Aanwijzingen inzake de bescherming van de persoonlijke levenssfeer in verband met geautomatiseerde systemen waarin persoonsgegevens zijn opgenomen bij de Rijksoverheid

De Minister-President

Handelende in overeenstemming met het gevoelen van de Raad van Ministers.

Besluit:

tot het vaststellen van de hier bijgevoegde Aanwijzingen inzake de bescherming van de persoonlijke levenssfeer in verband met geautomatiseerde systemen waarin persoonsgegevens zijn opgenomen, bij de rijksoverheid.

's-Gravenhage 7 maart 1975

De Minister-President, J.M. denUyl

Aanwijzingen inzake de bescherming van de persoonlijke levenssfeer

in verband met geautomatiseerde systemen waarin persoonsgegevens zijn opgenomen bij de Rijksoverheid

Inleiding

De onderhavige aanwijzingen strekken ertoe voor de gehele rijksdienst richtlijnen te stellen waarmee bij de inrichting, het beheer en het gebruik van geautomatiseerde systemen, waarin persoonsgegevens zijn opgenomen, rkening dient te worden gehouden. Deze richtlijnen hebben vooral ten doel te verzekeren dat met betrekking tot de werking van die systemen voldoende waarborgen bestaan voor de bescherming van de persoonlijke levenssfeer.

Zij vinden hun grond in de werkzaamheden van de Staatscommissie-Koopmans. Deze commissie heeft onder meer tot taak advies uit te brengen over wettelijke of andere maatregelen ter bescherming van de persoonlijke levenssfeer in verband met het gebruik van geautomatiseerde registratiesystemen voor persoonsgegevens. De Staatscommissie heeft op 29 januari 1974 een interimrapport uitgebracht met voorlopige denkbeelden en de hoofdlijnen van een daarmee overeenkomende wettelijke regeling (Privacy en persoonsregistratie, Staatsuitgeverij, 's-Gravenhage 1974). Het is duidelijk, gezien de gecompliceerdheid van de betreffende materie, dat met de totstandkoming van definitieve wettelijke voorzieningen op dit gebied nog de nodige tijd kan zijn gemoeid. De Staatscommissie heeft dan ook in haar interimrapport een beroep gedaan op alle betrokkenen om in afwachting daarvan de problemen verbonden aan de bescherming van de persoonlijke levenssfeer zelf onder ogen te zien en alvast voorzieningen te treffen waar dit mogelijk is (interim-rapport, blz. 18). In de gedachtengang van de commissie over de toekomstige wetgeving neemt eigen reglementering door betrokkenen trouwens een belangrijke plaats in.

De Ministerraad deelt de mening dat de tijd die zal verstrijken vooraleer definitieve wettelijke regelen tot stand kunnen komen, voor betrokkenen niet onbenut mag blijven. Anderzijds mag op de inhoud van de toekomstige wetgeving niet te zeer worden vooruitgelopen. Door het vaststellen van de onderhavige aanwijzingen op voorstel van de Minister van Justitie en de Staatssecretaris van Binnenlandse Zaken beoogt de raad dan ook de aanzet te geven tot het treffen van de gewenste voorlopige voorzieningen. Het karakter van de aanwijzingen brengt uiteraard een beperking tot de centrale overheid met zich mee. Bovendien leek het juist, mede gezien de overwegingen van de Staatscommissie (interimrapport, blz. 16), de aanwijzingen vooralsnog te beperken tot geautomatiseerde systemen waarin persoonsgegevens zijn opgenomen.

Voor de opstelling van de aanwijzingen door een ambtelijke werkgroep met vertegenwoordigers van de departementen van Justitie en van Binnenlandse Zaken hebben de beschouwingen van de Staatscommissie ook overigens de nodige aanknopingspunten geboden. Vrijwel steeds kon het spoor worden aangehouden van de gedachtengang die in het interim-rapport van de Staatscommissie is ontwikkeld. Hierbij wordt opgemerkt dat de Staatscommissie-Koopmans in haar interim-rapport nog geen duidelijk standpunt heeft ingenomen over de voorschriften die voor statistische registraties zullen moeten gelden. Wegens de bijzondere kenmerken van dergelijke registraties is het zonder meer in hun geheel van toepassing verklaren van de onderhavige aanwijzingen op deze registraties niet mogelijk. Daarom wordt nog gewerkt aan een bijzondere regeling ter zake.

Een aanvullende reden voor het stellen van aanwijzingen is gelegen in de omstandigheid dat op die wijze een zekere eenvormigheid in de bij geautomatiseerde systemen te treffen voorzieningen kan worden bereikt. Deze eenvormigheid is van belang uit een oogpunt van rechtsgelijkheid in de bescherming van degenen over wie gegevens in die systemen zijn opgenomen, zulks in afwachting van meer omvattende wettelijke maatregelen. Zij komt echter tevens ten goede aan de gewenste doelmatigheid bij de toepassing van automatisering binnen de centrale overheid. Hierbij wordt niet over het hoofd gezien dat iedere geautomatiseerde registratie tot op zekere hoogte zijn eigen eisen stelt. Integendeel, door het aangeven van bepaalde minimumnormen die bij de geautomatiseerde verwerking van persoonsgegevens in acht moeten worden genomen, wordt juist ruimte gelaten voor uitwerking per registratie en aanpassing aan de bijzonderheden van ieder geval. Overigens maken deze aanwijzingen ook bezinning wenselijk op de doelstelling en omvang van bestaande registraties. Behalve de doelmatigheid in de automatisering zijn daarmee de belangen van de geregistreerden gediend.

Het belangrijkste gevolg van de onderhavige aanwijzingen is dat voor iedere geautomatiseerde registratie binnen de centrale overheid waarin persoonsgegevens zijn opgenomen, een regeling dient te worden vastgesteld. Er is van uitgegaan dat geen registratie in werking mag treden voordat in een regeling is voorzien. Voor registraties die op 1 januari 1975 reeds in werking zijn is daarbij een overgangsperiode met als uiterste datum 1 januari 1976 aangehouden Tevens zal ingevolge de aanwijzingen aan een aantal technische en organisatorische eisen moeten worden voldaan.

Een en ander brengt met zich mee dat in de komende periode de nodige regelingen dienen te worden vastgesteld. Bij de voorbereiding daarvan zullen in de regel in de eerste plaats de daarvoor in aanmerking komende juridische ambtenaren van het betrokken departement of de betrokken dienst worden ingeschakeld. Indien daartoe aanleiding bestaat kan overleg worden gepleegd met de Stafafdeling Wetgeving Publiekrecht van het Ministerie van Justitie. Voor onderwerpen die de organisatie en beveiliging van geautomatiseerde registraties raken kan zo nodig worden overlegd met de Directie Overheidsorganisatie en -automatisering van het Ministerie van Binnenlandse Zaken.

Van de aanwijzingen die in het bijzonder de organisatie en beveiliging betreffen moet worden vastgesteld dat zij niet uitsluitend de bescherming van de persoonlijke levenssfeer op het oog hebben. Ook voor de continuïteit in de werking van een registratie zijn deugdelijke voorzieningen op het gebied van organisatie en beveiliging van belang. In vele gevallen zal daarom reeds geheel of ten dele aan de bedoelde aanwijzingen zijn voldaan. Ook in ander opzicht zijn voorzieningen op dit gebied voor de bescherming van de persoonlijke levenssfeer meer van indirect belang. In de eerste plaats gaat het er immers om regels voor de werking van een registratie vast te stellen. Een deugdelijke organisatie en beveiliging zijn in belangrijke mate erop gericht de handhaving van die regels te verzekeren. De betreffende aanwijzingen hebben ook betrekking op registraties die reeds in werking zijn.

