Wanneer val ik onder de privacywet?

| AE 4913 | Privacy | 39 reacties

privacyEr blijken nogal wat mythes te zijn over de Wet bescherming persoonsgegevens, zeg maar de privacywet. Mensen denken dat het alleen gaat om grote bestanden met klantgegevens, of dat je een bedrijf moet zijn om onder de wet te vallen. Dat is niet zo. Iedere verwerking, ieder gebruik van persoonsgegevens valt onder de wet, en er zijn maar een heel beperkt aantal uitzonderingen.

Een belangrijke uitzondering is die voor “activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden”. Daarmee bedoelt de wet om particulieren uit te zonderen die voor zichzelf gegevens van anderen bijhouden. Voor het adresboek uit je privételefoon hoef je geen toestemming te hebben. En mensen hebben geen correctierecht op hun vermelding op jouw verjaardagskalender. Maar dat is het wel zo’n beetje. Dat adresboek delen met je familie of huisgenoten mag nog net, maar delen met collega’s is al niet meer “persoonlijk of huishoudelijk”.

Publicatie van gegevens op het open internet valt echter nooit en te nimmer onder deze uitzondering, zo weten we uit het Lindqvist-arrest. Daar ging het om een melding op de site van een kerk dat een vrijwilligster een knieblessure had – en dat was een verwerking van persoonsgegevens. Ook een stamboom of openbare blog, Twitteraccount of andere publieke dienst vallen onder deze wet.

Wat nog net mag, is een strikt afgesloten webdienst met persoonsgegevens die wederom alleen toegankelijk is voor familie en huisgenoten. De Richtsnoeren van het Cbp noemen een besloten familieweblog (met wachtwoord) als voorbeeld. Misschien dat ook een stevig dichtgetimmerd Facebookprofiel eronder valt (de complicatie dat dit een export naar de VS is, daargelaten), maar zodra niet-familie de blog kan lezen heb je een probleem.

Er is géén aparte uitzondering voor wetenschappelijk onderzoek of statistiek. Alleen als je op een andere grond gegevens al mag verwerken, mag je deze óók inzetten voor “historische, statistische of wetenschappelijke doeleinden”. En het recht van inzage en correctie is dan een stuk beperkter. Maar wie onderzoek wil doen over personen, moet dus gewoon toestemming of een andere grond hebben.

Journalisten die iets verder lezen en dan een uitzondering “voor uitsluitend journalistieke, artistieke of literaire doeleinden” zien, denken dat ook zij er buiten vallen. Dat is echter niet zo. Het als journalist verwerken van iemands naam of andere gegevens over hem – lees: een artikel publiceren over iemand – valt wel degelijk onder de Wbp. Vrijwel alle relevante artikelen uit de Wbp zijn namelijk uitgezonderd van de uitzondering. Zo ongeveer het enige relevante recht dat je niet hebt naar een journalist of artistiek/literair iemand is het recht van inzage en correctie (artikel 35 Wbp). Wél speelt de uitingsvrijheid een belangrijke rol bij het bepalen of sprake is van een “dringende noodzaak” onder de privacywet.

Dan zijn er ook nog de zogeheten vrijstellingen. Wie zijn verwerking onder een vrijstelling kan scharen, hoeft deze niet aan te melden bij de toezichthouder. Maar het betekent niet dat de verwerking dan automatisch legaal is. Zo is er een vrijstelling voor netwerkbeheer, die bepaalt dat loggen ten behoeve van security van het bedrijfsnetwerk niet hoeft te worden gemeld als je de logs maximaal zes maanden bewaart, ze alléén inzet voor security en anderen dan de security officers er geen toegang toe krijgen. Maar daarmee is dergelijk loggen nog niet automatisch toegestaan. Je moet nog steeds toestemming, een overeenkomst of een eigen dringende noodzaak hebben.

Arnoud

Deel dit artikel

  1. Daarmee is dus het gros van de sportverenigingen in overtreding, aangezien daar allerlei informatie over de spelers en wedstrijden openbaar gemaakt worden via verslagen ed. Datzelfde geldt dan waarschijnlijk ook voor statusupdates op Facebook die melden dat men zo lekker aan het sporten is met namen van teamleden en links naar hun FB-pagina’s.

