Regeling van de Minister van Justitie en Veiligheid van 5 februari 2022, nr. 3573121, tot wijziging van de Regeling particuliere beveiligingsorganisaties en recherchebureaus in verband met de actualisering van de (privacy)gedragscode
De minister van Justitie en Veiligheid,
Gelet op artikel 6, aanhef en onder i, van de Wet particuliere beveiligingsorganisaties en recherchebureaus;
Besluit:
ARTIKEL I:
De Regeling particuliere beveiligingsorganisaties en recherchebureaus wordt als volgt gewijzigd:
Bijlage 6 wordt vervangen door een nieuwe (privacy)gedragscode, luidende:
Bijlage 6. (Privacy)gedragscode sector particuliere onderzoeksbureaus van de vereniging van particuliere beveiligingsorganisaties (als bedoeld in artikel 23a van de Regeling particuliere beveiligingsorganisaties en recherchebureaus)
INHOUDSOPGAVE
1 Overwegingen 1
2 Doel en werkingssfeer gedragscode 2
3 Begripsbepalingen 4
4 Omschrijving van de sector 8
4.1 De sector particuliere onderzoeksbureaus 8
4.2 Opdrachtgevers van de sector particuliere onderzoeksbureaus 9
4.3 Opdrachten- c.q. voorvallenregistratie en de toepasselijkheid van de AVG 10
5 Algemene beginselen van gegevensverwerking 12
5.1 Beginsel van rechtmatigheid (uitwerking artikel 5 lid 1 onder a AVG) 12
5.2 Beginsel van doelbepaling en doelbinding (uitwerking artikel 5 lid 1 onder b AVG) 12
5.3 Beginsel van minimale gegevensverwerking (uitwerking artikel 5 lid 1 onder c AVG) 14
5.4 Beginsel van juistheid (uitwerking artikel 5 lid 1 onder d AVG) 15
5.5 Beginsel van opslagbeperking (uitwerking artikel 5 lid 1 onder e AVG) 15
5.6 Beginsel van integriteit en vertrouwelijkheid (uitwerking artikel 5 lid 1 onder f AVG) 17
5.7 Beginsel van rechtmatigheid (uitwerking artikel 6 lid 1 AVG) 17
6 Bijzondere categorieën van persoonsgegevens 21
7 Methoden van gegevensvergaring 23
7.1 Algemene normering onderzoeksmethoden en -middelen 24
7.2 Betreden van niet openbare (besloten) plaatsen 25
7.3 Interviewen van personen 26
7.4 Observatie 28
7.5 Heimelijke observatie door middel van camera’s 31
7.6 Onderzoek in geautomatiseerde voorzieningen 33
7.7 Vertrouwelijke communicatie 34
7.8 Proefaankoop en pseudoklant 37
7.9 Vastlegging van gehanteerde onderzoeksmethoden en —middelen 38
8 Informatieverstrekking aan de onderzochte perso(o)n(en) 39
8.1 Informatieverstrekking aan de onderzochte persoon (uitwerking artikel 13, 14 en art. 23
AVG jo art. 41 UAVG) 39
9 Rechten van de onderzochte perso(o)n(en) 44
9.1 Mededelingen, inzage en kopieën (uitwerking artikel 15 AVG en artikel 41 UAVG) 44
9.2 Rectificatie en wissing (uitwerking artikel 16 t/m 18 AVG) 45
9.3 Recht van bezwaar (uitwerking van artikel 21 AVG) 46
10 Gegevensverkeer met landen buiten de Europese Unie 47
11 Geschillenbeslechting respectievelijk verzoeken bij de Autoriteit Persoonsgegevens
en de rechter 48
12 Naleving gedragscode 49
13 Functionaris voor de gegevensverwerking 50
14 Overige algemene verplichtingen 51
14.1 Datalekken 51
14.2 Data protection impact assessment (DPIA) en voorafgaande raadpleging 52
14.3 Verwerkingsregister 52
1 Overwegingen
1.1 Particuliere onderzoeksbureaus houden zich op commerciële basis bezig met het verrichten van feitenonderzoek in zaken met een privaatrechtelijke, bestuursrechtelijke of strafrechtelijke achtergrond. Voor een belangrijk deel heeft dit onderzoek als doel het verzamelen van materiaal dat als bewijs kan dienen in een gerechtelijke procedure. Voor een ander deel is het doel het verzamelen van gegevens die van belang zijn voor opdrachtgevers bij het nemen van (pre)contractuele beslissingen;
1.2 Het handelen van particuliere onderzoeksbureaus moet in overeenstemming zijn met hetgeen van een
particulier onderzoeksbureau in het maatschappelijk verkeer mag worden verwacht. Deze norm is voor particuliere onderzoeksbureaus expliciet vastgelegd in artikel 14 aanhef en onder e van de Wet particuliere beveiligingsorganisaties en recherchebureaus (hierna te noemen: Wpbr). Naast deze specifieke voor particuliere onderzoeksbureaus geldende norm gelden ook de algemeen geldende normen van zorgvuldig (maatschappelijk) handelen of nalaten zoals die zijn vastgelegd in artikel 6:162 van het Burgerlijk Wetboek en de Algemene Verordening Gegevensbescherming (hierna te noemen: AVG) en de Uitvoeringswet Algemene Verordening Gegevensbescherming (hierna te noemen: Uitvoeringswet AVG);
1.3 Particuliere onderzoeksbureaus hebben enerzijds te maken met de belangen van de opdrachtgever en
anderzijds met de belangen van de onderzochte perso(o)n(en). De belangen van de laatste(n) zullen doorgaans anders liggen dan de belangen van de opdrachtgever. Het feitenonderzoek maakt in voorkomende gevallen in meer of mindere mate inbreuk op grondrechten van de onderzochte perso(o)n(en);
1.4 Particuliere onderzoeksbureaus verwerken in het kader van hun bedrijfsvoering persoonsgegevens en
vinden het belangrijk dat met die persoonsgegevens zorgvuldig wordt omgegaan en dat deze persoonsgegevens vertrouwelijk worden behandeld;
1.5 De AVG waarborgt de bescherming van de persoonlijke levenssfeer van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens;
1.6 In het kader van hun opdracht maken particuliere onderzoeksbureaus gebruik van diverse onderzoeksmethoden en —middelen. Aan de algemeen geldende wetten, de bestaande jurisprudentie en achtergrondstudies van de Autoriteit Persoonsgegevens kunnen normen worden ontleend over wat wel of niet is toegestaan. Hoewel deze normen richtinggevend zijn voor wat wel of niet is toegestaan, zijn deze normen over het algemeen onvoldoende specifiek voor de sector particuliere onderzoeksbureaus;
1.7 De opdrachtgever bepaalt in overleg met het particuliere onderzoeksbureau welke onderzoeksmethode(n) en/of —middel(en) ingezet wordt (of worden) en of voorafgaand aan de inzet daarvan een Data Privacy Impact Assessment (DPIA) moet worden uitgevoerd.
1.8 Een particulier onderzoeksbureau wordt als verwerkingsverantwoordelijke aangemerkt in de zin van de AVG en kan in rechte worden aangesproken op hun handelen of nalaten door personen die van mening zijn dat jegens hen onrechtmatig is gehandeld, dit onverlet de eventuele aansprakelijkheid van
de opdrachtgever in geval van onzorgvuldig handelen of nalaten door een particulier onderzoeksbureau.
2 Doel en werkingssfeer gedragscode De gedragscode:
- Is van toepassing op activiteiten van particuliere onderzoeksbureaus waarbij persoonsgegevens in Nederland worden verwerkt. Voor verwerkingsactiviteiten buiten Nederland dienen particuliere onderzoeksbureaus zich te houden aan de daar geldende wet- en regelgeving;
- De gedragscode bevat richtlijnen hoe in juridische zin moet worden omgegaan met persoonsgegevens die in het kader van de dienstverlening aan opdrachtgevers verwerkt worden;
- draagt bij aan de doorzichtigheid van door de sector particuliere onderzoeksbureaus gehanteerde onderzoeksmethoden en in te zetten onderzoeksmiddelen;
- geeft aan wanneer de onderzochte persoon op de hoogte gesteld wordt van het feit dat tegen hem/haar een onderzoek is/wordt ingesteld en wat aan de onderzochte persoon wordt medegedeeld;
- biedt aanknopingspunten voor de Autoriteit Persoonsgegevens om te beoordelen of de verwerking van de persoonsgegevens door de sector particuliere onderzoeksbureaus volgens de geldende wet- en regelgeving geschiedt.
De Nederlandse Veiligheidsbranche is een representatieve werkgeversorganisatie, waarin bedrijven zijn aangesloten die vallen onder de werkingssfeer van de Wpbr. Onder de Wpbr vallen beveiligingsbedrijven, bedrijfsbeveiligingsdiensten, particuliere alarmcentrales, geld-en waardetransportbedrijven en particuliere onderzoeksbureaus.
De Nederlandse Veiligheidsbranche is een voortzetting in ruimer verband van de in 1939 opgerichte vereniging van nachtveiligheidsdiensten en bewakingsbedrijven. De Nederlandse Veiligheidsbranche is de representant in alle overheids- en bedrijfsorganen die met beveiliging te maken hebben. De leden zijn, afhankelijk van hun bedrijfsactiviteiten, onderverdeeld in de volgende secties:
– manbewaking;
– geld- en waardetransporteurs; – alarmcentrales;
– evenementen- en horecabeveiliging; – particuliere onderzoeksbureaus.
Qua aantallen medewerkers die in dienst zijn van particuliere onderzoeksbureaus die lid zijn van de Nederlandse Veiligheidsbranche vertegenwoordigt de Nederlandse Veiligheidsbranche anno 2018 40% van het aantal medewerkers van de recherchebureaus waarvoor de Minister van Justitie en Veiligheid een vergunning heeft afgegeven.
Behalve de Nederlandse Veiligheidsbranche behartigt ook de Branchevereniging voor Particuliere Onderzoeksbureaus (BPOB) de belangen van particuliere onderzoekers in Nederland. De BOPB is in de gelegenheid gesteld om inhoudelijk bij te dragen aan de inhoud van deze privacygedragscode en heeft daarvan ook gebruikt gemaakt.
Voor de privacygedragscode geldt als uitgangspunt dat zij van toepassing is op de sectie particuliere onderzoeksbureaus van de Nederlandse Veiligheidsbranche en de leden van de BPOB voor zover de particuliere onderzoeksbureaus een vergunning hebben als recherchebureau in de zin van artikel 1 lid 1 aanhef en onder f van de Wpbr. Bij de beoordeling
van de vraag of recherchewerkzaamheden worden verricht zijn de feitelijke werkzaamheden die worden verricht bepalend.
De eerste versie van de privacygedragscode is door de Autoriteit Persoonsgegevens voor een periode van vier jaar goedgekeurd op 13 januari 2004. Daarna heeft de Autoriteit Persoonsgegevens voor de periode van 21 oktober 2009 — 21 oktober 2014 en achtereenvolgens voor de periode van 9 maart 2016 tot uiterlijk 9 maart 2021 geoordeeld dat de in de privacygedragscode opgenomen regels, gelet op de bijzondere kenmerken van de sector particuliere onderzoeksbureaus, een juiste uitwerking vormen van de AVG of van andere wettelijke bepalingen betreffende de verwerking van persoonsgegevens.
In 2018 is de privacygedragscode omgezet van Wet bescherming persoonsgegevens naar AVG die op 25 mei 2018 in werking is getreden].
Door een besluit van de Minister van Justitie en Veiligheid bindt de privacygedragscode niet alleen de bij de Nederlandse Veiligheidsbranche aangesloten particuliere onderzoeksbureaus. De Minister van Justitie en Veiligheid heeft op 1 juni 2004 in artikel 23a van de Regeling Particuliere beveiligingsorganisaties en recherchebureaus bepaald dat recherchebureaus die geen lid zijn van de Nederlandse Veiligheidsbranche een privacygedragscode moeten hebben die identiek is aan die van de Nederlandse Veiligheidsbranche en deze code na moeten leven. De privacygedragscode is daarmee algemeen verbindend verklaard voor alle particulier onderzoeksbureaus die een vergunning behoeven als bedoeld in de Wet particuliere beveiligingsorganisaties en recherchebureaus.
Ook buiten recherchebureaus worden recherchewerkzaamheden verricht door andere personen en organisaties. Daarbij kan gedacht worden aan bedrijfsrecherche- cq. onderzoeksafdelingen van bedrijven, overheidsinstellingen (bureaus interne veiligheid of integriteit) en zelfstandige bestuursorganen. Voor de recherchewerkzaamheden van deze interne onderzoeksafdelingen kan de privacygedragscode een adequate normering bieden.
De gedragscode geldt van 22 september 2021 tot uiterlijk 22 september 2026.
I In bijlage I zijn de wijzigingen weergegeven ten opzichte van de privacygedragscode zoals die gold onder de Wet bescherming persoonsgegevens.
3 Begripsbepalingen
In deze gedragscode wordt verstaan onder:
Achtergrondonderzoeken: de aanduiding van het type onderzoek, dat zich richt op het vaststellen van de achtergrond van natuurlijke personen (zoals sollicitanten, klanten en zakenpartners) en rechtspersonen, waarmee de opdrachtgever voornemens is om een contractuele relatie aan te gaan of te behouden.
Achtergrondonderzoeken (in het Engels
“backgroundscreening”) kennen verschillende
verschijningsvormen, waaronder het pre employmentonderzoek.
Bestand:
elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd of gedecentraliseerd is dan wel op functionele of geografische gronden is verspreid (artikel 4 aanhef en onder 6 AVG);
Betrokkene: een geïdentificeerde of identificeerbare natuurlijke persoon
(artikel 4 aanhef en onder 1 AVG);
Bijzondere categorieën van persoonsgegevens:
Interview:
Observatie:
Onderzochte persoon:
persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid (artikel 9 lid 1 AVG);
een gesprek van een of meer particuliere onderzoekers met een persoon met het doel om aanwijzingen te vergaren over de al dan niet vermeende betrokkenheid van deze persoon of een derde bij een te onderzoeken gedraging of om informatie te vergaren over iemand in het kader van achtergrondonderzoeken;
een methode van gegevensvergaring, waarbij bepaalde personen en/of objecten en/of situaties al dan niet met technische hulpmiddelen worden gadegeslagen ten einde informatie te vergaren;
een geïdentificeerde of identificeerbare natuurlijke persoon die als subject van onderzoek betrokken is of is geweest bij een onderzoeksopdracht dat een particulier onderzoeksbureau
in behandeling heeft of heeft gehad. Deze persoon wordt in deze privacygedragscode aangemerkt als ‘betrokkene’ in de zin van artikel 4 aanhef en onder ie van de AVG, hetgeen onverlet laat dat ook een ander dan de onderzochte persoon kan worden aangemerkt als betrokkene in de zin van artikel 4 AVG;
Ontvanger:
Opdrachten- c.q. voorvallenregistratie:
Opdrachtgever:
Particulier onderzoeker:
Particulier onderzoeks-bureau:
Persoonsgegeven:
Persoonsgegevens van Strafrechtelijke aard:
Pre-employmentonderzoek:
degene aan wie/waaraan de persoonsgegevens worden verstrekt (in de zin van artikel 4 aanhef en onder 9 AVG). In ieder geval zal de opdrachtgever in de regel ontvanger zijn.
het geheel van opdrachten c.q. voorvallen die in behandeling zijn of zijn geweest van een particulier onderzoeksbureau en die al dan niet geautomatiseerd volgens bepaalde criteria toegankelijk zijn;
degene voor wie een particulier onderzoeksbureau recherche-werkzaamheden verricht of verricht heeft in verband met een eigen belang van deze of een derde, waarbij de recherche-werkzaamheden betrekking hebben op een (of meer) bepaalde natuurlijke en/of (rechts)pers(o)on(en);
een medewerker van een particulier onderzoeksbureau die recherchewerkzaamheden uitvoert;
een recherchebureau of een andere organisatie dat/die recherche- werkzaamheden uitvoert;
elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon (artikel 4 aanhef en onder 1 AVG);
persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen als bedoeld in artikel 10 van de AVG, alsmede persoonsgegevens betreffende een door de rechter opgelegd verbod naar aanleiding van onrechtmatig of hinderlijk gedrag;
het onderzoek dat in opdracht van een werkgever wordt ingesteld, alvorens deze een dienstbetrekking aangaat met een sollicitant, dan wel een persoon in diens bedrijf
werkzaamheden laat verrichten. Een pre- employmentonderzoek kan onder meer bestaan uit het controleren van identiteitsgegevens, het controleren van woonadresgegevens, het verifiëren van het opgegeven arbeidsverleden, het raadplegen van openbare bronnen (zoals
de bestanden van de Kamer van Koophandel en het Kadaster), het controleren van de echtheid van diploma’s en getuigschriften, het interviewen van voormalige werkgevers, referenten en andere personen, waaronder de sollicitant zelf. De omvang van het onderzoek door het particulier onderzoeks- bureau wordt afgestemd met de opdrachtgever;
Recherchebureau:
een natuurlijke persoon of rechtspersoon die in de uitoefening van een beroep of bedrijf met winstoogmerk recherche-werkzaamheden verricht, voor zover die werkzaamheden worden verricht op verzoek van een derde, in verband met een eigen belang van deze derde en betrekking hebben op een of meer bepaalde natuurlijke personen (artikel 1 lid 1 aanhef en onder f Wpbr);
Recherchewerkzaamheden: het vergaren en analyseren van gegevens als bedoeld in artikel 1 lid 1 aanhef en onder e Wpbr;
Verwerkings-verantwoordelijke:
een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt (artikel 4 aanhef en onder 7 AVG). In het kader van deze gedragscode is dat het particulier onderzoeksbureau;
Vertrouwelijke
communicatie: de uitwisseling van berichten en gegevens tussen twee of meer personen, waarbij de bij de gegevens- en berichtenuitwisseling betrokken personen de verwachting hebben dat hun communicatie niet door anderen wordt opgenomen, afgeluisterd en/of wordt ingezien of dat anderen daarvan op andere wijze kennis van nemen. Onder vertrouwelijke communicatie valt bijvoorbeeld een in beslotenheid gevoerd gesprek, berichten- uitwisseling via e-mail of gesprekken die over de telefoon gevoerd worden. Het opnemen van vertrouwelijke communicatie houdt in het opnemen van die woorden of signalen die worden uitgewisseld. Het houdt niet in het maken van afbeeldingen van personen die een gesprek voeren, zonder dat het gesprek wordt opgenomen of opgevangen;
Verwerking van persoonsgegevens:
een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens (artikel 4 aanhef en onder 2 AVG).
4 Omschrijving van de sector
4.1 De sector particuliere onderzoeksbureaus
De sector particuliere onderzoeksbureaus in de zin van deze gedragscode bestaat uit organisaties die als recherchebureau in de zin van art. 1 lid 1 onder f van de Wpbr worden aangemerkt. Zij verrichten in opdracht recherchewerkzaamheden in de zin van artikel 1 lid 1 onder e van de Wpbr. Het uitvoeren van recherchewerkzaamheden bestaat veelal uit feitenonderzoek. Als ‘verlengstuk van de opdrachtgever’ verwerkt een particulier onderzoeksbureau onder eigen verantwoordelijkheid en op onpartijdige basis persoonsgegevens.
Een niet limitatieve opsomming van recherchewerkzaamheden waarbij persoonsgegevens worden verwerkt zijn:
- Het onderzoeken van handelingen in strijd met concurrentiebedingen, relatiebedingen, geheimhoudingbepalingen;
- het onderzoeken van gedragingen in strijd met ziekteverzuimbepalingen en/of andere vormen van werkverzuim;
- het uitvoeren van handelingen in het kader van achtergrondonderzoeken (zoals aan pre-employmentonderzoek);
- het traceren van vermiste personen en/of goederen en/of debiteuren;
- het verzamelen van gegevens die van belang zijn voor degene die alimentatieplichtig is;
- het onderzoeken van allerlei soorten van fraude (zoals verzekeringsbedrog, declaratiefraude, oplichting en corruptie) en
- het onderzoeken van laakbare handelingen door werknemers in de arbeidsverhouding (zoals diefstal, verduistering, misbruik van bedrijfsmiddelen en -faciliteiten, onbevoegd uitoefenen van nevenfuncties en handelen of nalaten in strijd met gedragscodes of contractuele verplichtingen).
De gegevens die een particulier onderzoeksbureau verkrijgt in verband met het aanvaarden van een onderzoeksopdracht worden verwerkt in een onderzoeksdossier. Hierin worden onder andere opgeslagen:
- Karakteristieken van de onderzoeksopdracht;
- een omschrijving van het te onderzoeken voorval respectievelijk de te onderzoeken feiten en/of de te onderzoeken persoon;
- de persoonlijke gegevens van degenen die bij het voorval of de feiten zijn of kunnen zijn betrokken;
- de onderzoeksmaatregelen die naar aanleiding van de opdracht zijn genomen;
- de redenen waarom voor een bepaalde onderzoeksmethode of -middel is gekozen;
- de bevindingen van het onderzoek;
- de op het onderzochte voorval betrekking hebbende gegevensdragers — voor zover niet aan de opdrachtgever gegeven c.q. teruggegeven – waaronder foto’s, video- en geluidsbanden en NAW-gegevens van personen die gelieerd zijn aan de onderzochte persoon zoals opdrachtgevers, advocaten, partners en getuigen.
Na analyse van de gegevens wordt ten behoeve van de opdrachtgever een onderzoeksrapport opgesteld.
Het onderzoeksrapport wordt schriftelijk (en onder vermelding van ‘persoonlijk’ en/of `vertrouwelijk’) aan de opdrachtgever verstrekt, tenzij anders is/wordt overeengekomen. Er worden in de regel geen onderzoeksrapporten uitgebracht, voordat alle onderzoeks-
werkzaamheden zijn afgerond. Dit om te voorkomen dat aan het voorlopige onderzoeksrapport een andere betekenis wordt toegekend dan aan het eindrapport. Het onderzoeksdossier (waar een afschrift van het onderzoeksrapport deel van uitmaakt) wordt door het particulier onderzoeksbureau bewaard voor het geval de opdrachtgever of anderen (bijvoorbeeld de justitiële autoriteiten of de rechterlijke macht) na verloop van tijd nog een beroep doen op de in het dossier opgenomen gegevens.
