Omdat steeds meer klanten vragen stellen over de wet- en regelgeving rondom privacy wordt het wellicht tijd voor een serie blogs over dat onderwerp. In dit eerste deel een aantal basisbegrippen en veelvoorkomende misverstanden daaromtrent.
Persoonsgegevens
Het belangrijkste kernbegrip is dat van ‘persoonsgegeven’. In de Wet bescherming persoonsgegevens wordt dit gedefinieerd als gegevens die direct of indirect te relateren zijn aan een natuurlijk persoon (een levend mens).
Over dit begrip bestaan al grote misverstanden.
Extreem voorbeeld: een cliënt van ons verkeerde ooit in de veronderstelling dat de opslag van biometrische gegevens om gezichtsherkenning mogelijk te maken geen verwerking van persoonsgegevens zou zijn, want de NAW-gegevens (naam, adres, woonplaats) waren onbekend. Dit valt natuurlijk wel onder persoonsgegevens. Minder extreem, maar veel vaker voorkomend is dat instellingen denken dat, zolang ze geen NAW-gegevens van de betrokkenen hebben, de andere gegevens die ze bezitten geen persoonsgegevens kunnen zijn.
Maar ook een telefoonnummer is al snel een persoonsgegeven, zeker als het een mobiel nummer betreft. Ook een IP-adres kan al snel een persoonsgegeven zijn, net zoals een postcode. Het gaat er om of de data te combineren valt tot iets waardoor de betrokkene te individualiseren valt. Daarbij maakt het niet uit hoe die combinaties in de praktijk gemaakt worden. Als de mogelijkheid tot herkenning er is, dan moeten we daar van uit gaan. Leeftijd, geslacht en postcode zijn bijvoorbeeld vaak al genoeg om op één individu uit te komen. Anonimiseren door velden (zoals NAW-gegevens) te laten vervallen zal dus vaak niet werken.
Verwerken
Een ander kernbegrip is ‘verwerken’. Ook dit begrip is ruimer dan we in de dagelijkse spreektaal gewend zijn. De wet zegt eigenlijk dat alles wat je met gegevens kunt doen, dus ook vernietigen, verwerken is. Ook het eenvoudigweg voorhanden van persoonsgegevens wordt onder verwerken verstaan. Ook de doorgifte zonder dat er een blijvende kopie achterblijft valt onder het begrip. Het misverstand hier is vaak dat doorgifte, bijvoorbeeld via een web front-end naar een database van een andere partij, geen verwerking zou zijn. Een ander misverstand is dat uitsluitend technisch beheer uitvoeren ook geen verwerking zou zijn. Beide zijn echter wel voorbeelden van verwerking en als dit voor een derde partij plaatsvindt moet er een zogenaamde bewerkersovereenkomst met die derde gesloten zijn.
Verantwoordelijke/bewerker
Nog iets technischer zijn de begrippen ‘verantwoordelijke’ en de ‘bewerker’. De verantwoordelijke is de partij is die bepaalt welke gegevens met welke middelen voor welk doel verwerkt worden. De bewerker is de partij die de verwerking daadwerkelijk uitvoert, bijvoorbeeld een Software-as-a-Service-leverancier (SaaS-leverancier). Uiteraard kunnen die twee samenvallen, maar in de praktijk komt het steeds meer voor dat er één verantwoordelijke is, en een reeks van bewerkers. Want de SaaS-leverancier heeft vaak zelf geen rekencentrum en zal daarom het technisch beheer veelal uitbesteed hebben aan een volgende in de reeks van bewerkers. Waar overigens op zichzelf niets mis mee is (wat een ander veel voorkomend misverstand in met name de publieke sector is).
Misverstand hierbij is dat partijen soms denken dat de contractsvrijheid zo ver reikt dat zij zelf kunnen bepalen wie van alle partijen nu ‘verantwoordelijke’ is en wie ‘bewerker’. Dat kan echter alleen maar als de rollen niet zo duidelijk te scheiden zijn en er toch meerdere partijen betrokken zijn bij de verwerking. In dat geval kan er zelfs sprake zijn van meerdere verantwoordelijken. Er is dus enige vrijheid, maar uiteindelijk kan men niet buiten de kaders van de wettelijke definitie treden.
Een volgende keer gaan we het hebben over wanneer persoonsgegevens nu wel en niet verwerkt mogen worden.