Hieronder zijn opgenomen het advies van de Raad van State d.d. 24 juli 2008 en het nader rapport d.d. 6 januari 2009, aangeboden aan de Koningin door de minister van Justitie, mede namens de minister van Binnenlandse Zaken en Koninkrijksrelaties. Het advies van de Raad van State is cursief afgedrukt.
Bij Kabinetsmissive van 29 mei 2008, no.08 001 564, heeft Uwe Majesteit, op voordracht van de Minister van Justitie, mede namens de minister van Binnenlandse Zaken en Koninkrijksrelaties, bij de Raad van State ter overweging aanhangig gemaakt het voorstel van wet tot wijziging van de Wet bescherming persoonsgegevens in verband met de vermindering van administratieve lasten, wijzigingen teneinde wetstechnische gebreken te herstellen en enige andere wijzigingen, met memorie van toelichting.
Het wetsvoorstel bevat maatregelen ter beperking van de administratieve lasten die voortvloeien uit de Wet bescherming persoonsgegevens (Wbp), een grondslag voor het verwerken van bijzondere persoonsgegevens door drie instanties, wijzigingen van de inlichtingenplicht, strafbaarstelling van niet-melden en enkele andere wijzigingen. De Raad van State onderschrijft de strekking van het wetsvoorstel, maar maakt een aantal opmerkingen met betrekking tot de voorgestelde algemene uitzondering voor ombudsman, toezichthouder en accountantsorganisatie om bijzondere persoonsgegevens te verwerken, de verstrekking van bijzondere persoonsgegevens bij bedrijfs- en verkeersongevallen, de verruiming van de mogelijkheid tot verwerken van strafrechtelijke gegevens, de wijzigingen omtrent het recht van verzet, de verhoging van boetebedragen en het strafbaar stellen van niet-melden en de doelstelling van het voorstel. Hij is van oordeel dat in verband daarmee aanpassing van het voorstel wenselijk is.
Blijkens de mededeling van de Directeur van Uw kabinet van 28 juli 2008, nr. 08/5557522, machtigde Uwe Majesteit de Raad van State zijn advies inzake het bovenvermelde voorstel van wet rechtstreeks aan mij te doen toekomen.
Dit advies, gedateerd 24 juli 2008, nr. W03.08.0187/II, bied ik U hierbij aan.
1. Algemene uitzondering voor ombudsman, toezichthouder en accountantsorganisatie
In artikel I, onderdelen A tot en met F, wordt een algemene grondslag gecreëerd voor het verwerken van bijzondere persoonsgegevens, als bedoeld in artikel 16 Wbp, door een ombudsman in de zin van artikel 9:17 van de Algemene wet bestuursrecht (Awb), een toezichthouder als bedoeld in artikel 5:11 Awb (hierna: toezichthouder), of een accountantsorganisatie als bedoeld in artikel 1 van de Wet toezicht accountantsorganisaties, voor zover dat«noodzakelijk is voor de uitvoering van de hem of haar wettelijk opgedragen taak». Het gaat hierbij om het verwerken van persoonsgegevens betreffende godsdienst of levensovertuiging, ras, politieke gezindheid, lidmaatschap van een vakvereniging, gezondheid en strafrechtelijke persoonsgegevens (hierna: bijzondere persoonsgegevens).1
De Raad merkt op dat in beginsel een verbod geldt op de verwerking van de bijzondere persoonsgegevens. Dit vloeit voort uit artikel 8 van Richtlijn 95/94/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (hierna: de richtlijn) en de (implementatie daarvan in de) artikelen 16 tot en met 23 Wbp. In de memorie van toelichting wordt opgemerkt dat voor het verwerken van bijzondere persoonsgegevens geen grondslag kan worden gevonden in de uitzonderingen die in de richtlijn zelf staan opgesomd. Daarom wordt de voorgestelde algemene uitzondering voor ombudsman, toezichthouder en accountantsorganisatie (hierna: categorieën) gebaseerd op artikel 8, vierde lid, van de richtlijn2, die de lidstaten de mogelijkheid biedt om «redenen van zwaarwegend algemeen belang» en«mits passende waarborgen worden geboden», afwijkingen op het verbod op het verwerken van bijzondere persoonsgegevens toe te staan.3 Uit de toelichting blijkt onvoldoende dat aan deze voorwaarden wordt voldaan, nu daarin eerst in het algemeen wordt ingegaan op de algemene uitzonderingsgrond voor het verwerken van bijzondere persoonsgegevens door deze categorieën en daarna drie specifieke situaties worden besproken4 die niet zonder meer te veralgemeniseren zijn en waarbij blijkt dat in een aantal gevallen verwerken op basis van toestemming mogelijk is.5 Naar het oordeel van de Raad is vereist dat voor elk van de taken duidelijk wordt gemaakt dat daarmee een zwaarwegend algemeen belang wordt gediend en dat voor de voorgestelde verwerking van ieder van de bijzondere persoonsgegevens vaststaat dat deze noodzakelijk zijn om genoemd belang te behartigen. De opmerking in de toelichting dat «het niet doenlijk (is) gebleken om per persoon en instelling te differentiëren naar bepaalde gevoelige gegevens»6 acht de Raad, gezien de verstrekkendheid van de algemene uitzondering, onvoldoende motivering voor de voorgestelde grondslag.
