De spelregels rondom persoonsgegevens

De spelregels rondom persoonsgegevens

Privacy is hot. Zodra er iets misgaat met persoonsgegevens, zitten de media er bovenop. Laatst nog in de gemeente Amersfoort, waar de gegevens van 1.900 zorgcliënten ‘op straat’ kwamen te liggen. Dat zo’n datalek niet de bedoeling is mag duidelijk zijn. Maar wat je precies wel en niet mag doen met persoonsgegevens, daarover krijgen wij veel vragen.

Vragen zoals:

  • “Wat zijn nu precies de regels en waar staan die?”
  • “Mag je productiedata in niet-productieomgevingen (test, analyse, opleiding, demo etc.) gebruiken?”
  • “Wat zijn de sancties als we ons daar niet aan houden?”

In deze blog (lees hier de longread) nemen we je in vogelvlucht mee door de Wet bescherming persoonsgegevens (Wbp). In deze wet is vastgelegd wat persoonsgegevens zijn, waarvoor je ze mag gebruiken en welke sancties staan op overtreding. Toezichthouder is de Autoriteit Persoonsgegevens (AP).

Wat is een persoonsgegeven?

De Wbp geeft de volgende definitie van een persoonsgegeven: “Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.”

Dit is informatie die direct over iemand gaat, of naar deze persoon te herleiden in. Een ‘natuurlijk persoon’ is een ‘levend mens’. Gegevens van organisaties of overleden personen zijn dus geen persoonsgegevens. Informatie als naam, adres + woonplaats, telefoonnummer en postcode + huisnummer zijn wel persoonsgegevens.

De wet biedt geen compleet overzicht van alle soorten persoonsgegevens. Daarom moet elke organisatie zelf een analyse maken van de gegevens die zij vastleggen, en vaststellen welke daarvan persoonsgegevens zijn.

Wat mag je ermee doen?

Je mag persoonsgegevens alleen verwerken als je daarvoor expliciet toestemming hebt van de betrokkene, én als de gegevensverwerking noodzakelijk is voor de uitvoering van de overeenkomst (art. 8 Wbp). Stel dat je de mogelijkheid biedt om online een offerte aan te vragen, dan is het (over het algemeen) niet noodzakelijk om de geïnteresseerde ook zijn leeftijd te laten invullen.

Verder mag je persoonsgegevens alleen verwerken voor het doel waarvoor je ze hebt gekregen (art. 9 lid 1 Wbp). Ook mag je niet méér gegevens gebruiken dan strikt noodzakelijk (art. 11 Wbp). Uiteraard ben je ook verplicht om de gegevens te beveiligen tegen verlies of onrechtmatige verwerking (art. 13 Wbp).

Software testen met persoonsgegevens?

De onduidelijkheid zit hem vaak in het ‘doel’. Zo was lange tijd niet duidelijk of je nieuwe software mag testen met persoonsgegevens. De voorstanders zeiden: goede software heb je nodig voor het uitvoeren voor de overeenkomst, dús mag je die testen met persoonsgegevens. Tegenstanders vonden deze uitleg te breed en pleitten voor alternatieven.

In april 2016 heeft de Autoriteit persoonsgegevens hier in de veelgestelde vragen uitsluitsel over gegeven. Het testen van software is níet het doel waarvoor de persoonsgegevens zijn verkregen. Je mag ze er dus ook niet voor gebruiken.

Hoe dit mis kan gaan kwam tot uiting in dit datalek van een webwinkel die de nieuwe website testte met echte klantgegevens…

Welke sancties staan op overtreding?

De Autoriteit Persoonsgegevens handhaaft de naleving van de Wbp en kan sancties opleggen bij overtreding. Tot eind 2015 had de AP daar nauwelijks mogelijkheden voor. Maar sinds 1 januari 2016 zijn de mogelijkheden om boetes op te leggen uitgebreid. Een overtreding van de Wbp kan sindsdien worden bestraft met een boete van maximaal 820.000 euro (artikel 66 Wbp). Mocht de AP dit bedrag ‘niet passend’ vinden, dan bestaat zelfs de mogelijkheid een boete op te leggen van 10% van de jaaromzet (art. 23 lid 7, WvS). Mocht er sprake zijn van opzet of nalatigheid, dan kunnen bestuurders bovendien persoonlijk aansprakelijk worden gesteld (art. 75 Wbp). Tel daar nog je reputatieschade bij op… geen verhaal om vrolijk van te worden.

Ik hoorde ook nog iets over Europese wetgeving…

Dat klopt: de Wbp vervalt zodra de Europese privacywetgeving in werking treedt. Deze richtlijn, de General Data Protection Regulation, is al goedgekeurd door het Europees Parlement. In voorbereiding op de inwerkingtreding heeft de AP het toezicht op naleving van de Wbp al geïntensiveerd, waarmee de ‘pakkans’ is vergroot.

Over wat de (strengere) Europese wetgeving met zich meebrengt, meer in ons volgende blog.

Meld je aan voor de nieuwsbrief en ontvang onze blogs in je inbox!