| Organisatie | Waterschap Rivierenland |
|---|---|
| Organisatietype | Waterschap |
| Officiële naam regeling | Privacybeleid waterschap Rivierenland |
| Citeertitel | Privacybeleid waterschap Rivierenland |
| Vastgesteld door | dagelijks bestuur |
| Onderwerp | bestuur en recht |
| Eigen onderwerp | |
| Externe bijlage | Standaardformulier verwerking persoonsgegevens |
Geen.
Wet bescherming persoonsgegevens
Geen.
Datum inwerkingtreding | Terugwerkende kracht tot en met | Datum uitwerkingtreding | Betreft | Datum ondertekening Bron bekendmaking | Kenmerk voorstel |
|---|---|---|---|---|---|
| 12-12-2015 | 15-11-2018 | Nieuwe regeling | 22-09-2015 | 201507929 |
Deze beleidsregel treedt in werking met ingang van de eerste dag na bekendmaking in het Waterschapsblad.
De Wet bescherming persoonsgegevens (Wbp) geeft regels voor het verwerken van persoonsgegevens. Alle gegevens die informatie kunnen verschaffen over een identificeerbare natuurlijke persoon zijn persoonsgegevens in de zin van de Wbp, zoals naam, adres, woonplaats, e-mailadres, handtekening, telefoonnummer, godsdienst, inkomen, gezondheid en geslacht. De Wbp vereist dat al die gegevens behoorlijk en zorgvuldig worden verwerkt.
Beveiligingsvoorzieningen moeten voldoen aan geldende wet- en regelgeving en mogen niet meer inbreuk maken op de privacy dan strikt noodzakelijk is. De basis en daarmee ook het doel voor de verwerking van persoonsgegevens is het beschermen van de veiligheid van de gegevens van natuurlijke personen
Waterschap Rivierenland hecht veel waarde aan privacy en wil zorgvuldig omgaan met persoonsgegevens. Uiteraard worden de nodige beveiligingsmaatregelen genomen om persoonsgegevens te beschermen en hiermee te voldoen aan wettelijke regelgeving, maar tot nu toe ontbrak een eenduidig en samenhangend beleid over het omgaan met persoonsgegevens. In het bijgevoegde privacyreglement worden daarom nadere regels gesteld ter uitvoering van de Wet bescherming persoonsgegevens. Het reglement biedt een kader voor het omgaan met persoonsgegevens. In het bij het reglement behorende standaardformulier worden de afspraken ten aanzien van het gebruik en de beveiliging van persoonsgegevens vastgelegd.
Met het vaststellen van dit privacy beleid wil het waterschap in control zijn voor wat betreft het omgaan met persoonsgegevens. Naast een goede beveiliging en verantwoord gebruik van persoonsgegevens waarbij wordt voldaan aan wet- en regelgeving is getracht de privacy risico’s, voor zover deze bekend zijn, in beeld te brengen en te beheersen. In het privacyreglement zijn de kaders voor het omgaan met persoonsgegevens vastgelegd en in de bijgevoegde standaard wordt per proces inzichtelijk welke persoonsgegevens worden verwerkt, met welk doel, de inhoud van de gegevens, bron, beheer, taken en verantwoordelijkheden, veiligheidsmaatregelen, relatiebeheer en verbeterpunten.
De hoeveelheid data die de overheid vergaart neemt steeds grotere proporties aan. En daarmee ook de roep om privacybeschermende maatregelen. Gegevens zijn een bron van informatie. Informatie is de basis van kennis en macht. Eén van de schaduwzijden van de informatiemaatschappij is de inbreuk op de persoonlijke levenssfeer die het gevolg kan zijn van een ongebreidelde vergaring, bewerking en verspreiding van persoonsgegevens. Het is daarom van belang dat rond de verwerking van persoonsgegevens regels worden gesteld. In artikel 10 van de Grondwet wordt het recht op eerbiediging van de persoonlijke levenssfeer erkend. De Wbp (en de Wet persoonsregistraties die hieraan vooraf ging) vloeit voort uit de opdracht in de Grondwet tot het geven van nadere regels over het omgaan met persoonsgegevens.
Doel van de Wbp is de bescherming van de persoonlijke levenssfeer van een ieder van wie persoonsgegevens worden verwerkt tegen misbruik van die gegevens en tegen een onjuiste verwerking van die gegevens. Daarbij moet worden voorkomen dat gegevens voor een ander doel worden verwerkt dan waarvoor ze worden verzameld en moeten de rechten van betrokkenen worden gewaarborgd.
De Wbp stelt eisen aan de wijze waarop persoonsgegevens door organisaties worden bewaard en verwerkt. Door het opstellen van een privacybeleid en de implementatie daarvan in de organisatie wordt getracht een juiste invulling te geven aan de gestelde verplichtingen in de Wbp.
• De Wet bescherming persoonsgegevens (Wbp);
(Verder is privacywetgeving o.a. vastgelegd in de Telecommunicatiewet, Archiefwet, Wet openbaarheid van bestuur, Algemene wet inzake rijksbelastingen, Wetboek van Strafrecht, Wet basisregistratie personen, Wet geneeskundige behandelingsovereenkomst)
En in de toekomst (mogelijke inwerkingtreding in 2018) de nieuwe Europese privacyrichtlijn waarin onder meer:
• versterking van de rechten van betrokkenen, waaronder het recht op dataportabiliteit;
• versteviging van onafhankelijkheid en bevoegdheden van nationale privacyautoriteiten (voor Nederland het College bescherming persoonsgegevens);
• invoering van de verplichting voor organisaties om datalekken direct te melden;
Het belang van de bescherming van persoonsgegevens wordt binnen de organisatie van het waterschap onderkend, maar tot op heden ontbrak het aan een duidelijk samenhangend beleid ten aanzien van dit onderwerp. Persoonsgegevens worden op diverse plaatsen binnen de organisatie verwerkt en daarbij worden privacybeschermende maatregelen genomen om te voldoen aan de daartoe in de diverse wetten gestelde regels, te denken valt aan de Archiefwet, de Wet bescherming persoonsgegevens, de Algemene wet inzake rijksbelastingen, maar ook aan de NEN Norm zoals vastgelegd in de Baseline Informatiebeveiliging Waterschappen. Met het vaststellen van dit privacybeleid en het daarbij behorende privacyreglement wordt een duidelijk kader gecreëerd voor het omgaan met persoonsgegevens binnen de organisatie.
Een adequate privacybescherming realiseren in overeenstemming met de hiervoor geldende wettelijke regels en rekening houdend met toekomstige regelgeving op het vlak van de bescherming van de persoonlijke levenssfeer.
Na vaststelling van het privacy beleid moet dit worden geïmplementeerd in de organisatie.
De belangrijkste bepalingen uit de Wbp over het rechtmatig omgaan met persoonsgegevens kunnen als volgt worden samengevat:-
De verantwoordelijkheid voor het nemen van beveiligingsmaatregelen ligt bij de verantwoordelijke (zorgplicht). Dit is bij het waterschap het college van dijkgraaf en heemraden. Hij moet zorgen voor passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verrijking.
Ten behoeve van de implementatie van het privacybeleid zullen de diverse gegevensverwerkingen binnen de organisatie moeten worden geïnventariseerd en zal per gegevensverweking doel, inhoud, bron, bewaartermijn en veiligheidsmaatregelen moeten worden vastgesteld. Bij de invoering van het beleid zullen de proceseigenaren, systeemeigenaren en gegevenseigenaren worden betrokken. Vanuit informatiebeveiliging is het belangrijk dat uiteindelijk passende maatregelen zijn genomen, zodat wordt voldaan aan wet- en regelgeving.
Uitvoeren privacycheck (quickscan): Door de ambtelijke werkgroep privacy is een zogenaamde privacycheck uitgevoerd. Doel van de privacycheck was om inzichtelijk te krijgen hoe door het waterschap persoonsgegevens worden verwerkt en om bewustzijn te creëren over het belang van een zorgvuldige omgang met deze gegevens. Uit de privacy vragenlijst kon worden geconcludeerd dat het waterschap te kort schiet in haar wettelijke verplichtingen en dat het noodzakelijk is om over het onderwerp privacy beleid op te stellen.
Selecteren en implementeren passende maatregelen: De Baseline Informatiebeveiliging Waterschappen (BIWA) bevat maatregelen die algemeen voorkomende informatiebeveiligingsrisico’s bij de waterschappen afdekken. De baseline bevat een aantal minimale beveiligingsniveaus waaraan een waterschap zou moeten willen voldoen, maar is nog niet volledig. Voor risico’s die niet door de baseline zijn afgedekt stelt het waterschap aanvullende maatregelen vast. De BIWA is gebaseerd op de NEN-norm en bevat waterschap specifieke maatregelen.
Uitvoeren Privacy impact assessment (PIA): Door het uitvoeren van een PIA worden privacyrisico’s van een project in een vroeg stadium op een gestructureerde en heldere manier in beeld gebracht. Wat is de impact van het beoogde project op de privacy van de betrokkenen? Wat zijn de risico’s voor de betrokkenen en voor de organisatie; Is er gegeven de doelstellingen van het project, ook een aanpak mogelijk die minder gevolgen heeft voor de privacy. Deze vragen komen aan de orde tijdens de implementatie bij uitvoering van een PIA. Over de uitkomst van de PIA’s bij de verschillende projecten zal de ondernemingsraad worden geïnformeerd. Jaarlijks zal een overzicht worden verstrekt.
Met de vaststelling van het privacybeleid als zodanig zijn geen kosten gemoeid. Echter de kosten voor de implementatie van het privacybeleid zijn nog niet te overzien. Als tijdens de implementatie blijkt dat aanvullende privacybeschermende beveiligingsmaatregelen nodig zijn -(afhankelijk van de uitkomst van het privacy impact assessment (PIA))- zullen voor deze additionele kosten separate voorstellen worden ingediend.
Rekening moet worden gehouden met toekomstige nieuwe wetgeving (de Europese privacyverordening). Te zijner tijd moet worden geanticipeerd op de verplichtingen en kosten die hiermee gepaard gaan.
Het privacyreglement zal worden bekendgemaakt in het electronisch Waterschapsblad. Voorafgaand en tijdens de implementatie zal aandacht worden besteed aan de communicatie aan leidinggevenden en medewerkers.
Implementatie: Privacy Impact Assessment (PIA): De PIA legt in de eerste plaats de risico’s bloot van projecten die te maken hebben met privacy, en dragen bij aan het vermijden of verminderen van deze privacy risico’s. Op basis van de antwoorden van de PIA wordt op systematische wijze inzichtelijk gemaakt of er een kans is dat de privacy van de betrokkene wordt geschaad, hoe hoog deze is en op welke gebieden dit speelt. (Bij elk project nagaan of er privacy aspecten zijn; Worden er persoonsgegevens verwerkt?);
20 april: voorlichting aan betrokken medewerkers in de organisatie
september: toelichting in Managementoverleg
september 2015: communicatie in organisatie aan leidinggevenden en betrokken medewerkers
najaar 2015 : start implementatie
1 juli 2016 : implementatie gereed
Controle op de naleving van maatregelen voor privacybescherming.
Evaluatie privacy beleid (jaarlijks) audit uitvoeren
(T.z.t. aanstellen van een functionaris gegevensbescherming)
Geadviseerd wordt om het privacyreglement en het standaardformulier verwerking persoonsgegevens vast te stellen en te besluiten om het beleid te implementeren in de organisatie. De benodigde technische maatregelen treffen om de verwerking van persoonsgegevens adequaat te beschermen.
Handreiking overzicht privacywetgeving binnen de overheid
Ontwikkelingvan privacywetgeving:
1948: Universele verklaring (art. 12) (echter niet afdwingbaar);
1950: EVRM (art. 8) (wel afdwingbaar) : communicatiegeheim:
Art. 8 EVRM: Recht op eerbiediging van privéleven, familie en gezinsleven
Lid 1: een ieder heeft recht op respect voor zijn privéleven, zijn familie- en gezinsleen, zijn woning en zijn correspondentie.
