Melden en vrijstellingen 
 

Informatieblad nummer 13, februari 2012

Dit informatieblad is bestemd voor de verantwoordelijke, dat is degene die voor eigen doeleinden persoonsgegevens gebruikt.

In dit informatieblad vindt u het antwoord op de volgende vragen:

De Wet bescherming persoonsgegevens (Wbp) geeft regels voor de verwerking van persoonsgegevens. Op basis van de Wbp moet een verwerking worden gemeld bij het College bescherming persoonsgegevens (CBP) of bij de functionaris voor de gegevensbescherming (FG), tenzij de verwerking is vrijgesteld van melden. Dit informatieblad helpt u onder meer bij het beantwoorden van de vraag of u een bepaalde verwerking van persoonsgegevens bij het CBP moet melden en zo ja, hoe u dat moet doen.

pdf document lees het volledige informatieblad (336 KB)

Verwerken van persoonsgegevens
Onder het verwerken van persoonsgegevens verstaat de Wbp elke handeling of elk geheel van handelingen met betrekking tot die persoonsgegevens. Het is dus een zeer ruim begrip. De Wbp noemt een aantal handelingen die als verwerking worden aangeduid: het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, beschikbaar stellen, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen en vernietigen van gegevens.

Een verwerking kan uit een of meer van deze handelingen bestaan. Verwerkingshandelingen die in het maatschappelijk verkeer als een eenheid worden beschouwd, worden gezien als één gegevensverwerking. Zo wordt bijvoorbeeld een cliëntenadministratie of een klachtenregistratie als één gegevensverwerking beschouwd.

Doel van het melden
Meldingen van gegevensverwerkingen zorgen voor openheid en daarmee controleerbaarheid voor de betrokkenen. Dat zijn de personen van wie verantwoordelijken gegevens gebruiken. De meldingen stellen betrokkenen in staat om zo nodig gebruik te maken van hun rechten. Informatie over welke rechten een betrokkene heeft, kunt u vinden in het informatieblad Rechten van de betrokkene. Ook maken meldingen een effectiever toezicht door het CBP mogelijk, omdat het CBP via een melding bijvoorbeeld kan controleren of een verantwoordelijke gegevens verwerkt overeenkomstig de doeleinden die vóór de verwerking zijn geformuleerd.

Melden of niet-melden van een gegevensverwerking
U moet uw geheel of gedeeltelijk geautomatiseerde gegevensverwerking melden bij het CBP of de FG. Een handmatige gegevensverwerking hoeft u in beginsel niet te melden. Dit is alleen anders als uw handmatige gegevensverwerking is onderworpen aan een voorafgaand onderzoek (VO). Het gaat daarbij om verwerkingen die naar het oordeel van de wetgever een bijzonder risico inhouden voor de persoonlijke levenssfeer van betrokkenen. Bij een melding kunt u aangeven of een VO in uw geval noodzakelijk is. Zie verder het informatieblad Voorafgaand onderzoek.

De verplichting een gegevensverwerking te melden is niet van toepassing op openbare registers die bij wet zijn ingesteld, zoals het handelsregister van de Kamer van Koophandel en het Kadaster. Ook voor verstrekkingen van persoonsgegevens aan een bestuursorgaan vanwege een wettelijke verplichting bestaat geen meldingsplicht. Van de meldingsplicht zijn ook vrijgesteld de verwerkingen die in het Vrijstellingsbesluit staan beschreven.

Stappenplan melden of niet-melden

  • Maak een inventarisatie van alle verwerkingen van persoonsgegevens binnen uw organisatie en beoordeel per gegevensverwerking of er een meldingsplicht is.
  • Aan de hand van de Handreiking Vrijstellingsbesluit (HVB) kunt u nagaan of een verwerking is vrijgesteld van melden.
  • Eén bepaalde verwerking van persoonsgegevens kan zijn vrijgesteld, terwijl een andere verwerking dat niet is. De wetgever heeft de verantwoordelijkheid voor de beslissing omtrent melden bij u als verantwoordelijke neergelegd.
  • Het CBP geeft geen advies of u wel of niet moet melden. Indien u twijfelt, raadt het CBP aan om uw verwerking vrijwillig te melden.

