Deze website serveert cookies bij de advertenties    |    Meer informatie    |    Geen melding meer: ik vind cookies OK
Zie ook: Bescherming persoonsgegevens | Bewerkersovereenkomst | Binding Corporate Rules | Cookies | Dataretentie | Datalekken | Data Protection Officer | Doorgifte persoonsgegevens | Europese Privacyverordening AVG | Kopie paspoort | Persoonsgegevens | EU-US Privacy Shield | Vergeetrecht

Bescherming van privacy & persoonsgegevens

De bescherming van de privacy is in verschillende wetten en verdragen geregeld. De belangrijkste wet op dit gebied is de Wet Bescherming Persoonsgegevens, in het dagelijks leven ook wel 'privacywet' genoemd. Daarnaast geeft de Telecommunicatiewet regels op het gebied van mailings, spam en cookies.

De Wet Bescherming Persoonsgegevens (Wbp)

De Wbp, die uit 2001 dateert, is de Nederlandse uitwerking van de Europese Privacyrichtlijn uit 1995 (nr. 95/46/EG). Elke Europese lidstaat heeft op basis van deze richtlijn zijn eigen privacywet opgesteld. Dit betekent dat de privacywetgeving in de verschillenden Europese lidstaten niet helemaal gelijk is.

Om de onderlinge verschillen gelijk te trekken is een Europese privacyverordening ontworpen. Deze Algemene Verordening Gegevensbescherming (AVG) is in mei 2016 vastgesteld en zal vanaf 25 mei 2018 van toepassing zijn. Vanaf dat moment is in de hele Europese Unie één privacyregeling van toepassing zijn.
Nederland kent al de Wet Meldplicht Datalekken die in grote lijnen dezelfde bepalingen kent als de AVG.

De Wbp bevat regels voor het verwerken van persoonsgegevens, waarbij de nadruk ligt op het geautomatiseerd verwerken van persoonsgegevens. Denk hierbij aan het verwerken van persoonsgegevens met behulp van een computer. Bij de inzet van cloud computing hebben deze regels extra aandacht nodig.

Wanneer is de Wet Bescherming Persoonsgegevens niet van toepassing?

De Wbp is niet op elke verwerking van persoonsgegevens van toepassing. Zo is de Wbp niet van toepassing op de verwerking van persoonsgegevens voor uitsluitend persoonlijke of huishoudelijke doeleinden. Voorbeelden hiervan zijn persoonlijke aantekeningen, of een lijst met adressen en telefoonnummers van vrienden en familieleden.

Daarnaast is toepasselijkheid van de Wbp uitgesloten voor verwerking van persoonsgegevens door inlichtingen- en veiligheidsdiensten, voor de uitoefening van de politietaak en in nog enkele door de wet omschreven gevallen.

Wat is een persoonsgegeven?

Persoonsgegevens zijn alle gegevens aan de hand waarvan een persoon kan worden geïdentificeerd. Een persoon kan worden geïdentificeerd als degene die het persoonsgegeven gebruikt de persoon kan identificeren zonder een bijzondere inspanning te leveren. Hierbij kun je denken aan naam- en adresgegevens. Als persoonsgegeven worden ook beschouwd e-mailadressen, pasfoto's, vingerafdrukken en bijvoorbeeld IP-adressen. En gegevens die een waardering geven over een persoon, bijvoorbeeld iemands IQ.

Wat is een bijzonder persoonsgegeven?

Privacy / privé Naast gewone persoonsgegevens kent de wet ook bijzondere persoonsgegevens. Dit zijn gegevens die zo gevoelig zijn dat de verwerking ervan iemands privacy ernstig kan aantasten. Zulke gegevens mogen dan ook alleen onder zeer strenge voorwaarden worden verwerkt. Onder bijzondere of gevoelige persoonsgegevens vallen, bijvoorbeeld, gegevens die iets zeggen over iemands ras, godsdienst, gezondheid, strafrechtelijk verleden of seksuele leven. Ook een lidmaatschap van een vakvereniging en het burgerservicenummer (BSN) zijn bijzondere persoonsgegevens.

