De Wet bescherming persoonsgegevens

Elke organisatie heeft te maken met persoonsgegevens. Bijvoorbeeld om goederen of diensten aan klanten te leveren. Veel bedrijven registreren nog meer persoonsgegevens, bijvoorbeeld voor marketingdoeleinden. Hoe blijft u ook dan binnen de kaders van de Wet bescherming persoonsgegevens (Wbp)?

De Wbp heeft betrekking op de verwerking van persoonsgegevens. Dit zijn alle gegevens over een identificeerbare persoon – of gegevens waarmee een persoon geïdentificeerd kan worden. Verwerking van persoonsgegevens is elke handeling die met deze gegevens gebeurt. Zoals verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen en opvragen.

Wie is de eigenaar?

Juridisch gezien zijn persoonsgegevens eigendom van de persoon op wie ze betrekking hebben. Dat is ‘de betrokkene’. Ieder ander die ze verwerkt, moet er zorgvuldig mee omgaan. Wetgeving over persoonsgegevens heeft een lange geschiedenis en is gebaseerd op het recht op respect voor ons privéleven. Daarom kan onzorgvuldig gebruik van persoonsgegevens soms veel emoties oproepen.

Personeels- en salarisadministratie

Ook de personeels- en salarisadministratie bevatten gevoelige persoonsgegevens, zoals burgerservicenummers (BSN), kopie paspoort en ziekmeldingen. Als ondernemer moet u ook hiermee correct omgaan. Dit ligt nog gevoeliger dan de informatie die met levering en facturering te maken heeft.

Verwerking: de uitgangspunten

Persoonsgegevens moeten zorgvuldig worden verwerkt. De wet is duidelijk over wat wel en niet mag. Hieronder de belangrijkste uitgangspunten. Als u deze zo goed mogelijk opvolgt, heeft u veel minder kans op problemen of boetes.

    1. Wat is het doel?
      U moet als verantwoordelijke precies omschrijven welke persoonsgegevens u gebruikt en voor welk doel. Ook mag u niet meer gegevens opvragen dan noodzakelijk is. Hierover moet u de betrokkene (bijvoorbeeld klant of medewerker) informeren. Voor het leveren van een bestelling heeft u naam, (e-mail)adres en betaalinformatie zoals bankrekening- of creditcardnummer nodig. Meer opvragen, zoals een geboortedatum, mag maar u moet helder aangeven waarvoor u dit wilt gebruiken en u mag de klant niet verplichten om deze gegevens af te staan.

 

    1. Toestemming van betrokkene
      Verzamelde persoonsgegevens mogen niet voor andere doeleinden worden gebruikt. Wilt u dat toch, dan moet u de betrokkene hierover informeren en toestemming vragen. Wilt u een klant een nieuwsbrief of aanbiedingen toezenden dan is dat meestal toegestaan, maar het is beter om expliciete toestemming te regelen. Dat kan door de klant zich vrijwillig te laten aanmelden (opt-in). De klant moet dit ook weer kunnen opzeggen (opt-out). Uiteraard mag u de persoonsgegevens nooit zonder toestemming aan anderen beschikbaar stellen.

 

    1. Zorgvuldig handelen
      Persoonsgegevens moeten zorgvuldig worden behandeld. Geheimhouding staat voorop en de gegevens moeten juist en nauwkeurig zijnGeheimhouding
      Geheimhouding betekent dat iemand alleen de gegevens mag inzien als dit strikt noodzakelijk is voor het doel waarvoor ze zijn verkregen. Bijvoorbeeld voor het uitvoeren van een overeenkomst. Dit geldt voor u, uw medewerkers en voor ‘bewerkers’. Dat zijn bedrijven of mensen die niet onder uw gezag staan en die vanuit hun taak met de gegevens te maken (kunnen) krijgen, zoals een: inpak- en verzendbedrijf koerier of transportbedrijf bouwer of leverancier van software beheerder van uw computerbestanden accountant of boekhouderRegel contractueel, in een bewerkersovereenkomst, dat zij de privacywetgeving zorgvuldig naleven en dat u hen aansprakelijk stelt als zij problemen veroorzaken.