4.2 Opdrachtgevers van de sector particuliere onderzoeksbureaus
De sector particuliere onderzoeksbureaus verricht vanuit een eigen commercieel belang recherchewerkzaamheden voor verschillende soorten opdrachtgevers. Daarbij valt te denken aan verzekeraars, privaatrechtelijke en publiekrechtelijke rechtspersonen (al dan niet in de hoedanigheid van werkgever) en aan particulieren. Voor wat betreft de mogelijkheden om onderzoek te doen treedt een particulier onderzoeksbureau op als verlengstuk van de opdrachtgever en gebruikt in feite die onderzoeksmogelijkheden waarover de opdrachtgever beschikt. Hieronder wordt beschreven waarom opdrachtgevers een gerechtvaardigd belang kunnen hebben om recherchewerkzaamheden te laten uitvoeren door de sector particuliere onderzoeksbureaus.
In veel organisaties (ondernemingen en overheidsinstellingen) worden ordevoorschriften, -regels en/of gedragsregels gegeven, waar personeelsleden, personeel van derden en bezoekers zich aan dienen te houden. Daarbij kan gedacht worden aan regels voor het gebruik van e-mail, internet, interne voorschriften over vergoedingen en de wijze van declareren, voorschriften over ziekteverzuim, nevenfuncties, anti-concurrentiebepalingen en voorschriften over het buiten de organisatie brengen van bedrijfseigendommen. Voor personeelsleden vloeit de bevoegdheid van de werkgever om ordevoorschriften te geven bijvoorbeeld voort uit artikel 7:660 van het Burgerlijk Wetboek (hierna te noemen: BW).
Voor bezoekers van niet-openbare plaatsen vloeit de bevoegdheid van de rechthebbende om regels te stellen bijvoorbeeld voort uit het eigendomsrecht van artikel 5:1 van het BW. Het eigendomsrecht impliceert de bevoegdheid van de rechthebbende tot het maken van afspraken met anderen over de voorwaarden tot het betreden van deze niet-openbare plaatsen.
In het verlengde van regelstelling ligt de bevoegdheid en soms de verplichting van de werkgever respectievelijk de rechthebbende om te controleren of de regels worden nageleefd. In geval van een vermoeden dat iemand de voorschriften niet naleeft en arbeidsrechtelijke of andere civielrechtelijke maatregelen geboden zijn, is feitenonderzoek vereist als basis voor een door de werkgever respectievelijk rechthebbende te nemen beslissing. Dit kan onderzoek in de geautomatiseerde voorzieningen van het bedrijf zijn, maar ook het interviewen van personen of het onderzoeken van het berichtenverkeer middels telecommunicatiemiddelen die door of namens de ondernemer beschikbaar zijn gesteld aan het (ingehuurde) personeel.
In toenemende mate worden binnen organisaties over deze vormen van werkgeverstoezicht afspraken gemaakt met de ondernemingsraad of de personeelsvertegenwoordiging. In een aantal gevallen is het instemmingsrecht van de ondernemingsraad vereist op grond van artikel 27 van de Wet op de ondernemingsraden. Hoewel de ondernemer respectievelijk de rechthebbende dit onderzoek zelf in beginsel kan uitvoeren, wordt de sector particuliere onderzoeksbureaus in toenemende mate ingeschakeld om dit soort feitenonderzoek te doen.
Een andere rechtvaardiging om onderzoek in te (doen) stellen naar vermeende onregelmatigheden vormen de klokkenluiderregelingen. Zowel binnen de overheid als binnen het bedrijfsleven worden in toenemende mate — al dan niet verplicht door wetgeving – klokkenluiderregelingen ingevoerd, opdat werknemers beschermd worden als zij op vertrouwelijke wijze misstanden aan de orde willen stellen. Een melding noopt veelal tot het instellen van onderzoek om vast te stellen of de aantijgingen juist zijn.
Ook bij verzekeringsmaatschappijen is er sprake van een contractuele verhouding tussen de verzekeraar en de verzekerde. Beiden zijn gehouden zich te houden aan de verzekerings-. overeenkomst en de overige eisen die de wet aan de verzekering en de bij de verzekering betrokken partijen stelt. In geval van het vermoeden van onregelmatigheden (bij het aangaan van de verzekeringsovereenkomst of bij het indienen van claims) van de zijde van de verzekerde of een derde heeft de verzekeraar binnen zekere grenzen de bevoegdheid om onderzoek te doen naar het handelen of nalaten van de bij de uitvoering van de verzekeringsovereenkomst betrokken personen.. Ook verzekeraars maken gebruik van de expertise van de sector particuliere onderzoeksbureaus.
Tenslotte wordt de sector particuliere onderzoeksbureaus ingeschakeld door (rechts)personen die slachtoffer (menen te) zijn van een strafbaar feit en op grond van artikel 161 van het Wetboek van Strafvordering (hierna te noemen: WvSv) bevoegd zijn om daarvan aangifte te doen bij een opsporingsambtenaar. Het is gewenst dat zo’n aangifte goed gedocumenteerd is. Hoewel de aangever zelf bevoegd is om personen te interviewen, onderzoek op de plaats van het misdrijf in te stellen, is er een categorie aangevers die dit (voor)onderzoek en het daadwerkelijk doen van aangifte om redenen van efficiency en effectiviteit overlaat aan de sector particuliere onderzoeksbureaus.
4.3 Opdrachten- c.q. voorvallenregistratie en de toepasselijkheid van de AVG
Bij een groot aantal particuliere onderzoeksbureaus zijn de onderzoeksdossiers een integraal onderdeel van een geautomatiseerde opdrachten- c.q. voorvallenregistratie met zoek- en combinatiemogelijkheden. Op een dergelijk geheel of gedeeltelijk geautomatiseerde verwerking van onderzoeksopdrachten is de AVG van toepassing.
Er zijn ook particuliere onderzoeksbureaus die niet over een dergelijke geautomatiseerde opdrachten- c.q. voorvallenregistratie beschikken. Onderzoeksdossiers worden dan doorgaans alfabetisch of anderszins opgeslagen, maar vaak wel zodanig dat de in de onderzoeksdossiers opgenomen persoonsgegevens volgens bepaalde criteria toegankelijk zijn. Volgens de AVG is dan sprake van een “bestand” en van een opdrachten- c.q. voorvallenregistratie als bedoeld in deze gedragscode.
Ook indien een bescheiden kaartsysteem of een geautomatiseerd systeem verwijst naar de verschillende dossiers, de opgenomen personen of de vindplaats, is er sprake van een bestand en is de AVG ook van toepassing. Ook deze vorm van vastlegging is een opdrachten- c.q. voorvallenregistratie als bedoeld in deze gedragscode.
De opdrachten- c.q. voorvallenregistratie wordt niet alleen gebruikt voor de verwerking van onderzoeksrapporten. De opdrachten- c.q. voorvallenregistratie wordt veelal ook gebruikt als toetsbron bij achtergrondonderzoeken, bijvoorbeeld in het kader van pre employment-onderzoeken. Het gebruik van de gegevens uit de opdrachten- c.q. voorvallenregistratie bij achtergrondonderzoeken is aan strikte voorwaarden gebonden (zie hiervoor paragraaf 5.8). Ook bij nieuwe aangemelde onderzoeken wordt (veelal) getoetst of de onderzochte perso(o)n(en) reeds eerder subject van onderzoek is/zijn geweest.
5 Algemene beginselen van gegevensverwerking
5.1 Beginsel van rechtmatigheid (uitwerking artikel 5 lid 1 onder a AVG)
Wettelijk kader
Artikel 5 lid 1 onder a AVG bepaalt dat persoonsgegevens moeten worden verwerkt op een
wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is.
Sectornormering
- De sector particuliere onderzoeksbureaus onthoudt zich van het onrechtmatig vergaren van persoonsgegevens;
- bij de methoden van gegevensvergaring (onderzoeksmethoden en —middelen) worden de bepalingen van hoofdstuk 7 van deze gedragscode in acht genomen;
- de onderzoekshandelingen die zijn uitgevoerd worden zodanig vastgelegd, dat in het kader van (gerechtelijke) procedures een zelfstandig oordeel kan worden gevormd over de rechtmatigheid van de verkrijging van persoonsgegevens aan de hand van deze vastlegging;
- persoonsgegevens die in strijd met artikel 5 lid 1 onder a AVG verkregen zijn mogen niet worden opgenomen in de opdrachten- c.q. voorvallenregistratie.
Toelichting:
Voor particuliere onderzoeksbureaus betekent de norm van artikel 5 lid 1 onder a AVG dat zij geen gegevens mogen verwerken, indien zij deze gegevens verkregen hebben door middel van illegale onderzoeksmethoden en —middelen. Zo zijn in het Wetboek van Strafrecht (hierna te noemen: WvSr) bepalingen opgenomen die het onopgemerkt afluisteren en opnemen van gesprekken of het onopgemerkt maken van afbeeldingen verbieden (zie de artikelen 139a —139f WvSr). De norm heeft betrekking op het eigen handelen of nalaten van een particulier onderzoeksbureau. Het mag niet zelf verwijtbaar betrokken zijn bij onrechtmatige gegevensvergaring.
Indien een derde gegevens (bewijsmateriaal) aan een particulier onderzoeker overhandigt, dat door deze derde op onrechtmatige wijze is verkregen, hoeft dat derhalve niet te betekenen dat deze gegevens niet door het particulier onderzoeksbureau mogen worden verwerkt. Dit is echter anders indien deze derde met medeweten of op aandringen van het particulier onderzoeksbureau bij de gegevens- c. q. bewijsvergaring onrechtmatig heeft gehandeld, (bijvoorbeeld door op verzoek van het particulier onderzoeksbureau gegevens te verstrekken in strijd met een wettelijke geheimhoudingsbepaling). Een deugdelijke vastlegging van de wijze waarop gegevens zijn verkregen en van wie is derhalve van belang (zie hiervoor paragraaf 7.9).
5.2 Beginsel van doelbepaling en doelbinding (uitwerking artikel 5 lid 1 onder b AVG)
Wettelijk kader
Artikel 5 lid 1 onder b AVG bepaalt dat persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden moeten worden verzameld en dat persoonsgegevens niet verder worden verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen.
Sectornormering
Het verzamelen van persoonsgegevens door de sector particuliere onderzoeksbureaus vindt plaats in het kader van een efficiënte en effectieve bedrijfsvoering en is in het bijzonder gericht op de volgende activiteiten:
- a) Het vastleggen van de resultaten van recherchewerkzaamheden die op verzoek van (de) opdrachtgever(s) word(t)(en) ingesteld en het rapporteren van de bevindingen van de onderzoeksopdracht aan (de) opdrachtgever(s);
- b) het (doen) verrichten van analyses van niet op personen herleidbare gegevens voor statistische en/of wetenschappelijke doeleinden en
- c) het doen van aangifte van een vermoeden van een gepleegd strafbaar feit bij een opsporingsambtenaar.
Vaststellen doeleinden bij aanvaarding van (nieuwe) opdrachten:
Het concrete doel van de onderzoeksopdracht wordt zo nauwkeurig mogelijk in de schriftelijke opdrachtbevestiging tussen het particulier onderzoeksbureau en de opdrachtgever vastgelegd. Een nauwkeurige omschrijving van de onderzoeksopdracht draagt bij aan de controleerbaarheid achteraf van de rechtmatigheid van gegevensverwerkingen. Een afschrift daarvan wordt bewaard in het onderzoeksdossier. Ook wijzigingen in de onderzoeksopdracht of aanvullingen daarop die plaatsvinden in de loop van het onderzoek worden schriftelijk bevestigd aan de opdrachtgever en bewaard in het onderzoeksdossier.
De aard van de gegevens (gegevens over laakbaar en soms zelfs strafbaar gedrag) betekent dat (medewerkers van) particuliere onderzoeksbureaus uitermate prudent dienen om te gaan met persoonsgegevens, die zijn vastgelegd in de opdrachten- c.q. voorvallenregistratie. Indien een onderzochte persoon al eerder subject was van particulier onderzoek, wordt dit niet genoemd of gerapporteerd aan de vigerende of eerdere opdrachtgever.
Toelichting:
Aangezien een particulier onderzoeksbureau op commerciële basis voor derden werkt, zal bij de bedrijfsvoering een hoge mate van efficiency en effectiviteit nagestreefd worden. Alle activiteiten die van belang zijn voor een particulier onderzoeksbureau om de relatie met de opdrachtgever te kunnen aangaan en onderhouden komen derhalve in de algemene doelstelling tot uitdrukking. Deze activiteiten vormen een samenhangend geheel. Slechts indien deze activiteiten in samenhang worden uitgevoerd is het mogelijk dat de bedrijfsvoering op een efficiënte en effectieve wijze verloopt.
Voor tal van andere bepalingen in deze gedragscode, zoals de bewaarduur van gegevens (paragraaf 5.4) en de bepaling dat niet meer gegevens worden verzameld dan voor het doel waarvoor zij worden verzameld vereist is (paragraaf 5.3), geldt de verzameldoelstelling als toetsingsmaatstaf De daadwerkelijke verwerking van persoonsgegevens in het kader van de diverse activiteiten moet in concreto telkens worden getoetst aan de algemene en bijzondere beginselen van de verwerking van persoonsgegevens, zoals deze in de gedragscode zijn uitgewerkt. Zo dient een particulier onderzoeksbureau respectievelijk particulier onderzoeker in een concrete onderzoekssituatie een wettige grondslag te hebben om persoonsgegevens te kunnen verwerken. Deze wettige grondslagen worden genoemd in artikel 6 lid 1 AVG (zie paragraaf 5.7). De in dit artikel genoemde grondslagen vereisen telkens een op proportionaliteit en subsidiariteit gebaseerde afweging, alvorens tot gegevensverwerking wordt overgegaan.
Om vorm en inhoud te kunnen geven aan de algemene en bijzondere beginselen van gegevensverwerking is vereist dat van meet af aan objectief vaststaat wat de specifieke opdracht is waarvoor een particulier onderzoeksbureau is ingeschakeld. Om die reden is in de
sectornormering bepaald dat het concrete doel van de onderzoeksopdracht (de wens van de opdrachtgever) zo nauwkeurig mogelijk in de opdrachtbevestiging tussen het particulier onderzoeksbureau en de opdrachtgever wordt vastgelegd.
Nadere toelichting op de aangemelde activiteiten van een particulier onderzoeksbureau:
De primaire activiteit (sub a) is het vastleggen van de resultaten van onderzoeken die op verzoek van een opdrachtgever zijn of worden ingesteld. Particuliere onderzoeksbureaus worden ingeschakeld door opdrachtgevers die wensen dat een bepaald voorval of een bepaalde persoon wordt onderzocht of omdat er sprake is van een gedraging van iemand, waarbij ten nadele van de opdrachtgevers) of een derde op enigerlei wijze schade is toegebracht of schade zou kunnen worden toegebracht. Het rechercheonderzoek heeft als doel gegevens te vergaren en te analyseren opdat de opdrachtgever de bevindingen kan gebruiken voor het nemen van beslissingen of voor het verkrijgen van een rechterlijke beslissing (waarbij de rechter bijvoorbeeld vaststelt dat iemand onrechtmatig heeft gehandeld). Bij het nemen van beslissingen kan gedacht worden aan beslissingen tot het beëindigen van een arbeidsovereenkomst van een personeelslid wegens onregelmatigheden of een beslissing tot het niet uitkeren van een schade-uitkering omdat de verzekerde verwijtbaar betrokken was bij het schadeveroorzakende voorval (bijvoorbeeld bij een brand). Voor een niet-limitatieve opsomming van recherchewerkzaamheden wordt verwezen naar paragraaf 4.1 van deze gedragscode.
Het komt zo nu en dan voor dat het menselijk geheugen van de particulier onderzoeker bij de uitvoering van een nieuwe opdracht geprikkeld wordt bij het horen van een naam van een betrokkene. De onderzoeker weet dan dat betrokkene eerder onderzochte persoon was in een onderzoek In dat geval wordt de overeenkomst tussen twee (of meerdere) opdrachten niet genoemd of gerapporteerd aan de vigerende of de eerdere opdrachtgever.
De activiteit onder c brengt tot uitdrukking dat het particulier onderzoeksbureau in voorkomende gevallen namens de opdrachtgever aangifte doet bij justitiële autoriteiten en in dat geval ook gegevens uit de opdrachten c. q. voorvallenregistratie verstrekt.
5.3 Beginsel van minimale gegevensverwerking (uitwerking artikel 5 lid 1 onder c AVG)
Wettelijk kader
Artikel 5 lid 1 onder c AVG bepaalt dat persoonsgegevens toereikend, ter zake dienend en beperkt moeten zijn tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.
Sectornormering
Er worden niet meer gegevens vastgelegd of in beheer genomen dan uiteindelijk nodig zijn voor het opstellen van een onderzoeksrapport voor de opdrachtgever. Niet relevante gegevens dienen derhalve direct na vaststelling daarvan te worden vernietigd of teruggegeven om te voorkomen dat deze in het dossier belanden en bewaard blijven.
Toelichting:
De aard van een particulier rechercheonderzoek kenmerkt zich doordat de particulier onderzoeker in eerste instantie met gegevens te maken krijgt, waarvan nog niet vaststaat of deze uiteindelijk relevant zullen zijn voor het betreffende onderzoek De norm impliceert dat de particulier onderzoeker zich permanent de vraag moet stellen of de gegevens daadwerkelijk relevant zijn. Verzamelde of in beheer genomen persoonsgegevens worden zo spoedig mogelijk na het wegvallen van de noodzaak om deze gegevens te verzamelen of in beheer te nemen vernietigd, dan wel aan de verstrekker geretourneerd.
Voorts zijn er opdrachtgevers die na het aanvaarden van de opdracht grote hoeveelheden voorwerpen, en administratie aan het particulier onderzoeksbureau beschikbaar stellen ten behoeve van het onderzoek Er zijn opdrachtgevers die er op aandringen dat de particulier onderzoeker respectievelijk het particulier onderzoeksbureau deze zaken voor hen bewaart met het oog op eventuele toekomstige geschillen met de onderzochte persoon, ook al houden deze zaken niet direct verband met hetgeen in het uiteindelijke onderzoeksrapport verwoord is. Dit wordt onwenselijk geacht.
5.4 Beginsel van juistheid (uitwerking artikel 5 lid 1 onder d AVG)
Wettelijk kader
Artikel 5 lid 1 onder d AVG bepaalt dat persoonsgegevens juist moeten zijn en zo nodig moeten
worden geactualiseerd.
Sectornormering
Het particulier onderzoeksbureau neemt alle redelijke maatregelen om persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren.
Toelichting:
Het bijwerken van persoonsgegevens, kan ingegeven zijn omdat het particulier onderzoeksbureau zelf onjuistheden heeft gesignaleerd, maar ook omdat betrokkene het particulier onderzoeksbureau daarop heeft geattendeerd. Aanvullend op het beginsel van juistheid is in artike119 AVG is een kennisgevingsplicht opgenomen, indien persoonsgegevens overeenkomstig artikel 16 t/m 18 AVG (zie verder par.9.2) zijn gerectificeerd of gewist. Het particulier onderzoeksbureau dient in dat geval iedere ontvanger aan wie persoonsgegevens zijn verstrekt, in kennis van de rectificatie of wissing van persoonsgegevens, tenzij dit onmogelijk blijkt of onevenredig veel inspanning vergt.
5.5 Beginsel van opslagbeperking (uitwerking artikel 5 lid 1 onder e AVG)
Wettelijk kader
Artikel 5 lid 1 onder e AVG bepaalt dat persoonsgegevens worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan voor de doeleinden waarvoor de persoonsgegevens worden verwerkt noodzakelijk is.
Sectornormering
Gegevens uit de opdrachten- c.q. voorvallenregistratie blijven minimaal één jaar bewaard nadat het onderzoeksrapport is aangeboden aan de opdrachtgever en worden verwijderd binnen een periode van maximaal vijf jaar na het moment van eerste vastlegging.
De periode van vijf jaar wordt verlengd indien het onderzoek nog niet is afgerond of indien zich ten aanzien van de onderzochte persoon een nieuwe aanleiding als hiervoor vermeld heeft voorgedaan, die wordt opgenomen in de opdrachten- c.q. voorvallenregistratie. In die gevallen begint de termijn van vijf jaar opnieuw te lopen, vanaf het moment van vastlegging van gegevens.
Gegevens worden in ieder geval uit de opdrachten- c.q. voorvallenregistratie verwijderd indien voldaan wordt aan een verzoek ex artikel 17 AVG.
In afwijking van de hiervoor genoemde bewaartermijnen blijft het onderzoeksdossier bewaard zolang dat geboden is in verband met de behandeling van lopende procedures en zaken die nog onder de rechter zijn en waarbij de mogelijkheid bestaat dat hetzij de opdrachtgever, hetzij het particulier onderzoeksbureau in rechte wordt opgeroepen.
De noodzaak voor een langere bewaarduur dan één jaar nadat het onderzoeksrapport is aangeboden aan de opdrachtgever wordt getoetst aan het proportionaliteitsbeginsel.
Toelichting:
Persoonsgegevens worden om meerdere redenen bewaard nadat het onderzoeksrapport aan de opdrachtgever is aangeboden. Allereerst worden persoonsgegevens bewaard ten behoeve van opdrachtgevers in het kader van de behandeling van juridische procedures of geschillen waarbij de opdrachtgever partij is. Daarbij kan gedacht worden aan een nog lopende ontslagprocedure van de onderzochte persoon of een lopende strafzaak indien van het voorval aangifte is gedaan bij de politie.
Verder worden de gegevens bewaard voor het behandelen van klachten die worden ingediend tegen het particulier onderzoeksbureau zelf op grond van artikel 18 van de Regeling particuliere beveiligingsorganisaties en recherchebureaus, het voldoen aan wettelijke plichten (zoals het getuigen in rechte) en voor vervolgopdrachten van de primaire opdrachtgever.
De bewaarduur van vijf jaar is van belang aangezien opdrachtgevers met enige regelmaat gegevens uit het dossier nog in willen zien en/of gegevens uit het dossier nodig hebben. Vaak blijkt pas geruime tijd na afsluiting van het particulier rechercheonderzoek dat juridische procedures lopen. Met enige regelmaat worden particulier onderzoekers opgeroepen om te getuigen. Vaak wil de rechter weten of er inhoudelijke verschillen zijn tussen de aan de opdrachtgever aangeboden rapport en eerdere kladversies. De bewaartermijn van vijf jaar sluit ook aan bij de verjaringstermijn voor rechtsvorderingen (artikel 3:310 BW). Zowel de onderzochte persoon als de opdrachtgever kunnen het particulier onderzoeksbureau in voorkomende gevallen aanspreken tot vergoeding van schade wegens onrechtmatige daad respectievelijk wanprestatie. In dat geval dient het particulier onderzoeksbureau in staat te zijn zich gemotiveerd te verdedigen door overlegging van stukken uit het onderzoeksdossier.
