Wijziging Wet bescherming persoonsgegevens – Meldplicht datalekken

Per 1 januari 2016 is de Wet bescherming persoonsgegevens (Wbp) uitgebreid met een meldplicht voor datalekken. Alle organisaties of bedrijven, die persoonsgegevens bijhouden, zijn verplicht om aan de Autoriteit Persoonsgegevens (voorheen bekend als College Bescherming Persoonsgegevens) te melden, als er persoonsgegevens per abuis “op straat” komen te liggen. Wanneer dit niet gemeld wordt, dan kan de Autoriteit Persoonsgegevens een boete opleggen. Die boete kan onder omstandigheden (zeer) aanzienlijk zijn.

De Wet bescherming persoonsgegevens is een uitvloeisel van de Europese richtlijn 95/46/EG die tot doel heeft burgers (natuurlijke personen) te beschermen tegen het registreren en vervolgens onzorgvuldig gebruiken van hun persoonsgegevens.

Grondrecht tot bescherming van persoonsgegevens
Deze bescherming vloeit voort uit art. 8 van het Europees Verdrag voor de Rechten van de Mens en de fundamentele vrijheden (EVRM, 1951). Ook in art. 10 lid 1 van de Nederlandse Grondwet (Gw.) is dit recht vastgelegd: het recht op bescherming van de persoonlijke levenssfeer (de privacy).

Art. 10 lid 1 Gw. luidt:
Ieder heeft, behoudens bij of krachtens de wet te stellen beperkingen, recht op eerbiediging van zijn persoonlijke levenssfeer.

De Grondwet werkt dit in lid 2 en 3 uit door te bepalen dat dit grondrecht moet worden beschermd met nadere wettelijke bepalingen. Art. 10 lid 2 Gw. luidt: “De wet stelt regels ter bescherming van de persoonlijke levenssfeer in verband met het vastleggen en verstrekken van persoonsgegevens”. En lid 3: “De wet stelt regels inzake de aanspraken van personen op kennisneming van over hen vastgelegde gegevens en van het gebruik dat daarvan wordt gemaakt, alsmede op verbetering van zodanige gegevens”.

De Europese wetgever heeft het grondrecht van art. 8 EVRM in de genoemde richtlijn uitgewerkt, en de Europese lidstaten hebben dit geïmplementeerd in hun nationale wetgeving, maar wel binnen de kaders van de Richtlijn. Daarmee zijn de begrippen te interpreteren binnen het kader van de Europese wetgeving en niet uitsluitend binnen het kader van de nationale wet.

Wat zijn persoonsgegevens
Onder persoonsgegevens kan van alles worden verstaan. Uiteraard iemands naam, geboortedatum en adres. Maar ook telefoonnummers, IP-adressen en allerlei andere informatie. Waar het om gaat, is dat er gegevens worden bijgehouden die herleidbaar zijn tot een natuurlijk persoon (daarmee identificeerbaar zijn met die persoon). Dit kunnen behalve tekst ook afbeeldingen of geluidsgegevens zijn. Het begrip is dus zeer ruim. Zodra die gegevens gebruikt kunnen worden om deze te relateren aan een bepaalde persoon is er sprake van persoonsgegevens. Met het toenemen van de technische mogelijkheden worden daarmee ook de gegevens die technisch herleid kunnen worden tot informatie over een bepaald persoon persoonsgegevens. Bvb. een bodyscan image op een luchthaven. Het gaat er verder met name om, of de gegevens invloed kunnen hebben op de manier waarop die persoon in het maatschappelijk verkeer wordt bejegend. De context van de gegevensverzameling is dus van belang. Zodra gegevens gekoppeld kunnen worden aan een specifieke persoon, ook al heeft het verzamelen van die gegevens niet primair tot doel informatie over personen te verzamelen, hebben we te maken met persoonsgegevens. Dat kan dus ook zijn het verzamelen van data over productiviteit in een productieproces, aan de hand waarvan de productiviteit van een individuele medewerker herleid kan worden. Zie de uitvoerige uitleg op de website van de Autoriteit Persoonsgegevens.

