Bescherming persoonsgegevens: een kwestie van privacy

Van enquêtes, reclame, inschrijfformulieren tot smoelenboeken. Overal word je gevraagd gegevens te verstrekken. Je ziet je foto terug in het smoelenboek of op intranet van je werk, je moet je adres invullen voor de internetbank die helemaal geen post verstuurt en thuis op de deurmat ligt er bovenop de krant met koppen als ‘Patiëntendossier’ en ‘Meer camera’s op straat’ reclame direct geadresseerd aan jou. Privacy ligt op straat; de Wet bescherming persoonsgegevens reguleert het gebruik ervan.

Wat zijn persoonsgegevens?

De Wet bescherming persoonsgegevens geeft in artikel 1, lid a aan dat een persoonsgegeven als volgt wordt gedefinieerd: “Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon”. Aan de hand van persoonsgegevens kan men de identiteit achterhalen van de persoon. De gegevens bieden informatie over een specifiek individu. Directe persoonsgegevens zijn bijvoorbeeld naam, adres en geboortedatum. Maar ook zonder de naam kan men achter de identiteit van een individu komen. Dit is indirecte informatie die te herleiden is naar een bepaald persoon.
Voorbeelden van andere persoonsgegevens zijn bijvoorbeeld foto’s, geslacht, e-mailadressen, MSN-accounts, een IP-adres en iemands IQ.
Indirecte gegevens zijn bijvoorbeeld de winst van een eenmanszaak. Hieruit blijkt wat het inkomen van de eigenaar is en is het daarmee een indirect persoonsgegeven. Ditzelfde geldt voor bijvoorbeeld het kenteken van een auto. Reden waarom, is dat men via de Rijksdienst voor het Wegverkeer middels het kenteken achter de eigenaar van de auto kan komen. Ook een luchtfoto van een huis kan als persoonsgegeven worden aangehaald. Aan de hand van een dergelijke foto kan men tenslotte via het kadaster of door gewoonweg naar het huis te lopen erachter komen wie er woont.
In de Wbp wordt een groep persoonsgegevens apart aangemerkt als bijzondere persoonsgegevens. Dit zijn gegevens die speciale aandacht behoeven omdat deze informatie een behoorlijke impact kunnen hebben op iemands privacy. Het gaat dan om gegevens over iemands ras, politieke gezindheid, godsdienst of levensovertuiging, gezondheid, seksuele leven en lidmaatschap van een vakvereniging. Ook strafrechtelijke persoonsgegevens, bijvoorbeeld over veroordelingen, zijn bijzondere gegevens.

Wet Bescherming Persoonsgegevens

De Wet bescherming persoonsgegevens (Wbp) zegt het al, deze wet beoogt persoonsgegevens te beschermen. De Wbp is van toepassing als er allereerst sprake is van:

• een persoonsgegeven;
• dat wordt verwerkt;
• en welke is opgenomen in een bestand.

Op bovenstaande lijst kunnen uitzonderingen van toepassing zijn.
Wat een persoonsgegeven is, is hierboven al uiteengezet, maar wat precies wordt bedoeld met verwerken, geeft de Wbp aan in artikel 1, lid b, te weten “elke handeling of elk geheel van handelingen met betrekking tot opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens”.

Deze gegevens moeten in een bestand zijn opgenomen. Een bestand is een bestand wanneer het geordend is, het volgens bepaalde zoekcriteria toegankelijk is en toegankelijk is voor meerdere personen. Een bestand bedoeld voor privé of huiselijk gebruik, zoals een adressenboek, valt niet onder een bestand als bedoeld voor de Wbp. Andere uitzonderingen waar de Wbp niet over gaat, zijn onder meer de Kieswet, de Politiewet en de in artikel 3 opgesomde verwerking van persoonsgegevens voor journalistieke, artistieke of literaire doeleinden.

De Wbp kent een aantal partijen die betrokken zijn bij de verwerking van persoonsgegevens. Dit zijn onder meer de verantwoordelijke, de betrokkene, de bewerker, de ontvanger en de derde. De verantwoordelijke is degene die het doel van de verwerking vaststelt. De bewerker
is degene die de persoonsgegevens verwerkt.

Artikel 6 van de Wbp legt de essentie van de wet neer: “persoonsgegevens worden in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerkt”. In artikel 8 worden zes gronden gegeven wanneer persoonsgegevens mogen worden verwerkt. Dit zijn:

• ondubbelzinnige toestemming van betrokkene;
• het is op basis van een overeenkomst;
• het betreft een wettelijke verplichting;
• het dient een vitaal belang;
• het is nodig voor een goede vervulling van de publieke taak;
• het dient het noodzakelijk belang van de verantwoordelijke.

Valt de verwerking van persoonsgegevens niet onder een van bovenstaande rechtvaardigingsgronden, dan is de verwerking wettelijk niet toegestaan. Bij de laatste twee gronden is het wel noodzakelijk dat belangen worden afgewogen en dat de betrokkene een verzetrecht heeft.

Hoe werkt de bescherming?
Er zijn zogezegd zes rechtvaardigingsgronden op basis waarvan persoonsgegevens mogen worden verwerkt. Dit wil alleen niet zeggen dat hiermee de betrokkene om wiens persoonsgegevens het gaat niets meer heeft in te brengen. De Wbp stelt in de eerste plaats een bewaartermijn in. Daarnaast mogen niet zomaar alle persoonsgegevens worden verwerkt. Ze dienen wel ter zake, correct en toereikend te zijn. Als een verantwoordelijke voldoende heeft aan naam en adres, zijn overige persoonsgegevens niet nodig. Daarnaast schrijft de wet in artikel 12 een geheimhoudingsplicht voor. Artikel 13 omschrijft dat een bestand beveiligd moet zijn. Het is tenslotte niet de bedoeling dat dergelijke bestanden zomaar op straat kunnen komen te liggen. Voor bijzondere persoonsgegevens is de regelgeving nog veel restrictiever. De verwerking hiervan is in principe verboden, tenzij aan een aantal specifieke regels zoals neergelegd in de wet is voldaan. Rechten die betrokkene zelf heeft, zijn onder meer:

• Recht op informatie.
• Recht op inzage.
• Recht op wijziging
• Recht op klacht
• Recht op verzet.

Als betrokkene heeft men het recht om diens gegevens in te zien bij de betreffende instantie. Dit kan men het beste schriftelijk verzoeken. De instantie in kwestie moet binnen vier weken aan dit verzoek voldoen. Hiervoor mag de instantie een kleine vergoeding vragen. Het is mogelijk dat blijkt dat de gegevens niet correct zijn. De instantie is dan verplicht deze gegevens te wijzigen. (Hiervoor mag het geen vergoeding vragen). Daarnaast houdt het College Bescherming Persoonsgegevens toezicht.

College Bescherming Persoonsgegevens (CBP)

Het College Bescherming Persoonsgegevens (CBP) is ingesteld om toe te zien op naleving en toepassing van de Wet bescherming persoonsgegevens (Wbp), de Wet politiegegevens (Wpg) en de Wet gemeentelijke basisadministratie (Wet GBA). Het is instanties verplicht om het gebruik van persoonsgegevens bij het CBP te melden. Het CBP is een onafhankelijk college. Op de site van de CBP (www.cbpweb.nl) staan de volgende taken en bevoegdheden opgesomd:

• Advies inzake wetgeving
• Toetsing gedragscodes
• Toetsing reglementen
• Melding en voorafgaand onderzoek
• Voorlichting
• Ontheffing verbod verwerking bijzondere gegevens
• Advies vergunning voor doorgifte naar derde landen
• Internationale zaken
• Bemiddeling en klachtbehandeling
• Ambtshalve onderzoek
• Handhaving
• Internationale taken

Tips voor betrokkene

Hieronder treft u een aantal tips die het Ministerie van Justitie op hun website geeft, indien men zelf het verstrekken van persoonsgegevens wil beperken.

• KPN Telecom BV beheert het grootste adressenbestand van Nederland. KPN verkoopt adresgegevens voor reclamedoeleinden. Men kan KPN schriftelijk verzoeken uw adresgegevens niet meer te verkopen. Dit verzoek kunt u richten tot de Afdeling Klantenservice van KPN.
• Ook de gemeente en andere overheidsinstanties verzamelen persoonsgegevens. De gemeente is hiertoe zelfs verplicht voor de Gemeentelijke Basisadministratie. Onder strikte voorwaarden mogen ook andere organisaties van deze gegevens gebruik maken. Het is mogelijk uw gemeente te vragen uw gegevens af te schermen voor deze andere organisaties en instellingen.
• Kentekengegevens zijn persoonsgegevens. Gegevens waar de RDW (Dienst Wegverkeer) over beschikt en ook aan bepaalde instanties onder voorwaarden mag verstrekken. Het commercieel gebruik van uw persoonsgegevens kunt u laten blokkeren door de RDW, door hen dit schriftelijk te verzoeken.
• Als laatste is er nog directmarketing. Als u geen geadresseerde reclame wilt ontvangen, kunt u het desbetreffende bedrijf een brief sturen met het verzoek uw persoonsgegevens niet meer te gebruiken voor commerciële doeleinden. Daarnaast biedt de Stichting Infofilter (www.infofilter.nl) de consument de optie om adresgegevens kosteloos te blokkeren tegen ongewenste geadresseerde post (direct marketing), telemarketing en telefonische marktonderzoeken. De stichting heeft alle blokkades opgeslagen in een grote database. Er zijn meer dan 950 bedrijven aangesloten bij de Stichting Infofilter. Zij hebben zich verplicht de bij Infofilter geregistreerde blokkades te respecteren.