15
Jul
2014

De Wet Bescherming Persoonsgegevens, een introductie

Dit artikel bevat een algemene introductie op de bepalingen van de Wet bescherming persoonsgegevens (Wbp). Deze wet is een implementatie van de Europese richtlijn 95/46/EG. Het doel dat de Europese wetgever met deze richtlijn nastreeft is het creëren van een degelijke en uniforme bescherming van persoonsgegevens. In het artikel wordt allereerst onderzocht wat precies onder het persoonsgegevensbegrip moet worden verstaan. Ook de betekenis van de term verwerken wordt besproken. Vervolgens wordt ingegaan op de belangrijkste actoren die bij het verwerkingsproces betrokken zijn. Daarna wordt uiteengezet op basis van welke grondslagen persoonsgegevens verwerkt mogen worden en met welke plichten daarbij rekening moet worden gehouden. Ten slotte is er aandacht voor de handreikingen die De IT-jurist kan doen bij het in acht nemen van de Wbp.

Persoonsgegevens en verwerken

De Wet bescherming persoonsgegevens is van toepassing bij het verwerken van persoonsgegevens. Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon is een persoonsgegeven (artikel 1, onder a Wbp). De gegevens moeten met andere woorden op zodanige wijze iets over de persoon zeggen dat zij daarmee unieke informatie over hem bevatten. Het persoonsgegevensbegrip is dus ruim. Dit betekent bijvoorbeeld dat NAW-gegevens, telefoonnummers, e-mailadressen, leeftijd, CV, medische informatie, bankgegevens en videobeelden persoonsgegevens (kunnen) zijn. Van belang is om op te merken dat de context waarin een gegeven wordt gebruikt moet worden betrokken bij de beantwoording van de vraag of er sprake is van persoonsgegevens. Dit betekent bijvoorbeeld dat de door het combineren van gegevens een persoon geïdentificeerd kan worden. Zo is enkel een geboortedatum geen persoonsgegeven, maar kan de geboortedatum in combinatie met bijvoorbeeld een woonadres toch als zodanig worden aangemerkt.

In de Wbp wordt een aantal categorieën persoonsgegevens als bijzonder aangemerkt. Dit zijn bijvoorbeeld de gegevens die het ras, de gezondheid, godsdienst of levensovertuiging, politieke gezindheid van een persoon betreffen. In beginsel is het verwerken van bijzondere persoonsgegevens niet toegestaan. Dit is slechts anders wanneer daarbij een zwaarwegend algemeen belang wordt gediend of er sprake is van een in de Wbp beschreven specifieke uitzondering.

Het verwerken van persoonsgegevens omvat elke handeling met betrekking tot persoonsgegevens. Voorbeelden hier van zijn het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, beschikbaar stellen, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen en vernietigen van persoonsgegevens. De wet ziet op zowel analoge als geautomatiseerde verwerkingsprocessen. Op onder andere de verwerking van persoonsgegevens ten behoeve van persoonlijke, huishoudelijke of journalistieke doeleinden zijn de bepalingen van de Wbp echter niet van toepassing.

Belangrijkste actoren

De Wbp beschrijft van verschillende actoren hun rechten en plichten met betrekking tot (de omgang met) persoonsgegevens. De betrokkene is de natuurlijke persoon op wie een persoonsgegevens betrekking heeft, en dus degene over wie persoonsgegevens worden verwerkt.

De verantwoordelijke is de persoon die het doel en de middelen van het verwerken van persoonsgegevens vaststelt. Hij is degene die de gegevens verwerkt (de verwerker) of dat onder zijn zeggenschap laat doen. Vaak is de verantwoordelijke een (overheids)organisatie, al dan niet met rechtspersoonlijkheid. Hij kan echter ook een natuurlijke persoon zijn. Bij het verwerkingsproces kunnen overigens meerdere verantwoordelijken betrokken zijn. De volgende varianten zijn daarbij mogelijk.       

