Reactiebox Zelf reactie inleveren
	Janus, Arie, Willem en Janet http://spvanleeuwen.hyves.nl gino De beste wensen voor het nieuwe jaar! mvg Gino Flirtmoment.nl - datingsites & date ervaringen Dating 2000 Gratis Dating ! Dating2000.nl is de gratis Datingsite van Nederland Voor vriendschap een serieuze relatie een leuke date of MSN. contacten.je kunt volledig gratis gebruik maken van alle mogelijkheden onbeperkt contacten leggen zolang je wilt en zonder enige verplichting. www.dating2000.nl Hendrik Ja ook ik ben een jaloers type, heb zelfs mijn huidige vriendin een keer kwijt geraakt. op www.ex-terugwinnnen.nl heb je een gratis blog met tips en advies zo kreeg ik mijn ex terug en werd ik mijn jaloersheid de baas! geloof me jaloersheid begint bij zelfvertrouwen maar dat weten we allemaal :) charliemom dag mensen ik heb weinig hoop op reacties maar probeer het toch,ik heb een behoorlijk verhaal te vertellen over wat extreme jaloezie kan veroorzaken bij de ander en dat het mentaal gevaarlijker is dan men soms denkt. mijn verhaal is heel uitgebreid en ik heb niet het gevoel dat het uitmaakt of ik het vertel,maar wie weet zit er iemand tussen die me wil horen?:D groetjes charliemom Gitima van der Putten Café de Liefde, het tv-programma van de VPRO over de liefde, begint weer 14 juni 2010. Café de Liefde doet onderzoek naar de stand van het Nederlandse liefdesleven. Hoe is het anno 2010 met de liefde gesteld in onze samenleving waar alles lijkt te kunnen en uiteenlopende culturen met zeer verschillende opvattingen over de liefde naast elkaar leven? Vaak wordt er een te eenzijdig, te zoet beeld van liefde geschetst. De liefde is complex en vaak intens pijnlijk. Café de Liefde wil de liefde in zijn totaliteit laten zien aan de hand van persoonlijke verhalen. Daarvoor zijn we nog op zoek naar mensen die gebukt gaan onder jaloezie. Wil je met je verhaal op de televisie? stuur dan een mail naar cafedeliefde@vpro.nl jaap liefdesverdriet tips jaap Interessant, zelf ben ik alleen jaloers als ik iemand niet kan krijgen, bij het versieren. www.liefdesverdriettips.com is een site met goede tips, het gaat erom dat je jezelf een heel klein beetje verbetert om dan weer vooruit te komen in het leven. Het werkt! Leentje Dag allemaal, Wat is dit herkenbaar, ook ik herken mijn angst en onzekerheid, ik ben jaloers. Bang om mijn vriendje te verliezen ben ik niet zozeer, wat ik erger vind, is de angst om bedrogen te worden. De angst dat hij tegen me liegt, en intussen met haar -iemand op ons werk- omgaat buiten werktijd om. Zij is een enorme hautaine trut en volgens mij heeft ze een oogje op hem. Hij zegt dat het niet zo is, dat hij haar bovendien een tikje ordinair vindt. Maar ik beeld me van alles in, en dan begint het lijden; ik meen dingen te zien die er niet zijn, ik meen dan te zien dat ze een verhouding hebben samen. We hebben er al eens fikse discussie en ruzie om gehad, hij verzekert me dat hij van mij houdt. Het gaat soms dagen goed, en dan gebeurt er weer iets waardoor ik helemaal terug bij af ben, en erg onzeker word, en verdrietig bovendien. Normaal gesproken was er dan direkt een ruzie ontstaan, maar de vooruitgang zit hem in het feit dat ik mezelf toesta om verdrietig te zijn, maar ik val hem niet meer aan. Het vertrouwen, het is iets waar ik moeite mee heb, waarom kan ik hem niet vertrouwen op zijn woord, en moeten er steeds weer gedachten bij? Het ligt aan mijn onzekerheid, ik weet het en relativeer zoveel het me lukt. Maar het blijft heel moeilijk te verteren. Ups en downs... Een tip; maak geen ruzie! Ik hou van hem, en blijf liefdevol naar hem toe reageren, dat verzacht mijn frustraties en woede ook. Want ik kan bij momenten woedend zijn, en nachten wakker liggen om speculaties die niet concreet zijn. We wonen niet samen, en soms wilde ik wel onzichtbaar kunnen zijn om hem te controleren, wat hij doet, met wie hij contact heeft, of het met haar is. Ziekelijk he? bah, controle.... ik laat het los, omdat ik het me bewust ben, dat ik zo fout bezig ben. Dit alles kost teveel energie. Steeds val ik terug in dit gedrag, om een beetje moedeloos van te worden. Ik hou gelukkig veel van hem, we hebben het leuk samen. Ik denk; als het zo moet zijn dan komt de waarheid aan het licht, vroeg of laat. Zo houd ik de eer aan mezelf, met deze gedachte. Een relatie hoort toch op vertrouwen te rusten? dat is de basis van alles. Lastig als iemand vertrouwen niet je sterkste kant is, zelfs je geliefde niet. H. Kukens http://www.kennisland.nl http://wetenschap.pagina.nl http://wetenschap.startkabel.nl Charles Bl Ik heb in de afgelopen jaren hier heel wat gelezen. En ik ben blij dat ik veel gevoelens die mensen normaliter niet direct uiten, maar wel intens schijnen te beleven en te ondergaan, hier zo uitgebreid naar voren heb mogen zien komen. Ik hoor ook veel in bushokjes, kroegen, kantines of waar ook, maar je ziet zoiets nooit op schrift. En dat het hier juist wel gezet is, er hier op een of andere manier door en voor mensen iets is doorbroken en daardoor bespreekbaar gemaakt, is wonderbaarlijk. Het heeft er aan toe aan bijgedragen dat ik mijn studies met heel wat meer plezier en voortvarendheid heb kunnen afsluiten. Ik ben namelijk op terreinen gekomen, al waar ik normaliter nooit naar geleid zou zijn, maar die wel - op z’n zachts gezegd - de mogelijkheid tot een gigantische maatschappelijke en sociale onrust in zich dragen. Daarnaast ben ik als mens de maatschappij ook heel wat werkelijker gaan zien dan die, zoals die - ook door mijn studierichting - aan mij werd voorgesteld en zal zo beroepshalve later heel wat succesvoller voor mijn toekomstige clientčle kunnen zorgen dan dat ik vooreerst ooit voor mogelijk had kunnen houden. Charles Bl. Ik heb in de afgelopen jaren hier heel wat gelezen. En ik ben blij dat ik veel gevoelens die mensen normaliter niet direct uiten, maar wel intens schijnen te beleven en te ondergaan, hier zo uitgebreid naar voren heb mogen zien komen. Ik hoor ook veel in bushokjes, kroegen, kantines of waar ook, maar je ziet zoiets nooit op schrift. En dat het hier juist wel gezet is, op een of andere manier hier voor of door die mensen iets is doorbroken en daardoor bespreekbaar geworden is, heeft er toe aan bijgedragen dat ik mijn studies met heel wat meer plezier en voortvarendheid heb kunnen afsluiten. Ik ben namelijk op terreinen gekomen, al waar ik normaliter nooit naar geleid zou zijn, maar die wel een mogelijkheid toe een gigantische maatschappelijke en sociale onrust in zich dragen. Daarnaast ben ik als mens de maatschappij ook heel wat werkelijker gaan zien dan die, zoals die - ook door mijn studierichting - werd voorgesteld en zal zo later beroepshalve heel wat succesvoller voor mijn toekomstige clientčle kunnen werken dan dat ik vooreerst ooit voor mogelijk had kunnen houden. Kirk Als iedereen nou maar het bordje 'nooduitgang' in de gaten blijft houden, is er niks aan de hand. Thijssen Moeilijk te zeggen. Maar ik zit er zogezegd niet mee. Want ik hou me met dergelijke dingen ook echt niet bezig. Maar die wel met al die inforamtiebulken zitten opgescheept, tja. Nou ja, gun ieder z'n eigen hobby, plezier, wraking, afgunst, jaloezie, machtswellust, elitaire krankzinnigheid, waanzin, bonus, promotie, salarisverhoging, lintje, vakantiehuisje, auto...en.....Nou ja, zou ik zo zeggen. Maar het moet toch niet de spuigaten gaan uitlopen. Dat als je de ingang van de Psychiatrische inrichting "de Maatschappij" binnengaat, de uitgang niet meer kunt vinden. vdMeerkerk Wat gebeurt er eigenlijk met al die IP-adressen die meegaan met die zgn. internettaire enquetes, die je overal en nergen tegenkomt? Zijn die allemaal bedoeld om een enquete te houden of juist alleen bedoeld om onder het mom van enquete zo beetje voor beetje informatie te ontlokken over en van mensen? Deze op te slaan? Te verkopen? Particulieren, oveheid? Zou er veel interesse zijn voor de gegevens die zo via dergelijke enquetes worden verzameld? Wat zouden die gegevens wel niet allemaal kunnen schuiven? Over gezondheid, politieke identiteit, oordelen, vooroordelen over.... Nou ja. Wouter Meen eens, mee eens, zal me allemaal eigenlijk ook een worst wezen. Het doet allemaal maar wat het niet laten kan; als ze zelf maar het toilet gaan doorspoelen als het gaat stinken. Rederik Ik ventileer hier ook wel eens iets. Er zijn immers zoveel menselijke eigenschappen en gevoelens dat die zichtbaar, bespreekbaar en zeker ook ter dienste van enig allert moeten zijn en blijven; mensen niet mag ontgaan. Jaloezie, afgunst, haat, machtswellust, criminaliteit etc. Gebruik, misbruik via IP-adressen of zo door overhedelijke of burgerlijke opslag? Gevaren omtrent het ge- en misbruiken ingevolge de activiteiten van enig IP-adres? Legio, buitensporig gevaarlijk. Ik zeg maar zo: "De mens en ook de techniek.........staat....nog steeds...... voor NIETS" Enfin, ik surf maar weer eens verder. A Persoonsgegevens op Internet Categorieën Privacy Zie ook Anonimiteit en privacy op het Internet Elektronisch briefgeheim: de stand van zaken Wat weten ze allemaal over mij? De Wet Bescherming Persoonsgegevens is de belangrijkste wet over persoonsgegevens, informatie zoals naam en adres. Verwerking van persoonsgegevens mag alleen als de betrokkene geďnformeerd is over wat er met de gegevens gebeurt. Er zijn uitzonderingen voor bijvoorbeeld mailinglijsten, forums of privé-netwerken. Door ICT-jurist Arnoud Engelfriet (blog, contact). Er bestaat in Nederland geen algemene "wet op de privacy". Er zijn diverse wetten die elk een bepaald aspect van de privacy in Nederland regelen. De belangrijkste en bekendste wet is de Wet Bescherming Persoonsgegevens. De Wet Bescherming Persoonsgegevens regelt onder welke voorwaarden persoonsgegevens verwerkt mogen worden. Persoonsgegevens zijn alle gegevens die herleidbaar zijn tot een bepaald individu. Omdat bijvoorbeeld een e-mailadres ook een persoonsgegeven is, heeft deze wet ook de nodige implicaties voor Internet-aanbieders en -gebruikers. Zo is het publiceren van e-mailadressen op een website niet zomaar toegestaan. Maar ook bijvoorbeeld de familiestamboom mag niet zomaar op Internet. Inhoudsopgave De Wet Bescherming Persoonsgegevens De regels bij verwerking van persoonsgegevens Het College Bescherming Persoonsgegevens Spam E-mail adressen verzamelen Stamboom-onderzoek De Wet Bescherming Persoonsgegevens In 2000 werd de Wet Bescherming Persoonsgegevens (WBP) aangenomen als gevolg van Europese privacy- richtlijn nr. 95/46/EG. Deze wet is de opvolger van de oudere Wet Persoonsregistratie (WPR). De WBP bevat regels voor de "geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen." Persoonsgegevens Persoonsgegevens zijn alle gegevens waarmee een bepaald individu ge�dentificeerd kan worden. Het bekendste voorbeeld zijn naam- en adresgegevens. Ook e-mailadressen en bijvoorbeeld MSN-accounts worden gezien als persoonsgegevens. Maar ook gegevens die een waardering over een bepaalde persoon inhouden, bijvoorbeeld iemands IQ, kunnen persoonsgegevens zijn wanneer te achterhalen is welke persoon dit IQ heeft. Op Internet is bijvoorbeeld het IP-adres een persoonsgegeven. Een IP-adres is, samen met een datum en tijd van gebruik van dat adres, te herleiden tot een persoon. Je hebt daar de hulp van een provider bij nodig, maar het kan. Zie ook Foto's en het portretrecht Ook iemands foto is een persoonsgegeven. De geportretteerde is er tenslotte aan te herkennen. Bovendien is aan een foto te zien welk ras iemand is, en of deze persoon man of vrouw is. Volgens de letter van de wet is een foto dan ook een bijzonder persoonsgegeven, waardoor er voor verwerking van foto's extra strenge regels gelden. Verwerking van persoonsgegevens Verwerking wil zeggen "elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens." De wet geeft als voorbeelden het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens. De regels bij verwerking van persoonsgegevens De betrokkene moet voor elke verwerking van persoonsgegevens zijn toestemming hebben gegeven. Ook heeft hij het recht de informatie die over hem is opgeslagen, te corrigeren of te laten verwijderen. Organisaties die persoonsgegevens verwerken, moeten uitleggen hoe zij dat doen. Voorafgaande toestemming Persoonsgegevens mogen alleen worden verwerkt in overeenstemming met de regels van de WBP. De belangrijkste regel is dat de betreffende persoon zijn toestemming moet hebben gegeven voor de verwerking. Worden gegevens gevraagd aan die persoon zelf, dan moet deze vooraf ge�nformeerd worden over opname in het bestand. Een registratie-formulier op een website moet dus voorzien zijn van een dergelijke waarschuwing. Ook bij persoonsgegevens die uit andere bronnen worden verzameld, moet de betreffende persoon worden ge�nformeerd bij het moment van opname of uiterlijk net voor het moment van verstrekking aan derden. Dit hoeft niet als de betreffende persoon al wist dat zijn gegevens opgenomen zouden worden. Het is dus niet toegestaan om e-mailadressen van mensen die reageren op je website te verzamelen om ze massaal e-mail te sturen, want het maken van een dergelijke verzendlijst is een vorm van verwerking. Het bedrijf Hotmail mag haar klanten echter wel massaal e-mail sturen, want de klanten hebben hiervoor in de algemene voorwaarden toestemming verleend. Het is altijd de taak van de organisatie die de gegevens verwerkt om de betreffende persoon hierover te informeren. Ook mogen persoonsgegevens alleen worden verwerkt in overeenstemming met de doeleinden waarvoor ze zijn verkregen. Het abonneebestand voor een Internet-nieuwsbrief mag dus worden gebruikt om die nieuwsbrief rond te sturen, maar het mag niet worden verkocht aan een ander bedrijf voor bijvoorbeeld een reclame mailing. Informatieplicht Alle organisaties die persoonsgegevens gebruiken, hebben een informatieplicht. Dit betekent dat zij de personen op wie de gegevens betrekking hebben, moeten laten weten wat zij met hun gegevens gaan doen. Dit hoeft niet wanneer het vanzelfsprekend is (bijvoorbeeld bij het invullen van een registratie-formulier bij een online forum) of wanneer het zeer tijdrovend is om het adres van de betrokkene te achterhalen. Correctierecht Daarnaast hebben personen die in een bestand zijn opgenomen het recht om hun geregistreerde gegevens in te zien. Ook kunnen zij eisen dat hun gegevens verbeterd, aangevuld, verwijderd of afgeschermd worden. Dat mag wanneer de gegevens die gebruikt worden door de verantwoordelijke feitelijk onjuist, onvolledig of niet ter zake dienend zijn voor het doel of de doeleinden van de verwerking. Een wanbetaler kan echter niet verwijdering van zijn persoonsgegevens eisen bij de debiteurenadministratie van een bedrijf. Vrijstellingen De WBP eist dat registraties worden aangemeld. Voor een aantal soorten registraties geeft de wet een vrijstelling. Voorbeelden hiervan zijn personeelsadministraties, boekhoudingen, administraties van afnemers en leveranciers, ledenadministraties, abonnementadministraties en administraties van (oud-)leerlingen. Wel worden er in dergelijke gevallen beperkingen gesteld aan de informatie die dan mag worden geregistreerd. Het CBP heeft een Handreiking Vrijstellingsbesluit gepubliceerd met daarin uitleg over de belangrijkste vrijstellingen. Om er een paar te noemen: Abonnementen: uitgevers van publicaties (ook elektronische) hoeven de administratie van persoonsgegevens van hun abonnees niet aan te melden. Ze mogen niet meer bijhouden dan voor het leveren van de publicaties of het innen van het abonnementsgeld nodig is. Wetenschappelijk onderzoek en statistiek: wie onderzoek doet en daarbij persoonsgegevens gebruikt, hoeft zijn databank niet aan te melden. Alleen de hoogst noodzakelijke naam- en adresgegevens mogen worden bijgehouden. Gegevens mogen niet aan derden worden gegeven, behalve met toestemming of als doorgifte noodzakelijk is voor het onderzoek. Doorgifte voor ander onderzoek mag alleen als het gegarandeerd is dat de gegevens nergens anders voor gebruikt kunnen worden. Communicatiebestanden: verwerking van voor communicatie benodigde persoonsgegevens hoeft niet te worden aangemeld. De beheerder van een mailinglijst of forum hoeft zijn abonneebestand of lijst met leden dus niet aan te melden. Hij mag echter geen 'bijzondere persoonsgegevens' (b.v. godsdienst, gezondheid of politieke voorkeuren) opslaan. De databank mag ook niet voor andere doeleinden worden gebruikt zonder toestemming van de betrokkenen. De beheerder van een forum mag gegevens van zijn leden dus niet aan adverteerders geven. Netwerksystemen: wie een privé-netwerk beheert, mag gegevens bijhouden over gebruikers om het netwerk goed te laten werken, voor de veiligheid en interne controle en onderhoud en beheer. Hieronder vallen zaken zoals 'loggen' wat gebruikers doen, welke ingaande en uitgaande communicatie ze verrichten (maar niet de inhoud daarvan) of het vastleggen waar ze wel en niet bij mogen. Gebruikers moeten hierover wel worden geďnformeerd. Dit geldt niet voor Internet-aanbieders en andere beheerders van openbare telecommunicatienetwerken! Deze moeten hun databank gewoon aanmelden. Het College Bescherming Persoonsgegevens Toezicht op de naleving van de WBP is in handen van het College Bescherming Persoonsgegevens (CBP), voorheen Registratiekamer. Het CBP adviseert de regering over de bescherming van persoonsgegevens, voert onderzoeken uit, toetst gedragscodes en privacyreglementen en behandelt vragen en klachten. Het CBP is bevoegd om boetes uit te delen aan organisaties die de WBP overtreden. De registraties van bestanden met persoonsgegevens moeten worden aangemeld bij het CBP. Spam Zie ook Spam nu eindelijk verboden Het rondsturen van ongevraagde commerci�le e-mail, in het jargon 'spam' geheten, mag in principe alleen als de geadresseerden hun toestemming hebben verleend voor opname in het bestand van de zender. Wie de letterlijke tekst van de WBP er bij pakt, zou kunnen concluderen dat deze toestemming vooraf moet worden verleend, en dat vrijwel alle 'spam' in Nederland onrechtmatig is. rechtszaak tussen tussen XS4All en direct marketingbureau Ab.Fab besliste de Hoge Raad dat Ab.Fab geen spam mocht sturen naar XS4All-klanten. XS4ALL heeft als Internet-provider exclusieve rechten op haar computercapaciteit, haar transmissiecapaciteit en haar klantenbestand, en mag anderen de toegang daartoe weigeren. De nieuwe Europese richtlijn 2002/58/EG, die uiterlijk 31 oktober 2003 een Nederlandse wet moet worden, brengt hopelijk meer duidelijkheid. Artikel 13 van deze richtlijn zegt dat e-mail met het oog op direct marketing alleen is toegestaan met betrekking tot abonnees die daarin vooraf hebben toegestemd. E-mail adressen verzamelen Een veelvoorkomende praktijk op Internet is het verzamelen van e-mailadressen van bijvoorbeeld websites om een bestand op te bouwen, met name voor direct marketing doeleinden. Ook dit lijkt in strijd zijn met de WBP. Het leeghalen van andermans e-mailgids werd in december 2002 verboden omdat de betreffende e-mail gids in haar algemene voorwaarden dit verbood. Stamboom-onderzoek Steeds meer mensen, waaronder ook de auteur van dit artikel, publiceren hun stamboom op Internet. De WBP maakt een uitzondering voor verwerking van persoonsgegevens voor uitsluitend persoonlijke doeleinden. Het verzamelen van materiaal ten behoeve van een stamboom, en het maken van de stamboom zelf mag dus zonder toestemming van de personen die erin staan gebeuren. Echter, op het moment dat de stamboom wordt gepubliceerd, bijvoorbeeld op Internet, is er niet langer sprake van "persoonlijke doeleinden". De bovengenoemde regels gelden dan. Echter, de WBP gaat formeel gesproken over gegevens die herleidbaar zijn tot natuurlijke personen. Volgens de wet is een overledene geen natuurlijk persoon (meer). Derhalve is de WBP niet van toepassing op overleden personen. Houd er echter wel rekening mee dat bijvoorbeeld de partner of kinderen van de overledene gemakkelijk te achterhalen zijn wanneer er voldoende informatie over de overledene zelf wordt gepubliceerd. Daarmee vormt die informatie een persoonsgegeven van die partner of kinderen. De WBP kan dus soms toch van toepassing zijn. Gerelateerde artikelen Anonimiteit en privacy op het internet Cameratoezicht, filmen en fotograferen van mensen Filesharing (P2P) en privacy Persoonsgegevens op Internet Categorieën Privacy Zie ook Anonimiteit en privacy op het Internet Elektronisch briefgeheim: de stand van zaken Wat weten ze allemaal over mij? De Wet Bescherming Persoonsgegevens is de belangrijkste wet over persoonsgegevens, informatie zoals naam en adres. Verwerking van persoonsgegevens mag alleen als de betrokkene geďnformeerd is over wat er met de gegevens gebeurt. Er zijn uitzonderingen voor bijvoorbeeld mailinglijsten, forums of privé-netwerken. Door ICT-jurist Arnoud Engelfriet (blog, contact). Er bestaat in Nederland geen algemene "wet op de privacy". Er zijn diverse wetten die elk een bepaald aspect van de privacy in Nederland regelen. De belangrijkste en bekendste wet is de Wet Bescherming Persoonsgegevens. De Wet Bescherming Persoonsgegevens regelt onder welke voorwaarden persoonsgegevens verwerkt mogen worden. Persoonsgegevens zijn alle gegevens die herleidbaar zijn tot een bepaald individu. Omdat bijvoorbeeld een e-mailadres ook een persoonsgegeven is, heeft deze wet ook de nodige implicaties voor Internet-aanbieders en -gebruikers. Zo is het publiceren van e-mailadressen op een website niet zomaar toegestaan. Maar ook bijvoorbeeld de familiestamboom mag niet zomaar op Internet. Inhoudsopgave De Wet Bescherming Persoonsgegevens De regels bij verwerking van persoonsgegevens Het College Bescherming Persoonsgegevens Spam E-mail adressen verzamelen Stamboom-onderzoek De Wet Bescherming Persoonsgegevens In 2000 werd de Wet Bescherming Persoonsgegevens (WBP) aangenomen als gevolg van Europese privacy- richtlijn nr. 95/46/EG. Deze wet is de opvolger van de oudere Wet Persoonsregistratie (WPR). De WBP bevat regels voor de "geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen." Persoonsgegevens Persoonsgegevens zijn alle gegevens waarmee een bepaald individu ge�dentificeerd kan worden. Het bekendste voorbeeld zijn naam- en adresgegevens. Ook e-mailadressen en bijvoorbeeld MSN-accounts worden gezien als persoonsgegevens. Maar ook gegevens die een waardering over een bepaalde persoon inhouden, bijvoorbeeld iemands IQ, kunnen persoonsgegevens zijn wanneer te achterhalen is welke persoon dit IQ heeft. Op Internet is bijvoorbeeld het IP-adres een persoonsgegeven. Een IP-adres is, samen met een datum en tijd van gebruik van dat adres, te herleiden tot een persoon. Je hebt daar de hulp van een provider bij nodig, maar het kan. Zie ook Foto's en het portretrecht Ook iemands foto is een persoonsgegeven. De geportretteerde is er tenslotte aan te herkennen. Bovendien is aan een foto te zien welk ras iemand is, en of deze persoon man of vrouw is. Volgens de letter van de wet is een foto dan ook een bijzonder persoonsgegeven, waardoor er voor verwerking van foto's extra strenge regels gelden. Verwerking van persoonsgegevens Verwerking wil zeggen "elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens." De wet geeft als voorbeelden het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens. De regels bij verwerking van persoonsgegevens De betrokkene moet voor elke verwerking van persoonsgegevens zijn toestemming hebben gegeven. Ook heeft hij het recht de informatie die over hem is opgeslagen, te corrigeren of te laten verwijderen. Organisaties die persoonsgegevens verwerken, moeten uitleggen hoe zij dat doen. Voorafgaande toestemming Persoonsgegevens mogen alleen worden verwerkt in overeenstemming met de regels van de WBP. De belangrijkste regel is dat de betreffende persoon zijn toestemming moet hebben gegeven voor de verwerking. Worden gegevens gevraagd aan die persoon zelf, dan moet deze vooraf ge�nformeerd worden over opname in het bestand. Een registratie-formulier op een website moet dus voorzien zijn van een dergelijke waarschuwing. Ook bij persoonsgegevens die uit andere bronnen worden verzameld, moet de betreffende persoon worden ge�nformeerd bij het moment van opname of uiterlijk net voor het moment van verstrekking aan derden. Dit hoeft niet als de betreffende persoon al wist dat zijn gegevens opgenomen zouden worden. Het is dus niet toegestaan om e-mailadressen van mensen die reageren op je website te verzamelen om ze massaal e-mail te sturen, want het maken van een dergelijke verzendlijst is een vorm van verwerking. Het bedrijf Hotmail mag haar klanten echter wel massaal e-mail sturen, want de klanten hebben hiervoor in de algemene voorwaarden toestemming verleend. Het is altijd de taak van de organisatie die de gegevens verwerkt om de betreffende persoon hierover te informeren. Ook mogen persoonsgegevens alleen worden verwerkt in overeenstemming met de doeleinden waarvoor ze zijn verkregen. Het abonneebestand voor een Internet-nieuwsbrief mag dus worden gebruikt om die nieuwsbrief rond te sturen, maar het mag niet worden verkocht aan een ander bedrijf voor bijvoorbeeld een reclame mailing. Informatieplicht Alle organisaties die persoonsgegevens gebruiken, hebben een informatieplicht. Dit betekent dat zij de personen op wie de gegevens betrekking hebben, moeten laten weten wat zij met hun gegevens gaan doen. Dit hoeft niet wanneer het vanzelfsprekend is (bijvoorbeeld bij het invullen van een registratie-formulier bij een online forum) of wanneer het zeer tijdrovend is om het adres van de betrokkene te achterhalen. Correctierecht Daarnaast hebben personen die in een bestand zijn opgenomen het recht om hun geregistreerde gegevens in te zien. Ook kunnen zij eisen dat hun gegevens verbeterd, aangevuld, verwijderd of afgeschermd worden. Dat mag wanneer de gegevens die gebruikt worden door de verantwoordelijke feitelijk onjuist, onvolledig of niet ter zake dienend zijn voor het doel of de doeleinden van de verwerking. Een wanbetaler kan echter niet verwijdering van zijn persoonsgegevens eisen bij de debiteurenadministratie van een bedrijf. Vrijstellingen De WBP eist dat registraties worden aangemeld. Voor een aantal soorten registraties geeft de wet een vrijstelling. Voorbeelden hiervan zijn personeelsadministraties, boekhoudingen, administraties van afnemers en leveranciers, ledenadministraties, abonnementadministraties en administraties van (oud-)leerlingen. Wel worden er in dergelijke gevallen beperkingen gesteld aan de informatie die dan mag worden geregistreerd. Het CBP heeft een Handreiking Vrijstellingsbesluit gepubliceerd met daarin uitleg over de belangrijkste vrijstellingen. Om er een paar te noemen: Abonnementen: uitgevers van publicaties (ook elektronische) hoeven de administratie van persoonsgegevens van hun abonnees niet aan te melden. Ze mogen niet meer bijhouden dan voor het leveren van de publicaties of het innen van het abonnementsgeld nodig is. Wetenschappelijk onderzoek en statistiek: wie onderzoek doet en daarbij persoonsgegevens gebruikt, hoeft zijn databank niet aan te melden. Alleen de hoogst noodzakelijke naam- en adresgegevens mogen worden bijgehouden. Gegevens mogen niet aan derden worden gegeven, behalve met toestemming of als doorgifte noodzakelijk is voor het onderzoek. Doorgifte voor ander onderzoek mag alleen als het gegarandeerd is dat de gegevens nergens anders voor gebruikt kunnen worden. Communicatiebestanden: verwerking van voor communicatie benodigde persoonsgegevens hoeft niet te worden aangemeld. De beheerder van een mailinglijst of forum hoeft zijn abonneebestand of lijst met leden dus niet aan te melden. Hij mag echter geen 'bijzondere persoonsgegevens' (b.v. godsdienst, gezondheid of politieke voorkeuren) opslaan. De databank mag ook niet voor andere doeleinden worden gebruikt zonder toestemming van de betrokkenen. De beheerder van een forum mag gegevens van zijn leden dus niet aan adverteerders geven. Netwerksystemen: wie een privé-netwerk beheert, mag gegevens bijhouden over gebruikers om het netwerk goed te laten werken, voor de veiligheid en interne controle en onderhoud en beheer. Hieronder vallen zaken zoals 'loggen' wat gebruikers doen, welke ingaande en uitgaande communicatie ze verrichten (maar niet de inhoud daarvan) of het vastleggen waar ze wel en niet bij mogen. Gebruikers moeten hierover wel worden geďnformeerd. Dit geldt niet voor Internet-aanbieders en andere beheerders van openbare telecommunicatienetwerken! Deze moeten hun databank gewoon aanmelden. Het College Bescherming Persoonsgegevens Toezicht op de naleving van de WBP is in handen van het College Bescherming Persoonsgegevens (CBP), voorheen Registratiekamer. Het CBP adviseert de regering over de bescherming van persoonsgegevens, voert