      Juist en nauwkeurig
      Het is een uitdaging om gegevens langdurig juist en nauwkeurig te houden. U kunt ze beter verwijderen als u ze niet meer nodig heeft. Sommige gegevens moeten wettelijk na een bepaalde termijn verwijderd worden. Zo is de maximale bewaartermijn voor gegevens van sollicitanten één maand na afloop van de sollicitatieprocedure. Met toestemming van de betrokkene mag dat verlengd worden tot één jaar.

      Het is handig om periodiek, bijvoorbeeld jaarlijks, aan de betrokkenen te vragen of hun gegevens nog correct zijn. Persoonsgegevens in de in- en verkoopadministratie (facturen) behoren tot de financiële administratie. Deze moet wettelijk zeven jaar bewaard worden en u mag er achteraf niets meer in veranderen.

      Rechten van betrokkenen
      Betrokkenen hebben het recht om te weten over welke persoonsgegevens u beschikt en wat ermee gebeurt. Als zij daarom vragen moet u binnen vier weken schriftelijk of via e-mail antwoorden. De betrokkene kan u verzoeken de gegevens aan te vullen, te corrigeren of te verwijderen. Als er geen wettelijke belemmering is, moet u dit binnen vier weken doen. Als verwijdering technisch niet haalbaar is, moet u ervoor zorgen dat de gegevens niet verder verwerkt (kunnen) worden.

 

  1. Beveiliging
    Als verantwoordelijke moet u technische en organisatorische maatregelen nemen om de persoonsgegevens te beveiligen tegen verlies of onrechtmatige verwerking. Dat dit zwaar wordt opgenomen, blijkt uit de nieuwe Wet meldplicht datalekken. De wet spreekt ook van een passend beveiligingsniveau voor het soort persoonsgegevens dat u verwerkt. Denk daarbij aan technische beveiliging van uw computersysteem tegen hacken maar ook organisatorische maatregelen  en de naleving daarvan. De meeste datalekken worden veroorzaakt door onjuist handelen van mensen, bijvoorbeeld uw medewerkers.Zorg voor tijdige software-updates, bescherm met sterke wachtwoorden en versleutel zo mogelijk de gegevens. De beveiliging wordt een stuk lastiger als u de persoonsgegevens ook verwerkt (bijvoorbeeld inzien, opslaan) via een tablet, smartphone of USB-stick. Probeer dit te voorkomen. Hoe minder persoonsgegevens u verwerkt en hoe korter u ze bewaart, hoe veiliger het is.Vermijd vooral het verwerken van bijzondere persoonsgegevens zoals godsdienst, ras, gezondheid en seksuele leven. Dit is bijna altijd verboden, u heeft dit als ondernemer (meestal) niet nodig en het brengt extra risico’s met zich mee. Het burgerservicenummer (BSN) mag enkel verwerkt worden als dit wettelijk verplicht is, zoals voor de salarisadministratie. Is verwerking van bijzondere persoonsgegevens in specifieke situaties wel noodzakelijk? Dan voert u een risicoanalyse uit en meldt deze verwerking aan bij het CBP.

    Als u gebruikmaakt van de cloud is het belangrijk om te weten waar de persoonsgegevens worden opgeslagen. Opslag buiten de Europese Unie is namelijk verboden, tenzij u aan strenge voorwaarden voldoet.

Weet wat (niet) mag

De wetgeving wordt steeds strenger en de boetes hoger. Naleving van de wet is vooral een kwestie van organisatie, werkprocessen en afspraken. Weet wat (niet) mag en zorg dat medewerkers en externe bewerkers dat ook weten. Softwareapplicaties die al rekening houden met privacywetgeving maken het u gemakkelijker. Heeft u het al goed geregeld? Laat dit zien op uw website. Privacybescherming kan zo ook concurrentievoordeel opleveren.