De spelregels rondom persoonsgegevens

10 mei

De spelregels rondom persoonsgegevens

Door Nieuws Geen reacties

Privacy is hot. Zodra er iets misgaat met persoonsgegevens, zitten de media er bovenop. Laatst nog in de gemeente Amersfoort, waar de gegevens van 1.900 zorgcliënten ‘op straat’ kwamen te liggen. Dat zo’n datalek niet de bedoeling is mag duidelijk zijn. Maar wat je precies wel en niet mag doen met persoonsgegevens, daarover krijgen wij veel vragen.

Vragen over persoonsgegevens zoals:

  • “Wat zijn nu precies de regels en waar staan die?”
  • “Mag je productiedata in niet-productieomgevingen (test, analyse, opleiding, demo etc.) gebruiken?”
  • “Wat zijn de sancties als we ons daar niet aan houden?”

In deze blog nemen we je in vogelvlucht mee door de Wet bescherming persoonsgegevens (Wbp). In deze wet is vastgelegd wat persoonsgegevens zijn, waarvoor je ze mag gebruiken en welke sancties staan op overtreding. Toezichthouder is de Autoriteit Persoonsgegevens (AP).

Wat is een persoonsgegeven?

De Wbp geeft de volgende definitie van een persoonsgegeven: “Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.”

Dit is informatie die direct over iemand gaat, of naar deze persoon te herleiden in. Een ‘natuurlijk persoon’ is een ‘levend mens’. Gegevens van organisaties of overleden personen zijn dus geen persoonsgegevens. Informatie als naam, adres + woonplaats, telefoonnummer en postcode + huisnummer zijn wel persoonsgegevens.

De wet biedt geen compleet overzicht van alle soorten persoonsgegevens. Daarom moet elke organisatie zelf een analyse maken van de gegevens die zij vastleggen, en vaststellen welke daarvan persoonsgegevens zijn.

Wat mag je ermee doen?

Je mag persoonsgegevens alleen verwerken als je daarvoor expliciet toestemming hebt van de betrokkene, én als de gegevensverwerking noodzakelijk is voor de uitvoering van de overeenkomst (art. 8 Wbp). Stel dat je de mogelijkheid biedt om online een offerte aan te vragen, dan is het (over het algemeen) niet noodzakelijk om de geïnteresseerde ook zijn leeftijd te laten invullen.

Verder mag je persoonsgegevens alleen verwerken voor het doel waarvoor je ze hebt gekregen (art. 9 lid 1 Wbp). Ook mag je niet méér gegevens gebruiken dan strikt noodzakelijk (art. 11 Wbp). Uiteraard ben je ook verplicht om de gegevens te beveiligen tegen verlies of onrechtmatige verwerking (art. 13 Wbp).

Software testen met persoonsgegevens?

De onduidelijkheid zit hem vaak in het ‘doel’. Zo was lange tijd niet duidelijk of je nieuwe software mag testen met persoonsgegevens. De voorstanders zeiden: goede software heb je nodig voor het uitvoeren voor de overeenkomst, dús mag je die testen met persoonsgegevens. Tegenstanders vonden deze uitleg te breed en pleitten voor alternatieven.

In april 2016 heeft de Autoriteit persoonsgegevens hier in de veelgestelde vragen uitsluitsel over gegeven. Het testen van software is níet het doel waarvoor de persoonsgegevens zijn verkregen. Je mag ze er dus ook niet voor gebruiken.

Hoe dit mis kan gaan kwam tot uiting in dit datalek van een webwinkel die de nieuwe website testte met echte klantgegevens…

Welke sancties staan op overtreding?

De Autoriteit Persoonsgegevens handhaaft de naleving van de Wbp en kan sancties opleggen bij overtreding. Tot eind 2015 had de AP daar nauwelijks mogelijkheden voor. Maar sinds 1 januari 2016 zijn de mogelijkheden om boetes op te leggen uitgebreid. Een overtreding van de Wbp kan sindsdien worden bestraft met een boete van maximaal 820.000 euro (artikel 66 Wbp). Mocht de AP dit bedrag ‘niet passend’ vinden, dan bestaat zelfs de mogelijkheid een boete op te leggen van 10% van de jaaromzet (art. 23 lid 7, WvS). Mocht er sprake zijn van opzet of nalatigheid, dan kunnen bestuurders bovendien persoonlijk aansprakelijk worden gesteld (art. 75 Wbp). Tel daar nog je reputatieschade bij op… geen verhaal om vrolijk van te worden.

Ik hoorde ook nog iets over Europese wetgeving…

Dat klopt: de Wbp vervalt zodra de Europese privacywetgeving in werking treedt. Deze richtlijn, de General Data Protection Regulation, is al goedgekeurd door het Europees Parlement. In voorbereiding op de inwerkingtreding heeft de AP het toezicht op naleving van de Wbp al geïntensiveerd, waarmee de ‘pakkans’ is vergroot.

Over wat de (strengere) Europese wetgeving met zich meebrengt, meer in ons volgende blog.

Meld je aan voor de nieuwsbrief en ontvang onze blogs in je inbox!

Related Posts

25 apr

Snel snel snel! – De invloed van agile op testen

Veel organisaties zijn al overgegaan van Prince2 op meer agile ontwikkelmethodes. Nog veel meer organisaties staan op het punt... Lees meer

08 okt

Plug & play variant van de Datafactory voor woningcorporaties

(Bijna) alle woningcorporaties kunnen nu gebruik maken van een plug & play variant van de Datafactory! Voor woningcorporaties is een... Lees meer

08 mrt

Anonimiseertool voor ChipSoft HiX in de maak

EntrD heeft samen met Zapphire een oplossing ontwikkeld die patiëntgegevens in ChipSoft HiX anonimiseert: Datafactory HiXPort. De anonimiseertool wordt... Lees meer

27 mrt

EntrD klaar voor booming markt

HEERENVEEN EntrD uit Heerenveen is klaar voor de booming maanden die eraan zitten te komen vanwege de nieuwe Europese... Lees meer

26 mrt

EntrD in Computable

EntrD in Computable, uitgave 6 april Zorg & ICT Wilt u betrouwbaar uw systemen testen én de privacy van uw... Lees meer

26 mrt

EntrD legt stevige basis voor een mooie toekomst

EntrD wil groeien en heeft daarvoor kapitaal gezocht. Dankzij een investering van de Noordelijke Ontwikkelings Maatschappij (NOM) en twee... Lees meer

13 okt

2017 wordt het jaar van de implementatie

Data privacy is duidelijk een hot topic. Dat bleek niet alleen uit de hoge opkomst bij het Data Privacy... Lees meer

13 jul

Voordeur en achterdeur op slot?

De vakantie staat voor de deur. Half Nederland verlaat straks zijn huis voor langere tijd. En wat is het... Lees meer

datalek bij NS, VodafoneZiggo, Vrienden van Amstel Live, CZ
30 mrt

NS, VodafoneZiggo & Vrienden van Amstel Live dupe van een datalek

Eergisteren was pontificaal in het nieuws en op social media te lezen: NS waarschuwt 100.000 klanten vanwege datalek, helaas... Lees meer

21 feb

Content is King

In het Engels klinkt het zo makkelijk, ‘content is king’. Of in goed Nederlands, ‘het gaat om de inhoud’.... Lees meer