Per 1 mei 2022 geldt de Wet open overheid; twee privacy-aandachtspunten die het risico op een datalek kunnen verkleinen

20 april 2022 / in Nieuws / door Irma Smeding

Dat de Wet open overheid (Woo) per 1 mei a.s. in werking treedt en dan de Wet openbaarheid van bestuur (Wob) vervangt, zal degenen die zich met ‘privacy & overheid’ bezighouden waarschijnlijk niet zijn ontgaan.[1] Algemeen wordt aangenomen dat door de aangescherpte verplichting om de specifiek in de Woo genoemde documenten actief openbaar te maken, de volumes aan openbaar te maken documenten aanzienlijk zullen toenemen. Uit het oogpunt van privacy zorgt dit voor een enigszins ‘unheimlich’ gevoel; betekent dit ook een veel groter risico op datalekken? Deze vraag zal in deze bijdrage niet worden beantwoord, omdat dat op dit moment nog koffiedik kijken is. Wel bespreek ik in deze bijdrage twee privacy-aandachtspunten die, wanneer daar rekening mee gehouden wordt, het risico daarop kunnen verkleinen, t.w. a. de toetsing aan de uitzonderingsgronden en wat ervoor nodig is om dat ook qua privacy goed te laten verlopen en b. de omissies in de bijlage bij artikel 8.8 Woo die zouden kunnen leiden tot het ten onterechte openbaar maken van persoonsgegevens.

Maar eerst de, wellicht geruststellende, opmerking dat genoemde verplichting om de specifiek in de Woo genoemde documenten actief openbaar te maken niet per 1 mei a.s. in werking treedt. Inwerkingtreding wordt voor 2022 niet voorzien.[2]

Toetsing aan absolute en relatieve uitzonderinggronden[3] vergt kennis en tijd terwijl de openbaarmakingstermijn (zeer) kort is

a. Om te beginnen bevat de Woo, net als de Wob, juist met het oog op de bescherming van de privacy absolute uitzonderingsgronden met betrekking tot bijzondere persoonsgegevens en persoonsgegevens van strafrechtelijk aard. Hierbij geldt als uitzondering op de uitzondering dat openbaarmaking ‘ingevolge de wet’ – dus wanneer dit uit een passieve of actieve openbaarmakingsverplichting voortvloeit – moet plaatsvinden indien de betrokkene hiervoor expliciete toestemming heeft gegeven of indien de betrokkene informatie kennelijk reeds openbaar heeft gemaakt.

b. Waar in de Wob door de verwijzing naar artikel 87 AVG de absolute uitzonderingsgrond met betrekking tot wettelijke identificatienummers wellicht over het hoofd gezien zou kunnen worden, is deze nu met zo veel woorden in artikel 5.1, lid 1 sub e. Woo opgenomen. Ook hier geldt een uitzondering; openbaarmaking moet plaatsvinden indien dit kennelijk geen inbreuk op de levenssfeer (sic)[4] zou maken.

c. De relatieve uitzonderingsgrond van ‘de eerbiediging van de persoonlijke levenssfeer’ is hetzelfde gebleven. Dit belang dient – zoals altijd het geval is bij relatieve uitzonderingsgronden – tegen het belang van openbaar maken van informatie te worden afgewogen.

d. Een deels[5] nieuwe, voor privacy relevante relatieve uitzonderingsgrond betreft ‘de beveiliging van personen en bedrijven en het voorkomen van sabotage’. Als het niet om groepen van personen, maar om één of meerdere individuen gaat, dan zullen, gezien het onderwerp, al snel grote privacyrisico’s, bijvoorbeeld met betrekking tot de lichamelijke integriteit kunnen spelen. Dit zal de balans in het kader van voornoemde belangenafweging snel in het voordeel van het belang van de beveiliging van de betreffende persoon doen doorslaan.

Ad a. tot en met d.