Voor zover daarbij aan de aanwijzingen al niet is voldaan, dient er naar te worden gestreefd zo spoedig mogelijk de noodzakelijke voorzieningen te treffen. Gelet op de verschillende omstandigheden die zich hier kunnen voordoen is voorshands van het stellen van een termijn afgezien.

Bij de opstelling van de aanwijzingen over de organisatie en beveiliging van geautomatiseerde registraties is gebruik gemaakt van een vanwege de Commissie Automatisering Rijksdienst samengesteld rapport betreffende de beveiliging van computergegevens in technische zin. Voorts is zoveel mogelijk aansluiting gezocht bij hetgeen de Stichting tot Ontwikkeling van de Automatisering bij de Gemeenten (SOAG) op dit gebied voor intergemeentelijke automatiseringscentra reeds heeft ontworpen. Hoewel de aanwijzingen in beginsel op alle geautomatiseerde systemen met persoonsgegevens van toepassing zijn, wordt tenslotte nog de mogelijkheid geopend bepaalde systemen uit te zonderen die ten doel hebben de veiligheid van de Staat te beschermen. Men denke hierbij aan systemen eventueel in gebruik bij de inlichtingen- en veiligheidsdiensten, welke zijn bedoeld in het Koninklijk besluit van 5 augustus 1972 (Stb. 437).

Waarborgen met betrekking tot de activiteiten van deze diensten worden op andere wijze gerealiseerd, in de eerste plaats door het toezicht van de verantwoordelijke bewindslieden zelf en voorts door dat van de Vaste Commissie voor de inlichtingen- en veiligheidsdiensten uit de Tweede Kamer. Voor het totstandkomen van uitzonderingen op de aanwijzingen is de tussenkomst van meerdere Ministers nodig. Deze figuur sluit aan bij de regeling van artikel 139a, tweede lid, onder 3°, van het Wetboek van Strafrecht.

I

Aanwijzingen

A

Algemeen

1

Een geautomatiseerde registratie waarin persoonsgegevens zijn opgenomen treedt eerst in werking nadat daarvoor een regeling is vastgesteld. Het bevoegd gezag draagt hiervoor zorg.

Deze regeling voorziet in elk geval in de onderwerpen hierna te noemen in paragraaf B.

De regeling wijst als houder van de registratie aan degene die de zeggenschap heeft over de werking ervan. De houder is verantwoordelijk voor de naleving van de regeling.

2

De regeling ligt voor een ieder ter inzage bij de houder van de registratie, de voorlichtingsdienst van het ministerie waaronder de houder ressorteert en de centrale bibliotheek van het Ministerie van Justitie.

Deze bibliotheek houdt een lijst bij van gedeponeerde regelingen.

3

Een registratie als bedoeld in aanwijzing 1 bevat uitsluitend gegevens die voor de doelstelling van die registratie noodzakelijk zijn.

De opgenomen gegevens worden voor geen andere doeleinden gebruikt dan die met de doelstelling van de registratie verenigbaar zijn.

4

Voor een ieder over wie gegevens zijn opgenomen in een registratie als bedoeld in aanwijzing 1 bestaat de mogelijkheid op zijn verzoek van deze gegevens kennis te nemen. Hiervoor worden voorzieningen getroffen overeenkomstig de bepalingen van de regeling.

Van medische, psychologische of andere gegevens waarvan rechtstreeks kennisneming schadelijk kan zijn voor de betrokken persoon, kan een gemachtigde kennisnemen. De regeling bevat bepalingen over de aanwijzing van deze gemachtigde.

5

Tevens bestaat voor een ieder de mogelijkheid op zijn verzoek verbetering of verwijdering te verkrijgen van gegevens over hem die onjuist zijn of ten onrechte in de registratie zijn opgenomen, alsmede aanvulling voor zover gegevens ontbreken die in de registratie opgenomen hadden kunnen zijn. Hiervoor worden voorzieningen getroffen overeenkomstig de bepalingen van de regeling.

6

Tenslotte bestaat voor een ieder over wie gegevens in de registratie zijn opgenomen de mogelijkheid dat hem op zijn verzoek wordt medegedeeld, welke gegevens over hem gedurende een periode in de regeling omschreven aan andere instanties zijn verstrekt. Hiervoor worden voorzieningen getroffen overeenkomstig de bepalingen van de regeling. Het gestelde in het eerste lid is niet van toepassing voor zover uit de regeling rechtstreeks volgt aan welke instanties gegevens zijn verstrekt en welke gegevens het betreft.

7

Het gestelde in de aanwijzingen 4, 5 en 6 is niet van toepassing voor zover dit in het belang van de veiligheid van de Staat of de opsporing van strafbare feiten noodzakelijk is.

8

Bij de organisatie en de beveiliging van een registratie als bedoeld in aanwijzing 1 is de houder verantwoordelijk voor de nodige voorzieningen om de bescherming van de persoonlijke levenssfeer van de personen over wie gegevens in die registratie zijn opgenomen in voldoende mate te verzekeren.

Deze voorzieningen betreffen in elk geval de onderwerpen hierna te noemen in paragraaf C.

B

Inhoud van de regelingen

9

De regeling bevat een nauwkeurige omschrijving van de doelstelling van de registratie.

10

De regeling omschrijft ook nauwkeurig over welke categorieën van personen de registratie gegevens bevat, welke gegevens voor elke categorie ten hoogste kunnen worden opgenomen en in welke gevallen opgenomen gegevens worden verwijderd.

11

Voor zover de uitvoering van werkzaamheden ten behoeve van de registratie zelfstandig geschiedt, bepaalt de regeling nauwkeurig de bevoegdheden van degenen die daarmee zijn belast. Voorts bepaalt de regeling wie met de technische verwerking van de gegevens in de registratie is belast.

12

De regeling bepaalt aan welke personen en instellingen gegevens uit de registratie worden verstrekt en welke gegevens ten hoogste kunnen worden verstrekt.

De regeling bevat ook een nauwkeurige omschrijving van de categorieën van personen die tot de registratie rechtstreeks toegang hebben.

13

Met uitzondering van de gevallen bedoeld in aanwijzing 7 bepaalt de regeling wanneer en op welke wijze een persoon of diens gemachtigde kan kennisnemen van de gegevens die over hem in de registratie zijn opgenomen.

Tenzij de regeling anders bepaalt vindt kennisgeving plaats door het verstrekken van een afschrift van of uittreksel uit de opgenomen gegevens.

14

Met uitzondering van de gevallen bedoeld in aanwijzing 7 bepaalt de regeling op welke wijze een persoon kan verzoeken dat gegevens over hem in de registratie worden verbeterd, verwijderd of aangevuld, en wie op een zodanig verzoek beslist en op welke wijze. Indien verbetering, verwijdering of aanvulling van gegevens wordt toegestaan, vindt de noodzakelijke wijziging in de registratie zo spoedig mogelijk plaats.

15

Voor de gevallen waarin aanwijzing 6, eerste lid, van toepassing is bepaalt de regeling op welke wijze en over welke periode een persoon over wie gegevens in de registratie zijn opgenomen een mededeling als bedoeld in dat lid kan verkrijgen.

16

Indien de aard van de registratie daartoe aanleiding geeft, wijst de regeling een instantie aan die met het toezicht op de werking van die registratie is belast en kent zij haar voor zover nodig de daartoe noodzakelijke bevoegdheden toe.

In de gevallen bedoeld in het eerste lid geeft de regeling aan op welke wijze belanghebbenden het daar bedoelde toezicht kunnen inroepen.

C

Organisatie en beveiliging

17

Ter bescherming van de gegevens tegen verlies of beschadiging door brand, water, straling of luchtverontreiniging en andere calamiteiten zijn de nodige voorzieningen aanwezig.