Lid 2: geen inmenging van enig openbaar gezag is toegestaan in de uitoefening van dit recht, dan voor zover bij wet is voorzien en in een democratische samenleving noodzakelijk is in het belang van de nationale vrijheid, de openbare veiligheid of het economisch welzijn van het land, het voorkomen van wanordelijkheden en strafbare feiten, de bescherming van de gezondheid of de goede zeden of voor de bescherming van de rechten en vrijheden van anderen.
Bovenstaande zijn fundamentele rechten.
1995: Privacyrichtlijn 95/46/EC: Richtlijn ter bescherming van de interne markt.
Implementatie nodig. Dat is gebeurd via de Wbp en de Data Protection Act 1998.
Grondslag art. 95 (100 A) EG: maatregelen inzake onderlinge aanpassing van de wettelijke en bestuurlijke bepalingen die de instelling van de interne markt betreffen.
Waarborgen van debeschermingvan de fundamentele rechten en vrijheden van natuurlijke personen. Recht op persoonlijke levenssfeer. Wegnemen belemmeringenm.b.t. vrije verkeer van persoonsgegevens tussen lidstaten om redenen die verband houden met deze bescherming.
Toekomstige Europese regelgeving:
2014: wetsvoorstel voor een General regulation on Data Protection (art. 14(2), 116 lid 1 VwEU):
De Algemene Verordening Gegevensbescherming
Wetsvoorstel 33662:Wijziging van de Wet bescherming persoonsgegevens en de Telecommunicatiewet in verband met de invoering van een meldplicht bij de doorbreking van maatregelen voor de beveiliging van persoonsgegevens (meldplicht datalekken)
In de Wet bescherming persoonsgegevens is de privacyrichtlijn 95/46/ EG geïmplementeerd.. De Wbp heeft eenomnibuskarakter. Kaderwet met gelaagd karakter.
Juridisch kader Wet bescherming persoonsgegevens:
Er zijn meerdere wetten die zien op hoe we moeten omgaan met privacygevoelige gegevens. De Wet bescherming persoonsgegevens (Wbp) en ook de Wet openbaarheid van bestuur (Wob) zijn de belangrijkste. Ook geeft de Archiefwet regels over onder meer bewaartermijnen.
In 2001 werd de Wet persoonsregistraties vervangen door de Wbp. De Wbp is op hoofdlijnen gelijk aan de Europese richtlijn 95/46/EG die op 25 oktober 1995 werd aangenomen. Deze richtlijn beschrijft de wijze waarop in de lidstaten moet worden omgegaan met persoonsgegevens. Inmiddels wordt gewerkt aan een nieuwe richtlijn.
Naast deWbp wordt privacy geregeld o.a. in Grondwet.
Eerbiediging van de persoonlijke levenssfeer is een van de grondslagen van onze rechtsorde. Het recht op eerbiediging van de persoonlijke levenssfeer is vastgelegd in artikel 10 van de Grondwet.
1. Ieder heeft, behoudens bij of krachtens de wet te stellen beperkingen, recht op eerbiediging van de persoonlijke levenssfeer.
2. De wet stelt regels ter bescherming van de persoonlijke levenssfeer in verband met het vastleggen en verstrekken van persoonsgegevens;
3. De wet stelt regels inzake de aanspraken van personen op kennisneming van over hem vastgelegde gegevens en van het gebruik dat daarvan gemaakt wordt, alsmede op verbetering van zodanige gegevens.
Art. 13 Grw: briefgeheim, (ook hierin is het right to be left alone verankerd)
1. Het briefgeheim is onschendbaar, behalve, in de gevallen bij de wet bepaald, op last van de rechter.
2. Het telefoon- en telegraafgeheim is onschendbaar, behalve, in de gevallen bij de wet bepaald, door of met machtiging van hen die daartoe bij de wet zijn aangewezen.
De Wet bescherming persoonsgegevens is overigens niet van toepassing op de verwerkingen door het waterschap van gegevens uit de Gemeentelijke Basisadministratie (dat is een uitgezonderde verwerking). In de Beheerregeling BRP zijn specifieke GBA-normen opgenomen.
Het waarborgen van de bescherming van de fundamentele rechten en vrijheden van natuurlijke personen, in bijzonder het recht op de persoonlijke levenssfeer.
Het wegnemen van belemmeringen m.b.t. het vrije verkeer van persoonsgegevens tussen lidstaten om redenen die verband houden met deze bescherming.
Door snelle technologische ontwikkelingen zijn er steeds meer mogelijkheden om persoonsgegevens te verwerken. Overheden krijgen daardoor meer mogelijkheden om nieuwe diensten te ontwikkelen waar de burger veel voordeel van kan hebben.Aan de talrijke mogelijkheden die de moderne informatiemaatschappij kent, kleven echter ook gevaren.Eénvan de schaduwzijden van de informatiemaatschappij is de inbreuk op de persoonlijke levenssfeer die het gevolg kan zijn van een ongebreidelde vergaring, bewerking en verspreiding van persoonsgegevens.
De hoeveelheid data die de overheid vergaart neemt steeds grotere proporties aan. En daarmee ook de roep om privacybeschermende maatregelen. Gegevens zijn een bron van informatie. Informatie is de basis van kennis en macht. Die macht kan zowel ten goede, als ten kwade worden aangewend. Het is daarom van belang dat rond de verwerking van persoonsgegevens regels worden gesteld. In artikel 10 van de Grondwet wordt het recht op eerbiediging van de persoonlijke levenssfeer erkent. De Wet bescherming persoonsgegevens (en de Wet persoonsregistraties die hieraan vooraf ging) vloeit voort uit de opdracht in de Grondwet tot het geven van nadere regels over het omgaan met persoonsgegevens
De Wet bescherming persoonsgegevens geeft regels voor het verwerken van persoonsgegevens. Alle gegevens die informatie kunnen verschaffen over een identificeerbare natuurlijke persoon zijn persoonsgegevens in de zin van de Wbp, zoals naam, adres, woonplaats, e-mailadres, handtekening, telefoonnummer, godsdienst, inkomen, gezondheid en geslacht. De Wbp vereist dat al die gegevens behoorlijk en zorgvuldig worden verwerkt.
