Moet ik melden dat mijn onderneming persoonsgegevens verwerkt?

Wat zijn persoonsgegevens?

Steeds meer ondernemingen, ook starters en kleine ondernemingen, slaan persoonsgegevens op van hun klanten. Een IT-bedrijf ontwikkelt apps en slaat gegevens op van klanten die een trial-versie uitproberen. Een webwinkel slaat adresgegevens, telefoonnummers en IBAN-rekeningnummers op van klanten die producten bestellen in de webshop.

Het opslaan van deze gegevens wordt beheerst door wetgeving: de Wet bescherming persoonsgegevens. De wetgeving omtrent persoonsgegevens is tot stand gekomen onder grote invloed van Europeesrechtelijke wetten en regels en omdat er behoefte is aan het actief beschermen van de privacy van burgers.

blur-1853305_640

Verwerkt u persoonsgegevens?

Om als ondernemer te weten te komen of u moet voldoen aan de normen die in de Wet bescherming persoonsgegevens staan vermeld, zijn een aantal voorvragen van belang. Allereest is de belangrijkste vraag wat er precies wordt verstaan onder het begrip persoonsgegevens. Een gegeven is een persoonsgeven als het informatie geeft over een natuurlijk persoon en als door het gegeven de natuurlijk persoon identificeerbaar is. Het kan hier dus gaan om bijvoorbeeld; een emailadres, IP-adres, telefoonnummer, BSN-nummer of kentekennummer. Het verwerken van deze gegevens is in beginsel toegestaan, het gaat om zogenaamde generieke gegevens. Het verwerken van zogenaamde bijzondere gegevens is in beginsel verboden. Op dit verbod zijn wel enige uitzonderingen opgenomen in de Wet bescherming persoonsgegevens. Elke handeling met betrekking tot een persoonsgegeven wordt aangemerkt als een verwerking van persoonsgegevens. Voorbeelden van handelingen die hier onder vallen zijn: het verzamelen, ordenen, wijzigen, gebruiken, wissen en raadplegen van persoonsgegevens.

De Wet bescherming persoonsgegevens is altijd van toepassing als een onderneming via een geautomatiseerd systeem gegevens verwerkt. Als er handmatig gegevens worden verwerkt is de wet alleen van toepassing, als dit gebeurt in een bestand. Een los handmatig dossier valt niet onder de Wet bescherming persoonsgegevens.

 

De verantwoordelijke en de bewerker

Bij het verwerken van persoonsgegevens is er een onderscheid tussen twee groepen; de bewerker en de verantwoordelijke. De verantwoordelijke is formeel juridische degene die de verplichtingen uit de Wet bescherming persoonsgegevens moet nakomen. Een bewerker is iemand die feitelijk persoonsgegevens verwerkt voor iemand anders, maar niet onder rechtstreeks gezag van diegene staat. Als een medewerker voor zijn baas persoonsgegevens verwerkt is de medewerker dus niet de bewerker. We spreken dan van intern beheer van persoonsgegevens.

Men mag niet zomaar persoonsgegevens verzamelen, er moet een gerechtvaardigd doel zijn waarvoor een onderneming de gegevens verzamelt. Daarnaast moeten alle gegevens die verzameld worden, gericht zijn op een doel. Men mag niet zomaar overmatig gegevens verzamelen, ook niet als men eenmaal een gerechtvaardigd doel heeft voor de verwerking van persoonsgegevens.

 

Meldplicht

Wanneer een onderneming zijn verwerkingen van persoonsgegevens aan de Autoriteit Persoonsgegevens meldt, dan meldt een onderneming daarbij:

  • De naam en het vestigingsadres van de onderneming;
  • Of de verantwoordelijke gebruik maakt van een externe partij die gegevens verwerkt: een bewerker;
  • In welke mate de persoonsgegevens beveiligd worden;
  • De categorieën van betrokkenen van wie persoonsgegevens verwerkt worden;
  • en de categorieën persoonsgegevens die verwerkt worden.

Iedereen die persoonsgegevens verwerkt en onder de WBP valt moet daarvoor ondubbelzinnige toestemming hebben van de betrokkene, degene die via het gegeven te identificeren is.

 

De meldplicht datalekken

Een onderneming die persoonsgegevens verwerkt kan in de situatie terecht komen dat deze gegevens lekken. De Wet bescherming persoonsgegevens schrijft dan voor dat de verantwoordelijke aan de Autoriteit Persoonsgegevens melding maakt dat er een datalek is opgetreden. Het niet melden van een datalek kan een sanctie tot gevolg hebben: een bestuurlijke boete van maximaal €820.000. Een datalek moet binnen 72 uur onverwijld worden gemeld.

 

Wanneer is er sprake van een datalek?

Er is sprake van een datalek als er een inbreuk is op de beveiliging van de persoonsgegevens. Zo iser bijvoorbeeld sprake van een datalek wanneer een laptop wordt gestolen waar persoonsgegevens op opgeslagen staan of wanneer u een usb-stick met persoonsgegevens kwijtraakt. Er is geen meldplicht van een datalek als het gaat om een lek van persoonsgegevens die niet onder werking van de Wet bescherming persoonsgegevens vallen. Ook hoeft een datalek niet te worden gemeld, als het lek geen direct gevaar vormt voor de bescherming van persoonsgegevens.

Het niet hebben gemeld van de verwerking van persoonsgegevens heeft geen extra nadelige invloed, wanneer er betreffende die gegevens een datalek ontstaat. Sinds 2015 wordt er voor het niet nakomen van de meldingsplicht van het verwerken van persoonsgegevens geen bestuurlijke boete meer opgelegd. Een melding van een datalek kan wel leiden tot toezicht door de Autoriteit Persoonsgegevens, waarbij een onderneming gecontroleerd op naleving van voorschriften uit de Wet bescherming persoonsgegevens.

 

Wat als ik in strijd handel met de Wet bescherming persoonsgegevens?  

Degene die de Wet bescherming persoonsgegevens niet naleeft, kan daarvoor een sanctie krijgen. De keuze welke sanctie er ingezet wordt ligt bij de Autoriteit Persoonsgegevens. Deze moet op basis van een afweging van belangen de keuze maken welke sanctie toegepast dient te worden. Op basis van de wet bestaat de mogelijkheid dat de Autoriteit Persoonsgegevens een overtreder bestuursdwang, een last onder dwangsom of een bestuurlijke boete oplegt. Sommige overtredingen uit de Wet bescherming persoonsgegevens kunnen worden bestraft met een strafrechtelijke boete. De Autoriteit Persoonsgegevens kan voor eenzelfde overtreding nooit én een bestuursrechtelijke én een strafrechtelijke sanctie opleggen. Niet naleving van enige verplichting uit de Wet bescherming persoonsgegevens kan worden gevolgd met een sanctie tot bestuursdwang. Per definitie mag de Autoriteit dan ook nakoming van alle verplichtingen afdwingen door middel van een last onder dwangsom.

 

De hoogte van de bestuurlijke boete

De wet noemt de maximale hoogte van de bestuurlijke boete die per overtreding opgelegd kan worden door de Autoriteit Persoonsgegevens. Voor overtreding van de meeste verplichtingen uit de Wet bescherming persoonsgegevens kan de Autoriteit een bestuurlijke boete opleggen met een maximum van € 820.000. Uit de beleidsregels van de Autoriteit blijkt echter dat de Autoriteit zelf een maximum van € 500.000 hanteert. Alleen voor het niet naleven van een bindende aanwijzing kan de boete oplopen tot het maximumbedrag. De Autoriteit dient bij het bepalen van de boete rekening te houden met de ernst van de overtreding en de mate waarin de overtreding aan de overtreder kan worden verweten.

 

Heeft u vragen over de verwerking van persoonsgegevens, neem dan vrijblijvend contact op met Bizz Solutions.

 

Dit blog is geschreven door Marko van Loon. Marko is jurist en gespecialiseerd in vraagstukken omtrent verbintenissenrecht, bestuursrecht en intellectueel eigendomsrecht.