Einde inhoudsopgave
De beveiliging van persoonsgegevens (O&R nr. 135) 2022/4.4.2
4.4.2 De Wet persoonsregistraties
mr. J.A. Hofman, datum 01-07-2022
- Datum
01-07-2022
- Auteur
mr. J.A. Hofman
- JCDI
JCDI:ADS660998:1
- Vakgebied(en)
Privacy (V)
Voetnoten
Voetnoten
Ondanks dat de Nederlandse regering al in 1972 een staatscommissie had belast met het uitbrengen van advies aangaande de vormgeving van dit recht, werd de WPR pas in 1989 aangenomen. Zie Rapport Commissie-Koopmans 1976, par 1. De ontstaansgeschiedenis van de WPR wordt uitgebreid besproken in Sentrop 1985 en Overkleeft-Verburg 1995, hoofdstuk 3-5. Zie verder De Graaf 1987, §1.2.
Kamerstukken II 1984/85, 19095, 3, §1 (MvT).
Deze verplichtingen volgen uit art. 10 lid 2 en 3 Gw (resp. ‘De wet stelt regels ter bescherming van de persoonlijke levenssfeer in verband met het vastleggen en verstrekken van persoonsgegevens.’ en ‘De wet stelt regels inzake de aanspraken van personen op kennisneming van over hen vastgelegde gegevens en van het gebruik dat daarvan wordt gemaakt, alsmede op verbetering van zodanige gegevens.’). Zie over deze leden en hun inwerkingtreding: Overkleeft-Verburg 1982, p. 231.
Art. 1 WPR. Ingevolge dit artikel is een persoonsregistratie ‘een samenhangende verzameling van op verschillende personen betrekking hebbende persoonsgegevens, die langs geautomatiseerde weg wordt gevoerd of met het oog op een doeltreffende raadpleging van die gegevens systematisch aangelegd’, waarbij persoonsgegevens gegevens zijn die herleidbaar zijn tot een natuurlijk persoon.
Met deze bepaling voldoet Nederland aan de verplichting die art. 7 van het Verdrag van Straatsburg verdragsstaten oplegt (Kamerstukken II 1984/85, 19095, 3, p. 19 (MvT)).
Kamerstukken II 1984/85, 19095, 3, p. 19 (MvT).
De Wet persoonsregistraties (WPR) uit 1989 is de eerste Nederlandse wet betreffende de bescherming van persoonsgegevens.1 De tekst sluit aan bij het in 1988 door Nederland ondertekende Verdrag van Straatsburg en strekt mede tot uitvoering daarvan.2 Ook heeft de Nederlandse wetgever met de WPR voor het eerst aan art. 10 van de Grondwet voldaan, dat hem sinds 1983 verplicht regels te treffen omtrent de vastlegging en verstrekking van persoonsgegevens, de aanspraken van personen op kennisneming van over hen vastgelegde gegevens en het gebruik dat daarvan wordt gemaakt, en op verbetering van zodanige gegevens.3
De WPR zag op persoonsregistraties. Dit betekende dat zij alleen van toepassing was op samenhangende verzamelingen van dergelijke gegevens.4 Als er sprake was van zo’n verzameling moesten persoonsgegevens op grond van art. 8 WPR worden beveiligd.5 De beveiligingsvoorschriften waren gericht op degene die zeggenschap had over een persoonsregistratie en aldus bevoegd was het doel, de inhoud en het gebruik ervan te bepalen (‘de houder’).6 Hij droeg zorg voor de nodige voorzieningen van technische en organisatorische aard ter beveiliging van een persoonsregistratie tegen verlies, aantasting, onbevoegde kennisneming, wijziging of verstrekking van de gegevens. Voor het uitvoeren van een verwerking kon hij een bewerker inschakelen: iemand die (een deel van) de apparatuur onder zich had waarmee een persoonsregistratie van een ander (de houder) werd uitgevoerd. Ook deze bewerker moest voldoen aan art. 8 WPR, maar enkel ten aanzien van de apparatuur die meebracht dat hij als bewerker werd gekwalificeerd.7 Wat ‘de nodige voorzieningen’ in de zin van art. 8 WPR betekende, werd noch in de wet, noch in de memorie van toelichting verduidelijkt. Ook in jurisprudentie en de literatuur is deze term bij mijn weten niet verder uitgewerkt. Indien art. 8 WPR niet werd nageleefd, kon degene wiens persoonsgegevens zijn vastgelegd in de persoonsregistratie een civielrechtelijke aansprakelijkheidsvordering instellen.8