Wanneer is er sprake van verwerking van persoonsgegevens?

Onder verwerking wordt verstaan elke handeling met betrekking tot persoonsgegevens. De wet noemt als voorbeelden van verwerking: het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekking door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen en vernietigen van gegevens.
Uit deze opsomming blijkt dat algauw sprake is van het verwerken van persoonsgegevens. Je zou kunnen stellen dat alles wat men met een persoonsgegeven doet onder verwerken valt.

Algemene regels voor verwerking persoonsgegevens

Hoofdregel is dat persoonsgegevens alleen in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze worden verwerkt. Daarnaast mogen persoonsgegevens slechts worden verzameld als daarvoor een precieze doelomschrijving wordt gegeven. Bovendien bepaalt de wet dat persoonsgegevens slechts mogen worden verwerkt voor zover zij toereikend, ter zake dienend en niet bovenmatig zijn.

Een voorbeeld uit de praktijk is het maken van een kopie paspoort.
Het bekijken van een identiteitsbewijs ter controle of het tijdelijk in bewaring nemen ervan valt niet onder verwerking van persoonsgegevens.
Sinds 6 november 2017 hoeft een organisatie bij de Autoriteit Persoonsgegevens niet meer te melden dat er persoonsgegevens verwerkt worden. Dit is vooruitlopend op een zelfde bepaling in de Algemene Verordening Gegevensbescherming. Sinds 1 januari 2016 stond al geen boete meer op het niet-melden. Verwerking van persoonsgegevens met een bepaald risico op grond van artikel 31 van de Wet bescherming persoonsgegevens (Wbp) moet nog steeds gemeld worden bij de AP.

Behalve bovengenoemde algemene regels geldt dat er voor elke verwerking van persoonsgegevens een rechtvaardigingsgrond aanwezig moet zijn. Dit wordt hieronder toegelicht.

Voorwaarden voor verwerking persoonsgegevens: rechtvaardigingsgronden

Naast bovengenoemde algemene regels stelt de wet als eis dat voor elke verwerking van persoonsgegevens ten minste één van de in de wet genoemde rechtvaardigingsgronden van toepassing moet zijn (artikel 8 Wbp). De wet kent de volgende grondslagen:

Het exporteren van persoonsgegevens: doorgifte

Privacy - sleutel Het exporteren van persoonsgegevens, ook wel doorgifte genoemd, is een vorm van verwerking van persoonsgegevens. De hierboven omschreven voorwaarden zijn hierop onverkort van toepassing. Daarnaast zijn er, afhankelijk van het land waarnaar de gegevens worden doorgegeven, extra voorwaarden van toepassing.
Zie de pagina doorgifte persoonsgegevens

Wat zijn de rechten van betrokkenen?

De Wet Bescherming Persoonsgegevens richt zich niet alleen tot degenen die persoonsgegevens verwerken, maar kent ook rechten toe aan personen van wie de gegevens worden verwerkt.

Autorieit Persoonsgegevens houdt toezicht

De Autorieit Persoonsgegevens (AP) is de toezichthouder voor verwerking van persoonsgegevens. Daarnaast adviseert de AP de regering met betrekking tot vraagstukken die te maken hebben met de verwerking van persoonsgegevens.

Binnen een organisatie kan een Functionaris voor de Gegevensbescherming worden aangesteld om toezicht te houden op de toepassing en naleving van de Wet Bescherming Persoonsgegevens (Wbp) binnen een organisatie. Deze functionaris wordt ook wel Data Protection Officer genoemd.

Meldplicht datalekken

Artikel 34a van de Wet Bescherming Persoonsgegevens regelt een meldplicht voor datalekken. De meldingen moeten worden gedaan aan bij de AP en, in bepaalde gevallen, aan de betrokken personen. Voor meer informatie zie: datalekken

Bijhouden van zwarte lijst privacyinbreuk?

