Factsheet over de wet bescherming persoonsgegevens

1. Factsheet
Wet Bescherming Persoonsgegevens
©Rob van Hees 2010
Deze factsheet geeft een
overview van de wet
bescherming persoonsgegevens
en haar impact op bedrijven en
bestuursorganen.

2. Privacy is hot
Wie even googled komt talloze actuele
berichten op het gebied van al dan niet
vermeende privacyschending tegen: het
nieuwe biometrische paspoort met de
bijbehorende vingerafdrukbank, de OV
chipkaart voor studenten, de mobiele
bodyscanner, de Hyves social viral, etc.
Er wordt steeds meer data vastgelegd en
steeds vaker wordt die data geïntegreerd.
Mensen geven ook steeds meer informatie
over zichzelf prijs, op sociale media zoals
Hyves, Facebook, Linkedin, Twitter, ed.
De technologische veranderingen die
elkaar steeds sneller opvolgen,
beïnvloeden onze privacy op een nooit
eerder geziene wijze. Het Nederlands
product Layar laat zien hoe de data uit de
virtuele wereld kan worden gecombineerd
met die uit de reële wereld. Layar is nu al
beschikbaar voor Iphone. Men noemt deze
techniek waarbij men reële data verrijkt
met virtuele data, ook wel augmented
reality.
The age of privacy is over.
Mark Zuckerberg (oprichter Facebook)
Hoe privé zijn mijn privé gegevens
De Wet bescherming persoonsgegevens
(WBP) geeft regels voor een zorgvuldige
omgang met de persoonsgegevens. Sinds
1 september 2001 is de WBP van kracht
als vervanger van de wet
persoonsregistraties (WPR) en brengt
hiermee de Nederlandse wetgeving in
overeenstemming met de Europese
Privacyrichtlijn 95/46/EG.
Over de auteur:
Rob van Hees is
procesmanager.
In zijn werk heeft hij
regelmatig te maken
met compliancy
vraagstukken.
Reikwijdte WBP
De verwerking van persoonsgegevens: elke
handeling of elk geheel van handelingen
met betrekking tot persoonsgegevens,
waaronder in ieder geval het verzamelen,
vastleggen, ordenen, bewaren, bijwerken,
wijzigen, opvragen, raadplegen, gebruiken,
verstrekken door middel van doorzending,
verspreiding of enige andere vorm van
terbeschikkingstelling, samenbrengen, met
elkaar in verband brengen, alsmede het
afschermen, uitwissen of vernietigen van
gegevens (WBP: artikel 1).
Deze wet is van toepassing op de geheel of
gedeeltelijk geautomatiseerde verwerking
van persoonsgegevens, alsmede de niet
geautomatiseerde verwerking van
persoonsgegevens die in een bestand zijn
opgenomen of die bestemd zijn om daarin te
worden opgenomen (WBP: artikel 2)
Beschermen versus faciliteren
Hoewel het woord bescherming in WBP de
connotatie “beperkend” heeft, was de
gedachte achter de wetgeving ook, of beter
gezegd juist, een faciliterende: het reguleren
van vrij informatieverkeer.
Slecht privacybeleid kan in strijd met de wet
zijn, verstrekkende gevolgen hebben voor
de natuurlijke persoon van wie de gegevens
verwerkt worden, en kan daarnaast leiden
tot aanzienlijke reputatieschade.
Goed privacybeleid kan juist als unique
selling point door een organisatie worden
ingezet en kan worden uitgedragen in
informatiefolders en/of op websites.

3. Persoonsgegevens
De persoonsgegevens (elk gegeven
betreffende een geïdentificeerde of
identificeerbare natuurlijke persoon) van
burgers komen in talloze bestanden voor,
zoals de gemeente, de huisarts, de UWV,
de belastingdienst, de bibliotheek,
supermarkt, sportvereniging en werkgever.
Mensen doen mee aan spaaracties en
enquêtes, hebben een klantenkaart of een
tankpas.
Dit is geen enkel probleem wanneer deze
organisaties goed met gegevens omgaan,
maar gegevens kunnen aan derden
worden verkocht of door onvoldoende
beveiliging ten prooi vallen aan
kwaadwillenden. In het digitale tijdperk
waar informatie steeds waardevoller wordt,
neemt de kans op stelen van
persoonsgegevens evenredig toe.