In de voorgestelde bepalingen is een criterium opgenomen. Bijzondere persoonsgegevens kunnen alleen worden verwerkt «voor zover dat noodzakelijk is voor de uitvoering van de wettelijk opgedragen taak». Het is niet zonder meer evident dat met dit criterium een juiste invulling wordt gegeven aan de in de richtlijn voorziene uitzondering op het verbod om bijzondere persoonsgegevens te verwerken om «redenen van zwaarwegend algemeen belang». Het is zeer wel denkbaar dat verwerking van bijzondere persoonsgegevens vanuit het perspectief van een ombudsman, toezichthouder of accountantsorganisatie noodzakelijk is, terwijl niet kan worden gesproken van redenen van zwaarwegend algemeen belang. Om deze reden bestaat behoefte aan een nadere toelichting op de betekenis en de inhoud, alsook op de toepassingsmogelijkheden van het criterium, toegespitst op de onderling sterk verschillende categorieën. Daarbij moet duidelijk worden gemaakt op welke wijze dit criterium door de verschillende categorieën in de praktijk zal worden ingevuld en met name ook welke belangen kunnen en moeten worden betrokken bij de afweging die aan deze invulling ten grondslag ligt.
Op grond van de richtlijn is verwerking van bijzondere persoonsgegevens slechts mogelijk wanneer «passende waarborgen worden geboden.» In de toelichting wordt aan deze waarborgen weliswaar enige aandacht besteed, maar met name ten aanzien van lokale ombudslieden en accountantorganisaties blijft onduidelijk waarin deze waarborgen precies bestaan en of daarmee aan de eis van de richtlijn wordt voldaan. Ook op dit punt behoeft de toelichting aanvulling.
De Raad adviseert de toelichting in het licht van het voorgaande aan te vullen en het voorstel voor zover nodig aan te passen.
1. Algemene uitzondering voor ombudsman, toezichthouder en accountantsorganisatie
In het wetsvoorstel was een algemene uitzonderingsgrond opgenomen voor het verwerken van bijzondere persoonsgegevens door een ombudsman in de zin van artikel 9:17 van de Algemene wet bestuursrecht (Awb), een toezichthouder als bedoeld in artikel 5:11 Awb en een accountantsorganisatie als bedoeld in artikel 1 van de Wet toezicht accountantsorganisaties, voor zover noodzakelijk voor de uitvoering van de hem of haar wettelijk opgedragen taak. De Raad merkt op dat uit de toelichting onvoldoende blijkt dat aan de voorwaarden voor afwijking van het verbod op het verwerken van bijzondere persoonsgegevens is voldaan aangezien de genoemde categorieën van verwerkers en specifieke situaties van verwerkingen niet zonder meer te veralgemeniseren zijn. Naar de mening van de Raad bestaat behoefte aan een nadere toelichting op de betekenis en de inhoud, alsook op de toepassingsmogelijkheden van het criterium, toegespitst op de onderling sterk verschillende categorieën. Met de Raad zijn wij van mening dat een ombudsman, toezichthouders en accountantorganisaties te verschillend zijn om in een eenduidig criterium te vatten. Daarom is besloten af te zien van het regelen van een algemene uitzonderingsgrond voor toezichthouders en accountantsorganisaties. Eventueel zal op termijn in de voor deze categorieën geldende sectorale wetgeving worden voorzien in een meer specifieke uitzonderingsgrond voor het verwerken van bijzondere persoonsgegevens voor concreet bepaalde taken. Ten aanzien van de Nationale ombudsman en de overige ombudslieden wordt de algemene uitzonderingsgrond gehandhaafd. Daarnaast is op verzoek van het College bescherming persoonsgegevens (Cbp) eenzelfde bevoegdheid opgenomen voor het Cbp. Ook de wettelijke taken van het Cbp brengen immers mee dat dit College onder omstandigheden bijzondere persoonsgegevens zal moeten verwerken. Voorts is naar aanleiding van het advies van de Raad voorzien in nadere voorwaarden voor toepassing van de voorgestelde uitzonderingsgrond. Daartoe is in de wettekst uitdrukkelijk opgenomen dat sprake moet zijn van een zwaarwegend algemeen belang en dat moet zijn voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad. Tot slot is in de memorie van toelichting nadere aandacht besteed aan de voorwaarden waaronder en omstandigheden waarin verwerking van bijzondere persoonsgegevens door de Nationale ombudsman, de overige ombudslieden en het Cbp zal kunnen plaatsvinden.
2. Verwerking gegevens bij bedrijfs- of verkeersongeval
De voorgestelde aanvulling op artikel 21, eerste lid, onderdeel a, biedt een grondslag voor de verstrekking van bijzondere persoonsgegevens door zorgverleners aan zorgverzekeraars in gevallen waarin hun cliënten slachtoffer zijn geworden van een bedrijfs- of verkeersongeval. Daarbij geldt de voorwaarde dat «de betrokkene hiertegen geen bezwaar heeft gemaakt». Aan deze voorwaarde wordt ook voldaan als de betrokkene niets van zich laat of kan laten horen. De Raad merkt op dat met deze voorwaarde wordt afgeweken van het algemene uitgangspunt bij het verwerken van bijzondere persoonsgegevens. Een zodanige verwerking is mogelijk indien de betrokkene daarvoor uitdrukkelijk toestemming heeft verleend (artikel 23, eerste lid, onderdeel a, Wbp). Ten aanzien van patiëntgegevens is eenzelfde regeling getroffen in artikel 457, lid 1, boek 7 van het Burgerlijk Wetboek. Uit de toelichting blijkt niet waarom van het algemene uitgangspunt is afgeweken en waarom niet de in artikel 23 Wbp gekozen constructie is gevolgd. De Raad adviseert de voorgestelde aanvulling op artikel 21, eerste lid, onderdeel a, alsnog met artikel 23, eerste lid, onderdeel a, Wbp in overeenstemming te brengen.
2. Verwerking gegevens bij bedrijfs- of verkeersongeval
In het wetsvoorstel zoals dat aan de Raad werd voorgelegd was in artikel 21, eerste lid, onderdeel a, een grondslag opgenomen voor de verstrekking van bijzondere persoonsgegevens door zorgverleners aan zorgverzekeraars in gevallen waarin hun cliënten slachtoffer zijn geworden van een bedrijfs- of verkeersongeval indien betrokkene hiertegen geen bezwaar heeft gemaakt. De voorgestelde bepaling beoogde doorgifte van gezondheidsgegevens aan zorgverzekeraars mogelijk te maken, in die gevallen waarin evident sprake is van een ongeluk, zodat zij regresrecht kunnen uitoefenen. Uit correspondentie van het Cbp met zorgaanbieders en zorgverzekeraars blijkt namelijk dat het steeds moeten vragen van uitdrukkelijke toestemming in de praktijk niet doenlijk is. De Raad adviseert de voorgestelde aanvulling op artikel 21, eerste lid, onderdeel a, in overeenstemming te brengen met artikel 23, eerste lid , onderdeel a, van de Wbp. Naar aanleiding van het advies van de Raad en met het oog op de doelstelling van dit wetsvoorstel tot het verminderen van regeldruk is besloten de voorgestelde wijziging van artikel 21 te laten vervallen. Er kan worden aangesloten bij de reeds door de Raad genoemde regeling in artikel 23 van de Wbp. Daarnaast kan gebruikt worden gemaakt van de uitzondering zoals opgenomen in artikel 87, eerste lid, van de Zorgverzekeringswet jo. artikel 7.1, derde lid, van de Regeling zorgverzekering waarin is opgenomen dat een zorgaanbieder in afwijking van de Wbp gegevens mag verstrekken aan de zorgverzekeraar van betrokkene en dat deze gegevens mogen worden gebruikt voor het uitoefenen van verhaalsrecht (regres).
3. Verwerking strafrechtelijke persoonsgegevens bij algemene maatregel van bestuur
Het voorgestelde artikel 22, zesde lid, geeft een grondslag voor afwijking bij algemene maatregel van bestuur van het verbod strafrechtelijke persoonsgegevens te verwerken. Volgens de toelichting1bij dit artikel bestaat het probleem er in dat
1) soms de procedure van artikel 31 Wbp (voorafgaand onderzoek) wordt gevolgd terwijl dat niet nodig is en
2) in gevallen waarvoor op grond van de wet voorafgaand onderzoek wel nodig is, het volgens het College Bescherming Persoonsgegevens (CBP) vaak gaat om veel voorkomende en maatschappelijk geaccepteerde verwerkingen die geen onaanvaardbare risico’s met zich brengen voor de rechten en vrijheden van de betrokkenen.
De Raad merkt op dat voor de situatie genoemd onder 1) een uitzondering bij algemene maatregel van bestuur niet nodig is, omdat voor deze gevallen toch al geen verbod geldt. Hier zou wellicht duidelijker communicatie over wat wel en niet aan voorafgaand onderzoek onderworpen is, voldoende soelaas bieden. Voor de situatie genoemd onder 2) geeft de toelichting, in navolging van het CBP, drie voorbeelden van «veel voorkomende en maatschappelijk geaccepteerde verwerkingen van strafrechtelijke gegevens die geen onaanvaardbare risico’s met zich meebrengen voor de rechten en vrijheden van betrokkenen». De voorgestelde wettelijke grondslag voor een algemene maatregel van bestuur is echter ongeclausuleerd en maakt het mogelijk allerlei verwerkingen van strafrechtelijke persoonsgegevens uit te zonderen. De Raad acht het aangewezen dat de wet in formele zin de criteria bevat waaraan de uit te zonderen categorieën van verwerkingen moeten voldoen2 en adviseert het wetsvoorstel daartoe aan te passen.
3. Verwerking strafrechtelijke persoonsgegevens bij algemene maatregel van bestuur
De Raad acht de voorgestelde wettelijke grondslag voor een algemene maatregel van bestuur te ongeclausuleerd. De bedoeling was om in een algemene maatregel van bestuur categorieën van verwerkingen op te nemen waarvoor het verbod op het verwerken van strafrechtelijke gegevens niet zou gelden. In lijn met de opmerking van de Raad is besloten af te zien van een algemene delegatiegrondslag en nader geclausuleerde specifieke uitzonderingen op te nemen in de wet. Deze uitzonderingen zijn onder te verdelen in twee categorieën. Het voorkomen van dubbelingen in voorafgaande onderzoeken bij samenwerkingsverbanden waarin zwarte lijsten worden bijgehouden en een uitzondering op het verbod van verwerken van strafrechtelijke gegevens voor publiekrechtelijke samenwerkingsverbanden als deze verwerking niet onder de uitzondering van artikel 22, eerste lid, kan worden gebracht. Daartoe is in artikel 31 een bepaling op genomen op grond waarvan de deelnemers aan een zogenaamde zwarte lijst deze lijst niet hoeven voor te leggen voor voorafgaand onderzoek wanneer een van de andere deelnemers deze zelfde lijst reeds eerder voor voorafgaand onderzoek heeft voorgelegd en het Cbp ten aanzien daarvan heeft verklaard dat de verwerking rechtmatig is. Daarnaast is in artikel 22 een uitzondering opgenomen voor het verwerken van strafrechtelijke gegevens door publiekrechtelijke samenwerkingsverbanden van verantwoordelijken of groepen van verantwoordelijken, anders dan op grond van de Wet politiegegevens en de Wet justitiële en strafvorderlijke gegevens. Uiteraard is deze uitzondering met waarborgen omkleed. Verwerking mag alleen plaatsvinden indien dat noodzakelijk is voor de uitvoering van de taak van deze verantwoordelijken of groepen van verantwoordelijken en bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad.
4. Recht van verzet
a. In artikel I, onderdeel K, wordt aan artikel 41, tweede lid, een volzin toegevoegd die de verantwoordelijke instantie verplicht aan de betrokkene desgevraagd een opgave van de genomen maatregelen te doen toekomen. De toelichting motiveert deze aanvulling met de reden dat nu in de praktijk onduidelijk is, wanneer de termijn ex artikel 46, tweede lid, Wbp aanvangt waarbinnen de betrokkene bij de rechtbank of bij het CBP een verzoek(schrift) kan indienen tot beëindiging van de verwerking van de gegevens.
De Raad merkt op dat de voorgestelde aanvulling nog steeds geen duidelijkheid brengt over de aanvang van de termijn. Artikel 46, tweede lid, Wbp bepaalt namelijk dat het verzoekschrift moet worden ingediend binnen zes weken na ontvangst van het antwoord van de verantwoordelijke, of, als deze niet binnen de gestelde termijn heeft geantwoord, binnen zes weken na afloop van de «gestelde termijn». De voorgestelde wijziging verduidelijkt echter nog niet wat de «gestelde termijn» is. De Raad adviseert het wetsvoorstel daartoe te verduidelijken.
b. In artikel I, onderdeel K, wordt artikel 41 Wbp aangepast. Het derde lid wordt versoberd en het vierde lid geschrapt. Dit betekent dat ten aanzien van de bekendmaking van de mogelijkheid van verzet niet langer is geregeld
1) hoe dit dient te gebeuren,
2) dat dit minstens een keer per jaar geschiedt (lid 3) en
3) dat dit bij iedere rechtstreekse boodschap aan betrokkene over gegevensverwerking in verband met directmarketing dient te gebeuren (lid 4).
Het CBP heeft kritiek geleverd op deze verschraling van het bekendmaken van het recht van verzet. Volgens de CBP wordt hiermee niet voldaan aan de verplichting van artikel 14, onder b, van de richtlijn en staat de gekozen lijn ook haaks op maatregelen die op ander terrein, zoals in de telemarketingbranche, worden genomen. De toelichting weerlegt dit niet. In aanvulling op de reactie van het CBP, waarvan hij de strekking onderschrijft, merkt de Raad op dat niet duidelijk wordt gemaakt hoe bezwaarlijk de administratieve lasten zijn die uit de drie manieren van bekendmaking van het recht van verzet voortvloeien. Dit is van belang, omdat omwille daarvan deze drie waarborgen worden geschrapt en de invulling van wat «passende maatregelen»1 zijn, volledig aan de verantwoordelijke zelf wordt overgelaten. Aangezien uit de memorie van toelichting op het huidige artikel 41 Wbp blijkt dat de bestaande regels als een minimumoplossing werden gezien2, valt niet in te zien waarom er thans van kan worden uitgegaan dat betrokkenen voldoende kennis van het recht op verzet zullen hebben, zodat niet langer behoefte bestaat aan de geldende wettelijke waarborgen.
Op grond van het vorenstaande adviseert de Raad artikel I, onderdeel K, nader te bezien.
4. Recht van verzet
a. Naar aanleiding van het advies van de Raad is in artikel 41, tweede lid, een termijn van vier weken opgenomen.
b. De Raad is van mening dat in de toelichting niet wordt weerlegd dat de voorgestelde wijziging van artikel 41 niet voldoet aan artikel 14 van de privacyrichtlijn. Daarnaast is de Raad van mening dat niet duidelijk wordt gemaakt hoe bezwaarlijk de lasten zijn die voortvloeien uit het vierde lid van artikel 41.
