Wet bescherming persoonsgegevens (wbp)

Door Rob gepubliceerd in Rob's Business

Privacy is hot. In dit artikel lees je alles wat je weten wil over privacy en de Wet Bescherming Persoonsgegevens, de WBP. Security en privacy worden steeds belangrijker.

Tags/labels: RobsBusiness

Privacybescherming

Privacy is hot. Wie even googled komt talloze actuele berichten op het gebied van al dan niet vermeende privacyschending tegen: het nieuwe biometrische paspoort met de bijbehorende vingerafdrukbank, de OVchipkaart voor studenten, de mobiele bodyscanner, de Hyves social viral, etc.

ae879d8a06e6163458919a1b7595ae2a_medium.

Er wordt steeds meer data vastgelegd en steeds vaker wordt die data geïntegreerd. Mensen geven ook steeds meer informatie over zichzelf prijs, op sociale media zoals , Facebook, Linkedin, Twitter, ed.

De technologische veranderingen, die elkaar steeds sneller opvolgen, beïnvloeden onze privacy op een nooit eerder geziene wijze. Het Nederlands product Layar laat zien hoe de data uit de virtuele wereld kan worden gecombineerd met die uit de reële wereld. Layar is nu al beschikbaar voor iPhone. Men noemt deze techniek waarbij men reële data verrijkt met virtuele data, ook wel augmented reality.

Beschermen versus faciliteren

Hoewel het woord bescherming in WBP de connotatie “beperkend” heeft, was de gedachte achter de wetgeving ook, of beter gezegd juist, een faciliterende: het reguleren van vrij informatieverkeer.

Slecht privacybeleid kan in strijd met de wet zijn, verstrekkende gevolgen hebben voor de natuurlijk persoon van wie de gegevens verwerkt worden, en kan daarnaast leiden tot aanzienlijke reputatieschade.

Goed privacybeleid kan juist als unique selling point door een organisatie worden ingezet en kan worden uitgedragen in informatiefolders en/of op websites.

Wet Bescherming Persoonsgegevens

De Wet bescherming persoonsgegevens (WBP) geeft regels voor een zorgvuldige omgang met de persoonsgegevens. Sinds 1 september 2001 is de WBP van kracht als vervanger van de wet persoonsregistraties (WPR) en brengt hiermee de Nederlandse wetgeving in overeenstemming met de Europese Privacyrichtlijn 95/46/EG.

Reikwijdte van de WBP

De verwerking van persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens (WBP: artikel 1).

Deze wet is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen (WBP: artikel 2)

Welke soorten gegevens onderkennen we?

8428545172938c4f4ebfecd8b48617c7Bits-e-bPersoonsgegevens
De persoonsgegevens (elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon) van burgers komen in talloze bestanden voor, zoals de gemeente, de huisarts, de UWV, de belastingdienst, de bibliotheek, supermarkt, sportvereniging en werkgever. Mensen doen mee aan spaaracties en enquêtes, hebben een klantenkaart of een tankpas.

Dit is geen enkel probleem wanneer deze organisaties goed met gegevens omgaan, maar gegevens kunnen aan derden worden verkocht of door onvoldoende beveiliging ten prooi vallen aan kwaadwillenden. In het digitale tijdperk waar informatie steeds waardevoller wordt, neemt de kans op stelen van persoonsgegevens evenredig toe.

Zodra een bestuursorgaan of een bedrijf gegevens betreffende een geïdentificeerde of identificeerbare natuurlijke persoon verwerkt heeft deze organisatie te maken met de WBP.

Bijzondere gegevens
Niet alle gegevens mogen zomaar worden vastgelegd: WBP: artikel 16 zegt daar over:

De verwerking van persoonsgegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, alsmede persoonsgegevens betreffende het lidmaatschap van een vakvereniging is verboden behoudens het bepaalde in deze paragraaf.

Hetzelfde geldt voor strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag. Hierop zijn wel een aantal uitzonderingen, welke benoemd zijn in de WBP: artikelen 17 t/m 24. Zo is het logisch dat een huisarts gegevens betreffende de gezondheid van iemand vastlegt.

Actoren

De Wet Bescherming persoonsgegevens, onderkent een aantal actoren:

Betrokkene
Degene op wie een persoonsgegeven betrekking heeft.

