Het verwerken en omgaan met persoonsgegevens

Hoe wordt de privacy behouden, wat mag wel en wat mag niet?

privacy, digitaal, gegevens

Vrijwel elke ondernemer werkt wel eens met persoonsgegevens: klantenbestanden, personeelsadministratie of adresbestanden voor een mailing. Zodra je persoonsgegevens verwerkt, krijg je te maken met de Wet bescherming persoonsgegevens (Wbp) die de privacy van de betrokkenen, meestal je klanten, beschermd.

Verwerken betekent hierbij niet alleen het registeren van gegevens, maar elke handeling met persoonsgegevens. Dus ook het bijwerken, raadplegen, verspreiden, samenbrengen of wissen van de gegevens.

Voorwaarden vastleggen persoonsgegevens

Je mag persoonsgegevens alleen verzamelen als je er ook een uitdrukkelijk omschreven doel voor hebt. Er zijn een aantal voorwaarden, wil je het recht op ‘persoonsgegevens verzamelen’ verkrijgen. Daarbij is het voldoende wanneer je aan één van deze voorwaarden voldoet. De meest relevante zijn:

  • degene wiens gegevens worden verwerkt heeft hiervoor toestemming gegeven

  • de gegevensverwerking is noodzakelijk voor de uitvoering van een wettelijke verplichting (bijvoorbeeld de gegevens die de belastingdienst registreert voor de belastingheffing)

  • de verwerking is noodzakelijk voor een goede vervulling van een publiekrechtelijke taak (bijvoorbeeld voor gemeenten)

  • de gegevensverwerking is noodzakelijk voor de behartiging van een gerechtvaardigd belang (bijvoorbeeld als het voor een goede bedrijfsvoering noodzakelijk is, zoals de personeelsadministratie), tenzij het belang van de betrokkene zwaarder weegt. Onder deze bepaling valt bijvoorbeeld het uitvoeren van een direct mail actie.

Het verwerken van de gegevens mag alleen gebeuren als het "niet onverenigbaar" is met het doel waarvoor de gegevens zijn verzameld of verkregen. Wat houdt dat nu in?

Gegevens voor een ander doel gebruiken

Je verzamelt gegevens voor een bepaald doel of bepaalde doeleinden. Dan mag je die gegevens dan voor dat doel of die doeleinden gebruiken.

Je mag nadat je de gegevens hebt verzameld, deze gegevens later ook gebruiken voor een ander doel dan waarvoor je ze hebt verzameld. Je mag dat alleen niet doen op een wijze die onverenigbaar is met het doel waarvoor je de gegevens hebt verzameld. Hiervoor zijn geen harde regels te geven, maar de volgende factoren zijn hierbij van belang:

  • in hoeverre is het doel waarvoor de gegevens zijn verzameld verwant aan het doel van de verdere verwerking?

  • de aard van de gegevens (hoe gevoelig zijn de gegevens)

  • de gevolgen van de gegevensverwerking voor de betrokkene

  • de manier waarop de gegevens zijn verkregen en de mate waarin passende waarborgen voor de betrokkene zijn genomen.

Kwaliteit gegevensverwerking

Verder stelt de wet bepaalde kwaliteitseisen aan een gegevensverwerking. Alleen de gegevens die relevant en nodig zijn, mogen worden verwerkt. De gegevens mogen niet langer worden bewaard dan nodig is.

Als je gegevens verwerkt moet je aan bepaalde verplichtingen voldoen:

  • degenen die geregistreerd staan moeten worden geïnformeerd over wat er met hun gegevens gebeurt;

  • de gegevensverwerking moet in bepaalde gevallen worden gemeld bij de Autoriteit Persoonsgegevens (voorheen het College Bescherming persoonsgegevens, CBP);

  • de persoonsgegevens moeten worden beveiligd tegen verlies of diefstal.

De persoon wiens gegevens worden verwerkt heeft recht op informatie over de geregistreerde gegevens. Daarnaast heeft hij het recht om die gegevens te laten corrigeren. In een aantal gevallen kan de betrokkene bezwaar maken tegen gegevensverwerking.

Wat vind je van dit artikel?