Tot deze voorzieningen behoren in elk geval:

a.
voldoende brandblusmiddelen voor onmiddellijk gebruik;
b.
een deugdelijke voorziening voor alarmering bij brand;
c.
een deugdelijke bliksemafleiderinstallatie voor het gebouw of de gebouwen, waarin de registratie is gehuisvest;
d.
een rookverbod voor de daarvoor aangewezen ruimten;
e.
een rampenplan.

18

Voorts zijn de nodige voorzieningen aanwezig ter bescherming van de gegevens tegen kwaadwilligheid, onachtzaamheid en verkeerd gebruik door het personeel dat met de bewaring of verwerking is belast, alsmede tegen verleis of beschadiging door toedoen van derden.

In elk geval bestaan regels voor:

a.
het transport van de gegevens zowel binnen als buiten het gebouw of de gebouwen, waarin de registratie is gehuisvest;
b.
de toegang tot de ruimten waar gegevens worden bewaard of verwerkt;
c.
voor zover de aard van de gegevens daartoe aanleiding geeft, het in veiligheid brengen van de gegevensbestanden, systeemdocumentatie en computerprogramma's bij dreigende bezetting van het land door een vijandelijke macht en hun vernietiging voordat deze zich ervan meest er zou kunnen maken.

19

Tenslotte zijn voorzieningen aanwezig die waarborgen dat bij verlies of beschadiging van gegevens herstel kan plaatsvinden.

In elk geval worden originelen en duplicaten van gegevensbestanden, systeemdocumentatie en computerprogramma's afzonderlijk bewaard in afsluitbare en brandvrije ruimten.

Van de gegevensbestanden, systeemdocumentatie en computerprogramma's en van het gebruik daarvan wordt een deugdelijke administratie bijgehouden.

20

Er bestaat een zodanige verdeling van functies, dat de volgende werkzaamheden zoveel mogelijk door verschillende personen worden verricht:

a.
het ontwerpen van systemen;
b.
het schrijven van computerprogramma's;
c.
het ontvangen van gegevens;
d.
het vastleggen en verwerken van gegevens;
e.
het verstrekken van gegevens;
f.
het bewaren van gegevens.

Voor het personeel dat bij de werking van de registratie is betrokken stelt men taak- en werkbeschrijvingen op. Van de verrichte werkzaamheden wordt zodanig aantekening gehouden, dat men te allen tijde kan nagaan wie de werkzaamheden genoemd in het eerste lid heeft uitgevoerd.

21

De uitvoering van werkzaamheden waarbij persoonsgegevens zijn betrokken vindt uitsluitend plaats op grond van daartoe strekkende interne of externe opdrachten. Deze worden zoveel mogelijk schriftelijk vastgelegd.

Degene die met de bewaring, verwerking of verstrekking van gegevens is belast overtuigt zich ervan dat een tot hem gerichte opdracht afkomstig is van personen en/of instanties die tot het verstrekken van die opdracht bevoegd zijn.

22

De uitvoering van werkzaamheden, waarbij persoonsgegevens zijn betrokken vindt plaats met inachtneming van hetgeen daarover is opgenomen in de systeembeschrijvingen die voor de registratie gelden.

Een systeembeschrijving geeft tenminste aan:

a.
in welke vorm, hoeveelheid en detaillering gegevens ter verwerking worden aangeboden;
b.
welke handelingen met deze gegevens moeten worden uitgevoerd;
c.
in welke vorm, specificatie en periodiciteit gegevens moeten worden verstrekt;
d.
welke zekerheden zijn gesteld ter waarborging van een gebruik overeenkomstig de regels die voor de werking van de registratie zijn gesteld.

23

Ter bescherming van de gegevens zijn de nodige voorzieningen aanwezig bij toepassing van apparaten welke aan derden een rechtstreekse toegang tot de registratie mogelijk maken.

Deze voorzieningen zijn met name erop gericht, dat een derde niet meer of andere gegevens aan de registratie kan onttrekken dan hem is toegestaan.

24

Op de deugdelijkheid en naleving van alle ter bescherming van de gegevens getroffen voorzieningen vindt een periodieke controle plaats.

D

Slot

25

Op geautomatiseerde registraties welke op 1 januari 1975 reeds in werking zijn, zijn de bovenstaande aanwijzingen van toepassing met dien verstande dat een regeling als bedoeld in aanwijzing 1 uiterlijk op 1 januari 1976 dient te zijn vastgesteld.

26

Bij besluit van de Minister-President, de Ministers van Justitie en van Binnenlandse Zaken, en de andere betrokken Ministers gezamenlijk kan worden bepaald, dat deze aanwijzingen niet van toepassing zijn op geautomatiseerde registraties, welke ten doel hebben de veiligheid van de Staat te beschermen.

II

Toelichting op de aanwijzingen

A

Algemeen

1

De onderhavige aanwijzingen hebben betrekking op geautomatiseerde systemen waarin persoonsgegevens zijn opgenomen. Daarvan gaat deze aanwijzing dan ook uit. Om redenen van duidelijkheid, met name omdat verkorte aanhalingen in het vervolg dan begrijpelijker zijn, is echter de term "registratie" gebruikt.

Van een geautomatiseerde registratie is sprake wanneer een geordende verzameling van gegevens langs geautomatiseerde weg toegankelijk is gemaakt. Dit houdt in dat de gegevens op zodanige wijze zijn vastgelegd, dat zij met behulp van computers kunnen worden verwerkt. De aard van het medium is hierbij op zichzelf niet van belang, evenmin als de daarmee samenhangende vraag of de gegevens zijn opgeslagen in een vorm die directe raadpleging mogelijk maakt. Wel lijkt een zekere mate van bestendigheid vereist, wil men van een registratie kunnen spreken.

In de regel zal de vraag of men met een geautomatiseerde registratie te doen heeft geen moeilijkheden opleveren. Toch kunnen zich twijfelgevallen voordoen, zoals wanneer een registratie slechts gedeeltelijk is geautomatiseerd.

Allereerst is dit in die zin denkbaar dat de toegang tot de gegevens slechts gedeeltelijk langs geautomatiseerde weg verloopt. Van belang is dan de mate waarin automatisering een rol speelt. In het algemeen valt hier moeilijk een grens te trekken. Men zal echter niet te snel mogen besluiten dat deze aanwijzingen niet van toepassing zijn. Daarnaast kan zich het geval voordoen dat een gedeelte van een gegevensverzameling is geautomatiseerd en een ander gedeelte niet. In dat geval verdient het aanbeveling zoveel mogelijk de gehele registratie als geautomatiseerd te beschouwen en wat de aanwijzingen betreft te behandelen. In geval van twijfel of en in hoeverre van een geautomatiseerde registratie sprake is, dient een oplossing te worden gekozen die aan de bescherming van de persoonlijke levenssfeer het meeste recht doet.

Tenslotte kan het in bepaalde gevallen wenselijk zijn in een regeling voor een geautomatiseerde registratie bepaalde niet-geautomatiseerde gegevensverzamelingen te betrekken, bijvoorbeeld omdat deze bij de werking van de registratie een bepaalde rol spelen. In deze aanwijzing gaat het om registraties waarin persoonsgegevens zijn opgenomen. Ook de term "persoonsgegevens" heeft hier een ruime betekenis. Bedoeld zijn alle gegevens die op individuele personen herleidbaar zijn. Hieronder vallen niet alleen personalia in de gebruikelijke betekenis of andere gegevens die kunnen dienen om iemand te identificeren, maar alle gegevens die op een identificeerbare persoon rechtstreeks betrekking hebben. Dit kunnen dus bijvoorbeeld gegevens zijn over de pensioenstatus van een bepaalde ambtenaar of uitkeringsgegevens voor de sociale verzekeringen.