Ook bij toepassing van de absolute uitzonderingsgronden zal gezien de daarbij geformuleerde uitzonderingen, een toetsing plaats moeten vinden. Bij expliciete toestemming voor openbaarmaking van bijzondere persoonsgegevens en gegevens van strafrechtelijke aard is deze vrij zwart-wit, de toestemming is gegeven of niet (en bij professionele AVG-compliant organisaties goed geregistreerd). Maar of informatie kennelijk reeds door de betrokkene openbaar is gemaakt, vergt onderzoek en interpretatie. En in het kader van de toetsing of de openbaarmaking van een wettelijk identificatienummer kennelijk geen inbreuk op de persoonlijke levenssfeer zou maken, geldt dat het ene identificatienummer niet het andere niet is. Artsen zijn al verplicht hun BIG-nummer in correspondentie te vermelden en zijn via dat nummer in het BIG-register terug te vinden, terwijl aan openbaarmaking van een BSN het risico op fraude en financiële schade zijn verbonden.

Bij de relatieve uitzonderingsgrond eerbied voor de persoonlijke levenssfeer, maar ook bij de absolute uitzonderingsgrond met betrekking tot de wettelijke identificatienummers, is een complicerende factor bij de belangenafweging, respectievelijk toetsing, dat ‘persoonlijke levenssfeer’ meerdere aspecten bevat. Het bevat niet alleen het recht op een zorgvuldige behandeling van persoonsgegevens[6], maar ook het recht op eerbiediging van het innerlijk leven, het familie- en gezinsleven en de woning.[7] Het ene aspect zal ten opzichte van het belang van openbaarmaking van informatie meer gewicht in de schaal leggen dan het andere.

Kortom, de toets aan de absolute en relatieve uitzonderingsgronden vergt dus kennis en tijd terwijl de openbaarmakingstermijnen van de Woo kort zijn. Bij actieve openbaarmaking geldt als algemene termijn: binnen twee weken na ontvangst of vaststelling van de informatie. Verlenging van deze termijn is, anders dan bij passieve openbaarmaking, niet mogelijk.[8] Vergaderstukken dienen gelijktijdig met de verspreiding aan de deelnemers van de betreffende vergadering openbaar gemaakt te worden en agenda’s uiterlijk bij aanvang van de betreffende vergadering. Nu deze stukken doorgaans vlak voor de vergadering worden opgesteld, geldt hiervoor dus een openbaarmakingstermijn die korter is dan twee weken.

Onder de Wob vindt de beschreven toetsing en belangenafweging hoofdzakelijk reactief, in het kader van de passieve openbaarmakingsverplichting plaats met een beslistermijn van vier weken + eventuele verlenging. De overgang naar de situatie waar het accent ligt op het op kortere termijn op (veel) grotere schaal actief openbaar maken van documenten inclusief bovenbeschreven toets aan de uitzonderingsgronden, zal de nodige organisatorische maatregelen vergen.[9] Worden deze maatregelen onvoldoende of niet tijdig getroffen, dan lijkt het gezien de complexiteit van deze toets bijna onontkoombaar dat ten onrechte informatie wel of niet openbaar wordt gemaakt of dat de privacy van betrokkenen wordt geschonden.

Daarom is het aan te raden om op korte termijn te starten met het voorbereiden van de organisatie op de Woo. Gezien de mogelijke privacyrisico’s die bij grootschalige actieve openbaarmaking kunnen spelen, zal in het kader van de voorbereiding ook beoordeeld moeten worden of de uitvoering van een DPIA aangewezen is. Daar zou bijvoorbeeld sprake van kunnen zijn wanneer er gebruik wordt gemaakt van een systeem waarmee het weglakken (= verwerken) van stukken wordt geautomatiseerd of wanneer op grote schaal gezondheidsgegevens weggelakt gaan worden.

In de Woo is geen sanctie is opgenomen voor het niet naleven van de Woo door een bestuursorgaan.[10] De verplichting vanuit de AVG om passende technische en organisatorische maatregelen te treffen voor de bescherming van de privacy van betrokkenen, brengt in relatie tot de uitvoering van de Woo met zich mee dat een bestuursorgaan, gezien de vele privacyaspecten, toch door een sanctie van de AP getroffen kan worden. Zo bezien biedt de Woo privacy officers en Functionarissen gegevensbescherming extra argumenten om hun privacy zaak te bepleiten.