onderzoeken uit, toetst gedragscodes en privacyreglementen en behandelt vragen en klachten. Het CBP is bevoegd om boetes uit te delen aan organisaties die de WBP overtreden. De registraties van bestanden met persoonsgegevens moeten worden aangemeld bij het CBP. Spam Zie ook Spam nu eindelijk verboden Het rondsturen van ongevraagde commerci�le e-mail, in het jargon 'spam' geheten, mag in principe alleen als de geadresseerden hun toestemming hebben verleend voor opname in het bestand van de zender. Wie de letterlijke tekst van de WBP er bij pakt, zou kunnen concluderen dat deze toestemming vooraf moet worden verleend, en dat vrijwel alle 'spam' in Nederland onrechtmatig is. rechtszaak tussen tussen XS4All en direct marketingbureau Ab.Fab besliste de Hoge Raad dat Ab.Fab geen spam mocht sturen naar XS4All-klanten. XS4ALL heeft als Internet-provider exclusieve rechten op haar computercapaciteit, haar transmissiecapaciteit en haar klantenbestand, en mag anderen de toegang daartoe weigeren. De nieuwe Europese richtlijn 2002/58/EG, die uiterlijk 31 oktober 2003 een Nederlandse wet moet worden, brengt hopelijk meer duidelijkheid. Artikel 13 van deze richtlijn zegt dat e-mail met het oog op direct marketing alleen is toegestaan met betrekking tot abonnees die daarin vooraf hebben toegestemd. E-mail adressen verzamelen Een veelvoorkomende praktijk op Internet is het verzamelen van e-mailadressen van bijvoorbeeld websites om een bestand op te bouwen, met name voor direct marketing doeleinden. Ook dit lijkt in strijd zijn met de WBP. Het leeghalen van andermans e-mailgids werd in december 2002 verboden omdat de betreffende e-mail gids in haar algemene voorwaarden dit verbood. Stamboom-onderzoek Steeds meer mensen, waaronder ook de auteur van dit artikel, publiceren hun stamboom op Internet. De WBP maakt een uitzondering voor verwerking van persoonsgegevens voor uitsluitend persoonlijke doeleinden. Het verzamelen van materiaal ten behoeve van een stamboom, en het maken van de stamboom zelf mag dus zonder toestemming van de personen die erin staan gebeuren. Echter, op het moment dat de stamboom wordt gepubliceerd, bijvoorbeeld op Internet, is er niet langer sprake van "persoonlijke doeleinden". De bovengenoemde regels gelden dan. Echter, de WBP gaat formeel gesproken over gegevens die herleidbaar zijn tot natuurlijke personen. Volgens de wet is een overledene geen natuurlijk persoon (meer). Derhalve is de WBP niet van toepassing op overleden personen. Houd er echter wel rekening mee dat bijvoorbeeld de partner of kinderen van de overledene gemakkelijk te achterhalen zijn wanneer er voldoende informatie over de overledene zelf wordt gepubliceerd. Daarmee vormt die informatie een persoonsgegeven van die partner of kinderen. De WBP kan dus soms toch van toepassing zijn. Gerelateerde artikelen Anonimiteit en privacy op het internet Cameratoezicht, filmen en fotograferen van mensen Filesharing (P2P) en privacy Persoonsgegevens op Internet Categorieën Privacy Zie ook Anonimiteit en privacy op het Internet Elektronisch briefgeheim: de stand van zaken Wat weten ze allemaal over mij? De Wet Bescherming Persoonsgegevens is de belangrijkste wet over persoonsgegevens, informatie zoals naam en adres. Verwerking van persoonsgegevens mag alleen als de betrokkene geďnformeerd is over wat er met de gegevens gebeurt. Er zijn uitzonderingen voor bijvoorbeeld mailinglijsten, forums of privé-netwerken. Door ICT-jurist Arnoud Engelfriet (blog, contact). Er bestaat in Nederland geen algemene "wet op de privacy". Er zijn diverse wetten die elk een bepaald aspect van de privacy in Nederland regelen. De belangrijkste en bekendste wet is de Wet Bescherming Persoonsgegevens. De Wet Bescherming Persoonsgegevens regelt onder welke voorwaarden persoonsgegevens verwerkt mogen worden. Persoonsgegevens zijn alle gegevens die herleidbaar zijn tot een bepaald individu. Omdat bijvoorbeeld een e-mailadres ook een persoonsgegeven is, heeft deze wet ook de nodige implicaties voor Internet-aanbieders en -gebruikers. Zo is het publiceren van e-mailadressen op een website niet zomaar toegestaan. Maar ook bijvoorbeeld de familiestamboom mag niet zomaar op Internet. Inhoudsopgave De Wet Bescherming Persoonsgegevens De regels bij verwerking van persoonsgegevens Het College Bescherming Persoonsgegevens Spam E-mail adressen verzamelen Stamboom-onderzoek De Wet Bescherming Persoonsgegevens In 2000 werd de Wet Bescherming Persoonsgegevens (WBP) aangenomen als gevolg van Europese privacy- richtlijn nr. 95/46/EG. Deze wet is de opvolger van de oudere Wet Persoonsregistratie (WPR). De WBP bevat regels voor de "geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen." Persoonsgegevens Persoonsgegevens zijn alle gegevens waarmee een bepaald individu ge�dentificeerd kan worden. Het bekendste voorbeeld zijn naam- en adresgegevens. Ook e-mailadressen en bijvoorbeeld MSN-accounts worden gezien als persoonsgegevens. Maar ook gegevens die een waardering over een bepaalde persoon inhouden, bijvoorbeeld iemands IQ, kunnen persoonsgegevens zijn wanneer te achterhalen is welke persoon dit IQ heeft. Op Internet is bijvoorbeeld het IP-adres een persoonsgegeven. Een IP-adres is, samen met een datum en tijd van gebruik van dat adres, te herleiden tot een persoon. Je hebt daar de hulp van een provider bij nodig, maar het kan. Zie ook Foto's en het portretrecht Ook iemands foto is een persoonsgegeven. De geportretteerde is er tenslotte aan te herkennen. Bovendien is aan een foto te zien welk ras iemand is, en of deze persoon man of vrouw is. Volgens de letter van de wet is een foto dan ook een bijzonder persoonsgegeven, waardoor er voor verwerking van foto's extra strenge regels gelden. Verwerking van persoonsgegevens Verwerking wil zeggen "elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens." De wet geeft als voorbeelden het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens. De regels bij verwerking van persoonsgegevens De betrokkene moet voor elke verwerking van persoonsgegevens zijn toestemming hebben gegeven. Ook heeft hij het recht de informatie die over hem is opgeslagen, te corrigeren of te laten verwijderen. Organisaties die persoonsgegevens verwerken, moeten uitleggen hoe zij dat doen. Voorafgaande toestemming Persoonsgegevens mogen alleen worden verwerkt in overeenstemming met de regels van de WBP. De belangrijkste regel is dat de betreffende persoon zijn toestemming moet hebben gegeven voor de verwerking. Worden gegevens gevraagd aan die persoon zelf, dan moet deze vooraf ge�nformeerd worden over opname in het bestand. Een registratie-formulier op een website moet dus voorzien zijn van een dergelijke waarschuwing. Ook bij persoonsgegevens die uit andere bronnen worden verzameld, moet de betreffende persoon worden ge�nformeerd bij het moment van opname of uiterlijk net voor het moment van verstrekking aan derden. Dit hoeft niet als de betreffende persoon al wist dat zijn gegevens opgenomen zouden worden. Het is dus niet toegestaan om e-mailadressen van mensen die reageren op je website te verzamelen om ze massaal e-mail te sturen, want het maken van een dergelijke verzendlijst is een vorm van verwerking. Het bedrijf Hotmail mag haar klanten echter wel massaal e-mail sturen, want de klanten hebben hiervoor in de algemene voorwaarden toestemming verleend. Het is altijd de taak van de organisatie die de gegevens verwerkt om de betreffende persoon hierover te informeren. Ook mogen persoonsgegevens alleen worden verwerkt in overeenstemming met de doeleinden waarvoor ze zijn verkregen. Het abonneebestand voor een Internet-nieuwsbrief mag dus worden gebruikt om die nieuwsbrief rond te sturen, maar het mag niet worden verkocht aan een ander bedrijf voor bijvoorbeeld een reclame mailing. Informatieplicht Alle organisaties die persoonsgegevens gebruiken, hebben een informatieplicht. Dit betekent dat zij de personen op wie de gegevens betrekking hebben, moeten laten weten wat zij met hun gegevens gaan doen. Dit hoeft niet wanneer het vanzelfsprekend is (bijvoorbeeld bij het invullen van een registratie-formulier bij een online forum) of wanneer het zeer tijdrovend is om het adres van de betrokkene te achterhalen. Correctierecht Daarnaast hebben personen die in een bestand zijn opgenomen het recht om hun geregistreerde gegevens in te zien. Ook kunnen zij eisen dat hun gegevens verbeterd, aangevuld, verwijderd of afgeschermd worden. Dat mag wanneer de gegevens die gebruikt worden door de verantwoordelijke feitelijk onjuist, onvolledig of niet ter zake dienend zijn voor het doel of de doeleinden van de verwerking. Een wanbetaler kan echter niet verwijdering van zijn persoonsgegevens eisen bij de debiteurenadministratie van een bedrijf. Vrijstellingen De WBP eist dat registraties worden aangemeld. Voor een aantal soorten registraties geeft de wet een vrijstelling. Voorbeelden hiervan zijn personeelsadministraties, boekhoudingen, administraties van afnemers en leveranciers, ledenadministraties, abonnementadministraties en administraties van (oud-)leerlingen. Wel worden er in dergelijke gevallen beperkingen gesteld aan de informatie die dan mag worden geregistreerd. Het CBP heeft een Handreiking Vrijstellingsbesluit gepubliceerd met daarin uitleg over de belangrijkste vrijstellingen. Om er een paar te noemen: Abonnementen: uitgevers van publicaties (ook elektronische) hoeven de administratie van persoonsgegevens van hun abonnees niet aan te melden. Ze mogen niet meer bijhouden dan voor het leveren van de publicaties of het innen van het abonnementsgeld nodig is. Wetenschappelijk onderzoek en statistiek: wie onderzoek doet en daarbij persoonsgegevens gebruikt, hoeft zijn databank niet aan te melden. Alleen de hoogst noodzakelijke naam- en adresgegevens mogen worden bijgehouden. Gegevens mogen niet aan derden worden gegeven, behalve met toestemming of als doorgifte noodzakelijk is voor het onderzoek. Doorgifte voor ander onderzoek mag alleen als het gegarandeerd is dat de gegevens nergens anders voor gebruikt kunnen worden. Communicatiebestanden: verwerking van voor communicatie benodigde persoonsgegevens hoeft niet te worden aangemeld. De beheerder van een mailinglijst of forum hoeft zijn abonneebestand of lijst met leden dus niet aan te melden. Hij mag echter geen 'bijzondere persoonsgegevens' (b.v. godsdienst, gezondheid of politieke voorkeuren) opslaan. De databank mag ook niet voor andere doeleinden worden gebruikt zonder toestemming van de betrokkenen. De beheerder van een forum mag gegevens van zijn leden dus niet aan adverteerders geven. Netwerksystemen: wie een privé-netwerk beheert, mag gegevens bijhouden over gebruikers om het netwerk goed te laten werken, voor de veiligheid en interne controle en onderhoud en beheer. Hieronder vallen zaken zoals 'loggen' wat gebruikers doen, welke ingaande en uitgaande communicatie ze verrichten (maar niet de inhoud daarvan) of het vastleggen waar ze wel en niet bij mogen. Gebruikers moeten hierover wel worden geďnformeerd. Dit geldt niet voor Internet-aanbieders en andere beheerders van openbare telecommunicatienetwerken! Deze moeten hun databank gewoon aanmelden. Het College Bescherming Persoonsgegevens Toezicht op de naleving van de WBP is in handen van het College Bescherming Persoonsgegevens (CBP), voorheen Registratiekamer. Het CBP adviseert de regering over de bescherming van persoonsgegevens, voert onderzoeken uit, toetst gedragscodes en privacyreglementen en behandelt vragen en klachten. Het CBP is bevoegd om boetes uit te delen aan organisaties die de WBP overtreden. De registraties van bestanden met persoonsgegevens moeten worden aangemeld bij het CBP. Spam Zie ook Spam nu eindelijk verboden Het rondsturen van ongevraagde commerci�le e-mail, in het jargon 'spam' geheten, mag in principe alleen als de geadresseerden hun toestemming hebben verleend voor opname in het bestand van de zender. Wie de letterlijke tekst van de WBP er bij pakt, zou kunnen concluderen dat deze toestemming vooraf moet worden verleend, en dat vrijwel alle 'spam' in Nederland onrechtmatig is. rechtszaak tussen tussen XS4All en direct marketingbureau Ab.Fab besliste de Hoge Raad dat Ab.Fab geen spam mocht sturen naar XS4All-klanten. XS4ALL heeft als Internet-provider exclusieve rechten op haar computercapaciteit, haar transmissiecapaciteit en haar klantenbestand, en mag anderen de toegang daartoe weigeren. De nieuwe Europese richtlijn 2002/58/EG, die uiterlijk 31 oktober 2003 een Nederlandse wet moet worden, brengt hopelijk meer duidelijkheid. Artikel 13 van deze richtlijn zegt dat e-mail met het oog op direct marketing alleen is toegestaan met betrekking tot abonnees die daarin vooraf hebben toegestemd. E-mail adressen verzamelen Een veelvoorkomende praktijk op Internet is het verzamelen van e-mailadressen van bijvoorbeeld websites om een bestand op te bouwen, met name voor direct marketing doeleinden. Ook dit lijkt in strijd zijn met de WBP. Het leeghalen van andermans e-mailgids werd in december 2002 verboden omdat de betreffende e-mail gids in haar algemene voorwaarden dit verbood. Stamboom-onderzoek Steeds meer mensen, waaronder ook de auteur van dit artikel, publiceren hun stamboom op Internet. De WBP maakt een uitzondering voor verwerking van persoonsgegevens voor uitsluitend persoonlijke doeleinden. Het verzamelen van materiaal ten behoeve van een stamboom, en het maken van de stamboom zelf mag dus zonder toestemming van de personen die erin staan gebeuren. Echter, op het moment dat de stamboom wordt gepubliceerd, bijvoorbeeld op Internet, is er niet langer sprake van "persoonlijke doeleinden". De bovengenoemde regels gelden dan. Echter, de WBP gaat formeel gesproken over gegevens die herleidbaar zijn tot natuurlijke personen. Volgens de wet is een overledene geen natuurlijk persoon (meer). Derhalve is de WBP niet van toepassing op overleden personen. Houd er echter wel rekening mee dat bijvoorbeeld de partner of kinderen van de overledene gemakkelijk te achterhalen zijn wanneer er voldoende informatie over de overledene zelf wordt gepubliceerd. Daarmee vormt die informatie een persoonsgegeven van die partner of kinderen. De WBP kan dus soms toch van toepassing zijn. Gerelateerde artikelen Anonimiteit en privacy op het internet Cameratoezicht, filmen en fotograferen van mensen Filesharing (P2P) en privacy Persoonsgegevens op Internet Categorieën Privacy Zie ook Anonimiteit en privacy op het Internet Elektronisch briefgeheim: de stand van zaken Wat weten ze allemaal over mij? De Wet Bescherming Persoonsgegevens is de belangrijkste wet over persoonsgegevens, informatie zoals naam en adres. Verwerking van persoonsgegevens mag alleen als de betrokkene geďnformeerd is over wat er met de gegevens gebeurt. Er zijn uitzonderingen voor bijvoorbeeld mailinglijsten, forums of privé-netwerken. Door ICT-jurist Arnoud Engelfriet (blog, contact). Er bestaat in Nederland geen algemene "wet op de privacy". Er zijn diverse wetten die elk een bepaald aspect van de privacy in Nederland regelen. De belangrijkste en bekendste wet is de Wet Bescherming Persoonsgegevens. De Wet Bescherming Persoonsgegevens regelt onder welke voorwaarden persoonsgegevens verwerkt mogen worden. Persoonsgegevens zijn alle gegevens die herleidbaar zijn tot een bepaald individu. Omdat bijvoorbeeld een e-mailadres ook een persoonsgegeven is, heeft deze wet ook de nodige implicaties voor Internet-aanbieders en -gebruikers. Zo is het publiceren van e-mailadressen op een website niet zomaar toegestaan. Maar ook bijvoorbeeld de familiestamboom mag niet zomaar op Internet. Inhoudsopgave De Wet Bescherming Persoonsgegevens De regels bij verwerking van persoonsgegevens Het College Bescherming Persoonsgegevens Spam E-mail adressen verzamelen Stamboom-onderzoek De Wet Bescherming Persoonsgegevens In 2000 werd de Wet Bescherming Persoonsgegevens (WBP) aangenomen als gevolg van Europese privacy- richtlijn nr. 95/46/EG. Deze wet is de opvolger van de oudere Wet Persoonsregistratie (WPR). De WBP bevat regels voor de "geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen." Persoonsgegevens Persoonsgegevens zijn alle gegevens waarmee een bepaald individu ge�dentificeerd kan worden. Het bekendste voorbeeld zijn naam- en adresgegevens. Ook e-mailadressen en bijvoorbeeld MSN-accounts worden gezien als persoonsgegevens. Maar ook gegevens die een waardering over een bepaalde persoon inhouden, bijvoorbeeld iemands IQ, kunnen persoonsgegevens zijn wanneer te achterhalen is welke persoon dit IQ heeft. Op Internet is bijvoorbeeld het IP-adres een persoonsgegeven. Een IP-adres is, samen met een datum en tijd van gebruik van dat adres, te herleiden tot een persoon. Je hebt daar de hulp van een provider bij nodig, maar het kan. Zie ook Foto's en het portretrecht Ook iemands foto is een persoonsgegeven. De geportretteerde is er tenslotte aan te herkennen. Bovendien is aan een foto te zien welk ras iemand is, en of deze persoon man of vrouw is. Volgens de letter van de wet is een foto dan ook een bijzonder persoonsgegeven, waardoor er voor verwerking van foto's extra strenge regels gelden. Verwerking van persoonsgegevens Verwerking wil zeggen "elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens." De wet geeft als voorbeelden het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens. De regels bij verwerking van persoonsgegevens De betrokkene moet voor elke verwerking van persoonsgegevens zijn toestemming hebben gegeven. Ook heeft hij het recht de informatie die over hem is opgeslagen, te corrigeren of te laten verwijderen. Organisaties die persoonsgegevens verwerken, moeten uitleggen hoe zij dat doen. Voorafgaande toestemming Persoonsgegevens mogen alleen worden verwerkt in overeenstemming met de regels van de WBP. De belangrijkste regel is dat de betreffende persoon zijn toestemming moet hebben gegeven voor de verwerking. Worden gegevens gevraagd aan die persoon zelf, dan moet deze vooraf ge�nformeerd worden over opname in het bestand. Een registratie-formulier op een website moet dus voorzien zijn van een dergelijke waarschuwing. Ook bij persoonsgegevens die uit andere bronnen worden verzameld, moet de betreffende persoon worden ge�nformeerd bij het moment van opname of uiterlijk net voor het moment van verstrekking aan derden. Dit hoeft niet als de betreffende persoon al wist dat zijn gegevens opgenomen zouden worden. Het is dus niet toegestaan om e-mailadressen van mensen die reageren op je website te verzamelen om ze massaal e-mail te sturen, want het maken van een dergelijke verzendlijst is een vorm van verwerking. Het bedrijf Hotmail mag haar klanten echter wel massaal e-mail sturen, want de klanten hebben hiervoor in de algemene voorwaarden toestemming verleend. Het is altijd de taak van de organisatie die de gegevens verwerkt om de betreffende persoon hierover te informeren. Ook mogen persoonsgegevens alleen worden verwerkt in overeenstemming met de doeleinden waarvoor ze zijn verkregen. Het abonneebestand voor een Internet-nieuwsbrief mag dus worden gebruikt om die nieuwsbrief rond te sturen, maar het mag niet worden verkocht aan een ander bedrijf voor bijvoorbeeld een reclame mailing. Informatieplicht Alle organisaties die persoonsgegevens gebruiken, hebben een informatieplicht. Dit betekent dat zij de personen op wie de gegevens betrekking hebben, moeten laten weten wat zij met hun gegevens gaan doen. Dit hoeft niet wanneer het vanzelfsprekend is (bijvoorbeeld bij het invullen van een registratie-formulier bij een online forum) of wanneer het zeer tijdrovend is om het adres van de betrokkene te achterhalen. Correctierecht Daarnaast hebben personen die in een bestand zijn opgenomen het recht om hun geregistreerde gegevens in te zien. Ook kunnen zij eisen dat hun gegevens verbeterd, aangevuld, verwijderd of afgeschermd worden. Dat mag wanneer de gegevens die gebruikt worden door de verantwoordelijke feitelijk onjuist, onvolledig of niet ter zake dienend zijn voor het doel of de doeleinden van de verwerking. Een wanbetaler kan echter niet verwijdering van zijn persoonsgegevens eisen bij de debiteurenadministratie van een bedrijf. Vrijstellingen De WBP eist dat registraties worden aangemeld. Voor een aantal soorten registraties geeft de wet een vrijstelling. Voorbeelden hiervan zijn personeelsadministraties, boekhoudingen, administraties van afnemers en leveranciers, ledenadministraties, abonnementadministraties en administraties van (oud-)leerlingen. Wel worden er in dergelijke gevallen beperkingen gesteld aan de informatie die dan mag worden geregistreerd. Het CBP heeft een Handreiking Vrijstellingsbesluit gepubliceerd met daarin uitleg over de belangrijkste vrijstellingen. Om er een paar te noemen: Abonnementen: uitgevers van publicaties (ook elektronische) hoeven de administratie van persoonsgegevens van hun abonnees niet aan te melden. Ze mogen niet meer bijhouden dan voor het leveren van de publicaties of het innen van het abonnementsgeld nodig is. Wetenschappelijk onderzoek en statistiek: wie onderzoek doet en daarbij persoonsgegevens gebruikt, hoeft zijn databank niet aan te melden. Alleen de hoogst noodzakelijke naam- en adresgegevens mogen worden bijgehouden. Gegevens mogen niet aan derden worden gegeven, behalve met toestemming of als doorgifte noodzakelijk is voor het onderzoek. Doorgifte voor ander onderzoek mag alleen als het gegarandeerd is dat de gegevens nergens anders voor gebruikt kunnen worden. Communicatiebestanden: verwerking van voor communicatie benodigde persoonsgegevens hoeft niet te worden aangemeld. De beheerder van een mailinglijst of forum hoeft zijn abonneebestand of lijst met leden dus niet aan te melden. Hij mag echter geen 'bijzondere persoonsgegevens' (b.v. godsdienst, gezondheid of politieke voorkeuren) opslaan. De databank mag ook niet voor andere doeleinden worden gebruikt zonder toestemming van de betrokkenen. De beheerder van een forum mag gegevens van zijn leden dus niet aan adverteerders geven. Netwerksystemen: wie een privé-netwerk beheert, mag gegevens bijhouden over gebruikers om het netwerk goed te laten werken, voor de veiligheid en interne controle en onderhoud en beheer. Hieronder vallen zaken zoals 'loggen' wat gebruikers doen, welke ingaande en uitgaande communicatie ze verrichten (maar niet de inhoud daarvan) of het vastleggen waar ze wel en niet bij mogen. Gebruikers moeten hierover wel worden geďnformeerd. Dit geldt niet voor Internet-aanbieders en andere beheerders van openbare telecommunicatienetwerken! Deze moeten hun databank gewoon aanmelden. Het College Bescherming Persoonsgegevens Toezicht op de naleving van de WBP is in handen van het College Bescherming Persoonsgegevens (CBP), voorheen Registratiekamer. Het CBP adviseert de regering over de bescherming van persoonsgegevens, voert onderzoeken uit, toetst gedragscodes en privacyreglementen en behandelt vragen en klachten. Het CBP is bevoegd om boetes uit te delen aan organisaties die de WBP overtreden. De registraties van bestanden met persoonsgegevens moeten worden aangemeld bij het CBP. Spam Zie ook Spam nu eindelijk verboden Het rondsturen van ongevraagde commerci�le e-mail, in het jargon 'spam' geheten, mag in principe alleen als de geadresseerden hun toestemming hebben verleend voor opname in het bestand van de zender. Wie de letterlijke tekst van de WBP er bij pakt, zou kunnen concluderen dat deze toestemming vooraf moet worden verleend, en dat vrijwel alle 'spam' in Nederland onrechtmatig is. rechtszaak tussen tussen XS4All en direct marketingbureau Ab.Fab besliste de Hoge Raad dat Ab.Fab geen spam mocht sturen naar XS4All-klanten. XS4ALL heeft als Internet-provider exclusieve rechten op haar computercapaciteit, haar transmissiecapaciteit en haar klantenbestand, en mag anderen de toegang daartoe weigeren. De nieuwe Europese richtlijn 2002/58/EG, die uiterlijk 31 oktober 2003 een Nederlandse wet moet worden, brengt hopelijk meer duidelijkheid. Artikel 13 van deze richtlijn zegt dat e-mail met het oog op direct marketing alleen is toegestaan met betrekking tot abonnees die daarin vooraf hebben toegestemd. E-mail adressen verzamelen Een veelvoorkomende praktijk op Internet is het verzamelen van e-mailadressen van bijvoorbeeld websites om een bestand op te bouwen, met name voor direct marketing doeleinden. Ook dit lijkt in strijd zijn met de WBP. Het leeghalen van andermans e-mailgids werd in december 2002 verboden omdat de betreffende e-mail gids in haar algemene voorwaarden dit verbood. Stamboom-onderzoek Steeds meer mensen, waaronder ook de auteur van dit artikel, publiceren hun stamboom op Internet. De WBP maakt een uitzondering voor verwerking van persoonsgegevens voor uitsluitend persoonlijke doeleinden. Het verzamelen van materiaal ten behoeve van een stamboom, en het maken van de stamboom zelf mag dus zonder toestemming van de personen die erin staan gebeuren. Echter, op het moment dat de stamboom wordt gepubliceerd, bijvoorbeeld op Internet, is er niet langer sprake van "persoonlijke doeleinden". De bovengenoemde regels gelden dan. Echter, de WBP gaat formeel gesproken over gegevens die herleidbaar zijn tot natuurlijke personen. Volgens de wet is een overledene geen natuurlijk persoon (meer). Derhalve is de WBP niet van toepassing op overleden personen. Houd er echter wel rekening mee dat bijvoorbeeld de partner of kinderen van de overledene gemakkelijk te achterhalen zijn wanneer er voldoende informatie over de overledene zelf wordt gepubliceerd. Daarmee vormt die informatie een persoonsgegeven van die partner of kinderen. De WBP kan dus soms toch van toepassing zijn. Gerelateerde artikelen Anonimiteit en privacy op het internet Cameratoezicht, filmen en fotograferen van mensen Filesharing (P2P) en privacy Persoonsgegevens op Internet Categorieën Privacy Zie ook Anonimiteit en privacy op het Internet Elektronisch briefgeheim: de stand van zaken Wat weten ze allemaal over mij? De Wet Bescherming Persoonsgegevens is de belangrijkste wet over persoonsgegevens, informatie zoals naam en adres. Verwerking van persoonsgegevens mag alleen als de betrokkene geďnformeerd is over wat er met de gegevens gebeurt. Er zijn uitzonderingen voor bijvoorbeeld mailinglijsten, forums of privé-netwerken. Door ICT-jurist Arnoud Engelfriet (blog, contact). Er bestaat in Nederland geen algemene "wet op de privacy". Er zijn diverse wetten die elk een bepaald aspect van de privacy in Nederland regelen. De belangrijkste en bekendste wet is de Wet Bescherming Persoonsgegevens. De Wet Bescherming Persoonsgegevens regelt onder welke voorwaarden persoonsgegevens verwerkt mogen worden. Persoonsgegevens zijn alle gegevens die herleidbaar zijn tot een bepaald individu. Omdat bijvoorbeeld een e-mailadres ook een persoonsgegeven is, heeft deze wet ook de nodige implicaties voor Internet-aanbieders en -gebruikers. Zo is het publiceren van e-mailadressen op een website niet zomaar toegestaan. Maar ook bijvoorbeeld de familiestamboom mag niet zomaar op Internet. Inhoudsopgave De Wet Bescherming Persoonsgegevens De regels bij verwerking van persoonsgegevens Het College Bescherming Persoonsgegevens Spam E-mail adressen verzamelen Stamboom-onderzoek De Wet Bescherming Persoonsgegevens In 2000 werd de Wet Bescherming Persoonsgegevens (WBP) aangenomen als gevolg van Europese privacy- richtlijn nr. 95/46/EG. Deze wet is de opvolger van de oudere Wet Persoonsregistratie (WPR). De WBP bevat regels voor de "geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen." Persoonsgegevens Persoonsgegevens zijn alle gegevens waarmee een bepaald individu ge�dentificeerd kan worden. Het bekendste voorbeeld zijn naam- en adresgegevens. Ook e-mailadressen en bijvoorbeeld MSN-accounts worden gezien als persoonsgegevens. Maar ook gegevens die een waardering over een bepaalde persoon inhouden, bijvoorbeeld iemands IQ, kunnen persoonsgegevens zijn wanneer te achterhalen is welke persoon dit IQ heeft. Op Internet is bijvoorbeeld het IP-adres een persoonsgegeven. Een IP-adres is, samen met een datum en tijd van gebruik van dat adres, te herleiden tot een persoon. Je hebt daar de hulp van een provider bij nodig, maar het kan. Zie ook Foto's en het portretrecht Ook iemands foto is een persoonsgegeven. De geportretteerde is er tenslotte aan te herkennen. Bovendien is aan een foto te zien welk ras iemand is, en of deze persoon man of vrouw is. Volgens de letter van de wet is een foto dan ook een bijzonder persoonsgegeven, waardoor er voor verwerking van foto's extra strenge regels gelden. Verwerking van persoonsgegevens Verwerking wil zeggen "elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens." De wet geeft als voorbeelden het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens. De