Wet bescherming persoonsgegevens

Dit artikel bevat een algemene introductie op de bepalingen van de Wet bescherming persoonsgegevens (Wbp). Deze wet is een implementatie van de Europese richtlijn 95/46/EG. Het doel dat de Europese wetgever met deze richtlijn nastreeft, is het creëren van een degelijk en uniform privacy-beschermingsregime. In het artikel wordt allereerst onderzocht wat precies onder het persoonsgegevensbegrip moet worden verstaan. Ook de betekenis van de term ‘verwerken' wordt besproken. Vervolgens wordt ingegaan op de belangrijkste actoren die bij het verwerkingsproces betrokken zijn. Daarna wordt uiteengezet op basis van welke grondslagen persoonsgegevens verwerkt mogen worden, en met welke plichten daarbij rekening moet worden gehouden. Ten slotte is er aandacht voor de handreikingen die de IT-notaris een organisatie kan doen bij het in acht nemen van de Wbp.

Persoonsgegevens en verwerken

De Wet bescherming persoonsgegevens is van toepassing op het verwerken van persoonsgegevens. Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon is een persoonsgegeven (artikel 1, onder a Wbp). De gegevens moeten met andere woorden op zodanige wijze iets over de persoon zeggen, dat zij daarmee unieke informatie over hem verschaffen. Het persoonsgegevensbegrip is dus ruim. Dit betekent bijvoorbeeld dat NAW-gegevens, telefoonnummers, e-mailadressen, leeftijd, CV, medische informatie, bankgegevens en videobeelden persoonsgegevens (kunnen) zijn. Van belang is om op te merken dat de context waarin een gegeven wordt gebruikt moet worden betrokken bij de beantwoording van de vraag of er sprake is van een persoonsgegeven. Dit betekent bijvoorbeeld dat de door het combineren van gegevens een persoon geïdentificeerd kan worden. Zo is enkel een geboortedatum geen persoonsgegeven, maar kan de geboortedatum in combinatie met bijvoorbeeld een woonadres toch als zodanig worden aangemerkt.

In de Wbp wordt een aantal categorieën persoonsgegevens als ‘bijzonder' aangemerkt. Dit zijn bijvoorbeeld de gegevens die het ras, de gezondheid, de levensovertuiging of de politieke gezindheid van een persoon betreffen. In beginsel is het verwerken van bijzondere persoonsgegevens niet toegestaan. Dit is slechts anders wanneer daarbij een zwaarwegend algemeen belang wordt gediend of er sprake is van een hiervoor in de Wbp opgenomen specifieke uitzonderingssituatie.

Het verwerken van persoonsgegevens omvat elke handeling met betrekking tot persoonsgegevens. Voorbeelden hier van zijn het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, beschikbaar stellen, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen en vernietigen van persoonsgegevens. De wet ziet op zowel analoge als geautomatiseerde verwerkingshandelingen. Op onder andere de verwerking van persoonsgegevens ten behoeve van persoonlijke, huishoudelijke of journalistieke doeleinden echter zijn de bepalingen van de Wbp niet van toepassing.

Belangrijkste actoren

De Wbp beschrijft van verschillende actoren hun rechten en plichten met betrekking tot (de omgang met) persoonsgegevens. De betrokkene is de natuurlijke persoon op wie een persoonsgegevens betrekking heeft, en dus degene over wie persoonsgegevens worden verwerkt.

