Informatieportal voor IT-recht

Dinsdag 15 mei 2012

De Wet bescherming persoonsgegevens

Persoonsgegevens
Persoonsgegevens betreffen alle gegevens die iets over iemand zeggen en die van invloed kunnen zijn op de manier waarop hij wordt beoordeeld of behandeld. Kenmerk is dat een bepaald individu met een persoonsgegeven kan worden geïdentificeerd. Hieronder vallen naam- en adresgegevens, maar ook e-mailadressen, foto’s en onder omstandigheden zelfs kentekens en telefoonnummers. Het persoonsgegevensbegrip is vrij ruim en betreft ook gegevens waarmee een identiteit indirect te achterhalen valt. In beginsel mogen persoonsgegevens niet voor andere doeleinden worden gebruikt dan waarvoor ze verwerkt worden (art. 9 Wbp).

Verwerking van persoonsgegevens
Onder verwerking van persoonsgegevens wordt verstaan elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens. Ook dit begrip is ruim, zo behelst het onder meer bewaren, wijzigen en doorgifte van persoonsgegevens. Een verwerking die niet in overeenstemming met de wet plaatsvindt is in beginsel onrechtmatig. Art. 7 Wbp vereist een doel van de verwerking. Dat doel moet voldoen aan de grondsagen voor verwerking, zoals is neergelegd in art. 8. De belangrijkste grondslag voor verwerking van persoonsgegevens is de ondubbelzinnige toestemming van betrokkene. Met bepaalde categorieën persoonsgegevens, omtrent ras, godsdienst, gezondheid en strafrechtelijk verleden, moet extra voorzichtig worden omgegaan. De Wbp verbiedt in art. 16 e.v. in beginsel de verwerking van dergelijke persoonsgegevens. Een familiealbum en de verwerkingen die inlichtingen- en opsporingsdiensten verrichten vallen niet onder de Wbp.

De verantwoordelijke
De verantwoordelijke in de zin van de Wbp is degene die het doel en de middelen van de verwerking vaststelt en zeggenschap heeft over die verwerking. De verantwoordelijke moet er onder meer voor zorgen dat persoonsgegevens niet langer dan noodzakelijk worden bewaard (art. 10 Wbp). Als het doel van de verwerking niet meer gediend is met het bewaren van de gegevens, moet hij op zijn minst de gegevens anonimiseren. Daarnaast moet hij ervoor zorgen dat de gegevens die worden verzameld juist en nauwkeurig zijn (art. 11 lid 2 Wbp). De verantwoordelijke draagt zorg voor een afdoende beveiliging en de geheimhouding van persoonsgegevens (art. 12 Wbp). Een verantwoordelijke moet het verwerken van gegevens melden bij het Cbp, tenzij de verwerking voorkomt in het Vrijstellingsbesluit Wbp. Een vrijstelling betekent echter niet dat aan de verwerking geen voorwaarden zijn verbonden. Het is juist andersom: vrijstelling is pas mogelijk als de verwerking aan bepaalde voorwaarden voldoet. Wordt de meldingsplicht niet in acht genomen waar dat wel nodig was, dan kan het Cbp de verantwoordelijke een boete opleggen.

De betrokkene
De betrokkene heeft het recht de verantwoordelijke te vragen of er persoonsgegevens die hem betreffen worden verwerkt; het inzagerecht (art. 35 Wbp). Bij gegevensverwerking moet de verantwoordelijke een bericht sturen waarin de doeleinden voor die gegevensverwerking, de categorieën van de verzamelde gegevens (naam, kenteken, telefoonnummer) en degenen aan wie de gegevens zijn verstrekt vermeld staan. Ook moet de herkomst van de gegevens bekend worden gemaakt. De verantwoordelijke mag hiervoor een vergoeding vragen. Op basis van het inzagerecht kan van het correctierecht gebruik gemaakt worden (art. 36 Wbp). Dit correctierecht omvat het recht op verbetering, aanvulling, verwijdering en afscherming van gegevens. De verantwoordelijke moet binnen vier weken reageren op het verzoek en een eventuele weigering motiveren. Indien de verantwoordelijke het verzoek inwilligt, dan moet hij derden aan wie hij de gegevens heeft verstrekt op de hoogte brengen van de aanpassing. Een betrokkene heeft het recht om verzet aan te tekenen tegen de verwerking (art. 40 Wbp). Het recht van verzet kan relatief (toewijzing hangt af van omstandigheden) of absoluut (toewijzing geschiedt per definitie) toegewezen worden. Als de beslissing op een dergelijk verzoek een afwijzing inhoudt en genomen is door een overheidsorgaan, is aantekenen van bezwaar mogelijk. Daarnaast kan men het Cbp verzoeken om bemiddeling.

Toezicht
Het Cbp heeft als primaire taak het toezicht houden op de naleving van de Wbp (art. 51 e.v.) en andere privacyregelgeving, zoals de Wet politiegegevens en de Wet gemeentelijke basisadministratie. Dat gebeurt met name door het controleren van aangemelde verwerkingen. Het Cbp kan het niet in acht nemen van de meldingsplicht bestraffen met een bestuurlijke boete van maximaal 4500 euro, het toepassen van bestuursdwang, of het opleggen van een last onder dwangsom op grond van art. 5:32 Awb. Het Cbp toetst ook gedragscodes van specifieke bedrijfsbranches, bijvoorbeeld verzekeringen. Zonder goedkeuring van het Cbp is de gedragscode niet bindend. Het Cbp houdt ook toezicht op internationale verwerkingen. Gegevensverkeer binnen de EU levert doorgaans geen grote problemen op. Dat is anders voor het verkeer naar zogenaamde ‘derde landen’. Van belang is dat sprake is van een passend beschermingsniveau, en mocht dat er niet zijn dan is veelal de toestemming van de Minister van Justitie nodig.