Er zij op gewezen dat het gebruik van een voor iedere persoon verschillende code of administratienummer niet zonder meer ten gevolge heeft dat de daarbij opgeslagen gegevens niet op die personen herleidbaar zijn. Dit zou alleen het geval zijn als iedere mogelijkheid ontbreekt om de gegevens via die code met de betrokken persoon in verband te brengen. Hierbij valt te denken aan gegevens die in gedeïnvidualiseerde of geaggregeerde vorm zijn opgeslagen. Een eerste vereiste is nu dat voor de werking van iedere in deze aanwijzing bedoelde registratie een regeling wordt vastgesteld. Het gaat daarbij niet zozeer om technische aspecten van die werking als wel om de vraag welke gegevens in de registratie worden opgenomen en wat daar verder mee gebeurt. Over deze vraag dient duidelijkheid te bestaan alvorens de registratie in werking treedt. Daarom is de vaststelling van een regeling daartoe een voorwaarde.

Het spreekt vanzelf dat bij iedere registratie weer andere punten regeling zullen behoeven. De regeling dient immers op de bijzonderheden van ieder geval te zijn toegesneden. De aanwijzingen bieden daartoe de nodige ruimte. Het is uitdrukkelijk de bedoeling dat zij in de concrete situatie van elke registratie worden doordacht en uitgewerkt. Zo zal het ook mogelijk zijn om ook voor op de openbaarheid gerichte registraties een passend regiem vast te stellen. In iedere regeling zal echter een aantal onderwerpen in elk geval aan de orde moeten komen. Deze onderwerpen worden vooral in paragraaf B behandeld. Paragraaf A bevat verder een aantal algemene uitgangspunten, terwijl paragraaf C nader op de organisatie en beveiliging van registraties ingaat. Paragraaf D bevat tenslotte enkele nadere bepalingen over de toepasselijkheid van de aanwijzingen. Wat de regelingen betreft geldt dat het belang daarvan in de eerste plaats ligt in de omstandigheid dat de opstellers worden genoodzaakt zich van de werking van een registratie rekenschap te geven.

Reeds hierin schuilt een zekere waarborg voor de bescherming van de persoonlijke levenssfeer. De noodzaak om de voorwaarden waaronder persoonsgegevens in een registratie worden opgenomen in een regeling tot uitdrukking te brengen, noopt immers tot bezinning over de vraag of die bescherming wel in voldoende mate tot zijn recht is gekomen en of de registratie in dit opzicht ook de toets der kritiek zal kunnen doorstaan.

Daarnaast is een regeling waarin de hoofdlijnen van de werking van een registratie zijn vastgelegd van betekenis uit een oogpunt van rechtszekerheid en maakt zij inzicht in die werking mogelijk voor degenen die zich daaromtrent op de hoogte willen stellen. Een en ander is uiteraard in het bijzonder van belang voor personen over wie gegevens in de registratie zijn opgenomen. Aanwijzing 2 ziet in dit verband op de wenselijkheid er voor te zorgen dat de verschillende regelingen voldoende toegankelijk zijn.

Over de aard van de regelingen en de organen die hen moeten vaststellen spreekt de onderhavige aanwijzing zich niet uit. Dit is immers een zaak die in belangrijke mate afhankelijk is van de mogelijkheden in ieder afzonderlijk geval. Welke juridische vorm geëigend is, dient telkens te worden onderzocht aan de hand van mogelijk reeds bestaande wettelijke regelingen, waarbij kan worden aangesloten. Daarnaast zullen de bestaande organisatie- en bevoegdhedenstructuur van belang zijn alsmede de aard van de registratie waarvan regeling wordt beoogd. Het is denkbaar dat een regeling de vorm krijgt van een algemene maatregel van bestuur al dan niet steunend op een wet in formele zin.

Men kan echter ook denken aan een ministeriële beschikking of eventueel zelfs aan een besluit van het hoofd van een zelfstandige dienst of instelling. Wanneer evenwel verschillende mogelijkheden in aanmerking komen, ligt het gezien het belang van de onderhavige materie voor de hand dat men kiest voor de vorm die de beste waarborgen geeft voor een deugdelijke regeling van de bescherming van de persoonlijke levenssfeer in het betreffende geval.

De onderhavige aanwijzing legt de verantwoordelijkheid voor het feit dat tijdig een regeling wordt getroffen bij "het bevoegd gezag". Deze term moet in iedere concrete situatie betekenis krijgen. Bedoeld is degene die de uiteindelijke zeggenschap heeft over de organisatie waaronder de registratie ressorteert. In de regel zal dit de verantwoordelijke bewindsman zijn.

Tenslotte brengt deze aanwijzing met zich mee dat in de regeling voor iedere registratie een houder wordt aangewezen. Zijn rol is de belangrijkste die in verband met de werking van een registratie valt te vervullen. De houder heeft de (meer rechtstreekse) zeggenschap over de werking van de registratie.

Daarom wordt bij hem de verantwoordelijkheid voor het goede functioneren van de registratie gelegd. Aanwijzing 8 maakt hem bovendien verantwoordelijk voor de aanwezigheid van voldoende voorzieningen op het gebied van de organisatie en beveiliging. Aan te nemen valt dat in de regel het hoofd van de betrokken directie, dienst of instelling als houder zal worden aangewezen. Ondergeschikten of derden zullen dan de werkzaamheden ten behoeve van de registratie uitvoeren.

Zoals gezegd gaat het bij de "werking" van een registratie niet alleen om technische aspecten maar ook over de vraag welke gegevens in die registratie worden verwerkt. Zeggenschap over de werking van een registratie brengt met zich mee beslissingsbevoegdheid over opneming, verstrekking, verwijdering e.d. van gegevens. In de regel zal de registratie dan ook dienstbaar zijn aan andere activiteiten van de houder. Behalve zeggenschap over de werking van de registratie zal de houder zeggenschap hebben over de gegevens zelf.

Het is echter denkbaar dat beide vormen van zeggenschap niet samenvallen.

Degene die de registratie heeft opgezet en de werking daarvan heeft bepaald kan bijvoorbeeld gebruik maken van gegevens, die van anderen afkomstig zijn en aan die anderen toebehoren. In dat geval kan het eenvoudig zijn de eerste als houder te beschouwen en de anderen als deelnemers met bepaalde rechten en verplichtingen. Zo zou het voor de hand liggen als zij in het kader van de correctieprocedure (zie aanwijzing 14) een taak te vervullen kregen.

2

Het is van belang dat een ieder die zich omtrent de werking van een geautomatiseerde registratie op de hoogte wil stellen, de daarvoor vastgestelde regeling kan raadplegen. Dit geldt vooral voor degene over wie gegevens in die registratie zijn opgenomen. Een regeling dient immers ook aan te geven op welke wijze kennisneming en verbetering van geregistreerde gegevens mogelijk zijn ( aanwijzingen 13 en 14). Het is daarom niet alleen nodig dat de regelingen worden gepubliceerd, maar ook dat zij voor iedereen eenvoudig bereikbaar zijn.

Voorlopig kan dit het beste worden gerealiseerd langs de wegen die hier zijn aangewezen. Op zichzelf zou volstaan kunnen zijn met een mogelijkheid tot inzage bij de houder van de registratie en de voorlichtingsdienst van het betrokken ministerie. Dit laat onverlet dat eventueel afschriften van regelingen op verzoek verkrijgbaar zijn. Daarnaast is evenwel gekozen voor een centraal punt bij het Ministerie van Justitie om inzage van een aantal regelingen tegelijk mogelijk te maken en vooral de mogelijkheid te scheppen dat personen die willen nagaan in welke overheidsregistraties gegevens over hen kunnen zijn opgenomen, hiernaar een onderzoek kunnen instellen.

