De spelregels rondom persoonsgegevens

10 mei

De spelregels rondom persoonsgegevens

Door Nieuws Geen reacties

Privacy is hot. Zodra er iets misgaat met persoonsgegevens, zitten de media er bovenop. Laatst nog in de gemeente Amersfoort, waar de gegevens van 1.900 zorgcliënten ‘op straat’ kwamen te liggen. Dat zo’n datalek niet de bedoeling is mag duidelijk zijn. Maar wat je precies wel en niet mag doen met persoonsgegevens, daarover krijgen wij veel vragen.

Vragen over persoonsgegevens zoals:

  • “Wat zijn nu precies de regels en waar staan die?”
  • “Mag je productiedata in niet-productieomgevingen (test, analyse, opleiding, demo etc.) gebruiken?”
  • “Wat zijn de sancties als we ons daar niet aan houden?”

In deze blog nemen we je in vogelvlucht mee door de Wet bescherming persoonsgegevens (Wbp). In deze wet is vastgelegd wat persoonsgegevens zijn, waarvoor je ze mag gebruiken en welke sancties staan op overtreding. Toezichthouder is de Autoriteit Persoonsgegevens (AP).

Wat is een persoonsgegeven?

De Wbp geeft de volgende definitie van een persoonsgegeven: “Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.”

Dit is informatie die direct over iemand gaat, of naar deze persoon te herleiden in. Een ‘natuurlijk persoon’ is een ‘levend mens’. Gegevens van organisaties of overleden personen zijn dus geen persoonsgegevens. Informatie als naam, adres + woonplaats, telefoonnummer en postcode + huisnummer zijn wel persoonsgegevens.

De wet biedt geen compleet overzicht van alle soorten persoonsgegevens. Daarom moet elke organisatie zelf een analyse maken van de gegevens die zij vastleggen, en vaststellen welke daarvan persoonsgegevens zijn.

Wat mag je ermee doen?

Je mag persoonsgegevens alleen verwerken als je daarvoor expliciet toestemming hebt van de betrokkene, én als de gegevensverwerking noodzakelijk is voor de uitvoering van de overeenkomst (art. 8 Wbp). Stel dat je de mogelijkheid biedt om online een offerte aan te vragen, dan is het (over het algemeen) niet noodzakelijk om de geïnteresseerde ook zijn leeftijd te laten invullen.

Verder mag je persoonsgegevens alleen verwerken voor het doel waarvoor je ze hebt gekregen (art. 9 lid 1 Wbp). Ook mag je niet méér gegevens gebruiken dan strikt noodzakelijk (art. 11 Wbp). Uiteraard ben je ook verplicht om de gegevens te beveiligen tegen verlies of onrechtmatige verwerking (art. 13 Wbp).

Software testen met persoonsgegevens?

De onduidelijkheid zit hem vaak in het ‘doel’. Zo was lange tijd niet duidelijk of je nieuwe software mag testen met persoonsgegevens. De voorstanders zeiden: goede software heb je nodig voor het uitvoeren voor de overeenkomst, dús mag je die testen met persoonsgegevens. Tegenstanders vonden deze uitleg te breed en pleitten voor alternatieven.

In april 2016 heeft de Autoriteit persoonsgegevens hier in de veelgestelde vragen uitsluitsel over gegeven. Het testen van software is níet het doel waarvoor de persoonsgegevens zijn verkregen. Je mag ze er dus ook niet voor gebruiken.

Hoe dit mis kan gaan kwam tot uiting in dit datalek van een webwinkel die de nieuwe website testte met echte klantgegevens…

Welke sancties staan op overtreding?

De Autoriteit Persoonsgegevens handhaaft de naleving van de Wbp en kan sancties opleggen bij overtreding. Tot eind 2015 had de AP daar nauwelijks mogelijkheden voor. Maar sinds 1 januari 2016 zijn de mogelijkheden om boetes op te leggen uitgebreid. Een overtreding van de Wbp kan sindsdien worden bestraft met een boete van maximaal 820.000 euro (artikel 66 Wbp). Mocht de AP dit bedrag ‘niet passend’ vinden, dan bestaat zelfs de mogelijkheid een boete op te leggen van 10% van de jaaromzet (art. 23 lid 7, WvS). Mocht er sprake zijn van opzet of nalatigheid, dan kunnen bestuurders bovendien persoonlijk aansprakelijk worden gesteld (art. 75 Wbp). Tel daar nog je reputatieschade bij op… geen verhaal om vrolijk van te worden.

Ik hoorde ook nog iets over Europese wetgeving…

Dat klopt: de Wbp vervalt zodra de Europese privacywetgeving in werking treedt. Deze richtlijn, de General Data Protection Regulation, is al goedgekeurd door het Europees Parlement. In voorbereiding op de inwerkingtreding heeft de AP het toezicht op naleving van de Wbp al geïntensiveerd, waarmee de ‘pakkans’ is vergroot.

Over wat de (strengere) Europese wetgeving met zich meebrengt, meer in ons volgende blog.

Meld je aan voor de nieuwsbrief en ontvang onze blogs in je inbox!

Related Posts

09 mei

Elke reis begint met de eerste stap

De Algemene Verordening Gegevensbescherming (AVG) houdt de gemoederen bezig en er zijn al heel wat stappenplannen richting compliancy verschenen.... Lees meer

08 nov

Pinkroccade Healthcare en EntrD: oplossing MijnQuarant

Na een gedegen testtraject, gaan Pinkroccade Healthcare en EntrD gebruikers van MijnQuarant binnenkort een plug & play oplossing van... Lees meer

15 feb

Data anonimiseren: wel of niet zelf doen?

Data anonimiseren: wel of niet zelf doen? Steeds meer organisaties willen stoppen met het gebruik van ‘echte’ persoonsgegevens in... Lees meer

datalek bij NS, VodafoneZiggo, Vrienden van Amstel Live, CZ
30 mrt

NS, VodafoneZiggo & Vrienden van Amstel Live dupe van een datalek

Eergisteren was pontificaal in het nieuws en op social media te lezen: NS waarschuwt 100.000 klanten vanwege datalek, helaas... Lees meer

Datamasking
03 apr

Data maskeren

Data maskeren is een belangrijke praktijk voor het beschermen van de privacy van individuen en het voorkomen van ongewenste... Lees meer

25 apr

Snel snel snel! – De invloed van agile op testen

Veel organisaties zijn al overgegaan van Prince2 op meer agile ontwikkelmethodes. Nog veel meer organisaties staan op het punt... Lees meer

Jonas at See sponsored by EntrD
04 apr

Jonas at Sea

Een half jaar geleden schreven wij dat EntrD sponsor is van Jonas at Sea. Wij leerden Jonas van Polen... Lees meer

26 mrt

EntrD legt stevige basis voor een mooie toekomst

EntrD wil groeien en heeft daarvoor kapitaal gezocht. Dankzij een investering van de Noordelijke Ontwikkelings Maatschappij (NOM) en twee... Lees meer

13 feb

Partnership Cegeka – EntrD

Met de komst van de Algemene Verordening Gegevensbescherming (AVG) is het niet langer toegestaan uw data uit Dynamics Empire... Lees meer

05 feb

Oelan en EntrD over software testen en privacy

‘Kopietje productiedata draaien kan echt niet meer’ De één is consultant en heeft verstand van ICT, testen en privacy. De... Lees meer