Let op: in geval van vrijstelling van de meldingsplicht zijn de overige regels van de Wbp gewoon van toepassing!

Vrijstellingsbesluit
De verwerkingen die staan beschreven in het Vrijstellingsbesluit zijn vrijgesteld van de meldingsplicht. De vrijstellingen hebben betrekking op verwerkingen die veel voorkomen, die standaard zijn, die met waarborgen omkleed zijn en waarvan algemeen bekend is dat deze plaatsvinden. Zo zullen leden van een sportvereniging in het algemeen ervan op de hoogte zijn dat hun gegevens vastgelegd worden in een ledenadministratie, die de vereniging gebruikt voor het innen van contributie, het organiseren van verenigingsactiviteiten en het verzenden van een clubblad. Ook gegevensverwerkingen op het gebied van bijvoorbeeld de gezondheidszorg kunnen vrijgesteld zijn van melden. Een voorbeeld hiervan is de patiëntenadministratie van een individuele hulpverlener. Voor patiënten is het vanzelfsprekend dat hun gegevens in een administratie opgenomen worden. Daarom hoeven bijvoorbeeld huisartsen, tandartsen en fysiotherapeuten hun gegevensverwerkingen in het algemeen niet te melden.

Beoordelen gegevensverwerking
Verwerkingen zijn niet vrijgesteld als:

  • er meer dan één verantwoordelijke is;
  • er gegevens naar landen buiten de Europese Unie worden doorgegeven, tenzij aan bijzondere voorwaarden is voldaan (zie hiervoor de Handreiking Vrijstellingsbesluit);
  • een gegevensverwerking specifieke risico’s kent en daarom een voorafgaand onderzoek nodig is (zie hiervoor het informatieblad Voorafgaand onderzoek).

Is een of meer van bovenstaande situaties van toepassing op uw verwerking, dan moet u deze melden.
U bent dan klaar met de beoordeling van de verwerking. Geldt dit niet voor u, dan kunt u de overige vragen uit de HVB beantwoorden om te beoordelen of uw verwerking is vrijgesteld.

U kunt de volgende vragen verwachten:

  • Wie is/zijn de verantwoordelijke(n)?
  • Wat is het doel van de gegevensverwerking?
  • Van welke (categorieën) personen worden gegevens verwerkt?
  • Welke (categorieën) gegevens worden verwerkt?
  • Wie ontvangen gegevens uit de verwerking?
  • Hoe lang worden gegevens bewaard?
  • Worden persoonsgegevens doorgegeven naar landen buiten de Europese Unie?
  • Moet het CBP een VO instellen naar de verwerking?
Let op: komt u tot de conclusie dat u uw gegevensverwerking niet hoeft te melden, dan kunt u alsnog verplicht zijn deze te melden als er iets in uw situatie verandert.


Soorten vrijstellingen
Hieronder volgt een opsomming van vrijgestelde categorieën verwerkingen. Komt uw gegevensverwerking niet in de lijst voor, dan bent u zeker meldingsplichtig. Staat uw gegevensverwerking in de lijst, dan kunt u met behulp van de HVB en/of het Vrijstellingsbesluit bepalen of uw specifieke verwerking aan de criteria voor vrijstelling voldoet en dus daadwerkelijk is vrijgesteld van melden. Let op: staat uw gegevensverwerking in de lijst, dan wil dit dus nog niet zeggen dat u automatisch een vrijstelling hebt!

