Recentelijk is de Wet Bescherming Persoonsgegevens (hierna: “Wbp”) veelvuldig in het nieuws. Vooral voor ondernemingen kunnen persoonsgegevens zeer waardevol zijn. Adressenbestanden van (potentiële) klanten kunnen bijvoorbeeld een belangrijk instrument zijn om de klanten op de hoogte te stellen van aanbiedingen. Sterker nog, zonder dat de gemiddelde burger er weet van heeft, bestaat er een levendige handel in zijn gegevens. Hoog tijd dus voor een overzicht van de do’s and don’ts onder de Wbp.
Prijs vergelijk ADSL, kabel, glasvezel aanbieders en bespaar geld door over te stappen!
Per 1 september 2001 is de Wbp in werking getreden ter vervanging van de Wet Persoonsregistraties. De Wbp stelt regels voor de verwerking van persoonsgegevens. Persoonsgegevens zijn gegevens die herleidbaar zijn tot een natuurlijke persoon. Gegevens van bedrijven vallen hier in principe niet onder. Er is echter een wetsvoorstel aanhangig dat bepaalt dat ook het versturen van spam naar ondernemingen in de toekomst verboden wordt.
Werking
Het systeem van de Wbp is erop gericht dat vrijwel iedere handeling ten aanzien van persoonsgegevens valt onder de werking van de Wbp. Daarbij moet bijv. gedacht worden aan het verzamelen, het opvragen, het wijzigen en het inzien van gegevens. De regels van de Wbp zijn dus relatief snel van toepassing.
Verplichtingen
In de Wbp is een aantal verplichtingen opgenomen voor degene (veelal een onderneming) die verantwoordelijk is voor de verwerking van de persoonsgegevens. Een greep uit de relevante verplichtingen:
- Er moet altijd een bepaalde grondslag bestaan voor het verwerken van persoonsgegevens. Deze grondslagen worden limitatief in de Wbp opgesomd. Een grondslag voor verwerking is bijvoorbeeld dat door degene wiens gegevens worden verwerkt toestemming is verleend voor de verwerking of dat de verwerking noodzakelijk is voor de uitvoering van een overeenkomst (bijv. een arbeidsovereenkomst);
- Het doel waarvoor de persoonsgegevens worden verzameld moet van te voren zijn vastgelegd en de persoon wiens gegevens worden verwerkt moet daarover zijn geïnformeerd. Het vastleggen van het “verzameldoel” gebeurt veelal in de vorm van een privacyreglement;
- Vervolgens mogen persoonsgegevens niet verder worden verwerkt dan dit oorspronkelijke doel waarvoor ze zijn verkregen. Als een onderneming bijvoorbeeld persoonsgegevens verzamelt met als doel deelname aan een bepaald spel (bijv. een spel via internet), dan mag het bedrijf deze persoonsgegevens niet zomaar verder gebruiken om de klant via een mailing op de hoogte te stellen van geheel andere producten die het bedrijf aanbiedt (bijv. abonnement op een tijdschrift).
Bijzondere persoonsgegevens
Naast eerder genoemde meer algemene verplichtingen, gelden specifieke, strengere regels ten aanzien van zogenaamde “bijzondere persoonsgegevens”. Dit zijn persoonsgegevens die betrekking hebben op bijv. iemands godsdienst, ras, seksuele geaardheid of gezondheid. Het verwerken van bijzondere persoonsgegevens is in beginsel verboden, tenzij zich een uitzonderingssituatie voordoet. Zo’n uitzondering is bijvoorbeeld dat de persoon expliciete toestemming heeft gegeven voor het verwerken van deze bijzondere persoonsgegevens.
Als de verwerking van persoonsgegevens is gebaseerd op toestemming van desbetreffende persoon is het van belang dat deze toestemming goed wordt geregistreerd. Mocht er in de toekomst op dit punt een conflict ontstaan met desbetreffende persoon, dan zal degene die de gegevens verwerkt, moeten aantonen dat hij daar toestemming voor had gekregen. Overigens kan een persoon te allen tijde zijn toestemming voor de verwerking intrekken.
Melding
Uit de Wbp volgt dat in beginsel iedere verwerking van persoonsgegevens moet worden gemeld bij de toezichthouder op de Wbp, het College Bescherming Persoonsgegevens (hierna: “CBP”). Slechts de algemeen geaccepteerde, veel voorkomende verwerkingen zoals bijv. het voeren van een salarisadministratie, zijn van deze meldingsplicht uitgezonderd. Deze melding gaat via speciale meldingsformulieren van het CBP.
Sancties
Hoewel de Wbp een groot aantal verplichtingen oplegt aan de verwerker van persoonsgegevens, is de handhaving minder uitgebreid geregeld. Zo zijn er bijvoorbeeld (bijna) geen sancties in de Wbp opgenomen. Een verplichting waar wel een sanctie op staat is de plicht om de verwerkingen te melden bij het CBP. Als het CBP constateert dat een verwerking niet is aangemeld terwijl dat wel verplicht was, kan hij een boete opleggen. Daarnaast is het mogelijk dat een persoon wiens persoonsgegevens niet volgens de regels van de Wbp worden verwerkt, de verantwoordelijke daarop aanspreekt en eventueel in een juridische procedure schadevergoeding eist.
Tot slot kan ook de negatieve publiciteit die voort kan vloeien uit schending van de regels van de Wbp voor ondernemingen een drijfveer zijn om zich aan de regels te houden.
Tips
Het advies aan iedere ondernemer die in de praktijk te maken heeft met het verwerken van persoonsgegevens luidt dat het van belang is om:
- Te inventariseren welke verwerkingen van persoonsgegevens binnen zijn onderneming plaatsvinden (is ook sprake van verwerking van bijzondere gegevens?) en welke verwerkingen in de toekomst mogelijk plaats zullen vinden;
- De verwerkingen van tevoren vastleggen, bijv. in de vorm van een privacyreglement en de verwerkingen kenbaar maken aan de persoon wiens gegevens worden verwerkt;
- Na te gaan of en zo ja, welke verwerkingsgronden er bestaan voor de verschillende verwerkingen. Als er geen andere verwerkingsgrond bestaat, zal de verantwoordelijke aan de persoon wiens gegevens worden verwerkt, expliciete toestemming moeten vragen voor de verwerking;
- De verwerkingen te melden bij het CBP.
mr. Caroliene Stein is advocaat te Utrecht bij Van Benthem & Keulen.
