bescherming persoonsgegevens

Bescherming persoonsgegevens binnen uw organisatie

16 februari 2016

Op 1 januari 2016 is er een wetswijziging ingegaan die de Wet Bescherming Persoonsgegevens (Wbp) uitbreid met een meldplicht voor inbreuken op beveiligingsmaatregelen voor persoonsgegevens, ook wel datalekken genoemd. Bovendien mag het College Bescherming Persoonsgegevens (CBP) vanaf 1 januari in meer gevallen een bestuurlijke boete opleggen aan overtreders van de privacyregels.

Binnen organisaties worden op vele verschillende manieren persoonsgegevens verwerkt, bijvoorbeeld bij bestellingen in een webshop, aanmeldingen voor nieuwsbrieven of het opbouwen van een klantenbestand. Dit dient allemaal te gebeuren conform de reeds geldende privacyregels. Deze regels zijn voornamelijk te vinden in de Wbp. Inhoudelijk veranderen de bestaande regels niet, er staan vanaf januari alleen (meer) boetes op het niet naleven ervan.

Wet bescherming persoonsgegevens

Iedereen heeft recht op eerbiediging en bescherming van zijn persoonlijke levenssfeer. Het is dan ook belangrijk dat er zorgvuldig wordt omgegaan met persoonsgegevens. Persoonsgegevens zijn gegevens betreffende een geïdentificeerde of identificeerbare persoon. De informatie moet dus direct over een bepaald persoon gaan of naar deze persoon te herleiden zijn. Persoonsgegevens zijn o.a. iemands naam, adres, geboortedatum, maar ook godsdienst of informatie over gezondheid. Deze laatste twee gegevens zijn voorbeelden van zogenaamde bijzondere persoonsgegeven die vanwege hun gevoelige karakter extra bescherming krijgen.

In de Wet bescherming persoonsgegevens zijn regels vastgelegd die dicteren hoe er met deze persoonsgegevens omgegaan dient te worden. In principe is de Wbp van toepassing op iedere (geautomatiseerde) verwerking van persoonsgegevens. De wet geeft echter een aantal uitzonderingen. Zo is de wet niet van toepassing op verwerking van persoonsgegevens ten behoeve van activiteiten met uitsluitend persoonlijke of huishoudelijk doeleinden.

Organisaties dienen persoonsgegevens in overeenstemming met de wet op een behoorlijke en zorgvuldige wijze te verwerken. Ook mag je persoonsgegeven niet zo maar verwerken, je moet hiervoor wel een uitdrukkelijk omschreven en gerechtvaardigd doel hebben. Je moet de gegevens verwerken op een wijze die verenigbaar is met het doel waarvoor de gegevens zijn verkregen. Persoonsgegevens mogen slechts in een beperkt aantal gevallen verwerkt worden. Wettelijk gezien mag je persoonsgegevens verwerken als je deze bijvoorbeeld nodig hebt voor het uitvoeren van een overeenkomst of als je hiervoor ondubbelzinnige toestemming krijgt van de desbetreffende persoon. Persoonsgegevens mogen in principe niet langer bewaard worden dan strikt noodzakelijk is.

Een van de belangrijkste plichten uit de Wbp is dat een organisatie op de juiste manier met de verkregen persoonsgegevens om moet gaan. Zo moeten er passende technische en organisatorische maatregelen genomen worden om de persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen moeten ervoor zorgen dat er een passend beveiligingsniveau is. Hierbij wordt ook gelet op de risico’s die de verwerking en de aard van de persoonsgegevens met zich meebrengen. Zo behoeft een verzameling e-mailadressen voor een nieuwsbrief minder beveiliging dan een verzameling medische gegevens.

Meldplicht datalekken

Sinds 1 januari kunnen er ook boetes worden opgelegd voor een inadequate beveiliging en het niet melden van een datalek. Van een datalek is sprake wanneer er persoonsgegevens verloren zijn gegaan of als een onrechtmatige verwerking van persoonsgegeven niet redelijkerwijs kan worden uitgesloten (als er een inbreuk is op de beveiliging van de persoonsgegevens).

Organisaties moeten onverwijld een melding doen zodra zich een ernstig datalek voordoet. In sommige gevallen moet het datalek ook aan degene gemeld worden van wie de persoonsgegevens zijn gelekt. Datalekken moeten gemeld worden bij de Autoriteit Persoonsgegevens.

Vanaf januari zijn organisaties dus in ieder geval verplicht om beveiligingsincidenten te melden die leiden tot diefstal, verlies of misbruik van persoonsgegevens. Bijvoorbeeld als de servers waar persoonsgegevens op staan gehackt worden, een laptop met persoonsgegevens gestolen wordt of als een medewerkers een usb-stick met persoonsgegevens verliest.

In de praktijk

Bij het overtreden van de meldplicht kunnen er boetes worden opgelegd tot maar liefst € 820.000,- , al is het waarschijnlijker dat de Autoriteit Persoonsgegevens in eerste instantie vooral waarschuwingen zal geven.

Het is belangrijk om na te gaan of er binnen jouw organisatie persoonsgegevens verwerkt worden en zo ja op welke manier. Ga na of deze bewerking conform de wettelijke regels is of laat je hierover informeren door een jurist. Bekijk of er binnen jouw organisatie nog specifieke risico’s zijn. Vaak is het verstandig om een beleidsplan op te stellen zodat voor iedereen duidelijk is hoe er met persoonsgegevens omgegaan dient te worden en wat er moet gebeuren bij een datalek. Wie is er bijvoorbeeld aansprakelijk voor de melding bij de Autoriteit Persoonsgegeven? Vooral organisaties die veel persoonsgegevens verwerken of die bijzondere persoonsgegevens verwerken zijn gebaat bij een gedegen beleid op dit gebied.

Auteur

mr. B.G.N. (Bart) Gubbels
ondernemingsrecht, arbeidsrecht, contractenrecht


DISCLAIMER: De informatie op deze website is enkel bestemd voor algemene informatiedoeleinden. Hoewel de versterkte informatie met de grootst mogelijke zorgvuldigheid door onze juristen is samengesteld kunnen wij, o.a. vanwege de gecompliceerde en veranderlijke aard van wet- en regelgeving, niet garanderen dat deze informatie compleet, actueel, juist en/of accuraat is op het moment van raadpleging en dat deze toepasbaar is in een specifieke situatie. Wij raden u dan ook aan contact op te nemen met een jurist voordat u handelt of beslist. Zie ook onze uitgebreide disclaimer.