Bijzondere openbaarmakings-, c.q. geheimhoudingsregelingen (artikel 8.8 Woo + bijlage); niet het hele verhaal

Op grond van artikel 8.8 Woo en de bijbehorende bijlage geldt geen actieve openbaarmakingsverplichting voor de in de bijlage genoemde openbaarmakingregelingen c.q. geheimhoudingsplichten uit bijzondere wetten. Een aantal van die uitzonderingen betreft de verwerking van persoonsgegevens. Het is van belang om, voordat tot actieve openbaarmaking wordt overgegaan, na te gaan of een in de bijlage genoemde uitzondering van toepassing is, zodat niet ten onrechte informatie bekend wordt gemaakt. Wordt dat bij een uitzonderingsgeval met betrekking tot persoonsgegevens nagelaten en worden na – onterechte – toetsing aan de absolute of relatieve uitzonderinggronden persoonsgegeven openbaargemaakt, dan is er in het kader van de AVG sprake van een onrechtmatige verwerking (want zonder grondslag) en mogelijk van een datalek.

In de bijlage zijn een aantal bijzondere openbaarmakings- c.q. geheimhoudingsregelingen echter niet genoemd. Waar informatie en persoonsgegevens die onder het beroepsgeheim van de arts zoals geregeld in artikel 7:457 en 7:458 van het Burgerlijk Wetboek, wel in de bijlage zijn uitgezonderd, geldt dat bijvoorbeeld niet voor het beroepsgeheim van de jeugdhulpverlener op grond van het vrijwel gelijkluidende artikel 7.3.11 van de Jeugdwet. Evenmin wordt in de bijlage artikel 18c lid, lid 4 van de Wet zorg en dwang genoemd dat een geheimhoudingsverplichting aan een aantal functionarissen en bestuursorganen oplegt. In de Memorie van Toelichting wordt dit niet verklaard. Omdat dat daar wel wordt opgemerkt dat beoogd is om in de bijlage een volledige lijst op te nemen van de wetten waarin een van de huidige Wob afwijkend openbaarheidsregime is opgenomen, lijkt er sprake te zijn van een omissie. Met dergelijke omissies houdt de Memorie van Toelichting zelf rekening:

“Dat roept de vraag op of een bijzonder regime ook voorrang kan hebben op de Woo als het niet in de bijlage is opgenomen. De situatie kan zich voordoen dat na inwerkingtreding van de Woo een rechter tot de conclusie komt dat een niet in de bijlage opgenomen regeling die eerder dan de Woo in werking is getreden uitputtend is bedoeld. In dat geval geldt, evenals onder de Wob, de bedoeling van de wetgever.”[11]

Mijn advies zou zijn, zeker daar waar er sprake is van een geheimhoudingplicht ten aanzien waarvan de bedoeling van de wetgever (in de Memorie van Toelichting) duidelijk naar voren komt, het oordeel van de rechter niet af te wachten en informatie, of in ieder geval persoonsgegevens die onder deze geheimhoudingsplicht vallen, niet actief of passief openbaar te maken. Hiervoor kan een beroep worden gedaan op de regel van wetsinterpretatie dat de bijzondere wet voorgaat op de algemene wet, maar belangrijker is het argument dat daarmee schending van de geheimhoudingsplicht en de privacy van de betrokkene wordt voorkomen. Maar waarschijnlijk zou openbaarmaking ook stranden op een toets aan de uitzonderinggronden. Mocht een verzoeker het daar niet mee eens zijn, dan is een verduidelijking door de rechter op dit punt zeer welkom.