  • Gezamenlijke verantwoordelijkheid: elke verwerker afzonderlijk moet voor ongeveer een gelijk deel als verantwoordelijke voor alle verwerkingshandelingen moet worden aangemerkt. Denk bijvoorbeeld aan de situatie waarin meerdere partijen gezamenlijk een databank met persoonsgegevens samenstellen.
  • Gedifferentieerde verantwoordelijkheid: elke verantwoordelijke houdt zich bezig met een afgebakende onderdeel van het gehele verwerkingsproces. De werkzaamheden van de verantwoordelijken afzonderlijk overlappen elkaar niet.
  • Gemeenschappelijke verantwoordelijkheid: hiervan is sprake wanneer meerdere partijen een derde belasten met het opzetten, uitvoeren en onderhouden van het verwerkingsproces.

De bewerker ten slotte is degene die ten behoeve van de verantwoordelijke (een deel van) het verwerkingsproces uitvoert. De bewerker een externe partij die waaraan de verantwoordelijke het verwerken van persoonsgegevens uit heeft besteed. Dit is bijvoorbeeld de accountant die de salarisadministratie van de verantwoordelijke uitvoert. Aan de bewerker ook een aantal plichten opgelegd. Zo heeft hij een geheimhoudingsplicht en moet hij de gegevens die hij verwerkt voldoende beveiligen. De verantwoordelijke is echter ook aansprakelijk voor de gegevensverwerking door de bewerker (artikel 12 Wbp). Hij moet dus controleren of de wijze waarop de bewerker omgaat met de persoonsgegevens in overeenstemming is met de Wbp.

Grondslagen voor het verwerken van persoonsgegevens

Het doel van de Wbp is om de privacybelangen van de betrokkene te dienen. Dit wordt gedaan door aan het verwerken van de op hem betrekkende persoonsgegevens regels te verbinden. Het verwerken mag slechts plaatsvinden voor zover dat in overeenstemming is met de Wbp (artikel 6). In artikel 7 Wbp is neergelegd dat persoonsgegevens slechts ten behoeve van welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden mogen worden verzameld. Het daadwerkelijke verwerken van de persoonsgegevens vervolgens, moet ingevolge artikel 8 Wbp gebaseerd zijn op een rechtmatige grondslag. In dit artikel worden eveneens de mogelijke grondslagen voor de verwerking limitatief opgesomd.

De belangrijkste grondslag voor verwerking is de hiervoor gegeven ondubbelzinnige toestemming van de betrokkene (artikel 8 onder a Wbp). Hiervan is sprake wanneer de betrokkene expliciet aan heeft kunnen geven dat op hem betrekking hebbende gegevens mogen worden gebruikt. Hij moet in vrijheid een keuzemoment hebben gehad. Wanneer een betrokkene in een afhankelijke positie staat ten opzichte van de verantwoordelijke, mag de toestemming die onder druk van die afhankelijkheid wordt gegeven niet als ondubbelzinnig worden aangemerkt. Van een dergelijke situatie zou sprake kunnen zijn wanneer de betrokkene een solliciteert naar een functie bij de verantwoordelijke, en de verantwoordelijke in de vacatureadvertentie heeft vermeld dat de gegevens van sollicitanten door hem mogen worden bewaard.

Een andere belangrijke grondslag is neergelegd in artikel 8 onder f Wbp. Persoonsgegevens mogen ook worden verwerkt wanneer daarmee een gerechtvaardigd belang van de verantwoordelijke of van een derde aan wie de gegevens zijn verstrekt wordt behartigd. Denk bijvoorbeeld aan de schadeverzekeraar die ter afhandeling van een claim van zijn cliënt ook de gegevens van de tegenpartij en eventuele getuige moet verwerken. Of van een situatie als bedoeld in art. 8 onder f Wbp sprake is moet van geval tot geval beoordeeld worden. De verantwoordelijke zelf is hier in beginsel daarvoor de aangewezen persoon: van hem wordt gevergd om een afweging te maken tussen het belang dat met het verwerken van de gegevens wordt gediend en de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van zijn persoonlijke levenssfeer. De volgende zaken zal hij zich hierbij moeten afvragen.

