Informatiegids. Wet Bescherming Persoonsgegevens (Wbp) voor. NOAB leden

Informatiegids Wet Bescherming Persoonsgegevens (Wbp) voor NOAB leden

smaragdhorst 207 • 2592 RJ ‘s-Gravenhage • Telefoon: +31 (0)70 3 85 79 80 • Telefax: +31 (0)70 3 85 79 94 • FORTIS bank nr. 80.97.68.054 • KvK nr. ’s-Gravenhage 27242718 • BTW nr. 809838813B01 • Internet: www.magpiesolutions.nl • E-mail: [email protected]

1

INLEIDING........................................................................................................................................................... 3 DE WBP ............................................................................................................................................................... 3 1

PERSOONSGEGEVENS ............................................................................................................................. 3 1.1 1.2 1.3

2

VERANTWOORDELIJKHEDEN.............................................................................................................. 4 2.1 2.2 2.3 2.4 2.5 2.6

3

TRANSPARANTIE ...................................................................................................................................... 7 INFORMATIEPLICHT VAN DE VERANTWOORDELIJKE ................................................................................. 7

RECHTEN EN PLICHTEN......................................................................................................................... 8 4.1 4.2 4.3 4.4

5

DE VERANTWOORDELIJKE ........................................................................................................................ 4 VERANTWOORDELIJKE, DERDEN OF BEWERKER ....................................................................................... 4 EISEN AAN VERANTWOORDELIJKE INZAKE GEGEVENSVERWERKING ........................................................ 6 DOELBINDING .......................................................................................................................................... 6 PROPORTIONALITEITSBEGINSEL ............................................................................................................... 6 MELDEN AAN HET CBP............................................................................................................................ 6

INFORMATIEVERPLICHTING TEGENOVER BETROKKENEN..................................................... 7 3.1 3.2

4

WAT ZIJN GEGEVENS EN WELKE EISEN STELT DE WET AAN GEGEVENS ..................................................... 3 VERWERKEN VAN PERSOONSGEGEVENS................................................................................................... 3 ZES GRONDSLAGEN VOOR VERWERKING VAN PERSOONSGEGEVENS ........................................................ 4

RECHT OP INFORMATIE ............................................................................................................................ 8 RECHT OP INZAGE .................................................................................................................................... 8 RECHT OP VERBETERING, VERWIJDERING, AANVULLING OF AFSCHERMING ............................................. 8 RECHT OP VERZET .................................................................................................................................... 8

BEGRIPPENLIJST ...................................................................................................................................... 9

2005 Copyright MAGPIE Solutions VOF Alle rechten voorbehouden. Vermenigvuldigd of mededeling aan derden, in welke vorm dan ook, is niet toegestaan zonder schriftelijke toestemming van MAGPIE Solutions VOF. All rights reserved. Reproduction or issue to third parties in any form whatsoever is not permitted without authority from MAGPIE Solutions VOF. smaragdhorst 207 • 2592 RJ ‘s-Gravenhage • Telefoon: +31 (0)70 3 85 79 80 • Telefax: +31 (0)70 3 85 79 94 • FORTIS bank nr. 80.97.68.054 • KvK nr. ’s-Gravenhage 27242718 • BTW nr. 809838813B01 • Internet: www.magpiesolutions.nl • E-mail: [email protected]

2

Inleiding De Wbp Sinds 1 september 2001 is de bescherming van persoonsgegevens geregeld in de Wbp. Deze wet stelt eisen aan de omgang met persoonsgegevens door organisaties. Het College Bescherming Persoonsgegevens (CBP) is het controlerende orgaan voor de handhaving van deze wet. Per 1 september 2002 beoordeelt het CBP in hoeverre organisaties voldoen aan de Wbp. Indien niet wordt voldaan aan de eisen, loopt de betreffende organisatie risico’s, zoals: gerechtelijke stappen door de burger, bestuurlijke boetes, strafvervolging door het Openbaar Ministerie, negatieve publiciteit, publicatie op zwarte lijsten en conflicten met burgers en organisaties. De invoering van de Wbp heeft dus gevolgen voor uw organisatie als verwerker van persoonsgegevens.