Zodra een bestuursorgaan of een bedrijf
gegevens betreffende een
geïdentificeerde of identificeerbare
natuurlijke persoon verwerkt heeft deze
organisatie te maken met de WBP.
Daarbij onderkent de wet een aantal
actoren. De belangrijkste daarvan zijn:
Betrokkene
Degene op wie een persoonsgegeven
betrekking heeft.
Bewerker
Degene die ten behoeve van de
verantwoordelijke persoonsgegevens
verwerkt, zonder aan zijn rechtstreeks
gezag te zijn onderworpen.
Ontvanger
Degene aan wie de persoonsgegevens
worden verstrekt.
Verantwoordelijke
De natuurlijke persoon, rechtspersoon of
ieder ander die of het bestuursorgaan dat,
alleen of te samen met anderen, het doel
van en de middelen voor de verwerking
van persoonsgegevens vaststelt.
Functionaris voor de Gegevensbescherming
(FG)
Bedrijven, brancheorganisaties, overheden
en instellingen hebben de mogelijkheid zelf
een interne toezichthouder op de verwerking
van persoonsgegevens aan te stellen: de
functionaris voor de gegevensbescherming.
Deze functionaris houdt binnen de
organisatie toezicht op de toepassing en
naleving van de Wet bescherming
persoonsgegevens.
De wettelijke taken en bevoegdheden van
de FG geven deze functionaris een
onafhankelijke positie in de organisatie.
Alle functionarissen voor de
gegevensbescherming (aangesteld volgens
artikel 62-64 van de Wet bescherming
persoonsgegevens) moeten worden gemeld
bij het CBP.
Respect voor één ieders persoonlijke
levenssfeer door bestuur, bedrijfsleven
en burgers onderling is immers
onontbeerlijk voor het functioneren van
de samenleving als geheel.
Jacop Kohnstamm (voorzitter CBP)
Toezichthouder
Het College Bescherming
Persoonsgegevens (CBP) houdt toezicht op
de naleving van wetten die het gebruik van
persoonsgegevens regelen. Zo controleert
het of bedrijven en instanties zich aan de
WBP houden. Deze rol van het CBP gaat
steeds belangrijker worden in te toekomst.
Met de veranderende techniek zijn niet alle
definities nog even helder: Wat als de
verantwoordelijke zijn bewerking uitbesteedt
aan een partij in het buitenland, welke voor
de bewerking software gebruikt die extern
draait en voor de servercapaciteit gebruikt
maakt van cloud computing oplossing?
Wie is dan de verantwoordelijke en wie is de
bewerker?

4. Belangrijke uitgangspunten WBP
Doelbinding (WBP: artikel 9)
Bij het verzamelen van persoonsgegevens
moet het duidelijk zijn met wat voor doel
dat gebeurt. Er mogen niet meer
gegevens verwerkt worden dan strikt
noodzakelijk is.
Rechtmatigheid
Dit houdt allereerst in dat gegevens op
een behoorlijke, zorgvuldige en legale
manier verwerkt worden.
Proportionaliteit
De privacyinbreuk moet evenredig zijn, in
verhouding met het beoogde doel
waarvoor wordt verwerkt.
Subsidiariteit
Verwerking is alleen toegestaan indien het
verwerkingsdoel niet op een andere
(minder belastende) wijze kan worden
bereikt.
Transparantie (WBP: artikel 35)
De betrokkene heeft recht op informatie
als er persoonsgegevens van hem worden
verwerkt. De verantwoordelijke moet hem
onder andere laten weten wie hij is en wat
voor gegevens hij waarvoor verwerkt.
Meldingsplicht (WBP: artikel 27)
Alle verwerkingen van persoonsgegevens
moeten worden gemeld bij het College
bescherming persoonsgevens (CBP).
Een groot aantal maatschappelijk bekende
en geaccepteerde verwerkingen zijn
echter vrijgesteld van artikel 27. Zo mag
een kerkgenootschap zijn leden
administreren. In het vrijstellingsbesluit is
vastgelegd in welke situaties het
vrijstellingsbesluit geldt.
Bewaartermijn (WBP: artikel 10)
De organisatie mag de gegevens niet
langer bewaren dan noodzakelijk voor de
verwerking of om aan wettelijke eisen te
voldoen.