Artikel 14, onderdeel b, van de richtlijn geeft lidstaten een keuzemogelijkheid:
betrokkenen moeten ofwel het recht hebben zich, op verzoek en kosteloos, te kunnen verzetten tegen een voorgenomen verwerking van hem betreffende persoonsgegevens door een verantwoordelijke met het oog op direct marketing, ofwel het recht hebben te worden ingelicht voordat persoonsgegevens voor de eerste keer aan derden worden verstrekt of voor rekening van derden worden gebruikt voor direct marketing, en daarbij uitdrukkelijk ter kennis gebracht krijgen dat zij zich kosteloos kunnen verzetten tegen deze verstrekking of dit gebruik van gegevens. Artikel 14 van de Richtlijn bepaalt voorts dat de lidstaten de nodige maatregelen nemen om te waarborgen dat betrokkene kennis hebben van de hierboven genoemde rechten. Het geldende artikel 41, derde en vierde lid, bepalen hoe bekendmaking dient te geschieden respectievelijk dat betrokkene elke keer dat hij wordt benaderd wordt gewezen op de mogelijkheid tot het doen van verzet. Deze verplichtingen gaan verder dan artikel 14 van de Richtlijn, daaruit volgt slechts dat betrokkene op de hoogte moet worden gebracht en niet op welke wijze of met welke frequentie dat moet gebeuren. Daarom wordt voorgesteld in artikel 41 van de Wbp te volstaan met de verplichting voor de verantwoordelijke om passende maatregelen te nemen om betrokkenen de mogelijkheden bekend te maken tot het doen van verzet. Met deze oplossing wordt een goede balans bereikt tussen het waarborgen van de rechten van betrokkene en het minimaliseren van de administratieve lasten voor de verantwoordelijke.
De lasten die voorvloeien uit artikel 41, derde en vierde lid, moeten worden gezien als inhoudelijke nalevingskosten. In de memorie van toelichting is nader aandacht besteed aan wijze waarop deze lasten zijn berekend. Hiervoor is gebruik gemaakt van het onderzoek naar de administratieve lasten voortvloeiend uit de regelgeving van het ministerie van Justitie (Sira Consulting, januari 2004) en het rapport Administratieve lasten in het privacydomein; reductievoorstellen nader bekeken (EIM, september 2006). In samenhang bezien levert de voorgestelde wijziging van artikel 41 een vermindering op van € 2 266 700.
5. Verhoging boetebedragen en op te leggen straffen door de strafrechter
In artikel I, onderdeel O, wordt artikel 75 zodanig gewijzigd dat de daar genoemde straffen op overtredingen en misdrijven, die alle een handelen in strijd met de Wbp behelzen, worden verhoogd. De toelichting op dit artikel vermeldt dat dit gebeurt omdat het dringend gewenst is de bedragen die het CBP kan opleggen, te verhogen. De Raad merkt op dat het in artikel 75 echter niet gaat om de boetes die door het CBP worden opgelegd, maar om straffen die de strafrechter kan opleggen. De hoogte van de boetes die het CBP kan opleggen op grond van artikel 66 Wbp, wordt niet gewijzigd. De Raad constateert dat het wetsvoorstel en de doelstelling zoals deze blijkt uit de toelichting op dit punt niet bij elkaar aansluiten.
De Raad adviseert het wetsvoorstel en de toelichting met elkaar in overeenstemming te brengen.
5. Verhoging boetebedragen en op te leggen straffen door de strafrechter
Naar aanleiding van het advies van de Raad is in de memorie van toelichting verduidelijkt dat de voorgestelde wijziging beoogt de hoogte van de bestuurlijke boetes en de hoogte van de strafrechtelijke boetes meer met elkaar in overeenstemming te brengen.
6. Beboetbaar en strafbaar stellen van niet-melden gegevensverwerking
In de artikelen I, onderdelen L en O, wordt aan de artikelen 66 en 75 een lid toegevoegd. Daarin wordt respectievelijk bepaald dat een bestuurlijke boete of strafrechtelijke boete kan worden opgelegd aan een verantwoordelijke onder wiens verantwoordelijkheid een gegevensverwerking plaatsvindt die is aangevangen voor de inwerkingtreding van deze wet, terwijl die gegevensverwerking niet is gemeld overeenkomstig de artikelen 27, eerste lid, en 28 bij het College of de functionaris.