1

Persoonsgegevens

Gegevens zijn voor iedereen in Nederland belangrijk. Aan de hand van gegevens oordelen wij als burger. Dit kan verstrekkende gevolgen hebben voor het object of de persoon waar de gegevens betrekking op hebben.

1.1 Wat zijn gegevens en welke eisen stelt de wet aan gegevens Gegevens zijn een bron van informatie over objecten maar ook over personen. Gegevens geven kennis en kunnen in bepaalde situaties macht uitoefenen. Macht kan zowel positief als negatief worden aangewend. Met het besef dat gegevens zowel positief als negatief kunnen worden aangewend ontstaat de behoefte dergelijke samenhangende verzamelingen van persoonsgegevens als afzonderlijke juridische eenheid tot voorwerp van regelgeving te verheffen. Dit houdt in dat de wetgever hierover regels opstelt omtrent de bescherming van persoonsgegevens. In de Nederlandse Grondwet is omschreven dat elke burger het recht heeft tot eerbiediging van zijn of haar persoonlijke levenssfeer. De Wet schrijft voor, dat inbreuk daarop bij Wet moet zijn geregeld. De Wbp regelt alles wat betrekking heeft op persoonsgegevens. De Wet stelt: “Van persoonsgegevens is pas sprake als de identiteit van de persoon op wie de informatie betrekking heeft ook redelijkerwijs kan worden vastgesteld. Dit betekent dat de informatie individualiseerbaar moet zijn. Of gegevens individualiseerbaar zijn wordt bepaald door de grenzen van wat redelijkerwijs binnen de mogelijkheden van de onderneming ligt of wat met behulp van aanvullende informatie achterhaald kan worden”.

1.2 Verwerken van persoonsgegevens Het verwerken van persoonsgegevens wordt volgens de Wbp geïnterpreteerd als:








verzamelen, verkrijgen en ordenen bewaren, bijwerken en wijzigen opvragen, raadplegen en gebruiken verstrekken door middel van doorzenden aan derden verspreiding of enig andere vorm van ter beschikkingstelling samenbrengen, met elkaar in verband brengen afschermen, uitwisselen of vernietiging van gegevens

smaragdhorst 207 • 2592 RJ ‘s-Gravenhage • Telefoon: +31 (0)70 3 85 79 80 • Telefax: +31 (0)70 3 85 79 94 • FORTIS bank nr. 80.97.68.054 • KvK nr. ’s-Gravenhage 27242718 • BTW nr. 809838813B01 • Internet: www.magpiesolutions.nl • E-mail: [email protected]

3

De Wbp is niet op elke wijze van verwerking van toepassing. De Wbp geldt voor de geautomatiseerde verwerking van persoonsgegevens, en voor sommige handmatige verwerkingen.

1.3 Zes grondslagen voor verwerking van persoonsgegevens Wil een organisatie persoonsgegevens verwerken dan moet tenminste worden voldaan aan één van de zes grondslagen benoemd in de Wbp. Kan dat niet, dan is verwerken van persoonsgegevens niet toegestaan. Aangetekend dient te worden dat niet alle grondslagen voor iedere verantwoordelijke even relevant zijn. 1. 2. 3. 4. 5. 6.

2

Ondubbelzinnige toestemming; Noodzakelijk voor het uitvoeren van een overeenkomst; Noodzakelijke verwerking inzake een wettelijke verplichting; Verwerking ter vrijwaring van een vitaal belang betrokkene; Verwerking is noodzakelijk voor het vervullen van een publiekrechtelijke taak; Verwerking is noodzakelijk voor de behartiging van een gerechtvaardigd belang.

Verantwoordelijkheden

In voorgaande hoofdstuk is duidelijk geworden wat gegevens zijn en welke eisen de wet stelt voor gegevensverwerking. In dit hoofdstuk wordt verder ingegaan op de vraag wie persoongegevens mag verwerken en aan welke eisen deze persoon moet voldoen om persoongegevens te verwerken in overeenstemming met de Wbp.

2.1 De verantwoordelijke Voor de Wbp is het van belang wie uiteindelijk bepaalt of gegevens worden verwerkt en zo ja, welke persoonsgegevens worden gebruikt en voor welk doel. Tevens is van belang wie beslist over de middelen voor die verwerking. De verantwoordelijke dient vast te stellen voor welk doel de gegevens van de betrokkene worden verzameld. De verantwoordelijke dient de betrokkene vervolgens, indien deze een product of dienst wil verkrijgen, vooraf te informeren voor welk doel hij de gegevens nodig heeft.

2.2 Verantwoordelijke, derden of bewerker Het vaststellen van de verantwoordelijke is binnen het regime van de Wbp elementair. Dit omdat het voor de betrokkene/klant duidelijk moet zijn bij wie hij zijn rechten desgewenst kan uitoefenen. In bepaalde situaties kan het zo zijn dat persoonsgegevens verwerkt worden in opdracht van anderen. De Wbp spreekt dan over bewerker in plaats van verantwoordelijke. Wanneer ben je een verantwoordelijke en wanneer ben je een bewerker? Zie ook figuur 1.0

smaragdhorst 207 • 2592 RJ ‘s-Gravenhage • Telefoon: +31 (0)70 3 85 79 80 • Telefax: +31 (0)70 3 85 79 94 • FORTIS bank nr. 80.97.68.054 • KvK nr. ’s-Gravenhage 27242718 • BTW nr. 809838813B01 • Internet: www.magpiesolutions.nl • E-mail: [email protected]

4

De verantwoordelijke:


Degene die bepaalt waarvoor en met welk doel gegevens worden verwerkt, is de verantwoordelijke. Dit kan zijn een natuurlijke persoon, rechtspersoon of ieder ander die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. De verantwoordelijke is dus degene die het doel en de middelen van verwerking vaststelt.

De bewerker:


Degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen. Waarbij u bepaalt welke gegevens, waarvoor en hoelang. De bewerker zal nooit zelf de klant/betrokkene benaderen.

De derde:


Ieder, met uitzondering van de betrokkene, de verantwoordelijke, de bewerker, of enig persoon die onder rechtstreeks gezag van de verantwoordelijke of de bewerker gemachtigd is om persoonsgegevens te verwerken. Een derde mag na ontvangst van de persoonsgegevens zelf de betrokkene benaderen en wordt daarmee zelf een verantwoordelijke. Dit in tegenstelling van een bewerker, deze mag of zal dit zelden doen.

VERANTWOORDELIJKE

DERDE

BEWERKER

DE BETROKKENE /KLANT

De pijl geeft aan welke richting de persoonsgegevens gaan! Figuur 1.0

smaragdhorst 207 • 2592 RJ ‘s-Gravenhage • Telefoon: +31 (0)70 3 85 79 80 • Telefax: +31 (0)70 3 85 79 94 • FORTIS bank nr. 80.97.68.054 • KvK nr. ’s-Gravenhage 27242718 • BTW nr. 809838813B01 • Internet: www.magpiesolutions.nl • E-mail: [email protected]

5

2.3 Eisen aan verantwoordelijke inzake gegevensverwerking Als gegevens niet behoorlijk en zorgvuldig worden verwerkt handelt de verantwoordelijke onrechtmatig (en is dus strafbaar). Voor het verwerken van persoongegevens moet duidelijk het doel worden bepaald waarvoor gegevens worden verzameld. Dit doel moet:




Welbepaald zijn; Uitdrukkelijk omschreven zijn; Gerechtvaardigd zijn.

2.4 Doelbinding Doelbinding is een van de verwerkingseisen welke de Wbp stelt aan het verwerken van persoonsgegevens. Doelbinding is een belangrijk begrip binnen het werkingsveld van de Wbp, omdat het alles omvat waarom een verantwoordelijke persoonsgegevens mag gebruiken. De persoonsgegevens dienen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen te worden gebruikt. De verantwoordelijke dient vast te stellen voor welk doel de gegevens van de betrokkene worden verzameld. De verantwoordelijke dient de betrokkene vervolgens, indien deze een product of dienst wil verkrijgen, vooraf te informeren voor welk doel hij de gegevens nodig heeft.