De algemene geheimhoudingsplicht op grond van artikel 2:5 Algemene wet bestuursrecht (Awb) ten aanzien van gegevens met een vertrouwelijk karakter voor eenieder die betrokken is bij de uitvoering van een taak van een bestuursorgaan en op wie niet reeds als ambtenaar of anderszins een geheimhoudingsplicht rust, is evenmin in de bijlage opgenomen. Uit de parlementaire geschiedenis van de Awb blijkt echter dat de Wob een wettelijke regeling is die tot doorbreking van deze geheimhoudingsplicht kan verplichten.[12] Het gaat hier dus niet om een uitputtende uitzondering op de Wob. De Memorie van Toelichting bij de Woo noemt artikel 2:5 Awb niet, maar aangenomen mag worden dat voor de Woo hetzelfde geldt. Of de vertrouwelijke (persoons)gegevens openbaar gemaakt mogen worden, zal dus gewoon aan de uitzonderingsgronden moeten worden getoetst.

Tenslotte, nog enkele andere aandachtspunten

In het voorgaande zijn twee onderwerpen besproken die van grote invloed zijn op het al dan niet, ook vanuit het oogpunt van privacy, correct voldoen aan de actieve openbaarmakingsverplichting. Uiteraard komen hier nog meer zaken bij kijken, zoals de juiste toepassing van de aangescherpte regeling met betrekking tot de persoonlijke beleidsopvattingen. Dat het onderwerp privacy ook hier een grote rol speelt, spreekt voor zich. Het exact aan de hand van de lange lijst van artikel 5.1 Woo in kaart brengen welke documenten door het specifieke bestuursorgaan wel en niet actief openbaar mogen en moeten worden gemaakt helpt daar ook bij. Dit en het schrijven én het lezen van dit artikel betreffen allemaal inspannende c.q. ingewikkelde bestuurs- en privacy rechtelijke exercities, maar zij dienen een belangrijk doel; het juiste evenwicht tussen toegang tot overheidsinformatie en bestuurlijke transparantie enerzijds en de borging van de privacy van betrokkenen anderzijds.

Mocht u nog vragen hebben of verder willen sparren, dan kunt u natuurlijk altijd telefonisch (06-43279065) of per e-mail (irma.smeding@lexdigitalis.nl) contact met mij opnemen.

Voetnoten
[1] De tekstplaatsing op de website van de Eerste Kamer betreft niet de actuele versie. Ga daarvoor naar https://zoek.officielebekendmakingen.nl/stb-2022-14.html|
[2]Gezien het feit dat overheden verplicht zijn om voor de actieve openbaarmaking gebruik te maken van de een door minister in standgehouden applicatie, t.w. PLOOI, en de mogelijkheid tot aansluiting daarop door alle overheden eerst voor 2023 wordt voorzien, mag ervan uit gegaan worden dat in 2022 deze verplichting in ieder geval nog niet van kracht wordt.
[3] Onder de Wob wordt dikwijls van weigeringsgronden gesproken, hoewel de wettelijke term uitzonderingsgronden is. Onder de Woo waar het accent op actief openbaar maken komt te liggen, is de wettelijke term uitzonderingsgronden nog toepasselijker
[4] In de wettekst is het woord ‘persoonlijke’ kennelijk weggevallen.
[5] Onder de Wob geldt deze uitzonderingsgrond alleen als het om milieu-informatie gaat.
[6] Aan dit grondwettelijke recht (artikel 10, lid 2 en 3 Gw) is door de AVG nadere invulling gegeven.
[7] Zie artikel 10 tot 13 Grondwet en artikel 8 EVRM.
[8] Op grond van 10.2 lid 2 sub a Woo kan de Minister wel bij tijdelijke overgangsregeling bepalen dat er voor in die regeling aangewezen bestuursorganen voor een bepaalde periode een andere termijn geldt waarbinnen de openbaarmaking moet plaatsvinden.
[9] Zie de uitvoeringstoetsen te vinden op https://www.tweedekamer.nl/kamerstukken/brieven_regering/detail?id=2020Z12574&did=2020D26898
[10] Iets anders is dat tegen besluiten genomen in het kader van de passieve en actieve openbaarmakingsprocedure bezwaar en beroep mogelijk is, wat voor een bestuursorgaan het risico van een veroordeling in de proceskosten met zich meebrengt.
[11] MvT, p. 7.
[12] https://www.sdu.nl/content/commentaar-op-wet-openbaarheid-van-bestuur-art-2-wob