Welke regels gelden voor gebruik van persoonsgegevens?

Column | Regels voor je personeels- en klantenadministratie

24 april 2013

Vrijwel iedere ondernemer verwerkt gegevens van werknemers en van klanten met behulp van computers. Dat betekent dat de verplichtingen van de Wet bescherming persoonsgegevens (Wbp) voor vrijwel iedere ondernemer gelden. Welke verplichtingen zijn dat eigenlijk?

De Wbp merkt alle gegevens die direct of indirect herleidbaar zijn tot een natuurlijk persoon aan als persoonsgegevens. De verplichtingen van de Wbp gelden voor het gebruik van die gegevens als dat gebruik geheel óf gedeeltelijk geautomatiseerd is. Dat betekent dat de verplichtingen van de Wbp voor vrijwel iedere ondernemer gelden. Vrijwel iedere ondernemer gebruikt tegenwoordig immers de computer voor de personeels- en de klantadministratie.

Mag ik persoonsgegevens gebruiken?

Vooropgesteld wordt dat de Wbp het gebruik van persoonsgegevens niet verbiedt. Dat is alleen het geval bij het gebruik van gevoelige gegevens, zoals gegevens over iemands gezondheid of godsdienst, en zelfs daarvan is het gebruik niet altijd verboden. De Wbp verbiedt het gebruik van persoonsgegevens dus niet. De Wbp bevat verplichtingen waaraan dat gebruik moet voldoen. Daarbij gaat het in het kort om de volgende verplichtingen.

Welke verplichtingen heb ik?

De Wbp verbiedt het gebruik van persoonsgegevens dus niet. De Wbp bevat verplichtingen waaraan dat gebruik moet voldoen. Daarbij gaat het in het kort om de volgende verplichtingen.

  • Ten eerste moet het gebruik een duidelijk doel te hebben. Dat doel moet op één van de in de Wbp genoemde gronden gebaseerd kunnen worden. Dat is bijvoorbeeld het geval als het gebruik plaatsvindt met toestemming van degene op wie de gegevens betrekking hebben of ter uitvoering van een overeenkomst met hem of haar.

  • Ten tweede moet het gebruik van persoonsgegevens goed beveiligd worden. De gegevens mogen niet zomaar op straat komen te liggen. Je moet dat als ondernemer ook niet willen. Onder omstandigheden moet het gebruik van gegevens gemeld te worden bij het College bescherming persoonsgegevens (Cbp) en onder zeer bijzondere omstandigheden moet het Cbp zelfs van te voren onderzoeken of het gebruik geoorloofd is.

  • Tenslotte moet degene op wie de gegevens betrekking hebben, over dat gebruik geïnformeerd te worden. De personeelstrainer van Media Markt van wie onlangs aan het licht kwam dat hij mystery shoppers de opdracht gaf om winkelmedewerkers te filmen met een verborgen camera, ging op dat punt in de fout. Dat geldt ook voor de ondernemer die cookies op zijn website gebruikt zonder de gebruikers van die site daarvan op de hoogte te stellen.

Cameratoezicht en cookies

Overigens geldt in beide gevallen (gebruik van cameratoezicht en van cookies) dat naast de verplichtingen van de Wbp nog andere verplichtingen op grond van andere wetten gelden. Het voert te ver om daar in deze column op in te gaan. Het voert ook te ver om in deze column in te gaan op de vergaande verplichtingen die ondernemers hebben die gegevens buiten Europa brengen. Het voert tenslotte te ver om in te gaan op de verdergaande verplichtingen die de ondernemer heeft als de modernisering van de Wbp van kracht wordt. Daaraan wordt vanuit Europa gewerkt. De verwachting is dat de nieuwe, strengere regels op zijn vroegst in 2015 van kracht worden. Voor de ondernemer die nu aan de verplichtingen van de Wbp voldoet, is het een kleine stap om in de toekomst aan de nieuwe regels te voldoen. Zorg dus dat je aan die verplichtingen voldoet!

Auteur

Marieke Thijssen