2.5 Proportionaliteitsbeginsel De inbreuk op de belangen van de betrokkene bij verwerking van persoonsgegevens mag niet onevenredig zijn in verhouding tot het te dienen doel. Het komt er dus op neer dat de verantwoordelijke niet te veel gegevens, maar ook niet te weinig gegevens mag verlangen van de betrokkene. Alleen gegevens voor het doel mogen verwerkt worden. Vertaald naar de praktijk moet een organisatie ervoor zorgen dat de gegevensverwerking:




Niet bovenmatig is: Toereikend is; Relevant is.

2.6 Melden aan het CBP Verwerking van persoonsgegevens moeten worden gemeld bij CBP en het CBP houdt hiervan bij een meldingsregister. Dit meldingsregister heeft als doel, onzichtbare verwerkingen zichtbaar te maken. Het gaat hierbij om de algemene beschrijving van het doel en de gebruikte middelen waarvoor persoonsgegevens gebruikt worden. Aan de hand van een meldingsnummer kan de verantwoordelijke de betrokkene verwijzen naar het openbaar meldingsregister van het CBP. Na melding voldoet de verantwoordelijke aan de verplichting tot openbaarmaking en de informatieplicht aan de betrokkenen/klant.

smaragdhorst 207 • 2592 RJ ‘s-Gravenhage • Telefoon: +31 (0)70 3 85 79 80 • Telefax: +31 (0)70 3 85 79 94 • FORTIS bank nr. 80.97.68.054 • KvK nr. ’s-Gravenhage 27242718 • BTW nr. 809838813B01 • Internet: www.magpiesolutions.nl • E-mail: [email protected]

6

3

Informatieverplichting tegenover betrokkenen

Een rechtmatige verwerking van persoonsgegevens is transparant (zie 3.1). Dit houdt in dat de betrokkene moet kunnen weten wie welke persoonsgegevens over hem verzamelt en op welke wijze deze gegevens worden verwerkt. De verantwoordelijke is dus verplicht de betrokkene te informeren. Overtredingen van de informatieplicht kunnen leiden tot onrechtmatige verwerkingen. Door melding aan het CBP voldoet u aan de informatieverplichting.

3.1 Transparantie De Wbp stelt dat gegevensverwerking transparant moet zijn. De verantwoordelijke moet in het algemeen voor een rechtmatige gegevensverwerking de betrokkene informeren over het doel van de gegevensverwerking en zijn identiteit. In bepaalde gevallen moet de verantwoordelijke meer informatie verstrekken, zoals wie de ontvangers van de gegevens zijn en de manier waarop de betrokkene zijn rechten kan uitoefenen. Ook de manier waarop de verantwoordelijke gegevens verkrijgt, is van belang voor de informatieplicht. De consument kan zelf de gegevens afstaan, maar kunnen ook via derden zijn verkregen. Dit betekent dus dat de betrokkene geïnformeerd moet worden over de gegevensverwerking. Hij heeft het recht om op de hoogte te zijn van de verwerking van zijn persoonsgegevens. Hierbij moet het voor de betrokkene altijd mogelijk zijn na te gaan wie de persoonsgegevens in zijn bezit heeft en verwerkt.

3.2 Informatieplicht van de verantwoordelijke De Wbp verplicht de verantwoordelijke om de betrokkene op eigen initiatief te informeren over de identiteit van de verantwoordelijke en het (duidelijk) aangeven van het doel van de verwerking. De verantwoordelijke zal zich pas “ontslagen” mogen achten van zijn informatieplicht, als hij expliciet weet dat de betrokkene op de hoogte is.

smaragdhorst 207 • 2592 RJ ‘s-Gravenhage • Telefoon: +31 (0)70 3 85 79 80 • Telefax: +31 (0)70 3 85 79 94 • FORTIS bank nr. 80.97.68.054 • KvK nr. ’s-Gravenhage 27242718 • BTW nr. 809838813B01 • Internet: www.magpiesolutions.nl • E-mail: [email protected]

