Regels voor de verwerking van persoonsgegevens Wat mag en wat mag niet met persoonsgegevens? Wanneer is toestemming nodig? Hoelang mogen persoonsgegevens worden bewaard? Gerrit-Jan Zwenne
'Advocaten weten dat ze fout zitten' Justitie vervolgt een handelsinformatiebureau dat wordt beschouwd als een criminele organisatie. Maar ook de opdrachtgevers gaan niet vrijuit, vindt het College bescherming persoonsgegevens. DEN HAAG, 5 SEPT. Het College bescherming persoonsgegevens (CBP) in Den Haag kan er kort over zijn. ,,Heel advocatend Nederland'' maakte de afgelopen jaren gebruik van de diensten van het handelsinformatiebureau in Zoetermeer. De gegevensmakelaar had zich gespecialiseerd in het opsporen van persoonlijke informatie over mensen met schulden of een strafblad, van wie de schuldeisers sofinummers wilden achterhalen, bankrekeningen, uitkeringen, inkomens, huur- of belastingschulden, autobezit, of zelfs criminele antecedenten. 'Verhaalsinformatie' wordt het wel genoemd: gegevens waarmee overheden, advocaten, banken, deurwaarders of verzekeraars hun uitstaande schulden kunnen verhalen.
wat mag met persoonsgegevens... • er moet sprake zijn van een verwerkingsgrond – toestemming, overeenkomst, gerechtvaardigd belang
Art. 8 WBP
• alléén verzamelen voor welbepaald doel – gerechtvaardigd, én – uitdrukkelijk omschreven
Art. 7 WBP
• niet verwerken voor onverenigbaar doel – doelbinding
Art. 9 WBP
• gegevens niet langer bewaren dan nodig
Art. 10 WBP
verwerking is toegestaan... • met ondubbelzinnige toestemming – ondubbelzinnig
› enkele aanvaarding van instemmingsbepaling in algemene voorwaarden is niet toereikend
– eerst informeren, dan toestemming vragen
› ‘informed consent’ – intrekken is ‘te allen tijd’ mogelijk
› maar dan kan de dienst (o.i.d.) misschien niet worden verleend…
– vrijwillig gegeven
› kan niet worden verondersteld in arbeidsverhoudingen! Art. Art. 8(a) 8(a) jo jo 1(i) 1(i) én én 55 -2 -2 WBP WBP
toestemming van minderjarigen • betrokkene jonger dan zestien jaren – of onder curatele of mentorschap
• toestemming wettelijk vertegenwoordiger vereist – i.p.v. van betrokkene Art. Art. 55 -1 -1 WBP WBP
e c i t o N y c a v i r P m o c . n o z a m A ctober 4, 2004 Last updated O
?
bout you is a n o ti a rm fo in w o you care h t a th s l do so w il o w n k e w m t o a .c n th o t z s a u m tr A ciate your re p p a e w d n A licy. By . o d p re y a c a h s v ri d p n r a u d o e s s u ce describe ti o n is h T . ly ib s n e ractices p e h t g in carefully and s t p e c c you are a , m o .c n o z a m a visiting olicy. P y c a iv r P is h t described in Does s r e m o t s u C t u o ation Ab m r o f n I l a n o s r e What P ther? onalize rs e p s u lp e h rs e Amazon.com Ga our custom m o fr rn a le e w n rience at e p The informatio x e g in p p o h s r prove you gather: e w n o ti a and continually im rm fo in f the types o re a re e ny information H a . re m o o st .c d n n a e iv ce Amazo e Us : We re ou Giv – Information Y ebsite… rtain types of … ce re o st you enter on our w d n a e iv ation: We rece rm fo n I c ti a m to – Au
I have a recurring nightmare. Microsoft CEO Steve Balmer shows up on my doorstep demanding my left kidney, kidney claiming that I agreed to this in some “clickwrap” contract… Bron: Wired Magazine 10/2004
verwerking is ook toegestaan... • uitvoering van overeenkomst – incl. ‘onderhouden normale klantrelatie’
• wettelijke verplichting – informatieplicht van banken en werkgevers aan fiscus
› bijv. art. 53 AWR
• ter vrijwaring vitale belangen – levensbedreigende situaties
› maar niet ter voorkoming van faillisement! Art. Art. 8(b)-(d) 8(b)-(d) WBP WBP
verwerking is verder toegestaan... • publiekrechtelijke taak bestuursorgaan – bijv. informatiebevoegdheid belastinginspecteur
• ter behartiging van een gerechtvaardigde belang van de verantwoordelijke… tenzij het privacy-belang van de betrokkene prevaleert – – – –
direct marketing fraudebestrijding voorkomen overkreditering (‘credit score’) enz. Art. Art. 8(e)-(f) 8(e)-(f) WBP WBP
proportionaliteit & subsidiariteit • privacyinbreuk niet onevenredig in verhouding met het doel waarvoor wordt verwerkt • verwerking alleen als verwerkingsdoel niet op andere (minder belastende wijze) kan worden bereikt
verzamelen • welbepaald, gerechtvaardigd en uitdrukkelijk omschreven doel – géén blanco volmacht
› dus niet ‘verantwoorde bedrijfsvoering’ maar bijvoorbeeld “...administratie t.b.v. betalingen en inning van vorderingen, daaronder mede begrepen het in handen van derden stellen van vorderingen..”
– van te voren vastgelegd
› › › ›
bijv. in het CBP-meldingsformulier en/of in de ‘Corporate Privacy Policy’ of in een privacy statement enz.
Art. Art. 77 WBP WBP
• verwerking niet onverenigbaar met verzameldoeleinden
#
doelbinding
– verwantschap verzameldoel en verwerking – aard van de gegevens
› financieel, gezondheid, handicap, etniciteit enz.
– gevolgen van verwerking
› abonnementsweigering of wetenschappelijk onderzoek..?
– wijze van gegevensverkrijging
› van betrokkene zelf of van derden?
Art. Art. 99 WBP WBP
bewaren • gegevens bewaren zolang nodig t.b.v. de doeleinden waarvoor ze zijn informatieblad informatieblad bewaartermijnen verzameld bewaartermijnen CBP CBP • bewaartermijnen – zolang er claims mogelijk zijn
› 5 jaar (art. 3:306 e.v. Bw) › 2 jaar (7:23-2 Bw) – wettelijke administratieplichten
› 7 jaar (art. 52 -4 Awr) – niet gemelde personeels- en salarisadministratie
› 2 jaar (art. 8 en 9 Vrijstellingsbesluit) Art. Art. 10 10 WBP WBP
beveiligen • passende technische en organisatorische maatregelen • maatregelen garanderen een passend beveiligingsniveau – rekening houdend met stand van techniek en kosten van tenuitvoerlegging – gelet op risico’s die verwerking en aard van te beschermen gegevens met zich meebrengen
• mede gericht op voorkoming onnodige verzameling en verdere verwerking Art. Art. 13 13 WBP WBP
Data protection watchdog distributes email mailing list 29-10-2004 The Dutch Data Protection Authority (Dutch DPA), which supervises the compliance with acts that regulate the use of personal data, was rather redfaced this week when it sent out a newsletter with all of the recipients in the Cc: field instead of the Bcc: field. DPA's news letter goes out to 4000 subscribers. The DPA, which supervises the compliance with the Dutch Personal Data Protection Act was lucky that 'only' a thousand subscribers received the letter, but it managed to make the mistake twice. In a message it apologised for sending the first letter, again putting all recipients to the Cc list, so a second apology had to be sent.
geautomatiseerde besluitvorming • geautomatiseerde gegevensverwerking – bestemd om beeld te krijgen van bepaalde aspecten van persoonlijkheid van betrokkene, én – met rechtsgevolgen die de betrokkene in aanmerkelijke mate treffen
• alléén toegestaan als – beslissing wordt genomen in het kader van sluiten of uitvoeren van overeenkomst
› verzoek van de betrokkene is › ›
voldaan, of passende maatregelen ter bescherming van zijn gerechtvaardigd belang, of wettelijke waarborgen
• informatieplicht – logica die ten grondslag ligt aan geautomatiseerde verwerking van betreffende gegevens
Art. Art. 42 42 WBP WBP
voorbeelde n
kkrreeddie iettw waaaarrddig ighheeid id ((‘c ‘crreedditit ssccoorre’) e’) bbeettrroouuw wbbaaaarrhheeid idss-aannaaly lyssee hhuuuurrssuubbssid idie ie,, ssttuuddie ieffin inaannccie ierrin ingg eennzz..
