Wanneer mogen persoonsgegevens verwerkt worden. Wat is een verwerking als in Wbp?

In het dagelijks leven krijgt bijna iedereen te maken met persoonsgegevens. Het is vanzelfsprekend dat een naam, en bijvoorbeeld een geboortedatum een persoonsgegeven zijn, maar ook een foto is een persoonsgegeven. Zelfs de mededeling dat iemand zijn been gebroken heeft geldt als een persoonsgegeven, er wordt dan immers informatie over de gezondheid van die persoon gegeven.

Om de privacy van burgers te beschermen mogen persoonsgegevens niet zomaar verwerkt worden. Zo mag een webwinkelier bijvoorbeeld wel het adres van zijn klanten gebruiken om de bestelde artikelen te bezorgen maar niet om een reclamefolder te versturen. Het plaatsen van persoonsgegevens op een persoonlijke facebookpagina is wel toegestaan maar op een openbare internetpagina niet.

Het onderstaande artikel legt uit hoe dit in elkaar zit. Zo wordt aandacht besteed aan de volgende onderwerpen:

Het begrip verwerking.
Wanneer de Wet bescherming persoonsgegevens van toepassing is.
Welke rechtvaardigingsgronden bestaan voor het verwerken van persoonsgegeven (art. 8 Wbp.).
Hoe ver deze verwerking mag gaan.

Wat is een verwerking in de zin van de Wbp?

Het begrip verwerking wordt omschreven in art. 1 van de Wet bescherming persoonsgegevens. Een verwerking is elke handeling of geheel van handelingen met betrekking tot persoonsgegevens. In ieder geval vallen daaronder, het verzamelen, vastleggen, ordenen, opvragen, bewaren, bijwerken, wijzigen en tal van dergelijke handelingen. Er is dus al snel sprake van een verwerking. Een goed voorbeeld is het linken naar een website waarop persoonsgegevens van vermeende pedofielen getoond werden. Dit werd in 2009 door de rechtbank te Rotterdam gezien als verlenen van medewerking aan de verspreiding van persoonsgegevens en daarom een verwerking.

Wanneer is de wet bescherming persoonsgegevens van toepassing?

De Wet bescherming persoonsgegevens is, ingevolge art. 2 Wbp., van toepassing op persoonsgegevens die geheel of gedeeltelijk geautomatiseerd verwerkt worden. Een verwerking met een computer is per definitie geheel of gedeeltelijk geautomatiseerd. Het plaatsen van persoonsgegevens op internet wordt dan ook aangemerkt als een gedeeltelijk geautomatiseerde verwerking.

Ook handmatige verwerkingen vallen onder de Wbp, maar alleen als de gegevens bestemd zijn om in een bestand te worden opgenomen. Een bestand is een gestructureerd geheel dat volgens bepaalde criteria toegankelijk is en over meerdere personen gaat. Één patiëntendossier is daarom geen bestand maar een verzameling van 1000 dossiers weer wel. “Volgens bepaalde criteria toegankelijk” slaat op het feit dat een bestand doorzoekbaar moet zijn.

Uitzonderingen.

In artikel 2 lid 2 Wbp zijn enkele uitzonderingsituaties genoemd waar de Wbp niet van toepassing is. Zo valt een verwerking voor persoonlijke of huishoudelijke doeleinden niet onder de Wbp. Een voorbeeld van persoonlijk gebruik is het bijhouden van een adressenboekje. Het is geen probleem om dat adressenboekje vervolgens met diverse familieleden te delen. Dat valt namelijk onder huishoudelijk gebruik. Het plaatsen van persoonsgegevens op een openbare website valt niet onder huishoudelijk gebruik omdat die persoonsgegevens voor iedereen vrij toegankelijk zijn (zie daarvoor het Lindqvist arrest). Het plaatsen op een persoonlijke facebookpagina valt daarentegen waarschijnlijk wel onder huishoudelijk gebruik. Ook zijn diverse specifieke sectoren uitgezonderd. Waaronder: inlichtingendiensten, de politie, het GBA, tbv de kieswet en de MIVD.

Persuitzondering.

De Wbp is gedeeltelijk niet van toepassing op een verwerking ten behoeve van journalistieke, artistieke of literaire doeleinden. In dit geval is namelijk sprake van een botsing tussen twee grondrechten, te weten de vrijheid van meningsuiting (persvrijheid) en het recht op privacy. Indien de Wbp volledig van toepassing zou zijn, heeft dat een beperkende werking op de vrijheid van meningsuiting. Vandaar dat gekozen is voor een lichter regime.

Op welke rechtvaardigingsgronden mogen persoonsgegevens worden verwerkt?

Artikel 8 van de Wet bescherming persoonsgegevens noemt een zestal gronden op basis waarvan persoonsgegevens verwerkt mogen worden. Let wel, deze gronden zijn limitatief. Dat wil zeggen dat verwerking alleen is toegestaan op basis van één van deze gronden.

