Ius mentis Homepage | Categorieën | Lijst A-Z | Willekeurig artikel | Herpubliceren? | Over deze site | Blog | Contact
 

Persoonsgegevens op Internet

De Wet Bescherming Persoonsgegevens is de belangrijkste wet over persoonsgegevens, informatie zoals naam en adres. Verwerking van persoonsgegevens mag alleen als de betrokkene geïnformeerd is over wat er met de gegevens gebeurt. Er zijn uitzonderingen voor bijvoorbeeld mailinglijsten, forums of privé-netwerken.

Door ICT-jurist Arnoud Engelfriet (blog, contact).

Er bestaat in Nederland geen algemene "wet op de privacy". Er zijn diverse wetten die elk een bepaald aspect van de privacy in Nederland regelen. De belangrijkste en bekendste wet is de Wet Bescherming Persoonsgegevens.

De Wet Bescherming Persoonsgegevens regelt onder welke voorwaarden persoonsgegevens verwerkt mogen worden. Persoonsgegevens zijn alle gegevens die herleidbaar zijn tot een bepaald individu. Omdat bijvoorbeeld een e-mailadres ook een persoonsgegeven is, heeft deze wet ook de nodige implicaties voor Internet-aanbieders en -gebruikers. Zo is het publiceren van e-mailadressen op een website niet zomaar toegestaan. Maar ook bijvoorbeeld de familiestamboom mag niet zomaar op Internet.

Inhoudsopgave

De Wet Bescherming Persoonsgegevens

In 2000 werd de Wet Bescherming Persoonsgegevens (WBP) aangenomen als gevolg van Europese privacy- richtlijn nr. 95/46/EG. Deze wet is de opvolger van de oudere Wet Persoonsregistratie (WPR). De WBP bevat regels voor de "geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen."

Persoonsgegevens

Persoonsgegevens zijn alle gegevens waarmee een bepaald individu geïdentificeerd kan worden. Het bekendste voorbeeld zijn naam- en adresgegevens. Ook e-mailadressen en bijvoorbeeld MSN-accounts worden gezien als persoonsgegevens. Maar ook gegevens die een waardering over een bepaalde persoon inhouden, bijvoorbeeld iemands IQ, kunnen persoonsgegevens zijn wanneer te achterhalen is welke persoon dit IQ heeft.

Op Internet is bijvoorbeeld het IP-adres een persoonsgegeven. Een IP-adres is, samen met een datum en tijd van gebruik van dat adres, te herleiden tot een persoon. Je hebt daar de hulp van een provider bij nodig, maar het kan.

Ook iemands foto is een persoonsgegeven. De geportretteerde is er tenslotte aan te herkennen. Bovendien is aan een foto te zien welk ras iemand is, en of deze persoon man of vrouw is. Volgens de letter van de wet is een foto dan ook een bijzonder persoonsgegeven, waardoor er voor verwerking van foto's extra strenge regels gelden.

Verwerking van persoonsgegevens

Verwerking wil zeggen "elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens." De wet geeft als voorbeelden het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens.

De regels bij verwerking van persoonsgegevens

De betrokkene moet voor elke verwerking van persoonsgegevens zijn toestemming hebben gegeven. Ook heeft hij het recht de informatie die over hem is opgeslagen, te corrigeren of te laten verwijderen. Organisaties die persoonsgegevens verwerken, moeten uitleggen hoe zij dat doen.

Voorafgaande toestemming

Persoonsgegevens mogen alleen worden verwerkt in overeenstemming met de regels van de WBP. De belangrijkste regel is dat de betreffende persoon zijn toestemming moet hebben gegeven voor de verwerking. Worden gegevens gevraagd aan die persoon zelf, dan moet deze vooraf geïnformeerd worden over opname in het bestand. Een registratie-formulier op een website moet dus voorzien zijn van een dergelijke waarschuwing. Ook bij persoonsgegevens die uit andere bronnen worden verzameld, moet de betreffende persoon worden geïnformeerd bij het moment van opname of uiterlijk net voor het moment van verstrekking aan derden. Dit hoeft niet als de betreffende persoon al wist dat zijn gegevens opgenomen zouden worden.

