Privacy en ICT
Door ontwikkelingen op ICT-gebied ontstaan steeds nieuwe toepassingen. Denk aan de inmiddels op grote schaal gebruikte web 2.0 toepassingen, RFID en “Smart tags”. Maar ook aan nieuwe softwarematige manieren van het verwerken van gegevens. Omdat al snel sprake is van de verwerking van persoonsgegevens, is het belangrijk dat u zich goed laat voorlichten over de wettelijke eisen die zijn neergelegd in de Wet Bescherming Persoonsgegevens (Wbp). Vooral in een digitale omgeving is de Wbp vaak niet één op één toe te passen. De consequenties van het niet naleven van de Wbp kunnen groot zijn. Een korte uitleg.
De Wet Bescherming Persoonsgegevens (Wbp)
Als ondernemer krijgt u al snel te maken met privacy gevoelige gegevens. Denk alleen al aan uw personeels- of klantenbestand. De wijze waarop u met deze en andere privacy gevoelige gegevens moet omgaan staat in de Wbp.
Het College Bescherming Persoonsgegevens(CBP)
De instantie die toezicht houdt op de naleving van de regels is het College Bescherming Persoonsgegevens (hierna: CBP). Het college kan handhavend optreden tegen iedereen die zich niet houdt aan de Wbp. Zo heeft het college de mogelijkheid boetes op te leggen.
Op wie rust de wettelijke verplichtingen?
De Wbp is van toepassing op iedereen die persoonsgegevens verwerkt. Daarbij rusten de meeste verplichtingen op de “verantwoordelijke”. Dit is de persoon binnen een onderneming die bepaalt welke persoonsgegevens worden gebruikt en voor welk doel. Maar ook degene die niet aangemerkt wordt als verantwoordelijke maar wel persoonsgegevens in diens opdracht verwerkt, zal zich moeten houden aan bepaalde regels. Op de verantwoordelijke rust de plicht er voor te zorgen dat ook een ieder die de persoonsgegevens bewerkt (de bewerker), zich houdt aan de regels. De bewerker is ingevolge de Wbp degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen. De bewerker verwerkt dus gegevens ten behoeve van de verantwoordelijke, dat wil zeggen overeenkomstig diens instructies en onder diens verantwoordelijkheid. De verantwoordelijke die een bewerker inschakelt, is op grond van de Wbp verplicht een overeenkomst met de bewerker aan te gaan.
Persoonsgegevens
Persoonsgegevens zijn alle gegevens die informatie kunnen verschaffen over een identificeerbare natuurlijke persoon. Voorbeelden van persoonsgegevens zijn iemands naam of geboortedatum. Maar het gaat verder dan dat. Het gaat om alle gegevens op basis waarvan een natuurlijk persoon te herleiden is. Ook een IP-adres is bijvoorbeeld een persoonsgegeven omdat aan de hand daarvan een individueel persoon door bijvoorbeeld een internet service provider kan worden geïdentificeerd. Denk ook aan de profielgegevens op websites als Hyves en LinkedIn. Er is al snel sprake van een persoonsgegeven in de zin van de Wbp.
De “verwerking”
Ook van een verwerking is snel sprake. Dit is bijvoorbeeld het verzamelen, vastleggen en ordenen van gegevens, maar ook het bewaren, bijwerken en wijzigen daarvan. Kortom, iedere geautomatiseerde handeling met een persoonsgegeven is een verwerking.
Meldingsplicht
Een belangrijke verplichting is de meldingsplicht. Indien u persoonsgegevens verwerkt, dient u de verwerking - in beginsel - te melden bij het Cbp. De melding dient plaats te vinden vóórdat u begint met de verwerking. Op de website van het Cbp staat vermeld op welke wijze u de verwerking kunt melden. Als u de verwerking niet meldt, kan het CBP u een boete opleggen.
De meldingsplicht geldt overigens niet voor alle soorten van verwerking. Indien de verwerking valt onder de vrijstellingsregeling behoeft die niet te worden gemeld. Onder de vrijstelling vallen bijvoorbeeld de verwerking van klant- en personeelsgegevens, maar ook verwerkingen ten dienste van het interne beheer van uw organisatie, zoals verwerkingen met betrekking tot netwerk- en computersystemen, communicatieapparatuur en toegangscontrole. De vrijstellingsregeling is te vinden op de website van het Cbp.
Ook als u geen meldingsplicht heeft en moet u voldoen aan de eisen uit de Wbp.
De wettelijke eisen
De hoofdregel van de Wbp is dat uw verwerking van persoonsgegevens behoorlijk en zorgvuldig en in overeenstemming met de wet moet zijn. Dat betekent onder andere dat u persoonsgegevens alleen mag verwerken voor een vooraf door u gedefinieerd doel. U zult vóórdat u begint met de verwerking van persoonsgegevens op papier moeten zetten voor welke doel u de persoonsgegevens wilt verwerken. Daarbij moet u zich afvragen of u niet met minder gegevens of zelfs met anonieme gegevens kunt volstaan.
Het doel van de verwerking moet gerechtvaardigd zijn. Daarvan is onder andere sprake indien voor de verwerking toestemming verkregen is van degene waar de persoonsgegevens betrekking op hebben (de betrokkene) of indien de verwerking nodig is om een overeenkomst uit te voeren.
Indien u een doel heeft om persoonsgegevens te verwerken en u een rechtvaardigingsgrond heeft voor de verwerking zult u vervolgens moeten voldoen aan de overige wettelijke eisen. Die eisen zijn ondermeer dat u iedere betrokkene inzage moeten geven in zijn persoonsgegevens indien hij daarom verzoekt en u gegevens actueel dient te houden. Indien u niet aan deze verplichtingen voldoet kan de betrokkene een klacht tegen u indienen bij het CBP. Het CBP kan u dan vervolgens bestuursdwang aanzeggen of een boete opleggen.
Verplichte beveiliging
Een belangrijke verplichting is de plicht van beveiliging. Deze verplichting houdt in dat u passende technische en organisatorische maatregelen moet nemen om het verlies van gegevens of onrechtmatig gebruik tegen te gaan.
Wat precies moet worden verstaan onder “passende” maatregelen blijkt niet uit de wet. De wet geeft slechts een algemene beschrijving. De reden hiervan is dat de passendheid van de maatregelen afhangt van de soort persoonsgegevens die worden verwerkt en de mogelijke gevolgen die de verwerking voor de betrokkenen heeft.
Voor iedere verwerking van persoonsgegevens zult u dus moeten inventariseren welke technische en organisatorische maatregelen u dient te nemen om een passend beveiligingsniveau te bereiken. Bij die inventarisatie zult u de risico’s van de verwerking en de aard van de te beschermen gegevens mee moeten wegen. Uitgangspunt is dat hoe gevoeliger de gegevens, hoe zwaarder de toegepaste beveiliging moet zijn. U moet ook rekening houden met de stand van de techniek en de kosten van de maatregelen. Dat betekent ook dat u periodiek moet nagaan of uw systeem aanpassing behoeft, bijvoorbeeld omdat er nieuwe technologische technieken zijn.
Gevolgen van niet-naleving
Indien u de wettelijke regels niet naleeft kunt u geconfronteerd worden met een aanzienlijke kostenpost en – wellicht even belangrijk – reputatieschade.
Zo kan de betrokkene waarvan u in strijd met de Wbp handelt een schadeclaim indienen en kan het Cbp ingrijpen door het toepassen van bestuursdwang en het opleggen van dwangsommen en boetes.
Informatie
Voor vragen over privacy en daaraan gerelateerde onderwerpen kunt u contact opnemen met Arthur de Groot. Hij heeft ruime ervaring in het adviseren van ondernemingen bij privacy-vraagstukken, met name in een digitale omgeving.