Een zogenoemde zwarte lijst is een lijst waarop personen staan met wie een bepaalde organisatie (of branche) geen zaken meer wil doen. Bijvoorbeeld, omdat deze personen zich schuldig maken aan winkeldiefstal of structureel overlast veroorzaken. Het bijhouden van een zwarte lijst is niet zomaar toegestaan. Het is een bewerken van persoonsgegevens waarvoor bijzondere voorwaarden gelden. Voor meer informatie zie: voorwaarden zwarte lijst.

Privacy in de pers - Edward Snowden & PRISM

In juni 2013 onthult Edward Snowden dat de NSA, de geheime dienst van de Verenigde Staten, samen met de FBI stelselmatig informatie verzamelt van (ook Nederlandse) burgers en bedrijven. Dit gebeurt via het Amerikaanse PRISM-programma. De servers van negen belangrijke Amerikaanse internetbedrijven worden direct afgetapt. Geluid, videogesprekken, e-mails, foto's, documenten en logbestanden worden geraadpleegd. Het betreft in ieder geval diensten van Microsoft, Yahoo, Google, Facebook, AOL, Skype, YouTube en Apple.
In de daaropvolgende maanden worden door Snowden meer onthullingen gedaan. Diverse regeringen, waaronder de Nederlandse, bespioneren burgers of eigenen zich meer informatie toe dan wettelijk is toegestaan.
Lees meer hierover bij Wikipedia.
PRISM kan gezien worden als een opvolger van ECHELON.
In dit verband moeten we ook CISA noemen, een wet die in oktober 2015 in Amerika werd aangenomen. CISA maakt het mogelijk dat bedrijven informatie delen met de overheid, om daarmee o.a. cyberaanvallen te voorkomen. Deze wet gaat ervan uit dat de overheid meer kennis heeft dan de afzonderlijke bedrijven waardoor die bedrijven beter beschermd zouden zijn. Bedrijven kunnen -op vrijwillige basis- grote hoeveelheden persoonlijke gegevens van gebruikers delen met de overheid.

Verwijdering van gegevens op internet

Op de website van Bits of Freedom is veel informatie te vinden over privacy(rechten) op internet. Er is een wizard (PIM) om een brief op te stellen om bij instanties op te vragen welke gegevens over je zijn vastgelegd.
De Suicide Machine helpt om je gegevens te verwijderen van Facebook, LinkedIn, MySpace en Twitter. Men spreekt in dit kader van ontvrienden.

Google kent sinds april 2013 een optie om een account te verwijderen. Deze mogelijkheid is bij de instellingen te vinden onder Accountactiviteit of Inactiviteitsvoorkeuren. Daarmee is te bepalen na hoeveel tijd van inactiviteit een Google account(s) worden verwijderd.
In juni 2015 introduceerde Google een website waarop de instellingen van een gebruiker / betrokkene in te zien zijn, voor alle diensten van Google: Mijn account. Ook wel Google's Privacy Check genoemd.
Microsoft heeft een soortgelijk dienst: Privacy Dashboard


Persoonsgegevens - briefje met pincode

Het recht om vergeten te worden - vergeetrecht

Hierboven beschreven we de situaties waarin iemand zijn account(gegevens) wil verwijderen. Dat betreft accounts die zelf zijn aangelegd en gegevens die handmatig of via geautomatiseerd aan dat account zijn gekoppeld.
Het recht om vergeten te worden is een begrip dat gaat over specifieke informatie op internet over een persoon (niet per se alle informatie van die persoon). Zoekmachines spelen hierin een cruciale rol omdat zij geautomatiseerd veel informatie over een persoon kunnen rubriceren en daarmee verbanden leggen die niet zichtbaar zouden zijn zonder de gebruikte technieken.
Zie ook: vergeetrecht