De Raad merkt op dat de voorgestelde artikelleden uitsluitend zien op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, als bedoeld in artikel 27, eerste lid, Wbp. Voor het niet-melden van een niet-geautomatiseerde verwerking van persoonsgegevens die aan voorafgaand onderzoek is onderworpen, als bedoeld in artikel 27, tweede lid, Wbp, wordt geen regeling opgenomen. De Raad acht het niet vanzelfsprekend dat bedoelde niet-geautomatiseerde verwerkingen hoe dan ook van melding zijn vrijgesteld. De Raad wijst erop dat artikel 79 Wbp, waarin deze materie eerder geregeld werd, betrekking had op zowel de geheel en gedeeltelijk als de niet-geautomatiseerde verwerkingen.
De Raad adviseert het wetsvoorstel op dit punt aan te passen.
6. Beboetbaar en strafbaar stellen van niet-melden gegevensverwerking
De Raad adviseert in de artikelen 66 en 75 op te nemen dat ook het niet melden van een niet-geautomatiseerde verwerking die is aangevangen voor inwerkingtreding van de Wbp beboetbaar respectievelijk strafbaar is. Het wetsvoorstel is daartoe aangepast.
7. Voor redactionele kanttekeningen verwijst de Raad naar de bij het advies behorende bijlage.
7. De redactionele kanttekeningen zijn overgenomen.
De Raad van State geeft U in overweging het voorstel van wet te zenden aan de Tweede Kamer der Staten-Generaal, nadat met het vorenstaande rekening zal zijn gehouden.
Ik moge U, mede namens mijn ambtgenote van Binnenlandse Zaken en Koninkrijksrelaties, verzoeken het hierbij gevoegde voorstel van wet en de memorie van toelichting aan de Tweede Kamer der Staten-Generaal te zenden.
– Artikel I, onderdeel F, onderdeel 1, vervangen door: In het vierde lid worden de onderdelen b en c geletterd c en d.
– In artikel I, onderdeel I, het voorgestelde artikel 31, eerste lid, onderdeel b, de term «observatie» vervangen door een term die duidelijk maakt dat het hierbij ook gaat om informatie verkregen door onder meer observeren, posten en gericht burenonderzoek (informatie vragen bij buren gevolgd door rapport opstellen).
– In artikel I, onderdeel I, het voorgestelde artikel 31, eerste lid, onderdeel c, achterwege laten de zinsnede «tenzij sprake is van een verwerking in de zin van de artikelen 22 of 23». Deze toevoeging is overbodig, omdat het logisch is dat er geen voorafgaand onderzoek nodig is als dat al is uitgevoerd.
– In artikel I, onderdeel P, het voorgestelde artikel 77, eerste lid, onderdeel g, het woord «indien» laten vervallen.
– Ter voorkoming van misverstanden in de memorie van toelichting consequent de Wbp-term «bijzondere persoonsgegevens» gebruiken in plaats van alternatieven als «gevoelige gegevens».
– De artikelsgewijze toelichting op de artikelen P, Q, R en S aanpassen, teneinde deze te laten aansluiten bij de wettekst.
– Toelichten waarom artikel 78, tweede lid, onderdeel b, van de Wet bescherming persoonsgegevens vervalt.
De oorspronkelijke tekst van het voorstel van wet en van de memorie van toelichting zoals voorgelegd aan de Raad van State is ter inzage gelegd bij het Centraal Informatiepunt Tweede Kamer.
Memorie van toelichting. Artikelsgewijs bij A tot en met F. De drie situaties zijn: 1) de ombudsman die persoonsgegevens betreffende gezondheid en ras en strafrechtelijke gegevens verwerkt; 2) accountants die voor hun controletaken in de zorgsector persoonsgegevens betreffende de gezondheid verwerken; 3) de Arbeidsinspectie die persoonsgegevens betreffende de gezondheid verwerkt.
In de toelichting wordt bij verwerking van persoonsgegevens door de ombudsman zelfs gesteld dat «veelal sprake (zal) zijn van uitdrukkelijke toestemming van betrokkene. Betrokkene verstrekt deze gegevens doorgaans immers ook zelf voor behandeling door een ombudsman.»