7

4

Rechten en plichten

De betrokkene wordt dagelijks geconfronteerd met het opgeven van personalia, zonder dat deze weet heeft wat er mee gebeurd. Zolang de gegevens worden gebruikt voor het beoogde doel, is er geen onzekerheid. Echter veelal worden de persoonsgegevens gebruikt voor meerdere zaken. Voor bedrijven is het namelijk erg aantrekkelijk om deze gegevens voor andere doeleinden te gebruiken, zowel extern als intern. De gegevens gebruiken voor externe zaken is vaak erg lucratief, denk maar aan marketingdoeleinden. Gegevens voor intern gebruik is bijvoorbeeld als meerdere afzonderlijke afdelingen gebruik maken van dezelfde persoonsgegevens, zoals verzekeringsmaatschappijen, banken e.d. Dat de betrokkene hier geen weet van heeft is te merken aan reacties als: “Hoe komt men aan mijn persoonsgegevens?”.

4.1 Recht op informatie Zoals we zojuist hebben beschreven heeft de betrokkene het recht te weten wat er met zijn persoonsgegevens gebeurt. De verantwoordelijke dient de persoon vooraf te informeren voor welk doel hij de gegevens beheert. Dit informeren kan zowel direct als indirect plaatsvinden. Bij direct informeren dient de verantwoordelijke aan de persoon vooraf kenbaar te maken voor welk doel hij gegevens nodig heeft. Bij indirect informeren dient de verantwoordelijke aan de persoon door middel van informatie in de vorm van bijvoorbeeld een brochure kenbaar te maken voor welk doel de persoonsgegevens benodigd zijn. Zolang de verantwoordelijke niet duidelijk aangeeft wat er met de gegevens gebeurt, kan de betrokkene de verwerking weigeren en is de verantwoordelijke niet gerechtigd de persoonsgegevens te gebruiken.

4.2 Recht op inzage De betrokkene heeft krachtens de Wbp het recht om altijd inzage te verkrijgen in zijn/haar persoonsgegevens. De persoon moet inzage krijgen in hoeverre zijn gegevens worden gehanteerd en worden gebruikt voor het beoogde doel. Niet alleen dient de verantwoordelijke aan te kunnen tonen voor welk doel hij de gegevens gebruikt maar ook welke gegevens hij gebruikt. De verantwoordelijke dient binnen 4 weken de persoon hierover te berichten.

4.3 Recht op verbetering, verwijdering, aanvulling of afscherming Indien de persoon gebruik maakt van het recht van inzage, of dat de persoon op een andere manier officieel inzage heeft verkregen in zijn gegevens en zijn twijfels heeft over deze verwerking, kan de persoon de verantwoordelijke verzoeken om de gegevens te verbeteren, aan te vullen, af te schermen of te verwijderen. Dit wordt ook wel het correctierecht genoemd.

4.4 Recht op verzet Hiermee wordt bedoeld dat de betrokkene recht heeft om bezwaar (verzet) aan te tekenen tegen het gebruik van de persoonsgegevens welke door de verantwoordelijke worden gehanteerd. smaragdhorst 207 • 2592 RJ ‘s-Gravenhage • Telefoon: +31 (0)70 3 85 79 80 • Telefax: +31 (0)70 3 85 79 94 • FORTIS bank nr. 80.97.68.054 • KvK nr. ’s-Gravenhage 27242718 • BTW nr. 809838813B01 • Internet: www.magpiesolutions.nl • E-mail: [email protected]

8

5

Begrippenlijst


College Bescherming Persoonsgegevens (CBP)

Het CBP is een onafhankelijk bestuursorgaan dat toezicht houdt op de naleving van de wetten die het gebruik van persoonsgegevens regelen.


Persoonsgegeven

Elk gegeven betreffende een geïdentificeerde of identificeerbaar natuurlijk persoon.


Verwerking van persoonsgegevens

Elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in elk geval het,


verzamelen vastleggen ordenen bewaren bijwerken wijzigen opvragen raadplegen gebruiken verstrekken door middel van doorzending verspreiden of enige andere vorm van terbeschikkingstelling, samenbrengen met elkaar in verband brengen afschermen, uitwisselen of vernietigen van gegevens

Bestand

Elk gestructureerd geheel van persoonsgegevens, ongeacht of dit geheel van gegevens gecentraliseerd is of verspreid is op een functioneel of geografisch bepaalde wijze, dat vervolgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen.


