Een drievoudige afweging van belangen

Minister Korthals (VVD) van Justitie, de man achter het wetsvoorstel Wet bescherming persoonsgegevens (WBP) heeft geen gemakkelijk jaar achter de rug. Zijn wet-in-wording heeft de toets der kritiek slechts met moeite doorstaan. De werkgeversorganisatie VNO/NCW en de Consumentenbond vinden het wetsvoorstel onnodig ingewikkeld en onevenwichtig. De vakcentrale FNV meent dat de WBP een vooruitgang is, maar niet ver genoeg gaat. En ook Kamerleden plaatsten de afgelopen weken forse kanttekeningen bij het geesteskindje van de minister. Bij het debat dat de Kamer begin april aan het voorstel zal wijden, kan Korthals rekenen op de nodige wijzigingsvoorstellen.

Eén ding is zeker: de Wet bescherming persoonsgegevens zal de sinds 1989 geldende Wet persoonsregistraties (WPR) nog dit jaar vervangen. In hoeverre verschilt de nieuwe privacywet van de oude? Het belangrijkste verschil is dat het registreren van personen in de oude wet centraal stond, terwijl de nieuwe wet de verwerking van persoonsgegevens als uitgangspunt neemt. Die accentverschuiving ligt voor de hand, omdat de technische mogelijkheden voor gegevensverwerking de afgelopen tien jaar aanzienlijk zijn uitgebreid. Tijdens de totstandkoming van de WPR, medio jaren tachtig, waren wetgevers er nog van overtuigd dat de registratie van persoonsgegevens in grote computersystemen de grootste bedreiging voor de privacy vormde. Sindsdien zijn er steeds meer systemen ontwikkeld die gegevens verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken of vernietigen. Deze processen zijn soms in strijd met (morele) privacynormen.

Met de nieuwe wet hoopt de overheid de technologische ontwikkelingen beheersbaar en doorzichtig te maken. De WPB is een algemene wet die op verschillende persoonsgegevens betrekking heeft. De wet kent geen gedragsvoorschriften, maar schrijft een belangenafweging voor op grond van noodzakelijkheid, proportionaliteit (het middel in verhouding tot het beoogde doel) en subsidiariteit (kan het doel ook met minder ingrijpende maatregelen worden bereikt). De (overheids)organisatie, het bedrijf of de persoon die de persoonsgegevens beheert zal daarom zijn belangen constant moeten afwegen tegen die van de cliënt, patiënt of werknemer – binnen wettelijke grenzen. Zo schrijft de WPR voor dat persoonsgegevens alleen ,,voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden'' mogen worden verzameld en ,,op behoorlijke en zorgvuldige wijze'' dienen te worden verwerkt. De gegevensverwerking moet bijvoorbeeld noodzakelijk zijn om een wettelijke verplichting na te komen (uitvoering sociale verzekeringen, belastingheffing) of ,,ter vrijwaring van vitale belangen''.

Verder moet de cliënt, patiënt of werknemer vooraf op de hoogte worden gebracht van de informatieverwerking tenzij hij daarvan reeds op de hoogte is (in de oude wetgeving diende hij slechts redelijkerwijs op de hoogte te zijn). Nieuw is ook het recht op verzet. Voorheen had de betrokkene het recht op kennisgeving, inzage, correctie of verwijdering van informatie uit bijvoorbeeld een personeelsinformatiesysteem. Met de nieuwe wet krijgt hij het recht de verwerking van zijn persoonsgegevens stop te zetten, bijvoorbeeld wanneer die ongevraagd aan derden worden doorgespeeld (denk aan direct-marketing).

Het College Bescherming Persoonsgegevens (nu nog Registratiekamer) zal toezicht houden op de naleving van deze en andere bepalingen. Speciaal voor dit doel zal zijn handhavingsbevoegdheid worden uitgebreid. Ook nieuw is de door het bedrijf aangestelde privacyfunctionaris, die toeziet op de naleving van de nieuwe wettelijke voorschriften in de betreffende organisatie. Bij wetsovertreding kan een schadevergoeding worden geëist. Of werknemers, cliënten en patiënten ook opkomen voor hun nieuwe privacyrechten zal de tijd moeten leren.