Uitgegevens van het College Bescherming Persoonsgegevens blijkt dat het verwerken, en dan met name het niet adequaat verwerken, van persoonsgegevens strijdig is met de wet en een bron van ergernis oplevert voor burgers. In uitzonderlijke gevallen kan het niet adequaat verwerken van persoonsgegevens zelfs leiden tot heel vervelende situaties, waarbij bijvoorbeeld iemands identiteit wordt ‘gestolen’ of misbruikt. Juiste toepassing van de wettelijke regels is daarom belangrijk.
In de Wet bescherming persoonsgegevens is een aantal uitgangspunten verwerkt, dat bij de verwerking van persoonsgegevens in acht moet worden genomen.
Toepassing, reikwijdte en werking van de Wbp
(Proportionaliteit: privacyinbreuk mag niet onevenredig zijn in verhouding tot het belang waarvoor gegevens worden verwerkt).
Een eerste uitgangspunt dat gehanteerd wordt, is dat een inbreuk op de belangen van de bij de verwerking van persoonsgegevens betrokkene,niet onevenredig mag zijn in verhouding tot het met de verwerking te dienen doel. Wanneer bij de uitoefening van een bevoegdheid tot het verkrijgen van persoonsgegevens een inbreuk op een grondrecht aan de orde is, zal de verwerker van de persoonsgegevens moeten toetsen of het evenredigheidsbeginsel in het geding is. Aan de hand van de omstandigheden van het concrete geval zal de verwerker van de persoonsgegevens deze afweging moeten maken.
(Subsidiariteit: Belang kan niet op andere minder belastende wijze worden gerealiseerd)
Het doel waarvoor de persoonsgegevens worden verwerkt dient in redelijkheid niet op een andere, voor de bij de verwerking van persoonsgegevens betrokkene minder nadelige wijze te
kunnen worden verwerkelijkt. Het noodzakelijkheidscriterium houdt in dat van de verwerking van persoonsgegevens moet worden afgezien als hetzelfde doel ook langs andere weg en met minder ingrijpende middelen kan worden gerealiseerd, bijvoorbeeld door de vergaring van anonieme gegevens. Wordt desondanks tot gegevensverwerking overgegaan, dan is van belang dat degene die gegevens wil verwerken in redelijkheid alle eventuele bestaande mogelijkheden benut om de inbreuk op de persoonlijke levenssfeer van betrokkenen te beperken.
Het gelijkheidsbeginsel wordt verwoord in artikel 1 van de Grondwet en is nader uitgewerkt in de Algemene wet gelijke behandeling (AWGB). Deze wet verbiedt het maken van onderscheid tussen personen op grond van godsdienst, levensovertuiging, politieke gezindheid, ras, geslacht, nationaliteit, hetero- of homoseksuele gerichtheid of burgerlijke staat bij verschillende vormen van economisch en maatschappelijk verkeer, tenzij de wet het maken van onderscheid toestaat of het om indirect onderscheid gaat dat objectief gerechtvaardigd is. De meeste van de genoemde gronden worden ook vermeld in een aantal bepalingen in de Wet bescherming persoonsgegevens over de verwerking van bijzondere gegevens. Deze bepalingen – (de artikelen 16, 17, 18 en 19) – bieden extra waarborgen bij het verwerken van persoonsgegevens betreffende onder meer iemands godsdienst of levensovertuiging, ras, politieke gezindheid en seksuele leven. Het gelijkheidsbeginsel werkt dus ook door in deze wet. Een verwerking met de bedoeling om een ongerechtvaardigd onderscheid te maken, is onrechtmatig in de zin van artikel 6 van de WBP.
Enkele belangrijke begrippen in de Wet bescherming persoonsgegevens:
In hoofdstuk 1 van de Wbp wordt een aantal begrippen gedefinieerd.
dat is degene op wie de gegevens betrekking hebben: dit is altijd een natuurlijk persoon,individu, ofwel het data subject
heeft zeggenschap over doel en wijze van verwerking. Natuurlijk persoon of rechtspersoon, of bestuursorgaan. (controller)Dit is formeel, juridisch en feitelijk (functioneel) degene die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.Degene die zeggenschap heeft over doel en middelen van verwerking. Degene die beslist over bewaartermijnen, verstrekking inzageverzoeken etc. Binnen de overheid zijn als verantwoordelijke te kwalificeren: de afzonderlijke ministers op rijksniveau, college van GS, CdK, college van B&W en binnen waterschappen het CDH.
Dit is degene die de gegevens ten behoeve van de verantwoordelijke verwerkt zonder aan zijn of haar rechtstreeks gezag te zijn onderworpen. (dus extern. Is nooit intern) (processor) De bewerker: verwerkt persoonsgegevens ten behoeve van en onder verantwoordelijkheid van de verantwoordelijke. Dat wil zeggen overeenkomstig de instructies en uiteindelijke verantwoordelijkheid van de verantwoordelijke. Het bepalen van de doeleinden van de verwerking en de zeggenschap daarover zijn doorslaggevend. Of en in hoeverre een bewerker de details van verwerkingswijze van persoonsgegevens kan bepalen hangt in grote mate af van de overeenkomst met de verantwoordelijke.(artt. 12, 14 en 49 van de Wbp: de bewerker is zelden verantwoordelijk, tenzij het gaat om beveiliging). De bewerker neemt geen beslissingen over het gebruik van de gegevens, de verstrekking aan derden en andere ontvangers, de duur van de opslag van de gegevens etc.
CBP:College bescherming persoonsgegevens (data protection authority).
FG:Functionaris gegevensbescherming (de privacy officer)
Verplichtingen in de Wet bescherming persoonsgegevens liggen primair bij de verantwoordelijke. Daaronder valt het actief toezicht houden op de bewerker. In de overeenkomst met de bewerker van persoonsgegevens moeten afspraken gemaakt worden over geheimhouding en beveiliging.
Persoonsgegevens zijn gegevens betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. De vraag die daarbij gesteld moet worden is of het een onevenredige inspanning kost om aan de hand van het gegeven de desbetreffende natuurlijke persoon te identificeren. Als dat niet het geval is dan is er sprake van een persoonsgegeven.
Wanneer is sprake van een persoonsgegeven?
Aspecten die daarbij aan de orde komen zijn de volgende:
1. identiteit (individualiseren (single out: onderscheiden van anderen) is niet genoeg. Bijv. een ip-adres wisselt, hoeft niet altijd naar één persoon te herleiden te zijn.
2. redelijkheid: is identificeren redelijkerwijs mogelijk? Kost het een onevenredige inspanning om de identiteit te achterhalen?
3. relativiteit: Wat voor de ene organisatie een persoonsgegeven is, hoeft dat voor de andere organisatie niet te zijn. HET HANGT ER VANAF!!
1. verwerking van persoonsgegevens op naam (hoeft niet altijd sprake te zijn van een persoonsgegeven);
2. identiteit van betrokkene kan met beschikbare middelen (telefoonboek, kentekenregister enz.) alsnog worden achterhaald. VB: combinatie van beroep, woonplaats en leeftijd, of postcode, huisnr. Met abonneebestand enz.
3. Identificatie kan slechts met disproportionele aanwending van geld, mankracht enz. (identificatie door de computer kost vele dagen) In dat geval zal niet snel sprake zijn van een persoonsgegeven.
Persoonsgegevens in arbeidsrelaties zijn bijv.: adres van de werknemer, foto van werknemer, rapport met statistische gegevens over het bedrijf (waaronder gemiddelde salaris per functie), klantnummer werknemer bij bijv. pensioenfonds.
Hiervoor geldt een extra streng regime: godsdienst, politieke gezindheid enz.
Het enkele gegeven dat iemand ziek is, is al een persoonsgegeven. Voor werkgevers geldt een uitzondering op dit verbod, maar uitsluitend voor zover de gegevens noodzakelijk zijn voor uitvoering van wet, pensioen, cao’s, re-integratie of begeleiding in verband met ziekte of arbeidsongeschiktheid. Verwerking van deze gegevens mag alleen door personeel dat een geheimhoudingsplicht heeft. Schending van de geheimhoudingsplicht is een misdrijf!
In het eerste lid van artikel 2 van de Wbp wordt bepaald dat de wet van toepassing is op het geheel of gedeeltelijk automatisch verwerken van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.
Verwerking van persoonsgegevens:
Elke handeling m.b.t. persoonsgegevens: o.a. verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken d.m.v. doorzending, verspreiding of enige andere vorm van ter beschikking stelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwisselen of vernietigen van gegevens (enz.). Dit zijn slechts voorbeelden; elke handeling met betrekking tot persoonsgegevens (al dan niet geautomatiseerd) is een verwerking van persoonsgegevens.
Het gaat er om of er enige feitelijke macht of invloed, al dan niet via een computersysteem, over de gegevens uitgeoefend kan worden. Kan er een handeling met de gegevens worden verricht? De Wbp noemt een aantal handelingen die als verwerking worden aangeduid:
Op grond van de Wbp mogen persoonsgegevens alleen verzameld worden als daarvoor een doel bestaat. Dit doel moet welbepaald, uitdrukkelijk omschreven en gerechtvaardigd zijn. Ook moet steeds worden nagegaan of het verwerken van persoonsgegevens noodzakelijk is voor het doel. Voor de uitvoering van diverse wetten zal in de betreffende wet dikwijls zijn aangegeven welke persoonsgegevens nodig zijn en dus verwerkt mogen worden. Daar waar over verwerking van persoonsgegevens in bijzondere wetgeving niets is geregeld, geldt dus het strikte regime van de Wbp.
(Proces van gegevensverwerking)
Persoonsgegevens moeten in overeenstemming met de wet op een behoorlijke en zorgvuldige wijze worden verwerkt (artikel 6 Wbp). Het begrip zorgvuldig sluit aan bij de zorgvuldigheidsnorm in het Burgerlijk Wetboek en het zorgvuldigheidsbeginsel als algemeen beginsel van behoorlijk bestuur. Dit basisbegrip wordt verder uitgewerkt in diverse bepalingen van de Wbp.
Voor de verwerking van persoonsgegevens gelden op hoofdlijnen de volgende regels:
Bij het proces van gegevensverwerking moeten een aantal stappen worden onderscheiden. In hoofdstuk 2 van de Wbp worden voorwaardengesteld voor de rechtmatigheidvan de verwerking van persoonsgegevens. Hieronder een toelichting op de artikelen in dit hoofdstuk.
1. Algemeen: gegevensverwerking in overeenstemming met de wet en behoorlijk en zorgvuldig (artikel 6).
Artikel 6 keert zich tegen die vormen van gegevensverwerking die als unfair of oneerlijk worden beschouwd. Voorwaarde voor een eerlijke verwerking van gegevens is dat de betrokkenen van het bestaan van de verwerking kennis kunnen hebben en wanneer van hen gegevens worden verkregen, daadwerkelijk en volledig worden ingelicht over de omstandigheden waaronder deze worden verkregen. Het is dus verboden om onopgemerkt gegevens van personen te verzamelen en te verwerken. In het Strafrecht zijn tegen dit soort praktijken strafbepalingen opgenomen. Bijv. tegen het illegaal afluisteren van telefoongesprekken, het illegaal maken van afbeeldingen van personen met heimelijk opgestelde camera’s in niet voor het publiek toegankelijke ruimten.
2. Verzameling voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde
In dit artikel is geregeld dat er sprake moet zijn van een welbepaald doel, dat bovendien gerechtvaardigd moet zijn (het belang van de verantwoordelijke moet aanleiding geven tot de verwerking van gegevens en mag niet in strijd zijn met de wet, de openbare orde of de goede zeden. In het eerste lid van artikel 9 wordt in aansluiting hierop bepaald dat de gegevens (vervolgens) niet mogen worden verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen. (p. 78MvT) Niet alleen moet het doel bepaald zijn, het doel moet ook gerechtvaardigd zijn. Van gerechtvaardigde doeleinden kan alleen sprake zijn als deze met inachtneming van de in artikel 8 genoemde gronden kunnen worden verwerkt. Het doel mag nooit in strijd met regels van geschreven of ongeschreven recht zijn. Het vergaren van gegevens met het doel daarmee illegale activiteiten te verrichten is dus in strijd met art. 8 en dus ook in strijd met art. 7 van de Wbp.
