Bescherming persoonsgegevens

Privacy voor het individu

Als maatschappij zijn wij steeds meer waarde gaan hechten aan de privacy van het individu. Op Europees niveau zijn er daarom afspraken gemaakt over hoe daarmee om moet worden gegaan. Toen in 2013 Edward Snowden onthulde dat een geheime dienst van de Verenigde Staten (de NSA) samen met de FBI informatie verzamelde van mensen en organisaties ook buiten Amerika, zoals in Nederland, waren veel mensen en partijen dan ook onthutst. Van een aantal grote Amerikaanse bedrijven, waaronder Google, Facebook, Skype, Apple en Microsoft werden e-mails, logbestanden, videogesprekken en ga zo maar door, afgetapt en gebruikt door de geheime diensten. Dit stond vanzelfsprekend lijnrecht tegenover de groeiende behoefte aan privacy voor het individu.

Wet Bescherming Persoonsgegevens

De Nederlandse Wet Bescherming Persoonsgegevens (WBP) is afgeleid van de Europese afspraken. De WBP is daarvan de Nederlandse variant. Iedere lidstaat heeft op basis van deze Europese afspraken, die als richtlijn beschouwd moet worden, namelijk zijn eigen privacywet opgesteld. In praktijk betekent dit dat wat geldt voor Nederland dus niet exact zo hoeft te gelden voor België of Frankrijk. Worden persoonsgegevens van of voor deze landen verwerkt, dan moet men zich daarvan dus wel degelijk per land op de hoogte (laten) stellen. In 2017, zo is nu gepland, komt er een eenduidige WBP voor alle lidstaten.

Wat valt er allemaal onder persoonsgegevens?

Persoonsgegevens zijn gegevens die gebruikt kunnen worden om een persoon te kunnen identificeren. De NAW gegevens van een persoon zijn dus persoonsgegevens, maar zaken als e-mailadressen, IP-nummers of pasfoto’s dus ook. Zijn er testresultaten bekend van bijvoorbeeld een assessment, dan kunnen deze gegevens beschouwd worden als extra gevoelig. Immers, het zou de privacy ernstig kunnen aantasten wanneer het gemeten IQ uitgelekt zou kunnen raken. Hetzelfde geldt voor zaken als het Burgerservicenummer, strafvervolgingen, medische gegevens, godsdienst, etc.. Met deze gegevens moet men dus nog veel zorgvuldiger mee omgaan.

Wanneer een organisatie persoonsgegevens verzamelt, bewaart, gebruikt, doorstuurt of zelfs alleen vernietigt, dan moet hij voldoen aan een aantal regels. In praktijk komt het er dus op neer dat nagenoeg iedere organisatie wel op een of andere manier persoonsgegevens verwerkt en rekening moet houden met deze wetgeving.

Welke persoonsgegevens mag je verzamelen en verwerken?

Wanneer een organisatie persoonsgegevens verwerkt dan komt het er in hoofdlijnen op neer dat hij dit zorgvuldig moet doen. De persoonsgegevens mogen alleen gebruikt worden waarvoor ze bestemd zijn en je mag alleen die gegevens verzamelen die voor dat doel echt nodig zijn. Daarnaast moet er iets bestaan als een rechtvaardigingsgrond voor het verzamelen en verwerken van de persoonsgegevens. Typische voorbeelden van rechtvaardigheidsgronden zijn als er ondubbelzinnig toestemming is verkregen van de persoon wiens persoonsgegevens worden verwerkt of dat er een wettelijke verplichting is om over de persoonsgegevens te moeten beschikken.

In praktijk doet een organisatie er natuurlijk altijd goed aan om alleen die gegevens te verzamelen en te verwerken als daar een goede reden voor is. Deze gegevens mogen niet voor een ander doel gebruikt worden dan waarover afspraken en toestemmingen zijn vastgelegd. Deze gegevens mogen niet langer bewaard worden dan strikt nodig en er moeten moet passende technische en organisatorische maatregelen getroffen zijn om de gegevens te kunnen beschermen.

Inzagerecht van de persoonsgegevens

De persoon van wie de persoonsgegevens worden verwerkt heeft inzagerecht in die persoonsgegevens en mag controleren hoe deze gegevens verwerkt worden. Als na controle volgens deze persoon blijkt dat diens persoonsgegevens niet juist zijn, dan heeft hij het recht een verzoek in te dienen deze te laten wijzigen. Hij kan zich ook verzetten tegen bepaalde vormen van de verwerking van zijn gegevens waardoor die verwerking moet worden gestaakt.

Meldplicht datalekken

De meldplicht voor datalekken zou men moeten beschouwen als een addendum op de WBP. Kort gezegd komt dit neer op de verplichting om verlies, diefstal of misbruik van deze gegevens te melden bij de overheid. In een ander artikel op deze website vindt u meer informatie over deze wet terug.

Een onderdeel van de WBP, waar wellicht rekening mee gehouden moet worden, kan de verplichting zijn om bepaalde verwerkingen van persoonsgegevens te moeten melden bij de Autoriteit Persoonsgegevens (AP). Door deze melding wordt de verwerking in een openbaar meldingenregister te staan. Iedereen kan daar dus terugvinden wat de organisatie doet met welke gegevens, bijvoorbeeld aan wie ze die doorstuurt. Voor grotere organisaties, die beschikken over een eigen functionaris voor de gegevensbescherming, kan het ook bij deze functionaris worden gemeld. In praktijk komt dit echter op hetzelfde neer: de verwerking wordt daardoor openbaar gemaakt.

Treft u passende maatregelen?

Of u afdoende “passende maatregelen” heeft getroffen om te voldoen aan de WPB is iets wat niet eenvoudig met behulp van bijvoorbeeld een eenvoudige checklist gecontroleerd kan worden. Wij willen u daarom graag ondersteunen wanneer u hier meer over wilt weten of wilt laten onderzoeken of u hieraan in voldoende mate voldoet.