De minimale bewaarduur van één jaar nadat het onderzoeksrapport is aangeboden aan de opdrachtgever is van belang in het kader van toezicht en transparantie, maar ook voor mogelijke juridische procedures tegen het particulier onderzoeksbureau en klachtenbehandeling. Als het dossier onmiddellijk of kort na uitvoering van het onderzoek wordt vernietigd, zijn er onvoldoende mogelijkheden om de uitvoering van het onderzoek te toetsen aan de privacygedragscode.
In de sectornormering is aangegeven dat de noodzaak voor een langere bewaarduur dan één jaar nadat het onderzoeksrapport is aangeboden aan de opdrachtgever getoetst wordt aan het proportionaliteitsbeginsel. Daarmee wordt tot uitdrukking gebracht dat persoonsgegevens niet standaardmatig vijf jaar bewaard hoeven te worden.
5.6 Beginsel van integriteit en vertrouwelijkheid (uitwerking artikel 5 lid 1 onder _f AVG)
Wettelijk kader
Artikel 5 lid 1 onder f juncto artikel 32 AVG bepalen dat de verwerkingsverantwoordelijke
passende technische of organisatorische maatregelen neemt zodat persoonsgegevens op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. De maatregelen worden periodiek geëvalueerd en indien nodig aangepast (artikel 24 lid 1 AVG).
Sectornormering
Een particulier onderzoeksbureau neemt passende — op het risico afgestemde – technische en organisatorische maatregelen tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging van persoonsgegevens. Leidraad voor de beveiliging van persoonsgegevens zijn de richtsnoeren “Beveiliging van Persoonsgegevens” van de Autoriteit Persoonsgegevens en de best practice ISO 27002. De maatregelen worden periodiek geëvalueerd en indien nodig aangepast,
Voor de concrete invulling van de beveiligingsnormen die specifiek voor de sector gelden wordt verwezen naar Bijlage 1 bij deze privacygedragscode.
Toelichting:
Artikel 5 lid 1 onder f juncto artikel 32 AVG spreken over technische en organisatorische maatregelen. Technische maatregelen zijn de logistieke en fysieke maatregelen in en rondom de informatiesystemen (zoals toegangscontroles, vastlegging van gebruik en back up). Organisatorische maatregelen zijn maatregelen voor de inrichting van de organisatie en voor het verwerken van persoonsgegevens (zoals de toekenning van verantwoordelijkheden en bevoegdheden).
Gelet op het feit dat door particuliere onderzoeksbureaus bijzondere persoonsgegevens, zoals strafrechtelijke persoonsgegevens worden verwerkt, en gelet op het feit dat persoonsgegevens kunnen verzameld teneinde een beeld van iemands persoonlijke leven te verkrijgen, betekent dit dat aan de sector zwaardere eisen mogen worden gesteld ten aanzien van de beveiliging van persoonsgegevens.
5.7 Beginsel van rechtmatigheid (uitwerking artikel 6 lid 1 AVG)
Wettelijk kader
Een gegevensverwerking is slechts gerechtvaardigd indien één van de in artikel 6 lid 1 AVG
genoemde verwerkingsgrondslagen van toepassing is.
Voor de sector particuliere onderzoeksbureaus zijn de volgende verwerkingsgrondslagen het meest relevant:
- a) De gegevensverwerking is noodzakelijk voor de behartiging van het gerechtvaardigde belang van de verwerkingsverantwoordelijke of van een derde aan wie de gegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de onderzochte persoon, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert (artikel 6 lid 1 onder f AVG);
- b) De onderzochte persoon heeft voor de verwerking zijn uitdrukkelijke toestemming gegeven (artikel 6 lid 1 onder a AVG);
- c) de gegevensverwerking is noodzakelijk om een wettelijke verplichting na te komen waaraan de verwerkingsverantwoordelijke onderworpen is (artikel 6 lid 1 onder c AVG);
- d) de gegevensverwerking is noodzakelijk om de vitale belangen van de onderzochte persoon of van een andere natuurlijke persoon te beschermen (artikel 6 lid 1 onder d AVG );
Sectornormering
- Voordat een particulier onderzoeksbureau een opdracht aanvaart en schriftelijk aan de opdrachtgever bevestigt, dient het particulier onderzoeksbureau vast te stellen dat de (aard van de) opdracht gerechtvaardigd is. De opdracht wordt geweigerd indien dat niet het geval is.
- Bij de uitvoering van de opdracht toetst de particulier onderzoeker of de voorgenomen activiteit(en) (in het kader van deze normering “gegevensverwerking” genoemd) verenigbaar is/zijn met de opdrachtformulering zoals deze tussen het particulier onderzoeksbureau en de opdrachtgever schriftelijk is vastgelegd.
- Bij de verwerkingsgrondslagen onder a, c en, d houdt de particulier onderzoeker rekening met de beginselen van proportionaliteit en subsidiariteit. Het proportionaliteitsbeginsel houdt in dat de inbreuk op de belangen van de onderzochte persoon niet onevenredig mag zijn in verhouding tot het met de verwerking te dienen doel. Als gevolg van het subsidiariteitsbeginsel moet bezien worden of het doel waarvoor de persoonsgegevens worden verwerkt in redelijkheid niet op een andere, voor de onderzochte persoon minder nadelige wijze kan worden bereikt.
Toelichting:
De verwerkingsgrondslag onder a is van toepassing op alle soorten van onderzoeken waarvoor een particulier onderzoeksbureau wordt ingeschakeld. Om te waarborgen dat de rechten en vrijheden van de onderzochte persoon gerespecteerd worden, moet aan een aantal voorwaarden worden voldaan. Allereerst moet de opdrachtgever zelf een gerechtvaardigd belang hebben om onderzoek te doen instellen naar (gedragingen van) iemand of de achtergrond van een persoon. Voor de opdrachtaanvaarding dient het particulier onderzoeksbureau zich af te vragen of het belang van de opdrachtgever gerechtvaardigd is. Indien een werkgever bijvoorbeeld bij herhaling bestolen wordt door zijn personeel, heeft hij een gerechtvaardigd belang om te achterhalen wie zijn vertrouwen geschonden heeft. Als het doel van de opdrachtgever het opsporen van een persoon is en uit de (eerste) contacten tussen het particulier onderzoeksbureau en opdrachtgever blijkt dat het achterliggende doel mogelijk of zeker een bedreiging van de veiligheid van de onderzochte persoon is (bijvoorbeeld ontvoering) moet de opdracht worden geweigerd. Als aan de voorwaarde van een gerechtvaardigd belang voldaan wordt, kan de opdracht aanvaard worden, mits de opdracht en het doel van het onderzoek zo concreet mogelijk worden vastgelegd (zie paragraaf 5.2).
In de wijze waarop de werkgever respectievelijk het particulier onderzoeksbureau in staat gesteld wordt om te achterhalen wie de dader is, zijn echter beperkingen gesteld. Zo verbiedt het Wetboek van Strafrecht dat personen met camera’s worden geobserveerd als dit vooraf niet kenbaar is gemaakt, tenzij degene die de opnamen vervaardigt een goede reden heeft om dit heimelijk te doen. Een opdracht aan een particulier onderzoeksbureau om op incidentele basis een verborgen camera te plaatsen kan derhalve gerechtvaardigd zijn als die goede reden aanwezig is (zie verder paragraaf 7.5).
Bij de daadwerkelijke uitvoering van de opdracht moet een particulier onderzoeker telkens een afweging maken: hoe verhoudt zich het belang van de opdrachtgever tot het belang of de
fundamentele rechten en vrijheden van de onderzochte persoon, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer. Deze belangenafweging kan betekenen dat de particulier onderzoeker om redenen van proportionaliteit en subsidiariteit afziet van een op zich voor de hand liggende onderzoekshandeling. In het voorbeeld van het plaatsen van een verborgen camera bij werknemersdiefstal kan dat betekenen, dat niet tot plaatsing wordt overgegaan omdat er alternatieven zijn om vast te stellen wie het vertrouwen geschonden heeft. Als er geen minder ingrijpende alternatieven zijn kan de plaatsing van een verborgen camera uitkomst bieden. Zo’n camera mag echter niet worden opgehangen op plaatsen waar men zich onbespied mag wanen, zoals het toilet.
In de verwerkingsgrondslagen onder b en d wordt met name het belang van de onderzochte persoon tot uitdrukking gebracht.
De verwerkingsgrondslag onder b is met name van belang indien uit de onderzoeksrapporten blijkt dat de verdenking tegen de onderzochte persoon onterecht was en deze er belang bij heeft dat de onderzoeksrapporten of bevindingen van het onderzoek aan een derde worden verstrekt. Het vereiste van uitdrukkelijke toestemming is ook uitgewerkt in paragraaf 7.3 van deze gedragscode voor het interviewen van personen.
Voor het vaststellen of er sprake is van toestemming is essentieel dat de onderzochte persoon in vrijheid heeft kunnen bepalen dat de gegevensverwerking diens toestemming heeft. Bij twijfel over de vraag of de onderzochte persoon zijn toestemming heeft verleend, dient te worden geverifieerd of er terecht van uitgegaan wordt dat de onderzochte persoon er mee heeft ingestemd dat diens persoonsgegevens worden verwerkt. Wanneer de verwerking berust op toestemming, moet het particulier onderzoeksbureau kunnen aantonen dat de onderzochte persoon toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens, bijvoorbeeld door middel van een schriftelijke verklaring (art. 7 lid 1 AVG).
De verwerkingsgrondslag onder d speelt met name een rol bij onderzoeksopdrachten om vermiste personen op te sporen. Het aanvaarden van zo’n opdracht is op zich legitiem. Deze legitimiteit is groter als deze personen vanwege een persoonlijkheidsstoornis of een andere persoonlijke omstandigheid (zoals een ondercuratelestelling of een ontvoering) niet in staat zijn hun eigen belangen te behartigen. De vereisten van proportionaliteit en subsidiariteit – die tot uitdrukking komen in het woord “noodzakelijk” – vergen echter dat het belang van de vermiste persoon in geen geval in strijd mag zijn met het belang van de opdrachtgever. In specifieke situaties kan dat bijvoorbeeld betekenen dat het particulier onderzoeksbureau afziet van het doorgeven van de verblijfplaats van de vermiste persoon aan de opdrachtgever.
Bij de verwerkingsgrondslag die onder c genoemd is, heeft de particulier onderzoeker in feite geen keuze om de gegevens wel of niet te verwerken. De naleving van een wettelijke plicht is ook niet afhankelijk van de toestemming van de opdrachtgever. Het niet meewerken aan een wettelijke plicht kan immers betekenen dat de particulier onderzoeker een strafbaar feitpleegt. Bij het nakomen van wettelijke verplichtingen kan gedacht worden aan een op wettelijke grondslag gebaseerde vordering van een opsporingsinstantie om bepaalde gegevens en/of voorwerpen uit de opdrachten- c.q. voorvallenregistratie ter beschikking te stellen respectievelijk uit te leveren (denk aan de artikelen 96a,126a en 126nd van het WvSv). De verwerking wordt ook uitgevoerd wanneer een particulier onderzoeker wordt opgeroepen om te getuigen in rechte. In het Wetboek van Burgerlijke Rechtsvordering (artikel 165) en het WvSv zijn bepalingen opgenomen, die degene die op wettige wijze is opgeroepen in een gerechtelijke procedure verplichten een getuigenis af te leggen. De verwerking geschiedt eveneens in die gevallen dat artikel 160 WvSv een ieder verplicht (dus ook de particuliere onderzoeker) om aangifte te doen bij een opsporingsambtenaar, indien hij kennis draagt van bepaalde misdrijven. Daarbij kan gedacht worden aan misdrijven zoals moord, doodslag, verkrachting, mensenroof en misdrijven tegen de veiligheid van de staat.
6 Bijzondere categorieën van persoonsgegevens
Wettelijk kader
In artikel art. 9 lid 1 AVG is een algemene verbodsbepaling opgenomen voor de verwerking van bijzondere categorieën van persoonsgegevens. In artikel 9 lid 2 AVG, alsmede de artikelen 22 tot en met 30 van de UAVG zijn uitzonderingen op het verbod genoemd.
Gevolgen voor de sector
De aard van de werkzaamheden van de sector particuliere onderzoeksbureaus brengt in het algemeen met zich mee dat particuliere onderzoeksbureaus in aanraking komen met strafrechtelijke gegevens en andere bijzondere categorieën van persoonsgegevens, zoals die over iemands ras (etniciteit), seksuele leven en gezondheid.
Het verbod om persoonsgegevens van strafrechtelijke aard te verwerken is op grond van artikel 33 lid 4 aanhef en onder a UAVG niet van toepassing wanneer de gegevens door een particulier onderzoeksbureau ten behoeve van derde(n) worden verwerkt krachtens een vergunning op grond van de Wpbr. Het verwerken van persoonsgegevens van strafrechtelijke aard is veelal inherent aan het onderzochte gedrag en wordt gedekt door de vergunning die de Minister van Justitie en Veiligheid heeft afgegeven. De bijzondere categorieën van persoonsgegevens mogen worden verwerkt voor zover dit noodzakelijk is in aanvulling op de verwerking van persoonsgegevens van strafrechtelijke aard voor de doeleinden waarvoor deze gegevens worden verwerkt (artikel 23 aanhef en onder c UAVG). Voorts is het verbod om persoonsgegevens betreffende iemands ras te verwerken niet van toepassing, indien de verwerking geschiedt met het oog op de identificatie van iemand indien dit voor dat doel onvermijdelijk is (artikel 25 aanhef en onder a UAVG).
Tenslotte mogen bijzondere categorieën van persoonsgegevens verwerkt worden, indien dit noodzakelijk is voor de instelling, uitoefening of onderbouwing van een rechtsvordering (artikel 9 lid 2 aanhef en onder f AVG). Opdrachtgevers kunnen onder omstandigheden hun rechten in een rechterlijke procedure niet effectueren, indien zij niet beschikken over bepaalde gegevens van hun wederpartij. Ook in dat geval is het verwerken van bijzondere gegevens inherent aan het onderzochte gedrag.
Toelichting:
Bijzondere categorieën van persoonsgegevens mogen worden verwerkt voor zover dat noodzakelijk is in aanvulling op de verwerking van strafrechtelijke gegevens. Daarbij kan gedacht worden aan het verwerken van gegevens omtrent iemands seksuele leven in het geval van een onderzoek naar ongewenste intimiteiten op het werk. Voorts kan gedacht worden aan het vastleggen van strafbare gedragingen door middel van camera’s. Het is inherent aan deze vorm van observatie dat gegevens over iemands ras (etniciteit) en/of gezondheid bekend worden en worden verwerkt. Op het beeldmateriaal is immers iemands huidskleur of lichamelijke handicap zichtbaar. Voorts is het verwerken van iemands persoonsgegevens betreffende iemands ras met het oog op de identificatie van iemand bij andere methoden van gegevensvergaring, zoals het interviewen van personen veelal eveneens onvermijdelijk.
Verder houdt het verwerken van bijzondere categorieën van persoonsgegevens soms direct verband met de opdracht. Zo worden persoonsgegevens betreffende iemands gezondheid verwerkt indien in opdracht van een werkgever moet worden vastgesteld of er sprake is van een geveinsde ziekte of indien in opdracht van een verzekeraar moet worden vastgesteld of iemand al dan niet terecht aanspraak kan maken op een periodieke uitkering op basis van een arbeidsongeschiktheids- verzekering. Ervan uitgaande dat de opdrachtgever in beide gevallen zelf bevoegd is om gezondheidsgegevens te verwerken2, komt deze bevoegdheid ook toe aan het particulier onderzoeksbureau indien deze in diens opdracht handelt. Ook kunnen in het kader van een alimentatieonderzoek gegevens over iemands ontrouw en/of een (buitenechtelijke) relatie worden vastgesteld. Dat daarbij gegevens over iemands seksuele leven worden verwerkt is onvermijdelijk.
Indien het bij de uitvoering van bepaalde typen van onderzoeken noodzakelijk is dat grootschalige verwerking van bijzondere categorieën van persoonsgegevens plaatsvindt waarbij gebruik gemaakt wordt van nieuwe technologieën, kan vereist zijn dat een data privacy impact assessment (DPIA) wordt uitgevoerd. Voor het DNA-instrument wordt verwezen naar par. 14.2.
2 Hierbij wordt opgemerkt dat een werkgever geen gegevens mag verwerken over de aard en oorzaak van de ziekte. Een werkgever mag wel gegevens verwerken over functiemogelijkheden en/of —onmogelijkheden Voorbeeld: Een werkgever mag niet vastleggen dat een medewerker rugklachten heeft als gevolg van een hernia; wel dat de werknemer door diens ziekte niet kan autorijden of tillen.
7 Methoden van gegevensvergaring
Het staat particulieren en bedrijven vrij gedragingen van anderen te onderzoeken, indien hun belangen door deze gedragingen zijn of kunnen worden geschaad. Particulier onderzoek is niet expliciet bij wet genormeerd. Indien een particulier onderzoeksbureau wordt ingeschakeld, wordt het particulier onderzoek evenwel op indirecte wijze genormeerd door artikel 5 lid 1 onder a AVG. Gegevens die immers in strijd met deze bepaling zijn verkregen, mogen niet verwerkt worden in de opdrachten- c.q. voorvallenregistratie,
In het kader van de opdracht maakt de sector particuliere onderzoeksbureaus gebruik van diverse onderzoeksmethoden en —middelen. Daarbij kan gedacht worden aan het vergaren van gegevens uit open bronnen (zoals het internet en de openbare registers), het interviewen van personen, het observeren van personen, al dan niet met behulp van technische hulpmiddelen, het afluisteren en/of opnemen van (vertrouwelijke) communicatie, het onderzoeken van gegevens die zijn opgeslagen in geautomatiseerde voorzieningen, het doen van proefaankopen en het doorzoeken van huisvuil dat aan de straat gezet is.
In het kader van deze gedragscode wordt het gebruik van begrippen die in het WvSv vermeld worden vermeden om te voorkomen dat privaat onderzoek verward wordt met de opsporing van strafbare feiten door opsporingsinstanties. Privaat onderzoek vindt immers niet plaats onder het gezag en de verantwoordelijkheid van het Openbaar Ministerie en bovendien voor andere doeleinden.
Veel onderzoeksmethoden en —middelen die de sector particuliere onderzoeksbureaus hanteert zijn afgeleid van de onderzoeksmogelijkheden waarover de opdrachtgever zelf al beschikt uit hoofde van de contractuele relatie die de opdrachtgever heeft met de onderzochte persoon of omdat de opdrachtgever als rechthebbende wordt aangemerkt in de zin van het BW en uit dien hoofde onderzoek kan instellen in geval van onregelmatigheden. De opdrachtgever heeft bepaalde belangen en die kunnen rechtvaardigen dat hij onderzoek instelt.
Het gebruik maken van particuliere onderzoeksmethoden- en middelen betekent in voorkomende gevallen dat inbreuk wordt gemaakt op de privacy van de onderzochte persoon. Om die reden is normering van onderzoeksmethoden en -middelen noodzakelijk.
Voor deze gedragscode geldt als eerste basisregel dat de rechten en plichten die gelden voor iedere burger, ook gelden voor particuliere onderzoeksbureaus. Hierbij geldt evenwel dat van particuliere onderzoeksbureaus een grotere mate van zorgvuldigheid mag worden verwacht in het kader van hun beroepsuitoefening. Bij bevoegdheden van iedere burger kan gedacht worden aan het raadplegen van openbare registers (zoals de registers van de Kamer van Koophandel en de registers van het Kadaster) en openbare bronnen (zoals het internet en toepassingen als Facebook of Linkedln). Net zo min als een burger is het de particulier onderzoeker toegestaan om wetten te overtreden om gegevens te vergaren. Indien een particulier onderzoeker in geval van een observatieopdracht incidenteel te hard rijdt of een rood verkeerslicht negeert, zal dat doorgaans geen invloed hebben op de beoordeling of er wel of niet gehandeld is in overeenstemming met artikel 5 lid 1 onder a AVG. Hij kan bekeurd worden net als iedere andere burger. Het (bij herhaling) handelen of nalaten van (medewerkers van) een particulier onderzoeksbureau in strijd met wettelijke bepalingen, kan voor de Minister van Justitie en Veiligheid evenwel aanleiding zijn om de vergunning in te trekken. Zodra echter strafbare feiten worden gepleegd die in het WvSr worden genoemd en die specifiek geschreven zijn om bepaalde belangen te beschermen (zoals de bescherming van de eigendom, de vrijheid om met anderen te communiceren of de persoonlijke levenssfeer), kan sprake zijn van handelen in strijd met artikel 5 lid 1 onder a AVG , waardoor een rechtmatige gegevensverwerking geblokkeerd wordt.
Of dat zo is kan niet in algemene zin beantwoord worden. Dat hangt onder meer af van het antwoord op de vraag of het belang dat de strafrechtelijke norm tracht te beschermen (mede) bedoeld is om het belang van de onderzochte persoon te beschermen (“de zogenaamde Schutznorm”). Voor de sector particuliere onderzoeksbureaus gaat het hierbij in het bijzonder om de strafbepalingen die het gebruik van technische hulpmiddelen verbieden, waarmee heimelijk gegevens (kunnen) worden vergaard.
Als tweede basisregel geldt dat de onderzoeksmogelijkheden van opdrachtgevers mutatis mutandis ook toekomen aan de sector particuliere onderzoeksbureaus, indien zij door die opdrachtgevers worden ingeschakeld in het doen van onderzoek. Om die reden is in paragraaf 5.2 opgenomen dat het doel van de onderzoeksopdracht in de opdrachtbevestiging zo nauwkeurig mogelijk moet worden opgenomen. De onderzoeksopdracht legitimeert het particulier onderzoeksbureau tot het aanwenden van de bevoegdheden van de opdrachtgever.