Vrijgestelde verwerkingen

Paragraaf 1. Lidmaatschap en begunstiging

  1. Verenigingen, stichtingen en publiekrechtelijke beroepsorganisaties
  2. Genootschappen op geestelijke grondslag

Paragraaf 2. Arbeid en pensioen

  1. Sollicitanten
  2. Uitzendkrachten
  3. Personeelsadministratie
  4. Salarisadministratie
  5. Uitkering bij ontslag 8. Pensioen en vervroegde uittreding

Paragraaf 3. Goederen en diensten

  1. Abonnementen
  2. Debiteuren en crediteuren
  3. Afnemers en leveranciers
  4. Huur en verhuur
  5. Juridische dienstverleners en accountants

Paragraaf 4. Zorg en welzijn

  1. Individuele gezondheidszorg
  2. Verzorgingshuizen en verpleeghuizen
  3. Kinderopvang

Paragraaf 5. Onderwijs

  1. Leerlingen, deelnemers en studenten
  2. Leerplicht
  3. Leerlingenvervoer

Paragraaf 6. Overheid

  1. Vergunning en melding
  2. Decentrale belastingen
  3. Reisdocumenten
  4. Grafrechten
  5. Naturalisatie
  6. Naamswijziging
  7. Dienstplicht

Paragraaf 7. Archieven en onderzoek

  1. Archiefbestemming
  2. Wetenschap, onderzoek en statistiek

Paragraaf 8. Beheer en beveiliging

  1. Documentenbeheer
  2. Netwerksystemen
  3. Computersystemen
  4. Communicatieapparatuur
  5. Toegangscontrole
  6. Overig intern beheer
  7. Bezoe eratoezicht

Paragraaf 9. Overige verwerkingen

  1. Bezwaarschriften en gerechtelijke procedures
  2. Registers en lijsten
  3. Oud-leden en oud-leerlingen
  4. Communicatiebestanden

Melden: wanneer en wie?
Bent u tot het oordeel gekomen dat u een nieuwe gegevensverwerking moet melden, dan dient u de melding te doen vóór u met verwerken begint en dus ook voordat u gegevens gaat verzamelen. Een melding van een verwerking van persoonsgegevens moet gedaan worden door de verantwoordelijke. Volgens de Wbp is dit degene die het doel van en de middelen voor de verwerking vaststelt. Iemand anders kan ook melden, mits dit gebeurt namens de verantwoordelijke. Als er meer verantwoordelijken zijn, dient de melding door of namens elk van hen te worden gedaan. In de praktijk houdt dit in dat een van de verantwoordelijken namens de andere betrokken verantwoordelijken kan optreden. Die verantwoordelijke moet dan wel over een machtiging van de andere verantwoordelijken beschikken.

Melden bij de functionaris voor de gegevensbescherming
Als voor uw organisatie of branche een functionaris voor de gegevensbescherming (FG) is aangesteld en deze is gemeld bij het CBP, kunt u de melding bij de FG doen. U hoeft uw verwerking dan niet te melden bij het CBP. Melden bij de FG kan echter alleen als er geen VO nodig is. Speciaal voor FG's is een aparte versie van het Wbp-meldingsprogamma beschikbaar. Verder is het geheel aan uw organisatie om te bepalen hoe deze het meldingsproces inricht, mits uw organisatie de wettelijke regels daarbij in acht neemt. Zie verder het informatieblad Functionaris voor de gegevensbescherming.

Melden bij het CBP: met meldingsprogramma of formulier
Melden bij het CBP is mogelijk op twee manieren: elektronisch via het Wbp-meldingsprogramma of op papier via het Wbp-meldingsformulier. Met het Wbp-meldingsprogramma verstuurt u uw melding via e-mail. U kunt met het programma uw (toekomstige) wijzigingen beheren en meerdere meldingen tegelijk doen. In het Wbp-meldingsprogramma vindt u tevens de HVB, waarmee u kunt nagaan of een gegevensverwerking vrijgesteld is van melding bij het CBP. De HVB is ook online beschikbaar. Het CBP is niet aansprakelijk voor eventuele problemen bij en/of schade ontstaan door het installeren van het Wbp-meldingsprogramma en/of door het gebruik ervan.

Lukt het u niet om het meldingsprogramma te downloaden of ondervindt u andere problemen met het programma, gebruik dan het Wbp-meldingsformulier. U kunt het formulier downloaden via de CBP-website of een papieren formulier aanvragen via telefoonnummer 070-8888 500 (bereikbaar op werkdagen van 8:30 uur tot 17:00 uur).

