Wanneer val ik onder de privacywet?

privacyEr blijken nogal wat mythes te zijn over de Wet bescherming persoonsgegevens, zeg maar de privacywet. Mensen denken dat het alleen gaat om grote bestanden met klantgegevens, of dat je een bedrijf moet zijn om onder de wet te vallen. Dat is niet zo. Iedere verwerking, ieder gebruik van persoonsgegevens valt onder de wet, en er zijn maar een heel beperkt aantal uitzonderingen.

Een belangrijke uitzondering is die voor “activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden”. Daarmee bedoelt de wet om particulieren uit te zonderen die voor zichzelf gegevens van anderen bijhouden. Voor het adresboek uit je privételefoon hoef je geen toestemming te hebben. En mensen hebben geen correctierecht op hun vermelding op jouw verjaardagskalender. Maar dat is het wel zo’n beetje. Dat adresboek delen met je familie of huisgenoten mag nog net, maar delen met collega’s is al niet meer “persoonlijk of huishoudelijk”.

Publicatie van gegevens op het open internet valt echter nooit en te nimmer onder deze uitzondering, zo weten we uit het Lindqvist-arrest. Daar ging het om een melding op de site van een kerk dat een vrijwilligster een knieblessure had – en dat was een verwerking van persoonsgegevens. Ook een stamboom of openbare blog, Twitteraccount of andere publieke dienst vallen onder deze wet.

Wat nog net mag, is een strikt afgesloten webdienst met persoonsgegevens die wederom alleen toegankelijk is voor familie en huisgenoten. De Richtsnoeren van het Cbp noemen een besloten familieweblog (met wachtwoord) als voorbeeld. Misschien dat ook een stevig dichtgetimmerd Facebookprofiel eronder valt (de complicatie dat dit een export naar de VS is, daargelaten), maar zodra niet-familie de blog kan lezen heb je een probleem.

Er is géén aparte uitzondering voor wetenschappelijk onderzoek of statistiek. Alleen als je op een andere grond gegevens al mag verwerken, mag je deze óók inzetten voor “historische, statistische of wetenschappelijke doeleinden”. En het recht van inzage en correctie is dan een stuk beperkter. Maar wie onderzoek wil doen over personen, moet dus gewoon toestemming of een andere grond hebben.

Journalisten die iets verder lezen en dan een uitzondering “voor uitsluitend journalistieke, artistieke of literaire doeleinden” zien, denken dat ook zij er buiten vallen. Dat is echter niet zo. Het als journalist verwerken van iemands naam of andere gegevens over hem – lees: een artikel publiceren over iemand – valt wel degelijk onder de Wbp. Vrijwel alle relevante artikelen uit de Wbp zijn namelijk uitgezonderd van de uitzondering. Zo ongeveer het enige relevante recht dat je niet hebt naar een journalist of artistiek/literair iemand is het recht van inzage en correctie (artikel 35 Wbp). Wél speelt de uitingsvrijheid een belangrijke rol bij het bepalen of sprake is van een “dringende noodzaak” onder de privacywet.

Dan zijn er ook nog de zogeheten vrijstellingen. Wie zijn verwerking onder een vrijstelling kan scharen, hoeft deze niet aan te melden bij de toezichthouder. Maar het betekent niet dat de verwerking dan automatisch legaal is. Zo is er een vrijstelling voor netwerkbeheer, die bepaalt dat loggen ten behoeve van security van het bedrijfsnetwerk niet hoeft te worden gemeld als je de logs maximaal zes maanden bewaart, ze alléén inzet voor security en anderen dan de security officers er geen toegang toe krijgen. Maar daarmee is dergelijk loggen nog niet automatisch toegestaan. Je moet nog steeds toestemming, een overeenkomst of een eigen dringende noodzaak hebben.

Arnoud

40 reacties

  1. Daarmee is dus het gros van de sportverenigingen in overtreding, aangezien daar allerlei informatie over de spelers en wedstrijden openbaar gemaakt worden via verslagen ed. Datzelfde geldt dan waarschijnlijk ook voor statusupdates op Facebook die melden dat men zo lekker aan het sporten is met namen van teamleden en links naar hun FB-pagina’s.

    1. In principe ja, maar zij zouden zich kunnen beroepen op de vrijheid van meningsuiting: het is nieuws dat speler X wedstrijd Y won. En de vraag wordt dan, wat is belangrijker, dat nieuwsfeitje of de privacy van speler X. Misschien wil hij wel niet dat collega’s weten dat hij die sport doet.

    2. Ik denk dat je als aktief lid van een sportvereniging er sowieso rekening mee moet houden dat je dan in de clubcorrespondentie genoemd kan worden. Al helemaal als je een belangrijke positie hebt in je club, zoals bestuursleden, topspelers en ook vrijwilligers die de kantine onderhouden. Je vormt dan een onderdeel van het verenigingsnieuws.

      Maar wat waarschijnlijk niet mag is een publieke verjaardagskalender, telefoonlijst of zelfs een compleet adressenbestand dat voor iedereen binnen de club beschikbaar is. Smoelenboeken kunnen ook vrij populair zijn en ook daar zijn regels aan verbonden.

      Overigens, dit geldt niet alleen voor verenigingen maar ook voor bedrijven die interne nieuwsbrieven bijhouden voor het personeel. De grens is eigenlijk of het wel of niet nieuwswaardig is. Toch?

      1. Dat is de grens inderdaad. Bij een competitie met individuele prestaties zie ik dat nog wel opgaan, je behoort te weten hoe goed je tegenstander met tennis het doet of hoe ver de anderen verspringers verspringen.

        Het op een openbare webpagina zetten “de rommelmarkt zondag gaat niet door want de organisator mevrouw Lindqvist heeft haar been gebroken” is een schending van de Wbp, zo bepaalde de hoogste Europese rechter. Ik heb me altijd afgevraagd waarom de nieuwswaarde van dat feit(je) nooit meegewogen is. Waarschijnlijk omdat het niet aangedragen is.

        1. Of omdat het eigenlijk om twee losse nieuwsberichten gaat: – dat de rommelmarkt niet doorgaat. Dat is een relevant nieuwsfeit voor de mogelijke bezoekers van die markt en niet privacygevoelig/ – dat dat komt omdat mevrouw haar been heeft gebroken. Dat is een niet of nauwelijks relevant nieuwsfeit (waarom zou ik dat moeten of willen weten?) maar wel privacygevoelig.

        2. “Er is zondag een rommelmarkt. De opbrengst zal gebruikt worden om Marieke Jansen uit de pupillen 1a die kanker heeft een laatste keer naar de efteling te laten gaan.” Er van uit gaande dat de ziekte enigzins bekend is bij de doel, zou zo’n bericht illegaal zijn?

          1. Dat is een verwerking van bijzondere persoonsgegevens (ziekte) dus daar is toestemming voor nodig. Het Lindqvist-arrest zei vrijwel letterlijk datzelfde bij die zaak over gebroken benen.

            Ik heb het arrest nog even nagelezen en ze gaan wel degelijk in op de uitingsvrijheid (zesde vraag, p15). Jammer genoeg blijft het bij een aantal algemene observaties dat toch de belangen moeten worden afgewogen en het geval toch heel goed moet worden bekeken.

            Je kunt je afvragen waarom je zoiets zou publiceren zonder toestemming van moeder Jansen.

  2. Criminaliseert deze wet niet een groot gedeelte van de Nederlandse beroepsbevolking? Heb je een telefoon of email-account van de zaak? Met adresboek? Strafbaar. Help je een collega door hem een telefoonnummer of emailadres van iemand te geven? Strafbaar. Ben je admin op een server waar log niet worden verwijderd (wat bij heel veel software standaard het geval is)? Strafbaar. Deze wet is nog erger dan het strafbaar stellen van auteursrecht schendingen. In beide gevallen is het grootste deel van de Nederlandse bevolking strafbaar. Maar waar je kan stoppen met warez downloaden, betekend stoppen met bovenstaande zaken dat half Nederland niet meer kan werken.

    1. “Onder de privacywet vallen” betekent niet “strafbaar zijn”. Het betekent dat je toestemming of een andere juridische grondslag voor je verwerking moet hebben. Een adresboek van klanten is bijvoorbeeld toegestaan onder “uitvoering van een contract”, en een adresboek voor je nieuwsbrief is met toestemming (opt-in) afgedekt. En de landelijke tennissers top-10 van de tennisbond valt denk ik onder de vrijheid van meningsuiting.

  3. Ik bedenk mij opeens iets: mag een werkgever binnen het bedrijf de prestaties van diverse individuele medewerkers publiceren in het bedrijfsblaadje? Zoiets als “Mederwerker Arnoud heeft afgelopen jaar weer veel mooie posts geblogd.” of “Verkoper Wim heeft afgelopen jaar de meeste omzet binnengehaald.”… Mag zo’n personeelsblaadje vervolgens ook verspreid worden onder de partners en klanten van een bedrijf die er interesse voor tonen?

  4. Zijn er ook grenzen aan wanneer iets een beschermd persoonsgegeven is, bijvoorbeeld wanneer het sowieso openbaar vindbaar is? Ik heb namelijk een (openbare) website waar zonder moeite gegevens kunnen worden opgezocht als “Simon Stevin schreef in 1590 in het boek ‘Het burgerlyck leven’ het woord ‘quaedt'” plus een link naar de pagina waar dit gevonden kan worden. Als ik de wet bescherming persoonsgegevens goed lees, had ik alvorens deze website te starten deze aan het College Bescherming Persoonsgegevens moeten melden, en daarbij bovendien het College moeten vragen om een onderzoek in te stellen om vast te stellen dat het een gerechtvaardigde verwerking van persoonsgegevens is (zelfs om 2 redenen: 1. ik heb Simon Stevin en de andere auteurs niet gemeld dat deze verwerking heeft plaatsgevonden, en 2. ik plaats dit op een openbare website en exporteer het dus naar de gehele wereld). Alsjeblieft zeg me dat hier ergens de giecheltest doorslaat…

    1. In principe is ook citeren (onder de Auteurswet) een verwerking ja, omdat iedere elektronische verwerking eronder valt. Echter, dit is 99% zeker toegestaan onder sub f, de eigen dringende noodzaak. En de meldplicht valt weg voor journalistieke verwerkingen (art. 3) dus je hoeft het ze niet te melden.

      Verder is Stevin inderdaad dood en vanaf de dag na de sterfdag zijn gegevens over de overledene geen persoonsgegevens meer. Maar zou je mij citeren, dan valt dat onder de Wbp en dan moet jij dat kunnen rechtvaardigen onder een dringende noodzaak.

      1. Huh? Dus ook als ik in een journalistieke context iets van je blog citeer en daarbij je naam noem, zoals hier? http://bit.ly/UCWAQu. Word ik nu binnenkort van mijn bed gelicht? Maakt het daarbij dan ook nog uit dat je deze blog als een professionele activiteit van jou kunt zien, en dat je met zo’n blog redelijkerwijs kunt verwachten dat je af en toe geciteerd wordt?

        1. De bron noemen voor je informatie lijkt mij een legitieme noodzaak. Iedere jan l*l kan wel iets roepen, zonder onderbouwing is dat niets waard.

          Als je gaat citeren is naamsvermelding zelfs verplicht volgens de auteurswet. Dus je kan altijd een relevant citaatje in je artikel zetten en de naamsvermelding is noodzakelijk geworden.

        2. Het noemen van een naam is een “verwerking van persoonsgegevens” onder de Wbp. Die definitie is zo breed.

          JIj hebt dus een grondslag nodig om mijn naam te mogen noemen, volgens art. 8 Wbp. Gelukkig is die er bij citeren eigenlijk altijd: de dringende eigen noodzaak die zwaarder weegt dan mijn privacy. Je móet namelijk van de Auteurswet mijn naam noemen. Veel dringender dan “wettelijk verplicht” krijg je ze niet.

          En omdat je verwerking journalistiek is, heb ik geen inzage/correctierecht en hoef je mij niet te vertellen dat je mijn gegevens verwerkt.

          Het gaat dus goed maar wel langs een onverwachte route. En ja, dit betekent dat als je mijn naam in een frivole context gebruikt en er geen nieuwswaarde aan je gebruik zit, ik je via de Wbp kan aanpakken. Hoewel de rechter in de praktijk dan wel iets meer wil horen dan “mijn naam staat op zijn site, boehoe”. Een lijstje met namen en privéadressen van ICT-juristen zou ik dénk ik wel kunnen aanpakken als ik ertussen sta.

        1. Je recht op privacy houdt op zodra je officieel dood wordt verklaard. Mocht je daarna weer spontaan tot leven komen dan ontstaat er een vervelende situatie maar dat is zo zeldzaam dat zo’n gebeurtenis meteen nieuwswaardig is. (Er zijn overigens mensen in het mortuarium weer tot leven gekomen!) Alleen, je relatie met de nabestaanden is natuurlijk weer wel prive-informatie vanuit het oogpunt van diezelfde nabestaanden. Je mag dan wel aangeven waar de overledene heeft gewoont maar noemen dat zijn vrouw er nog steeds woont? Dat is weer een prive-gegeven…

          Vraag mij nu af wat er wel en niet aan persoonsgegevens opgenomen mogen worden in overlijdens-advertenties. Bijvoorbeeld de opsomming van echtgenote, kinderen en kleinkinderen…

      2. Journalistiek lijkt me mijn site niet, het is bedoeld als een linguïstisch-historische databank. Het past keurig bij het gebruik voor zuiver ‘historische, statistische of wetenschappelijke doeleinden’ als genoemd in 9.3, maar die uitzondering geldt nu weer net niet als iets vrijelijk in de openbaarheid wordt gegooid. Dat sub f hier opgaat, daar ga ik zonder meer van uit, maar dat betekent slechts dat de verwerking als zodanig legaal is, het sluit voorzover ik kan zien niet uit dat ik verplicht ben te melden (omdat ik van automatische verwerking gebruik maak, artikel 27.1), dat het College Bescherming Persoonsgegevens onderzoek dient uit te voeren (omdat ik onderzoek doe zonder de betrokken daarvan op de hoogte te stellen, wat toegestaan is volgens artikel 34.4 (onevenredige inspanning), maar wel onderzoekplichtig maakt volgens 31.1b), en dat ik een vergunning van de minister nodig heb (vanwege plaatsing op het openbare internet en aldus export naar landen met een zwakkere bescherming dan de EU) (artikel 77).

        O, en over dat gestorven zijn van Simon Stevin: Dat werkt bij de meeste, maar ongetwijfeld niet bij alle personen waarvan werken zijn opgenomen. Ten slotte, voor auteursrechtenproblemen ben ik minder bang: Er worden (met uitzondering van de titel van het werk) slechts citaten van meestal 1, een enkele keer 2 of 3 woorden genomen.

  5. Hoe zit het met het sturen van een email met een heleboel adressen in het aan-veld/cc-veld? Dit lijken me ook persoonsgegevens (zeker als de emailadressen opgebouwd zijn uit voorletters+achternaam), welke dus door de verzender aan iedereen beschikbaar worden gesteld

    1. Juridisch heb ik geen flauw idee, maar dat is inderdaad wel zwaar tegen de “netiquette” die bijna niemand meer kent. In zo’n geval is het netjes en beschaafd om alle e-mailadressen in de bcc te zetten. Want je weet immers niet of jantje wel of niet wil dat pietje zijn e-mailadres heeft.

      1. Succes, ik probeer mensen al tijden op te voeden. Bij een aantal is dat gelukt, die mailen nu aan zichzelf met de echte geadresseerden in de bcc als ze massaal doorsturen. En massaal doorsturen doen ze nu ook een stuk minder.

        Degenen die volharden in het doorsturen ben ik ook afgekomen, ik heb een nieuw e-mail adres en dat heb ik alleen gegeven aan hen die er zorgvuldig mee omgaan. En voor de zekerheid heb ik een blacklist voor de rest, die krijgen een message undeliverable terug 🙂 Mijn volgende experiment wordt een e-mail adres met een whitelist only 😉

        1. Heel bekend inderdaad, dat heb ik ook. En toch snap ik nooit dat ze er niet bij nadenken, want ze hebben wel ooit geleerd dat het onbeschoft is om zomaar iemand’s telefoonnummer aan een ander door te geven zonder toestemming. En dat is tenslotte precies hetzelfde eigenlijk. Daar vergelijk ik het dan ook meestal mee als ik het uitleg.

    1. Dat heb ik altijd merkwaardig gevonden, want in de journalistiek is een recht van weerwoord géén automatisme. Het is in principe wel zorgvuldig (conform de richtlijnen van de Raad) maar niet verplicht.

      De Richtsnoeren hebben een bar magere rechtvaardiging hiervoor: een aanbeveling van de Artikel 29-werkgroep dat er een evenwicht moet zijn tussen privacy en persvrijheid. Omdat de pers niet vóóraf inzage hoeft te geven, moet er dan achteraf een rectificatierecht zijn. Ik vind dat écht onjuist, niet voor niets is het inzage- en correctierecht buiten toepassing gelaten bij journalistieke uitingen. Het gaat niet aan om dan via richtsnoeren dat er terug in te fietsen.

      Als betrokkenen echter geen mogelijkheid hebben om achteraf, na publicatie op internet, commentaar te leveren op persoonsgegevens over hen die evident onjuist zijn, kan niet worden aangenomen dat de publicatie een uitsluitend journalistiek doeleinde dient.

      Dus als ik geparodieerd word in een column op Nu.nl, dan kan ik verwijdering daarvan eisen. Immers, in die parodie staan evidente onjuistheden en ik kan geen commentaar leveren op Nu.nl. (Wie nu NuJIJ.nl zegt krijgt een klap met een dikke forel.) Derhalve is Nu.nl niet “uitsluitend journalistiek”.

  6. Interessant artikel.

    Het lijkt me aannemelijk dat, indien je wachtwoord wordt ontvreemd en een onbevoegde derde, al betreft het i.c. een je niet welgezind familielid met dezelfde achternaam. vervolgens een nepaccount aanmaakt en via identiteitsfraude, allerlei zogenaamd in jouw naam geschreven reacties op artikelen, enz. op het internet publiceert, dit in flagrante strijd is met de WBP.

    Voorts lijkt het me ook in flagrante strijd met de WBP, indien emailberichten en contact emailadresssen van je pc worden ontvreemd om zo je sociale netwerk te vernietigen door het aan ontvreemde emailadressen verspreiden van laster over de eigenaar/eigenaresse van die mailberichten en emailadressen. Hoe kan men zich hiertegen verweren en met name hoe kun je dit bewijsrechtelijk aantonen, als je met 99 % zekerheid weet dat dit gebeurt, ook met confidentiële berichten, waarop een disclaimer staat van de afzender?

    1. Volgens mij is de Wbp niet echt bedoeld om computervredebreuk mee aan te pakken. Inloggen op je mailbox een verwerking van je persoonsgegevens? Nee, dat wil er bij mij niet in – al helemaal niet als ‘flagrante’ schending. Datagraaien door sociale netwerken, dát noem ik flagrant.

      E-maildisclaimers zijn van nul en generlei waarde.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.