10.1 Wet bescherming persoonsgegevens
verwerken
In de WBP is vastgelegd dat persoonsgegevens alleen mogen worden verwerkt volgens bepaalde regels. Met de term ‘verwerken’ wordt in principe alles bedoeld wat een organisatie of persoon zou kunnen doen met persoonsgegevens. Dat kan opslaan zijn, maar ook bijvoorbeeld combineren met andere informatie of delen met derde partijen.
De status van de bewaarplicht
bewaarplicht
opslaan
toestemming
Tussen 2009 en 2015 gold voor Nederlandse telecomproviders de zogeheten bewaarplicht: zij moesten gegevens over het internet- en telefonieverkeer van hun klanten maandenlang bijhouden en op verzoek aan opsporingsinstanties beschikbaar stellen voor onderzoek in strafzaken. De rechter bepaalde in 2015 echter dat telecomproviders gegevens over internet- en telefonieverkeer niet langer mochten opslaan. Ook de reeds bewaarde data moesten worden vernietigd. De bewaarplicht was namelijk in strijd met Europese privacywetgeving. Het kabinet broedt inmiddels op een aangepaste versie van de bewaarplicht. In de nieuwe versie van de wet kunnen opsporingsinstanties alleen gegevens opvragen bij providers als de rechter daar eerst toestemming voor geeft. Het privacyprobleem zou daarmee opgelost moeten zijn volgens de politiek. Of de wet in die vorm wel standhoudt in de rechtbank, moet nog maar blijken.
‘opt-out’
informatieplicht
De WBP moet namelijk in zo ongeveer elke situatie toepasselijk zijn. Uitgangspunt van de WBP is dat de betreffende persoon zijn toestemming moet geven voor de verwerking. Vraagt een website u dus om gegevens, dan moet u vooraf geïnformeerd worden over wat ermee gaat gebeuren. Geeft u toestemming, dan mag u die op elk moment weer intrekken, waarna de betreffende verwerking moet worden gestaakt. De mogelijkheid om van gedachten te veranderen of überhaupt niet mee te werken, wordt ook wel ‘opt-out’ genoemd. Alle organisaties die persoonsgegevens verzamelen of gebruiken, hebben een informatieplicht. Dit betekent dat ze de personen van wie ze gegevens verzamelen vooraf moeten laten weten wat ze met hun gegevens gaan doen.
Pas op voor de techreuzen!
hacking
Clouddienstverleners zoals Dropbox zullen in de regel persoonsgegevens van klanten opslaan. Denk aan zaken als naam, adres, telefoonnummer en e-mailadres. Het kan zelfs gaan om gegevens van klanten van hun klanten. Clouddienstverleners moeten dan ook zeer zorgvuldig met deze persoonsgegevens omgaan, want de kans op een datalek of hacking is groot. Aan de andere kant moet u ook voorzichtig zijn met wat u deelt met dit soort bedrijven. Het is bijvoorbeeld niet aan te raden om bedrijfsgeheimen te bespreken via WhatsApp of met collega’s te werken aan gevoelige documenten in Google Docs.
Als het vanzelfsprekend is dat er persoonsgegevens worden verzameld, geldt de informatieplicht niet. Dat is bijvoorbeeld het geval als u zich via een webformulier inschrijft voor een congres of tijdens het webwinkelen.
Gegevens inzien
inzien
disproportioneel
U heeft het recht om uw geregistreerde gegevens in te zien en om te vragen hoe en waarvoor deze worden gebruikt. Dit geldt niet alleen voor tekst, maar ook voor bijvoorbeeld audio-opnamen en videobeelden. Bovendien kunt u eisen dat uw gegevens verbeterd, aangevuld, verwijderd of afgeschermd worden als ze feitelijk onjuist, onvolledig of niet ter zake doend zijn voor het doel of de doeleinden van de verwerking. Zo kunt u eisen dat de organisator van het eerdergenoemde congres uw adres uit het mailingbestand verwijdert. De organisator mag uw verzoek dan alleen weigeren als het hem zogenoemde ‘disproportionele lasten’ zou opleveren, en dat is niet snel het geval. Zo besliste de Hoge Raad al eens dat het uittypen van telefoongesprekken niet als disproportionele last gold. Overigens mag de verzamelaar van persoonsgegevens volgens de wet niet meer dan € 5 als vergoeding rekenen voor het afhandelen van uw verzoek.