    • Ik denk dat je als aktief lid van een sportvereniging er sowieso rekening mee moet houden dat je dan in de clubcorrespondentie genoemd kan worden. Al helemaal als je een belangrijke positie hebt in je club, zoals bestuursleden, topspelers en ook vrijwilligers die de kantine onderhouden. Je vormt dan een onderdeel van het verenigingsnieuws.

      Maar wat waarschijnlijk niet mag is een publieke verjaardagskalender, telefoonlijst of zelfs een compleet adressenbestand dat voor iedereen binnen de club beschikbaar is. Smoelenboeken kunnen ook vrij populair zijn en ook daar zijn regels aan verbonden.

      Overigens, dit geldt niet alleen voor verenigingen maar ook voor bedrijven die interne nieuwsbrieven bijhouden voor het personeel. De grens is eigenlijk of het wel of niet nieuwswaardig is. Toch?

  2. Criminaliseert deze wet niet een groot gedeelte van de Nederlandse beroepsbevolking? Heb je een telefoon of email-account van de zaak? Met adresboek? Strafbaar. Help je een collega door hem een telefoonnummer of emailadres van iemand te geven? Strafbaar. Ben je admin op een server waar log niet worden verwijderd (wat bij heel veel software standaard het geval is)? Strafbaar. Deze wet is nog erger dan het strafbaar stellen van auteursrecht schendingen. In beide gevallen is het grootste deel van de Nederlandse bevolking strafbaar. Maar waar je kan stoppen met warez downloaden, betekend stoppen met bovenstaande zaken dat half Nederland niet meer kan werken.

  3. Ik bedenk mij opeens iets: mag een werkgever binnen het bedrijf de prestaties van diverse individuele medewerkers publiceren in het bedrijfsblaadje? Zoiets als “Mederwerker Arnoud heeft afgelopen jaar weer veel mooie posts geblogd.” of “Verkoper Wim heeft afgelopen jaar de meeste omzet binnengehaald.”… Mag zo’n personeelsblaadje vervolgens ook verspreid worden onder de partners en klanten van een bedrijf die er interesse voor tonen?

  4. Zijn er ook grenzen aan wanneer iets een beschermd persoonsgegeven is, bijvoorbeeld wanneer het sowieso openbaar vindbaar is? Ik heb namelijk een (openbare) website waar zonder moeite gegevens kunnen worden opgezocht als “Simon Stevin schreef in 1590 in het boek ‘Het burgerlyck leven’ het woord ‘quaedt'” plus een link naar de pagina waar dit gevonden kan worden. Als ik de wet bescherming persoonsgegevens goed lees, had ik alvorens deze website te starten deze aan het College Bescherming Persoonsgegevens moeten melden, en daarbij bovendien het College moeten vragen om een onderzoek in te stellen om vast te stellen dat het een gerechtvaardigde verwerking van persoonsgegevens is (zelfs om 2 redenen: 1. ik heb Simon Stevin en de andere auteurs niet gemeld dat deze verwerking heeft plaatsgevonden, en 2. ik plaats dit op een openbare website en exporteer het dus naar de gehele wereld). Alsjeblieft zeg me dat hier ergens de giecheltest doorslaat…

    • In principe is ook citeren (onder de Auteurswet) een verwerking ja, omdat iedere elektronische verwerking eronder valt. Echter, dit is 99% zeker toegestaan onder sub f, de eigen dringende noodzaak. En de meldplicht valt weg voor journalistieke verwerkingen (art. 3) dus je hoeft het ze niet te melden.

      Verder is Stevin inderdaad dood en vanaf de dag na de sterfdag zijn gegevens over de overledene geen persoonsgegevens meer. Maar zou je mij citeren, dan valt dat onder de Wbp en dan moet jij dat kunnen rechtvaardigen onder een dringende noodzaak.

