Wet bescherming persoonsgegevens

Zeer veel organisaties gebruiken persoonsgegevens en wisselen deze uit. De belangrijkste regels voor de omgang met persoonsgegevens in Nederland zijn vastgelegd in de Wet bescherming persoonsgegevens. De Wet bescherming persoonsgegevens (Wbp) is de Nederlandse uitwerking van de Europese richtlijn bescherming persoonsgegevens. De Wbp is sinds 1 september 2001 van kracht. De Wbp regelt ook de taken en bevoegdheden van de Autoriteit Persoonsgegevens als toezichthouder op deze wet en de correcte verwerking van persoonsgegevens.

Belangrijkste bepalingen Wbp

  • Persoonsgegevens mogen alleen in overeenstemming met de wet en op een behoorlijke en zorgvuldige manier worden verwerkt.
  • Persoonsgegevens mogen alleen voor welbepaalde, vooraf uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld. En vervolgens alleen verder worden verwerkt voor doeleinden die daarmee verenigbaar zijn.
  • Degene van wie persoonsgegevens worden verwerkt (de betrokkene genoemd), moet ten minste op de hoogte zijn van de identiteit van de organisatie of persoon die deze persoonsgegevens verwerkt (de zogeheten verantwoordelijke) en van het doel van de gegevensverwerking.
  • De gegevensverwerking moeten op een passende manier worden beveiligd.

Voor bijzondere gegevens (artikel 16 Wbp), zoals over ras, gezondheid en geloofsovertuiging, gelden extra strenge regels. In beginsel mogen organisaties deze gegevens op geen enkele manier verwerken.

Melden van gegevensverwerkingen

Op grond van de Wbp zijn organisaties die persoonsgegevens verwerken verplicht dit te melden bij de Autoriteit Persoonsgegevens. Dit hoeft niet wanneer de persoonsgegevens worden verwerkt op basis van een wettelijk kader. Wanneer u als organisatie enkel persoonsgegevens verwerkt voor het versturen van facturen en het bijhouden van uw bedrijfsadministratie, geldt de verplichte melding niet.

Wanneer u bijvoorbeeld voor marketingdoeleinden een adressenbestand aanlegt geldt de verplichte melding bij de Autoriteit Persoonsgegevens wel.

Functionaris voor de gegevensbescherming

(Branche)organisaties kunnen ook een eigen, interne toezichthouder aanstellen. Dit is de functionaris voor de gegevensbescherming (FG). Bij organisaties met een FG stelt de Autoriteit Persoonsgegevens zich terughoudend op als toezichthouder.

Juridisch wettelijk kader uit de Wet Bescherming Persoonsgegevens

Artikel 12 Wbp | Verwerking in opdracht

“Een ieder die handelt onder het gezag van de verantwoordelijke of van de bewerker, alsmede de bewerker zelf, voor zover deze toegang hebben tot persoonsgegevens, verwerkt deze slechts in opdracht van de verantwoordelijke, behoudens afwijkende wettelijke verplichtingen.” 

Artikel 12 Wbp | Geheimhoudingsplicht

“De personen, bedoeld in het eerste lid, voor wie niet reeds uit hoofde van ambt, beroep of wettelijk voorschrift een geheimhoudingsplicht geldt, zijn verplicht tot geheimhouding van de persoonsgegevens waarvan zij kennis nemen, behoudens voor zover enig wettelijk voorschrift hen tot mededeling verplicht of uit hun taak de noodzaak tot mededeling voortvloeit.”

Artikel 13 Wbp | Beveiliging van persoonsgegevens

“De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking.”

Artikel 13 Wbp | Passende beveiligingsmaatregelen

“Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van te beschermen gegevens met zich meebrengen.”

Er is pas sprake van een passend beveiligingsniveau als de gekozen maatregelen onderdeel zijn van de dagelijkse praktijk van de organisatie. De eerste stap is documentatie: de relevante beveiligingsmaatregelen zijn gespecificeerd en geïntegreerd in functionele en technische beschrijvingen van ICT systemen, in gebruikershandleidingen, werkinstructies, contracten, SLA's en andere relevante documenten. De tweede stap is daadwerkelijke implementatie van de gekozen maatregelen.

Artikel 13 Wbp | Privacy Enhancing Technologies (PET)

“De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.”

Artikel 14 Wbp | Beveiliging van persoonsgegevens bij verwerking via een bewerker

“Indien de verantwoordelijke persoonsgegevens te zijnen behoeve laat verwerken door een bewerker, draagt hij zorg dat deze voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen. De verantwoordelijke ziet toe op de naleving van die maatregelen.”

Artikel 14 Wbp | Concrete afspraken met bewerker

“De verantwoordelijke draagt zorg dat de bewerker:

  1. de persoonsgegevens verwerkt in overeenstemming met artikel 12, eerste lid
  2. de verplichtingen nakomt die op de verantwoordelijke rusten ingevolge artikel 13."

Artikel 14 Wbp | Verplichte Bewerkersovereenkomst

“De uitvoering van verwerkingen door een bewerker wordt geregeld in een overeenkomst of krachtens een andere rechtshandeling waardoor een verbintenis ontstaat tussen de bewerker en de verantwoordelijke.” “Met het oog op het bewaren van het bewijs worden de onderdelen van de overeenkomst of de rechtshandeling die betrekking hebben op de bescherming van persoonsgegevens, alsmede de beveiligingsmaatregelen als bedoeld in artikel 13 schriftelijk of in een andere, gelijkwaardige vorm vastgelegd.”

Artikel 16 Wbp | Bijzondere persoonsgegevens

Persoonsgegevens over iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, lidmaatschap van een vakvereniging en om strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag.

Bron: Autoriteit Persoonsgegevens.