Tenslotte geldt als derde basisregel dat bij het bepalen van de aard van de onderzoeksmethoden en —middelen de beginselen van proportionaliteit (evenredigheid van doel en middelen) en subsidiariteit (gematigdheid bij de inzet van middelen en methoden) in acht worden genomen. Deze basisregel vloeit voort uit artikel 5 lid 1 onder a en artikel 6 lid 1 onder f AVG (zie paragraaf 5.7).
7.1 Algemene normering onderzoeksmethoden en -middelen
Algemeen
Op basis van wet- en regelgeving, de drie basisregels, rechterlijke uitspraken, achtergrondstudies en verkenningen van de Autoriteit Persoonsgegevens worden in de paragrafen 7.2 tot en met 7.8 normen gegeven voor de meest voorkomende onderzoeksmethoden en —middelen. Indien overeenkomstig deze normen wordt gehandeld is (verdere) gegevensverwerking in beginsel rechtmatig. Tenzij de rechter in een concrete situatie anders oordeelt wordt dan voldaan aan de criteria van artikel 5 lid 1 onder a AVG. Naast de normen die in de paragrafen 7.1 tot en met 7.8 zijn opgenomen voor de daar omschreven onderzoeksmethoden en —middelen, neemt de sector particuliere onderzoeksbureaus bij de uitvoering van haar werkzaamheden de normen in acht die in deze paragraaf zijn opgenomen. Deze algemene normen gelden ook voor die onderzoeksmethoden en —middelen die niet uitdrukkelijk in deze gedragscode zijn genormeerd omdat het meer voor de hand liggende onderzoeksmethoden en -middelen zijn die de sector particuliere onderzoeksbureaus hanteert, alsmede onderzoeksmethoden en -middelen die slechts sporadisch worden gebruikt.
Sectornormering
- Onderzoeksmethoden en —middelen worden slechts aangewend na overleg met de opdrachtgever. In dat overleg wordt vastgesteld of de opdrachtgever zelf ook bevoegd zou zijn geweest de onderzoeksmethode of het -middel aan te wenden, indien deze het onderzoek zelf zou hebben verricht;
- voorafgaand aan de inzet van de onderzoeksmethode en/of —middel moet worden bepaald tot welk resultaat de onderzoeksmethode en/of -middel moet kunnen leiden. Daarmee wordt beoogd om te voorkomen, dat gegevens worden vergaard die niet strikt noodzakelijk zijn voor de uitvoering van de onderzoeksopdracht;
- bij het bepalen van de aard van de onderzoeksmethoden en —middelen worden de beginselen van proportionaliteit en subsidiariteit in acht genomen, inhoudende dat steeds de minst bezwarende onderzoeksmethode dan wel het -middel op de minst bezwarende wijze wordt toegepast.
Toelichting:
Dit algemene gedragsartikel geldt voor alle onderzoeksmethoden en -middelen die in deze gedragscode uitdrukkelijk genormeerd zijn. De normering geldt ook voor meer of minder voor de hand liggende onderzoeksmethoden en -middelen, zoals het raadplegen van openbare registers en openbare bronnen (zoals het internet), het analyseren van door de opdrachtgever opgevraagde gespecificeerde nota’s bij telecommunicatiebedrijven en het veiligstellen van sporen op de onderzoekslocatie. Verder is deze normering van belang voor onderzoeksmethoden en -middelen die nu nog niet of niet vaak gehanteerd worden, maar in de nabije toekomst wellicht wel (bijvoorbeeld door nieuwe technieken). Een voorbeeld van een onderzoeksmethode dat niet vaak gehanteerd wordt is de inzet van een particulier onderzoeker als pseudowerknemer. Deze onderzoeksmethode kan bijvoorbeeld ingezet worden als een groep werknemers verdacht wordt van het stelselmatig wegnemen van bedrijfseigendommen en er een grote mate van samenspanning vermoed wordt, terwijl het niet mogelijk is om op andere wijze informatie te krijgen over de diefstallen, de daarbij betrokkenen en de onderlinge rolverdeling. In overleg met de opdrachtgever kan er dan voor gekozen worden om een particulier onderzoeker enige tijd “werkzaam” te laten zijn op de afdeling.
7.2 Betreden van niet openbare (besloten) plaatsen
Algemeen
Het betreden van plaatsen kan noodzakelijk zijn om het doel van de opdracht te kunnen realiseren. Daarbij kan gedacht worden aan het zoeken naar sporen die in relatie staan tot de onderzochte gedraging, het inzien van bescheiden, het observeren van personen, het kopiëren van bescheiden en het interviewen van personen. Bij het betreden van niet-openbare (besloten) plaatsen dient de particulier onderzoeker rekening te houden met de belangen en rechten van anderen, onder wie de rechthebbende. In deze paragraaf worden normen gesteld om te voorkomen dat een particulier onderzoeker een niet-openbare plaats betreedt en daar een tijdlang onopgemerkt vertoeft of een pand binnendringt zonder medeweten van de rechthebbende. De gedachte dat geen sprake is van “wederrechtelijk binnendringen” omdat de particulier onderzoeker bij het betreden van de niet openbare (besloten) plaats (nog) geen weigering of hindering heeft ondervonden is niet juist.
Sectornormering
- Betreden van niet-openbare plaatsen geschiedt alleen met toestemming van de rechthebbende of op grond van anderszins verkregen recht;
- een particulier onderzoeker maakt aan de rechthebbende of aan degene die namens deze optreedt duidelijk kenbaar wie hij is en in welke hoedanigheid hij aanwezig is, zodra dit redelijkerwijs mogelijk is;
- indien onderzoeksbelangen daardoor niet worden geschaad, wordt aan de rechthebbende gemeld waarom de plaats betreden wordt;
- de handeling(en) die word(t)(en) uitgeoefend op de plaats die wordt betreden dienen zo gericht mogelijk te worden uitgevoerd.
Toelichting:
Onder niet-openbare (besloten) plaatsen vallen woningen en andere niet-openbare en niet voor
een ieder toegankelijke plaatsen, zoals loodsen, fabrieks- of bedrijfsruimten, kantoorgebouwen of erven. Openbare of voor een ieder toegankelijke gebouwen en plaatsen, zoals een winkel gedurende openingstijden, de lounge van een hotel, een bardancing of een restaurant vallen niet onder het begrip niet-openbare (besloten) plaats.
Artikel 138 van het WvSr verbiedt het wederrechtelijk binnendringen in woningen, lokalen en erven die bij een ander in gebruik zijn. Om die reden is in de eerste norm opgenomen dat voor het betreden toestemming van de rechthebbende vereist is. Er zijn situaties denkbaar dat de particulier onderzoeker zich begeeft op een plaats zonder dat de rechthebbende hiervan noodzakelijkerwijs op de hoogte is. Zo kan het bij een woningbrand gebeuren dat een eigenaar-bewoner onbereikbaar op vakantie is, terwijl de verzekeraar van het pand aan een particulier onderzoeksbureau opdracht geeft om een toedrachtonderzoek, in te stellen. Het betreden van de plaats is dan toch mogelijk indien de zaakwaarnemende buurman toestemming verleent of de verzekeringsvoorwaarden een beding bevatten dat het ontbreken van toestemming opvult.
7.3 Interviewen van personen
Algemeen
Een interview is een gesprek van een of meer particulier onderzoekers met een persoon met het doel om aanwijzingen te vergaren over de al dan niet vermeende betrokkenheid van deze persoon of een derde bij een te onderzoeken gedraging of om informatie te vergaren over iemand in het kader van achtergrondonderzoeken. Als basisregel voor het interviewen geldt dat de medewerking aan een onderzoek te allen tijde gebaseerd is op vrijwilligheid. Een particulier onderzoeker kan immers iemand niet dwingen om op een bepaalde plaats te komen en te blijven, zodat het gesprek gevoerd kan worden, dit in tegenstelling tot opsporingsambtenaren die een verdachte kunnen ophouden voor onderzoek. Als iemand tijdens een interview wil vertrekken kan hij/zij niet worden tegengehouden. Voorafgaand aan het interview zal de particulier onderzoeker deze vrijwilligheid benadrukken. Tevens zal voor aanvang van elk interview de reden van het onderzoek kenbaar worden gemaakt.
Sectornormering
- Een particulier onderzoeker maakt voorafgaand aan het interview duidelijk kenbaar wie hij is en informeert de bevraagde persoon over de reden waarom hij/zij geïnterviewd wordt en waarvoor zijn/haar verklaring wordt gebruikt, alsmede dat de verklaring vrijwillig wordt afgelegd. Op deze wijze wordt voorkomen dat de verklaring (tegen een ander) gebruikt wordt, zonder dat de bevraagde persoon daarop bedacht is;
- ondanks dat een ieder die onder een wettelijke of contractuele geheimhoudingsbepaling valt zelf verantwoordelijk is voor de naleving daarvan, attendeert de particulier onderzoeker de bevraagde persoon op de gevolgen van schending van deze plicht, één en ander voor zover de geheimhoudingsbepaling aan de particulier onderzoeker bekend is, dan wel redelijkerwijs bekend kan zijn;
- het verdient de voorkeur om het interview met de onderzochte persoon door twee personen, waarvan tenminste één particulier onderzoeker te doen plaatsvinden. Als dat niet mogelijk is kan volstaan worden met het opnemen van het interview of een integrale opname van het interview met een camera. De onderzochte persoon moet hiervoor expliciete toestemming hebben gegeven;
- de particulier onderzoeker onthoudt zich van alles op grond waarvan gezegd kan worden dat de verklaring van de bevraagde persoon niet in vrijheid is afgelegd;
- het interview met de onderzochte persoon wordt (schriftelijk) vastgelegd en is een correcte weergave van hetgeen besproken is. De particulier onderzoeker dient het interviewverslag binnen een redelijke termijn aan de onderzochte persoon voor te leggen, opdat deze de gelegenheid heeft om eventuele onjuistheden in de verslaglegging te signaleren. De onderzochte persoon kan niet gedwongen worden om het interviewverslag te lezen en/of te ondertekenen;
- Als van een interview met een ander dan de onderzochte persoon een schriftelijk verslag wordt opgemaakt en als dit verslag integraal wordt opgenomen in het onderzoeksrapport, dient de tweede volzin van de vijfde norm naar analogie te worden toegepast.
- indien de onderzochte persoon tijdens het interview bijstand of vergezelling door een advocaat of vertrouwenspersoon wenst, wordt dat overlegd met de opdrachtgever. Tegen de achtergrond van de vrijwilligheid van het interview is bijstand of vergezelling als regel toegestaan.
Toelichting:
De begripsomschrijving van “interview” moet worden bezien tegen de achtergrond van het type onderzoeken waarmee particulier onderzoekers belast worden. Enerzijds zijn er onderzoeken waarbij getracht wordt om vast te stellen of iemand al dan niet verwijtbaar betrokken is of is geweest bij een bepaalde gedraging, anderzijds zijn er onderzoeken waarbij iemands achtergrond nagetrokken wordt. Zodra er een min of meer officieel gesprek plaatsvindt over de al dan niet vermeende betrokkenheid van iemand bij een onrechtmatige handeling of een gearrangeerd gesprek plaatsvindt in het kader van een achtergrondonderzoek, is sprake van een interview.
Van meet af aan moet dan voor anderen duidelijk zijn dat een particulier onderzoeker als particulier onderzoeker optreedt. Een particulier onderzoeker mag daarover geen misverstand laten bestaan. Het initiatief om te zeggen wie hij is en waarvoor hij komt dient bij de particulier onderzoeker zelf te liggen. Dit komt tot uitdrukking in de eerste norm dat voor het interviewen van personen een uitwerking is van artikel 13 AVG. Op grond van de Wpbr dient de particulier onderzoeker zijn legitimatiebewijs op verzoek te tonen Het komt de transparantie ten goede als de particulier onderzoeker bij de aanvang van het interview het legitimatiebewijs toont en (eventueel) een visitekaartje waarop diens naam is vermeld alsmede de naam en de contactgegevens van het recherchebureau namens wie hij/zij optreedt.
Algemene vragen (zoals: “Kunt u mij vertellen op welk huisnummer de heer X woont” of het inwinnen van inlichtingen bij openbare bronnen (zoals het informeren naar iemands telefoonnummer bij KPN via 0900 8008) vallen niet onder het begrip “interview”. Dit soort algemene vragen wordt aangemerkt als sturingsinformatie, informatie die nodig is om richting te geven aan het onderzoek.
Voor de sector particuliere onderzoeksbureaus gelden nauwelijks wettelijke bepalingen die het interviewen normeren. De verplichting voor opsporingsambtenaren om voorafgaand aan een verhoor aan een verdachte de cautie te geven (artikel 29 van het WvSv) geldt niet voor particulier onderzoekers. Het zwijgrecht voor verdachten is bedoeld als waarborg tegen ongeoorloofde druk van justitiële autoriteiten en tegen methoden om bewijs onder dwang en tegen de wil van de verdachte te verkrijgen. De bepaling in de Wpbr, waarin gesteld wordt dat van een beveiligingsorganisatie of particulier onderzoeksbureau mag worden verlangd “dat zal worden gehandeld in overeenstemming met hetgeen van een goede beveiligingsorganisatie of van een goed particulier onderzoeksbureau in het maatschappelijk verkeer mag worden verwacht” is te vaag om daaruit een interviewstandaard af te leiden.
De derde norm is opgenomen opdat achteraf tijdens een rechtszaak kan worden gereconstrueerd hoe het interview met de onderzochte persoon is verlopen. Dit is vooral van belang voor de opdrachtgever als hij zich moet verdedigen tegen de stelling van de onderzochte persoon dat sprake was van ongeoorloofde druk tijdens het interview (en dat daardoor bijvoorbeeld sprake was van handelen in strijd met art. 7:611 BW, het goed werkgeverschap). Als het interview door één persoon wordt uitgevoerd is het voor de opdrachtgever lastig om een dergelijk verweer gemotiveerd te betwisten. Vandaar dat is aangegeven dat het de voorkeur verdient dat het interview door twee personen geschiedt. De twee personen kunnen beide particulier onderzoeker zijn; het is ook denkbaar dat de onderzoeker het interview uitvoert met een vertegenwoordiger van de opdrachtgever (zoals een afdelingsmanager, een medewerker personeelsdienst of een bedrijfsrechercheur). Als het interview wordt opgenomen zijn ook voldoende mogelijkheden aanwezig om de wijze waarop het interview is geschied te reconstrueren. Indien het interview met toestemming van de onderzochte persoon wordt opgenomen moet het particulier onderzoeksbureau kunnen aantonen dat de onderzochte persoon hiervoor toestemming heeft gegeven. De toestemming kan worden opgenomen in het interviewverslag of door middel van een separate schriftelijke verklaring (art. 7 lid 1 AVG).
In de vierde norm wordt aangegeven dat de particulier onderzoeker zich onthoudt van alles waarvan gezegd kan worden dat de verklaring van de bevraagde persoon niet in vrijheid is afgelegd. Alleen al van het bevragen van iemand door een particulier onderzoeksbureau gaat een zekere druk uit. Aangezien gesprekken gevoerd worden op basis van vrijwilligheid is doorgaans geen sprake van ongeoorloofde druk De grens tussen wat nog wel en wat niet meer geoorloofd is, is moeilijk te trekken. Een indringende bevraging van de onderzochte persoon is op zichzelf toegestaan. Zo is toegestaan dat iemand die ontkent, geconfronteerd wordt met (ander) bewijsmateriaal en mag gewezen worden op de zwakheid van diens positie. Er is echter wel sprake van ongeoorloofde druk indien lichamelijke druk wordt gebruikt. Ongeoorloofd is ook het doen van beloften die niet waar gemaakt kunnen worden of verbaal geweld.
In de praktijk komt het voor dat bij onderzochte personen een vrij defensieve interviewtechniek wordt toegepast. Bij deze interviewtechniek wordt voorafgaand aan het gesprek zoveel mogelijk materiaal verzameld over de onderzochte persoon en diens achtergrond, de zaak zelf, de administratieve procedures en de (digitale of administratieve) sporen die duiden op verwijtbare betrokkenheid van de onderzochte persoon. In het daarop volgende gesprek wordt de onderzochte persoon zoveel mogelijk zelf aan het woord gelaten door middel van “open vragen” (wie, wat, waarmee, wanneer etc). Tijdens dit gesprek blijkt vanzelf of iemand liegt en of feiten verdraaid worden. Met deze leugens wordt hij vervolgens geconfronteerd, zodat hij uiteindelijk gaat inzien dat verder ontkennen zinloos is.
De tweede volzin van de vijfde norm is vooral van belang voor de opdrachtgever als de onderzochte persoon tijdens een rechtszaak stelt dat wat hij tijdens het interview gezegd heeft onjuist is weergegeven. Door het overleggen van de uitgewerkte verklaring kan de opdrachtgever een dergelijk verweer gemotiveerd weerleggen. De analoge toepassing van de tweede volzin van de vijfde norm voor anderen dan de onderzochte persoon benadrukt dat zorgvuldig wordt omgegaan met de belangen van anderen. Als slechts een samenvatting gemaakt wordt van een interview met een ander dan de onderzochte persoon en als deze samenvatting wordt opgenomen in de rapportage, verdient het aanbeveling die samenvatting inhoudelijk af te stemmen met degene met wie gesproken is. Praktisch kan dit door de samenvatting per email toe te sturen en aan de bevraagde persoon te vragen in een reply aan te geven dat hij/zij akkoord is met de samenvatting.
7.4 Observatie Algemeen
Observatie vindt plaats indien gedragingen van iemand of hetgeen bekend moet worden om onderzoekstactische redenen niet rechtstreeks aan de onderzochte persoon of een derde gevraagd kan worden. Observatie kan ondersteund worden met technische hulpmiddelen (zoals camera’s, zie paragraaf 7.5) of plaatsbepalingsapparatuur (zoals GPS-apparatuur bij het volgen van voertuigen).
Sectornormering
- Naarmate de observatie meer in het openbaar plaatsvindt, zal er minder snel van een inbreuk op de privacy sprake zijn en is observatie in beginsel toegelaten;
- indien de observatie – ook in het openbaar – langdurig en systematisch (dynamisch volgen) plaatsvindt is observatie slechts onder bijzondere omstandigheden toegestaan;
- de sector particuliere onderzoeksbureaus onthoudt zich, van observatie van personen indien deze personen verkeren in situaties, waarbij zij er aanspraak op moeten kunnen maken onbevangen zichzelf te zijn;
- een rapport inzake observatie beperkt zich tot de waarneming van die gedragingen die relevant zijn voor de opdrachtgever.
Toelichting:
Observatie is een belangrijke onderzoeksmethode als er duidelijke aanwijzingen zijn dat iemand zich schuldig maakt of zal maken aan laakbaar en/of strafbaar handelen of indien er gerede twijfel is omtrent de juistheid en volledigheid van de feiten op grond waarvan een uitkering worden wordt verlangd of verleend. Er kan onderscheid gemaakt worden tussen statische observatie en dynamische observatie (volgen). In het eerste geval wordt uitgegaan van het gadeslaan van (een) perso(o)n(en), goederen en/of situaties vanuit een bepaalde positie (bijvoorbeeld een vast observatiepunt met doorkijkspiegel). Bij dynamische observatie gaat het om het volgen van de activiteiten van een bepaalde perso(o)n(en), goederen en/of situaties. Observatie kan met gewone zintuiglijke waarnemingen geschieden (directe observatie), maar ook door gebruik te maken van video- en fotocamera’s (indirecte observatie). In de regel zal observatie heimelijk zijn. Dit betekent dat personen worden gadegeslagen zonder dat zij hiervan op de hoogte zijn.
Uit verschillende rechterlijke uitspraken kan worden geconcludeerd dat een inbreuk op de privacy niet snel wordt aangenomen wanneer de observatie betrekking heeft op gedragingen die in het openbaar plaatsvinden. Personen die zich in het voor het publiek toegankelijke domein bevinden, dienen er rekening mee te houden dat anderen (iedere willekeurige buitenstaander) hen kunnen waarnemen. Het begrip “openbaar” is ruimer dan de openbare weg.
Ook voor het publiek toegankelijke plaatsen vallen daar onder. Zo is de lounge van een hotel en een winkel gedurende openingstijden een voor publiek toegankelijke ruimte. De onder één genoemde norm is op deze jurisprudentie gebaseerd.
De onder twee genoemde norm ziet onder meer op observatie waarbij gebruik gemaakt wordt van zintuigversterkende hulpmiddelen zoals een verrekijker of de telélens van een camera. Het gebruik van deze technische hulpmiddelen, is toegestaan. Het gebruik van andere technische hulpmiddelen, zoals een GPS-baken (Global Position System), is slechts in beperkte mate toegestaan, indien dit ondersteunend is aan de observatie. Het plaatsen van een GPS-baken op een te volgen voertuig maakt het mogelijk dit voertuig op afstand te volgen en daarmee de observatie professioneler te doen verlopen.
Daarmee kan tevens worden voorkomen dat halsbrekende toeren in het verkeer moeten worden uitgehaald om te voorkomen dat de geobserveerde uit het zicht geraakt. De inzet van dit middel
is beperkt tot bedrijfsvoertuigen en privé-voertuigen die bedrijfsmatig gebruikt worden door de onderzochte persoon en is verder beperkt tot die tijden die relevant zijn voor de onderzoeksopdracht. Het aanbrengen van een technisch hulpmiddel in iemands persoonlijke eigendommen zodat op elk moment een exact en volledig inzicht wordt verkregen van de plaatsen waar de geobserveerde is of is geweest, maakt een te grote inbreuk op de privacy en vindt doorgaans geen rechtvaardiging in de aard van de opdracht. Ook de duur van de observatie in combinatie met de frequentie kan er toe leiden dat een min of meer volledig beeld wordt verkregen van bepaalde aspecten van iemands leven, waardoor een niet toegestane inbreuk op de privacy gemaakt wordt.
Bij de onder drie genoemde norm wordt gesproken over situaties waarbij geobserveerde personen er aanspraak op moeten kunnen maken onbevangen zichzelf te zijn. In dit kader kan gedacht worden aan woningen, hotelkamers, badhokjes in zwembaden, paskamers in winkels, relaxinrichtingen en toiletruimten. Daarbij wordt opgemerkt dat het gedurende enkele momenten met het blote oog vanaf de openbare weg gadeslaan van iemand die zich in een woning bevindt, terwijl de ramen niet zijn afgeschermd, niet onder de beperking van de norm valt.
