Wet bescherming persoonsgegevens

beheer

Het achterlaten van persoongegevens, zoals bijvoorbeeld naam- en adresgegevens, is zo gewoon dat we er eigenlijk niet meer over nadenken. Het is bekend dat met name het bedrijfsleven gretig gebruik maakt van deze gegevens om deze bijvoorbeeld te gebruiken bij het aanprijzen van nieuwe producten. Of dit is toegestaan is soms de vraag. In ieder geval dient zowel het bedrijfsleven als ieder ander die persoonsgegevens verwerkt zich te houden aan strikte voorwaarden. Voorwaarden die met name voortvloeien uit de op 1 september 2001 in werking getreden Wet bescherming persoonsgegevens (Wpb).

Persoonsgegevens in de zin van de Wpb zijn alle gegevens die informatie kunnen verschaffen over een identificeerbaar natuurlijk persoon. Een persoon is duidelijk identificeerbaar als zijn geboortedatum, naam, adres, geslacht etc. bekend zijn. Ook bij meer indirecte gegevens zoals bijvoorbeeld video-opnamen van de persoon of een indeling naar inkomenscategorieën kan iets aangeven over de persoon en kan dus een persoonsgegeven zijn. Voorwaarde is dat de identiteit van de persoon zonder onevenredige inspanning kan worden vastgelegd.

Zodra is vastgesteld dat de verwerking van persoonsgegevens onder de reikwijdte van de Wbp valt, zal diegenen die de persoonsgegevens in haar bezit heeft en daarvan gebruik maakt, dit moeten melden bij het College bescherming persoonsgegevens die als toezichthouder optreedt. De verwerking van persoonsgegevens is slechts toegestaan op een aantal in de Wpb genoemde gronden, zoals bijvoorbeeld op grond van de wet, indien toestemming is verleend door diegene die de persoonsgegevens heeft verstrekt, indien het noodzakelijk is voor het afsluiten van een overeenkomst (denk bijvoorbeeld aan het sluiten van een koopovereenkomst etc.). Niet alle gevallen van gegevensverwerking vallen onder de Wpb. Zo hoeft het bijhouden van een personeelsregistratie en een boekhouding bijvoorbeeld niet te worden aangemeld. Alle vrijstellingen die deze wet kent zijn opgenomen in het Vrijstellingsbesluit.

Wat betekent deze wet concreet voor u? De gegevensverwerkers moeten zich allereerst houden aan een informatieplicht. Ze moeten u op de hoogte brengen over wie zij zijn, u informeren over het feit dat zij beschikken over uw gegevens en u aangeven wat zij met deze gegevens gaan doen. Indien u hier niet mee kunt instemmen, kunt u hiertegen bezwaar maken. Ook heeft u het recht om uw gegevens in te zien en onjuiste gegevens te laten wijzigen. Het meest in het oog springende voorbeeld van gegevensverwerking is die van de direct mail. In deze reclamefolders die u ontvangt, wordt vaak een aanbieding gedaan etc. Indien u tegen deze vorm van post bezwaar heeft, kunt u het desbetreffende bedrijf aangegeven dat u uit het adressenbestand wenst te worden geschrapt. Ook komt het vaak voor dat gegevensbestanden worden verhandeld. Hierover dient het bedrijf dat de gegevens aan derden verhandelt u te informeren. Toch blijkt het in de praktijk niet altijd zo te werken. Hoe vaak komt het niet voor dat u “ongewenste post” ontvangt waarbij u geen idee heeft hoe men aan uw gegevens is gekomen.

Ter voorkoming van dit soort praktijken kan het College bescherming persoonsgegevens maatregelen treffen. Deze maatregelen variëren van het opleggen van een boete tot het uitoefenen van bestuursdwang. De overtreder wordt in dit laatste geval een termijn gegund om de overtreding te beëindigen/ ongedaan te maken. De meest vergaande actie die u heeft, is de mogelijkheid om de gegevensverwerker aan te spreken voor de geleden schade. Dit zal in de praktijk zelden voorkomen.