| begrippen | terug |
|
|||||
| inleiding | voorvragen | overzichtsscherm | algemene vereisten | vrijgestelde categorieën | vrijgestelde combinaties | einde |
WBP
De Wet bescherming persoonsgegevens (WBP) geeft regels voor het verwerken van
persoonsgegevens. De WBP is in werking getreden op 1 september 2001, als opvolger
van de Wpr (Wet persoonsregistraties). De belangrijkste bepalingen uit de WBP
over het-rechtmatig omgaan met persoonsgegevens kunnen als volgt worden samengevat:
De integrale tekst van de WBP is beschikbaar. Om de WBP voor verwerkers van persoonsgegevens toegankelijk te maken is er, in opdracht van het ministerie van Justitie, een 'Handleiding voor het verwerken van persoonsgegevens' geschreven. Beide zijn te vinden op deze website.
CBP
Op de naleving van de WBP wordt toegezien door het College Bescherming Persoonsgegevens
(CBP). Onder de Wpr heette het CBP de Registratiekamer. Het CBP is een onafhankelijk
orgaan dat toezicht houdt op de verwerking van persoonsgegevens. Ook adviseert het
CBP over wettelijke regelingen die betrekking hebben op de verwerking van persoonsgegevens.
Persoonsgegevens
Een persoonsgegeven is volgens de WBP elk gegeven over een geïdentificeerde of
identificeerbare natuurlijke persoon. Een gegeven is dus een persoonsgegeven als
het informatie bevat over een natuurlijke persoon en die persoon identificeerbaar is.
Natuurlijke personen waarvan gegevens worden verwerkt zijn bijvoorbeeld identificeerbaar als hun NAW-gegevens (naam, adres, woonplaats) bekend zijn. In principe zijn alle gegevens die over identificeerbare personen worden verwerkt persoonsgegevens, denk aan:
In het algemeen zijn uitkomsten van statistisch onderzoek niet terug te voeren tot identificeerbare personen, en dus geen persoonsgegevens. Ze vallen derhalve buiten de reikwijdte van de WBP. Gegevens over een rechtspersoon (een BV of een vereniging bijvoorbeeld) zijn in het algemeen ook geen persoonsgegevens.
De verantwoordelijke moet weten wat voor persoonsgegevens hij verwerkt. Het aantal verwerkte gegevens kan afhankelijk van de situatie variëren van minder dan tien tot een veelvoud daarvan.
Verwerken
Onder het verwerken verstaat de WBP elke handeling of elk geheel van handelingen
met betrekking tot persoonsgegevens. Dit is dus een zeer ruim begrip. Handelingen
die er volgens de WBP in ieder geval onder vallen, zijn het verzamelen, vastleggen,
ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, doorzenden,
verspreiden, beschikbaar stellen, samenbrengen, met elkaar in verband brengen,
afschermen, uitwissen en vernietigen van gegevens. Een verwerking kan uit één of
meer van deze handelingen bestaan. Verwerkingshandelingen die in het maatschappelijk
verkeer als een eenheid worden beschouwd, worden gezien als één gegevensverwerking.
Vrijwel altijd zullen gegevens worden verwerkt binnen een groter geheel van verwerkingen
dat functioneel als een eenheid kan worden beschouwd, zoals een personeelsadministratie,
een klachtenregistratie of een regelmatige verstrekking van persoonsgegevens aan
derden. Een dergelijk geheel kan in één melding worden opgenomen.
Handmatige verwerking
Handmatige verwerkingen zijn niet-geautomatiseerde verwerkingen. Louter handmatige
verwerkingen hoeven in beginsel niet te worden gemeld. Daaraan ligt de gedachte ten
grondslag dat handmatige vormen van gegevensverwerking in de regel minder bedreigend
zijn voor de persoonlijke levenssfeer. Voor zover handmatige verwerkingen wel bedreigend
zijn, zijn zij onderworpen aan voorafgaand onderzoek en dienen zij te worden gemeld
bij het CBP.
Verantwoordelijke
De WBP definieert de verantwoordelijke als degene die het doel en de middelen voor
de verwerking van persoonsgegevens vaststelt. De WBP legt aan de verantwoordelijke
een aantal verplichtingen op. Er kunnen bij een verwerking meerdere verantwoordelijken zijn.