Beveiligingsplicht (WBP: artikel 13/14)
Het nemen van passende technische en
organisatorische maatregelen om het verlies
van gegevens of onrechtmatige verwerking
tegen te gaan.
Wat is privacy?
Privacy (synoniemen privésfeer,
privéleven, persoonlijke levenssfeer of
eigenruimte) is een afweerrecht dat de
persoonlijke levenssfeer beschermt.
Het recht op privacy wordt ook wel
omschreven als “the right to be left
alone”.
Privacy betekent ook dat men dingen
kan doen zonder dat de buitenwereld
daar inbreuk op maakt of zelfs weet
van heeft.
Het begrip privacy is niet objectief te
beschrijven: wat iemand of niet als
privé ervaart is situationeel en
persoonlijk.
Eerbiediging van de persoonlijke
levenssfeer behoort tot de grondslagen
van onze rechtsorde. Het recht op
eerbiediging van de persoonlijke
levenssfeer is
vastgelegd in artikel 10 van de
Grondwet.
Ondubbelzinnige toestemming
De betrokkenen dient toestemming te geven
voor het verwerken van gegevens: daarbij
dient dus sprake te zijn van wilsuiting, het
vooraf informeren, het vrijwillig geven en de
mogelijkheid tot intrekking.
Hierop zijn een aantal uitzonderingen, zoals:
• De uitvoering van een overeenkomst
(klant - leverancierrelatie).
• Wettelijke verplichting (zoals
belastingdienst)
• Ter vrijwaring van vitale belangen
(levensbedreigende situaties)
• Publiekrechtelijke taak
• Ter behartiging gerechtvaardigd belang

5. Bijzondere gegevens
Niet alle gegevens mogen zomaar worden
vastgelegd: WBP: artikel 16 zegt daar
over: De verwerking van
persoonsgegevens betreffende iemands
godsdienst of levensovertuiging, ras,
politieke gezindheid, gezondheid,
seksuele leven, alsmede
persoonsgegevens betreffende het
lidmaatschap van een vakvereniging is
verboden behoudens het bepaalde in deze
paragraaf.
Hetzelfde geldt voor strafrechtelijke
persoonsgegevens en persoonsgegevens
over onrechtmatig of hinderlijk gedrag in
verband met een opgelegd verbod naar
aanleiding van dat gedrag. Hierop zijn wel
een aantal uitzonderingen, welke
benoemd zijn in de WBP: artikelen 17 t/m
24. Zo is het logisch dat een huisarts
gegevens betreffende de gezondheid van
iemand vastlegt.
De privacy paradox
In een online omgeving zijn mensen
vaker en sneller geneigd zichzelf bloot
te geven dan ze in real life zouden
doen.
Persoonsgegevens binnen bedrijven
Binnen bedrijven wordt een veelvoud aan
persoonsgegevens over het personeel
vastgelegd. Denk bijvoorbeeld aan:
• Personeelsadministratie
• Aan- afwezigheidadministratie
• Afschriften identiteitsbewijs
• Gebruiksgegevens computer
• Opgenomen telefoongesprekken
• Medische keuringen
• Opleidingen
• Cameratoezicht
• Smoelenboek
Daarnaast worden er persoonsgegevens
over klanten, mits het natuurlijke personen
betreft, vastgelegd, bijvoorbeeld:
• Adresgegevens
• Aankoopgegevens
• Cookies
• IP nummers
Elke organisatie heeft te maken met
persoonsgegevens en hoewel de WBP niet
zonder meer van toepassing is
(vrijstellingsbesluit) dienen organisaties
intern beleid te ontwikkelen betreffende
privacy. De invloed van de WBP strekt zich
ook uit tot het IT- en beveiligingsbeleid.
Daarnaast dient een organisatie aandacht te
schenken aan interne en externe
communicatie betreffende haar
privacybeleid.
De organisatie die dit stelselmatig doet,
hoeft zich geen zorgen te maken over de
WBP.
Toezicht en handhaving
WBP: artikel 60 geeft het zelfstandig
bestuursorgaan, het CBP, de bevoegdheid
om ambtshalve of op verzoek van
belanghebbende een onderzoek in te stellen
naar de naleving van de wet. Ook beschikt
het CBP over onderzoeksbevoegdheden.
Indien er aanleiding is om gebruik te maken
van deze bevoegdheid, wordt de aanpak en
de diepgang van het onderzoek bepaald.
Deze kunnen uiteenlopen van een
briefwisseling met verzoek om informatie, tot
een onderzoek ter plaatse, al dan niet in de
vorm van een audit, of een steekproef op
meer plaatsen in een sector.
Het CBP kan bestuurlijke boetes opleggen
en besluiten tot het opleggen van
dwangsommen en het toepassen van
bestuursdwang, op grond van WBP: artikel
65 e.v. van de Wet bescherming
persoonsgegevens (WBP). De maximale
bestuurlijke boete bedraagt €4500,- (WBP:
artikel 66). Ook strafrechtelijke sancties zin
mogelijk (WBP: artikel 75).
The ultimate aspect of the privacy issue
is the possibility of complete social
control.
Robert Ellis Smith

6. Daarnaast heeft het CBP (volgens het
zogenaamde name, blame and shame
principe) de mogelijkheid tot actieve
openbaarmaking.
Hoewel de kans dat een organisatie wordt
onderworpen aan een onderzoek door het
CBP minimaal is, is het verstandig om een
draaiboek te maken waarin wordt
beschreven hoe om te gaan bij een
onaangekondigde inval of dawn raid.
Zo’n draaiboek beschrijft bijvoorbeeld
organisatorische afspraken, preliminaire
vergadering, zwijgrecht en cautie, interne
en externe communicatie, begeleiding bij
inzage, eigen kopieën maken, etc. Er
dienen ook instructies te worden gemaakt
voor de receptie.
Toekomst van de WBP
De WBP is al weer een paar jaar oud. In
die tijd is de stand van de techniek
ingrijpend veranderd. Berichtgeving in
kranten maar ook de invloed van
belangengroeperingen zoals Bits of
Freedom (BOF) maakten dat het tijd werd
om de WBP te evalueren.
Uit deze evaluatie is gebleken dat de WBP
onvoldoende wordt nageleefd. Het toezicht
op de naleving van de wet zal daarom
worden aangescherpt. De nadruk op de
adviestaken van het CBP, zal afnemen en
het College zal meer handhavend op gaan
treden. In dit verband wordt het opleggen
van bestuurlijke boetes bij wet mogelijk
gemaakt. Het CBP moet de transformatie
maken van tandeloze tijger naar een
Nederlandse Data Autoriteit.
De evaluatie heeft verder geleid tot het
wetsvoorstel 31841. Dit wetsvoorstel heeft
tot doel de administratieve lasten en
nalevingkosten - die voortvloeien uit de
Wet bescherming persoonsgegevens
(WBP) - te verlagen.
Dit wordt onder andere bereikt door
• een uitzondering op de verplichting
van een voorafgaand onderzoek, als
bedoeld in WBP: artikel 31 van de wet.
• het verlagen van de frequentie en het
waar mogelijk laten vervallen van de
inlichtingenplicht ten aanzien van het
recht op verzet bij verwerking van
persoonsgegevens met het oog op direct
marketing.
• het vervallen van de vergunningplicht
voor doorgifte van gegevens naar derde
landen zonder passend
beschermingsniveau wanneer gebruik
wordt gemaakt van door de Europese
Commissie goedgekeurde
modelcontracten.
• Diverse technische en tekstuele
vereenvoudigingen of verhelderingen.
Hoewel de WBP bij het merendeel van de
organisaties bekend is, blijkt in de praktijk
dat privacy meestal niet hoog op de agenda
staat. Dat is jammer.
Burgers hebben recht op privacy en op
bescherming van hun gegevens!
Organisaties hebben de keuze om de WBP
als een administratieve last te zien, of de
WBP als instrument in te zetten om zich als
bedrijf te onderscheiden.
Voor meer informatie, zie de website:
http://wbpers.weebly.com/
Rob van Hees
Referenties:
Bits of Freedom
https://www.bof.nl/
College bescherming
persoonsgegevens
http://www.cbpweb.nl/
Aanbevolen literatuur
WBP
(de Vries)
WBP en ICT
(Huydecoper)
Uitsprakenbundel WBP
(van Schoonhoven & van Dijk)