Formeel juridische zeggenschap

Degene die formeel-juridisch de bevoegdheid heeft om doel en middelen te bepalen of degene aan wie de verwerking naar de maatstaven die in het maatschappelijk verkeer gelden, moeten worden toegerekend.


Verantwoordelijke

De natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. De verantwoordelijke is degene die het doel en de middelen van verwerking vaststelt.


Derde

Ieder, met uitzondering van de betrokkene, de verantwoordelijke, de bewerker, of enig persoon die onder rechtstreeks gezag van de verantwoordelijke of de bewerker gemachtigd is om persoonsgegevens te verwerken.


Bewerker

Degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen.

smaragdhorst 207 • 2592 RJ ‘s-Gravenhage • Telefoon: +31 (0)70 3 85 79 80 • Telefax: +31 (0)70 3 85 79 94 • FORTIS bank nr. 80.97.68.054 • KvK nr. ’s-Gravenhage 27242718 • BTW nr. 809838813B01 • Internet: www.magpiesolutions.nl • E-mail: [email protected]

9




Ontvanger

Degene aan wie de gegevens wordt verstrekt.


Gerechtvaardig belang

Indien persoongegevens moeten worden verwerkt om te komen tot een juiste bedrijfsvoering is er sprake van een gerechtvaardigd (bedrijfs-) belang


Vrijstellingsbesluit

De WBP geeft het recht aanspraak te maken op vrijstelling van aanmelding door middel van het vrijstellingsbesluit. De WBP stelt dat vrijstelling kan worden gegeven indien inbreuk op de rechten en vrijheden van de betrokkene onwaarschijnlijk is.


Betrokkene

Degene op wie een persoonsgegeven betrekking heeft. De wet stelt dat dit altijd gaat om een natuurlijk persoon. Ook de eenmanszaak, en VOF zijn voor de wet gelijkgesteld aan de rechten en plichten van een natuurlijke persoon


Kwaliteitseisen

Het vragen naar persoonsgegevens moet in overeenstemming zijn met het doel waarvoor de gegevens nodig zijn. De informatie welke wordt gevraagd mag niet bovenmatig zijn, moet toereikend en ter zake dienend zijn.


Ondubbelzinnige toestemming

Gegevensverwerking is pas geoorloofd als de betrokken daarvoor zijn ondubbelzinnige toestemming heeft verleend


Transparantie

Indien gegevens buiten de betrokkene om worden verkregen dient deze te allen tijde te worden geïnformeerd.


Informatieplicht

De betrokkene moet bij de verwerking van zijn/haar gegevens op de hoogte zijn.


Rechten van de burger

De Wetgever heeft een aantal rechten voor natuurlijke personen in het leven geroepen, waardoor de persoon zelfcontrole kan uitvoeren bij desbetreffende organisaties. De rechten hebben betrekking op informatie, inzagen, verbetering, verwijdering, aanvulling, afscherming en verzet.




Aanmelden

Het verplicht aanmelden bij College Bescherming Persoongegevens (CBP) van een geheel of gedeeltelijk geautomatiseerde verwerking van persoongegevens of een geautomatiseerde samenhangende bundel van verwerkingen, en een niet geautomatiseerde verwerking of een niet geautomatiseerde samenhangende bundel van verwerkingen die in een bestand opgenomen zijn of bestemd zijn om daarin opgenomen te worden en tevens onderworpen zijn aan een voorgaande onderzoek door het CBP;

smaragdhorst 207 • 2592 RJ ‘s-Gravenhage • Telefoon: +31 (0)70 3 85 79 80 • Telefax: +31 (0)70 3 85 79 94 • FORTIS bank nr. 80.97.68.054 • KvK nr. ’s-Gravenhage 27242718 • BTW nr. 809838813B01 • Internet: www.magpiesolutions.nl • E-mail: [email protected]

10