Mede met het oog daarop heeft de Staatscommissie-Koopmans de instelling verdedigd van een openbaar register voor de inschrijving van alle registratiesystemen. Daarvan kan thans geen sprake zijn. De hier getroffen voorlopige voorziening is meer bescheiden van opzet. Om de centrale raadpleging toch zo eenvoudig mogelijk te maken, zal een lijst van gedeponeerde regelingen worden bijgehouden. Als daarin over elke registratie enkele essentiële gegevens worden vermeld - zoals naam en doel van de registratie, naam en adres van de houder, en categorie van personen over wie gegevens worden opgenomen - dan kan deze lijst als een soort ingangsregister op de regelingen dienst doen. Overigens kan een zodanige centrale verzameling ook van nut zijn bij de voorbereiding van wettelijke maatregelen op dit gebied in breder verband.

3

Deze aanwijzing bevat enkele grondregels waaraan de werking van een registratie uit een oogpunt van bescherming van de persoonlijke levenssfeer dient te voldoen. Aldus geven zij ook het kader aan waarmee bij de opstelling van de verschillende regelingen rekening dient te worden gehouden. De aanwijzingen 9, 10 en 12 in de volgende paragraaf hangen met deze aanwijzing samen en zijn als uitwerkingen daarvan te beschouwen.

De doelstelling van een registratie is in dit verband van centrale betekenis. De achtergrond daarvan is de gedachtengang dat het vastleggen van persoonlijke gegevens in een registratie, waardoor bepaalde risico's voor de bescherming van de persoonlijke levenssfeer in het leven worden geroepen, alleen toelaatbaar is indien en voor zover dit met het oog op de doelstelling van die registratie kan worden gerechtvaardigd. Uit deze gedachtengang kunnen twee soorten beperkingen worden afgeleid, te weten op de inhoud van de registratie en op het gebruik daarvan.

De beperking dat een registratie uitsluitend gegevens mag bevatten die voor de doelstelling van de registratie noodzakelijk zijn, heeft een tweeledig karakter. In de eerste plaats mogen alleen de noodzakelijke gegevens worden opgenomen. Niet alle relevante gegevens zijn zonder meer noodzakelijk. Het gaat om gegevens waarvan de opneming door de doelstelling wordt vereist. Daarnaast dienen gegevens te worden verwijderd indien zij hun belang voor de doelstelling van de registratie hebben verloren.

Ook het gebruik van opgenomen gegevens dient echter aan de doelstelling van de registratie te worden gerelateerd. In dit verband wordt wel verdedigd dat men gegevens die voor een bepaald doel zijn opgenomen nooit voor een ander doel zou mogen gebruiken. Het is de vraag of dit in het algemeen in de praktijk niet tot onaanvaardbare resultaten zou leiden. Deze aanwijzing is dan ook wat dit betreft wat voorzichtiger geformuleerd. Niet het doel waarvoor gegevens worden opgenomen is bepalend, maar de doelstelling van de registratie. Met die doelstelling mag het gebruik van de gegevens niet onverenigbaar zijn. Niet onverenigbaar met de doelstelling van de registratie zal in de regel bijvoorbeeld zijn, dat daaruit voor statistische doeleinden gegevens worden verstrekt aan het Centraal Bureau voor de Statistiek.

Het is duidelijk dat de uitwerking van deze gedachte nog de nodige moeilijkheden kan opleveren. In dit stadium is het echter voldoende dat men zich bij de opstelling van een regeling wat de op te nemen gegevens betreft houdt aan een nauw verband met de doelstelling van de registratie en dat men die doelstelling ook bij de regeling van de verstrekking van gegevens nauwlettend in het oog houdt.

4

Deze aanwijzing is erop gericht te verzekeren dat de personen over wie gegevens in een registratie voorkomen, kunnen gebruik maken van het zgn. "recht op inzage". Van werkelijke inzage kan bij computerregistraties moeilijk sprake zijn. Wel kan de betrokkene op andere wijze de gelegenheid worden geboden kennis te nemen van de gegevens die over hem zijn opgenomen. Daartoe zal men dan de nodige voorzieningen moeten treffen.

Deze voorzieningen zullen van technische en organisatorische aard zijn. Systeemtechnisch zal de mogelijkheid moeten bestaan om aan individuele verzoeken om kennisneming te voldoen. Verder zal men zich bij iedere registratie moeten afvragen welke uitwerking het meest in aanmerking komt. Ingevolge aanwijzing 13 zal daarop in de betreffende regeling nader moeten worden ingegaan. Deze opzet laat aan de bij iedere registratie bestaande mogelijkheden en behoeften de nodige ruimte. Voor een nadere uiteenzetting zij verwezen naar de toelichting bij aanwijzing 13.

Een duidelijke beperking geldt evenwel met betrekking tot de kennisneming van gegevens bedoeld in het tweede lid van de aanwijzing. Een voorwaarde is dat het gaat om gegevens waarvan rechtstreekse kennisneming voor de betrokkene schadelijk kan zijn. De Staatscommissie-Koopmans (interim-rapport, blz. 12) heeft in dit verband gewezen op de mogelijkheid dat de kennisneming verloopt via een tussenpersoon, die hier als gemachtigde wordt aangeduid. In zulke gevallen zal de regeling moeten aangeven welke tussenpersonen in aanmerking komen.

Een uitzondering op de onderhavige aanwijzing is tenslotte nog in aanwijzing 7 neergelegd. Kennisneming zal niet kunnen plaatshebben voor zover de daar genoemde belangen zich daartegen verzetten. In deze uitzondering is ook in het interim-rapport van de Staatscommissie-Koopmans voorzien.

5

Op de mogelijkheid van kennisneming volgt die tot het verkrijgen van verbetering, verwijdering of aanvulling van gegevens indien daartoe aanleiding bestaat. Wat daarover in deze aanwijzing wordt gezegd, sluit aan op de uiteenzetting over het correctierecht van de Staatscommissie-Koopmans (interim-rapport. blz. 13). Ook hier zal de vormgeving van de correctieprocedure ingevolge aanwijzing 14 onderwerp voor de verschillende regelingen moeten zijn.

Een enkel woord over de vermelde gronden voor correctie. Of gegevens ten onrechte in een registratie zijn opgenomen hangt af van de inhoud van de betreffende regeling. Hetzelfde geldt voor de vraag of bepaalde ontbrekende gegevens in de registratie opgenomen hadden kunnen zijn. In de regelingen zal immers ingevolge aanwijzing 10 moeten zijn omschreven welke gegevens ten hoogste kunnen worden opgenomen en in welke gevallen opgenomen gegevens worden verwijderd. Dat de onjuistheid van een gegeven tot verbetering kan leiden spreekt voor zichzelf.

Dit wil overigens niet zeggen dat het ook steeds duidelijk zal zijn of voor correctie aanleiding bestaat. Zo kan men over de juistheid van een gegeven zeer wel van mening verschillen. Met name valt te denken aan gegevens die niet van feitelijke maar van waarderende aard zijn. Het is mogelijk dat over de juistheid van een gegeven verschil van mening blijft bestaan en dat een verzoeker zich met een beslissing tot afwijzing van de gevraagde correctie niet kan verenigen.

Dit stelt de noodzaak aan de orde bij de regeling van de correctieprocedure ook de mogelijkheid van beroep onder ogen te zien. Het is duidelijk, gezien de veelheid van registraties waarop deze aanwijzingen van toepassing zullen zijn, dat het beroep zich niet voor een eenvormige aanpak leent. In ieder afzonderlijk geval zal men naar een passende oplossing moeten zoeken. Omdat het echter steeds om overheidsregistraties gaat, zullen bepaalde beroepsgangen veelal reeds aanwezig zijn. Het verdient in dit stadium uiteraard de voorkeur bij bestaande regelingen op dit punt zoveel mogelijk aan te sluiten.

Een moeilijkheid die nog afzonderlijk vermelding verdient betreft het geval dat in een geschil over de juistheid van een gegeven in feite een beslissing wordt aangevochten waarvan dat gegeven slechts de aantekening vormt. Het kan daarbij gaan om een beslissing van degene die zich van de registratie bedient maar ook van een derde. Van een procedure over het al dan niet opnemen van een gegeven kan het echter niet de bedoeling zijn een geschil op te lossen over punten die daarmee op zichzelf geen verband houden. Daarvoor bestaan nu eenmaal andere, meer geëigende wegen.

