Vergroot contrast

De registers van de RDW bevatten persoonsgegevens  

Samenvatting De Registratiekamer heeft de vraag onderzocht of de door de RDW gehouden registers persoonsgegevens bevatten. Bij het beantwoorden van die vraag zijn ook het verstrekkingenregime en de EDP-auditnormen betrokken.

Persoonsgegevens
Kentekens van motorvoertuigen zijn in elk geval persoonsgegevens voor degenen die toegang hebben tot het kentekenregister van de Rijksdienst voor het Wegverkeer. Zij kunnen immers de tenaamstelling van het kenteken zonder bijzondere inspanning te weten komen. Het behoeft geen betoog dat bij uitstek de RDW zelf die mogelijkheid heeft. De conclusie is dat kentekens bij de RDW persoonsgegevens zijn. Dit geldt ook voor daaraan gerelateerde gegevens, zoals de overige voertuiggegevens.

Verstrekkingenregime
De achtergrond van de discussie wordt gevormd door onduidelijkheid over het al dan niet mogen verstrekken van verschillende gegevens uit de registers van de RDW (het verstrekkingenregime). Als een gegeven voor eens en voor altijd bestempeld kan worden als niet-persoonsgegeven, dan kan dit immers vrijelijk worden verstrekt. Dit is dus niet het geval.

Op de (persoons)gegevens in het kentekenregister is het Privacyreglement Kentekenregister 1996 van toepassing. Het verstrekken van gegevens dient aan dit reglement te worden getoetst. Uiteraard speelt daarbij het doel van de registratie een belangrijke rol. Het wettelijk kader wordt zowel gevormd door de Wet persoonsregistraties (WPR), als door de Wegenverkeerswet 1994 (WVW 1994), het Kentekenreglement en de Regeling gegevensverstrekking kentekengegevens. Onder het regime van de Wbp kan het huidige systeem in beginsel worden gehandhaafd.

Op het niveau van de formele wet wordt geen onderscheid gemaakt tussen persoonsgegevens en andere gegevens. In lagere regelingen voor de gegevensverstrekking kan een dergelijk onderscheid zo nodig worden aangebracht. Het toepasselijke informatieregime dient rekening te houden met het feit dat bepaalde voertuiggegevens, gelet op het wettelijke criterium, ook persoonsgegevens kunnen zijn. Dat geldt ook voor het informatieregime dat de RDW dient vast te stellen op basis van haar taak en binnen het wettelijk kader. Uiteraard kan bij het vaststellen van een informatieregime worden gedifferentieerd, afhankelijk van de aard van de gegevens en/of de ontvanger van de gegevens.

Voorzieningen die de herleidbaarheid van de gegevens tot individuele natuurlijke personen beperken of zelfs voorkomen, kunnen van invloed zijn op het verstrekkingenregime. Hetzelfde geldt voor de mate waarin betrokkenen gevolgen kunnen ondervinden van het gebruik van de gegevens. De afweging die in het kader van de bescherming van persoonsgegevens moet worden gemaakt om bepaalde gegevens al dan niet te verstrekken, wordt immers in het algemeen benvloed door de beschikbare mogelijkheden om gegevens tot individuele natuurlijke personen te herleiden of de mate waarin betrokkenen gevolgen kunnen ondervinden van het gebruik van de gegevens. In dat verband adviseert de Registratiekamer de RDW o.a. terughoudend te zijn bij het leggen van on-line-verbindingen en situaties te inventariseren waarin de RDW een bepaald gegeven wel verstrekt en het RDC niet, en andersom.

EDP-auditnormen
De Registratiekamer streeft ernaar de normen voor privacybescherming deel te laten uitmaken van het toetsingskader van het jaarlijkse onderzoek (de jaarlijkse audit) bij de RDW door de externe EDP-auditor. Het toezicht door de Registratiekamer zou dan in eerste instantie kunnen bestaan uit het kennisnemen van de EDP-auditresultaten.

17 juli 2000, z1998-00098

Publicaties