regels bij verwerking van persoonsgegevens De betrokkene moet voor elke verwerking van persoonsgegevens zijn toestemming hebben gegeven. Ook heeft hij het recht de informatie die over hem is opgeslagen, te corrigeren of te laten verwijderen. Organisaties die persoonsgegevens verwerken, moeten uitleggen hoe zij dat doen. Voorafgaande toestemming Persoonsgegevens mogen alleen worden verwerkt in overeenstemming met de regels van de WBP. De belangrijkste regel is dat de betreffende persoon zijn toestemming moet hebben gegeven voor de verwerking. Worden gegevens gevraagd aan die persoon zelf, dan moet deze vooraf ge�nformeerd worden over opname in het bestand. Een registratie-formulier op een website moet dus voorzien zijn van een dergelijke waarschuwing. Ook bij persoonsgegevens die uit andere bronnen worden verzameld, moet de betreffende persoon worden ge�nformeerd bij het moment van opname of uiterlijk net voor het moment van verstrekking aan derden. Dit hoeft niet als de betreffende persoon al wist dat zijn gegevens opgenomen zouden worden. Het is dus niet toegestaan om e-mailadressen van mensen die reageren op je website te verzamelen om ze massaal e-mail te sturen, want het maken van een dergelijke verzendlijst is een vorm van verwerking. Het bedrijf Hotmail mag haar klanten echter wel massaal e-mail sturen, want de klanten hebben hiervoor in de algemene voorwaarden toestemming verleend. Het is altijd de taak van de organisatie die de gegevens verwerkt om de betreffende persoon hierover te informeren. Ook mogen persoonsgegevens alleen worden verwerkt in overeenstemming met de doeleinden waarvoor ze zijn verkregen. Het abonneebestand voor een Internet-nieuwsbrief mag dus worden gebruikt om die nieuwsbrief rond te sturen, maar het mag niet worden verkocht aan een ander bedrijf voor bijvoorbeeld een reclame mailing. Informatieplicht Alle organisaties die persoonsgegevens gebruiken, hebben een informatieplicht. Dit betekent dat zij de personen op wie de gegevens betrekking hebben, moeten laten weten wat zij met hun gegevens gaan doen. Dit hoeft niet wanneer het vanzelfsprekend is (bijvoorbeeld bij het invullen van een registratie-formulier bij een online forum) of wanneer het zeer tijdrovend is om het adres van de betrokkene te achterhalen. Correctierecht Daarnaast hebben personen die in een bestand zijn opgenomen het recht om hun geregistreerde gegevens in te zien. Ook kunnen zij eisen dat hun gegevens verbeterd, aangevuld, verwijderd of afgeschermd worden. Dat mag wanneer de gegevens die gebruikt worden door de verantwoordelijke feitelijk onjuist, onvolledig of niet ter zake dienend zijn voor het doel of de doeleinden van de verwerking. Een wanbetaler kan echter niet verwijdering van zijn persoonsgegevens eisen bij de debiteurenadministratie van een bedrijf. Vrijstellingen De WBP eist dat registraties worden aangemeld. Voor een aantal soorten registraties geeft de wet een vrijstelling. Voorbeelden hiervan zijn personeelsadministraties, boekhoudingen, administraties van afnemers en leveranciers, ledenadministraties, abonnementadministraties en administraties van (oud-)leerlingen. Wel worden er in dergelijke gevallen beperkingen gesteld aan de informatie die dan mag worden geregistreerd. Het CBP heeft een Handreiking Vrijstellingsbesluit gepubliceerd met daarin uitleg over de belangrijkste vrijstellingen. Om er een paar te noemen: Abonnementen: uitgevers van publicaties (ook elektronische) hoeven de administratie van persoonsgegevens van hun abonnees niet aan te melden. Ze mogen niet meer bijhouden dan voor het leveren van de publicaties of het innen van het abonnementsgeld nodig is. Wetenschappelijk onderzoek en statistiek: wie onderzoek doet en daarbij persoonsgegevens gebruikt, hoeft zijn databank niet aan te melden. Alleen de hoogst noodzakelijke naam- en adresgegevens mogen worden bijgehouden. Gegevens mogen niet aan derden worden gegeven, behalve met toestemming of als doorgifte noodzakelijk is voor het onderzoek. Doorgifte voor ander onderzoek mag alleen als het gegarandeerd is dat de gegevens nergens anders voor gebruikt kunnen worden. Communicatiebestanden: verwerking van voor communicatie benodigde persoonsgegevens hoeft niet te worden aangemeld. De beheerder van een mailinglijst of forum hoeft zijn abonneebestand of lijst met leden dus niet aan te melden. Hij mag echter geen 'bijzondere persoonsgegevens' (b.v. godsdienst, gezondheid of politieke voorkeuren) opslaan. De databank mag ook niet voor andere doeleinden worden gebruikt zonder toestemming van de betrokkenen. De beheerder van een forum mag gegevens van zijn leden dus niet aan adverteerders geven. Netwerksystemen: wie een privé-netwerk beheert, mag gegevens bijhouden over gebruikers om het netwerk goed te laten werken, voor de veiligheid en interne controle en onderhoud en beheer. Hieronder vallen zaken zoals 'loggen' wat gebruikers doen, welke ingaande en uitgaande communicatie ze verrichten (maar niet de inhoud daarvan) of het vastleggen waar ze wel en niet bij mogen. Gebruikers moeten hierover wel worden geďnformeerd. Dit geldt niet voor Internet-aanbieders en andere beheerders van openbare telecommunicatienetwerken! Deze moeten hun databank gewoon aanmelden. Het College Bescherming Persoonsgegevens Toezicht op de naleving van de WBP is in handen van het College Bescherming Persoonsgegevens (CBP), voorheen Registratiekamer. Het CBP adviseert de regering over de bescherming van persoonsgegevens, voert onderzoeken uit, toetst gedragscodes en privacyreglementen en behandelt vragen en klachten. Het CBP is bevoegd om boetes uit te delen aan organisaties die de WBP overtreden. De registraties van bestanden met persoonsgegevens moeten worden aangemeld bij het CBP. Spam Zie ook Spam nu eindelijk verboden Het rondsturen van ongevraagde commerci�le e-mail, in het jargon 'spam' geheten, mag in principe alleen als de geadresseerden hun toestemming hebben verleend voor opname in het bestand van de zender. Wie de letterlijke tekst van de WBP er bij pakt, zou kunnen concluderen dat deze toestemming vooraf moet worden verleend, en dat vrijwel alle 'spam' in Nederland onrechtmatig is. rechtszaak tussen tussen XS4All en direct marketingbureau Ab.Fab besliste de Hoge Raad dat Ab.Fab geen spam mocht sturen naar XS4All-klanten. XS4ALL heeft als Internet-provider exclusieve rechten op haar computercapaciteit, haar transmissiecapaciteit en haar klantenbestand, en mag anderen de toegang daartoe weigeren. De nieuwe Europese richtlijn 2002/58/EG, die uiterlijk 31 oktober 2003 een Nederlandse wet moet worden, brengt hopelijk meer duidelijkheid. Artikel 13 van deze richtlijn zegt dat e-mail met het oog op direct marketing alleen is toegestaan met betrekking tot abonnees die daarin vooraf hebben toegestemd. E-mail adressen verzamelen Een veelvoorkomende praktijk op Internet is het verzamelen van e-mailadressen van bijvoorbeeld websites om een bestand op te bouwen, met name voor direct marketing doeleinden. Ook dit lijkt in strijd zijn met de WBP. Het leeghalen van andermans e-mailgids werd in december 2002 verboden omdat de betreffende e-mail gids in haar algemene voorwaarden dit verbood. Stamboom-onderzoek Steeds meer mensen, waaronder ook de auteur van dit artikel, publiceren hun stamboom op Internet. De WBP maakt een uitzondering voor verwerking van persoonsgegevens voor uitsluitend persoonlijke doeleinden. Het verzamelen van materiaal ten behoeve van een stamboom, en het maken van de stamboom zelf mag dus zonder toestemming van de personen die erin staan gebeuren. Echter, op het moment dat de stamboom wordt gepubliceerd, bijvoorbeeld op Internet, is er niet langer sprake van "persoonlijke doeleinden". De bovengenoemde regels gelden dan. Echter, de WBP gaat formeel gesproken over gegevens die herleidbaar zijn tot natuurlijke personen. Volgens de wet is een overledene geen natuurlijk persoon (meer). Derhalve is de WBP niet van toepassing op overleden personen. Houd er echter wel rekening mee dat bijvoorbeeld de partner of kinderen van de overledene gemakkelijk te achterhalen zijn wanneer er voldoende informatie over de overledene zelf wordt gepubliceerd. Daarmee vormt die informatie een persoonsgegeven van die partner of kinderen. De WBP kan dus soms toch van toepassing zijn. Gerelateerde artikelen Anonimiteit en privacy op het internet Cameratoezicht, filmen en fotograferen van mensen Filesharing (P2P) en privacy Persoonsgegevens op Internet Categorieën Privacy Zie ook Anonimiteit en privacy op het Internet Elektronisch briefgeheim: de stand van zaken Wat weten ze allemaal over mij? De Wet Bescherming Persoonsgegevens is de belangrijkste wet over persoonsgegevens, informatie zoals naam en adres. Verwerking van persoonsgegevens mag alleen als de betrokkene geďnformeerd is over wat er met de gegevens gebeurt. Er zijn uitzonderingen voor bijvoorbeeld mailinglijsten, forums of privé-netwerken. Door ICT-jurist Arnoud Engelfriet (blog, contact). Er bestaat in Nederland geen algemene "wet op de privacy". Er zijn diverse wetten die elk een bepaald aspect van de privacy in Nederland regelen. De belangrijkste en bekendste wet is de Wet Bescherming Persoonsgegevens. De Wet Bescherming Persoonsgegevens regelt onder welke voorwaarden persoonsgegevens verwerkt mogen worden. Persoonsgegevens zijn alle gegevens die herleidbaar zijn tot een bepaald individu. Omdat bijvoorbeeld een e-mailadres ook een persoonsgegeven is, heeft deze wet ook de nodige implicaties voor Internet-aanbieders en -gebruikers. Zo is het publiceren van e-mailadressen op een website niet zomaar toegestaan. Maar ook bijvoorbeeld de familiestamboom mag niet zomaar op Internet. Inhoudsopgave De Wet Bescherming Persoonsgegevens De regels bij verwerking van persoonsgegevens Het College Bescherming Persoonsgegevens Spam E-mail adressen verzamelen Stamboom-onderzoek De Wet Bescherming Persoonsgegevens In 2000 werd de Wet Bescherming Persoonsgegevens (WBP) aangenomen als gevolg van Europese privacy- richtlijn nr. 95/46/EG. Deze wet is de opvolger van de oudere Wet Persoonsregistratie (WPR). De WBP bevat regels voor de "geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen." Persoonsgegevens Persoonsgegevens zijn alle gegevens waarmee een bepaald individu ge�dentificeerd kan worden. Het bekendste voorbeeld zijn naam- en adresgegevens. Ook e-mailadressen en bijvoorbeeld MSN-accounts worden gezien als persoonsgegevens. Maar ook gegevens die een waardering over een bepaalde persoon inhouden, bijvoorbeeld iemands IQ, kunnen persoonsgegevens zijn wanneer te achterhalen is welke persoon dit IQ heeft. Op Internet is bijvoorbeeld het IP-adres een persoonsgegeven. Een IP-adres is, samen met een datum en tijd van gebruik van dat adres, te herleiden tot een persoon. Je hebt daar de hulp van een provider bij nodig, maar het kan. Zie ook Foto's en het portretrecht Ook iemands foto is een persoonsgegeven. De geportretteerde is er tenslotte aan te herkennen. Bovendien is aan een foto te zien welk ras iemand is, en of deze persoon man of vrouw is. Volgens de letter van de wet is een foto dan ook een bijzonder persoonsgegeven, waardoor er voor verwerking van foto's extra strenge regels gelden. Verwerking van persoonsgegevens Verwerking wil zeggen "elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens." De wet geeft als voorbeelden het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens. De regels bij verwerking van persoonsgegevens De betrokkene moet voor elke verwerking van persoonsgegevens zijn toestemming hebben gegeven. Ook heeft hij het recht de informatie die over hem is opgeslagen, te corrigeren of te laten verwijderen. Organisaties die persoonsgegevens verwerken, moeten uitleggen hoe zij dat doen. Voorafgaande toestemming Persoonsgegevens mogen alleen worden verwerkt in overeenstemming met de regels van de WBP. De belangrijkste regel is dat de betreffende persoon zijn toestemming moet hebben gegeven voor de verwerking. Worden gegevens gevraagd aan die persoon zelf, dan moet deze vooraf ge�nformeerd worden over opname in het bestand. Een registratie-formulier op een website moet dus voorzien zijn van een dergelijke waarschuwing. Ook bij persoonsgegevens die uit andere bronnen worden verzameld, moet de betreffende persoon worden ge�nformeerd bij het moment van opname of uiterlijk net voor het moment van verstrekking aan derden. Dit hoeft niet als de betreffende persoon al wist dat zijn gegevens opgenomen zouden worden. Het is dus niet toegestaan om e-mailadressen van mensen die reageren op je website te verzamelen om ze massaal e-mail te sturen, want het maken van een dergelijke verzendlijst is een vorm van verwerking. Het bedrijf Hotmail mag haar klanten echter wel massaal e-mail sturen, want de klanten hebben hiervoor in de algemene voorwaarden toestemming verleend. Het is altijd de taak van de organisatie die de gegevens verwerkt om de betreffende persoon hierover te informeren. Ook mogen persoonsgegevens alleen worden verwerkt in overeenstemming met de doeleinden waarvoor ze zijn verkregen. Het abonneebestand voor een Internet-nieuwsbrief mag dus worden gebruikt om die nieuwsbrief rond te sturen, maar het mag niet worden verkocht aan een ander bedrijf voor bijvoorbeeld een reclame mailing. Informatieplicht Alle organisaties die persoonsgegevens gebruiken, hebben een informatieplicht. Dit betekent dat zij de personen op wie de gegevens betrekking hebben, moeten laten weten wat zij met hun gegevens gaan doen. Dit hoeft niet wanneer het vanzelfsprekend is (bijvoorbeeld bij het invullen van een registratie-formulier bij een online forum) of wanneer het zeer tijdrovend is om het adres van de betrokkene te achterhalen. Correctierecht Daarnaast hebben personen die in een bestand zijn opgenomen het recht om hun geregistreerde gegevens in te zien. Ook kunnen zij eisen dat hun gegevens verbeterd, aangevuld, verwijderd of afgeschermd worden. Dat mag wanneer de gegevens die gebruikt worden door de verantwoordelijke feitelijk onjuist, onvolledig of niet ter zake dienend zijn voor het doel of de doeleinden van de verwerking. Een wanbetaler kan echter niet verwijdering van zijn persoonsgegevens eisen bij de debiteurenadministratie van een bedrijf. Vrijstellingen De WBP eist dat registraties worden aangemeld. Voor een aantal soorten registraties geeft de wet een vrijstelling. Voorbeelden hiervan zijn personeelsadministraties, boekhoudingen, administraties van afnemers en leveranciers, ledenadministraties, abonnementadministraties en administraties van (oud-)leerlingen. Wel worden er in dergelijke gevallen beperkingen gesteld aan de informatie die dan mag worden geregistreerd. Het CBP heeft een Handreiking Vrijstellingsbesluit gepubliceerd met daarin uitleg over de belangrijkste vrijstellingen. Om er een paar te noemen: Abonnementen: uitgevers van publicaties (ook elektronische) hoeven de administratie van persoonsgegevens van hun abonnees niet aan te melden. Ze mogen niet meer bijhouden dan voor het leveren van de publicaties of het innen van het abonnementsgeld nodig is. Wetenschappelijk onderzoek en statistiek: wie onderzoek doet en daarbij persoonsgegevens gebruikt, hoeft zijn databank niet aan te melden. Alleen de hoogst noodzakelijke naam- en adresgegevens mogen worden bijgehouden. Gegevens mogen niet aan derden worden gegeven, behalve met toestemming of als doorgifte noodzakelijk is voor het onderzoek. Doorgifte voor ander onderzoek mag alleen als het gegarandeerd is dat de gegevens nergens anders voor gebruikt kunnen worden. Communicatiebestanden: verwerking van voor communicatie benodigde persoonsgegevens hoeft niet te worden aangemeld. De beheerder van een mailinglijst of forum hoeft zijn abonneebestand of lijst met leden dus niet aan te melden. Hij mag echter geen 'bijzondere persoonsgegevens' (b.v. godsdienst, gezondheid of politieke voorkeuren) opslaan. De databank mag ook niet voor andere doeleinden worden gebruikt zonder toestemming van de betrokkenen. De beheerder van een forum mag gegevens van zijn leden dus niet aan adverteerders geven. Netwerksystemen: wie een privé-netwerk beheert, mag gegevens bijhouden over gebruikers om het netwerk goed te laten werken, voor de veiligheid en interne controle en onderhoud en beheer. Hieronder vallen zaken zoals 'loggen' wat gebruikers doen, welke ingaande en uitgaande communicatie ze verrichten (maar niet de inhoud daarvan) of het vastleggen waar ze wel en niet bij mogen. Gebruikers moeten hierover wel worden geďnformeerd. Dit geldt niet voor Internet-aanbieders en andere beheerders van openbare telecommunicatienetwerken! Deze moeten hun databank gewoon aanmelden. Het College Bescherming Persoonsgegevens Toezicht op de naleving van de WBP is in handen van het College Bescherming Persoonsgegevens (CBP), voorheen Registratiekamer. Het CBP adviseert de regering over de bescherming van persoonsgegevens, voert onderzoeken uit, toetst gedragscodes en privacyreglementen en behandelt vragen en klachten. Het CBP is bevoegd om boetes uit te delen aan organisaties die de WBP overtreden. De registraties van bestanden met persoonsgegevens moeten worden aangemeld bij het CBP. Spam Zie ook Spam nu eindelijk verboden Het rondsturen van ongevraagde commerci�le e-mail, in het jargon 'spam' geheten, mag in principe alleen als de geadresseerden hun toestemming hebben verleend voor opname in het bestand van de zender. Wie de letterlijke tekst van de WBP er bij pakt, zou kunnen concluderen dat deze toestemming vooraf moet worden verleend, en dat vrijwel alle 'spam' in Nederland onrechtmatig is. rechtszaak tussen tussen XS4All en direct marketingbureau Ab.Fab besliste de Hoge Raad dat Ab.Fab geen spam mocht sturen naar XS4All-klanten. XS4ALL heeft als Internet-provider exclusieve rechten op haar computercapaciteit, haar transmissiecapaciteit en haar klantenbestand, en mag anderen de toegang daartoe weigeren. De nieuwe Europese richtlijn 2002/58/EG, die uiterlijk 31 oktober 2003 een Nederlandse wet moet worden, brengt hopelijk meer duidelijkheid. Artikel 13 van deze richtlijn zegt dat e-mail met het oog op direct marketing alleen is toegestaan met betrekking tot abonnees die daarin vooraf hebben toegestemd. E-mail adressen verzamelen Een veelvoorkomende praktijk op Internet is het verzamelen van e-mailadressen van bijvoorbeeld websites om een bestand op te bouwen, met name voor direct marketing doeleinden. Ook dit lijkt in strijd zijn met de WBP. Het leeghalen van andermans e-mailgids werd in december 2002 verboden omdat de betreffende e-mail gids in haar algemene voorwaarden dit verbood. Stamboom-onderzoek Steeds meer mensen, waaronder ook de auteur van dit artikel, publiceren hun stamboom op Internet. De WBP maakt een uitzondering voor verwerking van persoonsgegevens voor uitsluitend persoonlijke doeleinden. Het verzamelen van materiaal ten behoeve van een stamboom, en het maken van de stamboom zelf mag dus zonder toestemming van de personen die erin staan gebeuren. Echter, op het moment dat de stamboom wordt gepubliceerd, bijvoorbeeld op Internet, is er niet langer sprake van "persoonlijke doeleinden". De bovengenoemde regels gelden dan. Echter, de WBP gaat formeel gesproken over gegevens die herleidbaar zijn tot natuurlijke personen. Volgens de wet is een overledene geen natuurlijk persoon (meer). Derhalve is de WBP niet van toepassing op overleden personen. Houd er echter wel rekening mee dat bijvoorbeeld de partner of kinderen van de overledene gemakkelijk te achterhalen zijn wanneer er voldoende informatie over de overledene zelf wordt gepubliceerd. Daarmee vormt die informatie een persoonsgegeven van die partner of kinderen. De WBP kan dus soms toch van toepassing zijn. Gerelateerde artikelen Anonimiteit en privacy op het internet Cameratoezicht, filmen en fotograferen van mensen Filesharing (P2P) en privacy Persoonsgegevens op Internet Categorieën Privacy Zie ook Anonimiteit en privacy op het Internet Elektronisch briefgeheim: de stand van zaken Wat weten ze allemaal over mij? De Wet Bescherming Persoonsgegevens is de belangrijkste wet over persoonsgegevens, informatie zoals naam en adres. Verwerking van persoonsgegevens mag alleen als de betrokkene geďnformeerd is over wat er met de gegevens gebeurt. Er zijn uitzonderingen voor bijvoorbeeld mailinglijsten, forums of privé-netwerken. Door ICT-jurist Arnoud Engelfriet (blog, contact). Er bestaat in Nederland geen algemene "wet op de privacy". Er zijn diverse wetten die elk een bepaald aspect van de privacy in Nederland regelen. De belangrijkste en bekendste wet is de Wet Bescherming Persoonsgegevens. De Wet Bescherming Persoonsgegevens regelt onder welke voorwaarden persoonsgegevens verwerkt mogen worden. Persoonsgegevens zijn alle gegevens die herleidbaar zijn tot een bepaald individu. Omdat bijvoorbeeld een e-mailadres ook een persoonsgegeven is, heeft deze wet ook de nodige implicaties voor Internet-aanbieders en -gebruikers. Zo is het publiceren van e-mailadressen op een website niet zomaar toegestaan. Maar ook bijvoorbeeld de familiestamboom mag niet zomaar op Internet. Inhoudsopgave De Wet Bescherming Persoonsgegevens De regels bij verwerking van persoonsgegevens Het College Bescherming Persoonsgegevens Spam E-mail adressen verzamelen Stamboom-onderzoek De Wet Bescherming Persoonsgegevens In 2000 werd de Wet Bescherming Persoonsgegevens (WBP) aangenomen als gevolg van Europese privacy- richtlijn nr. 95/46/EG. Deze wet is de opvolger van de oudere Wet Persoonsregistratie (WPR). De WBP bevat regels voor de "geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen." Persoonsgegevens Persoonsgegevens zijn alle gegevens waarmee een bepaald individu ge�dentificeerd kan worden. Het bekendste voorbeeld zijn naam- en adresgegevens. Ook e-mailadressen en bijvoorbeeld MSN-accounts worden gezien als persoonsgegevens. Maar ook gegevens die een waardering over een bepaalde persoon inhouden, bijvoorbeeld iemands IQ, kunnen persoonsgegevens zijn wanneer te achterhalen is welke persoon dit IQ heeft. Op Internet is bijvoorbeeld het IP-adres een persoonsgegeven. Een IP-adres is, samen met een datum en tijd van gebruik van dat adres, te herleiden tot een persoon. Je hebt daar de hulp van een provider bij nodig, maar het kan. Zie ook Foto's en het portretrecht Ook iemands foto is een persoonsgegeven. De geportretteerde is er tenslotte aan te herkennen. Bovendien is aan een foto te zien welk ras iemand is, en of deze persoon man of vrouw is. Volgens de letter van de wet is een foto dan ook een bijzonder persoonsgegeven, waardoor er voor verwerking van foto's extra strenge regels gelden. Verwerking van persoonsgegevens Verwerking wil zeggen "elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens." De wet geeft als voorbeelden het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens. De regels bij verwerking van persoonsgegevens De betrokkene moet voor elke verwerking van persoonsgegevens zijn toestemming hebben gegeven. Ook heeft hij het recht de informatie die over hem is opgeslagen, te corrigeren of te laten verwijderen. Organisaties die persoonsgegevens verwerken, moeten uitleggen hoe zij dat doen. Voorafgaande toestemming Persoonsgegevens mogen alleen worden verwerkt in overeenstemming met de regels van de WBP. De belangrijkste regel is dat de betreffende persoon zijn toestemming moet hebben gegeven voor de verwerking. Worden gegevens gevraagd aan die persoon zelf, dan moet deze vooraf ge�nformeerd worden over opname in het bestand. Een registratie-formulier op een website moet dus voorzien zijn van een dergelijke waarschuwing. Ook bij persoonsgegevens die uit andere bronnen worden verzameld, moet de betreffende persoon worden ge�nformeerd bij het moment van opname of uiterlijk net voor het moment van verstrekking aan derden. Dit hoeft niet als de betreffende persoon al wist dat zijn gegevens opgenomen zouden worden. Het is dus niet toegestaan om e-mailadressen van mensen die reageren op je website te verzamelen om ze massaal e-mail te sturen, want het maken van een dergelijke verzendlijst is een vorm van verwerking. Het bedrijf Hotmail mag haar klanten echter wel massaal e-mail sturen, want de klanten hebben hiervoor in de algemene voorwaarden toestemming verleend. Het is altijd de taak van de organisatie die de gegevens verwerkt om de betreffende persoon hierover te informeren. Ook mogen persoonsgegevens alleen worden verwerkt in overeenstemming met de doeleinden waarvoor ze zijn verkregen. Het abonneebestand voor een Internet-nieuwsbrief mag dus worden gebruikt om die nieuwsbrief rond te sturen, maar het mag niet worden verkocht aan een ander bedrijf voor bijvoorbeeld een reclame mailing. Informatieplicht Alle organisaties die persoonsgegevens gebruiken, hebben een informatieplicht. Dit betekent dat zij de personen op wie de gegevens betrekking hebben, moeten laten weten wat zij met hun gegevens gaan doen. Dit hoeft niet wanneer het vanzelfsprekend is (bijvoorbeeld bij het invullen van een registratie-formulier bij een online forum) of wanneer het zeer tijdrovend is om het adres van de betrokkene te achterhalen. Correctierecht Daarnaast hebben personen die in een bestand zijn opgenomen het recht om hun geregistreerde gegevens in te zien. Ook kunnen zij eisen dat hun gegevens verbeterd, aangevuld, verwijderd of afgeschermd worden. Dat mag wanneer de gegevens die gebruikt worden door de verantwoordelijke feitelijk onjuist, onvolledig of niet ter zake dienend zijn voor het doel of de doeleinden van de verwerking. Een wanbetaler kan echter niet verwijdering van zijn persoonsgegevens eisen bij de debiteurenadministratie van een bedrijf. Vrijstellingen De WBP eist dat registraties worden aangemeld. Voor een aantal soorten registraties geeft de wet een vrijstelling. Voorbeelden hiervan zijn personeelsadministraties, boekhoudingen, administraties van afnemers en leveranciers, ledenadministraties, abonnementadministraties en administraties van (oud-)leerlingen. Wel worden er in dergelijke gevallen beperkingen gesteld aan de informatie die dan mag worden geregistreerd. Het CBP heeft een Handreiking Vrijstellingsbesluit gepubliceerd met daarin uitleg over de belangrijkste vrijstellingen. Om er een paar te noemen: Abonnementen: uitgevers van publicaties (ook elektronische) hoeven de administratie van persoonsgegevens van hun abonnees niet aan te melden. Ze mogen niet meer bijhouden dan voor het leveren van de publicaties of het innen van het abonnementsgeld nodig is. Wetenschappelijk onderzoek en statistiek: wie onderzoek doet en daarbij persoonsgegevens gebruikt, hoeft zijn databank niet aan te melden. Alleen de hoogst noodzakelijke naam- en adresgegevens mogen worden bijgehouden. Gegevens mogen niet aan derden worden gegeven, behalve met toestemming of als doorgifte noodzakelijk is voor het onderzoek. Doorgifte voor ander onderzoek mag alleen als het gegarandeerd is dat de gegevens nergens anders voor gebruikt kunnen worden. Communicatiebestanden: verwerking van voor communicatie benodigde persoonsgegevens hoeft niet te worden aangemeld. De beheerder van een mailinglijst of forum hoeft zijn abonneebestand of lijst met leden dus niet aan te melden. Hij mag echter geen 'bijzondere persoonsgegevens' (b.v. godsdienst, gezondheid of politieke voorkeuren) opslaan. De databank mag ook niet voor andere doeleinden worden gebruikt zonder toestemming van de betrokkenen. De beheerder van een forum mag gegevens van zijn leden dus niet aan adverteerders geven. Netwerksystemen: wie een privé-netwerk beheert, mag gegevens bijhouden over gebruikers om het netwerk goed te laten werken, voor de veiligheid en interne controle en onderhoud en beheer. Hieronder vallen zaken zoals 'loggen' wat gebruikers doen, welke ingaande en uitgaande communicatie ze verrichten (maar niet de inhoud daarvan) of het vastleggen waar ze wel en niet bij mogen. Gebruikers moeten hierover wel worden geďnformeerd. Dit geldt niet voor Internet-aanbieders en andere beheerders van openbare telecommunicatienetwerken! Deze moeten hun databank gewoon aanmelden. Het College Bescherming Persoonsgegevens Toezicht op de naleving van de WBP is in handen van het College Bescherming Persoonsgegevens (CBP), voorheen Registratiekamer. Het CBP adviseert de regering over de bescherming van persoonsgegevens, voert onderzoeken uit, toetst gedragscodes en privacyreglementen en behandelt vragen en klachten. Het CBP is bevoegd om boetes uit te delen aan organisaties die de WBP overtreden. De registraties van bestanden met persoonsgegevens moeten worden aangemeld bij het CBP. Spam Zie ook Spam nu eindelijk verboden Het rondsturen van ongevraagde commerci�le e-mail, in het jargon 'spam' geheten, mag in principe alleen als de geadresseerden hun toestemming hebben verleend voor opname in het bestand van de zender. Wie de letterlijke tekst van de WBP er bij pakt, zou kunnen concluderen dat deze toestemming vooraf moet worden verleend, en dat vrijwel alle 'spam' in Nederland onrechtmatig is. rechtszaak tussen tussen XS4All en direct marketingbureau Ab.Fab besliste de Hoge Raad dat Ab.Fab geen spam mocht sturen naar XS4All-klanten. XS4ALL heeft als Internet-provider exclusieve rechten op haar computercapaciteit, haar transmissiecapaciteit en haar klantenbestand, en mag anderen de toegang daartoe weigeren. De nieuwe Europese richtlijn 2002/58/EG, die uiterlijk 31 oktober 2003 een Nederlandse wet moet worden, brengt hopelijk meer duidelijkheid. Artikel 13 van deze richtlijn zegt dat e-mail met het oog op direct marketing alleen is toegestaan met betrekking tot abonnees die daarin vooraf hebben toegestemd. E-mail adressen verzamelen Een veelvoorkomende praktijk op Internet is het verzamelen van e-mailadressen van bijvoorbeeld websites om een bestand op te bouwen, met name voor direct marketing doeleinden. Ook dit lijkt in strijd zijn met de WBP. Het leeghalen van andermans e-mailgids werd in december 2002 verboden omdat de betreffende e-mail gids in haar algemene voorwaarden dit verbood. Stamboom-onderzoek Steeds meer mensen, waaronder ook de auteur van dit artikel, publiceren hun stamboom op Internet. De WBP maakt een uitzondering voor verwerking van persoonsgegevens voor uitsluitend persoonlijke doeleinden. Het verzamelen van materiaal ten behoeve van een stamboom, en het maken van de stamboom zelf mag dus zonder toestemming van de personen die erin staan gebeuren. Echter, op het moment dat de stamboom wordt gepubliceerd, bijvoorbeeld op Internet, is er niet langer sprake van "persoonlijke doeleinden". De bovengenoemde regels gelden dan. Echter, de WBP gaat formeel gesproken over gegevens die herleidbaar zijn tot natuurlijke personen. Volgens de wet is een overledene geen natuurlijk persoon (meer). Derhalve is de WBP niet van toepassing op overleden personen. Houd er echter wel rekening mee dat bijvoorbeeld de partner of kinderen van de overledene gemakkelijk te achterhalen zijn wanneer er voldoende informatie over de overledene zelf wordt gepubliceerd. Daarmee vormt die informatie een persoonsgegeven van die partner of kinderen. De WBP kan dus soms toch van toepassing zijn. Gerelateerde artikelen Anonimiteit en privacy op het internet Cameratoezicht, filmen en fotograferen van mensen Filesharing (P2P) en privacy Persoonsgegevens op Internet Categorieën Privacy Zie ook Anonimiteit en privacy op het Internet Elektronisch briefgeheim: de stand van zaken Wat weten ze allemaal over mij? De Wet Bescherming Persoonsgegevens is de belangrijkste wet over persoonsgegevens, informatie zoals naam en adres. Verwerking van persoonsgegevens mag alleen als de betrokkene geďnformeerd is over wat er met de gegevens gebeurt. Er zijn uitzonderingen voor bijvoorbeeld mailinglijsten, forums of privé-netwerken. Door ICT-jurist Arnoud Engelfriet (blog, contact). Er bestaat in Nederland geen algemene "wet op de privacy". Er zijn diverse wetten die elk een bepaald aspect van de privacy in Nederland regelen. De belangrijkste en bekendste wet is de Wet Bescherming Persoonsgegevens. De Wet Bescherming Persoonsgegevens regelt onder welke voorwaarden persoonsgegevens verwerkt mogen worden. Persoonsgegevens zijn alle gegevens die herleidbaar zijn tot een bepaald individu. Omdat bijvoorbeeld een e-mailadres ook een persoonsgegeven is, heeft deze wet ook de nodige implicaties voor Internet-aanbieders en -gebruikers. Zo is het publiceren van e-mailadressen op een website niet zomaar toegestaan. Maar ook bijvoorbeeld de familiestamboom mag niet zomaar op Internet. Inhoudsopgave De Wet Bescherming Persoonsgegevens De regels bij verwerking van persoonsgegevens Het College Bescherming Persoonsgegevens Spam E-mail adressen verzamelen Stamboom-onderzoek De Wet Bescherming Persoonsgegevens In 2000 werd de Wet Bescherming Persoonsgegevens (WBP) aangenomen als gevolg van Europese privacy- richtlijn nr. 95/46/EG. Deze wet is de opvolger van de oudere Wet Persoonsregistratie (WPR). De WBP bevat regels voor de "geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen." Persoonsgegevens Persoonsgegevens zijn alle gegevens waarmee een bepaald individu ge�dentificeerd kan worden. Het bekendste voorbeeld zijn naam- en adresgegevens. Ook e-mailadressen en bijvoorbeeld MSN-accounts worden gezien als persoonsgegevens. Maar ook gegevens die een waardering over een bepaalde persoon inhouden, bijvoorbeeld iemands IQ, kunnen persoonsgegevens zijn wanneer te achterhalen is welke persoon dit IQ heeft. Op Internet is bijvoorbeeld het IP-adres een persoonsgegeven. Een IP-adres is, samen met een datum en tijd van gebruik van dat adres, te herleiden tot een persoon. Je hebt daar de hulp van een provider bij nodig, maar het kan. Zie ook Foto's en het portretrecht Ook iemands foto is een persoonsgegeven. De geportretteerde is er tenslotte aan te herkennen. Bovendien is aan een foto te zien welk ras iemand is, en of deze persoon man of vrouw is. Volgens de letter van de wet is een foto dan ook een bijzonder persoonsgegeven, waardoor er voor verwerking van foto's extra strenge regels gelden. Verwerking van persoonsgegevens Verwerking wil zeggen "elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens." De wet geeft als voorbeelden het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens. De regels bij verwerking van persoonsgegevens De betrokkene moet voor elke verwerking van persoonsgegevens zijn toestemming hebben gegeven. Ook heeft hij het recht de informatie die over hem is opgeslagen, te corrigeren of te laten verwijderen. Organisaties die persoonsgegevens verwerken, moeten uitleggen hoe zij dat doen. Voorafgaande toestemming Persoonsgegevens mogen alleen worden verwerkt in overeenstemming met de regels van de WBP. De belangrijkste regel is dat de betreffende persoon zijn toestemming moet hebben gegeven voor de verwerking. Worden gegevens gevraagd aan die persoon zelf, dan moet deze vooraf ge�nformeerd worden over opname in het bestand. Een registratie-formulier op een website moet dus voorzien zijn van een dergelijke waarschuwing. Ook bij persoonsgegevens die uit andere bronnen worden verzameld, moet de betreffende persoon worden ge�nformeerd bij het moment van opname of uiterlijk net voor het moment van verstrekking aan derden. Dit hoeft niet als de betreffende persoon al wist dat zijn gegevens opgenomen zouden worden. Het is dus niet toegestaan om e-mailadressen van mensen die reageren op je website te verzamelen om ze massaal e-mail te sturen, want het maken van een dergelijke verzendlijst is een vorm van verwerking. Het bedrijf Hotmail mag haar klanten echter wel massaal e-mail sturen, want de klanten hebben hiervoor in de algemene voorwaarden toestemming verleend. Het is altijd de taak van de organisatie die de gegevens verwerkt om de betreffende persoon hierover te informeren. Ook mogen persoonsgegevens alleen worden verwerkt in overeenstemming met de doeleinden waarvoor ze zijn verkregen. Het abonneebestand voor een Internet-nieuwsbrief mag dus worden gebruikt om die nieuwsbrief rond te sturen, maar het mag niet worden verkocht aan een ander bedrijf voor bijvoorbeeld een reclame mailing. Informatieplicht Alle organisaties die persoonsgegevens gebruiken, hebben een informatieplicht. Dit betekent dat zij de personen op wie de gegevens betrekking hebben, moeten laten weten wat zij met hun gegevens gaan doen. Dit hoeft niet wanneer het vanzelfsprekend is (bijvoorbeeld bij het invullen van een registratie-formulier bij een online forum) of wanneer het zeer tijdrovend is om het adres van de betrokkene te achterhalen. Correctierecht Daarnaast hebben personen die in een bestand zijn opgenomen het recht om hun geregistreerde gegevens in te zien. Ook kunnen zij eisen dat hun gegevens verbeterd, aangevuld, verwijderd of afgeschermd worden. Dat mag wanneer de gegevens die gebruikt worden door de verantwoordelijke feitelijk onjuist, onvolledig of niet ter zake dienend zijn voor het doel of de doeleinden van de verwerking. Een wanbetaler kan echter niet verwijdering van zijn persoonsgegevens eisen bij de debiteurenadministratie van een bedrijf. Vrijstellingen De WBP eist dat registraties worden aangemeld. Voor een aantal soorten registraties geeft de wet een vrijstelling. Voorbeelden hiervan zijn personeelsadministraties, boekhoudingen, administraties van afnemers en leveranciers, ledenadministraties, abonnementadministraties en administraties van (oud-)leerlingen. Wel worden er in dergelijke gevallen beperkingen gesteld aan de informatie die dan mag worden geregistreerd. Het CBP heeft een Handreiking Vrijstellingsbesluit gepubliceerd met daarin uitleg over de belangrijkste vrijstellingen. Om er een paar te noemen: Abonnementen: uitgevers van publicaties (ook elektronische) hoeven de administratie van persoonsgegevens van hun abonnees niet aan te melden. Ze mogen niet meer bijhouden dan voor het leveren van de publicaties of het innen van het abonnementsgeld nodig is. Wetenschappelijk onderzoek en statistiek: wie onderzoek doet en daarbij persoonsgegevens gebruikt, hoeft zijn databank niet aan te melden. Alleen de hoogst noodzakelijke naam- en adresgegevens mogen worden bijgehouden. Gegevens mogen niet aan derden worden gegeven, behalve met toestemming of als doorgifte noodzakelijk is voor het onderzoek. Doorgifte voor ander onderzoek mag alleen als het gegarandeerd is dat de gegevens nergens anders voor gebruikt kunnen worden. Communicatiebestanden: verwerking van voor communicatie benodigde persoonsgegevens hoeft niet te worden aangemeld. De beheerder van een mailinglijst of forum hoeft zijn abonneebestand of lijst met leden dus niet aan te melden. Hij mag echter geen 'bijzondere persoonsgegevens' (b.v. godsdienst, gezondheid of politieke voorkeuren) opslaan. De databank mag ook niet voor andere doeleinden worden gebruikt zonder toestemming van de betrokkenen. De beheerder van een forum mag gegevens van zijn leden dus niet aan adverteerders geven. Netwerksystemen: wie een privé-netwerk beheert, mag gegevens bijhouden over gebruikers om het netwerk goed te laten werken, voor de veiligheid en interne controle en onderhoud en beheer. Hieronder vallen zaken zoals 'loggen' wat gebruikers doen, welke ingaande en uitgaande communicatie ze verrichten (maar niet de inhoud daarvan) of het vastleggen waar ze wel en niet bij mogen. Gebruikers moeten hierover wel worden geďnformeerd. Dit geldt niet voor Internet-aanbieders en andere beheerders van openbare telecommunicatienetwerken! Deze moeten hun databank gewoon aanmelden. Het College Bescherming Persoonsgegevens Toezicht op de naleving van de WBP is in handen van het College Bescherming Persoonsgegevens (CBP), voorheen Registratiekamer. Het CBP adviseert de regering over de bescherming van persoonsgegevens, voert onderzoeken uit, toetst gedragscodes en privacyreglementen en behandelt vragen en klachten. Het CBP is bevoegd om boetes uit te delen aan organisaties die de WBP overtreden. De registraties van bestanden met persoonsgegevens moeten worden aangemeld bij het CBP. Spam Zie ook Spam nu eindelijk verboden Het rondsturen van ongevraagde commerci�le e-mail, in het jargon 'spam' geheten, mag in principe alleen als de geadresseerden hun toestemming hebben verleend voor opname in het bestand van de zender. Wie de letterlijke tekst van de WBP er bij pakt, zou kunnen concluderen dat deze toestemming vooraf moet worden verleend, en dat vrijwel alle 'spam' in Nederland onrechtmatig is. rechtszaak tussen tussen XS4All en direct marketingbureau Ab.Fab besliste de Hoge Raad dat Ab.Fab geen spam mocht sturen naar XS4All-klanten. XS4ALL heeft als Internet-provider exclusieve rechten op haar computercapaciteit, haar transmissiecapaciteit en haar klantenbestand, en mag anderen de toegang daartoe weigeren. De nieuwe Europese richtlijn 2002/58/EG, die uiterlijk 31 oktober 2003 een Nederlandse wet moet worden, brengt hopelijk meer duidelijkheid. Artikel 13 van deze richtlijn zegt dat e-mail met het oog op direct marketing alleen is toegestaan met betrekking tot abonnees die daarin vooraf hebben toegestemd. E-mail adressen verzamelen Een veelvoorkomende praktijk op Internet is het verzamelen van e-mailadressen van bijvoorbeeld websites om een bestand op te bouwen, met name voor direct marketing doeleinden. Ook dit lijkt in strijd zijn met de WBP. Het leeghalen van andermans e-mailgids werd in december 2002 verboden omdat de betreffende e-mail gids in haar algemene voorwaarden dit verbood. Stamboom-onderzoek Steeds meer mensen, waaronder ook de auteur van dit artikel, publiceren hun stamboom op Internet. De WBP maakt een uitzondering voor verwerking van persoonsgegevens voor uitsluitend persoonlijke doeleinden. Het verzamelen van materiaal ten behoeve van een stamboom, en het maken van de stamboom zelf mag dus zonder toestemming van de personen die erin staan gebeuren. Echter, op het moment dat de stamboom wordt gepubliceerd, bijvoorbeeld op Internet, is er niet langer sprake van "persoonlijke doeleinden". De bovengenoemde regels gelden dan. Echter, de WBP gaat formeel gesproken over gegevens die herleidbaar zijn tot natuurlijke personen. Volgens de wet is een overledene geen natuurlijk persoon (meer). Derhalve is de WBP niet van toepassing op overleden personen. Houd er echter wel rekening mee dat bijvoorbeeld de partner of kinderen van de overledene gemakkelijk te achterhalen zijn wanneer er voldoende informatie over de overledene zelf wordt gepubliceerd. Daarmee vormt die informatie een persoonsgegeven van die partner of kinderen. De WBP kan dus soms toch van toepassing zijn. Gerelateerde artikelen Anonimiteit en privacy op het internet Cameratoezicht, filmen en fotograferen van mensen Filesharing (P2P) en privacy Persoonsgegevens op Internet Categorieën Privacy Zie ook Anonimiteit en privacy op het Internet Elektronisch briefgeheim: de stand van zaken Wat weten ze allemaal over mij? De Wet Bescherming Persoonsgegevens is de belangrijkste wet over persoonsgegevens, informatie zoals naam en adres. Verwerking van persoonsgegevens mag alleen als de betrokkene geďnformeerd is over wat er met de gegevens gebeurt. Er zijn uitzonderingen voor bijvoorbeeld mailinglijsten, forums of privé-netwerken. Door ICT-jurist Arnoud Engelfriet (blog, contact). Er bestaat in Nederland geen algemene "wet op de privacy". Er zijn diverse wetten die elk een bepaald aspect van de privacy in Nederland regelen. De belangrijkste en bekendste wet is de Wet Bescherming Persoonsgegevens. De Wet Bescherming Persoonsgegevens regelt onder welke voorwaarden persoonsgegevens verwerkt mogen worden. Persoonsgegevens zijn alle gegevens die herleidbaar zijn tot een bepaald individu. Omdat bijvoorbeeld een e-mailadres ook een persoonsgegeven is, heeft deze wet ook de nodige implicaties voor Internet-aanbieders en -gebruikers. Zo is het publiceren van e-mailadressen op een website niet zomaar toegestaan. Maar ook bijvoorbeeld de familiestamboom mag niet zomaar op Internet. Inhoudsopgave De Wet Bescherming Persoonsgegevens De regels bij verwerking van persoonsgegevens Het College Bescherming Persoonsgegevens Spam E-mail adressen verzamelen Stamboom-onderzoek De Wet Bescherming Persoonsgegevens In 2000 werd de Wet Bescherming Persoonsgegevens (WBP) aangenomen als gevolg van Europese privacy- richtlijn nr. 95/46/EG. Deze wet is de opvolger van de oudere Wet Persoonsregistratie (WPR). De WBP bevat regels voor de "geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen." Persoonsgegevens Persoonsgegevens zijn alle gegevens waarmee een bepaald individu ge�dentificeerd kan worden. Het bekendste voorbeeld zijn naam- en adresgegevens. Ook e-mailadressen en bijvoorbeeld MSN-accounts worden gezien als persoonsgegevens. Maar ook gegevens die een waardering over een bepaalde persoon inhouden, bijvoorbeeld iemands IQ, kunnen persoonsgegevens zijn wanneer te achterhalen is welke persoon dit IQ heeft. Op Internet is bijvoorbeeld het IP-adres een persoonsgegeven. Een IP-adres is, samen met een datum en tijd van gebruik van dat adres, te herleiden tot een persoon. Je hebt daar de hulp van een provider bij nodig, maar het kan. Zie ook Foto's en het portretrecht Ook iemands foto is een persoonsgegeven. De geportretteerde is er tenslotte aan te herkennen. Bovendien is aan een foto te zien welk ras iemand is, en of deze persoon man of vrouw is. Volgens de letter van de wet is een foto dan ook een bijzonder persoonsgegeven, waardoor er voor verwerking van foto's extra strenge regels gelden. Verwerking van persoonsgegevens Verwerking wil zeggen "elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens." De wet geeft als voorbeelden het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens. De regels bij verwerking van persoonsgegevens De betrokkene moet voor elke verwerking van persoonsgegevens zijn toestemming hebben gegeven. Ook heeft hij het recht de informatie die over hem is opgeslagen, te corrigeren of te laten verwijderen. Organisaties die persoonsgegevens verwerken, moeten uitleggen hoe zij dat doen. Voorafgaande toestemming Persoonsgegevens mogen alleen worden verwerkt in overeenstemming met de regels van de WBP. De belangrijkste regel is dat de betreffende persoon zijn toestemming moet hebben gegeven voor de verwerking. Worden gegevens gevraagd aan die persoon zelf, dan moet deze vooraf ge�nformeerd worden over opname in het bestand. Een registratie-formulier op een website moet dus voorzien zijn van een dergelijke waarschuwing. Ook bij persoonsgegevens die uit andere bronnen worden verzameld, moet de betreffende persoon worden ge�nformeerd bij het moment van opname of uiterlijk net voor het moment van verstrekking aan derden. Dit hoeft niet als de betreffende persoon al wist dat zijn gegevens opgenomen zouden worden. Het is dus niet toegestaan om e-mailadressen van mensen die reageren op je website te verzamelen om ze massaal e-mail te sturen, want het maken van een dergelijke verzendlijst is een vorm van verwerking. Het bedrijf Hotmail mag haar klanten echter wel massaal e-mail sturen, want de klanten hebben hiervoor in de algemene voorwaarden toestemming verleend. Het is altijd de taak van de organisatie die de gegevens verwerkt om de betreffende persoon hierover te informeren. Ook mogen persoonsgegevens alleen worden verwerkt in overeenstemming met de doeleinden waarvoor ze zijn verkregen. Het abonneebestand voor een Internet-nieuwsbrief mag dus worden gebruikt om die nieuwsbrief rond te sturen, maar het mag niet worden verkocht aan een ander bedrijf voor bijvoorbeeld een reclame mailing. Informatieplicht Alle organisaties die persoonsgegevens gebruiken, hebben een informatieplicht. Dit betekent dat zij de personen op wie de gegevens betrekking hebben, moeten laten weten wat zij met hun gegevens gaan doen. Dit hoeft niet wanneer het vanzelfsprekend is (bijvoorbeeld bij het invullen van een registratie-formulier bij een online forum) of wanneer het zeer tijdrovend is om het adres van de betrokkene te achterhalen. Correctierecht Daarnaast hebben personen die in een bestand zijn opgenomen het recht om hun geregistreerde gegevens in te zien. Ook kunnen zij eisen dat hun gegevens verbeterd, aangevuld, verwijderd of afgeschermd worden. Dat mag wanneer de gegevens die gebruikt worden door de verantwoordelijke feitelijk onjuist, onvolledig of niet ter zake dienend zijn voor het doel of de doeleinden van de verwerking. Een wanbetaler kan echter niet verwijdering van zijn persoonsgegevens eisen bij de debiteurenadministratie van een bedrijf. Vrijstellingen De WBP eist dat registraties worden aangemeld. Voor een aantal soorten registraties geeft de wet een vrijstelling. Voorbeelden hiervan zijn personeelsadministraties, boekhoudingen, administraties van afnemers en leveranciers, ledenadministraties, abonnementadministraties en administraties van (oud-)leerlingen. Wel worden er in dergelijke gevallen beperkingen gesteld aan de informatie die dan mag worden geregistreerd. Het CBP heeft een Handreiking Vrijstellingsbesluit gepubliceerd met daarin uitleg over de belangrijkste vrijstellingen. Om er een paar te noemen: Abonnementen: uitgevers van publicaties (ook elektronische) hoeven de administratie van persoonsgegevens van hun abonnees niet aan te melden. Ze mogen niet meer bijhouden dan voor het leveren van de publicaties of het innen van het abonnementsgeld nodig is. Wetenschappelijk onderzoek en statistiek: wie onderzoek doet en daarbij persoonsgegevens gebruikt, hoeft zijn databank niet aan te melden. Alleen de hoogst noodzakelijke naam- en adresgegevens mogen worden bijgehouden. Gegevens mogen niet aan derden worden gegeven, behalve met toestemming of als doorgifte noodzakelijk is voor het onderzoek. Doorgifte voor ander onderzoek mag alleen als het gegarandeerd is dat de gegevens nergens anders voor gebruikt kunnen worden. Communicatiebestanden: verwerking van voor communicatie benodigde persoonsgegevens hoeft niet te worden aangemeld. De beheerder van een mailinglijst of forum hoeft zijn abonneebestand of lijst met leden dus niet aan te melden. Hij mag echter geen 'bijzondere persoonsgegevens' (b.v. godsdienst, gezondheid of politieke voorkeuren) opslaan. De databank mag ook niet voor andere doeleinden worden gebruikt zonder toestemming van de betrokkenen. De beheerder van een forum mag gegevens van zijn leden dus niet aan adverteerders geven. Netwerksystemen: wie een privé-netwerk beheert, mag gegevens bijhouden over gebruikers om het netwerk goed te laten werken, voor de veiligheid en interne controle en onderhoud en beheer. Hieronder vallen zaken zoals 'loggen' wat gebruikers doen, welke ingaande en uitgaande communicatie ze verrichten (maar niet de inhoud daarvan) of het vastleggen waar ze wel en niet bij mogen. Gebruikers moeten hierover wel worden geďnformeerd. Dit geldt niet voor Internet-aanbieders en andere beheerders van openbare telecommunicatienetwerken! Deze moeten hun databank gewoon aanmelden. Het College Bescherming Persoonsgegevens Toezicht op de naleving van de WBP is in handen van het College Bescherming Persoonsgegevens (CBP), voorheen Registratiekamer. Het CBP adviseert de regering over de bescherming van persoonsgegevens, voert onderzoeken uit, toetst gedragscodes en privacyreglementen en behandelt vragen en klachten. Het CBP is bevoegd om boetes uit te delen aan organisaties die de WBP overtreden. De registraties van bestanden met persoonsgegevens moeten worden aangemeld bij het CBP. Spam Zie ook Spam nu eindelijk verboden Het rondsturen van ongevraagde commerci�le e-mail, in het jargon 'spam' geheten, mag in principe alleen als de geadresseerden hun toestemming hebben verleend voor opname in het bestand van de zender. Wie de letterlijke tekst van de WBP er bij pakt, zou kunnen concluderen dat deze toestemming vooraf moet worden verleend, en dat vrijwel alle 'spam' in Nederland onrechtmatig is. rechtszaak tussen tussen XS4All en direct marketingbureau Ab.Fab besliste de Hoge Raad dat Ab.Fab geen spam mocht sturen naar XS4All-klanten. XS4ALL heeft als Internet-provider exclusieve rechten op haar computercapaciteit, haar transmissiecapaciteit en haar klantenbestand, en mag anderen de toegang daartoe weigeren. De nieuwe Europese richtlijn 2002/58/EG, die uiterlijk 31 oktober 2003 een Nederlandse wet moet worden, brengt hopelijk meer duidelijkheid. Artikel 13 van deze richtlijn zegt dat e-mail met het oog op direct marketing alleen is toegestaan met betrekking tot abonnees die daarin vooraf hebben toegestemd. E-mail adressen verzamelen Een veelvoorkomende praktijk op Internet is het verzamelen van e-mailadressen van bijvoorbeeld websites om een bestand op te bouwen, met name voor direct marketing doeleinden. Ook dit lijkt in strijd zijn met de WBP. Het leeghalen van andermans e-mailgids werd in december 2002 verboden omdat de betreffende e-mail gids in haar algemene voorwaarden dit verbood. Stamboom-onderzoek Steeds meer mensen, waaronder ook de auteur van dit artikel, publiceren hun stamboom op Internet. De WBP maakt een uitzondering voor verwerking van persoonsgegevens voor uitsluitend persoonlijke doeleinden. Het verzamelen van materiaal ten behoeve van een stamboom, en het maken van de stamboom zelf mag dus zonder toestemming van de personen die erin staan gebeuren. Echter, op het moment dat de stamboom wordt gepubliceerd, bijvoorbeeld op Internet, is er niet langer sprake van "persoonlijke doeleinden". De bovengenoemde regels gelden dan. Echter, de WBP gaat formeel gesproken over gegevens die herleidbaar zijn tot natuurlijke personen. Volgens de wet is een overledene geen natuurlijk persoon (meer). Derhalve is de WBP niet van toepassing op overleden personen. Houd er echter wel rekening mee dat bijvoorbeeld de partner of kinderen van de overledene gemakkelijk te achterhalen zijn wanneer er voldoende informatie over de overledene zelf wordt gepubliceerd. Daarmee vormt die informatie een persoonsgegeven van die partner of kinderen. De WBP kan dus soms toch van toepassing zijn. Gerelateerde artikelen Anonimiteit en privacy op het internet Cameratoezicht, filmen en fotograferen van mensen Filesharing (P2P) en privacy Persoonsgegevens op Internet Categorieën Privacy Zie ook Anonimiteit en privacy op het Internet Elektronisch briefgeheim: de stand van zaken Wat weten ze allemaal over mij? De Wet Bescherming Persoonsgegevens is de belangrijkste wet over persoonsgegevens, informatie zoals naam en adres. Verwerking van persoonsgegevens mag alleen als de betrokkene geďnformeerd is over wat er met de gegevens gebeurt. Er zijn uitzonderingen voor bijvoorbeeld mailinglijsten, forums of privé-netwerken. Door ICT-jurist Arnoud Engelfriet (blog, contact). Er bestaat in Nederland geen algemene "wet op de privacy". Er zijn diverse wetten die elk een bepaald aspect van de privacy in Nederland regelen. De belangrijkste en bekendste wet is de Wet Bescherming Persoonsgegevens. De Wet Bescherming Persoonsgegevens regelt onder welke voorwaarden persoonsgegevens verwerkt mogen worden. Persoonsgegevens zijn alle gegevens die herleidbaar zijn tot een bepaald individu. Omdat bijvoorbeeld een e-mailadres ook een persoonsgegeven is, heeft deze wet ook de nodige implicaties voor Internet-aanbieders en -gebruikers. Zo is het publiceren van e-mailadressen op een website niet zomaar toegestaan. Maar ook bijvoorbeeld de familiestamboom mag niet zomaar op Internet. Inhoudsopgave De Wet Bescherming Persoonsgegevens De regels bij verwerking van persoonsgegevens Het College Bescherming Persoonsgegevens Spam E-mail adressen verzamelen Stamboom-onderzoek De Wet Bescherming Persoonsgegevens In 2000 werd de Wet Bescherming Persoonsgegevens (WBP) aangenomen als gevolg van Europese privacy- richtlijn nr. 95/46/EG. Deze wet is de opvolger van de oudere Wet Persoonsregistratie (WPR). De WBP bevat regels voor de "geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen." Persoonsgegevens Persoonsgegevens zijn alle gegevens waarmee een bepaald individu ge�dentificeerd kan worden. Het bekendste voorbeeld zijn naam- en adresgegevens. Ook e-mailadressen en bijvoorbeeld MSN-accounts worden gezien als persoonsgegevens. Maar ook gegevens die een waardering over een bepaalde persoon inhouden, bijvoorbeeld iemands IQ, kunnen persoonsgegevens zijn wanneer te achterhalen is welke persoon dit IQ heeft. Op Internet is bijvoorbeeld het IP-adres een persoonsgegeven. Een IP-adres is, samen met een datum en tijd van gebruik van dat adres, te herleiden tot een persoon. Je hebt daar de hulp van een provider bij nodig, maar het kan. Zie ook Foto's en het portretrecht Ook iemands foto is een persoonsgegeven. De geportretteerde is er tenslotte aan te herkennen. Bovendien is aan een foto te zien welk ras iemand is, en of deze persoon man of vrouw is. Volgens de letter van de wet is een foto dan ook een bijzonder persoonsgegeven, waardoor er voor verwerking van foto's extra strenge regels gelden. Verwerking van persoonsgegevens Verwerking wil zeggen "elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens." De wet geeft als voorbeelden het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens. De regels bij verwerking van persoonsgegevens De betrokkene moet voor elke verwerking van persoonsgegevens zijn toestemming hebben gegeven. Ook heeft hij het recht de informatie die over hem is opgeslagen, te corrigeren of te laten verwijderen. Organisaties die persoonsgegevens verwerken, moeten uitleggen hoe zij dat doen. Voorafgaande toestemming Persoonsgegevens mogen alleen worden verwerkt in overeenstemming met de regels van de WBP. De belangrijkste regel is dat de