Bewerker
Een bewerker is een persoon of organisatie aan wie de verantwoordelijke de gegevensverwerking
heeft uitbesteed, bijvoorbeeld een administratiekantoor. Een bewerker is niet zelfstandig
verantwoordelijk voor de verwerking van de persoonsgegevens, maar heeft wel een aantal
afgeleide verplichtingen voor onder meer beveiliging en geheimhouding van de gegevens.
Betrokkene
Een persoon over wie persoonsgegevens worden verwerkt heet in de WBP de 'betrokkene'.
Een betrokkene is dus iemand over wie de gegevens informatie bevatten. In de Wpr
werd deze persoon aangeduid als de 'geregistreerde'.
Ontvanger
De WBP verstaat onder het begrip ontvanger: degene aan wie de persoonsgegevens
worden verstrekt. Dit kan zowel iemand binnen de eigen organisatie zijn als iemand
daarbuiten. Het begrip moet ruim worden geïnterpreteerd. Er vallen niet alleen personen,
afdelingen of instanties onder die van anderen persoonsgegevens krijgen, maar ook
personen die op basis van hun functie toegang hebben tot de persoonsgegevens.
Degenen die belast zijn met de verwerking van de gegevens
Binnen een organisatie hebben bepaalde personen of afdelingen uit hoofde van hun
taak toegang tot persoonsgegevens. Doorgaans betreft het de personen die belast
zijn met de verwerking van de gegevens. Zo hebben de medewerkers van de afdeling
Marketing toegang tot de klantgegevens, de medewerkers op de afdeling Personeelszaken
toegang tot de personeelsdossiers, en de beveiligingsmedewerkers toegang tot de
beelden van de videocamera's. Als bepaalde medewerkers van een afdeling uit hoofde
van hun taak toegang hebben tot persoonsgegevens die onder het beheer van een andere
afdeling vallen, geldt dat ook zij vallen onder de categorie 'degenen die belast
zijn met de verwerking van de gegevens'.
Leidinggevenden
Leidinggevenden kunnen toegang hebben tot persoonsgegevens voor zover dat noodzakelijk
is om hun leidinggevende taak naar behoren uit te oefenen. Doorgaans betreft het
de direct leidinggevenden van de personen die aangeduid worden als 'degenen die
belast zijn met de verwerking van de gegevens'. Er kan echter ook sprake zijn van
andere leidinggevenden.
Derde
Een derde is een ander dan de betrokkene, de verantwoordelijke, de bewerker, of
enig persoon die onder rechtstreeks gezag van de verantwoordelijke of de bewerker
gemachtigd is om persoonsgegevens te verwerken.
Bijzondere persoonsgegevens
De WBP onderscheidt een aantal soorten 'bijzondere' persoonsgegevens. Het verwerken
van bijzondere persoonsgegevens is alleen toegestaan in een aantal expliciet in
de WBP opgesomde gevallen. Het uitgangspunt is daarbij dat het verbod niet geldt
in die situaties waarin het gebruikelijk en algemeen geaccepteerd is dat de desbetreffende
bijzondere gegevens verwerkt worden. Zo is het normaal dat artsen en ziekenhuizen
medische gegevens verwerken, maar wordt het niet geaccepteerd dat zulke gegevens
in een personeelsadministratie worden opgenomen. De precieze details kunt u desgewenst
nalezen in de tekst van de WBP.
Bijzondere gegevens zijn gegevens over:
De WBP kent een aantal specifieke en een aantal algemene uitzonderingen op het verbod om bijzondere persoonsgegevens te verwerken. Voor gegevens over het seksuele leven en over onrechtmatig of hinderlijk gedrag kent de WBP geen specifieke bepalingen. Verwerking ervan is daarom alleen toegestaan als er sprake is van één van de algemene uitzonderingen.