extra beperkingen voor « bijzondere gegevens » • • • • • • • •
levensovertuiging of godsdienst politieke gezindheid lidmaatschap vakbond ras seksuele leven gezondheid strafrechtelijke gegevens (e.d.) én sofinummer Art. Art. 16 16 WBP WBP Art. Art. 24 24 WBP WBP
verwerking « bijzondere gegevens » • verwerking van bijzondere gegevens is verboden, tenzij – met uitdrukkelijke toestemming (enz.), of – door bepaalde verwerkers en voor bepaalde doeleinden – enz... Art. Art. 16 16 t/m t/m 24 24 WBP WBP
« gegevens betreffende ras » verwerking mag • voorzover onvermijdelijk ter identificatie • voorzover nodig i.v.m. positieve discriminatie – alleen gegevens betreffende geboorteland van de betrokkene, van diens ouders of grootouders, – dan wel andere, bij wet vastgestelde criteria
› o.g.v. objectief kan worden bepaald of iemand tot een ›
minderheidsgroep behoort, en geen schriftelijk bezwaar van betrokkene Art. Art. 20 20 WBP WBP
pasfoto in personeelsdossier? intranet smoelenboek?
« gezondheidsgegevens »extra extra beperkingen voor voor verwerking mag tochbeperkingen erfelijkheidserfelijkheidsgegevens gegevens
• hulpverleners en instellingen voor gezondheidszorg of maatschappelijke dienstverlening – voor zover nodig voor goede behandeling of verzorging van de betrokkene – dan wel het beheer van de instelling of beroepspraktijk
• verzekeraars – voor beoordeling van verzekerde risico
› mits de betrokkene geen
• reclassering, raad voor kinderbescherming of voogdij-instellingen e.d. – voor zover nodig voor uitvoering van wettelijk taken
• bestuursorganen, pensioenfondsen, werkgevers e.d. – uitvoering wettelijke voorschriften, pensioenregelingen of cao’s enz. – reïntegratie van werknemers of uitkeringsgerechtigden i.v.m. ziekte of arbeidsongeschiktheid
bezwaar heeft gemaakt
– uitvoering verzekeringsovereenkomst
Art. Art. 21 21 WBP WBP
« vakbondslidmaatschap » verwerking mag toch • door de betreffende vakbond of de vakcentrale – voor zover dat gelet op de doelstelling van de vakbond of centrale noodzakelijk is – derdenverstrekking alléén met toestemming van betrokkene Art. Art. 20 20 WBP WBP
« strafrechtelijke gegevens e.d. » ‘harde’ ‘harde’ en en ‘zachte’ verwerking mag toch gegevens! ‘zachte’ gegevens!
• organen die krachtens de wet zijn belast met de toepassing van het strafrecht – politie, justitie enz.
• verantwoordelijken die gegevens hebben krachtens Wpolr of WJD • ten behoeve van derden – part. recherchebureau’s – concernverband – passende specieke waarborgen en voorafgaand onderzoek
› bijv. incidentenregisters
• verantwoordelijke die de gegevens ten eigen behoeve verwerkt – ter beoordeling van een verzoek van betrokkene om een beslissing over hem te nemen of aan hem een prestatie te leveren – bescherming van zijn belangen voor zover het gaat om strafbare feiten die tegen hem zijn gericht Art. Art. 22 22 WBP WBP
« bijzondere gegevens » verwerking mag hoe dan ook • uitdrukkelijke toestemming – wilsuiting in woord, schrift of gedrag tot uitdrukking gebracht
• gegevens door betrokkene duidelijk openbaar gemaakt • vaststelling, uitoefening of verdediging in rechte • volkenrechtelijke verplichting • zwaarwegend algemeen belang – passende waarborgen, én – bij wet wordt bepaald of ontheffing Cbp
Art. Art. 23 23
• verwerkingen t.b.v. wetenschappelijk onderzoek – onderzoek algemeen belang dient, én – verwerking voor betreffende onderzoek of statistiek noodzakelijk, én – uitdrukkelijke toestemming is onmogelijk of kost onevenredige inspanning, én – zodanige waarborgen dat de privacy van betrokkene niet onevenredig wordt geschaad
let op! persoonsnummers mogelijkheden
• nummer dat ter identificatie van betrokkene bij wet is voorgeschreven
van art. 23 gelden niet!
– sociaal fiscaal nummer (‘sofi-nr’) – burgerservice-nummer
• alléén gebruiken ter uitvoering van betreffende wet dan wel voor doeleinden bij de wet bepaald – belastingheffing enz.
• besluit gebruik sociaal fiscaal nummer – Stb. 2001, 687
Art. Art. 24 24
transparantie • verantwoordelijke
• betrokkene – kennisnemingsrecht
› max. vergoeding €4,50
– verbeteringsrecht – verzetsrecht
› relatief › absoluut
Art. Art. 35 35
– meldingsplicht – inlichtingenplicht
› ‘logica van het
Art. Art. 39 39 Art. Art. 36 36
›
systeem’ protocolplicht
Art. Art. 40 40 Art. Art. 41 41
Art. Art. 27 27 Art. Art. 30 30 Art. Art. 33 33 Art. Art. 34 34 Art. Art. 42 42
plicht plicht tot tot juist juist vastvaststellen stellen identiteit identiteit van van degene degene die die verzoek verzoek om om kennisneming kennisneming doet doet
Art. Art. 38 38
uitzonderingen transparantie • doelbinding • inlichtingenplicht • kennisnemingsrechten
Art. Art. 9-1, 9-1, 30-3 30-3 en en 33 33 t/m t/m 35 35 jo jo 43 43 WBP WBP
niet van toepassing als dat nodig is i.v.m. –– staatsveiligheid staatsveiligheid –– voorkoming, voorkoming, opsporing opsporing en en vervolging vervolging van van strafbare strafbare feiten feiten –– gewichtige gewichtige economische economische en en financiële financiële belangen belangen van van de de staat staat e.d. e.d. –– bescherming bescherming van van betrokkene betrokkene of of van van rechten rechten en en vrijheden vrijheden van van anderen anderen
›› incl. incl. verantwoordelijke verantwoordelijke
dexia • uitleg kennisnemingsrecht van art. 35 Wbp – niet overeenkomst en aankoopbewijzen
› maar slechts volledig overzicht persoonsgegevens
– niet opnames van telefoongesprekken – wél risicoprofiel en creditscore
• belangenafweging i.d.z.v. art. 43 b Wbp – belang verantwoordelijke, vs belang betrokkene
“… “… de de kosten kosten van van de de beantwoording beantwoording van van al al deze deze verzoeken verzoeken enkele enkele honderdduizenden honderdduizenden euro’s euro’s bedragen bedragen en en haar haar reeds reeds ernstig ernstig in in haar haar bedrijfsbedrijfsvoering voering belemmeren. belemmeren. [Dexia] [Dexia] heeft heeft daarmee daarmee voldoende voldoende aannemelijk aannemelijk gemaakt gemaakt dat dat door door de de inwilliging inwilliging van van deze deze verzoeken verzoeken de de administratieve administratieve lasten lasten zodanig zodanig disproportioneel disproportioneel zijn zijn dat dat zij zij in in haar haar economische economische rechten rechten en en vrijheden vrijheden wordt wordt aangetast aangetast of of dreigt dreigt te te worden worden aangetast. aangetast. Daartegenover Daartegenover heeft heeft verzoeker verzoeker desgevraagd desgevraagd onvoldoende onvoldoende specifiek specifiek belang belang bij bij de de door door hem hem gevraagde gevraagde gegevens gegevens naar naar voren voren gebracht…” gebracht…” Rb Rb Utrecht Utrecht 12 12 januari januari 2005 2005 LJN LJN AS2127 AS2127
meldplicht • geheel of gedeeltelijk geautomatiseerde verwerking – Meldingsformulier College Bescherming Persoonsgegevens
› naam en adres verantwoordelijke › doeleinden, bewaartermijn enz.
• vrijstelling – privacyinbreuk is onwaarschijnlijk – Voor de in het Vrijstellingsbesluit opgenomen verwerkingen
Meldingsformulier Verwerking persoonsgegevens Vraag 4 Wat meldt u aan? 4.1 Hoe luidt de naam of de omschrijving van de verwerking van persoonsgegevens? …………………………………………………………………………… …………………………………………………………………………… Vraag 5 Doel van de verwerking 5.1 Voor welk doel of voor welke samenhangende doeleinden verwerkt de verantwoordelijke persoonsgegevens? 1. …………………………………………………………………………… 2. …………………………………………………………………………… 3. ……………………………………………………………………………
openbaar meldingenregister www.cbpweb.nl/.../meldreg.stm
A Alb lbe ert rt H He eij ijn nB B.V .V.. M Me eld ldin ing gsn snu um mm me err N Naa aam m ve verw rwe erk rkin ing g V Ve era ran ntw two oo ord rde elij lijke ke(n (n))
1 12 23 39 97 76 62 2 ze zelf lfsc scan ann nin ing g
N Naaaam mA Alb lber ertt H He eijn ijn B B.V .V.. A d re Adress p ro vi p n rovinci cial ale ew we eg g1 D 11 11 15 Do 50 oe 06 el( 6M l(e MA en AZ n)) va Zaaaan van n ve nd daam verw m rwe in erk g rking D ve De e verw rwe erk g rkin ing va p van e rs n o persoo on nsg sge eg ge eve fi ven nss te filia telk liaal lke aln en niv nss o ivea eau op p u D De en nie iett-an ano on nie iem me eA AH HB Bo on nu usk skaa aart rth d ho ou ud de de o eb ers d rs in bo oodsc in st staa sch aatt st hap e app n ste pen d ie elle llen h d ij n ie b ij h ij b e b p ij aa b e ld p e aa te A ld H e fi te sc A lia H n scan le e fi n annen lia d le o e n n,, e t ve d ze en o rv n vervo et zelf lf olg lge en nss m me ete tee en n af te af re te ke n re A e ke n n AH e H in n aa in st t staat st ste elle llen nh he ett ze zelf lfsc scan ann nin ing ve g sy syst vera ste ran ee em ntw o mo two rd op oorde p ew e wijz , ijz o .a e . , h o e .a t . co h e n t tr co o le n e re tr e o n n le d een st re o o n r d ste o ee ro o ekp rm kproe mid idd eff n de ell va naaaarr aaaan van n le id n in le g id va in n g g va ze e b n lf ru g sc zelfscan ik e b va ru ik in n ann g va n d in n o o g r d d o e o r d e de desb B sbe etr tre Be etr eff tro ffe en okk nd kke de en e kl ne klan e(n (n)) antt in in h he ett ve verl rle ed de en n A Alb t lber ert H He eijn ijn kl an klante ten nd die ie P Pe ers rso d oo on nsg sge dee eeln eg ge lnem eve ven emen nss en aa h aan n het et -o ze m sc -o zelf an h m lfsc ri scann schrijv nin jvin ing ing gsy g:: sc syst ste scaan ee em m ng ge eg ge eve ven nss kl klaan ntt -v -ve erz rzaam e ld meldo oe el: l: aafr e ke freken ne en nd do oo orr kl klaan co ntt e com en n mp pu ute terg rge est stu uu urd rde e st ks ste p ee e ro ks e fg p ro e w e fg ijz e e wijze co -O con ntr -Om tro ole msc le sch hri rijv jvin ing g:: n naw aw-g -ge eg ge eve s ven ns
http://weblog.leidenuniv.nl/users/zwennegj