectief zijn en omvat tevens recht op kopieën van medisch dossier. (schending artt. 6 en 8 EVRM).

� HvJ EG 7 mei 2009, JB 2009/159 (Rijkeboer/College B&W Rotterdam)

Inzagerecht recht alleen effectief indien ook ziet op verleden. Aan de hand van omstandigheden bewaartermijn vaststellen (soort gegevens, last voor verantwoordelijke)

109

110


� Rechtbank Zutphen 8 oktober 2009, LJN BK4206

� Verzoek: Lijst van informatiedragers (brieven, rapporten, notities, deskundigenberichten, etc.) alsmede door verzoeker aan te wijzen kopieën.

� Rechtbank:

� Alle stukken en gegevens uit medisch dossier zijn een ‘bestand’;

� Gedragscode: recht op inzage medisch dossier (muv werkaantekeningen medisch adviseur);

� Correspondentie met eigen advocaat: gelijkstellen met werkaantekeningen (muv aanbiedingsbrieven);

� Interne notities Functionele Eenheid: idem

� Medische adviezen door adviseurs CB: wel medisch dossier

� Misbruik recht? Nee: aanspraak ongeacht vraag of er sprake is van inbreuk persoonlijke levenssfeer. Ander doel (procedure) niet voldoende

� Beroep 43, onder e Wbp? Nee (niets over gesteld)110

111


� Vrznr. Rechtbank Zutphen 29 januari 2010, LJN BL1734

� Na procedure: kort geding waarin nakoming werd gevorderd (hogere dwangsom): toegewezen.

� Vervolgens executie kort geding. “Veroordeling ziet niet uitsluitend op medisch dossier” + nadere uitleg over stukken waarover opgave gedaan dient te worden

111

112

Procedurele aspecten

� Procedurele stappen:

� 1. verzoek door betrokkene (of diens wettelijke vertegenwoordiger bij verantwoordelijke, art 37 lid 2);

� 2. reactie binnen vier weken (art. 35 lid 1);

� 3. verzoekschriftprocedure bij rechtbank, binnen 6 weken na reactie van verantwoordelijke (of uitblijven ervan) (art. 46 lid 1);

� 4. geen procureurstelling/advocaat vereist (art 46 lid 4)

� � ook niet in hoger beroep (HR 22 november 2002, NJ 2003, 229).

� Alternatieven:

� Verzoek tot CBP te bemiddelen/adviseren (art. 47 lid 2): is extra mogelijkheid

� indien deze eindigt kan betrokkene alsnog naar rechter;

� Verzoek bij CBP instellen onderzoek (art. 60)

112

113

Overzicht


2. Richtlijn 95/46

3. Artikel 35 Wbp





113

114

Openstaande kwesties

Openstaande vragen na arresten HR:

- Wat zijn omstandigheden indien ‘alle relevante informatie’moet worden verstrekt? (aard van bewerking, aard van het onderwerp?);

- Wanneer worden persoonlijke notities geacht onderdeel uit te maken van een bestand?

- Vallen bedrijfsgeheimen onder inzagerecht?

114

Vragen?

[email protected]

115

presentatie plenair 2 juni - uva · 2010. 11. 8. · zwartboek medisch specialist geen bestand (hr...

Documents