Persoonsgegevens op Internet
De Wet Bescherming Persoonsgegevens is de belangrijkste wet over persoonsgegevens, informatie zoals naam en adres. Verwerking van persoonsgegevens mag alleen als de betrokkene geïnformeerd is over wat er met de gegevens gebeurt. Er zijn uitzonderingen voor bijvoorbeeld mailinglijsten, forums of privé-netwerken.
Door ICT-jurist Arnoud Engelfriet (blog, contact).
Er bestaat in Nederland geen algemene "wet op de privacy". Er zijn diverse wetten die elk een bepaald aspect van de privacy in Nederland regelen. De belangrijkste en bekendste wet is de Wet Bescherming Persoonsgegevens.
De Wet Bescherming Persoonsgegevens regelt onder welke voorwaarden persoonsgegevens verwerkt mogen worden. Persoonsgegevens zijn alle gegevens die herleidbaar zijn tot een bepaald individu. Omdat bijvoorbeeld een e-mailadres ook een persoonsgegeven is, heeft deze wet ook de nodige implicaties voor Internet-aanbieders en -gebruikers. Zo is het publiceren van e-mailadressen op een website niet zomaar toegestaan. Maar ook bijvoorbeeld de familiestamboom mag niet zomaar op Internet.
Inhoudsopgave
- De Wet Bescherming Persoonsgegevens
- De regels bij verwerking van persoonsgegevens
- Het College Bescherming Persoonsgegevens
- Spam
- E-mail adressen verzamelen
- Stamboom-onderzoek
De Wet Bescherming Persoonsgegevens
In 2000 werd de Wet Bescherming Persoonsgegevens (WBP) aangenomen als gevolg van Europese privacy- richtlijn nr. 95/46/EG. Deze wet is de opvolger van de oudere Wet Persoonsregistratie (WPR). De WBP bevat regels voor de "geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen."
Persoonsgegevens
Persoonsgegevens zijn alle gegevens waarmee een bepaald individu geïdentificeerd kan worden. Het bekendste voorbeeld zijn naam- en adresgegevens. Ook e-mailadressen en bijvoorbeeld MSN-accounts worden gezien als persoonsgegevens. Maar ook gegevens die een waardering over een bepaalde persoon inhouden, bijvoorbeeld iemands IQ, kunnen persoonsgegevens zijn wanneer te achterhalen is welke persoon dit IQ heeft.
Op Internet is bijvoorbeeld het IP-adres een persoonsgegeven. Een IP-adres is, samen met een datum en tijd van gebruik van dat adres, te herleiden tot een persoon. Je hebt daar de hulp van een provider bij nodig, maar het kan.
Ook iemands foto is een persoonsgegeven. De geportretteerde is er tenslotte aan te herkennen. Bovendien is aan een foto te zien welk ras iemand is, en of deze persoon man of vrouw is. Volgens de letter van de wet is een foto dan ook een bijzonder persoonsgegeven, waardoor er voor verwerking van foto's extra strenge regels gelden.
Verwerking van persoonsgegevens
Verwerking wil zeggen "elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens." De wet geeft als voorbeelden het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens.
De regels bij verwerking van persoonsgegevens
De betrokkene moet voor elke verwerking van persoonsgegevens zijn toestemming hebben gegeven. Ook heeft hij het recht de informatie die over hem is opgeslagen, te corrigeren of te laten verwijderen. Organisaties die persoonsgegevens verwerken, moeten uitleggen hoe zij dat doen.
Voorafgaande toestemming
Persoonsgegevens mogen alleen worden verwerkt in overeenstemming met de regels van de WBP. De belangrijkste regel is dat de betreffende persoon zijn toestemming moet hebben gegeven voor de verwerking. Worden gegevens gevraagd aan die persoon zelf, dan moet deze vooraf geïnformeerd worden over opname in het bestand. Een registratie-formulier op een website moet dus voorzien zijn van een dergelijke waarschuwing. Ook bij persoonsgegevens die uit andere bronnen worden verzameld, moet de betreffende persoon worden geïnformeerd bij het moment van opname of uiterlijk net voor het moment van verstrekking aan derden. Dit hoeft niet als de betreffende persoon al wist dat zijn gegevens opgenomen zouden worden.
Het is dus niet toegestaan om e-mailadressen van mensen die reageren op je website te verzamelen om ze massaal e-mail te sturen, want het maken van een dergelijke verzendlijst is een vorm van verwerking. Het bedrijf Hotmail mag haar klanten echter wel massaal e-mail sturen, want de klanten hebben hiervoor in de algemene voorwaarden toestemming verleend. Het is altijd de taak van de organisatie die de gegevens verwerkt om de betreffende persoon hierover te informeren.
Ook mogen persoonsgegevens alleen worden verwerkt in overeenstemming met de doeleinden waarvoor ze zijn verkregen. Het abonneebestand voor een Internet-nieuwsbrief mag dus worden gebruikt om die nieuwsbrief rond te sturen, maar het mag niet worden verkocht aan een ander bedrijf voor bijvoorbeeld een reclame mailing.
Informatieplicht
Alle organisaties die persoonsgegevens gebruiken, hebben een informatieplicht. Dit betekent dat zij de personen op wie de gegevens betrekking hebben, moeten laten weten wat zij met hun gegevens gaan doen. Dit hoeft niet wanneer het vanzelfsprekend is (bijvoorbeeld bij het invullen van een registratie-formulier bij een online forum) of wanneer het zeer tijdrovend is om het adres van de betrokkene te achterhalen.
Correctierecht
Daarnaast hebben personen die in een bestand zijn opgenomen het recht om hun geregistreerde gegevens in te zien. Ook kunnen zij eisen dat hun gegevens verbeterd, aangevuld, verwijderd of afgeschermd worden. Dat mag wanneer de gegevens die gebruikt worden door de verantwoordelijke feitelijk onjuist, onvolledig of niet ter zake dienend zijn voor het doel of de doeleinden van de verwerking. Een wanbetaler kan echter niet verwijdering van zijn persoonsgegevens eisen bij de debiteurenadministratie van een bedrijf.
Vrijstellingen
De WBP eist dat registraties worden aangemeld. Voor een aantal soorten registraties geeft de wet een vrijstelling. Voorbeelden hiervan zijn personeelsadministraties, boekhoudingen, administraties van afnemers en leveranciers, ledenadministraties, abonnementadministraties en administraties van (oud-)leerlingen. Wel worden er in dergelijke gevallen beperkingen gesteld aan de informatie die dan mag worden geregistreerd.
Het CBP heeft een Handreiking Vrijstellingsbesluit gepubliceerd met daarin uitleg over de belangrijkste vrijstellingen. Om er een paar te noemen:
- Abonnementen: uitgevers van publicaties (ook elektronische) hoeven de administratie van persoonsgegevens van hun abonnees niet aan te melden. Ze mogen niet meer bijhouden dan voor het leveren van de publicaties of het innen van het abonnementsgeld nodig is.
- Wetenschappelijk onderzoek en statistiek: wie onderzoek doet en daarbij persoonsgegevens gebruikt, hoeft zijn databank niet aan te melden. Alleen de hoogst noodzakelijke naam- en adresgegevens mogen worden bijgehouden. Gegevens mogen niet aan derden worden gegeven, behalve met toestemming of als doorgifte noodzakelijk is voor het onderzoek. Doorgifte voor ander onderzoek mag alleen als het gegarandeerd is dat de gegevens nergens anders voor gebruikt kunnen worden.
- Communicatiebestanden: verwerking van voor communicatie benodigde persoonsgegevens hoeft niet te worden aangemeld. De beheerder van een mailinglijst of forum hoeft zijn abonneebestand of lijst met leden dus niet aan te melden. Hij mag echter geen 'bijzondere persoonsgegevens' (b.v. godsdienst, gezondheid of politieke voorkeuren) opslaan. De databank mag ook niet voor andere doeleinden worden gebruikt zonder toestemming van de betrokkenen. De beheerder van een forum mag gegevens van zijn leden dus niet aan adverteerders geven.
- Netwerksystemen: wie een privé-netwerk beheert, mag gegevens bijhouden over gebruikers om het netwerk goed te laten werken, voor de veiligheid en interne controle en onderhoud en beheer. Hieronder vallen zaken zoals 'loggen' wat gebruikers doen, welke ingaande en uitgaande communicatie ze verrichten (maar niet de inhoud daarvan) of het vastleggen waar ze wel en niet bij mogen. Gebruikers moeten hierover wel worden geïnformeerd. Dit geldt niet voor Internet-aanbieders en andere beheerders van openbare telecommunicatienetwerken! Deze moeten hun databank gewoon aanmelden.
Het College Bescherming Persoonsgegevens
Toezicht op de naleving van de WBP is in handen van het College Bescherming Persoonsgegevens (CBP), voorheen Registratiekamer. Het CBP adviseert de regering over de bescherming van persoonsgegevens, voert onderzoeken uit, toetst gedragscodes en privacyreglementen en behandelt vragen en klachten. Het CBP is bevoegd om boetes uit te delen aan organisaties die de WBP overtreden. De registraties van bestanden met persoonsgegevens moeten worden aangemeld bij het CBP.
Spam
Het rondsturen van ongevraagde commerciële e-mail, in het jargon 'spam' geheten, mag in principe alleen als de geadresseerden hun toestemming hebben verleend voor opname in het bestand van de zender. Wie de letterlijke tekst van de WBP er bij pakt, zou kunnen concluderen dat deze toestemming vooraf moet worden verleend, en dat vrijwel alle 'spam' in Nederland onrechtmatig is. rechtszaak tussen tussen XS4All en direct marketingbureau Ab.Fab besliste de Hoge Raad dat Ab.Fab geen spam mocht sturen naar XS4All-klanten. XS4ALL heeft als Internet-provider exclusieve rechten op haar computercapaciteit, haar transmissiecapaciteit en haar klantenbestand, en mag anderen de toegang daartoe weigeren.
De nieuwe Europese richtlijn 2002/58/EG, die uiterlijk 31 oktober 2003 een Nederlandse wet moet worden, brengt hopelijk meer duidelijkheid. Artikel 13 van deze richtlijn zegt dat e-mail met het oog op direct marketing alleen is toegestaan met betrekking tot abonnees die daarin vooraf hebben toegestemd.
E-mail adressen verzamelen
Een veelvoorkomende praktijk op Internet is het verzamelen van e-mailadressen van bijvoorbeeld websites om een bestand op te bouwen, met name voor direct marketing doeleinden. Ook dit lijkt in strijd zijn met de WBP. Het leeghalen van andermans e-mailgids werd in december 2002 verboden omdat de betreffende e-mail gids in haar algemene voorwaarden dit verbood.
Stamboom-onderzoek
Steeds meer mensen, waaronder ook de auteur van dit artikel, publiceren hun stamboom op Internet. De WBP maakt een uitzondering voor verwerking van persoonsgegevens voor uitsluitend persoonlijke doeleinden. Het verzamelen van materiaal ten behoeve van een stamboom, en het maken van de stamboom zelf mag dus zonder toestemming van de personen die erin staan gebeuren. Echter, op het moment dat de stamboom wordt gepubliceerd, bijvoorbeeld op Internet, is er niet langer sprake van "persoonlijke doeleinden". De bovengenoemde regels gelden dan.
Echter, de WBP gaat formeel gesproken over gegevens die herleidbaar zijn tot natuurlijke personen. Volgens de wet is een overledene geen natuurlijk persoon (meer). Derhalve is de WBP niet van toepassing op overleden personen. Houd er echter wel rekening mee dat bijvoorbeeld de partner of kinderen van de overledene gemakkelijk te achterhalen zijn wanneer er voldoende informatie over de overledene zelf wordt gepubliceerd. Daarmee vormt die informatie een persoonsgegeven van die partner of kinderen. De WBP kan dus soms toch van toepassing zijn.