Melden op de juiste manier
Het CBP kan uw melding alleen accepteren als u die op de voorgeschreven manier heeft gedaan. Zo neemt het CBP via e-mail verstuurde meldingen zonder een ingevuld en ondertekend authenticatieformulier niet in behandeling (dit formulier vindt u in het Wbp-meldingsprogramma). Ook moet alle informatie binnen het meldingsprogramma of op het meldingsformulier zelf zijn opgenomen. U kunt dus bij de melding geen bijlagen meesturen en hiernaar verwijzen. Verder is het niet mogelijk uw eigen meldingsformulier of -programma te gebruiken voor de meldingen bij het CBP. U moet voor de melding het daarvoor bedoelde, originele Wbp-meldingsprogramma of -formulier gebruiken.

Meer informatie over de voorwaarden voor het in behandeling nemen van een melding kunt u vinden in het Wbp-meldingsprogramma of in de toelichting op het Wbp-meldingsformulier. Tip: u kunt aan uw brancheorganisatie vragen of er een voorbeeldmelding is. Gebruikt u deze voorbeeldmelding, denk er dan wel aan dat u zelf verantwoordelijk bent voor de inhoud hiervan.

Geldigheid van de melding
De melding is geldig op het moment dat de opgegeven contactpersoon een ontvangstbevestiging heeft ontvangen van het CBP met het meldingsnummer. Dit nummer kunt u toevoegen aan uw eigen opgeslagen kopie van de melding met behulp van de beheerfunctie. Het CBP gebruikt het meldingsnummer voor alle correspondentie over de melding. Is er namens een verantwoordelijke gemeld, dan moet de contactpersoon de verantwoordelijke informeren over de ontvangstbevestiging.

Let op: u kunt aan een melding geen rechten ontlenen, omdat een melding niet tot goedkeuring van een gegevensverwerking leidt. Meestal volstaat het CBP met een formele toets of de melding compleet is. Het blijft uw verantwoordelijkheid om de melding op een juiste en volledige wijze te doen en zich te houden aan de overige bepalingen van de Wbp. Het CBP neemt alle meldingen op in het Wbp-meldingenregister, een openbaar register op de CBP-website, met uitzondering van de informatie over de beveiliging van uw gegevensverwerking. Geïnteresseerden kunnen zo inzage in de meldingen krijgen. Zij kunnen ook op verzoek informatie toegestuurd krijgen.

Wijzigen of intrekken van een melding
Zijn er wijzigingen in uw gegevensverwerking, dan moet u dit aan het CBP doorgeven:

  • Wijzigingen in de naam- en/of adresgegevens kunt u onder vermelding van het meldingsnummer doorgeven met de modelbrief die in het Wbp-meldingsprogramma is opgenomen of met het Wbp-meldingsformulier.

  • Andere wijzigingen kunt u digitaal doorgeven door het opgeslagen bestand te openen en daarin de wijzigingen aan te brengen. Het gewijzigde bestand mailt u vervolgens in zijn geheel naar het CBP. Het authenticatieformulier stuurt u per post. Werkt u niet met het Wbp-meldingsprogramma, dan kunt u ook het meldingsformulier gebruiken om wijzigingen door te geven.

     

Het CBP neemt de wijzigingen op in het meldingenbestand en het openbaar register.

Wilt u een melding intrekken, dan vindt u daarvoor ook een modelbrief in het Wbp-Meldingsprogramma. U kunt ook het meldingsformulier gebruiken. Het moment van ontvangst geldt als moment van intrekking. Het CBP verwijdert vervolgens periodiek alle ingetrokken meldingen uit het openbaar register.

Boete
Het CBP heeft de mogelijkheid een boete op te leggen als u een gegevensverwerking niet meldt, als u uw verwerking onjuist of onvolledig hebt gemeld of als u wijzigingen niet (tijdig) doorgeeft.