Waarop is de Wbp van toepassing?
De Wbp geldt niet voor de verzameling van persoonsgegevens voor persoonlijk of huishoudelijk gebruik. Verder vallen gegevens van niet-natuurlijke personen, zoals bedrijven, niet onder de wet. Voor politie en justitie, de inlichtingendiensten, de burgerlijke stand en de kieswet zijn afzonderlijke wettelijke regelingen. Verder mogen wel persoonsgegevens worden verzameld voor (uitsluitend) journalistieke, artistieke of literaire doeleinden. De wet biedt in art. 25 de mogelijkheid voor het met goedkeuring van de Autoriteit Persoonsgegevens invoeren van sectorsgewijze Gedragscodes.

Wijze waarop met persoonsgegevens moet worden omgegaan
Art. 8 van het Handvest van de grondrechten van de Europese Unie uit 2007 formuleert in het verlengde van art. 8 EVRM dat eenieder recht heeft op bescherming van zijn persoonsgegevens. Dat betekent dat de “verwerking” van die gegevens moet plaatsvinden: “eerlijk, voor bepaalde doeleinden en met toestemming van de betrokkene, op basis van een gerechtvaardigde grondslag waarin de wet voorziet”. Deze bescherming is mede een bescherming tegen de eigen overheid. Naast de genoemde internationale regelingen is er ook nog het Dataprotectieverdrag (Straatsburg, 2003), dat een bredere reikwijdte heeft dan de Europese regels, maar zich beperkt tot minimumnormen.

Wat houdt de bescherming in?
De overheid moet er op toezien, dat het vastleggen en aan anderen verstrekken van persoonsgegevens gereguleerd wordt. Daarnaast heeft de persoon wiens gegevens worden bijgehouden het recht de eigen gegevens in te zien, en eventueel te laten corrigeren. En de betrokkene is gerechtigd te weten waarvoor de gegevens worden gebruikt. Onder “verwerking” van persoonsgegevens verstaat de wet alle bewerkingen met betrekking tot de gegevens: verzamelen, opslaan, bijhouden, wijzigen en zelfs het vernietigen.

Doel van de gegevensverwerking
Art. 6 Wet bescherming persoonsgegevens luidt:
“Persoonsgegevens worden in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerkt”.

Art. 7 Wbp bepaalt verder:
“Persoonsgegevens worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden verzameld”.

Art. 8 geeft aan wanneer gegevens mogen worden bijgehouden. Dat mag in elk geval als de betrokkene ondubbelzinnig toestemming gegeven heeft. Verder mag dit als er een “gerechtvaardigd belang” is van degeen die de data bijhoudt (sub f). Daarbij gelden de eisen van proportionaliteit en subsidiariteit: de verwerking moet passend zijn voor het doel en niet op een andere, minder belastende manier mogelijk zijn.
Verdere bewerking of langer bewaren dan voor het doel nodig is, wordt door de wet verboden (art. 9 tot en met 12).

Bescherming van de databestanden
Art. 13 Wbp schrijft voor dat de verantwoordelijke ervoor moet zorgen dat de gegevens beschermd blijven. Daarvoor moeten passende technische maatregelen worden genomen tegen verlies of onrechtmatige verwerking. Als de verantwoordelijke de gegevens door iemand anders laat bewerken (de bewerker), dan moet de verantwoordelijke erop toezien dat die de gegevens ook adequaat bewaakt. Die afspraken moeten schriftelijk (of op gelijkwaardige wijze) worden vastgelegd (art. 14 lid 5 Wbp).

Bijzondere persoonsgegevens
Voor bepaalde “bijzondere” persoonsgegevens gelden strengere normen. Deze mogen niet worden bijgehouden. Het betreft hier: godsdienst of levensovertuiging, ras, politieke voorkeur, gezondheid, seksuele leven en lidmaatschap van een vakbond. Verder strafblad en gegevens over onrechtmatig of hinderlijk gedrag (zwarte lijsten). Een en ander overigens behoudens uitdrukkelijke toestemming van de betrokkene (art. 23). Art. 17 tot en met 22 regelen de uitzonderingen op dit verbod. Daarbij houdt de ontheffing logisch verband met de verwerker: kerken mogen de kerkelijke gezindheid bijhouden, zorgverleners de gezondheidsgegevens enzovoort.