De vierde norm brengt tot uiting dat observatie nauwgezet gerelateerd dient te zijn aan de onderzoeksopdracht. Indien bijvoorbeeld vermoedt wordt dat een uitkeringsgerechtigde van een arbeidsongeschiktheidsverzekering rugletsel veinst, dient de observatie zich te beperken tot gedragingen als het tillen of het slepen van zware voorwerpen. Vooraf moet worden bepaald tot welk resultaat de observatie moet kunnen leiden, bijvoorbeeld het vaststellen dat iemand een ongeoorloofde nevenactiviteit verricht of het vaststellen dat iemand bijklust tijdens ziekte.
Uitspraken waarbij de normering uit privacygedragscode getoetst wordt zijn belangrijk voor de praktijk van het particulier onderzoek. In twee situaties heeft de rechter getoetst of de particulier onderzoeker zich gehouden heeft aan de onder twee genoemde norm in combinatie met de onder drie genoemde norm.
De rechter oordeelde in ECLI:NL:RBHAA:2009:BJ3060 (alimentatiekwestie):
“Gezien de duur en frequentie van de observaties, alsmede de gedetailleerde inhoud van rapportages, moet er naar het voorlopig oordeel van de voorzieningenrechter sprake zijn geweest van méér dan “enkele momenten met het blote oog vanaf de openbare weg gadeslaan” als bedoeld in de toelichting bij de gedragscode, hetgeen in casu een niet toelaatbare inbreuk op de persoonlijke levenssfeer van ([A] en) [eiser] oplevert. Daarbij is mede van belang dat een aanzienlijk deel van de observaties situaties betreffen waarin [eiser] er aanspraak op moet kunnen maken onbevangen zichzelf te kunnen zijn.” De particulier onderzoeker werd veroordeeld tot vergoeding van immateriële schade vanwege schending van de persoonlijke levenssfeer.
In de casus de beschreven wordt in ECLI:NL:RBZUT:2007:881491 (arbeidsongeschiktheid) was de klager vanaf de openbare weg geobserveerd in diens woning, doordat de onderzoeker eenmaal in de drie uur langs de woning is gereden en verslag had gedaan van diens waarnemingen. Telkens zat de onderzochte persoon in een werkhouding achter zijn bureau, hetgeen hij niet zou moeten kunnen in verband met door hem zelf aangegeven beperkingen. In deze casus was de rechter van mening dat het incidentele observeren vanaf de openbare weg in de woning geen inbreuk op de persoonlijke levenssfeer vormde. De rechter oordeelde dat de duur en de intensiteit van de observatie dermate beperkt zijn gebleven dat daaruit niet volgt dat de onderzoeker een inbreuk op de privacy heeft gemaakt. De vordering tot vergoeding van schade wegens vermeende schending van de persoonlijke levenssfeer werd afgewezen.
7.5 Heimelijke observatie door middel van camera’s
Algemeen
Verborgen camera’s worden in voorkomende gevallen ingezet indien gedragingen van (een) onderzochte perso(o)n(en) moeten worden vastgelegd en/of om duidelijkheid te verkrijgen omtrent de identiteit van de vermoedelijke dader(s)/perso(o)n(en) die onrechtmatig handel(t)(en), om zodoende jegens de onderzochte perso(o)n(en) maatregelen te doen nemen door de opdrachtgever van de sector particuliere onderzoeksbureaus.
Indien een verborgen camera wordt ingezet is extra zorgvuldigheid geboden omdat een verborgen camera al snel inbreuk kan maken op de persoonlijke levenssfeer. Dit is ook door de wetgever onderkend. Een tweetal verbod§bepalingen in het WvSr heeft specifiek betrekking op het heimelijk observeren van personen met camera’s (artikel 139f en artikel 441b). Beide bepalingen verbieden het vervaardigen van afbeeldingen van iemand met een technisch hulpmiddel, indien dat heimelijk geschiedt én indien dat wederrechtelijk is. Bij de totstandkoming van deze artikelen is onderkend dat verborgen camera’s in voorkomende gevallen ingezet kunnen worden als particulier onderzoeksmiddel. Als algemene voorwaarde geldt dat de geobserveerde (werknemers of verzekerden) vooraf in algemene zin over het bestaan van deze mogelijkheid in kennis is gesteld. Voor werknemers kan dit in kennis stellen bijvoorbeeld geschieden door middel van een circulaire aan het personeel, waarin is omschreven onder welke omstandigheden de werkgever zich de mogelijkheid voorbehoudt om heimelijke opnamen te maken. In dat geval is geen sprake van een strafbaar feit omdat aan het kenbaarheidsvereiste wordt voldaan. In situaties waarin het heimelijk cameratoezicht niet kenbaar wordt gemaakt, is het aan de rechter om te beoordelen of er al dan niet sprake is van wederrechtelijkheid. Voor particulier onderzoekers betekent dit dat zij zich bij de opdrachtgever moeten vergewissen of de mogelijkheid tot de inzet van heimelijke camera’s bekend gemaakt is en hoe. In alle gevallen dient onderstaande normering in acht te worden genomen.
Sectornormering
- Het gebruik van de verborgen camera geschiedt alleen op incidentele basis indien er duidelijke aanwijzingen zijn dat iemand zich schuldig maakt of heeft gemaakt aan ernstig onrechtmatig en/of strafbaar handelen of indien er gerede twijfel is omtrent de juistheid en volledigheid van de feiten op grond waarvan een uitkering wordt verlangd of verleend en het gebruik van de verborgen camera noodzakelijk is voor het leveren van bewijs;
- indien er minder ingrijpende onderzoeksmogelijkheden zijn om de onrechtmatige en/of strafbare gedraging aan het licht te brengen, dienen deze te worden toegepast;
- situaties waarin personen de gerechtvaardigde verwachting hebben dat zij onbevangen zichzelf moeten kunnen zijn, worden ontzien;
- het cameragebruik vindt zo gericht mogelijk plaats;
- de periode waarin de camera wordt gebruikt is beperkt;
- misbruik van de beelden wordt tegen gegaan;
- er vindt een evaluatie plaats met de onderzochte persoon over de cameraopnamen, indien de beelden daartoe aanleiding geven en overwogen wordt het materiaal te gebruiken in een (gerechtelijke) procedure, een en ander voor zover het belang van het onderzoek dat toelaat;
- niet relevant gebleken gegevens worden vernietigd.
Toelichting:•
Een werkgever die observatie wenst uit te voeren met (een) heimelijke camera(‘s) dient voorafgaand aan de inzet een DPIA uit te voeren. De Nederlandse Veiligheidsbranche heeft een model DPIA voor de voorgenomen inzet van een heimelijke camera door werkgevers ontwikkeld. Dit model DPIA is op de website van de Nederlandse Veiligheidsbranche beschikbaar voor belangstellenden.
In het DPIA wordt ook aandacht gegeven aan het bestanddeel “wederrechtelijk” dat in beide strafbepalingen is opgenomen. Door het bestanddeel “wederrechtelijk” wordt ruimte geschapen voor een afweging in concrete situaties, waarbij sprake is van conflicterende (grond) rechten. Iemand die met een verborgen camera betrapt wordt terwijl hij zijn werkgever besteelt, zou kunnen stellen dat zijn privacy geschonden is, omdat de aanwezigheid van de camera niet kenbaar is gemaakt. De werkgever daarentegen zal stellen dat de visueel geobserveerde inbreuk heeft gemaakt op diens eigendomsrechten en dat hij deze diefstal op geen andere wijze had kunnen vaststellen dan door een verborgen camera te plaatsen.
Het gebruik van de verborgen camera is alleen toegestaan indien dat noodzakelijk is voor het leveren van bewijs dat iemand zich schuldig maakt of heeft gemaakt aan ernstig onrechtmatig en/of strafbaar handelen. In de normen 2, 4 en 5 wordt het noodzakelijkheidsvereiste van de eerste norm expliciet tot uitdrukking gebracht.
Hieronder volgt bij wijze van voorbeeld een tweetal situaties waarbij het in het verleden is voorgekomen dat een heimelijke camera is ingezet. In deze gevallen is het niet mogelijk om aangifte in de zin van het WvSv te doen bij de politie. Er is dan geen sprake van strafbaar gedrag door betrokkene, maar wel van onrechtmatig gedrag.
- Stalking en benadeling via de post
Een organisatie ontving grote aantallen poststukken via het (voor de verzender gratis) antwoordnummer. Het betrof honderden blanco brieven per week alsmede zware pakketten met vloeistof. De afzender is anoniem. Doordat de poststukken altijd via hetzelfde postkantoor aan PostNL werden aangeboden kon door middel van getuigenverklaringen en ander speurwerk worden vastgesteld wie de vermoedelijke afzender was. Absolute zekerheid was er echter niet.
Om die reden zijn van de vermoedelijke afzender heimelijk foto’s gemaakt toen deze in zijn auto stapte. Deze foto’s zijn getoond aan het personeel van het postkantoor, met positieve herkenning als gevolg. Betrokkene is op zijn huisadres aangeschreven met het dringende verzoek zijn handelingen te staken. Vanaf die dag is er geen ongewenste post meer ontvangen.
- Misbruik computersystemen
In een bedrijf wordt vastgesteld dat een bepaalde gebruiker (user-id en password zijn bekend) de bedrijfscomputer gebruikt om hackerssoftware te downloaden van internet, met enorme risico’s voor de technische infrastructuur als gevolg. Ook wordt vastgesteld dat het internet met dit password altijd vanuit één vaste werkplek benaderd wordt (iedere internetcomputer kent een IP-adres).
Ervaring heeft geleerd dat degene aan wie het password is afgegeven en die normaliter gebruik maakt van die werkplek niet perse degene hoeft te zijn die de bedrijfsregels schendt. Ondanks gedragsregels die dat verbieden kan niet worden voorkomen dat passwords gedeeld worden. In dit geval biedt alleen de verborgen camera uitkomst. Door een camerapositie met zicht op de werkplek kon worden vastgelegd wie daadwerkelijk het vertrouwen schond.
In een tweetal hierna opgenomen situaties is er wel sprake van strafbaar handelen en heeft de rechter zich concreet uitgesproken over het gebruik van de heimelijke camera.
In Hoge Raad 27 april 2001, Rechtspraak van de Week 2001, nr. 97 oordeelde de rechter over het bewijs dat met een verborgen camera was verkregen. In deze casus had de werkgever het vermoeden dat kassier T bij herhaling verduistering pleegde. Een particulier recherchebureau plaatste gedurende een periode van vier weken een verborgen camera, gericht op de kassa. Aangezien op de kassa meerdere medewerkers werkzaam waren, zijn ook de gedragingen van caissière L vastgelegd. Uit de vastgelegde afbeeldingen bleek dat L bij herhaling verduistering pleegde. De rechter oordeelde dat het er niet toe deed dat de verdenking alleen tegen T bestond en dat het in feite op toeval berustte dat ook L werd betrapt. Er is geen inbreuk op de privacy gemaakt, omdat er reeds een concreet vermoeden van verduistering bestond (door T) en de gedragingen niet op een andere manier dan met behulp van de camera konden worden vastgelegd.
Een ander voorbeeld van de Kantonrechter Schiedam van 8 juli 1997, JAR 1997, 189, betreft een bedrijf dat al geruime tijd geplaagd werd door diefstal van pakken koffie en limonade uit de kantine. Via een informatiebulletin werd het personeel gewaarschuwd dat diefstal niet getolereerd werd. Met behulp van een verborgen camera werd aangetoond dat een werknemer meermalen spullen wegnam. Hij werd op staande voet ontslagen. Het beroep van de werknemer op onrechtmatig verkregen bewijs werd door de rechter verworpen. De werkgever heeft een gerechtvaardigd belang om te achterhalen wie van haar werknemers het in hem gestelde vertrouwen schond, aldus de rechter.
7.6 Onderzoek in geautomatiseerde voorzieningen
Algemeen
Veel bedrijven beschikken over geautomatiseerde voorzieningen, zoals een computernetwerk. In zo’n netwerk heeft iedere werknemer door middel van een personal computer toegang tot zijn eigen werkgebied waarop hij kan inloggen door middel van de user-id en zijn wachtwoord. Daarnaast beschikken veel werknemers over bedrijfsmiddelen, zoals laptops en mobiele telefoons. De rechthebbende van het computernetwerk respectievelijk de aan de werknemer beschikbaar gestelde bedrijfsmiddelen moet in staat zijn om na te gaan op welke wijze er gebruik wordt gemaakt van deze bedrijfsvoorzieningen, ter controle op de naleving op de gedragsregels op het gebruik daarvan of ter voorkoming van risico’s (voor de technische infrastructuur). Om die reden worden handelingen van werknemers op computers, op computernetwerken en/of het gebruik van computerdiensten (zoals internet) veelal vastgelegd (“gelogd”). Een werkgever is verplicht zijn personeel hierover te informeren op grond van artikel 13 AVG. Voorts is de werkgever verplicht om over dit vastleggen van gegevens van personeelsleden en het gebruik daarvan te overleggen met de ondernemingsraad op grond van artikel 27 van de Wet op de Ondernemingsraden een en ander voor zover op personeel betrekking hebbende gegevens op structurele basis worden vastgelegd. Zie voor onderzoek in e-mailberichten paragraaf 7.7.3.
Sectornormering
- Het onderzoek in een geautomatiseerde voorziening is alleen toegestaan in opdracht van de rechthebbende op deze voorziening. Veelal zal dit de opdrachtgever zijn;
- het onderzoek in geautomatiseerde voorzieningen is alleen toegestaan in geval van een vermoeden van misbruik van de geautomatiseerde voorzieningen of in geval van verdenking van een ander ernstig laakbaar en/of strafbaar handelen;
- een thuiswerkplek wordt niet betrokken bij het onderzoek in geautomatiseerde voorzieningen. Indien onderzoek noodzakelijk is in geautomatiseerde voorzieningen die de werkgever beschikbaar gesteld heeft aan zijn werknemers, dient de werkgever deze terug te vorderen, opdat onderzoek elders plaatsvindt; 4. indien er minder ingrijpende onderzoeksmogelijkheden zijn om de laakbare en/of strafbare gedraging(en) aan het licht te brengen, dienen deze te worden toegepast; 5. er wordt uitsluitend gebruik gemaakt van technische hulpmiddelen die de integriteit van de in de geautomatiseerde voorziening opgeslagen data intact laten; 6. het onderzoek vindt zo gericht mogelijk plaats;
- het geschiedt alleen op incidentele basis;
- niet relevant gebleken gegevens worden vernietigd.
Toelichting:
Indien de sector particuliere onderzoeksbureaus optreedt in het verlengde van de rechthebbende van een geautomatiseerde voorziening (zoals het computernetwerk van een bedrijf of een door het bedrijf aan een medewerker beschikbaar gestelde personal computer), is onderzoek, waarbij de op de bedrijfsserver of de harde schijf opgeslagen data benaderd worden geoorloofd Er is dan geen sprake van “wederrechtelijk binnendringen” in de zin van artikel 138ab van het WvSr. In dat geval is ook geen sprake van gekwalificeerde computer-vredebreuk (art. 138ab lid 2 WvSr), indien het inkijken in de gegevens gevolgd wordt door het overnemen van de gegevens en deze voor zichzelf of een ander wordt vastgelegd (ontvreemden van gegevens).
Het is de verantwoordelijkheid van de opdrachtgever om de gebruikers van het geautomatiseerde systeem in algemene zin te informeren dat handelingen op computers; op computernetwerken en/of het gebruik van computerdiensten worden vastgelegd en onder welke omstandigheden de vastgelegde gegevens in de geautomatiseerde voorzieningen kunnen worden onderzocht.
Er is sprake van gerechtvaardigd belang voor een onderzoek in geautomatiseerde voorzieningen indien sprake is van ernstig onrechtmatig of laakbaar handelen of nalaten. nast de absolute ernst van handelen of nalaten (zoals diefstal van eigendommen van de werkgever of verduistering) speelt ook de relatieve ernst van het handelen of nalaten een rol. Bij het bepalen van de relatieve ernst van handelen of nalaten spelen verschillende factoren een rol die in onderling verband en samenhang de ernst kunnen bepalen, zoals:
– De relatie tussen de functie en het vergrijp. Bij iemand die een voorbeeldfunctie of een vertrouwenspositie heeft of belast is met toezicht op de naleving van gedragsregels, wordt een handelen of nalaten in strijd met vigerende regels al snel aangemerkt als ernstig laakbaar handelen of nalaten.
– De aard van het bedrijf of instelling. In een aantal sectoren van de samenleving moet de werkgever volledig kunnen vertrouwen op de eerlijkheid van de medewerkers. Handelen of nalaten in strijd met vigerende regels wordt dan al snel aangemerkt als ernstig laakbaar handelen of nalaten.
7.7 Vertrouwelijke communicatie
Algemeen
Vertrouwelijke communicatie kan plaatsvinden door het gesproken of geschreven woord of door de overdracht van signalen via de ether of de kabel. Onder vertrouwelijke communicatie valt bijvoorbeeld een in beslotenheid gevoerd gesprek, een niet openbaar e-mailbericht of het niet voor derden bestemde berichtenverkeer via de telecommunicatie-infrastructuur. In de hierna opgenomen paragrafen is telkens opgenomen dat, indien er minder ingrijpende onderzoeks-mogelijkheden zijn om het verweten gedrag aan het licht te brengen of om bewijs te vergaren voor een verweten gedraging, deze de voorkeur hebben. Voor onderzoeken waarbij communicatie een rol speelt betekent dit, dat het in het algemeen minder ingrijpend is de uiterlijke vorm van communicatie te onderzoeken (identificerende gegevens en verkeersgegevens) dan het doen van onderzoek naar de inhoud van de communicatie (wat er gezegd is of wat er geschreven is).
7.7.1 Meeluisteren en opnemen van gesprekken in besloten en niet besloten ruimten
Sectornormering
- De particulier onderzoeker is deelnemer aan het gesprek èn neemt de eerste norm van het interviewen van personen in acht (zie hiervoor paragraaf 7.3); of
- de particulier onderzoeker handelt in opdracht van een deelnemer aan een gesprek;
- indien er minder ingrijpende onderzoeksmogelijkheden zijn om de laakbare en/of strafbare gedraging(en) aan het licht te brengen of om bewijs te vergaren voor de laakbare en/of strafbare gedraging(en), dienen deze te worden toegepast;
- het meeluisteren en opnemen vindt zo gericht mogelijk plaats;
- de periode waarin wordt meegeluisterd of opgenomen dient zo beperkt mogelijk te zijn;
- niet relevant gebleken gegevens worden vernietigd.
Toelichting:
De sector particuliere onderzoeksbureaus werkt regelmatig in opdracht van personen die (telefoon) gesprekken die zij zelf met een ander voeren willen vastleggen, zonder dat de ander daarvan op de hoogte’ is. In dat geval worden hulpmiddelen gebruikt die in feite als technisch geheugen van de opdrachtgever fungeren. Een bandopname van een (telefoon)gesprek wordt vaak in een juridische procedure overhandigd als ondersteuning van een getuigenverklaring van gelijke strekking. Meermalen hebben rechters overwogen dat gesprekspartners er vanuit moeten gaan dat hun (telefoon) gesprekken worden meegeluisterd, dan wel opgenomen. Bij hulpmiddelen kan gedacht worden aan het beschikbaar stellen van een bandrecordertje aan de gespreksdeelnemer of aan het installeren van een kabelmicrofoon in de ruimte waar het gesprek plaatsvindt. Indien gebruik gemaakt wordt van een zendertje moet rekening worden gehouden met de bepalingen van de Telecommunicatiewet. Daarin is vastgelegd dat de aanleg en het gebruik van een zender slechts is geoorloofd, indien voor het gebruik ervan aan de houder van het apparaat een vergunning is verleend voor het gebruik van frequentieruimte (artikel 10.16 van de Telecommunicatiewet).
Volledigheidshalve wordt hier vermeld dat de artikelen 139a en 139b van het WvSr het afluisteren van gesprekken met een technisch hulpmiddel, anders dan in opdracht van een deelnemer van het gesprek, verbieden, alsmede het opnemen van een gesprek zonder deelnemer aan dat gesprek te zijn en anders dan in opdracht van een deelnemer strafbaar stellen.
7.7.2 Aftappen en/of opnemen van telefoongesprekken
Sectornormering
- Het aftappen en/of opnemen van telefoongesprekken is alleen toegestaan in opdracht van de rechthebbende van de voor telecommunicatie gebezigde aansluiting. Veelal zal dit de opdrachtgever zijn;
- aftappen en/of opnemen van telefoongesprekken is alleen toegestaan indien dat noodzakelijk is voor het leveren van bewijs dat de onderzochte persoon zich schuldig maakt of heeft gemaakt aan ernstig laakbaar en/of strafbaar handelen;
- indien er minder ingrijpende onderzoeksmogelijkheden zijn om de laakbare en/of strafbare gedraging(en) aan het licht te brengen of om bewijs te vergaren voor de laakbare en/of strafbare gedraging(en), dienen deze te worden toegepast;
- de periode waarin wordt getapt of telefoongesprekken worden opgenomen is beperkt;
- het aftappen en/of opnemen van telefoongesprekken vindt zo gericht mogelijk plaats; 35
- niet relevant gebleken gegevens worden vernietigd.
Toelichting:
In artikel 139c van het WvSr is vastgelegd dat het aftappen of opnemen met een technisch hulpmiddel van gegevens die worden overgedragen via de telecommunicatie-infrastructuur of door middel van daarop aangesloten randapparatuur in beginsel strafbaar is. Deze verbodsbepaling is onder meer van toepassing op telefoongesprekken. Voor de gerechtigde tot de voor telecommunicatie gebezigde aansluiting heeft de wetgever een uitzondering gecreëerd. De Memorie van Toelichting noemt het voorbeeld van een werknemer die een gesprek voert met de telefoon van zijn werkgever. Dit zal minder als een inbreuk op de privacy worden ervaren, althans eerder worden geaccepteerd, omdat gebruik gemaakt is van bedrijfsfaciliteiten en omdat de werkgever in staat moet zijn om na te gaan welk gebruik er van de aansluiting wordt gemaakt.
De grens van hetgeen toegestaan is komt in de strafbepaling tot uitdrukking door aan te duiden dat de uitzondering niet geldt als er sprake is van “kennelijk misbruik”. Het aftappen en/of opnemen van telefoongesprekken is niet strafbaar indien de normering in acht genomen wordt.
