De Wet Bescherming Persoonsgegevens (WBP) beschermt de privacy van een ieder. Stel, een organisatie wil gebruikmaken van een gedigitaliseerde systeem waarin een aantal gegevens van personen worden opgeslagen. Mag dit? En zo ja, zijn er dan nog haken en ogen aan verbonden?
Verwerking persoonsgegevens?
Persoonsgegevens zijn de gegevens die informatie bevatten over een natuurlijke persoon, waarbij die persoon identificeerbaar is. Is de betrokkene niet identificeerbaar, dan is het gegeven geen persoonsgegeven. Een persoon is identificeerbaar als de identiteit van de persoon redelijkerwijs, zonder onevenredige inspanning is vast te stellen.
De wet noemt een aantal handelingen die als verwerking worden aangeduid. Denk bijvoorbeeld aan:
- verzamelen, vastleggen en ordenen;
- bewaren en wijzigen;
- opvragen, raadplegen, gebruiken;
- verspreiding of enige andere vorm van terbeschikkingstelling.
Is het bovenstaande van toepassing? Dan is er in beginsel sprake van verwerking van persoonsgegevens in de zin van de wet.
Plichten?
De wet vraag om een zo’n klein mogelijke inbreuk van de privacy van personen. Met andere woorden persoonsgegevens mogen alleen worden verwerkt voor een bepaald doel en op basis van een grondslag die in de wet is genoemd.
Bij de verwerking van persoonsgegevens ontstaat een aantal (juridische) plichten. Zo dient er in de regel vóóraf een melding te worden gedaan bij het College Bescherming Persoonsgegevens (CBP). Een organisatie kan er ook voor kiezen om een functionaris aan te stellen. In dat geval is een melding bij het CBP niet vereist. Dan volstaat een melding bij deze functionaris.
Bovendien is het verstandig om een reglement vast te stellen; in sommige gevallen is dat zelfs verplicht. Ook dient aan de vereisten van het Vrijstellingsbesluit te worden voldaan. Dit besluit bevat verschillende relevante regels, zoals over de duur van het bewaren van de gegevens.
Als er wordt gestart met de verwerking van persoonsgegevens, dan is het verder raadzaam om een ‘check’ te doen naar de correcte kwaliteitseisen van gegevensverwerking en de beveiliging van de gegevens. Hieraan kleven specifieke voorwaarden.
Risico’s?
De gebruiker van de persoonsgegevens is verantwoordelijk voor de naleving van de WBP. Hieruit volgt dat de gebruiker aansprakelijk is voor de schade die ontstaat bij niet-naleving van de wet. De persoon van wie de gegevens worden verwerkt, kan de organisatie aansprakelijk stellen voor eventuele schade die hieruit voortvloeit.
Daarnaast is op een aantal overtredingen van de WBP straf gesteld. Het openbaar ministerie kan overgaan tot vervolging, waardoor een geldboete van ten hoogste € 4.500 kan volgen. Dit kan bijvoorbeeld spelen wanneer de gegevensverwerking niet is gemeld. Ook is het mogelijk dat het CBP bestuursdwang of een dwangsom oplegt.
Conclusie
Al met al zijn er haken en ogen verbonden aan de toepassing van de WBP. Denk vooraf aan een melding en het opstellen van een reglement. Let op correcte beveiliging en verwerking van de gegevens. Tot slot: wees er van bewust dat de wet een aantal financiële en juridische risico’s met zich meebrengt.