Dr. C.H.J. Willemsen

Richtlijn gegevensbescherming, strafrecht, bedrijfsregels, informatiesystemen

De implementatie van de Richtlijn gegevensbescherming bij opsporing en vervolgingRichtlijn (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van Kaderbesluit 2008/977/JBZ van de Raad.
Zie tevens C.H.J. Willemsen, Identiteitsvaststelling van verdachten en illegale vreemdelingen door opsporingsdiensten (diss. Tilburg), 2019, p. 84-85. in de nationale Nederlandse wetgeving wordt hier onder de loep genomen, in het bijzonder drie ‘weeffouten’ die Custers & LeiserB. Custers & M. Leiser, ‘Persoonsgegevens in het strafrecht, Weeffouten in EU-Richtlijn 2016/680 leiden tot praktische problemen’, NJB 2019, afl. 34, p. 2490-2497. in een eerdere publicatie hebben benoemd. Vervolgens wordt ingegaan op praktische problemen bij de aanpassing van processen en informatiesystemen in het strafrecht. Waar de Richtlijn geen standpunt inneemt of niet in detail aangeeft hoe zaken geregeld dienen te worden, worden hier voorstellen gedaan om de Nederlandse wetgeving op enkele punten aan te vullen.

Inleiding en leeswijzer

De Richtlijn leidt in eerste instantie tot aanpassing van de nationale justitiële en politiële wetgeving; de Wet justitiële en strafvorderlijke gegevens (Wjsg) en de Wet politiegegevens (Wpg). De Europese ideeën kunnen in beginsel tot knelpunten leiden in de nationale bestaande wetgeving (deel I van dit artikel). Vervolgens leidt de aangepaste wetgeving op haar beurt tot aanpassing van processen en informatiesystemen in de strafrechtsketen (deel II van dit artikel). Ten slotte volgt een conclusie over dit traject van Europese versus nationale wetgeving tot implementatie in processen en systemen. Doelgroepen van dit artikel zijn juristen, privacyofficers en beheerders van systemen.

1Wetgeving

Custers & Leiser benoemen in hun bijdrage een drietal conceptuele ‘weeffouten’ in de Richtlijn 2016/680 die in Nederland in de praktijk tot uitvoeringsproblemen zouden kunnen leiden. De conceptuele weeffouten die Custers & Leiser benoemen zijn: (1) toestemming en controle, (2) categorisering van betrokkenen/data subjecten en (3) feiten versus meningen. Ik ga op elk van deze weeffouten in om te zien of daar oplossingen voor zijn.

1.1Toestemming en controle

Custers & Leiser stellen dat toestemming van de betrokkenen volgens de Richtlijn niet vereist is hetgeen op het eerste gezicht logisch lijkt als het gaat om verdachten, die mogelijk toch niet willen instemmen met het verwerken van hun persoonsgegevens, omdat het niet in hun belang hoeft te zijn. Echter, zo stellen Custers & Leiser, is het veel minder logisch voor andere typen datasubjecten, zoals getuigen en slachtoffers, die mogelijk wel zelf willen kunnen beslissen over hoe hun persoonsgegevens worden gebruikt. Hoewel toestemming dus formeel niet vereist is, gaat bijvoorbeeld een slachtoffer wel impliciet akkoord met de verwerking als deze aangifte doet met als oogmerk dat nader onderzoek plaatsvindt.

Aan de ‘weeffout’ kan m.i. enigszins tegemoet worden gekomen door een bericht op het moment dat een rechtszaak van de fase opsporing naar de fase vervolging gaat en de eerste verdachte(n), getuige(n) en deskundige(n) worden opgeroepen. Alle betrokkenen in deze zaak, dus ook het slachtoffer, zouden actief kunnen worden benaderd waarbij gegevensbeheerders aangeven welke gegevens over hen door wie worden geregistreerd en welke rechten ze daarbij hebben, bijvoorbeeld door te verwijzen naar een privacystatement op een website. Het formele informatierecht krijgt dan ook praktische betekenis.

1.2Categorisering van datasubjecten/betrokkenen in relatie tot strafbare feiten

De Richtlijn vereist (art. 6) dat de bevoegde autoriteiten de datasubjecten categoriseren als verdachte, veroordeelde, slachtoffer of anderen, waaronder getuige, expert en belanghebbende (zoals omgezet in art. 6b Wpg en art. 39b Sv). De onderkende justitiële systemen (het Justitieel Documentatiesysteem en de Strafrechtketendatabank) in de strafrechtsketen zijn in hun huidige vorm echter niet geschikt voor uniforme categorisering van datasubjecten omdat er aparte registraties/(verwijs)indexen zijn (voor de personalia) van:

verdachte en veroordeelde;
getuige;
informant/aangever;
slachtoffer;
expert, e.d.

Daarnaast zijn er aparte registraties van zaken waarin deze datasubjecten een rol spelen, te weten:

justitiële documentatie zoals het vonnis;
politiegegevens zoals proces-verbaal en onderzoeksdossier;
rapport slachtofferhulp, e.d.

In deze registraties worden de persoonsgegevens niet altijd gestructureerd vastgelegd, maar in de vorm van vrije tekst bijv. in een proces verbaal waardoor bewaartermijnen niet eenduidig aan categorieën kunnen worden verbonden. Deels zijn deze registraties voor de strafrechtketen als geheel beschikbaar en deels ook alleen voor specifieke ketenpartners; dat is begrijpelijk vanuit de gedachte van doelbinding, maar lastig voor de categorisering in de keten als geheel.

‘Privacy by design’ is een goed uitgangspunt, maar vaak blijft het in de praktijk bij aanpassing van bestaande (legacy)systemen en zou het beter zijn om hier met een frisse blik naar te kijken, bijvoorbeeld door de volgende bedrijfsregels (geautomatiseerd) toe te passen.

Als een datasubject in de loop der tijd van rol wisselt of zijn rol eindigt, wordt dat niet nu eenduidig in alle registraties bijgewerkt. Een bedrijfsregel zou kunnen zijn: datasubject <A> is van <begindatum> tot <einddatum> een <rol> op vermoeden van functionaris <B> in zaak <C> zoals vastgelegd in onderbouwing <D>. Rol kan daarbij als voorkomen hebben: tipgever (informant), aangever, getuige, slachtoffer, verdachte, veroordeelde, gerehabiliteerde, expert, belanghebbende, e.d. Functionaris kan zijn een opsporingsambtenaar, een officier van justitie, een rechter, een medewerker slachtofferhulp, e.d. Mocht een persoon bijv. in eerste instantie met een rol als verdachte zijn geregistreerd en nadien worden vrijgesproken dan kan de einddatum in de bedrijfsregel worden ingevuld. Mocht iemand echter worden veroordeeld dan wordt eveneens bij de rol van verdachte de einddatum ingevuld plus vindt in de vorm van een tweede bedrijfsregel een registratie plaats van hetzelfde datasubject als veroordeelde met die datum als begindatum. Aan het eind van de veroordeling wordt de einddatum ingevuld en vindt een registratie plaats van hetzelfde datasubject als gerehabiliteerde met die datum als begindatum. Op basis van de onderscheiden rol(len) en de einddatum kunnen de specifieke bewaartermijnen worden nageleefd en de registraties worden verwijderd rekening houdend met samenloop. Custers & Leiser geven aan dat gegevens van getuigen en slachtoffers (vooral van belang vóór veroordeling) soms minder lang bewaard hoeven te worden dan gegevens van veroordeelden (vooral van belang na veroordeling) hetgeen op bovenstaande wijze kan worden geïmplementeerd.

Door het gebruik van bedrijfsregels zijn enkele van de door Custers & Leiser gesignaleerde problemen oplosbaar, te weten: bij indrukken en interpretaties is duidelijk welke opsporingsambtenaar een rol aan een subject wanneer en waarom toekent, een dynamische i.p.v. een statische categorisering vindt plaats en het (mogelijk) overlappen van rollen is zichtbaar. Zoals gesteld, vergt deze oplossing wel een totaalaanpak over de ketenregistraties heen en niet zoals nu een separate aanpak per systeem en per organisatie.

1.3Feiten versus meningen

Custers & Leiser stellen dat het door de Richtlijn vereiste onderscheid tussen feiten en meningen problematisch is met name vanwege:

duiding oftewel definitie van beide begrippen en onderscheid tussen vrije tekst en gestructureerde vastlegging;
de rechter zou dit onderscheid dienen te maken en niet alvast in een eerder stadium de opsporingsambtenaar of de officier van justitie.

Ik ga hier in op deze bezwaren om te zien of daar in de praktijk tegemoet aan kan worden gekomen zonder afbreuk te doen aan de Richtlijn. Je zou kunnen zeggen: een verbijzondering in de Nederlandse wetgeving om de waarheidsvinding te dienen. Mogelijk kan dit worden meegenomen in de door de minister aangekondigde herziening van de Wpg en de Wjsg in onderlinge samenhangKamerstukken II 2015/16, 33842, nr. 3. en de aanpassing daarvan in processen en informatiesystemen.

Ad a.Begrippen en vastlegging

Feit en mening dienen duidelijker gedefinieerd te worden. Op basis wat Custers & Leiser stellen, doe ik hier een voorstel ter verdieping van art. 4 lid 3 Wpg. Een derde categorie die zij noemen, ‘afgeleide persoonsgegevens’, wordt in de Richtlijn niet onderkend dus het is beter om dat als onderdeel van een mening te onderkennen.

Een feit betekent dat de bevoegde functionaris de kwaliteit, nauwkeurigheid, volledigheid en betrouwbaarheid van persoonsgegevens kan verifiëren op basis van redenen van wetenschap (‘ik zag, ik hoorde’). Een feit is in beginsel direct waarneembaar of controleerbaar. Een datasubject heeft het recht om onjuiste gegevens over hemzelf te laten rectificeren of gegevens aan te vullen wanneer die incompleet zijn.
Een mening is een persoonlijk oordeel of indruk van een datasubject of een functionaris en kan feiten omvatten. Een dergelijk observatie kan zijn ingekleurd door percepties en ervaringen.
Een afgeleid persoonsgegeven is een bijzondere vorm van een mening. De afleiding kan uit data-analyses verkregen eigenschappen omvatten die aan personen worden toegeschreven. Ook wel genoemd een kans of inschatting.

Ad b.Wie stelt vast?

De vraag is of een rechter kan oordelen of iets een feit of mening is omdat hij zich grotendeels baseert op bewijzen die door anderen zijn aangedragen. We kunnen dit ondervangen via een bedrijfsregel bijv. functionaris <A> stelt dat bewijs <B> een feit of mening (of afgeleid persoonsgegeven) is. Daarmee wordt een hiërarchie van onderscheid maken vastgelegd.

Door bovengenoemde systematiek in de Nederlandse wetgeving op te nemen, is het door Custers & Leiser benoemde onderscheid niet langer problematisch.

2Processen en informatiesystemen

Ook los van de hiervoor genoemde weeffouten blijkt de Richtlijn tot implicaties te leiden in die zin dat vraagstukken moeten worden opgelost inzake de impact van:

rolverdeling verwerkingsverantwoordelijke en verwerker;
opstellen en vaststellen van beleid;
logging en autorisatie;
bewaartermijnen;
trainingen en bewustwording;
welke aanpassingen als eerste worden uitgevoerd.

Ad 1Verwerkingsverantwoordelijke versus verwerker

De verwerkingsverantwoordelijke is degene die, alleen of samen met anderen, de doeleinden van en de middelen voor de verwerking van persoonsgegevens vaststelt.
De verwerker is degene die namens de verwerkingsverantwoordelijke persoonsgegevens verwerkt. Als we kijken naar de processen en de informatiesystemen die onder de Richtlijn vallen, is het niet direct duidelijk welke organisatie of functionaris welke rol vervult. Het ‘alleen of samen met anderen’ is een lastig begrip in de strafrechtsketen. Uiteindelijk is de Minister van Justitie en Veiligheid eindverantwoordelijk voor de justitiële gegevens en rapporten in een persoonsdossier, maar wordt in art. 1 Wjsg ook het College van procureurs-generaal benoemd voor de strafvorderlijke gegevens waarmee de rollen nog niet eenduidig zijn verdeeld. De Autoriteit Persoonsgegevens verwijst in haar advies ook naar deze onduidelijkheid.AP, ‘Verzoek om advies ten aanzien van wetsvoorstel inzake implementatie van Richtlijn (EU) 2016/680’, 16 februari 2017. In het bijzonder geldt dat voor de ‘sui generis’ organisaties als de Hoge Raad, de rechtspraak en de politie. Die onduidelijkheid zou kunnen betekenen dat er meerdere, tegenstrijdige verwerkingsregisters, beleidsstukken en werkinstructies ontstaan of dat deze daarentegen ontbreken.

We kennen in de praktijk de rollen van opdrachtgever, systeemeigenaar, proceseigenaar, gegevenseigenaar, beheerder en opdrachtnemer. De Richtlijn legt verantwoordelijkheden echter neer bij andere rollen te weten de verwerkingsverantwoordelijke, de verwerkingsverantwoordelijke en/of de verwerker samen dan wel de verwerker. Beter is om te spreken over responsible (verwerkingsverantwoordelijke) en accountable (verwerker) zoals in RASCI (staande voor Responsible, Accountable, Supportive, Consulted en Informed) gebeurt, maar daar is in de Richtlijn niet voor gekozen.

De organisaties dienden al in 2018 stappen te ondernemen om de processen en informatiesystemen te laten (gaan) voldoen aan de Richtlijn die eerst in 2019 in de justitiële wet en politiewet werd verankerd.Wet van 17 oktober 2018 tot wijziging van de Wet politiegegevens en de Wet justitiële en strafvorderlijke gegevens ter implementatie van Europese regelgeving over de verwerking van persoonsgegevens met het oog op de voorkoming, het onderzoek, de opsporing en vervolging van strafbare feiten of de tenuitvoerlegging van straffen. Ze moesten dus bepaalde aannames maken over de rollen en de rolverdeling. Vaak is daarbij de opdrachtgever gelijkgesteld aan de verwerkingsverantwoordelijke en de opdrachtnemer/beheerder aan de verwerker om het praktisch in te vullen. Waar volgens de Richtlijn de verwerkingsverantwoordelijke bepaalde zaken dient te regelen (is responsible), kan in een verwerkingsovereenkomst worden opgenomen dat de verwerker (wordt responsible) dit namens de verwerkingsverantwoordelijke doet (blijft accountable). De Richtlijn heeft er zeker voor gezorgd dat, waar nog geen verwerkingsovereenkomst tussen beide partijen was getekend omdat ze beiden deel uitmaken van hetzelfde ministerie, er alsnog een overeenkomst werd afgesloten.

Ad 2Beleid

De Richtlijn (overweging 53) stelt dat om de naleving te kunnen aantonen, de verwerkings-verantwoordelijke intern beleid dient vast te stellen en maatregelen te implementeren die in het bijzonder voldoen aan de beginselen van gegevensbescherming door bij het ontwerp van de gegevensbescherming standaardinstellingen te gebruiken. Verder stelt art. 34b van de Richtlijn dat er beleid van de verwerkingsverantwoordelijke moet zijn met betrekking tot de bescherming van persoonsgegevens, met inbegrip van de toewijzing van verantwoordelijkheden, bewustmaking en opleiding van het bij de verwerking betrokken personeel en de betreffende audits. De vraag in de praktijk is daarbij op welk niveau dit beleid wordt op- en vastgesteld. Wat kan voor het ministerie als geheel opgaan en wat is specifiek voor een proces of informatiesysteem?
De verwerker heeft daar de meeste kennis van, maar de verwerkingsverantwoordelijke kan de consequenties overzien. Het beste werkt dan een combinatie van top-down en bottom-up. Vaak wordt beleid al wel uitgevoerd, denk aan rollen en bewaartermijnen, maar is het niet formeel beschreven en vastgesteld; in dat geval kan relatief snel aan de verplichting van de Richtlijn worden voldaan.

Ad 3Logging en autorisatie

Art. 25 van de Richtlijn stelt dat logbestanden dienen te worden bijgehouden van ‘ten minste de volgende verwerkingen in informatiesystemen: verzameling, wijziging, raadpleging, bekendmaking onder meer in de vorm van doorgiften, combinatie en wissing’.

De systemen zijn doorgaans wel ingericht om de invoer, wijziging en verwijdering van gegevens bij te houden maar in mindere mate de raadpleging en in het laatste geval zeker niet wie wat heeft geraadpleegd. Dat laatste komt omdat veelal wordt vertrouwd op de autorisatie waarmee het raadplegen en verstrekken op voorhand wordt geregeld en waar nodig uitgesloten. Dan is het wel van belang om periodiek te toetsen of die autorisaties nog wel actueel zijn gezien de rol die iemand vervult. Dat geldt in het bijzonder voor beheerders met vergaande bevoegdheden ook buiten de reguliere gebruikersmenu’s (denk aan het maken van queries met aparte opvraagtools).

Lid 3 stelt dat de verwerkingsverantwoordelijke en de verwerker de logbestanden desgevraagd ter beschikking stellen van de toezichthoudende autoriteit. Dat vereist nog veel technische uitwerking.

De Richtlijn is in zo verre realistisch dat zij voorziet in de mogelijkheid om, als dit buitengewone inspanningen met zich zou brengen, de geautomatiseerde systemen uiterlijk in 2023 en in uitzonderlijke omstandigheden uiterlijk 6 mei 2026 in overeenstemming te brengen met de verplichting tot logging. Daarvoor is aanpassing nodig in de broncode in het geval van maatwerk-systemen en parameters in standaardsystemen. Eind 2018 voldeed nog geen van de justitiële systemen aan de eis tot logging in het bijzonder om te voorkomen dat de logbestanden worden gemanipuleerd. De verwachting is dat de justitiële systemen eind 2020 wel aan deze verplichting kunnen voldoen.

Ad 4Bewaartermijnen

De Richtlijn stelt in art. 4 lid 1.e dat persoonsgegevens niet langer worden bewaard dan noodzakelijk is voor het doel waarvoor zij worden verwerkt. In het bijzonder moeten persoonsgegevens niet worden gewist, maar moet de verwerking worden beperkt als redelijkerwijs kan worden aangenomen dat het wissen van de gegevens de rechtmatige belangen van de betrokkene zou kunnen schaden. Pseudonimisering kan als oplossing worden toegepast, maar dat werkt alleen als de systemen daartoe zijn ontworpen. Als gegevens niet langer mogen worden bewaard of verstrekt, dienen deze te worden verwijderd of vernietigd. Dat is in de praktijk met name een probleem als er sprake is van samenloop; bijv. bedrijfsregel 1: iemand is veroordeeld voor zaak <A¹> waarvoor een bewaartermijn van <B¹> jaar geldt en bedrijfsregel 2: een zaak <A²> waarvoor een bewaartermijn <B²> geldt. De bewaartermijnen gelden dan cumulatief waarbij het soms de vraag kan zijn voor welke zaak welke persoonsgegevens zijn opgeslagen en welke persoonsgegevens wel of niet verwijderd dienen te worden.

Ad 5Trainingen en bewustmaking

De beleidsverantwoordelijke dient volgens de Richtlijn art. 34 lid b. bewustmaking en opleiding te organiseren waar de functionaris voor gegevensbescherming op toeziet. Daarbij is niet duidelijk wie precies welke training voor welke doelgroep zou moeten initiëren. Het ministerie van Justitie en Veiligheid heeft eind 2018 in de breedte cursussen georganiseerd hoewel deze grotendeels waren toegespitst op de Algemene verordening gegevensbescherming en in mindere mate op de Richtlijn. Aandachtspunt is wel om de bewustwording van privacy actueel te houden.

Ad 6Volgorde van aanpassingen

De Richtlijn geeft niet aan hoe een informatiesysteem dient te worden aangepast en er kan alleen geconcludeerd worden dat een aanpassing nodig is. Een zeer grondige aanpassing, denk aan privacy by design, kan wenselijk zijn, maar is zeer kostbaar en daarmee vaak op korte termijn niet haalbaar. Soms moet dan voor een houtje-touwtje-methode worden gekozen om binnen de gestelde termijn te voldoen aan de Richtlijn en is de oplossing nog verre van efficiënt.

Ten slotte

Uniformering van de wetgeving in Europa leidt tot vergaande aanpassingen in de Nederlandse situatie. Daarbij is het belangrijk dat partijen elkaar vinden om gezamenlijk invulling te geven aan een betere bescherming van persoonsgegeven in het strafrecht. Ook is het tijdpad van de benodigde aanpassingen van belang zeker waar het gaat om legacy-systemen en diverse verantwoordelijkheden die situationeel ingevuld dienen te worden. Na al die grote aanpassingen is het zaak om alert te blijven en privacy tot in de bloedvaten van de organisatie door te voeren.

* Clemens Willemsen is beleidsadviseur en was coördinator implementatie Richtlijn bij het ministerie van Justitie en Veiligheid in de periode 2018/19. Deze bijdrage is op persoonlijke titel geschreven en geeft niet noodzakelijk de mening weer van het ministerie.

Privacy & Informatie (P&I)

Verwerking persoonsgegevens in het strafrecht