Wbp: Vergeet de meldplicht bij het CBP (College bescherming persoonsgegevens) niet!

Bijna geen enkele organisatie ontkomt meer aan de werking van de Wet bescherming persoonsgegevens (Wbp). Gegevens zijn immers al snel persoonsgegevens als de persoon waarop de gegevens betrekking hebben met niet al te veel moeite is te identificeren. Die identificatie kan daarbij direct of indirect – eventueel in combinatie met andere gegevens – gebeuren.
Zo is een woonadres een evident persoonsgegeven, maar ook een geboortedatum, het geslacht of zelfs een IQ-cijfer kan een persoonsgegeven zijn. Eveneens is een portretfoto een persoonsgegeven en ook een IP-adres.
Om op het laatste door te gaan: op webservers worden IP-adressen opgeslagen in een logbestand, samen met tijd en datum van bezoek. Men zou via de provider kunnen achterhalen wie de bezoeker was. Het gaat dan dus om indirecte herleidbaarheid naar een persoon, maar het is herleidbaar.
Men spreekt pas over een portret indien de persoon op de foto herleidbaar is, oftewel als je de persoon via de foto zou kunnen identificeren. Ook is er uit een foto nog andere informatie herleidbaar, zoals iemands ras (en ras is volgens de Wbp zelfs een bijzonder persoonsgegeven, waarvoor strengere eisen gelden).

Verwerken en de Wet bescherming persoonsgegevens
Een gegeven is dus al snel een persoonsgegeven. En een verwerking hiervan moet dan volgens de eisen van de Wbp plaatsvinden.
Praktisch bezien, is een verwerking elke handeling die uitgevoerd wordt met een persoonsgegeven: het opvragen, opslaan, sorteren, doorsturen, verwijderen, etc etc.. Als deze verwerking geheel of gedeeltelijk geautomatiseerd is, of handmatig gebeurt (maar met het doel opgenomen te worden in een bestand), is de Wbp van toepassing.
Dat is dus al snel het geval. Op uiterst alledaagse handelingen, waarbij u bijvoorbeeld een lijst van telefoonnummers van oproepkrachten in een Excel-bestandje opneemt of aan bezoekers van uw webpagina vraagt zijn of haar gegevens in te vullen voor het verstrekken van een offerte, is de Wbp van toepassing. Zelfs als u bezig bent met het aanleggen van een smoelenboek valt u al binnen het bereik van de Wbp, omdat ook foto’s persoonsgegevens bevatten. De lijst van voorbeelden is onuitputtelijk.

Rechtmatige verwerking en grondslagen voor verwerking
Verwerking moet volgens de Wbp altijd op grond van een welbepaald en gerechtvaardigd doel plaatsvinden. Dit doel moet dus duidelijk omschreven zijn en de wijze van gegevensverwerking hiermee in overeenstemming . Verwerking die niet in overeenstemming met het omschreven doel is, is enkel rechtmatig als dit op grond van een in het Wbp genoemde uitzondering plaatsvindt.
Bij de verwerking moeten ook maatregelen zijn genomen om te zorgen dat persoonsgegevens juist, ter zake dienend en niet bovenmatig verwerkt worden. Ook moet de verwerking gebeuren op grond van een van de zes in de Wbp genoemde grondslagen.

Enkele van de belangrijke verwerkingsgrondenslagen:
– Verwerking vindt plaats op grond van de noodzaak hiervan voor het uitvoeren van de overeenkomst (voorbeeld: het opnemen van naam, adres en woonplaatsgegevens van uw klant om communicatie en bezorging van producten of diensten mogelijk te maken).

– Verwerking gebeurt op grond van een ondubbelzinnige toestemming (voorbeeld: het aanbieden van een mailinglijst voor potentiële klanten en overige geïnteresseerde personen is niet noodzakelijk voor het uitvoeren van een overeenkomst, maar wel erg handig voor zowel de ondernemer als een geïnteresseerde, en is dus mogelijk op grond van voornoemde ondubbelzinnige toestemming).

– Verwerking gebeurt op grond van de noodzaak hiervan voor een gerechtvaardigd belang (een complexere grondslag waarbij een belangenafweging centraal staat; op deze grondslag kan men soms een beroep doen, bijvoorbeeld in het kader van direct marketing en fraudebestrijding).

Melding College Bescherming Persoonsgegevens
Al deze regels zijn terug te vinden in de Wet bescherming persoonsgegevens. Vaak blijken organisaties wel enigszins op de hoogte te zijn van het feit dat er wettelijke verplichtingen zijn bij verwerking van persoonsgegevens, maar weet men veelal niet in elke situaties de Wbp precies wel en niet van toepassing is, en welke grondslagen eventueel van toepassing zijn op verwerkingen binnen hun bedrijfsprocessen.
Wat heel opvallend is, is dat organisaties (en zelfs adviserende juristen) vaak vergeten voorafgaand aan de verwerking melding hiervan te maken bij het College Bescherming Persoonsgegevens (CBP), terwijl dit in veel gevallen verplicht is. Er zijn slechts enkele uitzonderingen: bijvoorbeeld een melding over leveranciers en afnemers is niet verplicht, maar dit geldt slechts als de betreffende ondernemer niet meer gegevens verzameld heeft dan aangegeven is in het Vrijstellingsbesluit.

Denk echter niet te gemakkelijk dat u onder het Vrijstellingsbesluit valt. Dit is bijvoorbeeld al niet het geval indien u gegevens buiten de EU verwerkt (zonder aan bijkomende eisen te voldoen). Ook kunt u geen beroep meer doen op het Vrijstellingsbesluit als uw organisatie gebruik maakt van een clouddienst, waarbij gegevens in een of meer andere landen opgeslagen worden: dit is vaak het geval zonder dat de betreffende initiële verwerker hier weet van heeft.
Een andere mogelijkheid om niet binnen het Vrijstellingsbesluit te vallen, treedt op als u meer gegevens verwerkt dan waarvoor in het Vrijstellingsbesluit vrijstelling verleend wordt: bijvoorbeeld als de ondernemer gebruikersstatistieken maakt om zo meer gericht aanbiedingen te kunnen doen en om effectievere marketing mogelijk te maken.

Om deze redenen blijken dus vaak ook de grotere webshops niet vrijgesteld te zijn. Je kunt dan ook verschillende meldingen van dergelijke webshops in het CBP-register terugvinden.

Boetes, celstraf en professionaliteit
Het CBP kan een boete opleggen van maximaal 4500 euro (en in theorie is zelfs een celstraf van 6 maanden mogelijk) indien men de verplichte melding verzaakt. Met de in ontwikkeling zijnde Europese Verordening ten aanzien van datalekken waarbij persoonsgegevens betrokken zijn, komt het thema ‘persoonsgegevens’ helemaal op scherp te staan: nationaal zijn er voorstellen in de maak om de boetegrenzen omhoog te trekken als opmaat voor de Europese boetes; de concept-Europese Privacy Verordening spreekt over maximale boetes van 100 miljoen euro of 5% van de volledige wereldwijde omzet!
Het vermijden van boetes hoeft niet de enige reden voor een ondernemer te zijn om zich te houden aan de meldingsplicht. Het correct melden – en het daarvoor grondig uitzoeken wat een onderneming met gegevens doet – stimuleert immers tot nadenken over het eigen privacybeleid: een ondernemer demonstreert daarmee duidelijk een professionele houding ten aanzien van gegevensverwerking te bezitten. Het nadenken over het gebruik van persoonsgegevens maakt het ook extra belangrijk om cliënten, leveranciers en partners in duidelijke bewoordingen uit te leggen wat men met gegevens doet. Dit is een goede manier om angst voor misbruik bij anderen om te zetten in vertrouwen in de onderneming. Vertrouwen is, zoals we allemaal weten, de basis van een goede (zakelijke) relatie.
Door middel van een goede samenwerking tussen juristen en bijvoorbeeld een marketing- of communicatieafdeling kan creatief nagedacht worden over de wijze waarop boodschappen rond privacy begrijpelijk overgebracht kunnen worden om zodoende het vertrouwen van klanten en overige relevante derden te winnen. Zo kan de organisatie uit het naleven van een verplichting, wat in de eerste plaats gedaan wordt om zichzelf te behoeden voor risico’s (boetes etc.), door duidelijk aan te geven actief en transparant met privacy bezig te zijn, zelfs nog waarde voor de onderneming creëren in de vorm van toegenomen vertrouwen .

Conclusies
Weet wat uw verplichtingen zijn, voldoe hieraan en toon dit duidelijk aan de betrokken partijen (klanten, leveranciers en partners)! Schakel PIT Legal in om u hier bij te helpen door het laten uitvoeren van een Privacy-scan, waarvan het uitzoeken of er een meldplicht is uiteraard slechts één van de onderdelen zal zijn. Zo kunt u zich met een gerust hart richten op wat u het liefst doet: uw core-business.