Minder administratieve lasten en kosten voor verantwoordelijken, meldde het College bescherming persoonsgegevens (via) onlangs. Door een uitbreiding van het Vrijstellingsbesluit hoeven “inmiddels algemeen gebruikelijke ICT-toepassingen als intranet en persoonlijke websites en weblogs” niet langer te worden aangemeld. Niet dat iemand dat deed, maar goed.
De Wet bescherming persoonsgegevens (“privacywet”) is erg streng en formalistisch. En je gaat denken dat ie door IT-ers is gemaakt, want bij de IT geldt: ongeacht het probleem, de oplossing is een database. In dit geval een database met meldingen, waarin partijen die persoonsgegevens verzamelen en gebruiken moeten uitleggen wat ze precies doen en waartoe en waarom. Mocht u zich vervelen: lees eens een paar meldingen en kijk of u kunt zeggen wat ze nu precies doen.
Werkelijk niemand heeft me nog kunnen uitleggen wat vandaag de dag het praktisch nut is van die melding. Maar goed, het moet. Ook voor triviale verwerkingen zoals het smoelenboek op intranet. Vrijstellingen zijn namelijk beperkt opgeschreven: val je er ook maar één letter buiten, dan moet je alsnog gaan aanmelden.
Zo vermeldt de vrijstelling voor intranetten dat je alleen deze personalia mag vermelden:
naam, voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie benodigde gegevens;Mijn eerste gedachte is dan, waar is het e-mailadres? En de link naar LinkedIn? Zijn die “soortgelijk”? En trouwens, waarom wél de geboortedatum maar niet mijn Twitteraccount?
Individuele personen met een website hebben ook een vrijstelling. Dat is de kortste uit het besluit, en meteen ook de onduidelijkste wat mij betreft. Wat mag een individueel persoon op zijn website zetten?
- gegevens van persoonlijke of familiaire aard de verantwoordelijke betreffende;
- meningen en standpunten over gebeurtenissen, feiten en omstandigheden;
- foto’s, videobeelden met of zonder geluid.
Kennelijk moet je trouwens dan weer wél je blog aanmelden als er mensen reageren, want de namen en eventuele homepages van reageerders staan niet genoemd in deze vrijstellingslijst. Maar geen zorgen: jullie zijn allemaal journalistiek bezig.
Wie niet onder een vrijstelling valt, moet zijn verwerking aanmelden bij het college.
En tot voor vrij kort stond daar nog de mogelijkheid een diskette aan te vragen, zie het plaatje rechtsboven. Dat kan nu (eindelijk) niet meer.
Arnoud
Het nut van de meldingen heeft te maken met het inzagerecht van de betrokkene. Als eerste kan je in de melding de contactgegevens vinden van de verantwoordelijke zodat je een inzageverzoek kan sturen. Daarnaast bevat het meldingenregister een lijst met de categorien gevevens, het doel waarvoor ze verwerkt worden en aan wie ze eventueel verstrekt worden. Dit zijn allemaal gegevens die in principe ook te verkrijgen zijn met een inzageverzoek, maar vaak wil je juist weten wat je kan aantreffen voordat je een inzageverzoek doet. De inzageverzoeken zijn relatief tijdrovend om correct af te handelen, dus alle informatie die je vantevoren in generieke vorm kan geven vormt een besparing voor zowel de verantwoordelijke als de betrokkene.
Helaas is de uitwerking en handhaving suboptimaal, maar dat is een ander probleem. Het meldingenregister is in huidige vorm nogsteeds nuttig.
Interessant, maar slightly off-topic; in Duitsland (waar ik sinds een maand en nogwat woon) neemt men de wetten over privacy veel serieuzer. Bij het registreren van de gemeente, aanmelden van bank, werk en energie bijvoorbeeld zit altijd een apart formulier over het toestemming geven tot verzamelen van persoonsgegevens. En dat formulier is ook een paar volle A4tjes groot en moet getekend worden.
meer on-topic; Op zich is het niet zo raar om een database te hebben. Al is het maar omdat er dan een meldingsplicht is. Dat zulke meldingen onduidelijk zijn lijkt me eerder een probleem vergelijkbaar met privacy policies (die ook vaak extreem vaag zijn). Het zou erg handig zijn als er (europees gelijke) categoriëen zijn voor persoonsgegevens, zodat je niet zo’n eindeloze lijst vaagheid krijgt. Maargoed, een ander voordeel is dat het CBP kan in elk geval makkelijk de policies inzien bij bijvoorbeeld meldingen van misbruik van persoonsgegevens. In een ideale wereld zou men ook vrij snel kunnen bepalen hoe er toestemming gegeven kan zijn, om dispuut snel(ler) op te kunnen lossen. Bijvoorbeeld als die regels onderdeel van de CBP-aanmelding moeten zijn.