Categorie: wet- en regelgeving
Onderwerp: privacy
Regelgeving: Wet bescherming persoonsgegevens, Telecommunicatiewet

Vraag

Ik hoor de laatste tijd veel over privacyregelgeving. Ik kan niet helemaal scherp krijgen wat nu precies een persoonsgegeven is.

Antwoord

Accountants kunnen op veel gebieden te maken krijgen met privacyregels. Onderstaande is een zeer beperkte weergave van een aantal aandachtspunten op dit gebied en zeker niet limitatief. Schakel bij twijfel over hoe te handelen in een privacyvraagstuk een ter zake deskundige persoon in.

Allereerst is van belang dat privacy(regelgeving) een rol speelt als sprake is van persoonsgegevens. Dit zijn gegevens die individuele of individualiseerbare (natuurlijke)personen betreffen. Niet alleen namen, maar ook gegevens als BSN, mobiele telefoonnummers, e-mailadressen, foto's (van een persoon) en IP-adressen. Een persoon is identificeerbaar als zijn identiteit, redelijkerwijs, zonder onevenredige inspanning kan worden vastgesteld. Dit kan direct zijn (in één oogopslag) of via nadere stappen, via uitsluitend het betreffende gegeven of in combinatie met andere gegevens. Een IP-adres kan bijvoorbeeld - zij het met wat hulp van een internet service provider, en wat aanvullende gegevens als datum en tijd - worden herleid tot een bepaalde persoon en is daarmee een persoonsgegeven.

De verwerking van persoonsgegevens moet aan bepaalde, in de Wet bescherming persoonsgegevens (Wbp) uitgewerkte, vereisten voldoen. Verwerken is een zeer breed gedefinieerd begrip en omvat iedere handeling met betrekking tot persoonsgegevens: van opslaan of vernietigen tot ordenen, gebruiken en verspreiden. U heeft dus, zodra u ook maar ‘iets' met persoonsgegevens doet, te maken met privacyregelgeving.

Persoonsgegevens mogen alleen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld. Verder mogen ze alleen worden verwerkt als sprake is van één van de situaties in artikel 8 Wbp. Dit zijn onder andere: ondubbelzinnige toestemming, noodzakelijkheid voor de uitvoering van een overeenkomst en nakoming van een wettelijke verplichting.

Gegevens die zijn verkregen met een bepaald doel, mogen niet verder worden verwerkt. Tenminste, niet op een manier die onverenigbaar is met dat bepaalde doel. Ook mogen de persoonsgegevens niet langer worden bewaard dan noodzakelijk.

Welke verantwoordelijkheden, en aansprakelijkheden, op u rusten is afhankelijk van de vraag of u kwalificeert als verantwoordelijke of bewerker. Volgens de Wbp bent u verantwoordelijke als u het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. U bent bewerker als u ten behoeve van een verantwoordelijke gegevens verwerkt, zonder dat u aan het rechtstreeks gezag van deze verantwoordelijke bent onderworpen.

Regels die verband houden met privacy zijn niet alleen opgenomen in de Wbp. Het spamverbod en de cookieregeling zijn bijvoorbeeld opgenomen in de Telecommunicatiewet.

Op welke manieren kunt u te maken krijgen met privacyregelgeving? Enkele voorbeelden:

U heeft een website

Aangeraden wordt het verkeer van en naar uw website te beveiligen voor zover persoonsgegevens worden verwerkt (bijvoorbeeld via een contactformulier). Ook moet u bezoekers vooraf informeren over de (niet-functionele) cookies die de site wellicht plaatst en over de wijze waarop u met persoonsgegevens omgaat. Persoonsgegevens op de site (namen en foto's van werknemers bijvoorbeeld) kunt u niet zomaar plaatsen. Hiervoor dient u een grondslag te hebben (zie artikel 8 Wbp).

U slaat gegevens op bij een derde (SaaS, cloud)

In dat geval moet u de mogelijke privacyaspecten zeer goed onderzoeken. Punten van aandacht zijn onder meer:

• Is de derde een bewerker? Ga na of u een bewerkersovereenkomst heeft.
• Kan de derde voldoen aan de eisen in de Wbp?
• Bij opslag van gegevens buiten Europa (denk aan de cloud) is extra oplettendheid geboden: wat is het geografisch gebied waarbinnen de gegevens worden opgeslagen? Is daar sprake van een passend beschermingsniveau?

U slaat gegevens op van klanten in uw administratie

Houd dan rekening met het nemen van passende organisatorische en technische veiligheidsmaatregelen zoals bijvoorbeeld het opstellen van een autorisatieregister, bewaking van bewaartermijnen en adequate beveiliging van gegevens in de IT-systemen. U hoeft geen toestemming te vragen voor de opslag van persoonsgegevens die noodzakelijk zijn voor de administratie van opdrachten.

Let op: verwerking van persoonsgegevens vindt waarschijnlijk ook plaats in het kader van de uitvoering van opdrachten. Hierop wordt in deze bijdrage niet ingegaan.

Voor meer informatie over privacy raadpleeg de website van het College bescherming persoonsgegevens.