Meldingsplicht verwerking persoonsgegevens
Eenieder die persoonsgegevens verwerkt, moet dit in beginsel melden bij de Autoriteit Persoonsgegevens, aldus art. 27 Wbp. Op grond van art. 29 Wbp is er echter een Vrijstellingsbesluit vastgesteld, waarin is bepaald dat gegevensverzamelingen waarvan een inbreuk op de fundamentele rechten en vrijheden niet direct te duchten is, niet hoeven te worden aangemeld. Dit betreft behalve wettelijk geregelde databanken ook “verwerkingen die veel voorkomen, standaard zijn, met waarborgen omkleed zijn en waarvan algemeen bekend is dat deze plaatsvinden”.
In de Handreiking Vrijstellingsbesluit Wbp op de website van de Autoriteit Persoonsgegevens wordt de vrijstelling toegelicht. Wanneer de gegevensverzameling wel meldingsplichtig, is maar niet is aangemeld, dan kan de Autoriteit Persoonsgegevens een boete opleggen. De vrijstelling ontslaat de verwerker niet van het zorgvuldig beheer van de gegevens conform de wet.

Meldingsplicht datalek
Per 1 januari 2016 is de verantwoordelijke die een gegevensbestand met persoonsgegevens bijhoudt verplicht de Autoriteit Persoonsgegevens (de wet spreekt nog van “het College”) te melden, wanneer er een datalek is opgetreden (art. 34a Wbp). Dit geldt slechts indien de inbreuk op het gegevensbestand leidt tot de “aanzienlijke kans op ernstige nadelige gevolgen, dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens”.

De voor het databestand verantwoordelijke moet ook de betrokkene(n) direct informeren, “indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer”. De Autoriteit kan de verantwoordelijke ook bevelen dit alsnog te doen als de verantwoordelijke de betrokkene(n) nog niet geïnformeerd heeft.

Sancties
Bij overtreding van de verplichtingen uit de Wet Bescherming Persoonsgegevens kan het College een bestuurlijke boete opleggen van ten hoogste het bedrag van de geldboete van de zesde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht (art. 66). Deze kent zes categorieën (bedragen per 1 januari 2016):
de eerste categorie, € 410;
de tweede categorie, € 4.100;
de derde categorie, € 8.200;
de vierde categorie, € 20.500;
de vijfde categorie, € 82.000;
de zesde categorie, € 820.000.

Deze boetes gelden voor overtreding van alle kernbepalingen, waaronder ook het niet melden zoals thans verplicht is op grond van art. 34a Wbp. De boete wordt overigens alleen opgelegd nadat er een bindende aanwijzing is gegeven ex art. 66 lid 3 Wbp, tenzij er sprake is van opzet of ernstige verwijtbaarheid.

Slotsom
De Wet bescherming persoonsgegevens is een regeling waarmee eenieder die zich bezig houdt met het verzamelen en bewerken van persoonsgegevens met betrekking tot natuurlijk personen terdege rekening zal moeten houden. De uitvoering in de praktijk laat wel veel onduidelijkheid over, doordat het Vrijstellingsbesluit het aan eenieder zelf overlaat te beslissen of de verwerking van persoonsgegevens onder de meldplicht valt. De wet is complex. Voor wie precies wil weten wat de verplichtingen zijn zij verwezen naar de Handleiding op de website van de Autoriteit Persoonsgegevens.

Datalekken
De meldplicht datalekken geldt niet alleen voor verwerkers van persoonsgegevens die zich hebben aangemeld bij de Autoriteit. Dit betekent, dat eenieder melding moet maken van een datalek wanneer er een inbreuk heeft plaatsgevonden op de beveiliging van een webserver of andere data omgeving waar persoonsgegevens op staan. Wanneer alle verwerkers van persoonsgegevens dat bij elke inbreuk zouden doen, dan zou het aantal meldingen aanzienlijk kunnen worden. De wet moet op basis van een inschatting naar redelijkheid worden toegepast. De grens is echter vaag. Dit zadelt de “verantwoordelijke” voor de verwerking van persoonsgegevens op met rechtsonzekerheid.

mr. M. de Vries, 11 februari 2016

0 antwoorden

Plaats een Reactie

Meepraten?
Draag gerust bij!

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *