Wat zijn de spelregels rondom het gebruik van persoonsgegevens?

Transcriptie

1 Wat zijn de spelregels rondom het gebruik van persoonsgegevens? De laatste tijd besteden de media steeds vaker aandacht aan privacywetgeving. Maar voor veel organisaties voelt dit onderwerp nog als een black box. Vragen die wij in onze praktijk regelmatig horen zijn bijvoorbeeld: - Wat zijn nu precies de regels en waar staan die dan?, - Mag je productiedata in niet-productieomgevingen (test, analyse, opleiding, demo etc.) gebruiken? en - Wat zijn de sancties als we ons daar niet aan houden. In dit artikel willen we inzicht geven in de spelregels: welke wetgeving is van kracht, wat mag je doen met persoonsgegevens, wie ziet toe op het gebruik ervan en wat zijn de sancties? Spelregels rondom het gebruik van persoonsgegevens Op dit moment wordt het wettelijk kader rondom het gebruik van persoonsgegevens in Nederland gevormd door de Wet Bescherming Persoonsgegevens (Wbp). In deze wet staat wat persoonsgegevens zijn, waar je ze mag gebruiken en welke sancties gelden als je je hier niet aan houdt. Als toezichthouder is de Autoriteit Persoonsgegevens (AP) aangewezen (wellicht beter bekend onder de oude naam College bescherming persoonsgegevens). Omdat de Wbp zich richt op het gebruik van persoonsgegevens, beginnen we met de definitie van een persoonsgegeven zoals die in de Wbp is vastgelegd: Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon Op de site van de Autoriteit Persoonsgegevens wordt dat vervolgens als volgt nader toegelicht: Concreet betekent dit dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is. Dat het om een natuurlijke persoon moet gaan, houdt in dat gegevens van overleden personen of van organisaties geen persoonsgegevens zijn. Dus elk gegeven dat direct of indirect herleidbaar is naar een uniek individu, wordt gezien als een persoonsgegeven. Omdat niet op voorhand uitputtend te duiden is wat voor gegevens dit zijn, geeft de AP een aantal niet limitatieve concrete voorbeelden: Er zijn vele soorten persoonsgegevens. Voor de hand liggende gegevens zijn iemands naam, adres en woonplaats. Maar ook telefoonnummers en postcodes met huisnummers zijn persoonsgegevens. Vervolgens wordt in de Wbp nog speciale aandacht gevraagd voor zogenaamde bijzondere persoonsgegevens. Hiertoe worden gevoelige gegevens gerekend als iemands ras, godsdienst of gezondheid. Deze zijn door de wetgever extra beschermd. In de praktijk betekent dit dat verwerking van deze gegevens verboden is, behalve indien de verwerking gebeurt door een aantal expliciet benoemde organisaties.

2 Omdat er geen limitatief overzicht is van wat persoonsgegevens zijn, moet elke organisatie zelf een analyse maken waarin zij vaststellen welke gegevens die zij vastleggen gezien moeten worden als een persoonsgegeven. Nu we hebben vastgesteld wat onder persoonsgegevens wordt verstaan, is de vervolgvraag wat je ermee mag doen. Ook hier geeft de Wbp het wettelijk kader en zorgt de AP voor de concrete vertaling. In artikel 8 van de Wbp wordt onder andere gesteld dat persoonsgegevens slechts verwerkt mogen worden indien: - er ondubbelzinnig toestemming is van de betrokkene, en - de gegevensverwerking noodzakelijk is voor de uitvoering van de overeenkomst, Dit wordt vervolgens in artikel 9, lid 1 nog verder aangescherpt. In dit artikel staat: Persoonsgegevens worden niet verder verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen. In artikel 11 wordt vervolgens ook nog een limiet gesteld aan de omvang: Persoonsgegevens worden slechts verwerkt voor zover zij, gelet op de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, toereikend, ter zake dienend en niet bovenmatig zijn. Als afsluiting wordt daarna in artikel 13 gesteld dat: De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Maar wat betekent dit nu concreet? De AP geeft hier het volgende antwoord op: De Wbp bepaalt dat een organisatie alleen persoonsgegevens mag verwerken als dat noodzakelijk is voor een bepaald doel. En dat de organisatie deze gegevens niet zomaar voor een ander doel mag gebruiken. Ook hebben organisaties de verplichting om persoonsgegevens goed te beveiligen. Bij elk gebruik van persoonsgegevens geldt dat de inbreuk op iemands persoonlijke levenssfeer zo klein mogelijk moet zijn. Dus, persoonsgegevens mag je alleen verwerken indien dit strikt noodzakelijk is voor de uitvoering van de dienst of overeenkomst. Het is dus niet toegestaan om persoonsgegevens vast te leggen die je niet nodig hebt! Denk bijvoorbeeld aan het verplicht laten invullen van een telefoonnummer bij een online offerte die via de mail verstuurd wordt. Voor het versturen van deze offerte heb je strikt genomen het telefoonnummer niet nodig (een adres volstaat), je mag het telefoonnummer in dit voorbeeld dus ook niet vastleggen. Persoonsgegevens mogen dus niet worden gebruikt voor andere doelen. Betekent dit dan ook dat je er niet mee mag testen? Hier was lange tijd onduidelijkheid over. Er waren privacyjuristen die van mening waren dat goed geteste software noodzakelijk was voor de

3 uitvoering van de overeenkomst en dat dit dus betekende dat het gebruik van persoonsgegevens gerechtvaardigd was. Daartegenover stonden juristen die dit een te brede uitleg vonden. Maar onlangs (medio april 2016) heeft de AP hier uitsluitstel over gegeven. Op hun site staat bij de veelgestelde vragen: Mag een organisatie mijn persoonsgegevens gebruiken om een informatiesysteem te testen? Nee, dat mag niet. Een organisatie die uw persoonsgegevens heeft, mag deze gegevens niet gebruiken voor een ander doel.. Sancties De Wbp geeft een duidelijk kader waar je je als organisatie aan moet houden als je persoonsgegevens verwerkt. Op het moment dat je je niet aan deze regels houdt, overtreed je daarmee de wet. Een herkenbaar voorbeeld zal voor veel organisaties wellicht het gebruik van productiegegevens in een testomgeving zijn. Uit recent onderzoek van PwC komt naar voren, dat ruim 60% van alle organisaties buiten de productieomgevingen gebruik maakt van niet-geanonimiseerde productiedata. Zij houden zich hiermee niet aan de Wbp en zijn dus feitelijk in overtreding. De handhaving van de Wbp gebeurt door de AP. Tot eind 2015 waren de sanctiemogelijkheden bij een geconstateerde overtreding erg laag. Daar is sinds 1 januari 2016 verandering in gekomen. Een overtreding van de Wbp kan sindsdien worden bestraft met een boete van maximaal euro (artikel 66 Wbp). Mocht dit bedrag als niet passend gezien worden, dan heeft de AP zelfs de mogelijkheid een boete op te leggen van 10% van de jaaromzet (artikel 23, lid 7, WvS). Mocht er sprake zijn van opzet of nalatigheid, dan kunnen bestuurders bovendien persoonlijk aansprakelijk worden gesteld (artikel 75, Wbp). Naast het boetebedrag is er bij overtreding van de Wbp sprake van (zeer) grote reputatieschade. Dit is lastig te kwantificeren, maar de gevolgen kunnen groot zijn. Handhaving Net als bij elke regel, geldt dat een sanctie alleen niet voldoende is. Als geen handhaving plaatsvindt, dan zullen veel organisaties (wellicht onbewust) zich niet aan de regels houden. Daarom is sinds januari ook het toezicht geïntensiveerd. De AP stelt zich steeds proactiever op en laat zich duidelijk gelden. Dit zou te maken kunnen hebben met de aanstaande invoering van Europese privacyregels. Deze regels staan bekend als de GDPR (of in Nederland: de AGV), en ze vervangen uiterlijk 1 januari 2018 de Nederlandse Wbp. Naast het feit dat de sancties opnieuw (fors) omhoog gaan, wordt in de AGV gesteld dat elk land een eigen Data Protection Authority (DPA) moet inrichten. In Nederland lijkt het voor de hand liggend dat de AP deze rol gaat vervullen. De AP is hier al duidelijk op aan het voorsorteren door aan zijn eigen zichtbaarheid te werken.

4 Samenvatting De Wbp geeft in Nederland het kader voor het gebruik van persoonsgegevens. Een persoonsgegeven is elk gegeven dat direct of indirect herleidbaar is naar een natuurlijk persoon. Voor de verwerking van persoonsgegevens geldt: - je mag ze alleen vastleggen als zij strikt noodzakelijk zijn voor de uitvoering van de dienst of overeenkomst, - persoonsgegevens mag je niet gebruiken voor andere doelen dan waar je ze initieel voor gekregen hebt, - bijzondere persoonsgegevens mogen überhaupt niet worden vastgelegd (behalve in uitzonderlijke in de wet omschreven situaties), - gebruik van persoonsgegevens in niet-productieomgevingen (bijvoorbeeld test-, analyse- of demo-omgevingen) is niet toegestaan. Het niet naleven van deze regels betekent dat een organisatie zich niet aan de wet houdt en strafbaar is. De maximale sanctie bij een overtreding bedraagt euro (of in uitzonderlijke gevallen 10% van de jaaromzet). Daarnaast kunnen bestuurders persoonlijk aansprakelijk worden gesteld. Aangezien sancties alleen kunnen worden opgelegd door de toezichthouder zodra een overtreding geconstateerd is, is actieve handhaving essentieel. Vooruitlopend op de invoering van Europese privacywetgeving zie je nu al dat de toezichthouder zich proactiever opstelt. De conclusie lijkt daarmee gerechtvaardigd dat organisaties nu, wellicht meer dan voorheen, moeten gaan nadenken over hoe zij omgaan met persoonsgegevens. Wil je als organisatie bijvoorbeeld nog steeds het risico lopen dat persoonsgegevens vanuit een testomgeving op straat komen te liggen? Of kies je ervoor gegevens te anonimiseren?

5 Verantwoording: Autoriteit Persoonsgegevens (algemeen): Autoriteit Persoonsgegevens (testen met persoonsgegevens: Wbp: Wvs: 20#BoekEerste_TiteldeelII_Artikel23 Onderzoek PwC: