Vragen over Wet bescherming persoongegevens
De Wet bescherming persoonsgegevens (Wbp) geeft regels ter bescherming van de privacy van burgers. De wet is op 1 september 2001 in werking getreden, en geeft de burger meer rechten. De burger heeft het recht om te weten wat er met zijn persoonsgegevens gebeurt, mag zijn gegevens inzien en corrigeren en kan in veel gevallen bezwaar maken tegen het gebruik van zijn persoonsgegevens.
Organisaties die persoonsgegevens verwerken krijgen meer plichten. Een organisatie mag persoonsgegevens alleen verzamelen en verwerken als daar een goede reden voor is, of als de betrokken burger daar zelf toestemming voor heeft gegeven. Ook moeten zij in veel gevallen de burger laten weten wat zij met zijn gegevens (gaan) doen.
De Data Privacy Counsel behandelt twee vragen waar zowel personen als bedrijven mee te maken kunnen krijgen.
Vraag: Vanzelfsprekend valt mijn geautomatiseerde personeelsadministratie onder de Wet bescherming persoongegevens, maar dit geldt toch zeker niet voor mijn persoonlijk notitieblok met aantekeningen over mijn medewerkers?!…
Data Privacy Counsel: Zo te lezen heeft u 2 manieren waarop u gegevens over uw personeel verwerkt: geautomatiseerd en niet geautomatiseerd. De Wet bescherming persoonsgegevens (Wbp) is van toepassing op iedere geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens en iedere niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of bestemd zijn om daarin opgenomen te worden. Wat betreft de verwerkingen in het bestand van uw personeelsadministratie heeft u helemaal gelijk, de Wbp is daarop onverminderd van toepassing. Bij uw “persoonlijke” notitieblok ligt dit wat gecompliceerder.
Wbp-persoonsgegeven
Een onder de Wbp vallend persoonsgegeven is elk gegeven waarmee een bepaalde natuurlijke persoon geïdentificeerd is of kan worden. Deze gegevens moeten dus direct of indirect tot een individuele persoon (betrokkene) herleidbaar (kunnen) zijn. Voorbeelden van gegevens welke als persoongegevens kunnen worden gekwalificeerd zijn o.a.: e-mailadressen, adressen/huisnummers, personeelsnummers, gironummers, telefoonnummers, IP-adressen, kentekens, honden, huizenprijzen, DNA-profielen, pinpasbetalingen, cameratoezicht. Indien een dergelijk gegeven door een bedrijf of bestuursorgaan in, naar of vanuit een bestand wordt verwerkt is de Wbp van toepassing.
Wbp-bestand
Een Wbp-bestand kan omschreven worden als een verzameling van op 2 of meer identificeerbare personen betrekking hebbende persoonsgegevens, die geheel of gedeeltelijk op geautomatiseerde wijze wordt gehouden, dan wel niet geautomatiseerd op systematische wijze is aangelegd en toegankelijk is voor doeltreffende raadpleging.
Daarbij is de Wbp alleen van toepassing op bedrijfsmatige verwerkingen en niet op verwerkingen voor privé-doeleinden. De persoonsgegevens in uw notitieblok hebben duidelijk een bedrijfsmatig doel en zijn derhalve dus niet bij voorbaat van de Wbp uitgezonderd.
Wanneer de in uw notitieblok genoteerde personeelsgegevens bestemd zijn om (gedeeltelijk) opgenomen te worden in het geautomatiseerd bestand van uw personeelsadministratie (b.v. doordat u uw notities gebruikt bij de beoordeling van uw medewerkers), vallen de in uw notitieblok opgenomen persoonsgegevens direct onder de Wbp.
Indien de persoonsgegevens in uw notitieblok niet (mede) gebruikt worden voor uw geautomatiseerde personeelsadministratie, dient vervolgens vastgesteld te worden of dit notitieblok misschien wel zelf een bestand kan zijn. Uw notitieblok bevat identificerende gegevens over meerdere personen, dus aan de eerste eis voor een Wbp-bestand voldaan is. Als uw notitieblok tevens, b.v. met behulp van een duidelijk overzicht op naam en datum, voor doeltreffende raadpleging systematisch toegankelijk is, dan zou uw notitieblok tevens zelf een Wbp-bestand kunnen zijn.
Vraag:Welke verplichtingen heb ik onder de Wbp en wat zijn de risico’s als ik daar niet aan voldoe?
Data Privacy Counsel: De Wbp omschrijft de verantwoordelijke als de (rechts)persoon die of het bestuursorgaan dat, c.q. zijn ge(vol)machtigde of gemandateerde bestuurder/vertegenwoordiger die, het doel van en de middelen voor de verwerking van persoonsgegevens bepaald. Indien u een dergelijke vertegenwoordiger van uw organisatie bent met voldoende bevoegdheid om te beslissen over het gebruik van de persoonsgegevens, dan bent u als verantwoordelijke onder de Wbp verplicht om:
- de doeleinden voor de diverse verwerkingen van persoonsgegevens bepaald en omschreven te hebben;
- deze doeleinden onder een van de 6 rechtmatige grondslagen van de Wbp te kunnen brengen (b.v. voor de uitvoering overeenkomst, met toestemming van betrokkene of ter nakoming van een wettelijke plicht);
- te zorgen dat de gegevens die voor dit doel verwerkt worden juist, terzake, niet teveel en niet te weinig zijn;
- de wettelijke beveiligingsplicht van de gegevens (b.v. bij ontvangst, gebruik en doorzending) na te komen;
- de wijze waarop de betrokkene zijn Wbp-rechten (inzage, verbetering, aanvulling, verwijdering/ afscherming en verzet) binnen de organisatie kan uitoefenen geregeld te hebben;
- de informatieplicht naar betrokkene na te komen door:
a. betrokkene te informeren bij de verkrijging van zijn gegevens bij deze betrokkene zelf
b. betrokkene te informeren bij de vastlegging of doorzending van zijn gegevens, wanneer de gegevens niet bij de betrokkene zelf zijn verkregen;
- iedere gegevensverwerking, tenzij vrijgesteld, bij het College bescherming persoonsgegevens (CBP) aangemeld te hebben.
- negatieve publiciteit, reputatieverlies, verlies vertrouwen betrokken klanten
- op inefficiënt wijze verwerken van persoonsgegevens, onbekendheid met de Wbp, onduidelijkheid en extra kosten
- Wbp-aansprakelijkheid/ schadeclaims (ook voor immateriële schade)
- Wbp-klachten en gerechtelijke procedures
- onderzoek en handhaving door het CBP (boetes: 4500,= Euro per onrechtmatige verwerking)
per onrechtmatige verwerking)
Deden ze dat meer eens.
zou toch niet mogen volgens de wbp?
En hoe zit het dan met datalogging wat providers opgedrongen word? Dit
zou toch niet mogen volgens de wbp?
Artikel 2 -2b
privacywetgeving politiek gevoelig is, positief nieuws (U
krijgt geld van de belastingdienst) kost de burger miljoenen
aan reclame spotjes.
U heeft al tijden geen "echte" privacy meer, dacht u dat
ISP's konden bestaan van de bijdrage die u als abonnee doet?
natuurlijk niet!
Gelukkig zijn er nog enkele ISP's die privacy respecteren
(xs4all) maar wet is wet en ook daar kan een ISP niets aan
veranderen.
cbpweb.nl met daarin een onderscheid naar risicoklassen en
maatregelen. En het openbare register waarin je kunt opzoeken welke
gegevens worden verwerkt en onder welke grondslag (redenen). Zoek
maar eens naar je bank of naar je telefoonprovider.
Kon overigens in het artikel geen link vinden naar de Data Privacy Counsel.
handhaving?
Mee eens! Hoewel het Cbp een relatief kleine organisatie met een klein
groepje handhavingspersoneel is, is bij sommige boosdoeners naar
mijn mening de tijd van polderen en de boodschap van zelfregulering nu
echt wel voorbij. Privacy staat politiek/publicitair meestal negatief op de
agenda(te vaak wordt privacy ten onrechte als een beperking voor
bevoegdheden opgevoerd), en veel te weinig burgers/betrokkenen gaan
daadwerkelijk over tot klagen of verzoeken bij het CBP of bij de organisatie
in kwestie, toch kan het CBP nog meer onafhankelijk zijn eigen weg gaan.
Hoewel de nieuwe voorzitter Kohnstam inhoudelijk goed van leer trekt
tegen de anti-privacybeweging, zou ik graag zien dat deze waakhond vaker
vastbijt, vasthoudt en doorbijt...
Datalogging?
De Wbp is in hoofdzaak een bovensectorale wet, met algemene
privacynormen. De Wbp concretiseerd van de grondrechtsaanspraken op
privacy van de burger, tevens geeft de wet in particuliere relaties
horizontale werking aan de privacygrondrechten.
Maar in de relatie overheid-particulier (bedrijf) fungeert de Wbp tevens als
formeel-wettelijke beperkingsgrondslag ex art. 10, lid 1 van de Grondwet.
Dus de Wbp geeft niet alleen rechten, maar geeft ook mogelijkheden hoe
en wanneer deze rechten door de overheid (b.v. met invoering van een
nieuwe wet) beperkt kunnen worden. Zo is het trouwens met alle
grondrechten geregeld, er zijn weinig absolute grondrechten,
uitgezonderd het (nauwelijks te beperken) petitierecht en b.v. het verbod
op de doodstraf msschien.
Echte privacy?
Privacy is relatief, contextafhankelijk, afweging van belangen etc. etc.
Keep it simple! De Wbp geeft je een aantal rechtsmiddelen, als een
bepaalde (vaak ongevraagde) verwerking van persoonsgegevens je een
ongemakkelijk gevoel geeft, volgt dit gevoel dan. Gebruik deze
rechtmiddelen en kijk hoever je komt. Stil zitten is geen optie, iedere dag
worden er nieuwe (koppelingen van) bestanden aangelegd.... Als je er
niet uitkomt, dan lees ik het graag.
Link Data Privacy Counsel?
Ik ben hier te vinden. Dat is genoeg.
Verwerkingen opzoeken in het openbaar register CBP?
Voorwaarde voor inzicht in de verwerkingen van jouw persoonsgegevens
is dat de desbetreffende verantwoordelijke (het bedrijf of bestuursorgaan)
zijn verwerkingen bij het CBP heeft aangemeld. Dit is niet altijd het geval,
sommige organisaties melden helemaal niets of, in het gunstigste geval,
maar enkele meldingplichtige verwerkingen. Zie ook de komende tekst
over Incassoregister.nl.
Data Privacy Counsel: ik ben hier te vinden en dat is genoeg.
Daar nemen wij natuurlijk geen genoegen mee!
Iedereen kan wel verkondigen expert te zijn op het gebied van privacy.
Dus stop met dat wazige gedoe en laat weten wie je bent/wie jullie zijn.
Wellicht kan er dan pas echt een beetje discussie ontstaan.
Vaag vaag vaag.
Data Privacy Counsel: ik ben hier te vinden en dat is genoeg.
Daar nemen wij natuurlijk geen genoegen mee!
Iedereen kan wel verkondigen expert te zijn op het gebied van privacy.
Dus stop met dat wazige gedoe en laat weten wie je bent/wie jullie zijn.
Wellicht kan er dan pas echt een beetje discussie ontstaan.
bent met iemands persoonsgegevens, status, expertise, of wat dan ook,
niet delen. Om deze reden zal ik dan ook zeker niet aan jouw "verzoek"
voldoen. Voor een persoonlijk identificerend contact is meer nodig, ik ben
net als jij gesteld op mijn online privacy.
Ten eerste mag jij (zonder naam) of de groep waarvoor je zegt te spreken
vanzelfsprekend wel of geen genoegen nemen met wat je wilt. Ten
tweede is mij door de redactie verzocht om op dit vlak een bijdrage aan
security.nl te leveren, hetgeen ik graag doe. En als laatste voer ik graag
een inhoudelijke discussie over digitale rechten/informationele privacy en
niet over de vorm of personen, daar is volgens mij niets wazigs aan. Dus
als je mijn teksten niet draagkrachtig of deugdelijk genoeg vindt, dan
graag je inhoudelijke kritiek, vragen en opmerkingen, deze zal ik altijd
graag van repliek voorzien. Voortaan zal ik mijn tijd in ieder geval beter
gaan gebruiken door niet meer te reageren op niet inhoudelijke reacties.
Graag terzake!
Iedereen kan wel verkondigen expert te zijn op het gebied
van privacy.
Dus stop met dat wazige gedoe en laat weten wie je bent/wie
jullie zijn.
Wellicht kan er dan pas echt een beetje discussie ontstaan.
Gaan we nu discussiëren? Wat is hier de toegevoegde waarde van?
het gaat mij om de vraag of het mag, en niet onder welke condities.
Dat lijkt me wel duidelijk.
Wat zegt de WBP over het aanleggen van een schaduwdossier?
het gaat mij om de vraag of het mag, en niet onder welke condities.
Dat lijkt me wel duidelijk.
Reactie van Data Privacy Counsel:
Excuses voor de trage reactie, maar ik was me niet bewust dat er nog
iemand in deze privacyspelonk actief was.
Als het orginele dossier door de verantwoordelijke persoon of instantie
onder de Wbp gehouden mag worden, dan mag deze verantwoordelijke in
beginsel ook onder het Wbp-doel van het orginele dossier een
schaduwdossier maken binnen zijn organisatie. Bestanden/verwerkingen
van persoonsgegevens mogen niet te veel, niet te weinig en moeten to
the point zijn. De vraag is dan ook voor welk gerechtvaardigd doel houdt
hij dit schaduwdossier met dezelfde inhoud, is dit hetzelfde doel of
verenigbaar met het doel van het orginele dossier? (de verantwoordelijke
dient aan te tonen waarom de gegevens van het orginele dossier voor dit
verwerkingsdoel niet voldoende zijn). Indien dit schaduwdossier een
(gedeeltelijk) andere inhoud heeft, dan is dit weer een hele andere
kwestie.
Indien verwerkt wordt voor hetzelfde doel, is wat geldt voor het orginele
dossier, ook van toepassing op het schaduwdossier met dezelfde inhoud.
Het bestand van orginele dossiers en het bestand van de
schaduwdossiers zijn onder de Wbp vaak als 1 dossierbestand te zien,
beide bestanden vallen van ook onder hetzelfde Wbp-regime en jouw
recht op inzage van het schaduwdossier dient dan ook gerespecteerd te
worden.
Indien er over jou zo'n schaduwdossier bestaat, zonder dat jou iets
gevraagd is, kun je door de onderstaande vraag en antwoord hierover
opheldering krijgen c.q met de onderstaande brief hier wat tegen doen
(zeker indien de inhoud daarvan afwijkt van het orginele dossier). In jouw
geval zou je ten eerste kunnen verzoeken om beide dossiers (tegelijk) in
te zien.
Vraag: Mijn rechten onder de Wbp, waar moet ik beginnen. Mooie wet,
goed doel. Je zegt uitoefenen van mijn Wbp-rechten, dit is echt
abracadabra voor mij. Ik krijg steeds vaker aan mij persoonlijk
geadresseerde brieven van bedrijven waar ik in het verleden geen enkel
contact mee heb gehad. Hoe kan ik hier dan concreet wat tegen doen?...
Data Privacy Counsel: Koppeling en verkoop van bestanden van
persoonsgegevens komt steeds vaker voor, de wettelijke informatieplicht
wordt daarbij door derden-verantwoordelijken meestal niet nageleeft.
Vaak weet je gewoon niet dat je gegevens ongevraagd door deze derden
gebruikt worden, soms kun je ze op het spoor komen op het moment dat
je een brief van zo’n derde krijgt.
Kort gelden kreeg ik weer eens ongevraagd een brief op naam en adres
van een loterij. Mijn persoonsgegevens had deze loterij zeker niet van
mijzelf ontvangen. Met succes, heb ik d.m.v. de onderstaande brief, in een
keer zonder verdere stappen, mijn doel bereikt. Binnen 4 weken ontving ik
een keurige brief terug met als resultaat: inzicht in de verwerkingen en
verwijdering van mijn persoonsgegevens uit hun bestanden. Deze brief
kun je dan vervolgens weer gebruiken tegen andere derden aan wie de
aangeschreven verantwoordelijke je persoonsgegevens inmiddels heeft
verstrekt. Laat je gegevens dus niet meer ongevraagd gebruiken. Zodra je
een ingang hebt (gevonden), verzoekje versturen en doorzetten!
________________________________________________________
<Naam Verantwoordelijke>
<Adres verantwoordelijke>
Onderwerp : Ongevraagde verwerking van mijn persoonsgegevens in
<.....>
Datum : <.....>
Geachte <Naam Verantwoordelijke>,
Naar aanleiding van uw brief van <Datum>, waarin u mij laat weten dat ik
geselecteerd ben voor <.....>, deel ik u mede dat ik totaal geen prijs stel op
registratie of deelname.
Derhalve verzoek ik u hierbij om mij een volledig overzicht te verstrekken
van alle door u als verantwoordelijke verrichte verwerkingen van mijn
persoonsgegevens, alsmede van wie u mijn gegevens heeft ontvangen
en aan wie u deze gegevens inmiddels heeft verstrekt.
Nadat ik van u de verlangde overzichten heb ontvangen, kunt u dit
schrijven opvatten als een aantekening van verzet tegen de verwerking van
mijn persoonsgegevens door <Naam Verantwoordelijke>, hetgeen dient
te leiden tot de verwijdering van mijn persoonsgegevens uit uw
bestanden en een volledig overzicht van degenen aan wie u mededeling
heeft gedaan van deze wijziging in de verwerking van mijn
persoonsgegevens.
Ik vertrouw erop dat u binnen de in de Wbp gestelde termijnen voldoet aan
mijn verzoeken. Mocht u hier onverhoopt toch niet aan voldoen, dan zal ik
ter effectuering van mijn rechten zeker overgaan tot inschakeling van de
rechter en/of het College bescherming persoonsgegevens.
Inmiddels verblijf ik,
<Naam Betrokkene>
<Adres Betrokkene>
___________________________________________________
Data Privacy Counsel
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