7.7.3 Onderzoek van e-mailberichtenverkeer Sectornormering
- Het aftappen en inzien van e-mailberichten is alleen toegestaan in opdracht van de rechthebbende op het communicatienetwerk. Veelal zal dit de opdrachtgever zijn;
- het aftappen en inzien van emailberichten is alleen toegestaan in geval van het vermoeden van misbruik van het bedrijfsnetwerk door de onderzochte persoon of in geval van verdenking van ander ernstig laakbaar of strafbaar handelen;
- indien er minder ingrijpende onderzoeksmogelijkheden zijn om de laakbare en/of strafbare gedraging(en) aan het licht te brengen of om bewijs te vergaren voor de laakbare en/of strafbare gedraging(en), dienen deze te worden toegepast;
- indien de e-mailberichten versleuteld worden zonder medeweten en/of toestemming van de rechthebbende op het communicatienetwerk kunnen de computerhandelingen van de onderzochte persoon leesbaar respectievelijk inzichtelijk worden gemaakt door het plaatsen van een bug;
- het onderzoek vindt zo gericht mogelijk plaats;
- de periode van het onderzoek is beperkt;
- niet relevant gebleken gegevens worden vernietigd. Toelichting: Onderzoek van de e-mailbox houdt in het aftappen en/of inzien van e-mailberichten en/of berichten die zijn opgeslagen in de e-mailbox. In het WvSr is een aantal strafbepalingen opgenomen die betrekking hebben op het aftappen en/of inzien van e-mail. Artikel 139c van het WvSr verbiedt het aftappen of opnemen met een technisch hulpmiddel van gegevens die worden overgedragen via de telecommunicatie-infrastructuur of door middel van daarop aangesloten randapparatuur. Deze verbodsbepaling is eveneens van toepassing op het aftappen van e-mailberichten die worden verzonden en/of worden ontvangen. Artikel 138ab van het WvSr verbiedt het opzettelijk en wederrechtelijk binnendringen in iemands e-mailbestanden alsmede het overnemen van gegevens. Bovenvermelde strafbepalingen worden in beginsel niet overtreden, indien deze normering in acht genomen wordt. 36
Het is de verantwoordelijkheid van de opdrachtgever om de gebruikers van de e-mailfunctionaliteit in algemene zin te informeren dat en onder welke omstandigheden het e-mailberichtenverkeer afgetapt en/of ingezien kan worden.
7.8 Proefaankoop en pseudoklant Algemeen Een proefaankoop is een handeling waarbij het particulier onderzoeksbureau iets afneemt van een ander met de bedoeling gegevens te verzamelen over de wijze van afhandeling van de transactie, dan wel om specifieke gegevens van de verkopende partij en/of het te koop aangebodene te verkrijgen. In het geval van een pseudoklant doet de particulier onderzoeker zich voor als (potentiële) klant om gedragingen van de dienstverlener waar te nemen als deze zijn dienst aanbiedt of uitvoert.. Bij beide activiteiten maakt de particulier onderzoeker diens ware identiteit of reden van de proefaankoop of het verzoek om een dienst te verlenen niet bekend. Sectornormering 1. De verkoper of aanbieder van de dienst mag niet aangezet worden of in de verleiding worden gebracht iets te doen of na te laten wat hij anders op eigen initiatief ook niet zou hebben gedaan; 2. de proefaankoop of het zich voordoen als klant dient zo gericht mogelijk te zijn; 3. dat goederen en/of gegevens zijn aangekocht of dat een dienst is afgenomen dient expliciet in de onderzoeksrapportage te worden vastgelegd, alsmede de wijze van betalen. Toelichting: In de praktijk zijn er verschillende soorten van proefaankopen. Zo komt het voor dat winkelbedrijven aan particuliere onderzoeksbureaus opdracht geven om reguliere aankopen te doen in hun winkel of winkels om te verifiëren of de kassamedewerkers zich houden aan de geldende kassa-instructies (mystery guesting). Het komt ook voor dat personen voorwerpen of gegevens (informatie) aanbieden die onrechtmatig onttrokken zijn aan de opdrachtgever of aan een derde. In die gevallen moet veelal eerst geverifieerd worden of het inderdaad voorwerpen of gegevens van de opdrachtgever of van een derde betreffen of er moet een beeld worden verkregen van de (betrouwbaarheid van de) aanbieders. Soms wordt voor dit doel voorafgaande aan de proefaankoop samengewerkt met opsporingsautoriteiten (al dan niet in het kader van bijstandsverlening ex-artikel 126ij van het WvSv). Soms wordt een proefaankoop gedaan om vast te stellen of de goederen of de gegevens van misdrijf afkomstig zijn en wordt de politie in kennis gesteld, indien dat is vastgesteld, zodat de politie de gehele partij in beslag kan nemen. Aan een eenmalige transactie kunnen meerdere contacten ter voorbereiding van de transactie vooraf gaan. Zolang nog niet vaststaat dat de aangeboden voorwerpen of gegevens daadwerkelijk van misdrijf afkomstig zijn, is de kans gering dat de particulier onderzoeker zich schuldig maakt aan heling door goederen of gegevens van de aanbieder af te nemen. Indien is vastgesteld dat de goederen respectievelijk de gegevens van misdrijf afkomstig zijn, dient de particulier onderzoeker zich te onthouden van verdere aankopen van dit bewuste product respectievelijk deze bewuste gegevens. Het is dan aan de opdrachtgever om te bepalen of de politie ingeschakeld moet worden. Bij het optreden als pseudoklant kan gedacht worden aan situaties dat de particulier onderzoeker zich meldt als (potentiële) klant voor een dienst die door de onderzochte persoon wordt aangeboden, zoals een knipbeurt of een medische behandeling. Het afnemen van deze dienst kan geboden zijn als er concrete aanwijzingen zijn dat de onderzochte persoon een 37
degelijke dienst aanbiedt en uitvoert en daarmee het vermoeden bestaat dat hij ten onrechte een uitkering geniet (bijvoorbeeld een periodieke uitkering op basis van een inkomstenverzekering tegen geheel of gedeeltelijke arbeidsongeschiktheid). De onderzoeksmethode kan ook worden ingezet om concurrerende – niet toegestane -werkzaamheden vast te stellen. In het eerste geval is het doel van het afnemen van de dienst het aanschouwen van de lichamelijke en/of mentale (on)mogelijkheden teneinde deze te vergelijken met wat van betrokkene bekend is uit het (verzekerings) dossier. In het tweede geval is het doel om vast te stellen of iemand zich aan zijn afspraken houdt (concurrentiebeding). Door op deze wijze gegevens te vergaren is feitelijk sprake van observatie en gelden tevens de daarop van toepassing zijnde normen (zie hiervoor par. 7.4).
De normering voor proefaankopen is met name geschreven voor de soort van proefaankopen anders dan mystery guesting. Bij deze proefaankopen is het risico aanwezig dat de verkoper wordt uitgelokt tot het plegen van strafbare feiten, hetgeen tot gevolg heeft dat ook de particulier onderzoeker zich schuldig maakt aan een strafbaar feit. Voorkomen moet worden dat een particulier onderzoeksbureau (strafrechtelijk) verwijtbaar betrokken raakt bij het plegen van strafbare feiten door anderen, die voorheen niet de intentie hadden om strafbare feiten te plegen. Om die reden dient de verkoper steeds het initiatief te nemen om goederen en/of diensten aan te bieden. De particulier onderzoeker moet zich steeds afvragen of de verkoop van de goederen of het verrichten van de dienst ook zou zijn geschied als hij zich niet had gemeld als gegadigde.
Hij moet de overtuiging hebben dat de verkoper zich zou hebben ingespannen om een andere gegadigde te zoeken om vervolgens aan deze de goederen te verkopen of de dienst aan te bieden. Ook mogen geen hogere bedragen worden geboden dan de gangbare bedragen.
7.9 Vastlegging van gehanteerde onderzoeksmethoden en —middelen
Indien een particulier onderzoeksbureau één van de in de paragrafen 7.1 tot en met 7.8 genoemde onderzoeksmethoden of —middelen heeft toegepast wordt hiervan een verslag opgemaakt, onder vermelding van de gronden die tot de toepassing van de gehanteerde onderzoeksmethode c.q. —middel hebben geleid. Het verslag maakt deel uit van het dossier en zodoende van de opdrachten- c.q. voorvallenregistratie, maar vormt geen onderdeel van het onderzoeksrapport, tenzij met de opdrachtgever anders is overeengekomen. Door middel van deze verslaglegging is achteraf toetsing mogelijk op de juiste toepassing van onderzoeksmethoden- en middelen. Dat is van belang voor de beoordeling van klachten ex-artikel 18 van de Regeling particuliere beveiligingsorganisaties en recherchebureaus en voor de beoordeling door de Autoriteit Persoonsgegevens van een klacht of een vermeende inbreuk op de AVG ex-artikel 56 lid 2 AVG, alsmede voor de geschillenregeling van de gedragscode. De reikwijdte van het recht tot inzage in het onderzoeksdossier door de onderzochte persoon als vastgelegd in paragraaf 9.1 van deze gedragscode omvat – onder de daar gestelde voorwaarden en beperkingen – ook de verslaglegging van gehanteerde onderzoeksmethoden en onderzoeksmiddelen.
8 Informatieverstrekking aan de onderzochte perso(o)n(en)
8.1 Informatieverstrekking aan de onderzochte persoon (uitwerking artikel 13,14 en art. 23 AVG jo art. 41 UAVG)
Wettelijk kader
Een belangrijk uitgangspunt van de AVG is dat de verwerkingsverantwoordelijke verplicht is
een betrokkene op enig moment te informeren over de verwerking van diens persoonsgegevens.
Indien persoonsgegevens bij de onderzochte persoon worden verkregen, bepaalt artikel 13 AVG dat de verwerkingsverantwoordelijke bij de verkrijging minimaal aan deze mededeelt wat diens identiteit is, alsmede wat de verwerkingsdoeleinden zijn waa oor de persoonsgegevens zijn bestemd.
Indien persoonsgegevens worden verkregen op een andere wijze dan van de onderzochte persoon, bepaalt artikel 14 AVG eveneens dat de verwerkingsverantwoordelijke de hiervoor genoemde minimale informatie aan de onderzochte persoon mededeelt. Deze mededeling dient binnen een redelijke termijn te geschieden, maar uiterlijk binnen één maand na de verkrijging van de persoonsgegevens, tenzij sprake is van een uitzonderingssituatie als bedoeld in artikel 23 AVG jo artikel 41 lid 1 onder d of i UAVG. Aanvullend op de minimale informatie neemt de verwerkingsverantwoordelijke passende maatregelen opdat de betrokkene de overige in de artikelen 13 en 14 bedoelde informatie in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal ontvangt (art. 12 lid 1 AVG). De informatieverstrekking kan achterwege blijven indien de verwerkingsverantwoordelijke op goede gronden mag aannemen dat de onderzochte persoon reeds over de informatie beschikt. De verwerkingsverantwoordelijke kan het informeren van de onderzochte persoon tevens achterwege laten in de gevallen als bedoeld in artikel 41 UAVG, in het bijzonder voor zover dit noodzakelijk en evenredig is in het belang van: – de voorkoming, het onderzoek, de opsporing en vervolging van strafbare feiten; – de bescherming van de rechten en vrijheden van anderen dan de onderzochte persoon en de opdrachtgever daaronder begrepen. Sectornormering In het onderzoeksdossier dient duidelijk kenbaar te zijn dat onderzochte persoon is geïnformeerd door middel van een brief of, in het geval een (confronterend) gesprek (door het particulier onderzoeksbureau) met de onderzochte persoon is gevoerd, door een gespreksverslag waaruit blijkt dat de onderzochte persoon (door het particulier onderzoeksbureau) is geïnformeerd. Het niet informeren van de onderzochte persoon met een beroep op artikel art. 23 AVG jo art. 41 UAVG is alleen mogelijk in uitzonderlijke gevallen. Het particulier onderzoeksbureau verstrekt de overige in de artikelen 13 en 14 AVG bedoelde informatie aan de onderzochte persoon door deze te attenderen op (het privacy statement op) haar website. Onder de overige in de artikelen 13 en 14 AVG bedoelde informatie wordt verstaan: – in voorkomend geval, de naam en contactgegevens van de functionaris voor de gegevensverwerking; – de periode gedurende welke de persoonsgegevens zullen worden opgeslagen; – de rechtsgrondslagen voor de verwerking in algemene zin door particuliere onderzoeksbureaus; 39
– dat betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoeken om inzage van en rectificatie of wissing van de persoonsgegevens of beperking van de hem betreffende verwerking, alsmede het recht tegen de verwerking bezwaar te maken en
– dat betrokkene het recht heeft klacht in te dienen bij een toezichthoudende autoriteit
In de chronologie van een particulier rechercheonderzoek en in de verhouding tussen de opdrachtgever en het particulier onderzoeksbureau geschiedt de informatieverstrekking aan de onderzochte persoon als volgt:
Voorafgaand aan het onderzoek:
- In het intakegesprek tussen de opdrachtnemer en de opdrachtgever én nog voordat een aanvang wordt gemaakt met de recherchewerkzaamheden wijst het particulier onderzoeksbureau de opdrachtgever op de op het particulier onderzoeksbureau (als verwerkingsverantwoordelijke in de zin van de AVG) rustende informatieverplichting jegens de onderzochte persoon;
- in dat gesprek wordt vastgesteld of de onderzochte persoon al op de hoogte is van een jegens hem in te stellen onderzoek;
- in de schriftelijke opdrachtbevestiging die in het onderzoeksdossier aanwezig moet zijn, dient de op het particulier onderzoeksbureau rustende informatieplicht duidelijk naar voren te komen.
- indien sprake is van een achtergrondonderzoek wordt de onderzochte persoon in algemene bewoordingen medegedeeld wat de aard van het onderzoek is waaraan hij onderworpen is, wat daarvan de reden is en wie als opdrachtgever fungeert. Verder wordt de onderzochte persoon medegedeeld dat hij zich voor nadere informatie tot de opdrachtgever dient te wenden;
- indien er geen sprake is van een achtergrondonderzoek vindt een afweging plaats of het op de hoogte stellen van de onderzochte persoon — ondanks de informatieplicht — toch achterwege dient te blijven omdat de belangen van de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten dat noodzakelijk maken (artikel 41 lid 1 onder d UAVG). De aanwezigheid van een onderzoeks- respectievelijk opsporingsbelang moet door een opsporingsambtenaar kenbaar zijn gemaakt. Voorts kan het op de hoogte stellen van de onderzochte persoon achterwege blijven indien dat noodzakelijk is ter bescherming van de rechten en vrijheden van anderen (artikel 41 lid 1 onder i UAVG). In deze gevallen dient de informatieplicht tijdens het onderzoek of na het onderzoek te geschieden;
- indien de uitzonderingen op de informatieplicht niet van toepassing zijn, dient het particulier onderzoeksbureau de onderzochte persoon op de hoogte te stellen voordat het onderzoek een aanvang neemt. De onderzochte persoon wordt dan in algemene bewoordingen medegedeeld wat de aard van het onderzoek is waaraan hij is onderworpen, wat daarvan de reden is en wie als opdrachtgever fungeert. Verder wordt de onderzochte persoon medegedeeld dat hij zich voor nadere informatie tot de opdrachtgever dient te wenden. 7. voor de overige in de artikelen 13 en 14 AVG genoemde informatie wordt de onderzochte persoon geattendeerd op de website van het particulier onderzoeksbureau. Na aanvang van het onderzoek: Indien de onderzochte persoon niet voorafgaand aan het onderzoek op de hoogte is gesteld, wordt hij tijdens het onderzoek geïnformeerd. Daarbij wordt als volgt gehandeld:
- Indien gegevens omtrent het onderzoek worden vastgelegd in de opdrachten c.q. voorvallenregistratie, wordt vastgesteld of het risico aanwezig is dat de onderzochte persoon de mededeling zal aangrijpen om maatregelen te nemen om de waarheidsvinding te belemmeren;
- in dat geval wordt de onderzochte persoon op de hoogte gesteld van het uitgevoerde onderzoek zodra dit in het kader van het onderzoek verantwoord is. Het moment waarop dit wordt gedaan, wordt in overleg met de opdrachtgever bepaald. Vaak zal dit moment samenvallen met het moment dat de onderzochte persoon geïnterviewd wordt over het voorval. De onderzochte persoon wordt dan in algemene bewoordingen medegedeeld wat de aard van het onderzoek is waaraan hij is onderworpen, wat daarvan de reden is en wie als opdrachtgever. fungeert. Verder wordt de onderzochte persoon medegedeeld dat hij zich voor nadere informatie tot de opdrachtgever dient te wenden. 3. voor de overige in de artikelen 13 en 14 AVG genoemde informatie wordt de onderzochte persoon geattendeerd op de website van het particulier onderzoeksbureau. Na afronding van het onderzoek: 1. De onderzochte persoon wordt in ieder geval in kennis gesteld van het onderzoek direct nadat het onderzoeksrapport is aangeboden aan de opdrachtgever; 2. bij de inkennisstelling wordt de onderzochte persoon in algemene bewoordingen medegedeeld wat de aard van het onderzoek is waaraan hij is onderworpen, wat daarvan de reden is en wie als opdrachtgever fungeert. Verder wordt de onderzochte persoon medegedeeld dat hij zich voor nadere informatie tot de opdrachtgever dient te wenden. 3. in uitzonderingsgevallen blijft ook dan de mededeling achterwege. Dat is onder andere het geval indien van het voorval door of namens de opdrachtgever aangifte wordt gedaan bij de politie en vroegtijdige inkennisstelling van de onderzochte persoon het opsporings- of vervolgingsbelang schaadt (artikel 23 AVG jo artikel 41 lid 1 onder d UAVG) of indien dit noodzakelijk is in het belang van de rechten en vrijheden van anderen dan de onderzochte persoon, de verwerkingsverantwoordelijke (artikel 23 AVG jo artikel 41 lid 1 onder i UAVG) en de opdrachtgever daaronder begrepen. Dit wordt van geval tot geval in overleg met de opdrachtgever bepaald. De noodzaak om de mededeling achterwege te laten indien sprake is van opsporings- of vervolgingsbelangen moet door een opsporingsambtenaar kenbaar zijn gemaakt. De gemaakte belangenafweging (beoordeling en motivering) om af te zien van het informeren van de onderzochte persoon wordt zo duidelijk mogelijk vastgelegd in het onderzoeksdossier. 4. overdracht van de informatieplicht aan de opdrachtgever is toegestaan. Van het particulier onderzoeksbureau wordt verwacht dat het zich inspant dat de onderzochte persoon door de opdrachtgever daadwerkelijk en adequaat geïnformeerd wordt. Uit het onderzoeksdossier moet met voldoende zekerheid kunnen worden vastgesteld dat de opdrachtgever de onderzochte persoon heeft geïnformeerd. 5. voor de overige in de artikelen 13 en 14 AVG genoemde informatie wordt de onderzochte persoon door het particulier onderzoeksbureau of de opdrachtgever geattendeerd op de website van het particulier onderzoeksbureau. Toelichting: De artikelen 13 en 14 AVG bepalen dat het particulier onderzoeksbureau verplicht is diens identiteit op eigen initiatief bekend te maken aan betrokkene en deze te informeren over de doeleinden van de verwerking van persoonsgegevens. De verplichting om dit op eigen initiatief te doen is een belangrijk instrument om het vastleggen van persoonsgegevens door het particulier onderzoeksbureau transparant te maken opdat de onderzochte persoon de rechten kan uitoefenen die in paragraaf 9 zijn opgenomen. Door de vastlegging van persoonsgegevens door een particulier onderzoeksbureau, vooral in die gevallen dat de vermeende misdraging niet kon worden aangetoond, bestaat het risico dat de onderzochte persoon geen weet heeft van de gegevensverwerking, terwijl de gegevens in de toekomst mogelijk wel gebruikt worden om hem te beoordelen. Het feit dat onderzoek is gedaan naar mogelijke misdragingen van betrokkene kan immers aanleiding zijn hem te beschouwen als iemand met een verhoogd risico op fraude die extra aandacht verdient. Een onderzochte persoon heeft het recht om te weten waaraan hij deze aandacht te danken heeft.
Strikt genomen is ook een aan de onderzochte persoon gelieerde persoon “betrokkene” in de zin van de artikelen 13 en 14 AVG. Daarbij kan gedacht worden aan degene die in hetzelfde pand woont als de onderzochte persoon of degenen die op dezelfde afdeling werken als de onderzochte persoon. Hun gegevens worden soms in het onderzoeksdossier opgenomen, bijvoorbeeld als onderdeel van een pandanalyse of afdelingsanalyse. De informatieplicht heeft geen betrekking op deze aan de onderzochte persoon gelieerde personen. Opname van hun gegevens leidt er niet toe dat zij of hun gedragingen in de toekomst beoordeeld worden. Hun gegevens zullen doorgaans na afronding van het onderzoek verwijderd worden ter uitvoering van het beginsel van minimale gegevensverwerking (paragraaf 5.5). Dit neemt niet weg dat de aan de onderzochte persoon gelieerde persoon de rechten kan uitoefenen als bedoeld in paragraaf 9 indien deze vermoedt dat diens persoonsgegevens verwerkt worden.
De AVG onderscheidt twee vormen van informatieverstrekking. Als gegevens rechtstreeks bij een ander verkregen worden — bijvoorbeeld door deze te interviewen — dient deze op de hoogte te worden gesteld op het moment van vergaring van gegevens. Dit is voor het interviewen van personen uitgewerkt in paragraaf 7.3. Indien gegevens buiten de betrokkene om worden verkregen, hetzij bij derden, hetzij door middel van eigen onderzoek dient de betrokkene nadien geïnformeerd te worden,
Over de wijze waarop de informatie wordt verstrekt, wordt geen normering voorgeschreven, omdat dit per geval verschillend kan zijn. De informatieverstrekking kan mondeling in een rechtstreeks contact tussen (medewerkers van) het particulier onderzoeksbureau en de onderzochte persoon geschieden, maar kan ook schriftelijk gedaan worden. Bij de mededeling van het doel van de gegevensverwerking kan aansluiting worden gevonden bij de opdrachtomschrijving zoals deze is opgenomen in de opdrachtbevestiging tussen het particulier onderzoeksbureau en de opdrachtgever.