  1. De betrokkene heeft zijn ondubbelzinnige toestemming verleend. Van een ondubbelzinnige toestemming is sprake indien de toestemming vrij is, geïnformeerd is en een actieve handeling is. Vrij wil zeggen dat de betrokkene geen druk ervaart om met de verwerking in te stemmen. Als bijvoorbeeld het bezoek van een website afhankelijk is van de toestemming is er geen sprake meer van een vrije toestemming. Geïnformeerd houdt in dat de betrokkene moet weten welke gegevens verwerkt worden en hoe die verwerking plaatsvindt. Tot slot moet sprake zijn van een actieve handeling die gericht is op het geven van toestemming. Automatisch aangevinkte checkboxes zijn vallen bijvoorbeeld niet onder een actieve handeling. De toestemming moet verkregen worden vóór de gegevens verwerkt worden. De betrokkene kan de toestemming overigens altijd intrekken.
    .
  2. De gegevensverwerking noodzakelijk is voor de uitvoering van een overeenkomst. Een webwinkelier moet bijvoorbeeld adresgegevens verwerken van zijn klanten om de bestelde goederen te kunnen leveren. De nadruk ligt op “noodzakelijk”. “Wel handig” is bijvoorbeeld niet hetzelfde als noodzakelijk. Het begrip noodzakelijk wijst erop dat geen andere reële mogelijkheid is om de overeenkomst uit te voeren (subsidiariteit) en dat de gegevensverwerking niet verder gaat dan nodig (proportionaliteit).
    .
  3. De gegevensverwerking is noodzakelijk om een wettelijke verplichting na te komen waaraan de verantwoordelijke onderworpen is. Een bank heeft bijvoorbeeld de plicht om persoonsgegevens van haar klanten te bewaren. Ook een gerechtelijk bevel kan reden zijn om persoonsgegevens te verstrekken. Tot slot hebben bepaalde overheidsorganen bevoegdheid om gegevens op te vragen. Zo moet een werkgever bijvoorbeeld bepaalde persoonsgegevens over zijn personeel aan de balastingdienst afstaan. Wel moet de gegevensverwerking noodzakelijk zijn om aan de wettelijke verplichting te voldoen. Zie daarvoor de opmerkingen onder b.
    .
  4. De gegevensverwerking is noodzakelijk ter vrijwaring van een vitaal belang van de betrokkene. Van een vitaal belang is bijvoorbeeld sprake als de gezondheid van de betrokkene ernstig in gevaar is. Deze rechtsvaardigingsgrond ziet alleen op een medische noodzaak en wordt in de praktijk weinig toegepast.
    .
  5. De gegevensverwerking is noodzakelijk voor de goede vervulling van een publiekrechtelijke taak. Eenzelfde rechtvaardigingsgrond als in lid b maar dan heeft deze betrekking op de vervulling van een publiekrechtelijke taak.
    .
  6. De gegevensverwerking is noodzakelijk voor de behartiging van een gerechtvaardigd belang van de verantwoordelijke of een derde, tenzij het belang van de betrokkene prevaleert. Van een gerechtvaardigd belang is bijvoorbeeld sprake als de verwerking dient om een normale bedrijfsvoering te voeren. Zo heeft een werkgever recht om bewakingscamera’s in zijn gebouw op te hangen om zijn gebouw te beveiligen. Ook nu is het begrip noodzakelijk van belang. Voor de beveiliging van het gebouw is het bijvoorbeeld voldoende om alleen de ingangen van het gebouw te filmen. Er hoeven geen camera’s door het gehele gebouw gehangen te worden. Bij een beroep op deze grond wordt altijd een afweging gemaakt tussen het belang van de betrokkene en dat van de verantwoordelijke. Met name het recht op privacy van de betrokkene speelt daarbij een grote rol.

 

Een verwerking mag niet bovenmatig zijn en verbod op verder verwerken.

De verwerking van persoonsgegevens dient op een behoorlijke en zorgvuldige wijze te geschieden. Daarnaast mogen persoonsgegevens niet verder verwerkt dan nodig voor de doeleinden waarvoor ze verkregen zijn. Het criterium van niet verder verwerken ziet op de relatie tussen het doel van het verzamelen en de verwerking Zo mag een webwinkelier adresgegevens van zijn klanten gebruiken om goederen op het juiste adres te laten bezorgen. Hij mag deze gegevens vervolgens niet gebruiken om een nieuwsbrief te verzenden, de gegevens zijn immers niet met dat doel verzameld. Dat kan weer wel als aangegeven wordt dat de adresgegevens ook voor reclamedoeleinden gebruikt worden én toestemming van de betrokkene heeft. Ook mag een verwerking niet bovenmatig zijn. Hetgeen inhoudt dat er niet te veel persoonsgegevens verwerkt mogen worden.

Kan dit artikel gebruikt worden in een juridische procedure?

Dat is onwaarschijnlijk. Om die artikel voor consumenten leesbaar te maken is namelijk wat van de juridische precisie geofferd. Het is voor niet-juristen bovendien niet eenvoudig om de juridische accenten in een casus te herkennen. Dat is vergelijkbaar met het bouwen van een huis op basis van een schetstekening.

Dit artikel is voornamelijk bedoeld om een algemeen beeld te geven van de juridische aspecten van het internet. Lexxit raadt dan ook af om op basis van dit artikel enige juridische stappen te ondernemen. Dat kan veel schade veroorzaken.

Heeft u een vraag over persoonsgegevens?

Mocht u een vraag hebben over persoonsgegevens dan kunt u deze aan Lexxit stellen. U kunt contact opnemen met Lexxit door op de onderstaande knop te drukken.

Lexxit persoonsgegevens

Licentie

Creative Commons-Licentie
Lexxit Knowledge van Lexxit is in licentie gegeven volgens een Creative Commons Naamsvermelding-NietCommercieel-GelijkDelen 3.0 Unported-licentie.
Gebaseerd op een werk op www.lexx-it.nl.

Lexxit geeft vrijblijvend advies over uw casus!

Meld internetmisbruik