De algemene uitzonderingen luiden als volgt. Het verbod op verwerking van bijzondere persoonsgegevens geldt niet in de onderstaande gevallen:
Verwerking van bijzondere persoonsgegevens is eveneens toegestaan voor wetenschappelijke of statistische doeleinden, mits er een algemeen belang wordt gediend, de verwerking noodzakelijk is, toestemming vragen ondoenlijk is en de privacy niet te zeer geschonden wordt.
Meldingsplicht en Vrijstellingsbesluit
De WBP bepaalt dat de verantwoordelijke zijn geheel of gedeeltelijk geautomatiseerde
verwerking van persoonsgegevens moet melden aan het CBP. Een handmatige verwerking
van persoonsgegevens hoeft alleen te worden gemeld indien die is onderworpen aan
een voorafgaand onderzoek door het CBP.
De meldingen zorgen voor openheid rond de verwerking van persoonsgegevens. Zij stellen de betrokkenen in staat om na te gaan hoe met hun persoonsgegevens wordt omgegaan en zo nodig gebruik te maken van hun rechten. Ook maken de meldingen een effectief toezicht door het CBP mogelijk. Van een aantal veel voorkomende verwerkingen van persoonsgegevens is het onwaarschijnlijk dat de privacy van de betrokkenen daardoor wordt geschaad. Zij zijn daarom van de meldingsplicht vrijgesteld. Om welke verwerkingen het gaat, is geregeld in het Vrijstellingsbesluit.
Voor alle duidelijkheid: als een verwerking is vrijgesteld van melding zijn de overige bepalingen van de WBP onverminderd van toepassing!
Door wie wordt de melding gedaan?
De melding dient te geschieden door of namens de verantwoordelijke. Zijn er meer
verantwoordelijken, dan moet de melding geschieden door of namens elk van de betrokken
verantwoordelijken. Dit betekent dat de melding door de bewerker of een derde kan
plaatsvinden mits dit geschiedt namens de verantwoordelijke. De bewerker of de
derde zal door de verantwoordelijke moeten zijn gemachtigd.
Bij wie wordt de melding gedaan, CBP of functionaris
voor de gegevensbescherming?
De melding dient te worden gedaan bij het CBP. Als door de verantwoordelijke
of de organisatie waarbij verantwoordelijken zijn aangesloten een functionaris
voor de gegevensbescherming (FG) is aangesteld, kan een melding bij de FG plaatsvinden.
De FG is een interne toezichthouder als bedoeld in artikel 62 tot en met 64
WBP. Hij mag zijn taken uitvoeren als hij door de verantwoordelijke(n) is aangemeld
bij het CBP. Het CBP houdt een
De melding moet echter (al dan niet via de FG ) bij het CBP worden gedaan als de verwerking is onderworpen aan voorafgaand onderzoek.
Doel of doeleinden van de verwerking
Het doel van een gegevensverwerking speelt een belangrijke rol. Persoonsgegevens
mogen alleen voor welbepaalde, vooraf uitdrukkelijk omschreven en gerechtvaardigde
doeleinden worden verzameld en vervolgens alleen verder worden verwerkt voor doeleinden
die daarmee verenigbaar zijn. Een precieze en duidelijke omschrijving van het doel
(of de doeleinden) van de verwerking is van belang, omdat aan de hand van het doel
van de verwerking de hoeveelheid, de soort, de kwaliteit en de bewaartermijn van
de gegevens wordt getoetst.
Doorgifte van persoonsgegevens binnen de Europese Unie
Doorgifte van persoonsgegevens binnen de Europese Unie is toegestaan omdat alle
lidstaten een vergelijkbaar beschermingsniveau bieden.
Doorgifte van persoonsgegevens naar landen buiten de Europese Unie
Persoonsgegevens mogen in beginsel slechts worden doorgegeven aan een land buiten
de EU als dat land een passend niveau van privacybescherming waarborgt. De verantwoordelijke
moet zelf beoordelen of het desbetreffende land buiten de Europese Unie een passend
beschermingsniveau biedt. De verantwoordelijke moet daarvoor eerst nagaan of de Minister
van Justitie heeft bepaald dat een bepaald land buiten de Europese Unie
een passend beschermingsniveau heeft. Dan is doorgifte immers toegestaan.