      • Huh? Dus ook als ik in een journalistieke context iets van je blog citeer en daarbij je naam noem, zoals hier? http://bit.ly/UCWAQu. Word ik nu binnenkort van mijn bed gelicht? Maakt het daarbij dan ook nog uit dat je deze blog als een professionele activiteit van jou kunt zien, en dat je met zo’n blog redelijkerwijs kunt verwachten dat je af en toe geciteerd wordt?

        • De bron noemen voor je informatie lijkt mij een legitieme noodzaak. Iedere jan l*l kan wel iets roepen, zonder onderbouwing is dat niets waard.

          Als je gaat citeren is naamsvermelding zelfs verplicht volgens de auteurswet. Dus je kan altijd een relevant citaatje in je artikel zetten en de naamsvermelding is noodzakelijk geworden.

        • Het noemen van een naam is een “verwerking van persoonsgegevens” onder de Wbp. Die definitie is zo breed.

          JIj hebt dus een grondslag nodig om mijn naam te mogen noemen, volgens art. 8 Wbp. Gelukkig is die er bij citeren eigenlijk altijd: de dringende eigen noodzaak die zwaarder weegt dan mijn privacy. Je móet namelijk van de Auteurswet mijn naam noemen. Veel dringender dan “wettelijk verplicht” krijg je ze niet.

          En omdat je verwerking journalistiek is, heb ik geen inzage/correctierecht en hoef je mij niet te vertellen dat je mijn gegevens verwerkt.

          Het gaat dus goed maar wel langs een onverwachte route. En ja, dit betekent dat als je mijn naam in een frivole context gebruikt en er geen nieuwswaarde aan je gebruik zit, ik je via de Wbp kan aanpakken. Hoewel de rechter in de praktijk dan wel iets meer wil horen dan “mijn naam staat op zijn site, boehoe”. Een lijstje met namen en privéadressen van ICT-juristen zou ik dénk ik wel kunnen aanpakken als ik ertussen sta.

        • Je recht op privacy houdt op zodra je officieel dood wordt verklaard. Mocht je daarna weer spontaan tot leven komen dan ontstaat er een vervelende situatie maar dat is zo zeldzaam dat zo’n gebeurtenis meteen nieuwswaardig is. (Er zijn overigens mensen in het mortuarium weer tot leven gekomen!) Alleen, je relatie met de nabestaanden is natuurlijk weer wel prive-informatie vanuit het oogpunt van diezelfde nabestaanden. Je mag dan wel aangeven waar de overledene heeft gewoont maar noemen dat zijn vrouw er nog steeds woont? Dat is weer een prive-gegeven…

          Vraag mij nu af wat er wel en niet aan persoonsgegevens opgenomen mogen worden in overlijdens-advertenties. Bijvoorbeeld de opsomming van echtgenote, kinderen en kleinkinderen…

      • Journalistiek lijkt me mijn site niet, het is bedoeld als een linguïstisch-historische databank. Het past keurig bij het gebruik voor zuiver ‘historische, statistische of wetenschappelijke doeleinden’ als genoemd in 9.3, maar die uitzondering geldt nu weer net niet als iets vrijelijk in de openbaarheid wordt gegooid. Dat sub f hier opgaat, daar ga ik zonder meer van uit, maar dat betekent slechts dat de verwerking als zodanig legaal is, het sluit voorzover ik kan zien niet uit dat ik verplicht ben te melden (omdat ik van automatische verwerking gebruik maak, artikel 27.1), dat het College Bescherming Persoonsgegevens onderzoek dient uit te voeren (omdat ik onderzoek doe zonder de betrokken daarvan op de hoogte te stellen, wat toegestaan is volgens artikel 34.4 (onevenredige inspanning), maar wel onderzoekplichtig maakt volgens 31.1b), en dat ik een vergunning van de minister nodig heb (vanwege plaatsing op het openbare internet en aldus export naar landen met een zwakkere bescherming dan de EU) (artikel 77).

        O, en over dat gestorven zijn van Simon Stevin: Dat werkt bij de meeste, maar ongetwijfeld niet bij alle personen waarvan werken zijn opgenomen. Ten slotte, voor auteursrechtenproblemen ben ik minder bang: Er worden (met uitzondering van de titel van het werk) slechts citaten van meestal 1, een enkele keer 2 of 3 woorden genomen.

  5. Hoe zit het met het sturen van een email met een heleboel adressen in het aan-veld/cc-veld? Dit lijken me ook persoonsgegevens (zeker als de emailadressen opgebouwd zijn uit voorletters+achternaam), welke dus door de verzender aan iedereen beschikbaar worden gesteld

      • Succes, ik probeer mensen al tijden op te voeden. Bij een aantal is dat gelukt, die mailen nu aan zichzelf met de echte geadresseerden in de bcc als ze massaal doorsturen. En massaal doorsturen doen ze nu ook een stuk minder.

        Degenen die volharden in het doorsturen ben ik ook afgekomen, ik heb een nieuw e-mail adres en dat heb ik alleen gegeven aan hen die er zorgvuldig mee omgaan. En voor de zekerheid heb ik een blacklist voor de rest, die krijgen een message undeliverable terug 🙂 Mijn volgende experiment wordt een e-mail adres met een whitelist only 😉

        • Heel bekend inderdaad, dat heb ik ook. En toch snap ik nooit dat ze er niet bij nadenken, want ze hebben wel ooit geleerd dat het onbeschoft is om zomaar iemand’s telefoonnummer aan een ander door te geven zonder toestemming. En dat is tenslotte precies hetzelfde eigenlijk. Daar vergelijk ik het dan ook meestal mee als ik het uitleg.

    • Dat heb ik altijd merkwaardig gevonden, want in de journalistiek is een recht van weerwoord géén automatisme. Het is in principe wel zorgvuldig (conform de richtlijnen van de Raad) maar niet verplicht.

      De Richtsnoeren hebben een bar magere rechtvaardiging hiervoor: een aanbeveling van de Artikel 29-werkgroep dat er een evenwicht moet zijn tussen privacy en persvrijheid. Omdat de pers niet vóóraf inzage hoeft te geven, moet er dan achteraf een rectificatierecht zijn. Ik vind dat écht onjuist, niet voor niets is het inzage- en correctierecht buiten toepassing gelaten bij journalistieke uitingen. Het gaat niet aan om dan via richtsnoeren dat er terug in te fietsen.

      Als betrokkenen echter geen mogelijkheid hebben om achteraf, na publicatie op internet, commentaar te leveren op persoonsgegevens over hen die evident onjuist zijn, kan niet worden aangenomen dat de publicatie een uitsluitend journalistiek doeleinde dient.

      Dus als ik geparodieerd word in een column op Nu.nl, dan kan ik verwijdering daarvan eisen. Immers, in die parodie staan evidente onjuistheden en ik kan geen commentaar leveren op Nu.nl. (Wie nu NuJIJ.nl zegt krijgt een klap met een dikke forel.) Derhalve is Nu.nl niet “uitsluitend journalistiek”.

  6. Interessant artikel.

    Het lijkt me aannemelijk dat, indien je wachtwoord wordt ontvreemd en een onbevoegde derde, al betreft het i.c. een je niet welgezind familielid met dezelfde achternaam. vervolgens een nepaccount aanmaakt en via identiteitsfraude, allerlei zogenaamd in jouw naam geschreven reacties op artikelen, enz. op het internet publiceert, dit in flagrante strijd is met de WBP.

    Voorts lijkt het me ook in flagrante strijd met de WBP, indien emailberichten en contact emailadresssen van je pc worden ontvreemd om zo je sociale netwerk te vernietigen door het aan ontvreemde emailadressen verspreiden van laster over de eigenaar/eigenaresse van die mailberichten en emailadressen. Hoe kan men zich hiertegen verweren en met name hoe kun je dit bewijsrechtelijk aantonen, als je met 99 % zekerheid weet dat dit gebeurt, ook met confidentiële berichten, waarop een disclaimer staat van de afzender?

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS