Persoonsgegevens: botsende belangen
Nooit eerder stond privacy en bescherming daarvan zo in de belangstelling als de laatste paar jaren. Dat heeft niet in de laatste plaats te maken met de ver gaande informatisering van de maatschappij en de steeds frequentere en eenvoudiger uitwisseling van persoonsgegevens via internet en koppeling van gegevensbestanden.
Opkomst van RFID-technologie, medische gegevens via een Elektronisch Patiënten Dossier, cameratoezicht op openbare plekken, overheden die adressenbestanden delen e.d. Marketing, veiligheid en efficiëntie enerzijds en privacy anderzijds komen nogal eens met elkaar in botsing.
Een fraai overzicht van de regelgeving omtrent bescherming van persoonsgegevens hebben wij voor u samengevat in onderstaande mindmap. Deze mindmap kunt u ook als PDF downloaden.
Wet bescherming persoonsgegevens (Wbp)
Begrippen
Melding
Vrijstelling
Eisen vrijgestelde verwerking
Verplichtingen onder de Wbp
Rechten van de betrokkene
Doorgifte naar andere landen
Gevolgen niet-naleving
Zelfregulering
Tips
Wet bescherming persoonsgegevens (Wbp)
Op 1 september 2001 is de Wet bescherming persoonsgegevens (verder: Wbp) in werking getreden (gebaseerd op een Europese Richtlijn “betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens”). Belangrijkste doelstelling van de richtlijn was om de bescherming van persoonsgegevens in de Europese Unie te harmoniseren. Bovendien voldeed de oude wet eigenlijk niet meer met name in verband met digitale verwerking van persoonsgegevens.
Begrippen
De Wbp is van toepassing op de verwerking van persoonsgegevens.
Onder een persoonsgegeven verstaat de Wbp “elk gegeven betreffende een geïdentificeerde of identificeerbare persoon”. Het begrip persoonsgegeven moet ruim worden uitgelegd. Zo kunnen bijv. ook cookies of bepaalde nummers worden aangemerkt als persoonsgegevens.
Onder verwerking verstaat de Wbp “elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens”. Dat is een zeer ruim begrip.
De partijen die betrokken zijn bij de verwerking van persoonsgegevens worden in de wet aangeduid als verantwoordelijke en betrokkene:
de verantwoordelijke is bevoegd om het doel van en de middelen voor de verwerking van persoonsgegevens te bepalen;
de betrokkene is degene van wie de persoonsgegevens worden verwerkt.
Melding
De belangrijkste verplichting onder de Wbp, is de aanmelding van een verwerking van persoonsgegevens aan het toezichtsorgaan, genaamd het College Bescherming Persoonsgegevens (CBP). Door middel van deze melding geeft de organisatie aan op welke wijze invulling zal worden gegeven aan de belangrijkste bepalingen uit de Wbp.
In de melding moet de organisatie ten minste aangeven:
naam en adres van de verantwoordelijke
het doel of de doeleinden van de verwerking
de betrokkenen of de categorieën van betrokkenen
de gegevens of de categorieën van gegevens
de ontvangers van de gegevens
de voorgenomen overdracht van gegevens aan landen buiten de Europese Unie
een algemene beschrijving van de genomen beveiligingsmaatregelen
Verwerking van persoonsgegevens mag in beginsel pas plaats vinden nadat de desbetreffende verwerking is aangemeld bij het CBP.
Gevoelige persoonsgegevens, zoals gegevens over iemands religie, politieke voorkeur, sexuele geaardheid, ras etcetera mogen alleen worden verwerkt indien daar een uitdrukkelijke wettelijke grondslag voor aanwezig is.
Vrijstelling
Niet iedere verwerking van persoonsgegevens hoeft te worden aangemeld. De wetgever heeft oog gehad voor de praktijk en bepaalde verwerkingen vrijgesteld in het Vrijstellingenbesluit. Het gaat met name om gegevensverwerkingen waarvan zowel het bestaan als de aard van de verwerkingen voor de betrokkenen kenbaar en vanzelfsprekend is. Denk daarbij aan verwerkingen van persoonsgegevens op het terrein van arbeid, pensioen, onderwijs, archief en onderzoek. Voorbeelden van vrijstellingen zijn in dat kader een salarisadministratie. registratie van leden of bezoekers.
Om het u makkelijk te maken heeft het CBP op haar website een ‘beslisboom’ gezet om te bepalen of u onder een vrijstelling valt.
Een vrijgestelde verwerking van persoonsgegevens moet nog steeds voldoen aan de eisen die de Wbp daaraan stelt en die nog zullen worden besproken.
Verplichtingen onder de Wbp
De hoofdverplichtingen van degene die persoonsgegevens verwerkt, zijn als volgt samen te vatten:
formulering van het doel van de verwerking van de persoonsgegevens:
– bepaalde en uitdrukkelijk omschreven doeleinden
– eenmaal verzamelde gegevens mogen niet verder worden verwerkt in een wijze die onverenigbaar is met het doel waarvoor de gegevens zijn verkregen
rechtvaardigingsgrond voor de verwerking; voor ondernemingen zijn twee rechtvaardigingsgronden van belang:
– verwerking geschiedt met de ondubbelzinnige toestemming van de betrokkene; of
– verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is of voor handelingen die op verzoek van de betrokkene worden verricht en/of die noodzakelijk zijn voor het sluiten van een overeenkomst
informatieverstrekking: de betrokkene moet worden geïnformeerd indien persoonsgegevens worden verwerkt; tenzij de betrokkene op de hoogte is van de te verstrekken informatie, moet daartoe het volgende worden gecommuniceerd:
– identiteit van de verantwoordelijke
– doel voor verwerking
– eventueel aanvullende informatie, indien de betrokkene dit nodig heeft om een behoorlijke en zorgvuldige verwerking te waarborgen
beveiliging: de verantwoordelijke moet passende technische en organisatorische maatregelen nemen om de persoonsgegevens te beveiligen tegen verlies of onrechtmatige verwerking.