Dit betekent evenwel dat men bij de regeling van de correctieprocedure op een dergelijke samenloop van rechtsgangen bedacht moet zijn. Wanneer bijvoorbeeld een medische diagnose wordt aangevochten, ligt het meer voor de hand herkeuring te vragen dan correctie van de op zichzelf juiste aantekening van die diagnose in een registratie. Evenmin kan een gemiste promotie door een verzoek om verbetering worden goedgemaakt. Tenslotte zij er op gewezen dat ook op deze aanwijzing een uitzondering geldt voor de gevallen bedoeld in aanwijzing 7. Ook de kennisneming van gegevens kan dan immers zijn uitgesloten.

6

Deze aanwijzing heeft betrekking op het voeren van een protocol waarin onder meer wordt bijgehouden welke gegevens uit de registratie aan derden worden verstrekt. De achtergrond hiervan vormt de gedachte dat een persoon over wie gegevens in een registratie zijn opgenomen er niet alleen belang bij kan hebben te weten welke gegevens over hem zijn opgenomen, maar ook welke gegevens over hem aan anderen zijn verstrekt. Dit belang ligt voor de hand in het geval dat bepaalde gegevens onjuist blijken te zijn. Wie in dit verband als derden moeten worden aangemerkt valt in het algemeen moeilijk te zeggen, maar dient in ieder afzonderlijk geval te worden bepaald (vergelijk interim-rapport, blz. 16).

In het systeem van deze aanwijzingen valt inzicht in de verstrekking van gegevens uit een registratie tot zekere hoogte te ontlenen aan de betreffende regeling. Ingevolge aanwijzing 12 zal daarin immers moeten staan aan wie gegevens uit de registratie worden verstrekt en welke gegevens ten hoogste kunnen worden verstrekt. Vooral bij een wat ruimere kring van ontvangers kan het echter moeilijk vallen aan de hand daarvan vast te stellen welke gegevens in feite aan welke instanties zijn verstrekt.

In dit verband heeft de Staatscommissie-Koopmans (interimrapport, blz. 15) gewezen op de technische mogelijkheden bij geautomatiseerde registraties om van deze verstrekking van gegevens in het computergeheugen zelf aantekening te houden. De betreffende informatie zou dan gedurende een bepaalde termijn bewaard moeten blijven om aan verzoeken om inlichtingen te kunnen voldoen. Langs deze lijnen heeft de Staatscommissie een protocolplicht voorgesteld die in deze aanwijzing wordt overgenomen. Aldus kan men met de werking daarvan in de praktijk ervaring opdoen.

Ook in de nadere omschrijving komt deze aanwijzing met de gedachten van de Staatscommissie overeen. Protocollering is immers overbodig voor zover de regeling van de mogelijke verstrekkingen zo duidelijk is dat daaruit rechtstreeks volgt aan welke instanties gegevens zijn verstrekt en welke gegevens het betreft. Te denken valt hier onder meer aan gevallen waarin op vaste tijdstippen of bij bepaalde gebeurtenissen aan vaste afnemers bepaalde gegevens worden verstrekt. Omdat men er in die gevallen van mag uitgaan dat de bedoelde verstrekkingen hebben plaatsgevonden, zouden voor het vastleggen daarvan onnodig kosten moeten worden gemaakt.

Het voorgaande betekent dat de omvang van de protocolplicht uit de verschillende regelingen volgt. Het is van belang de verstrekking van gegevens uit de registratie zo nauwkeurig mogelijk te regelen. Tenslotte zal ook de periode moeten worden aangegeven waarover inlichtingen kunnen worden gevraagd. Op dit punt kan met de bij elke registratie bestaande behoeften en mogelijkheden worden rekening gehouden.

7

Deze aanwijzing is in het voorafgaande reeds ter sprake gekomen. De onderhavige uitzondering zal niet verder mogen gaan dan noodzakelijk is.

8

Deze aanwijzing vormt een inleiding op de aanwijzingen neergelegd in paragraaf C en geeft een globaal kader aan waarbinnen de verschillende voorzieningen in het belang van een goede organisatie en beveiliging van een registratie dienen te worden getroffen. Deze voorzieningen zullen niet steeds dezelfde zijn. De aard van de betreffende registratie en de bijzondere gevaren die bij de werking daarvan zijn te duchten zijn daarvoor immers bepalend. Een vast aantal onderwerpen dient echter steeds aan de orde te komen. De houder van de registratie is ervoor verantwoordelijk dat door het geheel van voorzieningen de bescherming van de persoonlijke levenssfeer met betrekking tot zijn registratie voldoende is verzekerd.

Voor een belangrijk deel hebben de onderhavige voorzieningen kort gezegd ten doel te verzekeren dat de regeling kan worden nageleefd. In de meeste gevallen verdient het echter geen aanbeveling beveilingsmaatregelen in de regeling zelf op te nemen. Ook daarom is tussen paragraaf B en C onderscheiden.

B

Inhoud van de regelingen

9

Na hetgeen over de betekenis van de doelstelling is opgemerkt in de toelichting bij aanwijzing 3 kan hier met een enkel woord worden volstaan. Men dient te streven naar een beknopte en duidelijke omschrijving, waaruit de strekking van de registratie eenvoudig valt af te leiden. Zo mogelijk vermeldt de regeling ook een benaming. In dit verband is het van belang erop te wijzen, dat het soms voorkomt dat gegevens in de registratie worden opgenomen uitsluitend met het doel ze te kunnen doorgeven aan een instantie als bijvoorbeeld het Centraal Bureau voor de Statistiek. Een dergelijk nevendoel dient uiteraard ook te worden vermeld.

Indien binnen de doelstelling belangrijke subdoelstellingen kunnen worden onderscheiden, kan het nuttig zijn die tevens op te nemen. Voorts worden eventuele nevendoeleinden vermeld, zoals naast een administratieve toepassing: het verkrijgen van beleidsinformatie of het mogelijk maken van wetenschappelijk onderzoek op een bepaald gebied.

10

Ingevolge deze aanwijzing dient binnen de grenzen van aanwijzing 3 de inhoud van de registratie te worden omschreven. Welke categorieën van personen (patiënten, personeel, dienstplichtigen e.d.) men het beste kan aanhouden volgt eenvoudig uit de opzet van de registratie. Een onderscheiding in categorieën is ook nodig indien niet over alle personen dezelfde soorten gegevens worden opgenomen. In verband daarmee moet de regeling immers de op te nemen gegevens vermelden.

Ook in de opsomming van gegevens dient nauwkeurigheid te worden betracht. Dit is onder meer van belang in verband met de mogelijkheid van verwijdering en aanvulling van gegevens ( aanwijzing 5). Het is daarom beter niet met de aanduiding "personalia" te volstaan, maar bijvoorbeeld te vermelden: naam, voornamen, adres, geboortedatum etc.

Gegevens dienen te worden verwijderd zodra zij hun belang voor de doelstelling van de registratie hebben verloren. Behalve de bescherming van de persoonlijke levenssfeer is daarmee de doelmatigheid in de registratie gemoeid. De regeling dient de noodzakelijke schoningstermijnen te omschrijven. In de praktijk komen echter lang niet alle gegevens voor gelijktijdige schoning in aanmerking. Ook zijn er gegevens die in beginsel voor onbeperkte tijd in een registratie blijven, omdat zij hun belang voor onbepaalde tijd behouden (bijv. bevolkingsboekhouding). Deze aanwijzing laat dan ook toe dat in bepaalde gevallen geen verwijdering plaats vindt.

