Instanties overtreden massaal wet

Bijna twee jaar na de invoering overtreden nog steeds tientallen overheidsinstanties de Wet bescherming persoonsgegevens. Dat stelt het College Bescherming Persoonsgegevens (CBP), dat toeziet op de privacybescherming van burgers.

Het gaat onder meer om het ministerie van Buitenlandse Zaken, de Dienst Justitiële Inrichtingen – het gevangeniswezen – van het ministerie van Justitie, de Raad van Hoofdcommissarissen van de politie, de provincies Zuid-Holland en Flevoland, de Unie van Waterschappen en 62 gemeenten, waaronder Haarlem, Uitgeest, Kampen, Epe en Veenendaal.

Het ten onrechte negeren van de meldingsplicht voor ieder die persoonlijke gegevens verwerkt is volgens de Wet bescherming persoonsgegevens een strafbaar feit, aldus het CBP, de voormalige Registratiekamer.

Vooral in de zorg wordt de verwerking van persoonsgegevens slecht gemeld, blijkt uit een lijst van het CBP. Zo houdt de helft van alle Nederlandse ziekenhuizen zich niet aan de wet, aldus het CBP, doordat zij ten onrechte geen melding maken van de verwerking van persoonlijke gegevens van patiënten. Niet alleen de ziekenhuizen melden slecht, ook GGD Nederland, Zorgverzekeraars Nederland, de Vereniging Academische Ziekenhuizen en de Vereniging van Nederlandse Ziekenhuizen voldoen volgens het CBP niet aan hun meldingsplicht.

Ook veel direct-marketingbedrijven en internet-winkels maken ten onrechte geen melding van bestanden met persoonsgegevens. Gerechtsdeurwaarders, incasso-ondernemingen en verzekeraars lopen volgens het CBP ook nog achter met hun meldingen.

Volgens de wet, die van kracht is sinds september 2001, moet iedereen die persoonlijke gegevens verzamelt en verwerkt, zoals klantenbestanden of patiëntengegevens, dit melden bij het CBP. Ook moet worden gemeld met welk doel de gegevens worden verzameld. Daarmee wordt voorkomen dat bestanden met persoonlijke gegevens van Nederlandse burgers zich aan het oog van de samenleving onttrekken en oncontroleerbaar wordt wie welke informatie bijhoudt. Bovendien wordt het achteraf gemakkelijker uit te vinden hoe gegevensstromen lopen en waar mogelijk de regels worden overtreden bij uitwisseling van persoonsgegevens. De wet bepaalt dat persoonsgegevens alleen mogen worden gebruikt voor het doel dat vooraf is opgegeven.

De instanties die in gebreke blijven zijn al verscheidene keren gewaarschuwd, zegt het CBP desgevraagd. Het onafhankelijke CBP, dat de Wet bescherming persoonsgegevens moet handhaven, stelt dat deze instanties een boete riskeren van 4.500 euro per niet-gemelde gegevensverwerking.

Het CBP liet vanochtend weten de wetsovertreders opnieuw te hebben aangeschreven. Dat gebeurde in januari ook al. Het CBP zegt nog zo'n vijfduizend meldingen van bedrijven binnen te moeten krijgen.