De verantwoordelijke is de persoon die het doel en de middelen van het verwerken van persoonsgegevens vaststelt. Hij is degene die de gegevens verwerkt (de verwerker) of dat onder zijn zeggenschap laat doen. Vaak is de verantwoordelijke een (overheids)organisatie, al dan niet met rechtspersoonlijkheid. Hij kan echter ook een natuurlijke persoon zijn. Bij het verwerkingsproces kunnen overigens meerdere verantwoordelijken betrokken zijn. De volgende varianten zijn daarbij mogelijk.
  • Gezamenlijke verantwoordelijkheid: elke verwerker afzonderlijk moet voor ongeveer een gelijk deel als verantwoordelijke voor alle verwerkingshandelingen moet worden aangemerkt. Denk bijvoorbeeld aan de situatie waarin meerdere partijen gezamenlijk een databank met persoonsgegevens samenstellen.
  • Gedifferentieerde verantwoordelijkheid: elke verantwoordelijke houdt zich bezig met een afgebakend onderdeel van het gehele verwerkingsproces. De werkzaamheden van de verantwoordelijken afzonderlijk overlappen elkaar niet.
  • Gemeenschappelijke verantwoordelijkheid: hiervan is sprake wanneer meerdere partijen een derde belasten met het opzetten, uitvoeren en onderhouden van het verwerkingsproces.
De bewerker ten slotte, is degene die ten behoeve van de verantwoordelijke (een deel van) het verwerkingsproces uitvoert. De bewerker is een externe partij waaraan de verantwoordelijke het verwerken van persoonsgegevens heeft uitbesteed. Dit is bijvoorbeeld de accountant die de salarisadministratie van de verantwoordelijke uitvoert. Aan de bewerker wordt in de Wbp ook een aantal plichten opgelegd. Zo heeft hij een geheimhoudingsplicht, en moet hij de gegevens die hij verwerkt voldoende beveiligen. De verantwoordelijke is echter ook aansprakelijk voor de gegevensverwerking door de bewerker (artikel 12 Wbp). Hij moet dus toezicht houden op de wijze waarop de bewerker omgaat met de persoonsgegevens.

Grondslagen voor het verwerken van persoonsgegevens

Het doel van de Wbp is om de privacybelangen van de betrokkene te dienen. Dit wordt gedaan door aan het verwerken van de op hem betrekkende persoonsgegevens regels te verbinden. Het verwerken mag slechts plaatsvinden voor zover dat in overeenstemming is met de Wbp (artikel 6). In artikel 7 Wbp is neergelegd dat persoonsgegevens slechts ten behoeve van welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden mogen worden verzameld. Het daadwerkelijke verwerken van de persoonsgegevens vervolgens, moet ingevolge artikel 8 Wbp gebaseerd zijn op een rechtmatige grondslag.

De belangrijkste grondslag voor verwerking is de hiervoor gegeven ondubbelzinnige toestemming van de betrokkene (artikel 8 onder a Wbp). Hiervan is sprake wanneer de betrokkene expliciet aan heeft kunnen geven dat op hem betrekking hebbende gegevens mogen worden verwerkt. Hij moet in vrijheid zijn keuze hebben kunnen maken. Wanneer een betrokkene in een afhankelijke positie staat ten opzichte van de verantwoordelijke, mag de toestemming die onder druk van die afhankelijkheid wordt gegeven niet als ondubbelzinnig worden aangemerkt. Van een dergelijke situatie zou bijvoorbeeld sprake kunnen zijn wanneer de betrokkene een solliciteert naar een functie bij de verantwoordelijke, en de verantwoordelijke in de vacatureadvertentie heeft vermeld dat de gegevens van sollicitanten door hem mogen worden bewaard.

Een andere belangrijke grondslag is neergelegd in artikel 8 onder f Wbp. Persoonsgegevens mogen ook worden verwerkt wanneer daarmee een gerechtvaardigd belang van de verantwoordelijke of van een derde aan wie de gegevens zijn verstrekt, wordt behartigd. Denk bijvoorbeeld aan de schadeverzekeraar die ter afhandeling van een claim van zijn cliënt ook de gegevens van de tegenpartij en eventuele getuige moet verwerken. Van geval tot geval moet beoordeeld worden of van een situatie als bedoeld in artikel 8 onder f Wbp sprake is. De verantwoordelijke zelf is in beginsel daarvoor de aangewezen persoon. Van hem wordt gevergd om een afweging te maken tussen het belang dat met het verwerken van de gegevens wordt gediend en de fundamentele rechten en vrijheden van de betrokkene. Dit betreft in het bijzonder het recht op de bescherming van zijn persoonlijke levenssfeer. De volgende zaken zal hij zich hierbij moeten afvragen.
  • Is er werkelijk een belang dat verwerking van persoonsgegevens rechtvaardigt?
  • Wordt met de verwerking een inbreuk gemaakt op belangen of fundamentele rechten van degene wiens gegevens worden verwerkt en zo ja, dient dan – afhankelijk van de ernst van de inbreuk – gegevensverwerking niet achterwege te blijven?
  • Kan het doel dat met de verwerking wordt nagestreefd ook langs een andere weg worden bereikt?
  • Zijn de voorgenomen handelingen met de persoonsgegevens evenredig aan het nagestreefde doel?
Het verwerken van persoonsgegevens is ook toegestaan wanneer zulks nodig is om een overeenkomst waarbij de betrokkene partij is, uit te voeren (artikel 8 onder b Wbp). Zo mogen door een webwinkel de adresgegevens van zijn klanten worden vastgelegd om zo gekochte goederen te kunnen leveren. De vierde grondslag voor het verwerken van persoonsgegevens is de situatie waarin een verantwoordelijke daartoe door wetgeving wordt verplicht (artikel 8 onder c Wbp). De verwerking waarmee een vitaal belang van de betrokkene (bijvoorbeeld zijn gezondheid) wordt gediend is eveneens legaal (artikel 8 onder d Wbp). De grondslag van artikel 8 onder e Wbp mag alleen gehanteerd worden door een verantwoordelijke is die een bestuursorgaan is. Een bestuursorgaan mag persoonsgegevens verwerken wanneer dit noodzakelijk is voor de goede invulling van zijn publiekrechtelijke taak of die van het bestuursorgaan waaraan hij de gegevens verstrekt.

Overige plichten en verantwoordelijkheden

De verantwoordelijke heeft naast het feit dat hij persoonsgegevens alleen op een basis van een wettelijk voorgeschreven grondslag mag verwerken, nog enkele andere verplichtingen. Wanneer hij de persoonsgegevens verzamelt moet hij aan de betrokkene meedelen met welk doel zij worden verwerkt. De verantwoordelijke mag niet zonder meer de gegevens voor een ander doel gaan gebruiken (artikel 9, 10 en 11 Wbp). Wanneer het bewaren van de persoonsgegevens niet meer noodzakelijk is, moet de verantwoordelijke deze wissen of anonimiseren. De verantwoordelijke draagt daarnaast zorg voor dat de gegevens die hij verwerkt juist en nauwkeurig zijn. Bij het verwerken moet hij ook geheimhouding in acht nemen.

Wanneer sprake is van een geautomatiseerde verwerking van de gegevens moet de verantwoordelijke dit melden bij het College Bescherming Persoonsgegevens (CBP). Deze organisatie is in het leven geroepen om toezicht te houden op de naleving van de Wbp en andere privacyregelgeving. Het college is bevoegd om handhavend op te treden tegen degene die persoonsgegevens niet Wbp-conform verwerkt. Van een aantal veel voorkomende verwerkingen van persoonsgegevens is het onwaarschijnlijk dat de privacy van de betrokkenen daardoor wordt geraakt. Zij zijn daarom van de meldingsplicht vrijgesteld. Om welke verwerkingen het gaat, is geregeld in het door het CBP opgestelde vrijstellingsbesluit. Als een verwerking is vrijgesteld van melding, zijn de overige bepalingen van Wbp echter onverminderd van toepassing.

Het verwerken van persoonsgegevens moet plaatsvinden een voldoende beveiligde omgeving. Krachtens artikel 13 Wbp moet de verantwoordelijke hiertoe passende technische en organisatorische maatregelen treffen. Technische maatregelen betreffen het informatiesysteem waarmee door een verantwoordelijke organisatie persoonsgegevens worden verwerkt. Gedacht moet worden aan het instellen van een firewall, de encryptie van gegevens en het bijhouden van logboeken. Organisatorische maatregelen zien op de houding organisatie en haar werknemers zelf. Hieronder valt bijvoorbeeld het fysiek afsluiten van serverruimtes en het opbergen van dossiers.

Een verantwoordelijke moet van geval tot geval beoordelen of de genomen maatregelen passend zijn. Van belang hiervoor is onder andere de aard van de persoonsgegevens die verwerkt worden. Zo is het verdedigbaar dat medische gegevens beter beveiligd dienen te worden dan e-mailadressen. Daarnaast mogen de stand van de techniek en de kosten van de te nemen maatregelen ook worden meegewogen. De maatregelen moeten gericht op bescherming van persoonsgegevens tegen verlies of tegen de onrechtmatige verwerking ervan. Ook moeten zij het onnodig verzamelen en verwerken van persoonsgegevens tegengaan. Dit laatste houdt bijvoorbeeld in dat zo min mogelijk medewerkers van de verantwoordelijke organisatie de persoonsgegevens in kunnen zien. De beveiliging van persoonsgegevens als bedoeld in artikel 13 Wbp is dus een breed begrip. Het ziet op het geheel aan maatregelen waarmee de privacy van een betrokkene wordt gediend. Wanneer het daarbij om technische maatregelen gaat wordt ook wel de term Privacy Enhancing Technologies (PET) gehanteerd.

Met de toenemende automatisering van het verwerken van persoonsgegevens heeft ook de internationale uitwisseling ervan een hoge vlucht genomen. Niet alle landen echter, kennen een sterk beschermingsregime. De gegevensuitwisseling met landen die niet tot de Europese Unie behoren (‘derde landen') is daarom aan strenge regels verbonden. Deze mag in beginsel slechts plaatsvinden wanneer in het derde land een passend beschermingsniveau wordt gewaarborgd (artikel 76-78 Wbp). Belangrijk is in dit verband om op te merken dat onder andere de Verenigde Staten niet als een dergelijk land kunnen worden aangemerkt. Wanneer bijvoorbeeld met Amerikaanse software persoonsgegevens worden verwerkt, moet dus worden voorkomen dat deze naar de VS worden getransporteerd. Dit is slechts anders wanneer aan de Amerikaanse organisatie een verklaring is afgegeven waarmee vaststaat dat op organisatieniveau wordt voldaan aan richtlijnen die de privacy van een betrokkene voldoende beschermen. Deze richtlijnen worden de Safe Harbor principles genoemd.

Rechten van de betrokkene

De betrokkene een aantal rechten. Zo mag hij van de verantwoordelijke vergen dat aan hem kenbaar wordt gemaakt welke gegevens over hem worden verwerkt. Dit inzagerecht is neergelegd in artikel 35 Wbp. Wanneer is gebleken dat de verantwoordelijke persoonsgegevens verwerkt welke onjuist zijn, heeft de betrokkene eveneens het recht om de fouten te corrigeren (artikel 36 Wbp). De verantwoordelijke draagt er zorg voor dat de correcties door andere organisaties aan wie hij de persoonsgegevens heeft afgegeven, worden overgenomen.
De betrokkene heeft ook het recht om zich te verzetten tegen de verwerking (artikel 40 Wbp). Dit recht is in meeste gevallen een relatief recht. Dit wil zeggen dat de verantwoordelijke mag beoordelen of aan het verzet gehoor wordt gegeven. Hij moet daarbij een afweging maken tussen het recht op bescherming van de persoonlijke levenssfeer van de betrokkene en het belang dat met de verwerking wordt gediend. Slechts wanneer de gegevens uitsluitend worden verwerkt ten behoeve van commerciële of charitatieve doeleinden blijft deze beoordeling achterwege. In dit geval is de verantwoordelijke verplicht om het verzet te honoreren.

Rol IT-notaris

Veel organisaties zullen persoonsgegevens verwerken, en daarmee te maken krijgen met de bepalingen die in de Wbp zijn neergelegd. Als verantwoordelijke heeft een organisatie daarbij veel beoordelingsvrijheid. Ondanks dat er in samenwerking met het CBP verschillende richtlijnen en gedragscodes zijn opgesteld kan het voor een organisatie onduidelijk zijn hoe zij die vrijheid moet invullen. De IT-notaris kan hierbij ondersteuning bieden. Zo kan hij adviseren over de verscheidene beveiligingstechnieken waarmee een passend beschermingsniveau kan worden geconstrueerd of over het transport van persoonsgegevens naar derde landen. Ook kan hij een privacy-audit uitvoeren, waarbij hij de totale wijze waarop een organisatie met persoonsgegevens omgaat naast de Wbp legt. Hij beoordeelt daarbij bijvoorbeeld of de software die door de organisatie voor het verwerken van persoonsgegevens wordt gebruikt, Wbp-bestendig is.
 
 
Er is uiterste zorg besteed aan het zo actueel, correct en compleet mogelijk maken en houden van de inhoud van dit artikel. Het is echter mogelijk dat de inhoud van de documenten verouderd, incompleet en/of incorrect is door wijzigingen in wet- en regelgeving, ontwikkelingen in hard- en software en/of voortschrijdend inzicht. Aan de inhoud van dit document kunnen dan ook geen rechten worden ontleend. De auteurs kunnen niet aansprakelijk worden gehouden voor de gevolgen van het gebruik, op welke wijze dan ook, van de in dit artikel aangeboden informatie.