Gebruikershulpmiddelen

Site-hulpmiddelen


wet_bescherming_persoonsgegevens

Wet bescherming persoonsgegevens (Wbp)

De Wet bescherming persoonsgegevens (Wbp) geeft aan dat een persoonsgegeven elk gegeven is over een geïdentificeerde of identificeerbare natuurlijke persoon. De Wbp bevat regels voor het verwerken van persoonsgegevens, waarbij de nadruk ligt op het geautomatiseerd verwerken van persoonsgegevens.

Persoonsgegevens

Diverse (semi)overheidsorganisaties zijn wettelijk bevoegd om persoons/bedrijfs gegevens in te zien en te gebruiken. Daaronder vallen gemeenten, UWV, Belastingdienst, pensioenfondsen, SVB, onderwijsinstellingen en ziekenhuizen. Dit betekent dat informatie ofwel direct over een persoon of bedrijf gaat, ofwel hier naar te herleiden is. Dat het bij persoonsgegevens om een natuurlijke persoon moet gaan, houdt in dat gegevens van overleden personen of van organisaties geen persoonsgegevens zijn. Het gaat daarbij niet alleen om bijvoorbeeld de naam of andere personalia, maar ook om gegevens die indirect iets vertellen over de persoon, zoals informatie over goederen of gebeurtenissen. Zo kan de waarde van de auto een persoonsgegeven zijn.

Dit is zeker het geval als het een auto van de zaak betreft en deze waarde van belang is voor de fiscale bijtelling. Hetzelfde geldt in beginsel voor een kenteken van een voertuig en voor foto's en verkoopprijzen van huizen. In veel gevallen is de context waarin een gegeven wordt gebruikt bepalend of er sprake is van persoonsgegevens. Van belang is dan of het gegeven bepalend kan zijn voor de wijze waarop de betrokken persoon in het maatschappelijk verkeer wordt beoordeeld of behandeld. Zo kunnen gegevens over een onderneming, geo-informatie over bedrijventerreinen, of telefoongesprekken persoonsgegevens zijn als de gegevens ook iets vertellen over een natuurlijke persoon.

Ook gegevens over vennootschappen onder firma, eenmanszaken en vrije beroepsbeoefenaren zijn persoonsgegevens omdat deze gegevens vaak ook informatie geven over de eigenaar of vennoten zelf. Behalve dat de gegevens iets moeten vertellen over een persoon, moet het gaan om een geïdentificeerde of identificeerbare persoon. Personen zijn identificeerbaar als zij zonder al te veel moeite geïdentificeerd kunnen worden. Hierbij speelt vooral de vraag of de identiteit van de persoon zonder onevenredige inspanning vastgesteld kan worden. Twee factoren zijn hierbij van belang: de aard van de gegevens en de mogelijkheden van de verantwoordelijke, dat wil zeggen degene onder wiens verantwoordelijkheid de gegevens verwerkt worden, om de identificatie tot stand te brengen. Wat de aard van de gegevens betreft, is een persoon identificeerbaar als sprake is van gegevens die alleen of die in combinatie met andere gegevens zo kenmerkend zijn voor een bepaalde persoon dat deze aan de hand daarvan kan worden geïdentificeerd. Niet ieder gegeven zal in dezelfde mate tot het identificeren van een persoon (kunnen) leiden.

Direct vs. indirect identificerende gegevens

In dit kader kan een onderscheid worden gemaakt tussen direct en indirect identificerende gegevens. Van direct identificerende gegevens is sprake als de identiteit zonder veel omwegen eenduidig is vast te stellen. Voorbeelden zijn gegevens zoals naam, adres en geboortedatum. Die zijn in combinatie met elkaar zo uniek en kenmerkend voor een bepaalde persoon dat deze daarmee kan worden geïdentificeerd. Bij indirect identificerende gegevens kunnen de gegevens via nadere stappen in verband worden gebracht met een bepaalde persoon. Bij indirect identificerende gegevens kan weer een onderscheid worden gemaakt tussen gegevens met een hoog onderscheidend karakter, zoals leeftijd, woonplaats en beroep, en gegevens met een laag onderscheidend karakter, zoals leeftijdsklasse, woonregio en beroepsklasse.

Het onderscheidende vermogen van dergelijke (combinaties van) gegevens is mede afhankelijk van de context waarbinnen ze worden gebruikt. Ze zijn bijvoorbeeld afhankelijk van de omvang van de bevolkingsgroep waarop de gegevensverwerking betrekking heeft. Naast de aard van de gegevens, spelen de mogelijkheden van de verantwoordelijke om identificatie tot stand te brengen een rol bij de vraag of er sprake is van identificerende gegevens. Dit hangt bijvoorbeeld samen met het (kunnen) verkrijgen van aanvullende informatie. Hierbij kan gedacht worden aan openbare gegevens uit een telefoonboek of het Internet, vrij te kopen informatie, of aan binnen de eigen organisatie aanwezige informatie. Bij de afweging of er sprake is van een 'identificeerbare' persoon gaat het niet om een absolute maatstaf. Gekeken moet worden naar alle middelen waarvan mag worden aangenomen dat zij redelijkerwijs zijn in te zetten om die persoon te identificeren. Daarbij moet uitgegaan worden van een redelijk toegeruste verantwoordelijke. In concrete gevallen moet echter wel rekening worden gehouden met bijzondere expertise, technische faciliteiten en dergelijke van de verantwoordelijke. Het gaat dus enerzijds om objectivering naar een redelijk toegeruste verantwoordelijke en anderzijds om subjectivering naar bijzondere expertise. Ook als niet door de verantwoordelijke zelf, maar wel door derden (bijvoorbeeld door een ontvanger van de gegevens) identificatie kan plaatsvinden, is sprake van persoonsgegevens.

Opvolging door AVG

De Wbp zal worden vervangen door de Algemene Verordening Gegevensbescherming. Deze wet dient meer aan te sluiten op de digitaliserende samenleving. De AVG is in mei 2016 in werking getreden. Organisaties hebben tot 25 mei 2018 de tijd om hun bedrijfsvoering op orde te brengen. De AVG biedt meer rechten en plichten ter bescherming van persoonsgegevens. Ook biedt het de Autoriteit Persoonsgegevens (AP) meer bevoegdheden voor het handhaven van de wet. Bovendien biedt de AVG een harmonisatie van de regels binnen de Europese Unie.

Belangrijke zaken die zullen veranderen door de AVG:1)

  • De plichten voor gegevensverwerkers worden groter. je dient beter bij te houden wat je precies doet;
  • Organisaties dienen een functionaris voor de gegevensbescherming aan te stellen;
  • Organisaties dienen de Privacy by design methode toe te passen bij de ontwikkeling van producten en diensten. Bij de ontwikkeling dien je allereerst aandacht te besteden aan privacyverhogende maatregelen en dataminimalisatie;
  • Je dient een impact/risk assessment uit te voeren voordat je gegevens gaat verzamelen;
  • Een datalek moet je melden bij de AP;
  • Er komen ook meer rechten bij om de zeggenschap van betrokken te vergroten, namelijk het recht op dataportabiliteit (je mag je gegevens meenemen) en het recht op vergeten (je mag een beroep doen op het verwijderen van je gegevens).
1)
gebaseerd op college Bart van der Sloot op 10 maart 2017
wet_bescherming_persoonsgegevens.txt · Laatst gewijzigd: 2017/04/02 22:59 door richard