Bewerker
Degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen.

Ontvanger
Degene aan wie de persoonsgegevens worden verstrekt.

Verantwoordelijke
De natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of te samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.

Functionaris voor de Gegevensbescherming (FG)
Bedrijven, brancheorganisaties, overheden en instellingen hebben de mogelijkheid zelf een interne toezichthouder op de verwerking van persoonsgegevens aan te stellen: de functionaris voor de gegevensbescherming. Deze functionaris houdt binnen de organisatie toezicht op de toepassing en naleving van de Wet bescherming persoonsgegevens.

De wettelijke taken en bevoegdheden van de FG geven deze functionaris een onafhankelijke positie in de organisatie. Alle functionarissen voor de gegevensbescherming (aangesteld volgens artikel 62-64 van de Wet bescherming persoonsgegevens) moeten worden gemeld bij het CBP.

Toezichthouder
Het College Bescherming Persoonsgegevens (CBP) houdt toezicht op de naleving van wetten die het gebruik van persoonsgegevens regelen. Zo controleert het of bedrijven en instanties zich aan de WBP houden. Deze rol van het CBP gaat steeds belangrijker worden in te toekomst.

Met de veranderende techniek zijn niet alle definities nog even helder: Wat als de verantwoordelijke zijn bewerking uitbesteedt aan een partij in het buitenland, welke voor de bewerking software gebruikt die extern draait en voor de servercapaciteit gebruikt maakt van cloud computing oplossing? Wie is dan de verantwoordelijke en wie is de bewerker?

Uitgangspunten WBP

Doelbinding (WBP: artikel 9)
Bij het verzamelen van persoonsgegevens moet het duidelijk zijn met wat voor doel dat gebeurt. Er mogen niet meer gegevens verwerkt worden dan strikt noodzakelijk is.

Rechtmatigheid
Dit houdt allereerst in dat gegevens op een behoorlijke, zorgvuldige en legale manier verwerkt worden.

Proportionaliteit
De privacyinbreuk moet evenredig zijn, in verhouding met het beoogde doel waarvoor wordt verwerkt.

Subsidiariteit
Verwerking is alleen toegestaan indien het verwerkingsdoel niet op een andere (minder belastende) wijze kan worden bereikt.

Transparantie (WBP: artikel 35)
De betrokkene heeft recht op informatie als er persoonsgegevens van hem worden verwerkt. De verantwoordelijke moet hem onder andere laten weten wie hij is en wat voor gegevens hij waarvoor verwerkt.

Meldingsplicht (WBP: artikel 27)
Alle verwerkingen van persoonsgegevens moeten worden gemeld bij het College bescherming persoonsgevens (CBP).

Een groot aantal maatschappelijk bekende en geaccepteerde verwerkingen zijn echter vrijgesteld van artikel 27. Zo mag een kerkgenootschap zijn leden administreren. In het vrijstellingsbesluit is vastgelegd in welke situaties het vrijstellingsbesluit geldt.

Bewaartermijn (WBP: artikel 10)
De organisatie mag de gegevens niet langer bewaren dan noodzakelijk voor de verwerking of om aan wettelijke eisen te voldoen.

Beveiligingsplicht (WBP: artikel 13/14)
Het nemen van passende technische en organisatorische maatregelen om het verlies van gegevens of onrechtmatige verwerking tegen te gaan.

Ondubbelzinnige toestemming
De betrokkenen dient toestemming te geven voor het verwerken van gegevens: daarbij dient dus sprake te zijn van wilsuiting, het vooraf informeren, het vrijwillig geven en de mogelijkheid tot intrekking.

Hierop zijn een aantal uitzonderingen, zoals:

  • De uitvoering van een overeenkomst (klant - leveranciersrelatie).
  • Wettelijke verplichting (zoals belastingdienst)
  • Ter vrijwaring van vitale belangen (levensbedreigende situaties)
  • Publiekrechtelijke taak
  • Ter behartiging gerechtvaardigd belang

    Zoals Mark Zuckerberg al zei:

The age of privacy is over.

 

09/03/2016 14:40

Reacties (0) 

Copyright © Tallsay.com. Alle rechten voorbehouden.
Door gebruik te maken van deze website geef je aan dat je onze Algemene voorwaarden en ons Privacy statement accepteert