Een andere mogelijkheid is nog dat gegevens hun belang voor de hoofddoelstelling van de registratie hebben verloren, maar voor een nevendoel van waarde blijven, bijvoorbeeld in verband met wetenschappelijk onderzoek over een langere termijn. In dat geval is het denkbaar dat de benodigde gegevens bewaard blijven onder verwijdering van de rest. De te bewaren gegevens zouden dan tevens voor ander gebruik ongeschikt kunnen worden gemaakt.

11

Ingevolge aanwijzing 1 dient in de regeling al een houder voor de registratie te worden aangewezen. Deze heeft de zeggenschap over de werking van de registratie. In verband met de werking van een registratie kunnen echter nog meer rollen te vervullen zijn. Deze aanwijzing is erop gericht een eventueel bestaande verdeling van verantwoordelijkheden op dit punt duidelijk tot uitdrukking te laten komen.

Wanneer zich bij de uitvoering van werkzaamheden ten behoeve van de registratie binnen de organisatie een zodanige scheiding van functies heeft ontwikkeld (zie aanwijzing 20), dat van een zekere zelfstandigheid in de uitvoering sprake is, is het wenselijk dat de bevoegdheden van elk der betrokkenen nauwkeurig worden afgebakend en vastgelegd. Op die wijze kan men voorkomen dat de verantwoordelijkheden onderling vervagen en bereiken dat de houder voldoende greep op de werking van de registratie behoudt.

Daarnaast spreekt deze aanwijzing over degene die met de technische verwerking van de gegevens in de registratie is belast. Daarmee wordt het hoofd van het rekencentrum bedoeld, degene die de zeggenschap heeft over de apparatuur waarmee de registratie in werking wordt gehouden. Deze werkzaamheid zal binnen de organisatie vrijwel steeds min of meer zelfstandig worden uitgevoerd, maar ook en vanzelfsprekend indien een extern computercentrum bij de werking van de registratie is betrokken.

In al deze gevallen is het wenselijk dat de bevoegdheden van de verwerkende instantie vastliggen. Vooral met het oog op de technische verwerking zijn de aanwijzingen in paragraaf C van betekenis.

Over de aard van de bevoegdheden van de betrokkenen kan moeilijk in algemene termen worden gesproken. Grotendeels zullen deze bevoegdheden voortvloeien uit de tot standgebrachte functiescheiding. Met betrekking tot de technische verwerker dient in elk geval verzekerd te zijn dat de registratie werkt overeenkomstig de regeling. Aangezien de houder daarvoor verantwoordelijk is dient deze zich te voorzien van voldoende mogelijkheden om zijn verantwoordelijkheid waar te maken.

12

Ook deze aanwijzing kwam in verband met aanwijzing 3 reeds ter sprake. Bij de regeling van de verstekking van gegevens dient de doelstelling van de registratie in aanmerking te worden genomen. Deze regeling is ook van betekenis in verband met de protocolplicht besproken bij aanwijzing 6.

Deze aanwijzing vraagt echter ook om een nauwkeurige omschrijving van de rechtstreekse toegang tot de registratie. Het gaat hierbij om twee gevallen. In de eerste plaats dat waarin bepaalde personen in beginsel onbeperkte toegang hebben tot alle onderdelen van de registratie, omdat zij met het onderhoud of de bediening van de registratie of met de controle op de goede werking daarvan zijn belast. Een nauwkeurige afbakening is hier nodig omdat de risico's voor onbevoegde handelingen in deze sfeer groter zijn. Het tweede geval ziet op de situatie dat bepaalde afnemers van gegevens uit de registratie zich de benodigde gegevens rechtstreeks kunnen verschaffen door de toepassing van apparatuur die een directe verbinding met de registratie mogelijk maakt. Indien het gegevensverkeer op deze wijze plaatsvindt dienen waarborgen te bestaan dat aangeslotenen alleen toegang kunnen krijgen tot die delen van de registratie waartoe zij gerechtigd zijn en dat zij ook alleen de toegestane gegevens daaraan kunnen onttrekken (zie aanwijzing 23). Ook in de regeling dient deze categorie van afnemers nauwkeurig te worden bewaakt.

13

Ingevolge deze aanwijzing zal voor het merendeel van de registraties een passende regeling tot stand moeten komen voor de kennisneming van opgenomen gegevens door de betrokken persoon. Voor de gevallen bedoeld in het tweede lid van aanwijzing 4 dient de regeling te voorzien in de mogelijkheid dat een tussenpersoon van de gegevens kennis neemt. De regeling bepaalt dan wie als gemachtigde kunnen optreden en op welke wijze hun aanwijzing plaats vindt.

Men dient te voorkomen dat onbevoegden van de mogelijkheid tot kennisneming gebruik maken. Daartoe zullen bepaalde waarborgen in acht moeten worden genomen, zoals behoorlijke voorzieningen voor de identificatie van de rechthebbende.

De kennisneming kan verder op verschillende wijzen worden geregeld. In elk geval bepaalt de regeling aan wie een verzoek tot kennisneming moet worden gericht. Indien geen gegevens over de verzoeker zijn opgenomen wordt dit aan hem medegedeeld. In het andere geval is het denkbaar dat hij in de gelegenheid wordt gesteld ter plaatse waar de registratie is gevestigd of elders van de opgenomen gegevens kennis te nemen aan de hand van een gewaarmerkte afdruk van deze gegevens.

Natuurlijk kan een verzoek ook op bepaalde gegevens betrekking hebben. Blijkens het interim-rapport van de Staatscommissie-Koopmans (interimrapport, blz. 12) gaat haar voorkeur uit naar een dergelijke wijze van kennisneming, waarbij geen schriftelijke stukken worden verstrekt. De reden daarvan is dat afschriften onder omstandigheden een bedreiging voor de persoonlijke levenssfeer kunnen vormen, bijvoorbeeld omdat de betrokkene er dan toe kan worden gebracht deze aan derden over te leggen. Een belangrijk bezwaar tegen deze gang van zaken is echter dat de praktische uitoefening van de kennisneming erdoor wordt bemoeilijkt. De betrokkene zal zich daarvoor immers persoonlijk naar een bepaalde plaats moeten begeven. De Staatscommissie erkent overigens dat tegen het verstrekken van afschriften bij bepaalde registraties geen bezwaar behoeft te bestaan. Zij beveelt aan in elk afzonderlijk geval te bezien op welke wijze de kennisneming het beste kan worden geregeld.

Het is de vraag of bij de meeste registraties het genoemde praktische bezwaar niet de overhand moet hebben. Bovendien zal de betrokkene ook in het kader van de correctieprocedure aan een schriftelijk stuk behoefte hebben. Deze aanwijzing gaat er daarom van uit dat op een verzoek tot kennisneming een afschrift of uittreksel van de opgenomen gegevens wordt verstrekt, tenzij in bepaalde gevallen voor een andere regeling aanleiding bestaat. Deze opzet heeft het voordeel dat de gehele kennisnemingsprocedure ook schriftelijk kan verlopen.

Bij de nadere vormgeving van deze procedure is het denkbaar dat verzoeken tot kennisneming in zekere banen worden geleid, bijvoorbeeld in die zin dat de regeling vaste tijdstippen bepaalt waarop kennisneming kan plaatsvinden. De doelmatige werking van de registratie kan immers vergen dat niet terstond aan ieder verzoek wordt voldaan, maar dat verzoeken periodiek worden verwerkt. Uiteraard zal deze beperking de kennisneming niet onredelijk mogen verzwaren. Het is tenslotte denkbaar dat men voor het verlenen van kennisneming een zeker recht heeft. Er zij op gewezen dat dergelijke rechten echter bij of krachtens de wet dienen te zijn geregeld.

Tot dusver was sprake van kennisneming op verzoek. Er bestaan echter registraties waarbij reeds langer van de belangrijkste gegevens, periodiek dan wel bij wijziging, aan de betrokkenen mededeling wordt gedaan. Of het doen van deze mededelingen uit een oogpunt van kosten verantwoord is hangt ten nauwste met de aard van de registratie samen. Een voordeel van deze werkwijze is echter dat de betrokken persoon niet het initiatief behoeft te nemen en vanzelf op de hoogte komt van gegevens die in de registratie zijn opgenomen. Het lijkt in die gevallen verder niet onredelijk als men voor wat die gegevens betreft met het doen van zulke mededelingen volstaat. Indien de mogelijkheid tot kennisneming aldus is geregeld dient dit in de regeling te worden vermeld.

14

Na hetgeen in de toelichting bij aanwijzing 5 is opgemerkt kan hier met enkele opmerkingen worden volstaan. De regeling zal uiteraard moeten vermelden bij wie verzoeken om correctie moeten worden ingediend. Het kan nuttig zijn te bepalen dat correctieverzoeken op bepaalde gegevens moeten zijn toegespitst en dat zij de gewenste wijziging in de registratie vermelden.

In de verdere regeling van de correctieprocedure dienen waarborgen voor een juiste behandeling van verzoeken te zijn ingebouwd. In dat verband dient men zoals eerder gesteld ook aan eventuele beroepsmogelijkheden aandacht te besteden.

Het tweede lid is erop gericht te verzekeren dat een verkregen correctie ook binnen redelijke termijn in de registratie wordt doorgevoerd. In de regel zal de houder er echter zelf belang bij hebben dat de noodzakelijke wijzigingen worden aangebracht. In dit verband kan nog worden gedacht aan de mogelijkheid dat men van een aangebrachte correctie mededeling doet aan degenen die de betreffende gegevens eerder hebben ontvangen. In veel gevallen, met name bij routineverstrekkingen, kan dit op eenvoudige wijze worden geregeld. Voor het overige kan de betrokkene daartoe met behulp van het protocol zelf het nodige verrichten.

15

Ook deze aanwijzing zal inmiddels weinig nadere toelichting behoeven. Verwezen zij naar de uiteenzetting bij aanwijzing 6. De hier bedoelde regeling zal waarschijnlijk bij die bedoeld in aanwijzing 13 kunnen aansluiten. In bepaalde gevallen is het denkbaar dat verzoeken om inlichtingen uit het protocol op bepaalde ontvangende instanties of bepaalde termijnen moeten zijn toegespitst. Of het wenselijk is dit voor te schrijven zal mede van de inrichting van het protocol afhangen.

16

Deze aanwijzing wijst op het belang van een toezichthoudende instantie die geacht kan worden vertrouwen te genieten bij de personen over wie gegevens in de registratie zijn opgenomen. Te denken valt aan een commissie van toezicht bij wie belanghebbenden eventuele bezwaren tegen de werking van de registratie kunnen indienen. De commissie zou zo nodig aan de houder aanbevelingen tot wijziging kunnen doen.

Of voor de instelling van een dergelijke commissie aanleiding bestaat hangt uiteraard van de aard van de registratie af. Met name voor de gevallen waar kennisneming door de betrokkenen niet tot de mogelijkheden behoort zal aan een zeker institutioneel toezicht behoefte kunnen bestaan. Dit toezicht laat uiteraard de verantwoordelijkheid van de houder voor de werking van de registratie onverlet. Het is duidelijk dat de bevoegdheden en de werkwijze van de bedoelde instantie in de regeling aan de orde moeten komen. Denkbaar is intussen dat voor de regeling van het toezicht aansluiting bij reeds bestaande instanties mogelijk is.

C

Organisatie en beveiliging

De aanwijzingen in deze paragraaf hebben betrekking op de technische en organisatorische voorzieningen die de bescherming van de persoonlijke levenssfeer ook metterdaad mogelijk moeten maken. Aangezien de inhoud van deze aanwijzingen voor deskundigen op het gebied van de organisatie en beveiliging van geautomatiseerde systemen weinig toelichting zal behoeven, kan hier met enkele algemene opmerkingen worden volstaan.

In de eerste plaats zij erop gewezen dat de aanwijzingen een voor alle registraties geldend minimum bevatten. Zij hebben betrekking op kleine, maar ook op omvangrijke registraties en houden rekening met de omstandigheid dat in computercentra verschillende registraties kunnen zijn ondergebracht. Omdat bij de uitwerking per registratie allerlei bijzonderheden een rol kunnen spelen, zijn de aanwijzingen vaak globaal geformuleerd en volstaan zij met het noemen van onderwerpen waarin in elk geval moet worden voorzien.

Dit verhindert uiteraard niet dat in ieder afzonderlijk geval nadere eisen aan de organisatie en de beveiliging kunnen worden gesteld. De te treffen voorzieningen dienen aan de concrete situatie te zijn aangepast. Van belang zijn de aard van de registratie, de gevoeligheid van de opgenomen gegevens en in verband daarmede de belangstelling die derden voor die gegevens kunnen hebben. Zoals in de inleiding van deze toelichting reeds is vermeld, kan bij het overleg over deze punten zo nodig advies worden ingewonnen van de Directie Overheidsorganisatie en -automatisering van het Ministerie van Binnenlandse Zaken.

Intussen is het mogelijk dat bepaalde voorzieningen die de bescherming van de persoonlijke levenssfeer ten goede komen, reeds uit anderen hoofde zijn getroffen. Een goede organisatie en beveiliging zijn immers bij geautomatiseerde systemen ook uit een oogpunt van bedrijfszekerheid van belang. In de toelichting op de aanwijzingen 8 en 11 is reeds een en ander gezegd over de verantwoordelijkheid voor een voldoende organisatie en beveiliging. Met betrekking tot iedere afzonderlijke registratie draagt de houder zorg voor de aanwezigheid van de nodige voorzieningen op dit gebied. Bij hem berust immers de zeggenschap over de werking van de registratie ( aanwijzing 1). Deze verantwoordelijkheid geldt zowel voor het geval waarin de technische verwerking van de gegevens binnenshuis plaatsvindt rechtstreeks onder de houder, als voor gevallen waarin de verwerking is uitbesteed aan een computercentrum binnen of buiten de overheid. In het eerste geval kan de houder zijn zeggenschap rechtstreeks aanwenden om voor een voldoende organisatie en beveiliging zorg te dragen. In de andere gevallen zal hij erop moeten toezien dat het computercentrum de nodige voorzieningen heeft getroffen, dan wel bij ontbreken daarvan treft. De verantwoordelijkheid van de houder brengt met zich mee, dat de externe verwerking van gegevens in het uiterste geval wordt beëindigd of elders voortgezet waar de juiste voorzieningen zijn gewaarborgd.

Het spreekt vanzelf na het vorenstaande dat met name computercentra binnen de overheid, die uit verschillende registraties gegevens verwerken en die dus met verschillende houders te maken kunnen krijgen, ervoor dienen te zorgen dat de noodzakelijke voorzieningen ook kunnen worden getroffen. Hoewel de verantwoordelijkheid voor het opvolgen van de aanwijzingen in deze paragraaf bij de houders van registraties is gelegd, is het immers duidelijk dat deze instellingen in beslissende mate bij de uitvoering van de aanwijzingen zijn betrokken.

Tenslotte dient te worden opgemerkt dat de daadwerkelijke bescherming van de persoonlijke levenssfeer niet alleen een zaak is van voldoende technische en organisatorische voorzieningen, hoezeer deze ook noodzakelijk zijn. De Staatscommissie-Koopmans heeft er terecht op gewezen (interim-rapport, blz. 18), dat alle betrokkenen zelf doordrongen moeten zijn van het besef dat het privacy-aspect in de opzet en het functioneren van registratiesystemen verdisconteerd behoort te zijn.

D

Slot

Op de aanwijzingen in deze paragraaf bevat de inleiding reeds alle nodige toelichting.