De Minister van Justitie stelt, naar aanleiding van het besluit van de Europese Commissie hieromtrent, vast in welke landen buiten de Europese Unie een passend beschermingsniveau aanwezig is. Indien de verantwoordelijke persoonsgegevens doorgeeft aan deze landen, is de doorgifte toegestaan. Aangezien de lijst van landen met een passend beschermingsniveau voortdurend aan verandering onderhevig is, wordt de samenstelling van deze lijst hier niet weergegeven. Voor meer informatie over de landen die op de lijst staan wordt hier verwezen naar de desbetreffende bladzijde op deze website.
Indien de verantwoordelijke persoonsgegevens doorgeeft aan een land dat geen lid
is van de Europese Unie en dat geen passend beschermingsniveau waarborgt, is doorgifte
aan strikte voorwaarden gebonden. De doorgifte is in dat geval in principe alleen
toegestaan indien:
Voorafgaand onderzoek
Voor een beperkt aantal categorieën van gegevensverwerkingen vereist de WBP dat er,
voordat de verantwoordelijke met de verwerking start, een onderzoek plaatsvindt:
het voorafgaand onderzoek. Het gaat daarbij om gegevensverwerkingen die specifieke
risico's meebrengen voor de rechten en vrijheden van de betrokkenen.
Als de gegevensverwerking is onderworpen aan een voorafgaand onderzoek moet de verantwoordelijke de gegevensverwerking melden. Bij de melding moet expliciet aangegeven worden dat het gaat om de melding van een gegevensverwerking die aan een voorafgaand onderzoek is onderworpen.
Een voorafgaand onderzoek is vereist als:
De wetgever of de regering kunnen ook andere gegevensverwerkingen aanwijzen die zijn onderworpen aan een voorafgaand onderzoek.
Nader onderzoek
Als de verantwoordelijke de gegevensverwerking meldt, beoordeelt het CBP vervolgens
of het aanleiding ziet een nader onderzoek te starten. Binnen vier weken moet het
CBP dat bepalen. Als het CBP besluit tot een nader onderzoek, moet het dit onderzoek
binnen 13 weken na dat besluit afronden. Het CBP geeft dan een niet-bindende verklaring
af, of naar zijn oordeel de door de verantwoordelijke voorgenomen gegevensverwerking
rechtmatig is. De verklaring is geen vergunning: ook al heeft de verantwoordelijke
een positieve verklaring, hij moet steeds zelf afwegen of de gegevensverwerking
rechtmatig is.
Opschorting van de gegevensverwerking
Als de gegevensverwerking is onderworpen aan een voorafgaand onderzoek, moet de
verantwoordelijke de verwerking opschorten tot het tijdstip waarop het CBP zijn
verklaring afgeeft of meldt dat het geen nader onderzoek start. Als de verantwoordelijke
binnen vier weken na zijn melding geen bericht heeft ontvangen, mag hij er van
uitgaan dat er geen nader onderzoek zal worden gestart. Gegevensverwerkingen die
zijn onderworpen aan een voorafgaand onderzoek en bij de inwerkingtreding van de
WBP al plaatsvonden, hoeven niet te worden opgeschort.
Hieronder zullen de gegevensverwerkingen, die zijn onderworpen aan een voorafgaand onderzoek worden toegelicht.
Persoonlijk identificatienummer
Als de verantwoordelijke voornemens is een persoonsnummer te gebruiken voor
een ander doel dan waarvoor het specifiek is bedoeld, is het mogelijk dat
hij die gegevensverwerking eerst moet voorleggen aan het CBP. Doorgaans heeft
een persoonsnummer tot doel bepaalde verwerkingen met elkaar in verband te
kunnen brengen (te koppelen). Het voorafgaand onderzoek is vereist als de
verantwoordelijke voor zo een koppeling een persoonsnummer gebruikt dat daar
eigenlijk niet voor bestemd is. U moet hierbij denken aan de situatie dat
de verantwoordelijke het sofi-nummer wil gebruiken om de personeelsadministratie
te koppelen aan de administratie van de Arbo-dienst.
Voorzover het gebruik van het persoonsnummer beperkt blijft tot de koppelingen die wettelijk zijn voorgeschreven, hoeft er geen voorafgaand onderzoek door het CBP plaats te vinden. Dit is bijvoorbeeld het geval indien de Sociale Dienst het sofi-nummer gebruikt bij de koppeling met de Belastingdienst.
Heimelijke waarneming
De WBP kent als een van zijn basisprincipes dat de gegevensverwerking voor de
betrokkene kenbaar moet zijn. De verantwoordelijke is daarom ook verplicht om
bij het vergaren van persoonsgegevens de betrokkene te informeren over zijn identiteit
en de doeleinden van verwerking. De WBP kent een aantal uitzonderingen op dit uitgangspunt.
Als de verantwoordelijke echter voornemens is gegevens te verzamelen en te verwerken door middel van eigen waarneming, zonder dat hij de betrokkene daarvan op de hoogte stelt, moet hij die verwerking voorleggen aan het CBP. Daarmee wordt een extra controle ter bescherming van de persoonlijke levenssfeer van de betrokkene ingebouwd. U moet hierbij denken aan de situatie dat de verantwoordelijke gegevens van personen verzamelt door het gebruik van een videocamera of een ander middel om personen te observeren, waarvan het gebruik niet bekend is gemaakt. Het gaat om situaties waarin heimelijk wordt geobserveerd en de op die wijze verzamelde gegevens worden verwerkt (vastgelegd) zonder dat de betrokkenen daarover worden geïnformeerd. Deze situaties zullen zich met name voordoen in het kader van particuliere recherche-activiteiten of daarmee vergelijkbare activiteiten. Als het gaat om waarnemingen om het gebruik van computer of telefoon door werknemers te controleren is geen voorafgaand onderzoek nodig, indien de ondernemingsraad zijn instemming heeft verleend voor een dergelijke controle.
Strafrechtelijke gegevens en gegevens over hinderlijk of onrechtmatig gedrag
Strafrechtelijke gegevens en gegevens over hinderlijk of onrechtmatig gedrag
waarvoor een verbod is opgelegd, zijn 'bijzondere gegevens' in de zin van
de WBP. Bij de gegevens die hier bedoeld worden, moet u denken aan informatie
over opgelegde verboden, zoals een straatverbod of een caféverbod.
Het uitgangspunt is dat de verantwoordelijke bijzondere gegevens niet mag
verwerken, tenzij een uitzondering van toepassing is (zie daarvoor de Handleiding
WBP van het Ministerie van Justitie). Zo mogen maar een beperkt aantal personen
strafrechtelijke gegevens of gegevens over hinderlijk of onrechtmatig gedrag
verwerken. Daaronder vallen ook particuliere recherchebureaus en beveiligingsorganisaties,
mits zij een vergunning hebben.
Als de verantwoordelijke van plan is om strafrechtelijke gegevens en gegevens
over hinderlijk of onrechtmatig gedrag te gaan verwerken voor een ander en
hij beschikt niet over een vergunning voor een particuliere beveiligingsorganisatie
of een recherchebureau, dan is hij verplicht om een voorafgaand onderzoek
te laten instellen door het CBP.
Dat geldt echter alleen als die verwerking plaatsvindt ten behoeve van een
derde, dus wanneer de verantwoordelijke dat niet voor zichzelf doet, maar
voor een ander. Wanneer hij incidenteel voorvallen meldt bij politie en justitie,
is een voorafgaand onderzoek niet vereist.
Als blijkt dat de verwerking is onderworpen aan een voorafgaand onderzoek, moet de gegevensverwerking worden gemeld bij het CBP, óók als voor de organisatie een functionaris voor de gegevensbescherming (FG) is aangesteld. De FG is namelijk niet bevoegd voorafgaande onderzoeken uit te voeren. In veel gevallen zal echter de melding toch aan de FG kunnen worden gestuurd, aangenomen dat de FG de melding naar het CBP doorstuurt. Bij de betrokken FG kan worden geïnformeerd wat in een bepaald geval de beste werkwijze is.
| begrippen | terug |
|
|||||
| inleiding | voorvragen | overzichtsscherm | algemene vereisten | vrijgestelde categorieën | vrijgestelde combinaties | einde |