In mijn artikel van vorige week over de oorsprong van het privacyrecht is de Wet bescherming persoonsgegevens (in dit artikel verder de Wbp genoemd) al zijdelings genoemd. Dit is de wet die onze persoonlijke gegevens beschermt tegen misbruik. Maar wat houdt die bescherming uiteindelijk in en wat kunnen we ervan verwachten? Die vragen zullen in dit artikel beantwoord worden.
De Wbp is de opvolger van de Wet persoonsregistratie en is tot stand gekomen aan de hand van een Europese richtlijn. Een dergelijke richtlijn heeft in de lidstaten geen rechtstreekse gevolgen, maar moet door de lidstaten in hun eigen wetgeving worden opgenomen. Een richtlijn geeft de minimale voorwaarden aan waaraan de landelijke wetgeving moet voldoen. Landen mogen hun landelijke wetgeving meestal wel strenger maken dan de richtlijn, maar niet soepeler. Dit zorgt ervoor dat ieder Europees land aan bijna dezelfde regels moet voldoen, ten behoeve van Europese rechtsgelijkheid. Hierdoor is sprake van eerlijke mededinging, waardoor vrij handelsverkeer mogelijk wordt gemaakt.
De Wbp is volledig gewijd aan de bescherming van persoonsgegevens. In de wet worden beperkingen gesteld aan de mogelijkheden om persoonsgegevens te verwerken, daarnaast worden er voorwaarden aan die verwerking verbonden. Voorts zijn de beperkingen en voorwaarden afhankelijk van het soort persoonsgegevens dat wordt verwerkt; hoe gevoeliger de gegevens, hoe zwaarder de voorwaarden waaraan moet worden voldaan.
De Wbp maakt onderscheid tussen 3 soorten persoonsgegevens. De eerste categorie bestaat uit de gewone persoonsgegevens. Dit zijn bijvoorbeeld naam en adresgegevens van een persoon. De tweede categorie zijn de financiƫle en economische persoonsgegevens. Hiervan kan bijvoorbeeld sprake zijn bij een salarisadministratie. De derde categorie zijn de bijzondere persoonsgegevens. Welke gegevens hieronder vallen, wordt geregeld in deze wet. Het gaat hier onder andere om medische gegevens, etnische gegevens of geloofsgegevens. De verwerking van deze bijzondere persoonsgegevens wordt door de wet verboden, tenzij er een beroep kan worden gedaan op een wettelijke uitzondering.
Als een bedrijf of een particulier persoonsgegevens wil verwerken, moet daarvan een risicoanalyse gemaakt worden. Aan de hand van de uitkomst hiervan kan er gekeken worden welke beveilingsmaatregelen er genomen moeten worden. Daarnaast dient een geautomatiseerde verwerking van persoonsgegevens gemeld te worden bij het College Bescherming Persoonsgegevens of bij de ‘functionaris gegevensbescherming’ (indien aangesteld). Ook op deze meldingsplicht zijn uitzonderingen, die zijn vastgelegd in het Vrijstellingsbesluit. In het vrijstellingsbesluit is door de minister bepaald en vastgelegd onder welke omstandigheden een verwerking als ongecompliceerd beschouwd kan worden en om die reden niet gemeld hoeft te worden. Voor een risicoanalyse of voor informatie over de meldingsplicht kunt u terecht bij een ICT-jurist. Deze kan u tevens adviseren over een eventuele beveiliging van de gegevens.
Naast beperkingen voor de verwerking van persoonsgegevens geeft de wet ook rechten aan de ‘betrokkene’. Dit is degene wiens persoonsgegevens worden verwerkt. Deze betrokkene kan onder andere vragen om inzage, aanpassing of verwijdering van de verwerkte gegevens. Ook heeft hij een recht van verzet tegen de verwerking. Mocht u vermoeden dat er niet zorgvuldig met uw persoonsgegevens wordt of is omgegaan, of wilt u van een van uw rechten uit de Wet bescherming persoonsgegevens gebruik maken, dan kunt u ook bij een ICT-jurist terecht.
Lees ook de andere artikelen van mr. Sophia Sipkens.