Zelfs als het strikt genomen niet nodig is, kan het verstandig zijn om in een overeenkomst de uitdrukkelijke toestemming te vragen van de betrokkene om zijn of haar persoonsgegevens te mogen gebruiken.
Rechten van de betrokkene
De betrokkene heeft op grond van de Wbp het recht op inzage, correctie en verzet.
Inzage
Iedereen mag een verantwoordelijke met redelijke tussenpozen vragen of, en zo ja welke, persoonsgegevens ten aanzien van hem of haar worden verwerkt.
Op dit verzoek tot inzage moet binnen vier weken schriftelijk gereageerd worden. Een elektronische mededeling wordt overigens ook schriftelijk van aard. Een gewichtige belang van de betrokkene kan vereisen dat op dit verzoek bijvoorbeeld mondelinge wordt gereageerd. Uiteraard moet de verantwoordelijke zorgvuldig nagaan of het verzoek wel echt van de betrokkene zelf of zijn wettelijke vertegenwoordiger afkomstig is.
Correctie
Het recht op correctie behelst dat betrokkene de verantwoordelijke mag verzoeken tot wijziging van de persoonsgegevens. Dit kan zijn verbetering, aanvulling, verwijdering, afscherming of andere maatregelen om te voorkomen dat de onjuiste gegevens nog langer gebruikt worden. Een correctieverzoek hoeft alleen gehonoreerd te worden als de gegevens feitelijk onjuist, onvolledig of niet ter zake dienend zijn voor het doel waarvoor ze worden verwerkt of wanneer ze op andere wijze in strijd zijn met een voorschrift van de Wbp of een andere wet zijn verwerkt. Verwijtbaarheid aan de kant van de verantwoordelijke is niet nodig om een beroep op het recht op correctie te kunnen doen.
Net als bij een verzoek tot inzage moet de verantwoordelijke binnen vier weken, in beginsel schriftelijk, reageren op het correctieverzoek. Daadwerkelijke uitvoering van de correctie dient hierop zo spoedig mogelijk te volgen. Wanneer de correctie wordt geweigerd, dan moet deze weigering voldoende gemotiveerd te worden.
Bezwaar (‘verzet’)
In verband met bijzondere persoonlijke omstandigheden kan een betrokkene bezwaar maken tegen de verwerking van zijn of haar gegevens. De verantwoordelijke moet binnen vier weken na ontvangst van het verzet beoordelen of het verzet terecht is. Is dat het geval, dan moet de verwerking onmiddellijk worden beëindigd.
Als de betrokkene zich verzet tegen de verwerking van zijn of haar persoonsgegevens voor direct marketing-doeleinden, dan zal de verwerking altijd onmiddellijk beëindigd moeten worden. Voor het in behandeling nemen van het verzet kan een door de wetgever bepaalde vergoeding worden gevraagd. Deze vergoeding moet worden terugbetaald als het verzet gegrond wordt verklaard.
Doorgifte naar andere landen
Een heikel punt is de doorgifte naar andere landen waar de regels minder strikt zijn dan in Nederland of andere EU-landen (bijv. in het kader van outsourcing van een salarisadministratie naar een lage lonenland). Conform de EU-regeling is doorgifte van de gegevens binnen de EU in beginsel geen probleem. Doorgifte naar landen buiten EU is in beginsel in strijd met de wet.
Zie over de gevolgen van een recente uitspraak van het Europese Hof van Justitie in verband met opslag van gegevens in de cloud: Opslag data in VS niet langer mogelijk? Of toch wel?
Gevolgen niet-naleving
Het niet-naleven van de Wbp kan de volgende gevolgen hebben:
schadeclaim van betrokkene(n) zelf
bepaalde overtredingen van de Wbp zijn strafbaar
CBP kan ingrijpen:
bestuursdwang
dwangsom; of
bestuurlijke boete
Zelfregulering
Naast de Wbp bestaan er verscheidene gedragscodes die een specifieke invulling geven voor bepaalde branches en categorieën.
Tips
omschrijf het doel van de verwerking reëel maar ruim
inventariseer uw verwerkingen
kijk eens of het voor u interessant is om een privacy officer aan te stellen
zorgvuldig omgaan met persoonsgegevens en niet langer bewaren dan nodig
wees ruimhartig met informatie
zorg voor stevige en adequate beveiliging en toegang
check het vrijstellingsbesluit
bij twijfel: aanmelden
pas op met gegevensuitwisseling met andere landen
zorg voor een goede privacy policy op uw website en leef die ook na
Meldplicht Datalekken
Zie over de Wet Meldplicht Datalekken die per 1 januari 2016 van kracht is:
– Privacy – Security – Big data
– Persoonsgegevens: botsende belangen
publicatiedatum: zaterdag 10 oktober 2015