In artikel 9 wordt vervolgens bepaald dat gegevens niet mogen worden verwerkt op een wijze die onverenigbaar is met die doeleinden. Gegevens mogen dus wel worden gebruikt voor andere doelen dan waarvoor zij zijn verzameld. Maar dit andere doel moet verenigbaar zijn met het oorspronkelijke doel.
De omschrijving van het doel blijkt uit de melding van de verwerking bij het College bescherming persoonsgegevens (CBP) of bij de functionaris voor de gegevensbescherming (artikel 28 WBP) of uit de doelstelling van één van de verwerkingen van persoonsgegevens genoemd in het Vrijstellingsbesluit (artikel 29 WBP);
3. Grondslag rechtmatigheid gegevensverwerking (artikel 8: is uitwerking van «gerechtvaardigde doeleinden» als bedoeld in artikel 7).
Artikel 8 bevat een limitatieve opsomming van de gronden die een gegevensverwerking rechtvaardigen. Elke verwerking moet voldoen aan het proportionaliteitsbeginsel (evenredigheid) en het subsidiariteitsbeginsel (noodzakelijkheid) (zie hierboven).
De verantwoordelijke moet een gerechtvaardigd belang hebben bij de verwerking van persoonsgegevens. Hierbij moet in alle stadia van de verwerking altijd minimaal één van de volgende voorwaarden van toepassing zijn (artikel 8 WBP):
Persoonsgegevens mogen slechts worden verwerkt indien: (limitatieve opsomming)
De betrokkene zijn toestemming heeft gegeven (deze grond is niet exclusief, ook op andere gronden kunnen gegevens worden verwerkt, de wet kan zelfs toestemming van betrokkene als rechtvaardigingsgrond uitsluiten bijv. in geval van ongelijke machtsverhoudingen tussen verantwoordelijke en betrokkene).
Gegevensverwerking is geoorloofd indien deze noodzakelijk is voor de behartiging van een gerechtvaardigd belang van de verantwoordelijke, tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, doorslaggevend zijn. (noodzakelijkheidscriterium).
In geval een betrokkene rechtsgeldig toestemming heeft verleend, maar later besluit zijn toestemming in te trekken dan is dat mogelijk. Betrokkene heeft te allen tijde het recht zijn toestemming in te trekken. De rechtsgrondslag komt dan aan de gegevensverwerking te ontvallen. Het is in dat geval aan de verantwoordelijke niet toegestaan om alsnog op grond van art. 8 sub b tot verwerking van persoonsgegevens over te gaan. Dit sluit aan op de norm van artikel 6: verwerking zou dan onbehoorlijk en onzorgvuldig zijn ten opzichte van de betrokkene.
Bij de toepassing van artikel 8 geldt steeds in aanvulling op artikel 8 voor gevoelige gegevens op grond van paragraaf 2 van hoofdstuk 2 een verscherpt regime!
4. Verdere verwerking niet onverenigbaar met doeleinden van verkrijging (artikel 9).
Zie onder 2. Het doel waarvoor de verantwoordelijke de gegevens wil gebruiken, moet worden afgewogen tegen het doel waarvoor de gegevens zijn verkregen. Van belang is bovendien de aard van de betreffende gegevens. Gegevens kunnen bijvoorbeeld gevoelig zijn door de context waarin zij worden gebruikt (bv. Gegevens omtrent iemands kredietwaardigheid of welstand). Hoe gevoeliger het gegeven, hoe minder snel mag worden aangenomen dat sprake is van verenigbaar gebruik indien bij enige verwerking wordt afgeweken van het oorspronkelijke doel.
(vb: de gemeentelijke basisadministratie bevat persoonsgegevens voor veel verschillende doeleinden. Het gaat echter om gegevens die personen identificeren en hun adres vastleggen. Omdat de gegevens weinig informatie bevatten, is het gebruik voor uiteenlopende doeleinden gerechtvaardigd. In beginsel zijn de gegevens bestemd voor de overheid. Wanneer daarentegen een ziekenfonds op basis van de gegevens van de declaraties van een specialist een selectie maakt van patiënten die aan een bepaalde kwaal lijden en deze lijst ter beschikking stelt aan een fabrikant van hulpmiddelen die het leven met deze kwaal vergemakkelijkt, is er sprake van onverenigbaar gebruik. MvT p. 92).
Het doorgeven van een verjaardag aan bijvoorbeeld een afdeling communicatie voor het maken van een verjaardagskalender op intranet mag (tenzij hier uitdrukkelijk bezwaar tegen gemaakt wordt. Maar het doorgeven van gegevens aan een verzekeraar voor het doen van een aanbieding aan werknemers mag niet!)
5. Kwaliteit gegevens: toereikend, relevant, niet bovenmatig, nauwkeurig (artikel 11).
Persoonsgegevens moeten juist en nauwkeurig zijn, ter zake dienend en niet bovenmatig.
Degene die de gegevens verwerkt heeft een continue verplichting tot toetsing van de gegevens.
6. Beveiliging (artikelen 12, 13 en 14)
Uitgangspunt is dat de verantwoordelijke verantwoordelijk en aansprakelijk is voor de gegevensverwerking. In het tweede lid van artikel 12 wordt een geheimhoudingsplicht opgelegd aan de bewerker, alsmede degenen die onder het gezag van de verantwoordelijke of de bewerker werkzaam zijn. In beginsel kan slechts een uitdrukkelijke wettelijke verplichting op de geheimhoudingsplicht een inbreuk maken.
In artikel 13 is een beveiligingsverplichting vastgelegd: De verantwoordelijke moet passende technische en organisatorische maatregelen treffen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking.