  • Is er werkelijk een belang dat verwerking van persoonsgegevens rechtvaardigt?
  • Wordt met de verwerking een inbreuk gemaakt op belangen of fundamentele rechten van degene wiens gegevens worden verwerkt en zo ja, dient dan – afhankelijk van de ernst van de inbreuk – gegevensverwerking niet achterwege te blijven?
  • Kan het doel dat met de verwerking wordt nagestreefd ook langs een andere weg worden bereikt?
  • Zijn de voorgenomen handelingen met de persoonsgegevens evenredig aan het nagestreefde doel?

Het verwerken van persoonsgegevens is ook toegestaan wanneer zulks nodig is om een overeenkomst waarbij de betrokkene partij is uit te voeren (artikel 8 onder b Wbp). Zo mogen door een webwinkel de adresgegevens van zijn klanten worden vastgelegd om zo de door laatstgenoemde persoon gekochte goederen te kunnen leveren. De vierde grondslag voor het verwerken van persoonsgegevens is de situatie waarin een verantwoordelijke daartoe door wetgeving wordt verplicht (artikel 8 onder c Wbp). De verwerking waarmee een vitaal belang van de betrokkene (bijvoorbeeld zijn gezondheid) wordt gediend is eveneens legaal (artikel 8 onder d Wbp). De grondslag van artikel 8 onder e Wbp mag alleen gehanteerd worden door een verantwoordelijke is die een bestuursorgaan is. Hij mag persoonsgegevens verwerken wanneer dit noodzakelijk is voor de goede invulling van zijn publiekrechtelijke taak of die van het bestuursorgaan waaraan hij de gegevens verstrekt.

Overige plichten en verantwoordelijkheden

De verantwoordelijke heeft naast het feit dat hij persoonsgegevens alleen op een basis van een wettelijk voorgeschreven grondslag mag verwerken nog enkele andere verplichtingen. Wanneer hij de persoonsgegevens verzameld moet hij aan de betrokkene meedelen met welk doel zij worden verwerkt. De verantwoordelijke mag niet zonder meer de gegevens voor een ander doel gaan gebruiken (artikel 9, 10 en 11 Wbp). Wanneer het bewaren van de persoonsgegevens niet meer noodzakelijk is moet de verantwoordelijke deze wissen of anonimiseren. De verantwoordelijke draagt daarnaast zorg voor dat de gegevens die hij verwerkt juist en nauwkeurig zijn. Ook moet heeft hij een geheimhoudingsplicht.

Wanneer sprake is van een geautomatiseerde verwerking van de gegevens moet de verantwoordelijke dit melden bij het College Bescherming Persoonsgegevens (CBP), per 1 januari 2016 Autoriteit Persoonsgegevens. Deze organisatie is in het leven geroepen om toezicht te houden op de naleving van de Wbp en andere privacyregelgeving. Het college is bevoegd om handhavend op te treden tegen degene die persoonsgegevens niet Wbp-conform verwerkt. Van een aantal veel voorkomende verwerkingen van persoonsgegevens is het onwaarschijnlijk dat de privacy van de betrokkenen daardoor wordt geschaad. Zij zijn daarom van de meldingsplicht vrijgesteld. Om welke verwerkingen het gaat, is geregeld in het  door het CBP opgestelde vrijstellingsbesluit. Als een verwerking is vrijgesteld van melding zijn de overige bepalingen van Wbp echter onverminderd van toepassing.

Het verwerken van persoonsgegevens moet plaatsvinden een voldoende beveiligde omgeving. Krachtens artikel 13 Wbp moet de verantwoordelijke hiertoe passende technische en organisatorische maatregelen treffen. Technische maatregelen betreffen het informatiesysteem waarmee door een verantwoordelijke organisatie persoonsgegevens worden verwerkt. Gedacht moet worden aan firewalls, encryptie van gegevens en logboeken. Organisatorische maatregelen zien op de houding organisatie en haar werknemers zelf. Hieronder valt bijvoorbeeld het fysiek afsluiten van server-ruimtes en het opbergen van dossiers. Een verantwoordelijke moet van geval tot geval beoordelen of de genomen maatregelen passend zijn. Van belang hiervoor is onder andere de aard van de persoonsgegevens die verwerkt worden. Zo is het verdedigbaar dat medische gegevens beter beveiligd dienen te worden dan e-mailadressen. Daarnaast mogen de stand van de techniek en de kosten van de te nemen maatregelen ook worden meegewogen. De maatregelen moeten gericht op bescherming van persoonsgegevens tegen verlies of tegen de onrechtmatige verwerking ervan. Ook moeten zij het onnodig verzamelen en verwerken van persoonsgegevens tegengaan. Dit laatste houdt bijvoorbeeld in dat zo min mogelijk medewerkers van de verantwoordelijke organisatie de persoonsgegevens in kunnen zien. De beveiliging van persoonsgegevens als bedoeld in artikel 13 Wbp is dus een breed begrip. Het ziet op het geheel aan technische maatregelen waarmee de privacy van een betrokkene wordt gediend, hetgeen wordt ook wel aangeduid met de term Privacy Enhancing Technologies (PET).

Met de toenemende automatisering van het verwerken van persoonsgegevens heeft ook de internationale uitwisseling ervan een hoge vlucht genomen. Niet alle landen echter kennen een sterke bescherming. De gegevensuitwisseling met landen die niet tot de Europese Unie behoren (‘derde landen’) is daarom aan strenge regels verbonden. Deze mag in beginsel slechts plaatsvinden wanneer in het derde land een passend beschermingsniveau wordt gewaarborgd (artikel 76-78 Wbp). Belangrijk is in dit verband om op te merken dat onder andere de Verenigde Staten niet als een dergelijk land kunnen worden aangemerkt. Wanneer bijvoorbeeld met Amerikaanse software persoonsgegevens worden verwerkt moet dus worden voorkomen dat deze naar de VS worden getransporteerd. Dit is slechts anders wanneer aan de Amerikaanse organisatie een verklaring is afgegeven waarmee vaststaat dat op organisatieniveau wordt voldaan aan richtlijnen die de privacy van een betrokkene voldoende beschermen. Deze richtlijnen worden de Safe Harbor principles genoemd.

Rechten van de betrokkene

De betrokkene een aantal rechten. Zo mag hij van de verantwoordelijke vergen dat aan hem kenbaar wordt gemaakt welke gegevens er over hem worden verwerkt. Dit inzagerecht is neergelegd in artikel 35 Wbp. Wanneer is gebleken dat de verantwoordelijke persoonsgegevens verwerkt welke onjuist zijn dan heeft de betrokkene eveneens het recht om de fouten te corrigeren. De verantwoordelijke draagt er zorg voor dat de correcties door andere organisaties aan wie hij de persoonsgegevens heeft afgegeven worden overgenomen. De betrokkene heeft ook het recht om zich te verzetten tegen de verwerking. Dit recht is in meeste gevallen een relatief recht. Dit wil zeggen dat de verantwoordelijke mag beoordelen of aan het verzet gehoor wordt gegeven. Hij daarbij een afweging maken tussen het recht op bescherming van de persoonlijke levenssfeer van de betrokkene en het belang dat met de verwerking wordt gediend. Slechts wanneer de gegevens uitsluitend worden verwerkt ten behoeve van commerciële of charitatieve doeleinden blijft deze beoordeling achterwege en is de verantwoordelijke verplicht om het verzet te honoreren.

Veel organisaties zullen persoonsgegevens verwerken, en daarmee te maken krijgen met de bepalingen die in de Wbp zijn neergelegd. Als verantwoordelijke heeft organisatie daarbij veel beoordelingsvrijheid. Ondanks dat er in samenwerking met het CBP verschillende richtlijnen en gedragscodes zijn opgesteld kan het voor een organisatie onduidelijk zijn hoe zij die vrijheid moet invullen. De IT-jurist kan hierbij ondersteuning geven. Zo kan hij adviseren over verscheidene beveiligingstechnieken waarmee een passend beschermingsniveau kan worden geconstrueerd of over het transport van persoonsgegevens naar derde landen. Ook kan hij een privacy-audit uitvoeren, waarbij hij de wijze waarop een organisatie met persoonsgegevens omgaat naast de Wbp legt. Zo kan bijvoorbeeld worden beoordeeld of de software die door de organisatievoor het verwerken wordt gebruikt Wbp-bestendig is.