Van de mededelingsplicht kan in twee gevallen worden afgezien. In het eerste geval blijft de mededeling (tijdelijk) achterwege omdat opsporingsbelangen dat noodzakelijk maken (artikel 23 AVG jo artikel 41 lid 1 onder d UAVG)). Indien namens de opdrachtgever aangifte gedaan wordt, betekent dat niet automatisch dat de politie direct een aanvang neemt met opsporingsactiviteiten. In dat geval is het risico aanwezig is dat de onderzochte persoon de mededeling zal aangrijpen om maatregelen te nemen om de waarheidsvinding door de politie te belemmeren, bijvoorbeeld door bewijsmateriaal zoek te maken of door mededaders te informeren. De aanwezigheid van een opsporingsbelang moet door een opsporingsambtenaar kenbaar zijn gemaakt. Op het moment dat het opsporingsbelang zich niet meer verzet tegen het informeren van de onderzochte persoon, wordt gehandeld overeenkomstig de sectornormering (zie: Na afronding van het onderzoek, meer specifiek punt 2).
Voorts kan het op de hoogte stellen van de onderzochte persoon (tijdelijk) achterwege blijven, indien dat noodzakelijk is ter bescherming van de rechten en vrijheden van anderen, zoals de opdrachtgever (artikel 23 AVG jo artikel 41 lid 1 onder i UAVG). Indien de mededeling bijvoorbeeld direct na het aanvaarden van de opdracht gedaan wordt is ook hier het risico aanwezig dat de onderzochte persoon de mededeling zal aangrijpen om maatregelen te nemen om de waarheidsvinding te belemmeren. Het noodzaakcriterium vergt een belangenafweging aan de hand van de omstandigheden van het concrete geval. Het particulier onderzoeksbureau zal per geval aannemelijk moeten kunnen maken dat het niet informeren van betrokkene noodzakelijk is. De gemaakte belangenafweging moet in het onderzoeksdossier zijn vastgelegd. Een algemeen argument dat de vertrouwensrelatie kan worden verstoord is — zonder concrete onderbouwing — onvoldoende grondslag voor een beroep op de uitzonderingsbepaling van artikel 23 AVG jo artikel 41 lid 1 onder i UAVG.
Het komt voor — met name bij onderzoeken naar mogelijke fraude met uitkeringen – dat geen verwijtbaat gedrag is geconstateerd, terwijl het vermoeden van fraude blijft bestaan. Het is dan onwenselijk betrokkene direct na afloop van het onderzoek te informeren. Op basis van nieuwe signalen moet het mogelijk zijn op redelijke termijn na afloop van het onderzoek een nieuw onderzoek plaats te doen vinden. Indien de onderzochte persoon direct na afloop van het onderzoek op de hoogte zou worden gesteld van de gegevensvastlegging is niet ondenkbaar dat hij zijn gedrag gedurende langere tijd aanpast. Vervolgonderzoek is dan zinloos, met als gevolg dat hij ten onrechte gebruik blijft maken of heeft gemaakt van de uitkering. Voor dit soort situaties is opgenomen dat overdracht van de informatieplicht aan de opdrachtgever toegestaan is. Deze zal de informatieplicht opschorten. Het opschorten is gebaseerd op artikel 23 AVG jo artikel 41 lid 1 onder i UAVG. Om te voorkomen dat van uitstel afstel komt wordt van het particulier onderzoeksbureau verwacht dat het zich actief inspant om te bewerkstelligen dat de opdrachtgever betrokkene informeert zodra het dossier is gesloten.
9 Rechten van de onderzochte perso(o)n(en)
9.1 Mededelingen, inzage en kopieën (uitwerking artikel 15 AVG en artikel 41 UAVG)
Wettelijk kader
Artikel 15 AVG bepaalt dat betrokkene heeft het recht om van de verwerkingsverantwoordelijke uitsluitsel te verkrijgen over het al dan niet verwerken van hem of haar betreffende persoonsgegevens.
Artikel 15 AVG kan op grond van artikel 23 AVG jo artikel 41 UAVG – onder meer – buiten beschouwing worden gelaten voor zover dit noodzakelijk is in het belang van:
– de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten
– de rechten en vrijheden van anderen dan de onderzochte persoon en de opdrachtgever daaronder begrepen.
Sectornormering
De onderzochte persoon kan het verzoek tot het doen van mededelingen uit de opdrachten- c.q. voorvallenregistratie mondeling of schriftelijk doen.
In alle gevallen dient het particulier onderzoeksbureau zich te overtuigen van de juistheid van de identiteit van verzoeker door overlegging door deze van een identiteitsbewijs.
Binnen één maand na ontvangst van het verzoek wordt de onderzochte persoon medegedeeld of hem of haar betreffende gegevens worden verwerkt.
Indien zodanige gegevens worden verwerkt, bevat de mededeling een volledig overzicht daarvan in begrijpelijke vorm, een omschrijving van het doel of de doeleinden van de verwerking, de categorieën van gegevens waarop de verwerking betrekking heeft en de ontvangers of categorieën van ontvangers, alsmede de beschikbare informatie over de herkomst van de gegevens.
Wanneer de betrokkene zijn verzoek elektronisch indient, en niet om een andere regeling (zoals inzage) verzoekt, wordt de informatie in een gangbare elektronische vorm verstrekt. Indien gewenst verstrekt het particulier onderzoeksbureau de onderzochte persoon een kopie van de persoonsgegevens die worden verwerkt. De schriftelijke mededeling of de inzage blijft achterwege, indien opsporings- en vervolgingsbelangen dan wel particuliere onderzoeksbelangen, het belang van bronbescherming of de bescherming van de rechten en vrijheden van anderen dan de onderzochte persoon en de opdrachtgever daaronder begrepen, het noodzakelijk maken dat een dergelijke mededeling achterwege blijft (artikel 41 lid 1 onder d en i UAVG). Dit wordt van geval tot geval bepaald. De noodzaak om de mededeling achterwege te laten wegens opsporings- en vervolgingsbelangen moet door een opsporingsambtenaar kenbaar zijn gemaakt. Toelichting: Een verzoek van iemand met de vraag of diens persoonsgegevens worden verwerkt, is vormvrij. Dat betekent dat zo’n verzoek mondeling (ook telefonisch) en schriftelijk (ook per e-mail) gedaan kan worden. Indien iemand echter telefonisch informeert kan niet geverifieerd worden of de verzoeker daadwerkelijk degene is voor wie hij of zij zich uitgeeft. In dat geval is het risico aanwezig dat persoonsgegevens in verkeerde handen komen, waardoor het belang van de onderzochte persoon geschaad kan worden. Om die reden is opgenomen dat het particulier onderzoeksbureau zich dient te overtuigen van de juistheid van de identiteit van de verzoeker door overlegging door deze van een identiteitsbewijs.
In eerste instantie wordt. de verzoeker schriftelijk geïnformeerd dat op hem of haar betrekking hebbende persoonsgegevens worden verwerkt, onder vermelding van een omschrijving van het doel of de doeleinden van de verwerking, de categorieën van gegevens waarop de verwerking betrekking heeft en de ontvangers of categorieën van ontvangers, alsmede de beschikbare informatie over de herkomst van de gegevens.
Bij de mededeling van het doel of de doeleinden van de gegevensverwerking kan aansluiting worden gevonden bij de opdrachtomschrijving zoals deze is opgenomen in de opdrachtbevestiging tussen het particulier onderzoeksbureau en de opdrachtgever. Een particulier recherchebureau kan overwegen om deze schriftelijke mededeling aangetekend te versturen naar het door de verzoeker opgegeven adres.
Als een onderzochte persoon vervolgens expliciet vraagt om inzage in de gegevens die over hem worden verwerkt, kan deze inzage gegeven worden. Indien de onderzochte persoon een kopie (van een deel van het onderzoeksdossier) verzoekt, wordt dat hem of haar verstrekt.
In artikel 23 AVG jo artikel 41 UAVG zijn uitzonderingen genoemd op grond waarvan het noodzakelijk is dat het verstrekken van mededelingen of het doen inzien van stukken of het beschikbaar stellen van een kopie achterwege dient te blijven. Dit is maatwerk en geen kwestie van “alles of niets”. Per vastgelegd gegeven of categorie van gegevens moet getoetst worden of een weigeringsgrond van toepassing is. De noodzaak om te weigeren kan aanwezig zijn indien sprake is van nog lopende onderzoeken, waarbij het risico aanwezig is dat de onderzochte persoon de mededeling zal aangrijpen om maatregelen te nemen om de waarheidsvinding te belemmeren. Voorts kan door inzage in het onderzoeksdossier de situatie ontstaan dat de rechten van anderen geschonden worden. Daarbij kan gedacht worden aan tipgevers of aan personen die ten nadele van de onderzochte persoon verklaringen hebben afgelegd. Indien belangen van anderen geschaad worden door inzage of afgifte van kopieën van bescheiden kunnen passages waar mogelijk geanonimiseerd of verwijderd worden, indien de bescherming van die belangen noodzakelijk is.
9.2 Rectificatie en wissing (uitwerking artikel 16 tint 18 AVG)
Wettelijk kader
Artikel 16 t/m 18 AVG bepalen dat betrokkene de verwerkingsverantwoordelijke kan verzoeken hem of haar betreffende persoonsgegevens te rectificeren, te wissen, of te beperken indien deze feitelijk onjuist zijn, niet langer nodig zijn voor de doeleinden waarvoor zij zijn verzameld of anderszins worden verwerkt, dan wel anderszins onrechtmatig worden verwerkt. Het verzoek bevat de aan te brengen wijzigingen.
Sectornormering
De verwerkingsverantwoordelijke bericht de verzoeker binnen één maand na ontvangst van het verzoek schriftelijk of dan wel in hoeverre hij daaraan voldoet.
De verwerkingsverantwoordelijke draagt zorg dat een beslissing tot rectificering, wissing of beperking zo spoedig mogelijk wordt uitgevoerd.
Indien het verzoek zonder gevolg blijft, wordt aangegeven waarom het verzoek zonder gevolg is gebleven en wordt verwezen naar de geschillenregeling van hoofdstuk 11 van deze gedragscode. De verwerkingsverantwoordelijke stelt iedere ontvanger aan wie persoonsgegevens zijn verstrekt in kennis van elke rectificatie of wissing van persoonsgegevens of beperking van de verwerking overeenkomstig artikel 16, 17 lid 1 en 18 AVG, tenzij dit onmogelijk blijkt of onevenredig veel inspanning vergt. De verwerkingsverantwoordelijke verstrekt de betrokkene informatie over deze ontvangers indien de betrokkene hierom verzoekt (art. 19 AVG).
9.3 Recht van bezwaar (uitwerking van artikel 21 AVG)
Wettelijk kader
Artikel 21 AVG bepaalt dat betrokkene te allen tijde bezwaar kan maken bij het particulier onderzoeksbureau in verband met zijn specifieke situatie, indien gegevens worden verwerkt op grond van artikel 6 lid 1 onder f AVG.
Sectornormering
Het particulier recherchebureau beoordeelt binnen één maand na ontvangst van het bezwaar of het bezwaar gerechtvaardigd is. Indien het bezwaar gerechtvaardigd is, staakt het particulier recherchebureau de verwerking, tenzij het particulier onderzoeksbureau dwingende gerechtvaardigde gronden voor de verwerking aanvoert die zwaarder wegen dan de belangen, rechten en vrijheden van de betrokkene of die verband houden met de instelling, uitoefening of onderbouwing van een rechtsvordering. Indien geen gevolg wordt gegeven aan het bezwaart, wordt aangegeven waarom het bezwaar zonder gevolgen is gebleven en wordt verwezen naar de geschillenregeling van hoofdstuk 11 van deze gedragscode.
Toelichting
Bezwaar is mogelijk tegen verwerkingen die gebaseerd zijn op artikel 6 lid 1 onder f AVG. In paragraaf 5.7 van deze gedragscode is vastgelegd dat dit artikel de verwerkingsgrondslag is voor alle soorten van onderzoeken waarvoor een particulier onderzoeksbureau wordt ingeschakeld. In paragraaf 5.7 is vastgelegd dat het particulier onderzoeksbureau bij de aanvaarding én de uitvoering van opdrachten telkens een belangenafweging moet maken tussen de gerechtvaardigde belangen van de opdrachtgever en de belangen van de onderzochte persoon. Ondanks deze belangenafweging blijft de mogelijkheid bestaan – hoe zorgvuldig en nauwkeurig deze afweging ook heeft plaatsgevonden — dat in een individueel geval een belangenafweging anders had moeten uitvallen. De oorzaak kan liggen in een omstandigheid die het particulier onderzoeksbureau niet bekend was en niet bekend had kunnen zijn. Het aantekenen van bezwaar door de onderzochte persoon betekent dat het particulier onderzoeksbureau een hernieuwde afweging moet maken in het concrete geval. Het is aan de onderzochte persoon om de specifieke situatie aan het particulier onderzoeksbureau ter kennis te brengen. Het maken van bezwaar is vormvrij en kan derhalve ook mondeling gedaan worden.
Een onderzochte persoon zou bijvoorbeeld belang kunnen hebben bij het staken van de verwerking indien hij na de aanvang van het onderzoek – en nog voordat het onderzoeksrapport wordt aangeboden aan de opdrachtgever – overeenkomstig paragraaf 8.1 van deze gedragscode geïnformeerd wordt over het ingestelde onderzoek en de voorgenomen verstrekking van gegevens aan de opdrachtgever. Hij kan er belang bij hebben, dat bepaalde gegevens niet bekend worden aan de opdrachtgever wegens bijzondere persoonlijke omstandigheden (specifieke situatie).
Het particulier onderzoeksbureau is niet verplicht de aangevochten verwerking (bijvoorbeeld een voorgenomen verstrekking of een voorgenomen onderzoekshandeling) op te schorten nadat bezwaar is gemaakt. Indien degene die bezwaar maakt een dringend belang heeft bij het onmiddellijk staken van de verwerking dan dient hij een voorlopige voorziening te vragen bij de rechter (bijvoorbeeld via een kort geding).
10 Gegevensverkeer met landen buiten de Europese Unie
Algemeen
De sector particuliere onderzoeksbureaus wisselt regelmatig persoonsgegevens (al dan niet in de vorm van onderzoeksrapporten) uit met opdrachtgevers in het buitenland op basis van (in Nederland) uitgevoerd particulier onderzoek.
Wettelijk kader
Het uitgangspunt van de AVG is dat persoonsgegevens slechts mogen worden doorgegeven aan een derde land (landen buiten de Europese Unie) of een internationale organisatie wanneer de bepalingen van hoofdstuk V van de AVG worden nageleefd. Dit betekent dat doorgifte van persoonsgegevens slechts mogelijk is, indien de Europese Commissie heeft besloten dat een derde land, een gebied of een sector in een derde land, of een internationale organisatie een passend niveau van gegevensbescherming biedt (`adequaatheidsbesluit’ ex artikel 45 lid 3 AVG).
In afwijking van deze bepaling kunnen persoonsgegevens worden doorgegeven indien:
- sprake is van doorgifte op basis van passende waarborgen als bedoeld in artikel 46 AVG;
- de onderzochte persoon uitdrukkelijk met de voorgestelde doorgifte heeft ingestemd, na te zijn ingelicht over de risico’s die dergelijke doorgiften voor hem kunnen inhouden bij ontstentenis van een adequaatheidsbesluit en van passende waarborgen (artikel 49 lid 1 onder a AVG);
- de doorgifte noodzakelijk is voor de sluiting of voor de uitvoering van een in het belang van de onderzochte persoon tussen de verwerkingsverantwoordelijke en een andere natuurlijke persoon of rechtspersoon gesloten overeenkomst (art. 49 lid 1 onder c AVG);
- de doorgifte noodzakelijk is voor de instelling, uitvoering of onderbouwing van een rechtsvordering (artikel 49 lid 1 onder e AVG);
- de doorgifte noodzakelijk is ter vrijwaring van een vitaal belang van de onderzochte persoon of van andere personen, indien de betrokkene lichamelijk of juridisch niet in staat is zijn toestemming te geven (artikel 49 lid 1 onder f AVG);
Toelichting:
De ontwikkeling van een vrije interne markt binnen de Europese Unie vereist dat de uitwisseling van persoonsgegevens niet belemmerd wordt door nationale grenzen. Om die reden is doorgifte van gegevens aan landen binnen de Europese Unie door de sector particuliere onderzoeksbureaus toegestaan, een en ander met inachtneming van de AVG en de bepalingen van deze gedragscode. Paragraaf 10 heeft om die reden betrekking op doorgifte van gegevensverkeer naar landen buiten de Europese Unie of internationale organisaties. In hoofdstuk V van de AVG is aangegeven wanneer doorgifte van gegevens naar landen buiten de Europese Unie of internationale organisaties kan plaatsvinden, indien het “derde”-land of de internationale organisatie geen passend beschermingsniveau biedt. Een actuele lijst met landen buiten de EU waarvoor wel een passend beschermingsniveau geldt is te vinden op de website van de Autoriteit Persoonsgegevens.
De grondslagen voor doorgifte van persoonsgegevens naar landen buiten de Europese Unie of internationale organisaties zijn een groot deel dezelfde als aangegeven in paragraaf 5.7. Voor
voorbeelden wordt volledigheidshalve daarnaar verwezen. Wellicht ten overvloede wordt opgemerkt dat “doorgifte van persoonsgegevens” niet hetzelfde is als het uitvoeren van recherchewerkzaamheden buiten Nederland waarbij persoonsgegevens worden verwerkt. Het uitvoeren van recherchewerkzaamheden buiten Nederland waarbij persoonsgegevens worden verwerkt valt buiten de reikwijdte van deze gedragscode.
11 Geschillenbeslechting respectievelijk verzoeken bij de Autoriteit
Persoonsgegevens en de rechter
Indien een onderzochte persoon van menig is dat een particulier onderzoeker respectievelijk particulier onderzoeksbureau heeft gehandeld in strijd met deze gedragscode dan wel anderszins in strijd met de AVG, dient hij zich in eerste instantie te wenden tot de directeur van het particulier onderzoeksbureau.
De directeur van het particulier onderzoeksbureau beslist binnen zes weken na de ontvangst van het klaagschrift. De beslissing op de klacht wordt schriftelijk aan de klager medegedeeld. Binnen zes weken na de ontvangst van de beslissing van de directeur van het particulier onderzoeksbureau kan een beroepsschrift worden ingediend bij de Beroepscommissie van de NVB, indien het particulier onderzoeksbureau lid is van de Nederlandse Veiligheidsbranche. De Beroepscommissie van •de Nederlandse Veiligheidsbranche bestaat uit drie door het bestuur van de Nederlandse Veiligheidsbranche aangewezen onafhankelijke leden. De algemeen secretaris van de Nederlandse Veiligheidsbranche vervult het secretariaat van de Beroepscommissie. De uitspraak van de Beroepscommissie is bindend.
De onderzochte persoon kan ook een klacht indienen bij de Autoriteit Persoonsgegevens indien hij of zij van mening is dat de verwerking van diens persoonsgegevens inbreuk maakt op de AVG. Het verzoek daartoe moet worden ingediend binnen zes weken na ontvangst van het antwoord van de directeur van het particulier onderzoeksbureau dan wel binnen zes weken na het verstrijken van de termijn van één maand zoals genoemd in de paragrafen 9.1 en 9.2.
Een beroepschrift bij de Beroepscommissie van de Nederlandse Veiligheidsbranche of een klacht bij de Autoriteit Persoonsgegevens laat onverlet dat onderzochte perso(o)n(en) zich ook rechtstreeks kan/kunnen wenden tot de rechtbank in het arrondissement waarin het particulier onderzoeksbureau is gevestigd, indien hij/zij van mening is/zijn dat een particulier onderzoeker respectievelijk particulier onderzoeksbureau heeft gehandeld in strijd met deze gedragscode of anderszins in strijd met de wet of het recht.
De procedure bij de rechtbank kan — voor wat betreft een ingediende klacht bij de Autoriteit Persoonsgegevens — worden ingediend na drie maanden indien de Autoriteit Persoonsgegevens de klacht niet behandelt of de betrokkene niet binnen drie maanden in kennis stelt van de voortgang of het resultaat van de ingediende klacht (artikel 78 lid 2 AVG).
Indien een klacht is ingediend bij de Beroepscommissie van de Nederlandse Veiligheidsbranche, kan het verzoek dat betrekking heeft op inzage, rectificatie, wissing, of beperking van gegevens als bedoeld in de paragrafen 9.1 en 9.2 bij de arrondissementsrechtbank aanhangig worden gemaakt tot uiterlijk zes weken nadat bericht van de Beroepscommissie is ontvangen dat de behandeling van de zaak beëindigd is.
Toelichting:
De particuliere onderzoeksbureaus die onder de reikwijdte van de Wpbr vallen dienen op
grond van deze wet te beschikken over een klachtenregeling. Klachten over het handelen of nalaten van een particulier onderzoeksbureau dienen derhalve in eerste instantie kenbaar te worden gemaakt bij de directeur van het particulier onderzoeksbureau.
Op grond van de standaard klachtenregeling die als bijlage 4 is opgenomen bij de Circulaire particuliere beveiligingsorganisaties en recherchebureaus van de Minister van Veiligheid en Justitie is de termijn voor het indienen van een klaagschrift bepaald op zes weken, te rekenen vanaf de datum waarop de gedraging waarover geklaagd wordt heeft plaatsgevonden. Het is de eigen verantwoordelijkheid van de klager om bij het particulier onderzoeksbureau over wiens gedraging(en) geklaagd wordt te verifiëren of dat particulier recherchebureau eveneens deze termijn heeft opgenomen in hun specifieke klachtenregeling.
Indien de klager ontevreden is over de wijze waarop de klacht is afgehandeld staat beroep open op de Beroepscommissie van de Nederlandse Veiligheidsbranche. De uitspraak van de Beroepscommissie is bindend voor het particulier onderzoeksbureau. Dat laat onverlet het recht van de onderzochte persoon om zich met zijn grieven te wenden tot de Autoriteit Persoonsgegevens en/of de rechter. Indien het oordeel van de Autoriteit Persoonsgegevens of het besluit van de rechter afwijkt van de bindende uitspraak van de Beroepscommissie vervalt voor het particulier onderzoeksbureau het bindende karakter van die uitspraak De klachtenregeling van de Nederlandse Veiligheidsbranche en het reglement voor de Beroepscommissie zijn op te vragen bij de Nederlandse Veiligheidsbranche.
Voor wat betreft de termijnen waarin de onderzochte persoon zijn grieven kenbaar moet maken moet onderscheid gemaakt worden tussen verzoeken tot rectificatie, wissing, beperking van gegevens als bedoeld in de paragrafen 9.1 en 9.2 van deze gedragscode en overige rechtsvorderingen. Voor het aanhangig maken van overige rechtsvorderingen gelden de termijnen die genoemd zijn in het Burgerlijk Wetboek
12 Naleving gedragscode
De bepalingen van de privacygedragscode dienen door particuliere onderzoeksbureaus te worden vertaald in een systeem van administratieve organisatie en interne controle. De Nederlandse Veiligheidsbranche heeft een praktijkhandleiding (“toolkit”) voor haar leden ontwikkeld die de leden kunnen gebruiken zodat zij in staat gesteld worden op adequate wijze invulling te geven aan de bepalingen van de privacygedragscode. De praktijkhandleiding bestaat uit:
een modelinstructie voor particulier onderzoekers;
aandachtspunten voor dossierbeheer en een modelzelfevaluatie. In het kader van (extern) toezicht op de naleving van de privacygedragscode dient de omvang van de werkzaamheden eenvoudig te kunnen worden vastgesteld. Om die reden dienen de onderzoeksdossiers in de opdrachten- en voorvallenregistratie doorlopend te zijn genummerd of dient een andersoortige inzichtelijke nummering van onderzoeksdossiers te worden aangehouden. In algemene zin wordt het toezicht in het kader van de Wpbr, en derhalve ook op particuliere onderzoeksbureaus, verricht door de politie. Het toezicht omvat preventieve taken (adviseren bij vergunningaanvragen en bij toestemmingverlening aan leidinggevenden en beoordeling van de betrouwbaarheid/bekwaamheid van medewerkers) en repressieve taken (toezien op de naleving van de regelgeving door vergunning- en toestemminghouders in de praktijk en de handhaving). Toelichting:
De zelfevaluatie kan door het management van het particulier onderzoeksbureau zelf uitgevoerd worden. De uitkomsten van de zelfevaluatie geven een duidelijk beeld over de huidige situatie en de noodzakelijke verbeterpunten. De zelfevaluatie bestaat uit een set aan vaststellingen, waarvan het van belang is dat iedere vaststelling door het management van het particulier onderzoeksbureau wordt “afgevinkt” als blijk van bevestiging dat daadwerkelijk is vastgesteld dat wordt voldaan aan de eisen die uit de AVG en uit de privacygedragscode voortvloeien. De opbouw van de vaststellingen is – naast het algemene deel en het beveiligingsdeel – zodanig dat de chronologische volgorde van een doorsnee onderzoek gevolgd wordt. Per vaststelling wordt aangegeven wat de vindplaats in de privacygedragscode of in andere relevante documenten is. Door de invoering van het Keurmerk Particuliere Onderzoeksbureaus wordt onafhankelijk toezicht op de administratie organisatie en interne controle verder gewaarborgd.
13 Functionaris voor de gegevensverwerking
Afdeling 4 AVG ziet op de aanwijzing, positie en taken van de functionaris voor gegevensbescherming (FG). Voor een verwerkingsverantwoordelijke uit de sector particuliere onderzoeksbureaus is het aanwijzen van een FG verplicht:
wanneer de verwerkingsverantwoordelijk hoofdzakelijk is belast met verwerkingen die regelmatige en stelselmatige observatie van betrokkenen op grote schaal vergen, en/of – wanneer de verwerkingsverantwoordelijke hoofdzakelijk belast is met grootschalige verwerking van bijzondere categorieën van gegevens als bedoeld in artikel 9 AVG en van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10 AVG. Een particulier onderzoeksbureau dient aan de hand van eigen analyse vast te stellen of er al of niet een FG aangewezen moet worden. Toelichting De AVG verduidelijkt niet wat onder ‘op grote schaal’ of met ‘grootschalige verwerking’ verstaan wordt. Op basis van de Richtlijnen voor functionarissen voor de gegevensbescherming (FG ‘s) van de Europese privacytoezichthouders (Groep Gegevensbescherming artikel 29). wordt aangenomen dat geen sprake van verwerking op grote schaal bij observatieopdrachten, indien deze worden uitgevoerd door een (relatief) klein particulier onderzoeksbureau met één of enkele medewerkers. Er is evenmin sprake van grootschalige verwerking van persoonsgegevens van strafrechtelijke aard, indien de bevindingen van onderzoeken worden vastgelegd in de onderzoeks- en voorvallenregistratie van een (relatief) klein particulier onderzoeksbureau met één of enkele medewerkers. In paragraaf 7.4 is de sectornormering voor observatie opgenomen. Indien deze normering in acht wordt genomen is geen sprake van “regelmatige en stelselmatige observatie” van personen als bedoeld in de AVG. Voor wat betreft de AVG is het begrip “regelmatige en stelselmatig observatie” uitgewerkt in de Richtlijnen voor functionarissen voor de gegevensbescherming (FG ‘s) van de Europese privacytoezichthouders (Groep Gegevensbescherming artikel 29). “Regelmatig” ziet op aspecten als: • voortdurend of gedurende een bepaalde periode, met bepaalde tussenpozen; • terugkerend of op vaste tijden herhaald; • constant of periodiek. “Stelselmatig” ziet op aspecten als: • plaatsvindend volgens een systeem; • vooraf geregeld, georganiseerd of methodisch; • plaatsvindend in het kader van een algemeen plan voor gegevensverzameling; of • uitgevoerd als onderdeel van een strategie
Voor de analyse is voorts van belang dat het begrip “stelselmatige observatie” als bedoeld in de AVG afwijkt van het begrip “stelselmatige observatie” in de artikelen 126g en 126o WvSv. In beide artikelen staat letterlijk: “stelselmatig een persoon volgen of stelselmatig diens aanwezigheid of gedrag waarnemen”. Stelselmatige observaties zijn volgens de Memorie van Toelichting bij art. 126g zodanige observaties die als resultaat kunnen hebben dat een min of meer volledig beeld van bepaalde aspecten van iemands privéleven wordt verkregen. Als elementen die van belang zijn voor het antwoord op de vraag of een dergelijke vorm van observatie zich voordoet, worden in de Memorie van Toelichting de duur, de plaats en de intensiteit of frequentie van de observatie genoemd, alsmede het eventuele gebruik van een technisch hulpmiddel dat meer biedt dan alleen een versterking van de zintuigen. (Kamerstukken II 1997/1998, 25403, nr. 3, p. 26-28). Indien de in paragraaf 7.4 genoemde sectornormering in acht wordt genomen is doorgaans geen sprake van “regelmatige en stelselmatige observatie” van personen als bedoeld in het WvSv.
Indien aan de hand van eigen analyse is vastgesteld dat een FG aangewezen moet worden is het volgende van belang: De positie en de taken van de FG staan in de artikelen 38 en 39 AVG. Het is geen vereiste dat de FG een werknemer is van de verwerkingsverantwoordelijke. Artikel 37, zesde lid, bepaalt dat het ook mogelijk is een FG in te huren via een dienstverleningsovereenkomst. Het is denkbaar dat meerdere verwerkingsverantwoordelijken gezamenlijk één FG aanwijzen. De FG kan ook in deeltijd worden aangesteld, als dat op basis van bijvoorbeeld de aard van de organisatie en de verwerkingen die worden uitgevoerd, verantwoord is. Wanneer de FG echter naast zijn werkzaamheden als FG nog andere werkzaamheden vervult, dan is het wel zaak om zijn onafhankelijkheid in de uitoefening van de FG-taken goed te borgen. Het kan een “good practice” zijn om vrijwillig een FG aan te wijzen. Wanneer een verwerkingsverantwoordelijke vrijwillig een FG aanwijst, gelden voor zijn aanwijzing, positie en taken dezelfde voorwaarden van de artikelen 37 tot en met 39 die zouden gelden als de aanwijzing verplicht was geweest.
14 Overige algemene verplichtingen 14.1 Datalekken
Wettelijk kader
Artikel 33 en 34 AVG bevatten bepalingen over het melden van datalekken.
Een inbreuk in verband met persoonsgegevens wordt uiterlijk 72 uur nadat de verwerkingsverantwoordelijke daarvan kennis heeft genomen gemeld aan de Autoriteit Persoonsgegevens, tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Een inbreuk in verband met persoonsgegevens wordt aan betrokkene gemeld indien de inbreuk waarschijnlijk een hoog een risico inhoudt voor de rechten en vrijheden van betrokkene, tenzij voldaan wordt aan de voorwaarden van artikel 34 lid 3 AVG.
De verwerkingsverantwoordelijke documenteert alle inbreuken in verband met persoonsgegevens, met inbegrip van de feiten omtrent de inbreuk in verband met persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen.
Sectornormering
Particuliere onderzoeksbureaus zijn zich bewust van deze bepalingen en leven deze na.
14.2 Data protection impact assessment (DPIA) en voorafgaande raadpleging
Wettelijk kader
Wanneer een soort verwerking, in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt, gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen voert de verwerkingsverantwoordelijke vóór de verwerking een beoordeling uit van het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens (artikel 35 AVG).
Sectornormering
Het particulier onderzoeksbureau neemt naar aanleiding van de uitkomst van de DPIA passende maatregelen om de risico’s voor de rechten en vrijheden van de onderzochte persoon tot een acceptabel niveau te beperken. Als het particulier onderzoeksbureau niet genoeg maatregelen kan nemen om de risico’s tot een acceptabel niveau te beperken (bijvoorbeeld bij afwezigheid van waarborgen of beveiligingsmaatregelen) dient de Autoriteit Persoonsgegevens te worden geraadpleegd. Toelichting: Een data protection impact assessment (DPIA) is een proces dat bedoeld is om de verwerking van persoonsgegevens te beschrijven, de noodzaak en evenredigheid ervan te beoordelen en de daaraan verbonden risico’s voor de rechten en vrijheden van natuurlijke personen in te schatten en maatregelen te nemen om de risico’s te beheersen. Onder “de rechten en vrijheden van natuurlijke personen” wordt onder andere verstaan het recht op gegevensbescherming en bescherming van de persoonlijke levenssfeer. In het document van de Groep Gegevensbescherming artikel 29 (te raadplegen via www.autoriteitpersoonsgegevens.nl) worden criteria gegeven om te bepalen of een verwerking “waarschijnlijk een hoog risico inhoudt” in de zin van de AVG. De Autoriteit Persoonsgegevens heeft een lijst van soorten van verwerkingen opgesteld waarvoor het uitvoeren van een DPIA verplicht is vóórdat met verwerken wordt begonnen. Een sectorale DPIA kan geboden zijn als binnen de sector particulier onderzoek een nieuwe technologie in gebruik genomen wordt om gegevens te verzamelen of te analyseren.. Daarbij kan gedacht worden aan nieuwe technologieën voor het observeren, monitoren of controleren van betrokkenen. Een DPIA door een individuele verwerkingsverantwoordelijke kan geboden zijn bij aanschaf of vervanging van een nieuw softwarepakket voor de onderzoeks- en voorvallenregistratie. Ondanks genomen maatregelen is niet altijd uit te sluiten dat een hoog restrisico overblijft voor wat betreft gegevensbescherming en bescherming van de persoonlijke levenssfeer door de op dat moment beschikbare technologie of door onredelijke uitvoeringskosten. Als dat het geval is dient de Autoriteit Persoonsgegevens te worden geraadpleegd voordat met de verwerking wordt begonnen (artikel 36 AVG). Dit heet het proces van voorafgaande raadpleging.
14.3 Verwerkingsregister Wettelijk kader
Om de naleving van de AVG aan te kunnen tonen, moet de verwerkingsverantwoordelijke weten welke verwerkingsactiviteiten onder zijn verantwoordelijkheid plaats vinden. Artikel 30 AVG verplicht het particulier onderzoeksbureau een register van verwerkingsactiviteiten bij te houden – onder meer – omdat persoonsgegevens van strafrechtelijke aard verwerkt worden.
Toelichting:
De verwerkingsactiviteiten die in het “verwerkingsregister” moeten worden beschreven hebben niet alleen betrekking op de primaire bedrijfsproces dat tot verwerking van persoonsgegevens in de opdrachten- c.q. voorvallenregistratie leidt, maar ook op ondersteunende bedrijfsprocessen. Daarbij kan gedacht worden aan de personeelsadministratie, de crediteurenadministratie en de toegangsregistratie van het gebouw waarin het particulier onderzoeksbureau gevestigd is.
Het “verwerkingsregister” geeft inzicht in de doeleinden waarvoor het particulier onderzoeksbureau over persoonsgegevens beschikt en hoe de datastromen zijn.
15 Wijzigingen gedragscode
De Minister van Justitie en Veiligheid kan alleen besluiten tot een aanpassing of een wijziging van deze gedragscode na afstemming met de Nederlandse Veiligheidsbranche. De Autoriteit Persoonsgegevens wordt voorafgaand aan een aanpassing of wijziging van deze gedragscode geraadpleegd.
Bijlage 1
Uitwerking Paragraaf 5.6 Beveiligingsplicht (artikel 5 lid 1 onder f AVG)
Beveiligingsbeleid
Het particulier onderzoeksbureau moet de beveiligingsrisico’s (zowel nieuwe als reeds geïdentificeerde beveiligingsrisico’s) die de verwerking en de aard van de te verwerken persoonsgegevens met zich meebrengen periodiek identificeren en moet passende beveiligingsmaatregelen nemen die deze risico’s beheersen.
Periodiek wordt door het particulier onderzoeksbureau beoordeeld of het beveiligingsniveau nog steeds past bij de risico’s die de verwerking en de aard van de te verwerken persoonsgegevens met zich meebrengen en of de beveiligingsmaatregelen nog steeds voldoen. Waar nodig worden de beveiligingsmaatregelen aangepast.
Er is een beveiligingsplan met het oog op het beveiligen van persoonsgegevens tegen verlies of tegen enige vorm van onrechtmatige verwerking.
Op basis van het beveiligingsplan zijn passende technische en organisatorische maatregelen genomen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking.
Deze passende technische en organisatorische maatregelen hebben betrekking op de hierna uitgewerkte onderwerpen: Beveiligingsbewustzijn, Fysieke beveiliging, Inrichting van de werkplek, Toegangsbeheer en controle, Onderhoud aan apparatuur en Calamiteiten.
Beveiligingsbewustzijn
De medewerkers van het particulier onderzoeksbureau worden regelmatig geïnstrueerd over de afgesproken maatregelen en procedures voor de beveiliging van persoonsgegevens.
Fysieke beveiliging
De ruimten (met geautomatiseerde voorzieningen) die persoonsgegevens bevatten kunnen worden afgesloten en zijn voorzien van inbraakbeveiliging en een inbraakdetectiesysteem. Inrichting van de werkplek Personal computers en andere gegevensdragers waarop persoonsgegevens verwerkt worden zijn adequaat beveiligd. Toegangsbeheer en controle Voor de toegang tot persoonsgegevens zijn toegangsbevoegdheden afgegeven. Die toegangsbevoegdheden impliceren dat niet iedere medewerker toegang hoeft te hebben tot de vastgelegde persoonsgegevens. De identiteit en de authenticiteit van gebruikers van geautomatiseerde voorzieningen worden vastgesteld door tenminste een gebruikersnaam en een wachtwoord. Dit wachtwoord is slechts gedurende een van tevoren vastgestelde periode geldig. Elke poging (geslaagd of niet) om toegang te krijgen tot een geautomatiseerde voorziening waarin persoonsgegevens worden opgeslagen wordt vastgelegd (in een logbestand). Onderhoud aan apparatuur Bij onderhoud aan apparatuur door derden wordt contractueel vastgelegd dat de derde de vertrouwelijkheid van persoonsgegevens respecteert. Calamiteiten Er zijn procedures voor een adequate back-up van de vastgelegde gegevens. 54
Een exemplaar van de back-up wordt op een andere locatie bewaard dan waar de originele persoonsgegevens zich bevinden.
ARTIKEL II
Dit besluit treedt in werking met ingang van de dag na de datum van uitgifte van de Staatscourant waarin het wordt geplaatst.
Dit besluit wordt in de Staatscourant geplaatst.
‘s-Gravenhage, 5 februari 2022
De Minister van Justitie en Veiligheid,
Toelichting
Op grond van artikel 6, eerste lid, aanhef, onder i, van de Wet particuliere beveiligingsorganisaties en recherchebureaus (de Wpbr) kunnen ter bevordering van de kwaliteit van beveiligingsorganisaties en recherchebureaus aan welke een vergunning is verleend, bij ministeriële regeling regels worden gesteld aan onderwerpen die de kwaliteit raken. Op grond van artikel 23a van de Regeling particuliere beveiligingsorganisaties en recherchebureaus (de Regeling) stelt een recherchebureau een (privacy)gedragscode vast, identiek aan het in bijlage 6 bij deze regeling vastgestelde model, en leeft de code na.
De thans in bijlage 6 vastgestelde (privacy)gedragscode dateert uit 2004 (Stc. 2004, 100) en is nadien, ook na de inwerkingtreding van de Algemene verordening gegevensbescherming (de AVG), niet gewijzigd. Met deze wijziging wordt de huidige bijlage 6 van de regeling dan ook vervangen door een geactualiseerde (privacy)gedragscode, waarmee de (privacy)gedragscode in overeenstemming met de eisen uit de AVG wordt gebracht.
Aangezien de (privacy)gedragscode als bijlage bij de Regeling wordt vastgesteld, is de Autoriteit Persoonsgegevens (de AP) op grond van artikel 36, vierde lid, AVG geraadpleegd over het concept van de (privacy)gedragscode. De AP heeft – in hoofdlijnen – geadviseerd om de (privacy)gedragscode voor de korte termijn als bijlage bij de Regeling vast te stellen, en bij de eerste gelegenheid de delegatiegrondslag voor gedragsregels voor particuliere recherchebureaus in de wet te specificeren, het facultatieve karakter daaraan te ontnemen en de regels in hoofdzaak neer te leggen in een algemene maatregel van bestuur. Daarbij adviseerde de AP om die regels met betrekking tot de afzonderlijke onderzoeksmethoden voldoende duidelijk, concreet en voorzienbaar in de wet- en regelgeving op te nemen. Ook heeft de AP geadviseerd om in de wet te voorzien in de uitzonderingen op de plicht om de betrokkene te informeren over de verwerking van diens persoonsgegevens, als bedoeld in artikel 13 en 14 van de AVG. Met inachtneming van het advies van de AP zal de (privacy)gedragscode dan ook voor de korte termijn in ieder geval als bijlage bij de Regeling worden vastgesteld. Bij de eerste gelegenheid zal worden bezien in hoeverre, en op welke wijze de regels omtrent de verwerking van persoonsgegevens door recherchebureaus bij of krachtens de Wpbr kunnen worden vastgesteld.
De AP heeft voorts in het bijzonder enkele kanttekeningen geplaatst ten aanzien van het interviewen van personen, het verstrekken van antecedenten en het heimelijk cameratoezicht. Ten eerste is ten aanzien van het interviewen van personen de tekst van de (privacy)gedragscode aangepast, zodat duidelijker tot uitdrukking komt dat de medewerking aan het onderzoek is gebaseerd op vrijwilligheid van de geïnterviewde persoon, terwijl de verwerking van de uit het interview verkregen persoonsgegevens ook rechtmatig kan zijn op grond van een gerechtvaardigd belang als bedoeld in artikel 6, eerste lid onder f, AVG. Ten tweede is de verstrekking van antecedenten, in lijn met het advies van de AP, heroverwogen en is de mogelijkheid tot verstrekking van antecedenten geschrapt uit de (privacy)gedragscode, aangezien gebleken is dat de verstrekking van antecedenten vrijwel nimmer plaatsvindt. Ten derde heeft de AP geadviseerd om ten aanzien van het heimelijk cameratoezicht in de (privacy)gedragscode, en niet enkel in de toelichting, de algemene regel op te nemen dat de geobserveerde vooraf dient te worden geïnformeerd over de inzet van heimelijk cameratoezicht. Daarbij adviseerde de AP om in de (privacy)gedragscode op te nemen dat voorafgaand aan de inzet van heimelijk cameratoezicht een Data Protection Impact Assessment (DPIA) dient te worden uitgevoerd. Het advies van de AP heeft ertoe geleid dat de (privacy)gedragscode is aangepast, in die zin dat het recherchebureau dat het heimelijk cameratoezicht wenst in te zetten, daaraan voorafgaand een Data Protection Impact Assessment (DPIA) dient uit te voeren, waarin eveneens dient te worden stilgestaan bij de vraag of de inzet van het heimelijk cameratoezicht een strafbaar feit oplevert (artikel 139f en 441b Wetboek van strafrecht), in welk geval van de inzet zal dienen te worden afgezien.
Voorts heeft de AP geadviseerd om in de (privacy)gedragscode in te gaan op het toezicht op de naleving van de (privacy)gedragscode. Op advies van de AP is in paragraaf 12 dan ook een passage gewijd aan de rol van de politie in het kader van de Wpbr. Ook is, op advies van de AP de definitie van het begrip onderzochte persoon aangevuld, waardoor wordt benadrukt dat ook een ander dan de onderzochte persoon kan worden aangemerkt als betrokkene in de zin van artikel 4 AVG.
Ten slotte heeft de AP nog diverse specifieke opmerkingen gemaakt. Ten eerste heeft de AP geadviseerd om ten aanzien van de opslagperiode van persoonsgegevens, aan de hand van criteria nadere perioden te onderscheiden. Dit advies heeft in de (privacy)gedragscode geleid tot aanpassing. Zoals de AP in het advies in dit kader overweegt, is de (noodzakelijke) opslagperiode afhankelijk van diverse omstandigheden, waaronder het doel van het onderzoek, het type onderzoek en de daaruit verkregen resultaten. In de (privacy)gedragscode is derhalve toegevoegd dat het recherchebureau een proportionaliteitstoets dient te verrichten indien de persoonsgegevens langer dan één jaar worden bewaard. Bovendien wordt in paragraaf 5.5 tot uitdrukking gebracht welke redenen kunnen bestaan voor een langere bewaartermijn dan één jaar, waarbij dus telkens de proportionaliteitstoets dient te worden verricht. Ten tweede is in overeenstemming met het advies van de AP bepaald dat de betrokkene over de verwerking van zijn persoonsgegevens wordt geïnformeerd indien het opsporingsbelang zich daartegen niet langer verzet. Ten derde is overeenkomstig het advies van de AP een verwijzing opgenomen naar een lijst op de website van de AP voorafgaand aan welke soorten verwerkingen een DPIA dient te worden uitgevoerd.
‘s-Gravenhage, 5 februari 2022
De Minister van Justitie en Veiligheid,