Het is dus niet toegestaan om e-mailadressen van mensen die reageren op je website te verzamelen om ze massaal e-mail te sturen, want het maken van een dergelijke verzendlijst is een vorm van verwerking. Het bedrijf Hotmail mag haar klanten echter wel massaal e-mail sturen, want de klanten hebben hiervoor in de algemene voorwaarden toestemming verleend. Het is altijd de taak van de organisatie die de gegevens verwerkt om de betreffende persoon hierover te informeren.

Ook mogen persoonsgegevens alleen worden verwerkt in overeenstemming met de doeleinden waarvoor ze zijn verkregen. Het abonneebestand voor een Internet-nieuwsbrief mag dus worden gebruikt om die nieuwsbrief rond te sturen, maar het mag niet worden verkocht aan een ander bedrijf voor bijvoorbeeld een reclame mailing.

Informatieplicht

Alle organisaties die persoonsgegevens gebruiken, hebben een informatieplicht. Dit betekent dat zij de personen op wie de gegevens betrekking hebben, moeten laten weten wat zij met hun gegevens gaan doen. Dit hoeft niet wanneer het vanzelfsprekend is (bijvoorbeeld bij het invullen van een registratie-formulier bij een online forum) of wanneer het zeer tijdrovend is om het adres van de betrokkene te achterhalen.

Bij internetdiensten is het gebruikelijk om deze plicht te vervullen door een privacyverklaring of privacystatement op te stellen. Deze kan de bezoeker dan lezen alvorens de site echt te gaan gebruiken. Maar let wel: in een privacyverklaring kan geen toestemming worden verkregen. De verklaring legt uit, meer niet.

Correctierecht

Daarnaast hebben personen die in een bestand zijn opgenomen het recht om hun geregistreerde gegevens in te zien. Ook kunnen zij eisen dat hun gegevens verbeterd, aangevuld, verwijderd of afgeschermd worden. Dat mag wanneer de gegevens die gebruikt worden door de verantwoordelijke feitelijk onjuist, onvolledig of niet ter zake dienend zijn voor het doel of de doeleinden van de verwerking. Een wanbetaler kan echter niet verwijdering van zijn persoonsgegevens eisen bij de debiteurenadministratie van een bedrijf.

Of dit recht ook geldt voor online archieven van kranten of andere nieuwsmedia, is juridisch een lastige vraag. Steeds meer (kranten)archieven zijn online beschikbaar. Niet iedereen vindt het leuk zichzelf daarin terug te vinden. Verwijdering, weghalen of opschonen van berichten daaruit, is juridisch echter zeer lastig. Lees verder in Verwijdering uit online archieven.

Beveiligingsplicht

Bedrijven die persoonsgegevens verwerken, dienen maatregelen te nemen (technisch en organisatorisch) om te voorkomen dat mensen hier ongeautoriseerde toegang toe krijgen. In veel gevallen is het dus nodig om deze gegevens te beveiligen, bijvoorbeeld door wachtwoorden en encryptie toe te passen op de databank. Bij verzending van gegevens (zoals bij het invullen van formulieren) wordt vaak het gebruik van beveiligde internetverbindingen zoals via SSL aangeraden.

Het College Bescherming Persoonsgegevens

Het College Bescherming Persoonsgegevens (CBP) houdt toezicht op de naleving van de Wet Bescherming persoonsgegevens. Verwerkingen van persoonsgegevens moeten hier worden aangemeld, tenzij ze onder één van de vrijstellingen uit de wet vallen. Wie dat niet doet, riskeert een boete.

Taak van het CBP

Toezicht op de naleving van de WBP is in handen van het College Bescherming Persoonsgegevens (CBP), voorheen Registratiekamer. Het CBP adviseert de regering over de bescherming van persoonsgegevens, voert onderzoeken uit, toetst gedragscodes en privacyreglementen en behandelt vragen en klachten. Het CBP is bevoegd om boetes uit te delen aan organisaties die de WBP overtreden. De registraties van bestanden met persoonsgegevens moeten worden aangemeld bij het CBP.

Aanmelden van verwerkingen

Wie bedrijfsmatig of langs geautomatiseerde weg persoonsgegevens verzamelt, moet hiervan melding doen bij het CBP. Doet een bedrijf dit niet, dan kan het CBP een boete tot 4.500 euro opleggen.