Het Europese Hof van Justitie heeft in mei 2014 een belangrijke uitspraak gedaan in dit verband (C-131/12). Het betrof een Spanjaard die nadelen ondervond van een krantenartikel uit 1998 over gedwongen verkoop van zijn bezittingen. Het Europese Hof bepaalde dat Google deze gegevens op zijn verzoek moet verwijderen. Let wel: de oorspronkelijke gegevens uit de krant blijven bewaard. Er vindt dus geen 'geschiedvervalsing' plaats.
Met de uitspraak van het Europese Hof wordt in zijn algemeenheid de mogelijkheid geschapen om een zoekmachine te vragen om bepaalde gegevens over personen te verwijderen.
De genoemde uitspraak gaf tevens aan dat Google zich aan de Europese privacyregels moet houden, ook al vindt de verwerking van Europese persoonsgegevens plaats in de Verenigde Staten.

Verwijderen uit zoekresultaten

Als gevolg van het hiervoor genoemde arrest van het Europese Hof van Justitie heeft Google in mei 2014 het mogelijk gemaakt om een verzoek in te dienen om informatie uit de zoekresultaten te verwijderen.
Lees meer hierover bij Google: verwijdering uit zoekresultaten
En Google's algemene verwijderingsbeleid.

Andere zoekmachines zijn ook gehouden aan dit arrest. Lees meer hierover op de pagina over vergeetrecht

Zoekmachines en privacy

Zoekmachines slaan uw voorkeuren en zoekopdrachten op om ervoor te zorgen dat zoekresultaten steeds relevanter worden. Dat betekent dat de gevonden resultaten beter voldoen aan uw behoeften en dat geplaatste advertenties steeds beter aansluiten op uw profiel. Als u cookies van zoekmachines verwijdert gaat veel informatie verloren. Een deel van de opgbouwde informatie blijft bewaard op de servers van de zoekmachines.
Wanneer u niet wilt dat de zoekmachines informatie van en over u opslaan, dan is DuckDuckGo een alternatief. Deze zoekmachine bewaart geen gegevens over gebruikers en waar ze naar zoeken. Wanneer een overheidsdienst data opeist van DuckDuckGo, is er geen identificeerbare data om door te geven.
DuckDuckGo zoekmachine

Privacy statement

Het is een wettelijke verplichting om klanten of bezoekers duidelijk te informeren over welke gegevens verzameld worden en met welk doel dat gebeurt. Veel bedrijven en websites hanteren een privacyverklaring om de klanten of gebruikers te informeren hoe wordt omgegegaan met de persoonsgegevens. Een privacy statement kan na verloop van tijd wijzigen. Een toezegging om de gegevens niet te delen met andere bedrijven kan daarom achteraf nietszeggend blijken te zijn. Zo beloofde Facebook ooit om de data van de gebruikers niet te delen met adverterders. Dat deed het wel.

Het belang van privacy

Niet iedereen maakt zich druk over zijn of haar privacy. Daarom twee voorbeelden die aangeven dat we niet alles moeten delen.
Wanneer je foto's verstuurd met een app op je mobiel worden deze bij de ontvanger opgeslagen. Als andere apps op dat apparaat bij het installeren vragen om toegang tot de aanwezige foto's en dat mogen, krijgen ze toegang tot alle foto's. Wat die apps vervolgens doen met jouw privéfoto's is ongewis.
Bij het gebruik van de emoticons en likes in Facebook geef je veel informatie over jezelf prijs. De soort emoticon in combinatie met het onderwerp geeft Facebook een enorm inzicht in jou als persoon, zeker in de loop van de tijd. Facebook gebruikt de hiermee opgebouwde profielen om gerichte advertenties mogelijk te maken. Uiteindelijk weet Facebook meer over jou dan je familie en vrienden.
Ongemerkt kun je persoonlijke gegevens prijsgeven. Zet je bijvoorbeeld een foto van je vliegticket op social media? Wist je dat daarin je naam, adres, telefoonnummer en meer in opgeslagen zijn? Gooi ook niet zo maar een boarding pass weg: welke info bevat een boarding pass (EN).

Niet geheel overtuigd van het nut van privacy? Lees dan Je hebt wel iets te verbergen