In artikel 14 is geregeld dat de verantwoordelijkheid voor beveiligingsmaatregelen ligt bij de verantwoordelijke. Ook wanneer de verwerking van persoonsgegevens door een bewerker geschiedt. (zorgplicht verantwoordelijke)
7. Bewaring: niet langer dan noodzakelijk voor verwerkingsdoeleinden (artikel 10).
Gegevens mogen niet te lang worden bewaard. Er moet worden toegezien op de juistheid van de verwerkte gegevens. Bij bewerking van gegevens door een derde is een overeenkomst vereist. Melding bij CBP, tenzij vrijgesteld. (Vrijstellingsbesluit)
In artikel 16 is geregeld dat de verwerking van persoonsgegevens betreffende iemands godsdienst, levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, alsmede persoonsgegevens betreffende het lidmaatschap van een vakvereniging is verboden behoudens het bepaalde in deze paragraaf (2). Hetzelfde geldt voor strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag.
de basisprincipes voor verwerking van persoonsgegevens:
- Verscherpt regime voor bijzondere persoonsgegevens;
- Exportvergunning bij justitie.
Bescherming van de persoonlijke levenssfeer. Uitgangspunt daarbij is:
Persoonsgegevens moeten herleidbaar zijn tot een natuurlijk persoon:
Verwerking van persoonsgegevens mag, mits:
- Er sprake is van een duidelijk omschreven en bepaald doel;
- Dat doel moet kenbaar en gerechtvaardigd zijn;
- Gerechtvaardigde verwerking vereist grondslag: ondubbelzinnige toestemming van de betrokkene, uitvoering van een overeenkomst of wettelijke verplichting; of noodzakelijk voor het gerechtvaardigd belang van de verwerker (bijv. historisch overzicht van het personeel)
Informatieverplichting: De verantwoordelijke is verplicht om vooraf te informeren over identiteit en over het doel van de verwerking van gegevens.
Andere gegevens: afhankelijk van de aard van gegevens, omstandigheden verkrijging en gebruik van gegevens.
Praktijk: Privacy reglementering kenbaar maken, bijvoorbeeld via uitleg op intranet.
Inzage (binnen 4 weken een volledig overzicht);
Correctie: verbetering, aanvulling, verwijdering, afscherming (binnen 4 weken beslissen op verzoek). Derden aan wie gegevens zijn doorgegeven informeren.
Boete € 4.500,-- op schending meldingsplicht. Dwangsommen, bestuursdwang. Betrokkene neemt individueel of collectief actie: Hij kan bijv. reputatieschade claimen. CBP zoekt publiciteit bij handhaving..
Transparantie vooraf is van groot belang.
De ondernemingsraad heeft instemmingsrecht op het (vast te stellen) privacy beleid. Het privacy beleid zou een regeling moeten omvatten over het verwerken van, alsmede de bescherming van persoonsgegevens van de in de onderneming (of rechtspersoon) werkende personen. (art. 27 lid 1 WOR) Volg/controle/registratiesysteem ‘een regeling inzake voorzieningen die gericht zijn op, of geschikt zijn voor waarneming van of controle op aanwezigheid, gedrag of prestaties van de in de onderneming werkzame personen’.
Wet openbaarheid van bestuur (Wob) in relatie tot de Wet bescherming persoonsgegevens;
De Wob kent als hoofdregel dat overheidsinformatie openbaar is. In artikel 8, lid 1 Wob is het beginsel van actieve openbaarmaking neergelegd. Dat wil zeggen het uit eigen beweging verstrekken van informatie door het bestuursorgaan. De plicht tot het verstrekken van informatie ontstaat zodra dit in het belang is van een goede en democratische bestuursvoering. Soms geeft ook een bijzondere wet aan, dat informatie openbaar gemaakt moet worden. Er moet altijd een belangenafweging plaats vinden. De overheid moet er voor zorgen dat ook bij actieve openbaarmaking een inbreuk op het recht op eerbiediging van de persoonlijke levenssfeer wordt vermeden of zo beperkt mogelijk wordt gehouden. De Wob geeft immers als weigeringsgrond voor openbaarmaking de bescherming van de persoonlijke levenssfeer. Het is geen absolute weigeringsgrond, maar er moet een belangenafweging plaatsvinden (belang openbaarheid versus belang bescherming persoonlijke levenssfeer).
Indien privacygevoelige gegevens actief openbaar worden gemaakt, geldt dat toestemming van de betrokkene nodig is, of dat er een aantoonbare noodzaak is voor de openbaarmaking, zoals nakoming van een wettelijke verplichting.
Zowel het recht op ‘openbaarheid’ als het recht op ‘eerbiediging van de persoonlijke levenssfeer’ zijn grondrechten. Er treedt een spanning op als gevraagd wordt om openbaarmaking van gegevens die de persoonlijke levenssfeer betreffen. De vraag rijst: welk recht gaat voor?
Beide rechten zijn nevenschikkend. Het is niet zo dat het ene recht belangrijker is dan het andere. Er moet een belangenafweging plaatsvinden. Aan de ene kant het belang van openbaarmaking aan de andere kant het belang van de persoonlijke levenssfeer van de betrokkene.
Factoren die behulpzaam kunnen zijn bij de afweging van belangen zijn de volgende. Het stramien van artikel 8 EVRM kan worden gevolgd:
a. de aard van de gegevens waarvan openbaarmaking wordt gevraagd;
b. de gevolgen van de beoogde verwerking voor de betrokkene wiens gegevens openbaar gemaakt zouden moeten worden;
c. de wijze waarop de gegevens van de betrokkene zijn verkregen
De Wob bepaalt het recht van een ieder (burgers, bedrijfsleven) op informatie van de overheid (bestuursorganen). De Wob zorgt ervoor dat burgers inzage hebben in het handelen van de overheid. Zo kan de burger beslissingen controleren. Het uitgangspunt van de Wob is dat documenten bij de overheid openbaar zijn. Uitzonderingen gelden alleen als de Wob of bijzondere wetten bepalen dat de gevraagde informatie niet geschikt is voor openbaarmaking.
De Wob kent enkele weigeringsgronden en beperkingen. Er bestaan twee weigeringsgronden over persoonlijke levenssfeer.
De ene is een absolute weigeringsgrond. Het bestuursorgaan is gehouden geen gegevens openbaar te maken die betreffen iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, lidmaatschap van een vakvereniging, mogelijke strafrechtelijke achtergrond en iemands persoonlijk identificatienummer.
De andere weigeringsgrond is een relatieve weigeringsgrond. Dat betreft het afwegen van twee belangen: Het belang van 16,7 miljoen Nederlanders om iets te weten over één persoon versus het belang van de betrokkene om met rust te worden gelaten
Het gaat om een afweging van belangen. Het bestuursorgaan weegt die belangen af. Daarbij heeft het een grote vrijheid.
In artikel 10, tweede lid, aanhef en onder e, komt een zgn. relatieve weigeringsgrond voor. Dat artikellid luidt:
2. Het verstrekken van informatie ingevolge deze wet blijft eveneens achterwege voor zover het belang daarvan niet opweegt tegen de volgende belangen:
e. de eerbiediging van de persoonlijke levenssfeer;
Het verschil tussen een absolute weigeringsgrond en een relatieve weigeringsgrond is:
bij een absolute weigeringsgrond hoeft alleen maar vermeld te worden dat het gaat om een gegeven als bedoeld in artikel 10, eerste lid, aanhef en onder d. Het is niet nodig te melden om wat voor gegeven het gaat, en een motivering blijft achterwege. Het betreft uitsluitend een vaststelling dat een bepaald gegeven aan de orde is.
bij andere persoonsgegevens moet een belangenafweging plaatsvinden. Aan de ene kant het publieke belang van een goede en democratische bestuursvoering (dat wordt voorondersteld aanwezig te zijn) en aan de andere kant het privacybelang van de betrokkene. In zo’n geval moet dus een motivering volgen. Dat vereist een kwaliteitstoets.
Er is dus geen belangenafweging bij absolute weigeringsgrond, wel bij een relatieve weigeringsgrond.
Het is aan het bestuursorgaan om die belangenafweging te maken en aan de rechter om haar te toetsen, met inachtneming van het uitgangspunt van de Wob dat openbaarheid regel is.
Wetsvoorstel 33 662: Meldplicht datalekken
1. Strekking van het wetsvoorstel In dit wetsvoorstel wordt een meldplicht geïntroduceerd in de Wet bescherming persoonsgegevens (hierna: Wbp) voor verantwoordelijken voor de verwerking van persoonsgegevens in geval van gebleken doorbrekingen van de getroffen maatregelen ter beveiliging van persoonsgegevens. De verantwoordelijke moet op grond van het voorgestelde artikel 34a van de Wbp bij een inbreuk waarvan redelijkerwijs kan worden aangenomen dat die leidt tot een aanmerkelijke kans op verlies of onrechtmatige verwerking van persoonsgegevens een melding doen bij de toezichthouder, het College bescherming persoonsgegevens (hierna: Cbp). Daarnaast dient in de meeste gevallen een melding aan de betrokkene te geschieden indien de inbreuk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. De meldplicht rust op alle verantwoordelijken voor de verwerking, zowel in de private als publieke sector. Het nalaten aan deze verplichtingen te voldoen kan worden gesanctioneerd met een bestuurlijke boete, op te leggen door het Cbp. Het doel van de meldplicht is het voorkomen van datalekken ten gevolge van doorbreking van beveiligingsmaatregelen en als deze zich toch voordoen, de gevolgen ervan voor de betrokkenen zoveel mogelijk te beperken. Met de meldplicht wordt bijgedragen aan het behoud en herstel van vertrouwen in de omgang met persoonsgegevens.
- Huidige boete omhoog naar 4e categorie art. 23 Sr (€ 20.250)
- Nieuwe boete voor meeste andere belangrijke Wbp verplichtingen:
- 6e categorie art. 23 Sr (€ 810.000)
- Flexibilisering: boete kan worden verhoogd naar 10 % omzet
- Eerst bindende aanwijzing (behalve bij opzet)
- die vatbaar is voor bezwaar en beroep
- Nieuwe hoge boetes gelden niet bij CBP-toezicht Wet politiegegevens, Wet justitiële
en strafvorderlijke gegevens of Wet basisregistratie personen
Awb (H 5) Privacy en handhaving:
Het college bescherming persoonsgegevens houdt toezicht op naleving van de Wbp.
Mogelijke overtredingen van de Wbp:
• Bij verwerking ex art. 8 (a): toestemming voldoet niet;
• Overmatige gegevensverwerking, opslag;
• Gegevens die te lang worden bewaard;
• Verwerking van gevoelige gegevens;
• Ontoereikende beveiliging/geen bewerkerscontracten;
• Doorgifte naar een land buiten de EU/EEA zonder modelcontract of uitdrukkelijke toestemming.
(Voornaamste kritiek: Normen zijn te algemeen om daar boetes op los te laten. )
Toezichtsbevoegdheden volgen uit H. 5 van de Awb:
Denk aan: vorderen van inlichtingen (5:16 Awb , 18:7 Tw)
Betreden van plaatsen (5:15 Awb)
Vorderen van inzage van zakelijke gegevens en bescheiden en kopieën.
Sancties CBP: bestuursdwang (op basis van art. 65 Wbp), Last onder dwangsom (5:32 Awb).
€ 4.500 bij: niet (tijdige) melding, niet actualiseren van een melding, export naar (verboden) land.
N.B.: Wetsvoorstel meldplicht datalekken voorziet in hogere boetes en de Europese verordening in nog hogere boetes.
De nieuwe Privacy Verordening.
De nieuwe Privacy verordening gaat de thans geldende Richtlijn 95/46/EG en de Richtlijn verwerking Justitiële en Politiegegevens vervangen. De nieuwe verordening zal directe werking gaan krijgen. De nieuwe verordening lijkt te zijn ingegeven door internet en social media vraagstukken.
In de nieuwe verordening zal “Accountability”, ofwel verantwoording en transparantie overgaan van impliciete voorwaarde naar een expliciete eis!
Nieuw is vooral dat de Europese verordening torenhoge sancties kent ook voor milde vergrijpen. Daarnaast worden aan de toezichthouder en de Commissie zwaardere bevoegdheden toegekend.
Risico’s inschatten met PIA (beveiliging, authorisatie en business practices.)
Privacy compiance check: welke gegevens, doelen en hoe die te verklaeinen.
Algemene eisen gegevensverwerking
De verordening gaat een grote impact hebben op de verwerking van persoonsgegevens;
Politiek zeer omstreden en nog steeds onzeker dossier
Wetgevend proces kan nog lang duren. (mogelijk iwt in 2018)