Vrijstellingen

Voor een aantal soorten registraties geeft de wet een vrijstelling. Voorbeelden hiervan zijn personeelsadministraties, boekhoudingen, administraties van afnemers en leveranciers, ledenadministraties, abonnementadministraties en administraties van (oud-)leerlingen. Wel worden er in dergelijke gevallen beperkingen gesteld aan de informatie die dan mag worden geregistreerd.

Voor de duidelijkheid: de term 'vrijstelling' slaat alleen op het niet hoeven melden van de verwerking. Het betekent niet dat de verwerking vrijgesteld is van de andere eisen. Gegevens verwerken voor nieuwsbrieven mag dus niet zonder toestemming, ook niet als men binnen de vrijstelling voor Communicatiebestanden valt.

Het CBP heeft een Handreiking Vrijstellingsbesluit gepubliceerd met daarin uitleg over de belangrijkste vrijstellingen. Om er een paar te noemen:

Spam: Ongevraagde reclame

Het rondsturen van ongevraagde commerciële e-mail, in het jargon 'spam' geheten, mag in principe alleen als de geadresseerden hun toestemming hebben verleend voor opname in het bestand van de zender. Het is verboden om "automatische oproepsystemen zonder menselijke tussenkomst, faxen en elektronische berichten" te gebruiken voor het overbrengen van ongevraagde communicatie voor commerciële, ideële of charitatieve doeleinden. Hiermee is het versturen van ongevraagde reclame per e-mail dus verboden, maar ook reclame via SMS is niet langer toegestaan. Doet de verzender dit toch, dan ligt bij hem de bewijslast dat de ontvanger hier vooraf toestemming voor heeft gevraagd.

Op dit moment is het alleen verboden om spam te versturen naar natuurlijke personen, consumenten dus. Per 1 oktober 2009 wordt dit verbod uitgebreid. Ook bedrijven mogen dan alleen nog reclamemails verzonden worden na toestemming van het bedrijf.

E-mail adressen verzamelen

Een veelvoorkomende praktijk op Internet is het verzamelen van e-mailadressen van bijvoorbeeld websites om een bestand op te bouwen, met name voor direct marketing doeleinden. Ook dit lijkt in strijd zijn met de WBP. Het leeghalen van andermans e-mailgids werd in december 2002 verboden omdat de betreffende e-mail gids in haar algemene voorwaarden dit verbood.

Stamboom-onderzoek

Steeds meer mensen, waaronder ook de auteur van dit artikel, publiceren hun stamboom op Internet. De WBP maakt een uitzondering voor verwerking van persoonsgegevens voor uitsluitend persoonlijke doeleinden. Het verzamelen van materiaal ten behoeve van een stamboom, en het maken van de stamboom zelf mag dus zonder toestemming van de personen die erin staan gebeuren. Echter, op het moment dat de stamboom wordt gepubliceerd, bijvoorbeeld op Internet, is er niet langer sprake van "persoonlijke doeleinden". De bovengenoemde regels gelden dan.

Echter, de WBP gaat formeel gesproken over gegevens die herleidbaar zijn tot natuurlijke personen. Volgens de wet is een overledene geen natuurlijk persoon (meer). Derhalve is de WBP niet van toepassing op overleden personen. Houd er echter wel rekening mee dat bijvoorbeeld de partner of kinderen van de overledene gemakkelijk te achterhalen zijn wanneer er voldoende informatie over de overledene zelf wordt gepubliceerd. Daarmee vormt die informatie een persoonsgegeven van die partner of kinderen. De WBP kan dus soms toch van toepassing zijn.

Gerelateerde artikelen

Gespecialiseerd advies nodig?

Heeft u na het lezen van dit artikel nog vragen, of zit u met een juridisch probleem waar u advies over wilt? Neem dan contact op met ICT-jurist Arnoud Engelfriet, auteur van dit artikel.

© Arnoud Engelfriet. Dit werk mag vrij worden verspreid en gepubliceerd zoals bepaald in de licentievoorwaarden.

Laatste wijziging:
1 February 2015