betreffende persoon zijn toestemming moet hebben gegeven voor de verwerking. Worden gegevens gevraagd aan die persoon zelf, dan moet deze vooraf ge�nformeerd worden over opname in het bestand. Een registratie-formulier op een website moet dus voorzien zijn van een dergelijke waarschuwing. Ook bij persoonsgegevens die uit andere bronnen worden verzameld, moet de betreffende persoon worden ge�nformeerd bij het moment van opname of uiterlijk net voor het moment van verstrekking aan derden. Dit hoeft niet als de betreffende persoon al wist dat zijn gegevens opgenomen zouden worden. Het is dus niet toegestaan om e-mailadressen van mensen die reageren op je website te verzamelen om ze massaal e-mail te sturen, want het maken van een dergelijke verzendlijst is een vorm van verwerking. Het bedrijf Hotmail mag haar klanten echter wel massaal e-mail sturen, want de klanten hebben hiervoor in de algemene voorwaarden toestemming verleend. Het is altijd de taak van de organisatie die de gegevens verwerkt om de betreffende persoon hierover te informeren. Ook mogen persoonsgegevens alleen worden verwerkt in overeenstemming met de doeleinden waarvoor ze zijn verkregen. Het abonneebestand voor een Internet-nieuwsbrief mag dus worden gebruikt om die nieuwsbrief rond te sturen, maar het mag niet worden verkocht aan een ander bedrijf voor bijvoorbeeld een reclame mailing. Informatieplicht Alle organisaties die persoonsgegevens gebruiken, hebben een informatieplicht. Dit betekent dat zij de personen op wie de gegevens betrekking hebben, moeten laten weten wat zij met hun gegevens gaan doen. Dit hoeft niet wanneer het vanzelfsprekend is (bijvoorbeeld bij het invullen van een registratie-formulier bij een online forum) of wanneer het zeer tijdrovend is om het adres van de betrokkene te achterhalen. Correctierecht Daarnaast hebben personen die in een bestand zijn opgenomen het recht om hun geregistreerde gegevens in te zien. Ook kunnen zij eisen dat hun gegevens verbeterd, aangevuld, verwijderd of afgeschermd worden. Dat mag wanneer de gegevens die gebruikt worden door de verantwoordelijke feitelijk onjuist, onvolledig of niet ter zake dienend zijn voor het doel of de doeleinden van de verwerking. Een wanbetaler kan echter niet verwijdering van zijn persoonsgegevens eisen bij de debiteurenadministratie van een bedrijf. Vrijstellingen De WBP eist dat registraties worden aangemeld. Voor een aantal soorten registraties geeft de wet een vrijstelling. Voorbeelden hiervan zijn personeelsadministraties, boekhoudingen, administraties van afnemers en leveranciers, ledenadministraties, abonnementadministraties en administraties van (oud-)leerlingen. Wel worden er in dergelijke gevallen beperkingen gesteld aan de informatie die dan mag worden geregistreerd. Het CBP heeft een Handreiking Vrijstellingsbesluit gepubliceerd met daarin uitleg over de belangrijkste vrijstellingen. Om er een paar te noemen: Abonnementen: uitgevers van publicaties (ook elektronische) hoeven de administratie van persoonsgegevens van hun abonnees niet aan te melden. Ze mogen niet meer bijhouden dan voor het leveren van de publicaties of het innen van het abonnementsgeld nodig is. Wetenschappelijk onderzoek en statistiek: wie onderzoek doet en daarbij persoonsgegevens gebruikt, hoeft zijn databank niet aan te melden. Alleen de hoogst noodzakelijke naam- en adresgegevens mogen worden bijgehouden. Gegevens mogen niet aan derden worden gegeven, behalve met toestemming of als doorgifte noodzakelijk is voor het onderzoek. Doorgifte voor ander onderzoek mag alleen als het gegarandeerd is dat de gegevens nergens anders voor gebruikt kunnen worden. Communicatiebestanden: verwerking van voor communicatie benodigde persoonsgegevens hoeft niet te worden aangemeld. De beheerder van een mailinglijst of forum hoeft zijn abonneebestand of lijst met leden dus niet aan te melden. Hij mag echter geen 'bijzondere persoonsgegevens' (b.v. godsdienst, gezondheid of politieke voorkeuren) opslaan. De databank mag ook niet voor andere doeleinden worden gebruikt zonder toestemming van de betrokkenen. De beheerder van een forum mag gegevens van zijn leden dus niet aan adverteerders geven. Netwerksystemen: wie een privé-netwerk beheert, mag gegevens bijhouden over gebruikers om het netwerk goed te laten werken, voor de veiligheid en interne controle en onderhoud en beheer. Hieronder vallen zaken zoals 'loggen' wat gebruikers doen, welke ingaande en uitgaande communicatie ze verrichten (maar niet de inhoud daarvan) of het vastleggen waar ze wel en niet bij mogen. Gebruikers moeten hierover wel worden geďnformeerd. Dit geldt niet voor Internet-aanbieders en andere beheerders van openbare telecommunicatienetwerken! Deze moeten hun databank gewoon aanmelden. Het College Bescherming Persoonsgegevens Toezicht op de naleving van de WBP is in handen van het College Bescherming Persoonsgegevens (CBP), voorheen Registratiekamer. Het CBP adviseert de regering over de bescherming van persoonsgegevens, voert onderzoeken uit, toetst gedragscodes en privacyreglementen en behandelt vragen en klachten. Het CBP is bevoegd om boetes uit te delen aan organisaties die de WBP overtreden. De registraties van bestanden met persoonsgegevens moeten worden aangemeld bij het CBP. Spam Zie ook Spam nu eindelijk verboden Het rondsturen van ongevraagde commerci�le e-mail, in het jargon 'spam' geheten, mag in principe alleen als de geadresseerden hun toestemming hebben verleend voor opname in het bestand van de zender. Wie de letterlijke tekst van de WBP er bij pakt, zou kunnen concluderen dat deze toestemming vooraf moet worden verleend, en dat vrijwel alle 'spam' in Nederland onrechtmatig is. rechtszaak tussen tussen XS4All en direct marketingbureau Ab.Fab besliste de Hoge Raad dat Ab.Fab geen spam mocht sturen naar XS4All-klanten. XS4ALL heeft als Internet-provider exclusieve rechten op haar computercapaciteit, haar transmissiecapaciteit en haar klantenbestand, en mag anderen de toegang daartoe weigeren. De nieuwe Europese richtlijn 2002/58/EG, die uiterlijk 31 oktober 2003 een Nederlandse wet moet worden, brengt hopelijk meer duidelijkheid. Artikel 13 van deze richtlijn zegt dat e-mail met het oog op direct marketing alleen is toegestaan met betrekking tot abonnees die daarin vooraf hebben toegestemd. E-mail adressen verzamelen Een veelvoorkomende praktijk op Internet is het verzamelen van e-mailadressen van bijvoorbeeld websites om een bestand op te bouwen, met name voor direct marketing doeleinden. Ook dit lijkt in strijd zijn met de WBP. Het leeghalen van andermans e-mailgids werd in december 2002 verboden omdat de betreffende e-mail gids in haar algemene voorwaarden dit verbood. Stamboom-onderzoek Steeds meer mensen, waaronder ook de auteur van dit artikel, publiceren hun stamboom op Internet. De WBP maakt een uitzondering voor verwerking van persoonsgegevens voor uitsluitend persoonlijke doeleinden. Het verzamelen van materiaal ten behoeve van een stamboom, en het maken van de stamboom zelf mag dus zonder toestemming van de personen die erin staan gebeuren. Echter, op het moment dat de stamboom wordt gepubliceerd, bijvoorbeeld op Internet, is er niet langer sprake van "persoonlijke doeleinden". De bovengenoemde regels gelden dan. Echter, de WBP gaat formeel gesproken over gegevens die herleidbaar zijn tot natuurlijke personen. Volgens de wet is een overledene geen natuurlijk persoon (meer). Derhalve is de WBP niet van toepassing op overleden personen. Houd er echter wel rekening mee dat bijvoorbeeld de partner of kinderen van de overledene gemakkelijk te achterhalen zijn wanneer er voldoende informatie over de overledene zelf wordt gepubliceerd. Daarmee vormt die informatie een persoonsgegeven van die partner of kinderen. De WBP kan dus soms toch van toepassing zijn. Gerelateerde artikelen Anonimiteit en privacy op het internet Cameratoezicht, filmen en fotograferen van mensen Filesharing (P2P) en privacy Persoonsgegevens op Internet Categorieën Privacy Zie ook Anonimiteit en privacy op het Internet Elektronisch briefgeheim: de stand van zaken Wat weten ze allemaal over mij? De Wet Bescherming Persoonsgegevens is de belangrijkste wet over persoonsgegevens, informatie zoals naam en adres. Verwerking van persoonsgegevens mag alleen als de betrokkene geďnformeerd is over wat er met de gegevens gebeurt. Er zijn uitzonderingen voor bijvoorbeeld mailinglijsten, forums of privé-netwerken. Door ICT-jurist Arnoud Engelfriet (blog, contact). Er bestaat in Nederland geen algemene "wet op de privacy". Er zijn diverse wetten die elk een bepaald aspect van de privacy in Nederland regelen. De belangrijkste en bekendste wet is de Wet Bescherming Persoonsgegevens. De Wet Bescherming Persoonsgegevens regelt onder welke voorwaarden persoonsgegevens verwerkt mogen worden. Persoonsgegevens zijn alle gegevens die herleidbaar zijn tot een bepaald individu. Omdat bijvoorbeeld een e-mailadres ook een persoonsgegeven is, heeft deze wet ook de nodige implicaties voor Internet-aanbieders en -gebruikers. Zo is het publiceren van e-mailadressen op een website niet zomaar toegestaan. Maar ook bijvoorbeeld de familiestamboom mag niet zomaar op Internet. Inhoudsopgave De Wet Bescherming Persoonsgegevens De regels bij verwerking van persoonsgegevens Het College Bescherming Persoonsgegevens Spam E-mail adressen verzamelen Stamboom-onderzoek De Wet Bescherming Persoonsgegevens In 2000 werd de Wet Bescherming Persoonsgegevens (WBP) aangenomen als gevolg van Europese privacy- richtlijn nr. 95/46/EG. Deze wet is de opvolger van de oudere Wet Persoonsregistratie (WPR). De WBP bevat regels voor de "geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen." Persoonsgegevens Persoonsgegevens zijn alle gegevens waarmee een bepaald individu ge�dentificeerd kan worden. Het bekendste voorbeeld zijn naam- en adresgegevens. Ook e-mailadressen en bijvoorbeeld MSN-accounts worden gezien als persoonsgegevens. Maar ook gegevens die een waardering over een bepaalde persoon inhouden, bijvoorbeeld iemands IQ, kunnen persoonsgegevens zijn wanneer te achterhalen is welke persoon dit IQ heeft. Op Internet is bijvoorbeeld het IP-adres een persoonsgegeven. Een IP-adres is, samen met een datum en tijd van gebruik van dat adres, te herleiden tot een persoon. Je hebt daar de hulp van een provider bij nodig, maar het kan. Zie ook Foto's en het portretrecht Ook iemands foto is een persoonsgegeven. De geportretteerde is er tenslotte aan te herkennen. Bovendien is aan een foto te zien welk ras iemand is, en of deze persoon man of vrouw is. Volgens de letter van de wet is een foto dan ook een bijzonder persoonsgegeven, waardoor er voor verwerking van foto's extra strenge regels gelden. Verwerking van persoonsgegevens Verwerking wil zeggen "elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens." De wet geeft als voorbeelden het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens. De regels bij verwerking van persoonsgegevens De betrokkene moet voor elke verwerking van persoonsgegevens zijn toestemming hebben gegeven. Ook heeft hij het recht de informatie die over hem is opgeslagen, te corrigeren of te laten verwijderen. Organisaties die persoonsgegevens verwerken, moeten uitleggen hoe zij dat doen. Voorafgaande toestemming Persoonsgegevens mogen alleen worden verwerkt in overeenstemming met de regels van de WBP. De belangrijkste regel is dat de betreffende persoon zijn toestemming moet hebben gegeven voor de verwerking. Worden gegevens gevraagd aan die persoon zelf, dan moet deze vooraf ge�nformeerd worden over opname in het bestand. Een registratie-formulier op een website moet dus voorzien zijn van een dergelijke waarschuwing. Ook bij persoonsgegevens die uit andere bronnen worden verzameld, moet de betreffende persoon worden ge�nformeerd bij het moment van opname of uiterlijk net voor het moment van verstrekking aan derden. Dit hoeft niet als de betreffende persoon al wist dat zijn gegevens opgenomen zouden worden. Het is dus niet toegestaan om e-mailadressen van mensen die reageren op je website te verzamelen om ze massaal e-mail te sturen, want het maken van een dergelijke verzendlijst is een vorm van verwerking. Het bedrijf Hotmail mag haar klanten echter wel massaal e-mail sturen, want de klanten hebben hiervoor in de algemene voorwaarden toestemming verleend. Het is altijd de taak van de organisatie die de gegevens verwerkt om de betreffende persoon hierover te informeren. Ook mogen persoonsgegevens alleen worden verwerkt in overeenstemming met de doeleinden waarvoor ze zijn verkregen. Het abonneebestand voor een Internet-nieuwsbrief mag dus worden gebruikt om die nieuwsbrief rond te sturen, maar het mag niet worden verkocht aan een ander bedrijf voor bijvoorbeeld een reclame mailing. Informatieplicht Alle organisaties die persoonsgegevens gebruiken, hebben een informatieplicht. Dit betekent dat zij de personen op wie de gegevens betrekking hebben, moeten laten weten wat zij met hun gegevens gaan doen. Dit hoeft niet wanneer het vanzelfsprekend is (bijvoorbeeld bij het invullen van een registratie-formulier bij een online forum) of wanneer het zeer tijdrovend is om het adres van de betrokkene te achterhalen. Correctierecht Daarnaast hebben personen die in een bestand zijn opgenomen het recht om hun geregistreerde gegevens in te zien. Ook kunnen zij eisen dat hun gegevens verbeterd, aangevuld, verwijderd of afgeschermd worden. Dat mag wanneer de gegevens die gebruikt worden door de verantwoordelijke feitelijk onjuist, onvolledig of niet ter zake dienend zijn voor het doel of de doeleinden van de verwerking. Een wanbetaler kan echter niet verwijdering van zijn persoonsgegevens eisen bij de debiteurenadministratie van een bedrijf. Vrijstellingen De WBP eist dat registraties worden aangemeld. Voor een aantal soorten registraties geeft de wet een vrijstelling. Voorbeelden hiervan zijn personeelsadministraties, boekhoudingen, administraties van afnemers en leveranciers, ledenadministraties, abonnementadministraties en administraties van (oud-)leerlingen. Wel worden er in dergelijke gevallen beperkingen gesteld aan de informatie die dan mag worden geregistreerd. Het CBP heeft een Handreiking Vrijstellingsbesluit gepubliceerd met daarin uitleg over de belangrijkste vrijstellingen. Om er een paar te noemen: Abonnementen: uitgevers van publicaties (ook elektronische) hoeven de administratie van persoonsgegevens van hun abonnees niet aan te melden. Ze mogen niet meer bijhouden dan voor het leveren van de publicaties of het innen van het abonnementsgeld nodig is. Wetenschappelijk onderzoek en statistiek: wie onderzoek doet en daarbij persoonsgegevens gebruikt, hoeft zijn databank niet aan te melden. Alleen de hoogst noodzakelijke naam- en adresgegevens mogen worden bijgehouden. Gegevens mogen niet aan derden worden gegeven, behalve met toestemming of als doorgifte noodzakelijk is voor het onderzoek. Doorgifte voor ander onderzoek mag alleen als het gegarandeerd is dat de gegevens nergens anders voor gebruikt kunnen worden. Communicatiebestanden: verwerking van voor communicatie benodigde persoonsgegevens hoeft niet te worden aangemeld. De beheerder van een mailinglijst of forum hoeft zijn abonneebestand of lijst met leden dus niet aan te melden. Hij mag echter geen 'bijzondere persoonsgegevens' (b.v. godsdienst, gezondheid of politieke voorkeuren) opslaan. De databank mag ook niet voor andere doeleinden worden gebruikt zonder toestemming van de betrokkenen. De beheerder van een forum mag gegevens van zijn leden dus niet aan adverteerders geven. Netwerksystemen: wie een privé-netwerk beheert, mag gegevens bijhouden over gebruikers om het netwerk goed te laten werken, voor de veiligheid en interne controle en onderhoud en beheer. Hieronder vallen zaken zoals 'loggen' wat gebruikers doen, welke ingaande en uitgaande communicatie ze verrichten (maar niet de inhoud daarvan) of het vastleggen waar ze wel en niet bij mogen. Gebruikers moeten hierover wel worden geďnformeerd. Dit geldt niet voor Internet-aanbieders en andere beheerders van openbare telecommunicatienetwerken! Deze moeten hun databank gewoon aanmelden. Het College Bescherming Persoonsgegevens Toezicht op de naleving van de WBP is in handen van het College Bescherming Persoonsgegevens (CBP), voorheen Registratiekamer. Het CBP adviseert de regering over de bescherming van persoonsgegevens, voert onderzoeken uit, toetst gedragscodes en privacyreglementen en behandelt vragen en klachten. Het CBP is bevoegd om boetes uit te delen aan organisaties die de WBP overtreden. De registraties van bestanden met persoonsgegevens moeten worden aangemeld bij het CBP. Spam Zie ook Spam nu eindelijk verboden Het rondsturen van ongevraagde commerci�le e-mail, in het jargon 'spam' geheten, mag in principe alleen als de geadresseerden hun toestemming hebben verleend voor opname in het bestand van de zender. Wie de letterlijke tekst van de WBP er bij pakt, zou kunnen concluderen dat deze toestemming vooraf moet worden verleend, en dat vrijwel alle 'spam' in Nederland onrechtmatig is. rechtszaak tussen tussen XS4All en direct marketingbureau Ab.Fab besliste de Hoge Raad dat Ab.Fab geen spam mocht sturen naar XS4All-klanten. XS4ALL heeft als Internet-provider exclusieve rechten op haar computercapaciteit, haar transmissiecapaciteit en haar klantenbestand, en mag anderen de toegang daartoe weigeren. De nieuwe Europese richtlijn 2002/58/EG, die uiterlijk 31 oktober 2003 een Nederlandse wet moet worden, brengt hopelijk meer duidelijkheid. Artikel 13 van deze richtlijn zegt dat e-mail met het oog op direct marketing alleen is toegestaan met betrekking tot abonnees die daarin vooraf hebben toegestemd. E-mail adressen verzamelen Een veelvoorkomende praktijk op Internet is het verzamelen van e-mailadressen van bijvoorbeeld websites om een bestand op te bouwen, met name voor direct marketing doeleinden. Ook dit lijkt in strijd zijn met de WBP. Het leeghalen van andermans e-mailgids werd in december 2002 verboden omdat de betreffende e-mail gids in haar algemene voorwaarden dit verbood. Stamboom-onderzoek Steeds meer mensen, waaronder ook de auteur van dit artikel, publiceren hun stamboom op Internet. De WBP maakt een uitzondering voor verwerking van persoonsgegevens voor uitsluitend persoonlijke doeleinden. Het verzamelen van materiaal ten behoeve van een stamboom, en het maken van de stamboom zelf mag dus zonder toestemming van de personen die erin staan gebeuren. Echter, op het moment dat de stamboom wordt gepubliceerd, bijvoorbeeld op Internet, is er niet langer sprake van "persoonlijke doeleinden". De bovengenoemde regels gelden dan. Echter, de WBP gaat formeel gesproken over gegevens die herleidbaar zijn tot natuurlijke personen. Volgens de wet is een overledene geen natuurlijk persoon (meer). Derhalve is de WBP niet van toepassing op overleden personen. Houd er echter wel rekening mee dat bijvoorbeeld de partner of kinderen van de overledene gemakkelijk te achterhalen zijn wanneer er voldoende informatie over de overledene zelf wordt gepubliceerd. Daarmee vormt die informatie een persoonsgegeven van die partner of kinderen. De WBP kan dus soms toch van toepassing zijn. Gerelateerde artikelen Anonimiteit en privacy op het internet Cameratoezicht, filmen en fotograferen van mensen Filesharing (P2P) en privacy Persoonsgegevens op Internet Categorieën Privacy Zie ook Anonimiteit en privacy op het Internet Elektronisch briefgeheim: de stand van zaken Wat weten ze allemaal over mij? De Wet Bescherming Persoonsgegevens is de belangrijkste wet over persoonsgegevens, informatie zoals naam en adres. Verwerking van persoonsgegevens mag alleen als de betrokkene geďnformeerd is over wat er met de gegevens gebeurt. Er zijn uitzonderingen voor bijvoorbeeld mailinglijsten, forums of privé-netwerken. Door ICT-jurist Arnoud Engelfriet (blog, contact). Er bestaat in Nederland geen algemene "wet op de privacy". Er zijn diverse wetten die elk een bepaald aspect van de privacy in Nederland regelen. De belangrijkste en bekendste wet is de Wet Bescherming Persoonsgegevens. De Wet Bescherming Persoonsgegevens regelt onder welke voorwaarden persoonsgegevens verwerkt mogen worden. Persoonsgegevens zijn alle gegevens die herleidbaar zijn tot een bepaald individu. Omdat bijvoorbeeld een e-mailadres ook een persoonsgegeven is, heeft deze wet ook de nodige implicaties voor Internet-aanbieders en -gebruikers. Zo is het publiceren van e-mailadressen op een website niet zomaar toegestaan. Maar ook bijvoorbeeld de familiestamboom mag niet zomaar op Internet. Inhoudsopgave De Wet Bescherming Persoonsgegevens De regels bij verwerking van persoonsgegevens Het College Bescherming Persoonsgegevens Spam E-mail adressen verzamelen Stamboom-onderzoek De Wet Bescherming Persoonsgegevens In 2000 werd de Wet Bescherming Persoonsgegevens (WBP) aangenomen als gevolg van Europese privacy- richtlijn nr. 95/46/EG. Deze wet is de opvolger van de oudere Wet Persoonsregistratie (WPR). De WBP bevat regels voor de "geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen." Persoonsgegevens Persoonsgegevens zijn alle gegevens waarmee een bepaald individu ge�dentificeerd kan worden. Het bekendste voorbeeld zijn naam- en adresgegevens. Ook e-mailadressen en bijvoorbeeld MSN-accounts worden gezien als persoonsgegevens. Maar ook gegevens die een waardering over een bepaalde persoon inhouden, bijvoorbeeld iemands IQ, kunnen persoonsgegevens zijn wanneer te achterhalen is welke persoon dit IQ heeft. Op Internet is bijvoorbeeld het IP-adres een persoonsgegeven. Een IP-adres is, samen met een datum en tijd van gebruik van dat adres, te herleiden tot een persoon. Je hebt daar de hulp van een provider bij nodig, maar het kan. Zie ook Foto's en het portretrecht Ook iemands foto is een persoonsgegeven. De geportretteerde is er tenslotte aan te herkennen. Bovendien is aan een foto te zien welk ras iemand is, en of deze persoon man of vrouw is. Volgens de letter van de wet is een foto dan ook een bijzonder persoonsgegeven, waardoor er voor verwerking van foto's extra strenge regels gelden. Verwerking van persoonsgegevens Verwerking wil zeggen "elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens." De wet geeft als voorbeelden het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens. De regels bij verwerking van persoonsgegevens De betrokkene moet voor elke verwerking van persoonsgegevens zijn toestemming hebben gegeven. Ook heeft hij het recht de informatie die over hem is opgeslagen, te corrigeren of te laten verwijderen. Organisaties die persoonsgegevens verwerken, moeten uitleggen hoe zij dat doen. Voorafgaande toestemming Persoonsgegevens mogen alleen worden verwerkt in overeenstemming met de regels van de WBP. De belangrijkste regel is dat de betreffende persoon zijn toestemming moet hebben gegeven voor de verwerking. Worden gegevens gevraagd aan die persoon zelf, dan moet deze vooraf ge�nformeerd worden over opname in het bestand. Een registratie-formulier op een website moet dus voorzien zijn van een dergelijke waarschuwing. Ook bij persoonsgegevens die uit andere bronnen worden verzameld, moet de betreffende persoon worden ge�nformeerd bij het moment van opname of uiterlijk net voor het moment van verstrekking aan derden. Dit hoeft niet als de betreffende persoon al wist dat zijn gegevens opgenomen zouden worden. Het is dus niet toegestaan om e-mailadressen van mensen die reageren op je website te verzamelen om ze massaal e-mail te sturen, want het maken van een dergelijke verzendlijst is een vorm van verwerking. Het bedrijf Hotmail mag haar klanten echter wel massaal e-mail sturen, want de klanten hebben hiervoor in de algemene voorwaarden toestemming verleend. Het is altijd de taak van de organisatie die de gegevens verwerkt om de betreffende persoon hierover te informeren. Ook mogen persoonsgegevens alleen worden verwerkt in overeenstemming met de doeleinden waarvoor ze zijn verkregen. Het abonneebestand voor een Internet-nieuwsbrief mag dus worden gebruikt om die nieuwsbrief rond te sturen, maar het mag niet worden verkocht aan een ander bedrijf voor bijvoorbeeld een reclame mailing. Informatieplicht Alle organisaties die persoonsgegevens gebruiken, hebben een informatieplicht. Dit betekent dat zij de personen op wie de gegevens betrekking hebben, moeten laten weten wat zij met hun gegevens gaan doen. Dit hoeft niet wanneer het vanzelfsprekend is (bijvoorbeeld bij het invullen van een registratie-formulier bij een online forum) of wanneer het zeer tijdrovend is om het adres van de betrokkene te achterhalen. Correctierecht Daarnaast hebben personen die in een bestand zijn opgenomen het recht om hun geregistreerde gegevens in te zien. Ook kunnen zij eisen dat hun gegevens verbeterd, aangevuld, verwijderd of afgeschermd worden. Dat mag wanneer de gegevens die gebruikt worden door de verantwoordelijke feitelijk onjuist, onvolledig of niet ter zake dienend zijn voor het doel of de doeleinden van de verwerking. Een wanbetaler kan echter niet verwijdering van zijn persoonsgegevens eisen bij de debiteurenadministratie van een bedrijf. Vrijstellingen De WBP eist dat registraties worden aangemeld. Voor een aantal soorten registraties geeft de wet een vrijstelling. Voorbeelden hiervan zijn personeelsadministraties, boekhoudingen, administraties van afnemers en leveranciers, ledenadministraties, abonnementadministraties en administraties van (oud-)leerlingen. Wel worden er in dergelijke gevallen beperkingen gesteld aan de informatie die dan mag worden geregistreerd. Het CBP heeft een Handreiking Vrijstellingsbesluit gepubliceerd met daarin uitleg over de belangrijkste vrijstellingen. Om er een paar te noemen: Abonnementen: uitgevers van publicaties (ook elektronische) hoeven de administratie van persoonsgegevens van hun abonnees niet aan te melden. Ze mogen niet meer bijhouden dan voor het leveren van de publicaties of het innen van het abonnementsgeld nodig is. Wetenschappelijk onderzoek en statistiek: wie onderzoek doet en daarbij persoonsgegevens gebruikt, hoeft zijn databank niet aan te melden. Alleen de hoogst noodzakelijke naam- en adresgegevens mogen worden bijgehouden. Gegevens mogen niet aan derden worden gegeven, behalve met toestemming of als doorgifte noodzakelijk is voor het onderzoek. Doorgifte voor ander onderzoek mag alleen als het gegarandeerd is dat de gegevens nergens anders voor gebruikt kunnen worden. Communicatiebestanden: verwerking van voor communicatie benodigde persoonsgegevens hoeft niet te worden aangemeld. De beheerder van een mailinglijst of forum hoeft zijn abonneebestand of lijst met leden dus niet aan te melden. Hij mag echter geen 'bijzondere persoonsgegevens' (b.v. godsdienst, gezondheid of politieke voorkeuren) opslaan. De databank mag ook niet voor andere doeleinden worden gebruikt zonder toestemming van de betrokkenen. De beheerder van een forum mag gegevens van zijn leden dus niet aan adverteerders geven. Netwerksystemen: wie een privé-netwerk beheert, mag gegevens bijhouden over gebruikers om het netwerk goed te laten werken, voor de veiligheid en interne controle en onderhoud en beheer. Hieronder vallen zaken zoals 'loggen' wat gebruikers doen, welke ingaande en uitgaande communicatie ze verrichten (maar niet de inhoud daarvan) of het vastleggen waar ze wel en niet bij mogen. Gebruikers moeten hierover wel worden geďnformeerd. Dit geldt niet voor Internet-aanbieders en andere beheerders van openbare telecommunicatienetwerken! Deze moeten hun databank gewoon aanmelden. Het College Bescherming Persoonsgegevens Toezicht op de naleving van de WBP is in handen van het College Bescherming Persoonsgegevens (CBP), voorheen Registratiekamer. Het CBP adviseert de regering over de bescherming van persoonsgegevens, voert onderzoeken uit, toetst gedragscodes en privacyreglementen en behandelt vragen en klachten. Het CBP is bevoegd om boetes uit te delen aan organisaties die de WBP overtreden. De registraties van bestanden met persoonsgegevens moeten worden aangemeld bij het CBP. Spam Zie ook Spam nu eindelijk verboden Het rondsturen van ongevraagde commerci�le e-mail, in het jargon 'spam' geheten, mag in principe alleen als de geadresseerden hun toestemming hebben verleend voor opname in het bestand van de zender. Wie de letterlijke tekst van de WBP er bij pakt, zou kunnen concluderen dat deze toestemming vooraf moet worden verleend, en dat vrijwel alle 'spam' in Nederland onrechtmatig is. rechtszaak tussen tussen XS4All en direct marketingbureau Ab.Fab besliste de Hoge Raad dat Ab.Fab geen spam mocht sturen naar XS4All-klanten. XS4ALL heeft als Internet-provider exclusieve rechten op haar computercapaciteit, haar transmissiecapaciteit en haar klantenbestand, en mag anderen de toegang daartoe weigeren. De nieuwe Europese richtlijn 2002/58/EG, die uiterlijk 31 oktober 2003 een Nederlandse wet moet worden, brengt hopelijk meer duidelijkheid. Artikel 13 van deze richtlijn zegt dat e-mail met het oog op direct marketing alleen is toegestaan met betrekking tot abonnees die daarin vooraf hebben toegestemd. E-mail adressen verzamelen Een veelvoorkomende praktijk op Internet is het verzamelen van e-mailadressen van bijvoorbeeld websites om een bestand op te bouwen, met name voor direct marketing doeleinden. Ook dit lijkt in strijd zijn met de WBP. Het leeghalen van andermans e-mailgids werd in december 2002 verboden omdat de betreffende e-mail gids in haar algemene voorwaarden dit verbood. Stamboom-onderzoek Steeds meer mensen, waaronder ook de auteur van dit artikel, publiceren hun stamboom op Internet. De WBP maakt een uitzondering voor verwerking van persoonsgegevens voor uitsluitend persoonlijke doeleinden. Het verzamelen van materiaal ten behoeve van een stamboom, en het maken van de stamboom zelf mag dus zonder toestemming van de personen die erin staan gebeuren. Echter, op het moment dat de stamboom wordt gepubliceerd, bijvoorbeeld op Internet, is er niet langer sprake van "persoonlijke doeleinden". De bovengenoemde regels gelden dan. Echter, de WBP gaat formeel gesproken over gegevens die herleidbaar zijn tot natuurlijke personen. Volgens de wet is een overledene geen natuurlijk persoon (meer). Derhalve is de WBP niet van toepassing op overleden personen. Houd er echter wel rekening mee dat bijvoorbeeld de partner of kinderen van de overledene gemakkelijk te achterhalen zijn wanneer er voldoende informatie over de overledene zelf wordt gepubliceerd. Daarmee vormt die informatie een persoonsgegeven van die partner of kinderen. De WBP kan dus soms toch van toepassing zijn. Gerelateerde artikelen Anonimiteit en privacy op het internet Cameratoezicht, filmen en fotograferen van mensen Filesharing (P2P) en privacy Persoonsgegevens op Internet Categorieën Privacy Zie ook Anonimiteit en privacy op het Internet Elektronisch briefgeheim: de stand van zaken Wat weten ze allemaal over mij? De Wet Bescherming Persoonsgegevens is de belangrijkste wet over persoonsgegevens, informatie zoals naam en adres. Verwerking van persoonsgegevens mag alleen als de betrokkene geďnformeerd is over wat er met de gegevens gebeurt. Er zijn uitzonderingen voor bijvoorbeeld mailinglijsten, forums of privé-netwerken. Door ICT-jurist Arnoud Engelfriet (blog, contact). Er bestaat in Nederland geen algemene "wet op de privacy". Er zijn diverse wetten die elk een bepaald aspect van de privacy in Nederland regelen. De belangrijkste en bekendste wet is de Wet Bescherming Persoonsgegevens. De Wet Bescherming Persoonsgegevens regelt onder welke voorwaarden persoonsgegevens verwerkt mogen worden. Persoonsgegevens zijn alle gegevens die herleidbaar zijn tot een bepaald individu. Omdat bijvoorbeeld een e-mailadres ook een persoonsgegeven is, heeft deze wet ook de nodige implicaties voor Internet-aanbieders en -gebruikers. Zo is het publiceren van e-mailadressen op een website niet zomaar toegestaan. Maar ook bijvoorbeeld de familiestamboom mag niet zomaar op Internet. Inhoudsopgave De Wet Bescherming Persoonsgegevens De regels bij verwerking van persoonsgegevens Het College Bescherming Persoonsgegevens Spam E-mail adressen verzamelen Stamboom-onderzoek De Wet Bescherming Persoonsgegevens In 2000 werd de Wet Bescherming Persoonsgegevens (WBP) aangenomen als gevolg van Europese privacy- richtlijn nr. 95/46/EG. Deze wet is de opvolger van de oudere Wet Persoonsregistratie (WPR). De WBP bevat regels voor de "geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen." Persoonsgegevens Persoonsgegevens zijn alle gegevens waarmee een bepaald individu ge�dentificeerd kan worden. Het bekendste voorbeeld zijn naam- en adresgegevens. Ook e-mailadressen en bijvoorbeeld MSN-accounts worden gezien als persoonsgegevens. Maar ook gegevens die een waardering over een bepaalde persoon inhouden, bijvoorbeeld iemands IQ, kunnen persoonsgegevens zijn wanneer te achterhalen is welke persoon dit IQ heeft. Op Internet is bijvoorbeeld het IP-adres een persoonsgegeven. Een IP-adres is, samen met een datum en tijd van gebruik van dat adres, te herleiden tot een persoon. Je hebt daar de hulp van een provider bij nodig, maar het kan. Zie ook Foto's en het portretrecht Ook iemands foto is een persoonsgegeven. De geportretteerde is er tenslotte aan te herkennen. Bovendien is aan een foto te zien welk ras iemand is, en of deze persoon man of vrouw is. Volgens de letter van de wet is een foto dan ook een bijzonder persoonsgegeven, waardoor er voor verwerking van foto's extra strenge regels gelden. Verwerking van persoonsgegevens Verwerking wil zeggen "elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens." De wet geeft als voorbeelden het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens. De regels bij verwerking van persoonsgegevens De betrokkene moet voor elke verwerking van persoonsgegevens zijn toestemming hebben gegeven. Ook heeft hij het recht de informatie die over hem is opgeslagen, te corrigeren of te laten verwijderen. Organisaties die persoonsgegevens verwerken, moeten uitleggen hoe zij dat doen. Voorafgaande toestemming Persoonsgegevens mogen alleen worden verwerkt in overeenstemming met de regels van de WBP. De belangrijkste regel is dat de betreffende persoon zijn toestemming moet hebben gegeven voor de verwerking. Worden gegevens gevraagd aan die persoon zelf, dan moet deze vooraf ge�nformeerd worden over opname in het bestand. Een registratie-formulier op een website moet dus voorzien zijn van een dergelijke waarschuwing. Ook bij persoonsgegevens die uit andere bronnen worden verzameld, moet de betreffende persoon worden ge�nformeerd bij het moment van opname of uiterlijk net voor het moment van verstrekking aan derden. Dit hoeft niet als de betreffende persoon al wist dat zijn gegevens opgenomen zouden worden. Het is dus niet toegestaan om e-mailadressen van mensen die reageren op je website te verzamelen om ze massaal e-mail te sturen, want het maken van een dergelijke verzendlijst is een vorm van verwerking. Het bedrijf Hotmail mag haar klanten echter wel massaal e-mail sturen, want de klanten hebben hiervoor in de algemene voorwaarden toestemming verleend. Het is altijd de taak van de organisatie die de gegevens verwerkt om de betreffende persoon hierover te informeren. Ook mogen persoonsgegevens alleen worden verwerkt in overeenstemming met de doeleinden waarvoor ze zijn verkregen. Het abonneebestand voor een Internet-nieuwsbrief mag dus worden gebruikt om die nieuwsbrief rond te sturen, maar het mag niet worden verkocht aan een ander bedrijf voor bijvoorbeeld een reclame mailing. Informatieplicht Alle organisaties die persoonsgegevens gebruiken, hebben een informatieplicht. Dit betekent dat zij de personen op wie de gegevens betrekking hebben, moeten laten weten wat zij met hun gegevens gaan doen. Dit hoeft niet wanneer het vanzelfsprekend is (bijvoorbeeld bij het invullen van een registratie-formulier bij een online forum) of wanneer het zeer tijdrovend is om het adres van de betrokkene te achterhalen. Correctierecht Daarnaast hebben personen die in een bestand zijn opgenomen het recht om hun geregistreerde gegevens in te zien. Ook kunnen zij eisen dat hun gegevens verbeterd, aangevuld, verwijderd of afgeschermd worden. Dat mag wanneer de gegevens die gebruikt worden door de verantwoordelijke feitelijk onjuist, onvolledig of niet ter zake dienend zijn voor het doel of de doeleinden van de verwerking. Een wanbetaler kan echter niet verwijdering van zijn persoonsgegevens eisen bij de debiteurenadministratie van een bedrijf. Vrijstellingen De WBP eist dat registraties worden aangemeld. Voor een aantal soorten registraties geeft de wet een vrijstelling. Voorbeelden hiervan zijn personeelsadministraties, boekhoudingen, administraties van afnemers en leveranciers, ledenadministraties, abonnementadministraties en administraties van (oud-)leerlingen. Wel worden er in dergelijke gevallen beperkingen gesteld aan de informatie die dan mag worden geregistreerd. Het CBP heeft een Handreiking Vrijstellingsbesluit gepubliceerd met daarin uitleg over de belangrijkste vrijstellingen. Om er een paar te noemen: Abonnementen: uitgevers van publicaties (ook elektronische) hoeven de administratie van persoonsgegevens van hun abonnees niet aan te melden. Ze mogen niet meer bijhouden dan voor het leveren van de publicaties of het innen van het abonnementsgeld nodig is. Wetenschappelijk onderzoek en statistiek: wie onderzoek doet en daarbij persoonsgegevens gebruikt, hoeft zijn databank niet aan te melden. Alleen de hoogst noodzakelijke naam- en adresgegevens mogen worden bijgehouden. Gegevens mogen niet aan derden worden gegeven, behalve met toestemming of als doorgifte noodzakelijk is voor het onderzoek. Doorgifte voor ander onderzoek mag alleen als het gegarandeerd is dat de gegevens nergens anders voor gebruikt kunnen worden. Communicatiebestanden: verwerking van voor communicatie benodigde persoonsgegevens hoeft niet te worden aangemeld. De beheerder van een mailinglijst of forum hoeft zijn abonneebestand of lijst met leden dus niet aan te melden. Hij mag echter geen 'bijzondere persoonsgegevens' (b.v. godsdienst, gezondheid of politieke voorkeuren) opslaan. De databank mag ook niet voor andere doeleinden worden gebruikt zonder toestemming van de betrokkenen. De beheerder van een forum mag gegevens van zijn leden dus niet aan adverteerders geven. Netwerksystemen: wie een privé-netwerk beheert, mag gegevens bijhouden over gebruikers om het netwerk goed te laten werken, voor de veiligheid en interne controle en onderhoud en beheer. Hieronder vallen zaken zoals 'loggen' wat gebruikers doen, welke ingaande en uitgaande communicatie ze verrichten (maar niet de inhoud daarvan) of het vastleggen waar ze wel en niet bij mogen. Gebruikers moeten hierover wel worden geďnformeerd. Dit geldt niet voor Internet-aanbieders en andere beheerders van openbare telecommunicatienetwerken! Deze moeten hun databank gewoon aanmelden. Het College Bescherming Persoonsgegevens Toezicht op de naleving van de WBP is in handen van het College Bescherming Persoonsgegevens (CBP), voorheen Registratiekamer. Het CBP adviseert de regering over de bescherming van persoonsgegevens, voert onderzoeken uit, toetst gedragscodes en privacyreglementen en behandelt vragen en klachten. Het CBP is bevoegd om boetes uit te delen aan organisaties die de WBP overtreden. De registraties van bestanden met persoonsgegevens moeten worden aangemeld bij het CBP. Spam Zie ook Spam nu eindelijk verboden Het rondsturen van ongevraagde commerci�le e-mail, in het jargon 'spam' geheten, mag in principe alleen als de geadresseerden hun toestemming hebben verleend voor opname in het bestand van de zender. Wie de letterlijke tekst van de WBP er bij pakt, zou kunnen concluderen dat deze toestemming vooraf moet worden verleend, en dat vrijwel alle 'spam' in Nederland onrechtmatig is. rechtszaak tussen tussen XS4All en direct marketingbureau Ab.Fab besliste de Hoge Raad dat Ab.Fab geen spam mocht sturen naar XS4All-klanten. XS4ALL heeft als Internet-provider exclusieve rechten op haar computercapaciteit, haar transmissiecapaciteit en haar klantenbestand, en mag anderen de toegang daartoe weigeren. De nieuwe Europese richtlijn 2002/58/EG, die uiterlijk 31 oktober 2003 een Nederlandse wet moet worden, brengt hopelijk meer duidelijkheid. Artikel 13 van deze richtlijn zegt dat e-mail met het oog op direct marketing alleen is toegestaan met betrekking tot abonnees die daarin vooraf hebben toegestemd. E-mail adressen verzamelen Een veelvoorkomende praktijk op Internet is het verzamelen van e-mailadressen van bijvoorbeeld websites om een bestand op te bouwen, met name voor direct marketing doeleinden. Ook dit lijkt in strijd zijn met de WBP. Het leeghalen van andermans e-mailgids werd in december 2002 verboden omdat de betreffende e-mail gids in haar algemene voorwaarden dit verbood. Stamboom-onderzoek Steeds meer mensen, waaronder ook de auteur van dit artikel, publiceren hun stamboom op Internet. De WBP maakt een uitzondering voor verwerking van persoonsgegevens voor uitsluitend persoonlijke doeleinden. Het verzamelen van materiaal ten behoeve van een stamboom, en het maken van de stamboom zelf mag dus zonder toestemming van de personen die erin staan gebeuren. Echter, op het moment dat de stamboom wordt gepubliceerd, bijvoorbeeld op Internet, is er niet langer sprake van "persoonlijke doeleinden". De bovengenoemde regels gelden dan. Echter, de WBP gaat formeel gesproken over gegevens die herleidbaar zijn tot natuurlijke personen. Volgens de wet is een overledene geen natuurlijk persoon (meer). Derhalve is de WBP niet van toepassing op overleden personen. Houd er echter wel rekening mee dat bijvoorbeeld de partner of kinderen van de overledene gemakkelijk te achterhalen zijn wanneer er voldoende informatie over de overledene zelf wordt gepubliceerd. Daarmee vormt die informatie een persoonsgegeven van die partner of kinderen. De WBP kan dus soms toch van toepassing zijn. Gerelateerde artikelen Anonimiteit en privacy op het internet Cameratoezicht, filmen en fotograferen van mensen Filesharing (P2P) en privacy Persoonsgegevens op Internet Categorieën Privacy Zie ook Anonimiteit en privacy op het Internet Elektronisch briefgeheim: de stand van zaken Wat weten ze allemaal over mij? De Wet Bescherming Persoonsgegevens is de belangrijkste wet over persoonsgegevens, informatie zoals naam en adres. Verwerking van persoonsgegevens mag alleen als de betrokkene geďnformeerd is over wat er met de gegevens gebeurt. Er zijn uitzonderingen voor bijvoorbeeld mailinglijsten, forums of privé-netwerken. Door ICT-jurist Arnoud Engelfriet (blog, contact). Er bestaat in Nederland geen algemene "wet op de privacy". Er zijn diverse wetten die elk een bepaald aspect van de privacy in Nederland regelen. De belangrijkste en bekendste wet is de Wet Bescherming Persoonsgegevens. De Wet Bescherming Persoonsgegevens regelt onder welke voorwaarden persoonsgegevens verwerkt mogen worden. Persoonsgegevens zijn alle gegevens die herleidbaar zijn tot een bepaald individu. Omdat bijvoorbeeld een e-mailadres ook een persoonsgegeven is, heeft deze wet ook de nodige implicaties voor Internet-aanbieders en -gebruikers. Zo is het publiceren van e-mailadressen op een website niet zomaar toegestaan. Maar ook bijvoorbeeld de familiestamboom mag niet zomaar op Internet. Inhoudsopgave De Wet Bescherming Persoonsgegevens De regels bij verwerking van persoonsgegevens Het College Bescherming Persoonsgegevens Spam E-mail adressen verzamelen Stamboom-onderzoek De Wet Bescherming Persoonsgegevens In 2000 werd de Wet Bescherming Persoonsgegevens (WBP) aangenomen als gevolg van Europese privacy- richtlijn nr. 95/46/EG. Deze wet is de opvolger van de oudere Wet Persoonsregistratie (WPR). De WBP bevat regels voor de "geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen." Persoonsgegevens Persoonsgegevens zijn alle gegevens waarmee een bepaald individu ge�dentificeerd kan worden. Het bekendste voorbeeld zijn naam- en adresgegevens. Ook e-mailadressen en bijvoorbeeld MSN-accounts worden gezien als persoonsgegevens. Maar ook gegevens die een waardering over een bepaalde persoon inhouden, bijvoorbeeld iemands IQ, kunnen persoonsgegevens zijn wanneer te achterhalen is welke persoon dit IQ heeft. Op Internet is bijvoorbeeld het IP-adres een persoonsgegeven. Een IP-adres is, samen met een datum en tijd van gebruik van dat adres, te herleiden tot een persoon. Je hebt daar de hulp van een provider bij nodig, maar het kan. Zie ook Foto's en het portretrecht Ook iemands foto is een persoonsgegeven. De geportretteerde is er tenslotte aan te herkennen. Bovendien is aan een foto te zien welk ras iemand is, en of deze persoon man of vrouw is. Volgens de letter van de wet is een foto dan ook een bijzonder persoonsgegeven, waardoor er voor verwerking van foto's extra strenge regels gelden. Verwerking van persoonsgegevens Verwerking wil zeggen "elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens." De wet geeft als voorbeelden het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens. De regels bij verwerking van persoonsgegevens De betrokkene moet voor elke verwerking van persoonsgegevens zijn toestemming hebben gegeven. Ook heeft hij het recht de informatie die over hem is opgeslagen, te corrigeren of te laten verwijderen. Organisaties die persoonsgegevens verwerken, moeten uitleggen hoe zij dat doen. Voorafgaande toestemming Persoonsgegevens mogen alleen worden verwerkt in overeenstemming met de regels van de WBP. De belangrijkste regel is dat de betreffende persoon zijn toestemming moet hebben gegeven voor de verwerking. Worden gegevens gevraagd aan die persoon zelf, dan moet deze vooraf ge�nformeerd worden over opname in het bestand. Een registratie-formulier op een website moet dus voorzien zijn van een dergelijke waarschuwing. Ook bij persoonsgegevens die uit andere bronnen worden verzameld, moet de betreffende persoon worden ge�nformeerd bij het moment van opname of uiterlijk net voor het moment van verstrekking aan derden. Dit hoeft niet als de betreffende persoon al wist dat zijn gegevens opgenomen zouden worden. Het is dus niet toegestaan om e-mailadressen van mensen die reageren op je website te verzamelen om ze massaal e-mail te sturen, want het maken van een dergelijke verzendlijst is een vorm van verwerking. Het bedrijf Hotmail mag haar klanten echter wel massaal e-mail sturen, want de klanten hebben hiervoor in de algemene voorwaarden toestemming verleend. Het is altijd de taak van de organisatie die de gegevens verwerkt om de betreffende persoon hierover te informeren. Ook mogen persoonsgegevens alleen worden verwerkt in overeenstemming met de doeleinden waarvoor ze zijn verkregen. Het abonneebestand voor een Internet-nieuwsbrief mag dus worden gebruikt om die nieuwsbrief rond te sturen, maar het mag niet worden verkocht aan een ander bedrijf voor bijvoorbeeld een reclame mailing. Informatieplicht Alle organisaties die persoonsgegevens gebruiken, hebben een informatieplicht. Dit betekent dat zij de personen op wie de gegevens betrekking hebben, moeten laten weten wat zij met hun gegevens gaan doen. Dit hoeft niet wanneer het vanzelfsprekend is (bijvoorbeeld bij het invullen van een registratie-formulier bij een online forum) of wanneer het zeer tijdrovend is om het adres van de betrokkene te achterhalen. Correctierecht Daarnaast hebben personen die in een bestand zijn opgenomen het recht om hun geregistreerde gegevens in te zien. Ook kunnen zij eisen dat hun gegevens verbeterd, aangevuld, verwijderd of afgeschermd worden. Dat mag wanneer de gegevens die gebruikt worden door de verantwoordelijke feitelijk onjuist, onvolledig of niet ter zake dienend zijn voor het doel of de doeleinden van de verwerking. Een wanbetaler kan echter niet verwijdering van zijn persoonsgegevens eisen bij de debiteurenadministratie van een bedrijf. Vrijstellingen De WBP eist dat registraties worden aangemeld. Voor een aantal soorten registraties geeft de wet een vrijstelling. Voorbeelden hiervan zijn personeelsadministraties, boekhoudingen, administraties van afnemers en leveranciers, ledenadministraties, abonnementadministraties en administraties van (oud-)leerlingen. Wel worden er in dergelijke gevallen beperkingen gesteld aan de informatie die dan mag worden geregistreerd. Het CBP heeft een Handreiking Vrijstellingsbesluit gepubliceerd met daarin uitleg over de belangrijkste vrijstellingen. Om er een paar te noemen: Abonnementen: uitgevers van publicaties (ook elektronische) hoeven de administratie van persoonsgegevens van hun abonnees niet aan te melden. Ze mogen niet meer bijhouden dan voor het leveren van de publicaties of het innen van het abonnementsgeld nodig is. Wetenschappelijk onderzoek en statistiek: wie onderzoek doet en daarbij persoonsgegevens gebruikt, hoeft zijn databank niet aan te melden. Alleen de hoogst noodzakelijke naam- en adresgegevens mogen worden bijgehouden. Gegevens mogen niet aan derden worden gegeven, behalve met toestemming of als doorgifte noodzakelijk is voor het onderzoek. Doorgifte voor ander onderzoek mag alleen als het gegarandeerd is dat de gegevens nergens anders voor gebruikt kunnen worden. Communicatiebestanden: verwerking van voor communicatie benodigde persoonsgegevens hoeft niet te worden aangemeld. De beheerder van een mailinglijst of forum hoeft zijn abonneebestand of lijst met leden dus niet aan te melden. Hij mag echter geen 'bijzondere persoonsgegevens' (b.v. godsdienst, gezondheid of politieke voorkeuren) opslaan. De databank mag ook niet voor andere doeleinden worden gebruikt zonder toestemming van de betrokkenen. De beheerder van een forum mag gegevens van zijn leden dus niet aan adverteerders geven. Netwerksystemen: wie een privé-netwerk beheert, mag gegevens bijhouden over gebruikers om het netwerk goed te laten werken, voor de veiligheid en interne controle en onderhoud en beheer. Hieronder vallen zaken zoals 'loggen' wat gebruikers doen, welke ingaande en uitgaande communicatie ze verrichten (maar niet de inhoud daarvan) of het vastleggen waar ze wel en niet bij mogen. Gebruikers moeten hierover wel worden geďnformeerd. Dit geldt niet voor Internet-aanbieders en andere beheerders van openbare telecommunicatienetwerken! Deze moeten hun databank gewoon aanmelden. Het College Bescherming Persoonsgegevens Toezicht op de naleving van de WBP is in handen van het College Bescherming Persoonsgegevens (CBP), voorheen Registratiekamer. Het CBP adviseert de regering over de bescherming van persoonsgegevens, voert onderzoeken uit, toetst gedragscodes en privacyreglementen en behandelt vragen en klachten. Het CBP is bevoegd om boetes uit te delen aan organisaties die de WBP overtreden. De registraties van bestanden met persoonsgegevens moeten worden aangemeld bij het CBP. Spam Zie ook Spam nu eindelijk verboden Het rondsturen van ongevraagde commerci�le e-mail, in het jargon 'spam' geheten, mag in principe alleen als de geadresseerden hun toestemming hebben verleend voor opname in het bestand van de zender. Wie de letterlijke tekst van de WBP er bij pakt, zou kunnen concluderen dat deze toestemming vooraf moet worden verleend, en dat vrijwel alle 'spam' in Nederland onrechtmatig is. rechtszaak tussen tussen XS4All en direct marketingbureau Ab.Fab besliste de Hoge Raad dat Ab.Fab geen spam mocht sturen naar XS4All-klanten. XS4ALL heeft als Internet-provider exclusieve rechten op haar computercapaciteit, haar transmissiecapaciteit en haar klantenbestand, en mag anderen de toegang daartoe weigeren. De nieuwe Europese richtlijn 2002/58/EG, die uiterlijk 31 oktober 2003 een Nederlandse wet moet worden, brengt hopelijk meer duidelijkheid. Artikel 13 van deze richtlijn zegt dat e-mail met het oog op direct marketing alleen is toegestaan met betrekking tot abonnees die daarin vooraf hebben toegestemd. E-mail adressen verzamelen Een veelvoorkomende praktijk op Internet is het verzamelen van e-mailadressen van bijvoorbeeld websites om een bestand op te bouwen, met name voor direct marketing doeleinden. Ook dit lijkt in strijd zijn met de WBP. Het leeghalen van andermans e-mailgids werd in december 2002 verboden omdat de betreffende e-mail gids in haar algemene voorwaarden dit verbood. Stamboom-onderzoek Steeds meer mensen, waaronder ook de auteur van dit artikel, publiceren hun stamboom op Internet. De WBP maakt een uitzondering voor verwerking van persoonsgegevens voor uitsluitend persoonlijke doeleinden. Het verzamelen van materiaal ten behoeve van een stamboom, en het maken van de stamboom zelf mag dus zonder toestemming van de personen die erin staan gebeuren. Echter, op het moment dat de stamboom wordt gepubliceerd, bijvoorbeeld op Internet, is er niet langer sprake van "persoonlijke doeleinden". De bovengenoemde regels gelden dan. Echter, de WBP gaat formeel gesproken over gegevens die herleidbaar zijn tot natuurlijke personen. Volgens de wet is een overledene geen natuurlijk persoon (meer). Derhalve is de WBP niet van toepassing op overleden personen. Houd er echter wel rekening mee dat bijvoorbeeld de partner of kinderen van de overledene gemakkelijk te achterhalen zijn wanneer er voldoende informatie over de overledene zelf wordt gepubliceerd. Daarmee vormt die informatie een persoonsgegeven van die partner of kinderen. De WBP kan dus soms toch van toepassing zijn. Gerelateerde artikelen Anonimiteit en privacy op het internet Cameratoezicht, filmen en fotograferen van mensen Filesharing (P2P) en privacy Persoonsgegevens op Internet Categorieën Privacy Zie ook Anonimiteit en privacy op het Internet Elektronisch briefgeheim: de stand van zaken Wat weten ze allemaal over mij? De Wet Bescherming Persoonsgegevens is de belangrijkste wet over persoonsgegevens, informatie zoals naam en adres. Verwerking van persoonsgegevens mag alleen als de betrokkene geďnformeerd is over wat er met de gegevens gebeurt. Er zijn uitzonderingen voor bijvoorbeeld mailinglijsten, forums of privé-netwerken. Door ICT-jurist Arnoud Engelfriet (blog, contact). Er bestaat in Nederland geen algemene "wet op de privacy". Er zijn diverse wetten die elk een bepaald aspect van de privacy in Nederland regelen. De belangrijkste en bekendste wet is de Wet Bescherming Persoonsgegevens. De Wet Bescherming Persoonsgegevens regelt onder welke voorwaarden persoonsgegevens verwerkt mogen worden. Persoonsgegevens zijn alle gegevens die herleidbaar zijn tot een bepaald individu. Omdat bijvoorbeeld een e-mailadres ook een persoonsgegeven is, heeft deze wet ook de nodige implicaties voor Internet-aanbieders en -gebruikers. Zo is het publiceren van e-mailadressen op een website niet zomaar toegestaan. Maar ook bijvoorbeeld de familiestamboom mag niet zomaar op Internet. Inhoudsopgave De Wet Bescherming Persoonsgegevens De regels bij verwerking van persoonsgegevens Het College Bescherming Persoonsgegevens Spam E-mail adressen verzamelen Stamboom-onderzoek De Wet Bescherming Persoonsgegevens In 2000 werd de Wet Bescherming Persoonsgegevens (WBP) aangenomen als gevolg van Europese privacy- richtlijn nr. 95/46/EG. Deze wet is de opvolger van de oudere Wet Persoonsregistratie (WPR). De WBP bevat regels voor de "geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen." Persoonsgegevens Persoonsgegevens zijn alle gegevens waarmee een bepaald individu ge�dentificeerd kan worden. Het bekendste voorbeeld zijn naam- en adresgegevens. Ook e-mailadressen en bijvoorbeeld MSN-accounts worden gezien als persoonsgegevens. Maar ook gegevens die een waardering over een bepaalde persoon inhouden, bijvoorbeeld iemands IQ, kunnen persoonsgegevens zijn wanneer te achterhalen is welke persoon dit IQ heeft. Op Internet is bijvoorbeeld het IP-adres een persoonsgegeven. Een IP-adres is, samen met een datum en tijd van gebruik van dat adres, te herleiden tot een persoon. Je hebt daar de hulp van een provider bij nodig, maar het kan. Zie ook Foto's en het portretrecht Ook iemands foto is een persoonsgegeven. De geportretteerde is er tenslotte aan te herkennen. Bovendien is aan een foto te zien welk ras iemand is, en of deze persoon man of vrouw is. Volgens de letter van de wet is een foto dan ook een bijzonder persoonsgegeven, waardoor er voor verwerking van foto's extra strenge regels gelden. Verwerking van persoonsgegevens Verwerking wil zeggen "elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens." De wet geeft als voorbeelden het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens. De regels bij verwerking van persoonsgegevens De betrokkene moet voor elke verwerking van persoonsgegevens zijn toestemming hebben gegeven. Ook heeft hij het recht de informatie die over hem is opgeslagen, te corrigeren of te laten verwijderen. Organisaties die persoonsgegevens verwerken, moeten uitleggen hoe zij dat doen. Voorafgaande toestemming Persoonsgegevens mogen alleen worden verwerkt in overeenstemming met de regels van de WBP. De belangrijkste regel is dat de betreffende persoon zijn toestemming moet hebben gegeven voor de verwerking. Worden gegevens gevraagd aan die persoon zelf, dan moet deze vooraf ge�nformeerd worden over opname in het bestand. Een registratie-formulier op een website moet dus voorzien zijn van een dergelijke waarschuwing. Ook bij persoonsgegevens die uit andere bronnen worden verzameld, moet de betreffende persoon worden ge�nformeerd bij het moment van opname of uiterlijk net voor het moment van verstrekking aan derden. Dit hoeft niet als de betreffende persoon al wist dat zijn gegevens opgenomen zouden worden. Het is dus niet toegestaan om e-mailadressen van mensen die reageren op je website te verzamelen om ze massaal e-mail te sturen, want het maken van een dergelijke verzendlijst is een vorm van verwerking. Het bedrijf Hotmail mag haar klanten echter wel massaal e-mail sturen, want de klanten hebben hiervoor in de algemene voorwaarden toestemming verleend. Het is altijd de taak van de organisatie die de gegevens verwerkt om de betreffende persoon hierover te informeren. Ook mogen persoonsgegevens alleen worden verwerkt in overeenstemming met de doeleinden waarvoor ze zijn verkregen. Het abonneebestand voor een Internet-nieuwsbrief mag dus worden gebruikt om die nieuwsbrief rond te sturen, maar het mag niet worden verkocht aan een ander bedrijf voor bijvoorbeeld een reclame mailing. Informatieplicht Alle organisaties die persoonsgegevens gebruiken, hebben een informatieplicht. Dit betekent dat zij de personen op wie de gegevens betrekking hebben, moeten laten weten wat zij met hun gegevens gaan doen. Dit hoeft niet wanneer het vanzelfsprekend is (bijvoorbeeld bij het invullen van een registratie-formulier bij een online forum) of wanneer het zeer tijdrovend is om het adres van de betrokkene te achterhalen. Correctierecht Daarnaast hebben personen die in een bestand zijn opgenomen het recht om hun geregistreerde gegevens in te zien. Ook kunnen zij eisen dat hun gegevens verbeterd, aangevuld, verwijderd of afgeschermd worden. Dat mag wanneer de gegevens die gebruikt worden door de verantwoordelijke feitelijk onjuist, onvolledig of niet ter zake dienend zijn voor het doel of de doeleinden van de verwerking. Een wanbetaler kan echter niet verwijdering van zijn persoonsgegevens eisen bij de debiteurenadministratie van een bedrijf. Vrijstellingen De WBP eist dat registraties worden aangemeld. Voor een aantal soorten registraties geeft de wet een vrijstelling. Voorbeelden hiervan zijn personeelsadministraties, boekhoudingen, administraties van afnemers en leveranciers, ledenadministraties, abonnementadministraties en administraties van (oud-)leerlingen. Wel worden er in dergelijke gevallen beperkingen gesteld aan de informatie die dan mag worden geregistreerd. Het CBP heeft een Handreiking Vrijstellingsbesluit gepubliceerd met daarin uitleg over de belangrijkste vrijstellingen. Om er een paar te noemen: Abonnementen: uitgevers van publicaties (ook elektronische) hoeven de administratie van persoonsgegevens van hun abonnees niet aan te melden. Ze mogen niet meer bijhouden dan voor het leveren van de publicaties of het innen van het abonnementsgeld nodig is. Wetenschappelijk onderzoek en statistiek: wie onderzoek doet en daarbij persoonsgegevens gebruikt, hoeft zijn databank niet aan te melden. Alleen de hoogst noodzakelijke naam- en adresgegevens mogen worden bijgehouden. Gegevens mogen niet aan derden worden gegeven, behalve met toestemming of als doorgifte noodzakelijk is voor het onderzoek. Doorgifte voor ander onderzoek mag alleen als het gegarandeerd is dat de gegevens nergens anders voor gebruikt kunnen worden. Communicatiebestanden: verwerking van voor communicatie benodigde persoonsgegevens hoeft niet te worden aangemeld. De beheerder van een mailinglijst of forum hoeft zijn abonneebestand of lijst met leden dus niet aan te melden. Hij mag echter geen 'bijzondere persoonsgegevens' (b.v. godsdienst, gezondheid of politieke voorkeuren) opslaan. De databank mag ook niet voor andere doeleinden worden gebruikt zonder toestemming van de betrokkenen. De beheerder van een forum mag gegevens van zijn leden dus niet aan adverteerders geven. Netwerksystemen: wie een privé-netwerk beheert, mag gegevens bijhouden over gebruikers om het netwerk goed te laten werken, voor de veiligheid en interne controle en onderhoud en beheer. Hieronder vallen zaken zoals 'loggen' wat gebruikers doen, welke ingaande en uitgaande communicatie ze verrichten (maar niet de inhoud daarvan) of het vastleggen waar ze wel en niet bij mogen. Gebruikers moeten hierover wel worden geďnformeerd. Dit geldt niet voor Internet-aanbieders en andere beheerders van openbare telecommunicatienetwerken! Deze moeten hun databank gewoon aanmelden. Het College Bescherming Persoonsgegevens Toezicht op de naleving van de WBP is in handen van het College Bescherming Persoonsgegevens (CBP), voorheen Registratiekamer. Het CBP adviseert de regering over de bescherming van persoonsgegevens, voert onderzoeken uit, toetst gedragscodes en privacyreglementen en behandelt vragen en klachten. Het CBP is bevoegd om boetes uit te delen aan organisaties die de WBP overtreden. De registraties van bestanden met persoonsgegevens moeten worden aangemeld bij het CBP. Spam Zie ook Spam nu eindelijk verboden Het rondsturen van ongevraagde commerci�le e-mail, in het jargon 'spam' geheten, mag in principe alleen als de geadresseerden hun toestemming hebben verleend voor opname in het bestand van de zender. Wie de letterlijke tekst van de WBP er bij pakt, zou kunnen concluderen dat deze toestemming vooraf moet worden verleend, en dat vrijwel alle 'spam' in Nederland onrechtmatig is. rechtszaak tussen tussen XS4All en direct marketingbureau Ab.Fab besliste de Hoge Raad dat Ab.Fab geen spam mocht sturen naar XS4All-klanten. XS4ALL heeft als Internet-provider exclusieve rechten op haar computercapaciteit, haar transmissiecapaciteit en haar klantenbestand, en mag anderen de toegang daartoe weigeren. De nieuwe Europese richtlijn 2002/58/EG, die uiterlijk 31 oktober 2003 een Nederlandse wet moet worden, brengt hopelijk meer duidelijkheid. Artikel 13 van deze richtlijn zegt dat e-mail met het oog op direct marketing alleen is toegestaan met betrekking tot abonnees die daarin vooraf hebben toegestemd. E-mail adressen verzamelen Een veelvoorkomende praktijk op Internet is het verzamelen van e-mailadressen van bijvoorbeeld websites om een bestand op te bouwen, met name voor direct marketing doeleinden. Ook dit lijkt in strijd zijn met de WBP. Het leeghalen van andermans e-mailgids werd in december 2002 verboden omdat de betreffende e-mail gids in haar algemene voorwaarden dit verbood. Stamboom-onderzoek Steeds meer mensen, waaronder ook de auteur van dit artikel, publiceren hun stamboom op Internet. De WBP maakt een uitzondering voor verwerking van persoonsgegevens voor uitsluitend persoonlijke doeleinden. Het verzamelen van materiaal ten behoeve van een stamboom, en het maken van de stamboom zelf mag dus zonder toestemming van de personen die erin staan gebeuren. Echter, op het moment dat de stamboom wordt gepubliceerd, bijvoorbeeld op Internet, is er niet langer sprake van "persoonlijke doeleinden". De bovengenoemde regels gelden dan. Echter, de WBP gaat formeel gesproken over gegevens die herleidbaar zijn tot natuurlijke personen. Volgens de wet is een overledene geen natuurlijk persoon (meer). Derhalve is de WBP niet van toepassing op overleden personen. Houd er echter wel rekening mee dat bijvoorbeeld de partner of kinderen van de overledene gemakkelijk te achterhalen zijn wanneer er voldoende informatie over de overledene zelf wordt gepubliceerd. Daarmee vormt die informatie een persoonsgegeven van die partner of kinderen. De WBP kan dus soms toch van toepassing zijn. Gerelateerde artikelen Anonimiteit en privacy op het internet Cameratoezicht, filmen en fotograferen van mensen Filesharing (P2P) en privacy Persoonsgegevens op Internet Categorieën Privacy Zie ook Anonimiteit en privacy op het Internet Elektronisch briefgeheim: de stand van zaken Wat weten ze allemaal over mij? De Wet Bescherming Persoonsgegevens is de belangrijkste wet over persoonsgegevens, informatie zoals naam en adres. Verwerking van persoonsgegevens mag alleen als de betrokkene geďnformeerd is over wat er met de gegevens gebeurt. Er zijn uitzonderingen voor bijvoorbeeld mailinglijsten, forums of privé-netwerken. Door ICT-jurist Arnoud Engelfriet (blog, contact). Er bestaat in Nederland geen algemene "wet op de privacy". Er zijn diverse wetten die elk een bepaald aspect van de privacy in Nederland regelen. De belangrijkste en bekendste wet is de Wet Bescherming Persoonsgegevens. De Wet Bescherming Persoonsgegevens regelt onder welke voorwaarden persoonsgegevens verwerkt mogen worden. Persoonsgegevens zijn alle gegevens die herleidbaar zijn tot een bepaald individu. Omdat bijvoorbeeld een e-mailadres ook een persoonsgegeven is, heeft deze wet ook de nodige implicaties voor Internet-aanbieders en -gebruikers. Zo is het publiceren van e-mailadressen op een website niet zomaar toegestaan. Maar ook bijvoorbeeld de familiestamboom mag niet zomaar op Internet. Inhoudsopgave De Wet Bescherming Persoonsgegevens De regels bij verwerking van persoonsgegevens Het College Bescherming Persoonsgegevens Spam E-mail adressen verzamelen Stamboom-onderzoek De Wet Bescherming Persoonsgegevens In 2000 werd de Wet Bescherming Persoonsgegevens (WBP) aangenomen als gevolg van Europese privacy- richtlijn nr. 95/46/EG. Deze wet is de opvolger van de oudere Wet Persoonsregistratie (WPR). De WBP bevat regels voor de "geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen." Persoonsgegevens Persoonsgegevens zijn alle gegevens waarmee een bepaald individu ge�dentificeerd kan worden. Het bekendste voorbeeld zijn naam- en adresgegevens. Ook e-mailadressen en bijvoorbeeld MSN-accounts worden gezien als persoonsgegevens. Maar ook gegevens die een waardering over een bepaalde persoon inhouden, bijvoorbeeld iemands IQ, kunnen persoonsgegevens zijn wanneer te achterhalen is welke persoon dit IQ heeft. Op Internet is bijvoorbeeld het IP-adres een persoonsgegeven. Een IP-adres is, samen met een datum en tijd van gebruik van dat adres, te herleiden tot een persoon. Je hebt daar de hulp van een provider bij nodig, maar het kan. Zie ook Foto's en het portretrecht Ook iemands foto is een persoonsgegeven. De geportretteerde is er tenslotte aan te herkennen. Bovendien is aan een foto te zien welk ras iemand is, en of deze persoon man of vrouw is. Volgens de letter van de wet is een foto dan ook een bijzonder persoonsgegeven, waardoor er voor verwerking van foto's extra strenge regels gelden. Verwerking van persoonsgegevens Verwerking wil zeggen "elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens." De wet geeft als voorbeelden het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens. De regels bij verwerking van persoonsgegevens De betrokkene moet voor elke verwerking van persoonsgegevens zijn toestemming hebben gegeven. Ook heeft hij het recht de informatie die over hem is opgeslagen, te corrigeren of te laten verwijderen. Organisaties die persoonsgegevens verwerken, moeten uitleggen hoe zij dat doen. Voorafgaande toestemming Persoonsgegevens mogen alleen worden verwerkt in overeenstemming met de regels van de WBP. De belangrijkste regel is dat de betreffende persoon zijn toestemming moet hebben gegeven voor de verwerking. Worden gegevens gevraagd aan die persoon zelf, dan moet deze vooraf ge�nformeerd worden over opname in het bestand. Een registratie-formulier op een website moet dus voorzien zijn van een dergelijke waarschuwing. Ook bij persoonsgegevens die uit andere bronnen worden verzameld, moet de betreffende persoon worden ge�nformeerd bij het moment van opname of uiterlijk net voor het moment van verstrekking aan derden. Dit hoeft niet als de betreffende persoon al wist dat zijn gegevens opgenomen zouden worden. Het is dus niet toegestaan om e-mailadressen van mensen die reageren op je website te verzamelen om ze massaal e-mail te sturen, want het maken van een dergelijke verzendlijst is een vorm van verwerking. Het bedrijf Hotmail mag haar klanten echter wel massaal e-mail sturen, want de klanten hebben hiervoor in de algemene voorwaarden toestemming verleend. Het is altijd de taak van de organisatie die de gegevens verwerkt om de betreffende persoon hierover te informeren. Ook mogen persoonsgegevens alleen worden verwerkt in overeenstemming met de doeleinden waarvoor ze zijn verkregen. Het abonneebestand voor een Internet-nieuwsbrief mag dus worden gebruikt om die nieuwsbrief rond te sturen, maar het mag niet worden verkocht aan een ander bedrijf voor bijvoorbeeld een reclame mailing. Informatieplicht Alle organisaties die persoonsgegevens gebruiken, hebben een informatieplicht. Dit betekent dat zij de personen op wie de gegevens betrekking hebben, moeten laten weten wat zij met hun gegevens gaan doen. Dit hoeft niet wanneer het vanzelfsprekend is (bijvoorbeeld bij het invullen van een registratie-formulier bij een online forum) of wanneer het zeer tijdrovend is om het adres van de betrokkene te achterhalen. Correctierecht Daarnaast hebben personen die in een bestand zijn opgenomen het recht om hun geregistreerde gegevens in te zien. Ook kunnen zij eisen dat hun gegevens verbeterd, aangevuld, verwijderd of afgeschermd worden. Dat mag wanneer de gegevens die gebruikt worden door de verantwoordelijke feitelijk onjuist, onvolledig of niet ter zake dienend zijn voor het doel of de doeleinden van de verwerking. Een wanbetaler kan echter niet verwijdering van zijn persoonsgegevens eisen bij de debiteurenadministratie van een bedrijf. Vrijstellingen De WBP eist dat registraties worden aangemeld. Voor een aantal soorten registraties geeft de wet een vrijstelling. Voorbeelden hiervan zijn personeelsadministraties, boekhoudingen, administraties van afnemers en leveranciers, ledenadministraties, abonnementadministraties en administraties van (oud-)leerlingen. Wel worden er in dergelijke gevallen beperkingen gesteld aan de informatie die dan mag worden geregistreerd. Het CBP heeft een Handreiking Vrijstellingsbesluit gepubliceerd met daarin uitleg over de belangrijkste vrijstellingen. Om er een paar te noemen: Abonnementen: uitgevers van publicaties (ook elektronische) hoeven de administratie van persoonsgegevens van hun abonnees niet aan te melden. Ze mogen niet meer bijhouden dan voor het leveren van de publicaties of het innen van het abonnementsgeld nodig is. Wetenschappelijk onderzoek en statistiek: wie onderzoek doet en daarbij persoonsgegevens gebruikt, hoeft zijn databank niet aan te melden. Alleen de hoogst noodzakelijke naam- en adresgegevens mogen worden bijgehouden. Gegevens mogen niet aan derden worden gegeven, behalve met toestemming of als doorgifte noodzakelijk is voor het onderzoek. Doorgifte voor ander onderzoek mag alleen als het gegarandeerd is dat de gegevens nergens anders voor gebruikt kunnen worden. Communicatiebestanden: verwerking van voor communicatie benodigde persoonsgegevens hoeft niet te worden aangemeld. De beheerder van een mailinglijst of forum hoeft zijn abonneebestand of lijst met leden dus niet aan te melden. Hij mag echter geen 'bijzondere persoonsgegevens' (b.v. godsdienst, gezondheid of politieke voorkeuren) opslaan. De databank mag ook niet voor andere doeleinden worden gebruikt zonder toestemming van de betrokkenen. De beheerder van een forum mag gegevens van zijn leden dus niet aan adverteerders geven. Netwerksystemen: wie een privé-netwerk beheert, mag gegevens bijhouden over gebruikers om het netwerk goed te laten werken, voor de veiligheid en interne controle en onderhoud en beheer. Hieronder vallen zaken zoals 'loggen' wat gebruikers doen, welke ingaande en uitgaande communicatie ze verrichten (maar niet de inhoud daarvan) of het vastleggen waar ze wel en niet bij mogen. Gebruikers moeten hierover wel worden geďnformeerd. Dit geldt niet voor Internet-aanbieders en andere beheerders van openbare telecommunicatienetwerken! Deze moeten hun databank gewoon aanmelden. Het College Bescherming Persoonsgegevens Toezicht op de naleving van de WBP is in handen van het College Bescherming Persoonsgegevens (CBP), voorheen Registratiekamer. Het CBP adviseert de regering over de bescherming van persoonsgegevens, voert onderzoeken uit, toetst gedragscodes en privacyreglementen en behandelt vragen en klachten. Het CBP is bevoegd om boetes uit te delen aan organisaties die de WBP overtreden. De registraties van bestanden met persoonsgegevens moeten worden aangemeld bij het CBP. Spam Zie ook Spam nu eindelijk verboden Het rondsturen van ongevraagde commerci�le e-mail, in het jargon 'spam' geheten, mag in principe alleen als de geadresseerden hun toestemming hebben verleend voor opname in het bestand van de zender. Wie de letterlijke tekst van de WBP er bij pakt, zou kunnen concluderen dat deze toestemming vooraf moet worden verleend, en dat vrijwel alle 'spam' in Nederland onrechtmatig is. rechtszaak tussen tussen XS4All en direct marketingbureau Ab.Fab besliste de Hoge Raad dat Ab.Fab geen spam mocht sturen naar XS4All-klanten. XS4ALL heeft als Internet-provider exclusieve rechten op haar computercapaciteit, haar transmissiecapaciteit en haar klantenbestand, en mag anderen de toegang daartoe weigeren. De nieuwe Europese richtlijn 2002/58/EG, die uiterlijk 31 oktober 2003 een Nederlandse wet moet worden, brengt hopelijk meer duidelijkheid. Artikel 13 van deze richtlijn zegt dat e-mail met het oog op direct marketing alleen is toegestaan met betrekking tot abonnees die daarin vooraf hebben toegestemd. E-mail adressen verzamelen Een veelvoorkomende praktijk op Internet is het verzamelen van e-mailadressen van bijvoorbeeld websites om een bestand op te bouwen, met name voor direct marketing doeleinden. Ook dit lijkt in strijd zijn met de WBP. Het leeghalen van andermans e-mailgids werd in december 2002 verboden omdat de betreffende e-mail gids in haar algemene voorwaarden dit verbood. Stamboom-onderzoek Steeds meer mensen, waaronder ook de auteur van dit artikel, publiceren hun stamboom op Internet. De WBP maakt een uitzondering voor verwerking van persoonsgegevens voor uitsluitend persoonlijke doeleinden. Het verzamelen van materiaal ten behoeve van een stamboom, en het maken van de stamboom zelf mag dus zonder toestemming van de personen die erin staan gebeuren. Echter, op het moment dat de stamboom wordt gepubliceerd, bijvoorbeeld op Internet, is er niet langer sprake van "persoonlijke doeleinden". De bovengenoemde regels gelden dan. Echter, de WBP gaat formeel gesproken over gegevens die herleidbaar zijn tot natuurlijke personen. Volgens de wet is een overledene geen natuurlijk persoon (meer). Derhalve is de WBP niet van toepassing op overleden personen. Houd er echter wel rekening mee dat bijvoorbeeld de partner of kinderen van de overledene gemakkelijk te achterhalen zijn wanneer er voldoende informatie over de overledene zelf wordt gepubliceerd. Daarmee vormt die informatie een persoonsgegeven van die partner of kinderen. De WBP kan dus soms toch van toepassing zijn. Gerelateerde artikelen Anonimiteit en privacy op het internet Cameratoezicht, filmen en fotograferen van mensen Filesharing (P2P) en privacy Persoonsgegevens op Internet Categorieën Privacy Zie ook Anonimiteit en privacy op het Internet Elektronisch briefgeheim: de stand van zaken Wat weten ze allemaal over mij? De Wet Bescherming Persoonsgegevens is de belangrijkste wet over persoonsgegevens, informatie zoals naam en adres. Verwerking van persoonsgegevens mag alleen als de betrokkene geďnformeerd is over wat er met de gegevens gebeurt. Er zijn uitzonderingen voor bijvoorbeeld mailinglijsten, forums of privé-netwerken. Door ICT-jurist Arnoud Engelfriet (blog, contact). Er bestaat in Nederland geen algemene "wet op de privacy". Er zijn diverse wetten die elk een bepaald aspect van de privacy in Nederland regelen. De belangrijkste en bekendste wet is de Wet Bescherming Persoonsgegevens. De Wet Bescherming Persoonsgegevens regelt onder welke voorwaarden persoonsgegevens verwerkt mogen worden. Persoonsgegevens zijn alle gegevens die herleidbaar zijn tot een bepaald individu. Omdat bijvoorbeeld een e-mailadres ook een persoonsgegeven is, heeft deze wet ook de nodige implicaties voor Internet-aanbieders en -gebruikers. Zo is het publiceren van e-mailadressen op een website niet zomaar toegestaan. Maar ook bijvoorbeeld de familiestamboom mag niet zomaar op Internet. Inhoudsopgave De Wet Bescherming Persoonsgegevens De regels bij verwerking van persoonsgegevens Het College Bescherming Persoonsgegevens Spam E-mail adressen verzamelen Stamboom-onderzoek De Wet Bescherming Persoonsgegevens In 2000 werd de Wet Bescherming Persoonsgegevens (WBP) aangenomen als gevolg van Europese privacy- richtlijn nr. 95/46/EG. Deze wet is de opvolger van de oudere Wet Persoonsregistratie (WPR). De WBP bevat regels voor de "geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen." Persoonsgegevens Persoonsgegevens zijn alle gegevens waarmee een bepaald individu ge�dentificeerd kan worden. Het bekendste voorbeeld zijn naam- en adresgegevens. Ook e-mailadressen en bijvoorbeeld MSN-accounts worden gezien als persoonsgegevens. Maar ook gegevens die een waardering over een bepaalde persoon inhouden, bijvoorbeeld iemands IQ, kunnen persoonsgegevens zijn wanneer te achterhalen is welke persoon dit IQ heeft. Op Internet is bijvoorbeeld het IP-adres een persoonsgegeven. Een IP-adres is, samen met een datum en tijd van gebruik van dat adres, te herleiden tot een persoon. Je hebt daar de hulp van een provider bij nodig, maar het kan. Zie ook Foto's en het portretrecht Ook iemands foto is een persoonsgegeven. De geportretteerde is er tenslotte aan te herkennen. Bovendien is aan een foto te zien welk ras iemand is, en of deze persoon man of vrouw is. Volgens de letter van de wet is een foto dan ook een bijzonder persoonsgegeven, waardoor er voor verwerking van foto's extra strenge regels gelden. Verwerking van persoonsgegevens Verwerking wil zeggen "elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens." De wet geeft als voorbeelden het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens. De regels bij verwerking van persoonsgegevens De betrokkene moet voor elke verwerking van persoonsgegevens zijn toestemming hebben gegeven. Ook heeft hij het recht de informatie die over hem is opgeslagen, te corrigeren of te laten verwijderen. Organisaties die persoonsgegevens verwerken, moeten uitleggen hoe zij dat doen. Voorafgaande toestemming Persoonsgegevens mogen alleen worden verwerkt in overeenstemming met de regels van de WBP. De belangrijkste regel is dat de betreffende persoon zijn toestemming moet hebben gegeven voor de verwerking. Worden gegevens gevraagd aan die persoon zelf, dan moet deze vooraf ge�nformeerd worden over opname in het bestand. Een registratie-formulier op een website moet dus voorzien zijn van een dergelijke waarschuwing. Ook bij persoonsgegevens die uit andere bronnen worden verzameld, moet de betreffende persoon worden ge�nformeerd bij het moment van opname of uiterlijk net voor het moment van verstrekking aan derden. Dit hoeft niet als de betreffende persoon al wist dat zijn gegevens opgenomen zouden worden. Het is dus niet toegestaan om e-mailadressen van mensen die reageren op je website te verzamelen om ze massaal e-mail te sturen, want het maken van een dergelijke verzendlijst is een vorm van verwerking. Het bedrijf Hotmail mag haar klanten echter wel massaal e-mail sturen, want de klanten hebben hiervoor in de algemene voorwaarden toestemming verleend. Het is altijd de taak van de organisatie die de gegevens verwerkt om de betreffende persoon hierover te informeren. Ook mogen persoonsgegevens alleen worden verwerkt in overeenstemming met de doeleinden waarvoor ze zijn verkregen. Het abonneebestand voor een Internet-nieuwsbrief mag dus worden gebruikt om die nieuwsbrief rond te sturen, maar het mag niet worden verkocht aan een ander bedrijf voor bijvoorbeeld een reclame mailing. Informatieplicht Alle organisaties die persoonsgegevens gebruiken, hebben een informatieplicht. Dit betekent dat zij de personen op wie de gegevens betrekking hebben, moeten laten weten wat zij met hun gegevens gaan doen. Dit hoeft niet wanneer het vanzelfsprekend is (bijvoorbeeld bij het invullen van een registratie-formulier bij een online forum) of wanneer het zeer tijdrovend is om het adres van de betrokkene te achterhalen. Correctierecht Daarnaast hebben personen die in een bestand zijn opgenomen het recht om hun geregistreerde gegevens in te zien. Ook kunnen zij eisen dat hun gegevens verbeterd, aangevuld, verwijderd of afgeschermd worden. Dat mag wanneer de gegevens die gebruikt worden door de verantwoordelijke feitelijk onjuist, onvolledig of niet ter zake dienend zijn voor het doel of de doeleinden van de verwerking. Een wanbetaler kan echter niet verwijdering van zijn persoonsgegevens eisen bij de debiteurenadministratie van een bedrijf. Vrijstellingen De WBP eist dat registraties worden aangemeld. Voor een aantal soorten registraties geeft de wet een vrijstelling. Voorbeelden hiervan zijn personeelsadministraties, boekhoudingen, administraties van afnemers en leveranciers, ledenadministraties, abonnementadministraties en administraties van (oud-)leerlingen. Wel worden er in dergelijke gevallen beperkingen gesteld aan de informatie die dan mag worden geregistreerd. Het CBP heeft een Handreiking Vrijstellingsbesluit gepubliceerd met daarin uitleg over de belangrijkste vrijstellingen. Om er een paar te noemen: Abonnementen: uitgevers van publicaties (ook elektronische) hoeven de administratie van persoonsgegevens van hun abonnees niet aan te melden. Ze mogen niet meer bijhouden dan voor het leveren van de publicaties of het innen van het abonnementsgeld nodig is. Wetenschappelijk onderzoek en statistiek: wie onderzoek doet en daarbij persoonsgegevens gebruikt, hoeft zijn databank niet aan te melden. Alleen de hoogst noodzakelijke naam- en adresgegevens mogen worden bijgehouden. Gegevens mogen niet aan derden worden gegeven, behalve met toestemming of als doorgifte noodzakelijk is voor het onderzoek. Doorgifte voor ander onderzoek mag alleen als het gegarandeerd is dat de gegevens nergens anders voor gebruikt kunnen worden. Communicatiebestanden: verwerking van voor communicatie benodigde persoonsgegevens hoeft niet te worden aangemeld. De beheerder van een mailinglijst of forum hoeft zijn abonneebestand of lijst met leden dus niet aan te melden. Hij mag echter geen 'bijzondere persoonsgegevens' (b.v. godsdienst, gezondheid of politieke voorkeuren) opslaan. De databank mag ook niet voor andere doeleinden worden gebruikt zonder toestemming van de betrokkenen. De beheerder van een forum mag gegevens van zijn leden dus niet aan adverteerders geven. Netwerksystemen: wie een privé-netwerk beheert, mag gegevens bijhouden over gebruikers om het netwerk goed te laten werken, voor de veiligheid en interne controle en onderhoud en beheer. Hieronder vallen zaken zoals 'loggen' wat gebruikers doen, welke ingaande en uitgaande communicatie ze verrichten (maar niet de inhoud daarvan) of het vastleggen waar ze wel en niet bij mogen. Gebruikers moeten hierover wel worden geďnformeerd. Dit geldt niet voor Internet-aanbieders en andere beheerders van openbare telecommunicatienetwerken! Deze moeten hun databank gewoon aanmelden. Het College Bescherming Persoonsgegevens Toezicht op de naleving van de WBP is in handen van het College Bescherming Persoonsgegevens (CBP), voorheen Registratiekamer. Het CBP adviseert de regering over de bescherming van persoonsgegevens, voert onderzoeken uit, toetst gedragscodes en privacyreglementen en behandelt vragen en klachten. Het CBP is bevoegd om boetes uit te delen aan organisaties die de WBP overtreden. De registraties van bestanden met persoonsgegevens moeten worden aangemeld bij het CBP. Spam Zie ook Spam nu eindelijk verboden Het rondsturen van ongevraagde commerci�le e-mail, in het jargon 'spam' geheten, mag in principe alleen als de geadresseerden hun toestemming hebben verleend voor opname in het bestand van de zender. Wie de letterlijke tekst van de WBP er bij pakt, zou kunnen concluderen dat deze toestemming vooraf moet worden verleend, en dat vrijwel alle 'spam' in Nederland onrechtmatig is. rechtszaak tussen tussen XS4All en direct marketingbureau Ab.Fab besliste de Hoge Raad dat Ab.Fab geen spam mocht sturen naar XS4All-klanten. XS4ALL heeft als Internet-provider exclusieve rechten op haar computercapaciteit, haar transmissiecapaciteit en haar klantenbestand, en mag anderen de toegang daartoe weigeren. De nieuwe Europese richtlijn 2002/58/EG, die uiterlijk 31 oktober 2003 een Nederlandse wet moet worden, brengt hopelijk meer duidelijkheid. Artikel 13 van deze richtlijn zegt dat e-mail met het oog op direct marketing alleen is toegestaan met betrekking tot abonnees die daarin vooraf hebben toegestemd. E-mail adressen verzamelen Een veelvoorkomende praktijk op Internet is het verzamelen van e-mailadressen van bijvoorbeeld websites om een bestand op te bouwen, met name voor direct marketing doeleinden. Ook dit lijkt in strijd zijn met de WBP. Het leeghalen van andermans e-mailgids werd in december 2002 verboden omdat de betreffende e-mail gids in haar algemene voorwaarden dit verbood. Stamboom-onderzoek Steeds meer mensen, waaronder ook de auteur van dit artikel, publiceren hun stamboom op Internet. De WBP maakt een uitzondering voor verwerking van persoonsgegevens voor uitsluitend persoonlijke doeleinden. Het verzamelen van materiaal ten behoeve van een stamboom, en het maken van de stamboom zelf mag dus zonder toestemming van de personen die erin staan gebeuren. Echter, op het moment dat de stamboom wordt gepubliceerd, bijvoorbeeld op Internet, is er niet langer sprake van "persoonlijke doeleinden". De bovengenoemde regels gelden dan. Echter, de WBP gaat formeel gesproken over gegevens die herleidbaar zijn tot natuurlijke personen. Volgens de wet is een overledene geen natuurlijk persoon (meer). Derhalve is de WBP niet van toepassing op overleden personen. Houd er echter wel rekening mee dat bijvoorbeeld de partner of kinderen van de overledene gemakkelijk te achterhalen zijn wanneer er voldoende informatie over de overledene zelf wordt gepubliceerd. Daarmee vormt die informatie een persoonsgegeven van die partner of kinderen. De WBP kan dus soms toch van toepassing zijn. Gerelateerde artikelen Anonimiteit en privacy op het internet Cameratoezicht, filmen en fotograferen van mensen Filesharing (P2P) en privacy Persoonsgegevens op Internet Categorieën Privacy Zie ook Anonimiteit en privacy op het Internet Elektronisch briefgeheim: de stand van zaken Wat weten ze allemaal over mij? De Wet Bescherming Persoonsgegevens is de belangrijkste wet over persoonsgegevens, informatie zoals naam en adres. Verwerking van persoonsgegevens mag alleen als de betrokkene geďnformeerd is over wat er met de gegevens gebeurt. Er zijn uitzonderingen voor bijvoorbeeld mailinglijsten, forums of privé-netwerken. Door ICT-jurist Arnoud Engelfriet (blog, contact). Er bestaat in Nederland geen algemene "wet op de privacy". Er zijn diverse wetten die elk een bepaald aspect van de privacy in Nederland regelen. De belangrijkste en bekendste wet is de Wet Bescherming Persoonsgegevens. De Wet Bescherming Persoonsgegevens regelt onder welke voorwaarden persoonsgegevens verwerkt mogen worden. Persoonsgegevens zijn alle gegevens die herleidbaar zijn tot een bepaald individu. Omdat bijvoorbeeld een e-mailadres ook een persoonsgegeven is, heeft deze wet ook de nodige implicaties voor Internet-aanbieders en -gebruikers. Zo is het publiceren van e-mailadressen op een website niet zomaar toegestaan. Maar ook bijvoorbeeld de familiestamboom mag niet zomaar op Internet. Inhoudsopgave De Wet Bescherming Persoonsgegevens De regels bij verwerking van persoonsgegevens Het College Bescherming Persoonsgegevens Spam E-mail adressen verzamelen Stamboom-onderzoek De Wet Bescherming Persoonsgegevens In 2000 werd de Wet Bescherming Persoonsgegevens (WBP) aangenomen als gevolg van Europese privacy- richtlijn nr. 95/46/EG. Deze wet is de opvolger van de oudere Wet Persoonsregistratie (WPR). De WBP bevat regels voor de "geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen." Persoonsgegevens Persoonsgegevens zijn alle gegevens waarmee een bepaald individu ge�dentificeerd kan worden. Het bekendste voorbeeld zijn naam- en adresgegevens. Ook e-mailadressen en bijvoorbeeld MSN-accounts worden gezien als persoonsgegevens. Maar ook gegevens die een waardering over een bepaalde persoon inhouden, bijvoorbeeld iemands IQ, kunnen persoonsgegevens zijn wanneer te achterhalen is welke persoon dit IQ heeft. Op Internet is bijvoorbeeld het IP-adres een persoonsgegeven. Een IP-adres is, samen met een datum en tijd van gebruik van dat adres, te herleiden tot een persoon. Je hebt daar de hulp van een provider bij nodig, maar het kan. Zie ook Foto's en het portretrecht Ook iemands foto is een persoonsgegeven. De geportretteerde is er tenslotte aan te herkennen. Bovendien is aan een foto te zien welk ras iemand is, en of deze persoon man of vrouw is. Volgens de letter van de wet is een foto dan ook een bijzonder persoonsgegeven, waardoor er voor verwerking van foto's extra strenge regels gelden. Verwerking van persoonsgegevens Verwerking wil zeggen "elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens." De wet geeft als voorbeelden het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens. De regels bij verwerking van persoonsgegevens De betrokkene moet voor elke verwerking van persoonsgegevens zijn toestemming hebben gegeven. Ook heeft hij het recht de informatie die over hem is opgeslagen, te corrigeren of te laten verwijderen. Organisaties die persoonsgegevens verwerken, moeten uitleggen hoe zij dat doen. Voorafgaande toestemming Persoonsgegevens mogen alleen worden verwerkt in overeenstemming met de regels van de WBP. De belangrijkste regel is dat de betreffende persoon zijn toestemming moet hebben gegeven voor de verwerking. Worden gegevens gevraagd aan die persoon zelf, dan moet deze vooraf ge�nformeerd worden over opname in het bestand. Een registratie-formulier op een website moet dus voorzien zijn van een dergelijke waarschuwing. Ook bij persoonsgegevens die uit andere bronnen worden verzameld, moet de betreffende persoon worden ge�nformeerd bij het moment van opname of uiterlijk net voor het moment van verstrekking aan derden. Dit hoeft niet als de betreffende persoon al wist dat zijn gegevens opgenomen zouden worden. Het is dus niet toegestaan om e-mailadressen van mensen die reageren op je website te verzamelen om ze massaal e-mail te sturen, want het maken van een dergelijke verzendlijst is een vorm van verwerking. Het bedrijf Hotmail mag haar klanten echter wel massaal e-mail sturen, want de klanten hebben hiervoor in de algemene voorwaarden toestemming verleend. Het is altijd de taak van de organisatie die de gegevens verwerkt om de betreffende persoon hierover te informeren. Ook mogen persoonsgegevens alleen worden verwerkt in overeenstemming met de doeleinden waarvoor ze zijn verkregen. Het abonneebestand voor een Internet-nieuwsbrief mag dus worden gebruikt om die nieuwsbrief rond te sturen, maar het mag niet worden verkocht aan een ander bedrijf voor bijvoorbeeld een reclame mailing. Informatieplicht Alle organisaties die persoonsgegevens gebruiken, hebben een informatieplicht. Dit betekent dat zij de personen op wie de gegevens betrekking hebben, moeten laten weten wat zij met hun gegevens gaan doen. Dit hoeft niet wanneer het vanzelfsprekend is (bijvoorbeeld bij het invullen van een registratie-formulier bij een online forum) of wanneer het zeer tijdrovend is om het adres van de betrokkene te achterhalen. Correctierecht Daarnaast hebben personen die in een bestand zijn opgenomen het recht om hun geregistreerde gegevens in te zien. Ook kunnen zij eisen dat hun gegevens verbeterd, aangevuld, verwijderd of afgeschermd worden. Dat mag wanneer de gegevens die gebruikt worden door de verantwoordelijke feitelijk onjuist, onvolledig of niet ter zake dienend zijn voor het doel of de doeleinden van de verwerking. Een wanbetaler kan echter niet verwijdering van zijn persoonsgegevens eisen bij de debiteurenadministratie van een bedrijf. Vrijstellingen De WBP eist dat registraties worden aangemeld. Voor een aantal soorten registraties geeft de wet een vrijstelling. Voorbeelden hiervan zijn personeelsadministraties, boekhoudingen, administraties van afnemers en leveranciers, ledenadministraties, abonnementadministraties en administraties van (oud-)leerlingen. Wel worden er in dergelijke gevallen beperkingen gesteld aan de informatie die dan mag worden geregistreerd. Het CBP heeft een Handreiking Vrijstellingsbesluit gepubliceerd met daarin uitleg over de belangrijkste vrijstellingen. Om er een paar te noemen: Abonnementen: uitgevers van publicaties (ook elektronische) hoeven de administratie van persoonsgegevens van hun abonnees niet aan te melden. Ze mogen niet meer bijhouden dan voor het leveren van de publicaties of het innen van het abonnementsgeld nodig is. Wetenschappelijk onderzoek en statistiek: wie onderzoek doet en daarbij persoonsgegevens gebruikt, hoeft zijn databank niet aan te melden. Alleen de hoogst noodzakelijke naam- en adresgegevens mogen worden bijgehouden. Gegevens mogen niet aan derden worden gegeven, behalve met toestemming of als doorgifte noodzakelijk is voor het onderzoek. Doorgifte voor ander onderzoek mag alleen als het gegarandeerd is dat de gegevens nergens anders voor gebruikt kunnen worden. Communicatiebestanden: verwerking van voor communicatie benodigde persoonsgegevens hoeft niet te worden aangemeld. De beheerder van een mailinglijst of forum hoeft zijn abonneebestand of lijst met leden dus niet aan te melden. Hij mag echter geen 'bijzondere persoonsgegevens' (b.v. godsdienst, gezondheid of politieke voorkeuren) opslaan. De databank mag ook niet voor andere doeleinden worden gebruikt zonder toestemming van de betrokkenen. De beheerder van een forum mag gegevens van zijn leden dus niet aan adverteerders geven. Netwerksystemen: wie een privé-netwerk beheert, mag gegevens bijhouden over gebruikers om het netwerk goed te laten werken, voor de veiligheid en interne controle en onderhoud en beheer. Hieronder vallen zaken zoals 'loggen' wat gebruikers doen, welke ingaande en uitgaande communicatie ze verrichten (maar niet de inhoud daarvan) of het vastleggen waar ze wel en niet bij mogen. Gebruikers moeten hierover wel worden geďnformeerd. Dit geldt niet voor Internet-aanbieders en andere beheerders van openbare telecommunicatienetwerken! Deze moeten hun databank gewoon aanmelden. Het College Bescherming Persoonsgegevens Toezicht op de naleving van de WBP is in handen van het College Bescherming Persoonsgegevens (CBP), voorheen Registratiekamer. Het CBP adviseert de regering over de bescherming van persoonsgegevens, voert onderzoeken uit, toetst gedragscodes en privacyreglementen en behandelt vragen en klachten. Het CBP is bevoegd om boetes uit te delen aan organisaties die de WBP overtreden. De registraties van bestanden met persoonsgegevens moeten worden aangemeld bij het CBP. Spam Zie ook Spam nu eindelijk verboden Het rondsturen van ongevraagde commerci�le e-mail, in het jargon 'spam' geheten, mag in principe alleen als de geadresseerden hun toestemming hebben verleend voor opname in het bestand van de zender. Wie de letterlijke tekst van de WBP er bij pakt, zou kunnen concluderen dat deze toestemming vooraf moet worden verleend, en dat vrijwel alle 'spam' in Nederland onrechtmatig is. rechtszaak tussen tussen XS4All en direct marketingbureau Ab.Fab besliste de Hoge Raad dat Ab.Fab geen spam mocht sturen naar XS4All-klanten. XS4ALL heeft als Internet-provider exclusieve rechten op haar computercapaciteit, haar transmissiecapaciteit en haar klantenbestand, en mag anderen de toegang daartoe weigeren. De nieuwe Europese richtlijn 2002/58/EG, die uiterlijk 31 oktober 2003 een Nederlandse wet moet worden, brengt hopelijk meer duidelijkheid. Artikel 13 van deze richtlijn zegt dat e-mail met het oog op direct marketing alleen is toegestaan met betrekking tot abonnees die daarin vooraf hebben toegestemd. E-mail adressen verzamelen Een veelvoorkomende praktijk op Internet is het verzamelen van e-mailadressen van bijvoorbeeld websites om een bestand op te bouwen, met name voor direct marketing doeleinden. Ook dit lijkt in strijd zijn met de WBP. Het leeghalen van andermans e-mailgids werd in december 2002 verboden omdat de betreffende e-mail gids in haar algemene voorwaarden dit verbood. Stamboom-onderzoek Steeds meer mensen, waaronder ook de auteur van dit artikel, publiceren hun stamboom op Internet. De WBP maakt een uitzondering voor verwerking van persoonsgegevens voor uitsluitend persoonlijke doeleinden. Het verzamelen van materiaal ten behoeve van een stamboom, en het maken van de stamboom zelf mag dus zonder toestemming van de personen die erin staan gebeuren. Echter, op het moment dat de stamboom wordt gepubliceerd, bijvoorbeeld op Internet, is er niet langer sprake van "persoonlijke doeleinden". De bovengenoemde regels gelden dan. Echter, de WBP gaat formeel gesproken over gegevens die herleidbaar zijn tot natuurlijke personen. Volgens de wet is een overledene geen natuurlijk persoon (meer). Derhalve is de WBP niet van toepassing op overleden personen. Houd er echter wel rekening mee dat bijvoorbeeld de partner of kinderen van de overledene gemakkelijk te achterhalen zijn wanneer er voldoende informatie over de overledene zelf wordt gepubliceerd. Daarmee vormt die informatie een persoonsgegeven van die partner of kinderen. De WBP kan dus soms toch van toepassing zijn. Gerelateerde artikelen Anonimiteit en privacy op het internet Cameratoezicht, filmen en fotograferen van mensen Filesharing (P2P) en privacy Persoonsgegevens op Internet Categorieën Privacy Zie ook Anonimiteit en privacy op het Internet Elektronisch briefgeheim: de stand van zaken Wat weten ze allemaal over mij? De Wet Bescherming Persoonsgegevens is de belangrijkste wet over persoonsgegevens, informatie zoals naam en adres. Verwerking van persoonsgegevens mag alleen als de betrokkene geďnformeerd is over wat er met de gegevens gebeurt. Er zijn uitzonderingen voor bijvoorbeeld mailinglijsten, forums of privé-netwerken. Door ICT-jurist Arnoud Engelfriet (blog, contact). Er bestaat in Nederland geen algemene "wet op de privacy". Er zijn diverse wetten die elk een bepaald aspect van de privacy in Nederland regelen. De belangrijkste en bekendste wet is de Wet Bescherming Persoonsgegevens. De Wet Bescherming Persoonsgegevens regelt onder welke voorwaarden persoonsgegevens verwerkt mogen worden. Persoonsgegevens zijn alle gegevens die herleidbaar zijn tot een bepaald individu. Omdat bijvoorbeeld een e-mailadres ook een persoonsgegeven is, heeft deze wet ook de nodige implicaties voor Internet-aanbieders en -gebruikers. Zo is het publiceren van e-mailadressen op een website niet zomaar toegestaan. Maar ook bijvoorbeeld de familiestamboom mag niet zomaar op Internet. Inhoudsopgave De Wet Bescherming Persoonsgegevens De regels bij verwerking van persoonsgegevens Het College Bescherming Persoonsgegevens Spam E-mail adressen verzamelen Stamboom-onderzoek De Wet Bescherming Persoonsgegevens In 2000 werd de Wet Bescherming Persoonsgegevens (WBP) aangenomen als gevolg van Europese privacy- richtlijn nr. 95/46/EG. Deze wet is de opvolger van de oudere Wet Persoonsregistratie (WPR). De WBP bevat regels voor de "geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen." Persoonsgegevens Persoonsgegevens zijn alle gegevens waarmee een bepaald individu ge�dentificeerd kan worden. Het bekendste voorbeeld zijn naam- en adresgegevens. Ook e-mailadressen en bijvoorbeeld MSN-accounts worden gezien als persoonsgegevens. Maar ook gegevens die een waardering over een bepaalde persoon inhouden, bijvoorbeeld iemands IQ, kunnen persoonsgegevens zijn wanneer te achterhalen is welke persoon dit IQ heeft. Op Internet is bijvoorbeeld het IP-adres een persoonsgegeven. Een IP-adres is, samen met een datum en tijd van gebruik van dat adres, te herleiden tot een persoon. Je hebt daar de hulp van een provider bij nodig, maar het kan. Zie ook Foto's en het portretrecht Ook iemands foto is een persoonsgegeven. De geportretteerde is er tenslotte aan te herkennen. Bovendien is aan een foto te zien welk ras iemand is, en of deze persoon man of vrouw is. Volgens de letter van de wet is een foto dan ook een bijzonder persoonsgegeven, waardoor er voor verwerking van foto's extra strenge regels gelden. Verwerking van persoonsgegevens Verwerking wil zeggen "elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens." De wet geeft als voorbeelden het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens. De regels bij verwerking van persoonsgegevens De betrokkene moet voor elke verwerking van persoonsgegevens zijn toestemming hebben gegeven. Ook heeft hij het recht de informatie die over hem is opgeslagen, te corrigeren of te laten verwijderen. Organisaties die persoonsgegevens verwerken, moeten uitleggen hoe zij dat doen. Voorafgaande toestemming Persoonsgegevens mogen alleen worden verwerkt in overeenstemming met de regels van de WBP. De belangrijkste regel is dat de betreffende persoon zijn toestemming moet hebben gegeven voor de verwerking. Worden gegevens gevraagd aan die persoon zelf, dan moet deze vooraf ge�nformeerd worden over opname in het bestand. Een registratie-formulier op een website moet dus voorzien zijn van een dergelijke waarschuwing. Ook bij persoonsgegevens die uit andere bronnen worden verzameld, moet de betreffende persoon worden ge�nformeerd bij het moment van opname of uiterlijk net voor het moment van verstrekking aan derden. Dit hoeft niet als de betreffende persoon al wist dat zijn gegevens opgenomen zouden worden. Het is dus niet toegestaan om e-mailadressen van mensen die reageren op je website te verzamelen om ze massaal e-mail te sturen, want het maken van een dergelijke verzendlijst is een vorm van verwerking. Het bedrijf Hotmail mag haar klanten echter wel massaal e-mail sturen, want de klanten hebben hiervoor in de algemene voorwaarden toestemming verleend. Het is altijd de taak van de organisatie die de gegevens verwerkt om de betreffende persoon hierover te informeren. Ook mogen persoonsgegevens alleen worden verwerkt in overeenstemming met de doeleinden waarvoor ze zijn verkregen. Het abonneebestand voor een Internet-nieuwsbrief mag dus worden gebruikt om die nieuwsbrief rond te sturen, maar het mag niet worden verkocht aan een ander bedrijf voor bijvoorbeeld een reclame mailing. Informatieplicht Alle organisaties die persoonsgegevens gebruiken, hebben een informatieplicht. Dit betekent dat zij de personen op wie de gegevens betrekking hebben, moeten laten weten wat zij met hun gegevens gaan doen. Dit hoeft niet wanneer het vanzelfsprekend is (bijvoorbeeld bij het invullen van een registratie-formulier bij een online forum) of wanneer het zeer tijdrovend is om het adres van de betrokkene te achterhalen. Correctierecht Daarnaast hebben personen die in een bestand zijn opgenomen het recht om hun geregistreerde gegevens in te zien. Ook kunnen zij eisen dat hun gegevens verbeterd, aangevuld, verwijderd of afgeschermd worden. Dat mag wanneer de gegevens die gebruikt worden door de verantwoordelijke feitelijk onjuist, onvolledig of niet ter zake dienend zijn voor het doel of de doeleinden van de verwerking. Een wanbetaler kan echter niet verwijdering van zijn persoonsgegevens eisen bij de debiteurenadministratie van een bedrijf. Vrijstellingen De WBP eist dat registraties worden aangemeld. Voor een aantal soorten registraties geeft de wet een vrijstelling. Voorbeelden hiervan zijn personeelsadministraties, boekhoudingen, administraties van afnemers en leveranciers, ledenadministraties, abonnementadministraties en administraties van (oud-)leerlingen. Wel worden er in dergelijke gevallen beperkingen gesteld aan de informatie die dan mag worden geregistreerd. Het CBP heeft een Handreiking Vrijstellingsbesluit gepubliceerd met daarin uitleg over de belangrijkste vrijstellingen. Om er een paar te noemen: Abonnementen: uitgevers van publicaties (ook elektronische) hoeven de administratie van persoonsgegevens van hun abonnees niet aan te melden. Ze mogen niet meer bijhouden dan voor het leveren van de publicaties of het innen van het abonnementsgeld nodig is. Wetenschappelijk onderzoek en statistiek: wie onderzoek doet en daarbij persoonsgegevens gebruikt, hoeft zijn databank niet aan te melden. Alleen de hoogst noodzakelijke naam- en adresgegevens mogen worden bijgehouden. Gegevens mogen niet aan derden worden gegeven, behalve met toestemming of als doorgifte noodzakelijk is voor het onderzoek. Doorgifte voor ander onderzoek mag alleen als het gegarandeerd is dat de gegevens nergens anders voor gebruikt kunnen worden. Communicatiebestanden: verwerking van voor communicatie benodigde persoonsgegevens hoeft niet te worden aangemeld. De beheerder van een mailinglijst of forum hoeft zijn abonneebestand of lijst met leden dus niet aan te melden. Hij mag echter geen 'bijzondere persoonsgegevens' (b.v. godsdienst, gezondheid of politieke voorkeuren) opslaan. De databank mag ook niet voor andere doeleinden worden gebruikt zonder toestemming van de betrokkenen. De beheerder van een forum mag gegevens van zijn leden dus niet aan adverteerders geven. Netwerksystemen: wie een privé-netwerk beheert, mag gegevens bijhouden over gebruikers om het netwerk goed te laten werken, voor de veiligheid en interne controle en onderhoud en beheer. Hieronder vallen zaken zoals 'loggen' wat gebruikers doen, welke ingaande en uitgaande communicatie ze verrichten (maar niet de inhoud daarvan) of het vastleggen waar ze wel en niet bij mogen. Gebruikers moeten hierover wel worden geďnformeerd. Dit geldt niet voor Internet-aanbieders en andere beheerders van openbare telecommunicatienetwerken! Deze moeten hun databank gewoon aanmelden. Het College Bescherming Persoonsgegevens Toezicht op de naleving van de WBP is in handen van het College Bescherming Persoonsgegevens (CBP), voorheen Registratiekamer. Het CBP adviseert de regering over de bescherming van persoonsgegevens, voert onderzoeken uit, toetst gedragscodes en privacyreglementen en behandelt vragen en klachten. Het CBP is bevoegd om boetes uit te delen aan organisaties die de WBP overtreden. De registraties van bestanden met persoonsgegevens moeten worden aangemeld bij het CBP. Spam Zie ook Spam nu eindelijk verboden Het rondsturen van ongevraagde commerci�le e-mail, in het jargon 'spam' geheten, mag in principe alleen als de geadresseerden hun toestemming hebben verleend voor opname in het bestand van de zender. Wie de letterlijke tekst van de WBP er bij pakt, zou kunnen concluderen dat deze toestemming vooraf moet worden verleend, en dat vrijwel alle 'spam' in Nederland onrechtmatig is. rechtszaak tussen tussen XS4All en direct marketingbureau Ab.Fab besliste de Hoge Raad dat Ab.Fab geen spam mocht sturen naar XS4All-klanten. XS4ALL heeft als Internet-provider exclusieve rechten op haar computercapaciteit, haar transmissiecapaciteit en haar klantenbestand, en mag anderen de toegang daartoe weigeren. De nieuwe Europese richtlijn 2002/58/EG, die uiterlijk 31 oktober 2003 een Nederlandse wet moet worden, brengt hopelijk meer duidelijkheid. Artikel 13 van deze richtlijn zegt dat e-mail met het oog op direct marketing alleen is toegestaan met betrekking tot abonnees die daarin vooraf hebben toegestemd. E-mail adressen verzamelen Een veelvoorkomende praktijk op Internet is het verzamelen van e-mailadressen van bijvoorbeeld websites om een bestand op te bouwen, met name voor direct marketing doeleinden. Ook dit lijkt in strijd zijn met de WBP. Het leeghalen van andermans e-mailgids werd in december 2002 verboden omdat de betreffende e-mail gids in haar algemene voorwaarden dit verbood. Stamboom-onderzoek Steeds meer mensen, waaronder ook de auteur van dit artikel, publiceren hun stamboom op Internet. De WBP maakt een uitzondering voor verwerking van persoonsgegevens voor uitsluitend persoonlijke doeleinden. Het verzamelen van materiaal ten behoeve van een stamboom, en het maken van de stamboom zelf mag dus zonder toestemming van de personen die erin staan gebeuren. Echter, op het moment dat de stamboom wordt gepubliceerd, bijvoorbeeld op Internet, is er niet langer sprake van "persoonlijke doeleinden". De bovengenoemde regels gelden dan. Echter, de WBP gaat formeel gesproken over gegevens die herleidbaar zijn tot natuurlijke personen. Volgens de wet is een overledene geen natuurlijk persoon (meer). Derhalve is de WBP niet van toepassing op overleden personen. Houd er echter wel rekening mee dat bijvoorbeeld de partner of kinderen van de overledene gemakkelijk te achterhalen zijn wanneer er voldoende informatie over de overledene zelf wordt gepubliceerd. Daarmee vormt die informatie een persoonsgegeven van die partner of kinderen. De WBP kan dus soms toch van toepassing zijn. Gerelateerde artikelen Anonimiteit en privacy op het internet Cameratoezicht, filmen en fotograferen van mensen Filesharing (P2P) en privacy Persoonsgegevens op Internet Categorieën Privacy Zie ook Anonimiteit en privacy op het Internet Elektronisch briefgeheim: de stand van zaken Wat weten ze allemaal over mij? De Wet Bescherming Persoonsgegevens is de belangrijkste wet over persoonsgegevens, informatie zoals naam en adres. Verwerking van persoonsgegevens mag alleen als de betrokkene geďnformeerd is over wat er met de gegevens gebeurt. Er zijn uitzonderingen voor bijvoorbeeld mailinglijsten, forums of privé-netwerken. Door ICT-jurist Arnoud Engelfriet (blog, contact). Er bestaat in Nederland geen algemene "wet op de privacy". Er zijn diverse wetten die elk een bepaald aspect van de privacy in Nederland regelen. De belangrijkste en bekendste wet is de Wet Bescherming Persoonsgegevens. De Wet Bescherming Persoonsgegevens regelt onder welke voorwaarden persoonsgegevens verwerkt mogen worden. Persoonsgegevens zijn alle gegevens die herleidbaar zijn tot een bepaald individu. Omdat bijvoorbeeld een e-mailadres ook een persoonsgegeven is, heeft deze wet ook de nodige implicaties voor Internet-aanbieders en -gebruikers. Zo is het publiceren van e-mailadressen op een website niet zomaar toegestaan. Maar ook bijvoorbeeld de familiestamboom mag niet zomaar op Internet. Inhoudsopgave De Wet Bescherming Persoonsgegevens De regels bij verwerking van persoonsgegevens Het College Bescherming Persoonsgegevens Spam E-mail adressen verzamelen Stamboom-onderzoek De Wet Bescherming Persoonsgegevens In 2000 werd de Wet Bescherming Persoonsgegevens (WBP) aangenomen als gevolg van Europese privacy- richtlijn nr. 95/46/EG. Deze wet is de opvolger van de oudere Wet Persoonsregistratie (WPR). De WBP bevat regels voor de "geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen." Persoonsgegevens Persoonsgegevens zijn alle gegevens waarmee een bepaald individu ge�dentificeerd kan worden. Het bekendste voorbeeld zijn naam- en adresgegevens. Ook e-mailadressen en bijvoorbeeld MSN-accounts worden gezien als persoonsgegevens. Maar ook gegevens die een waardering over een bepaalde persoon inhouden, bijvoorbeeld iemands IQ, kunnen persoonsgegevens zijn wanneer te achterhalen is welke persoon dit IQ heeft. Op Internet is bijvoorbeeld het IP-adres een persoonsgegeven. Een IP-adres is, samen met een datum en tijd van gebruik van dat adres, te herleiden tot een persoon. Je hebt daar de hulp van een provider bij nodig, maar het kan. Zie ook Foto's en het portretrecht Ook iemands foto is een persoonsgegeven. De geportretteerde is er tenslotte aan te herkennen. Bovendien is aan een foto te zien welk ras iemand is, en of deze persoon man of vrouw is. Volgens de letter van de wet is een foto dan ook een bijzonder persoonsgegeven, waardoor er voor verwerking van foto's extra strenge regels gelden. Verwerking van persoonsgegevens Verwerking wil zeggen "elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens." De wet geeft als voorbeelden het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens. De regels bij verwerking van persoonsgegevens De betrokkene moet voor elke verwerking van persoonsgegevens zijn toestemming hebben gegeven. Ook heeft hij het recht de informatie die over hem is opgeslagen, te corrigeren of te laten verwijderen. Organisaties die persoonsgegevens verwerken, moeten uitleggen hoe zij dat doen. Voorafgaande toestemming Persoonsgegevens mogen alleen worden verwerkt in overeenstemming met de regels van de WBP. De belangrijkste regel is dat de betreffende persoon zijn toestemming moet hebben gegeven voor de verwerking. Worden gegevens gevraagd aan die persoon zelf, dan moet deze vooraf ge�nformeerd worden over opname in het bestand. Een registratie-formulier op een website moet dus voorzien zijn van een dergelijke waarschuwing. Ook bij persoonsgegevens die uit andere bronnen worden verzameld, moet de betreffende persoon worden ge�nformeerd bij het moment van opname of uiterlijk net voor het moment van verstrekking aan derden. Dit hoeft niet als de betreffende persoon al wist dat zijn gegevens opgenomen zouden worden. Het is dus niet toegestaan om e-mailadressen van mensen die reageren op je website te verzamelen om ze massaal e-mail te sturen, want het maken van een dergelijke verzendlijst is een vorm van verwerking. Het bedrijf Hotmail mag haar klanten echter wel massaal e-mail sturen, want de klanten hebben hiervoor in de algemene voorwaarden toestemming verleend. Het is altijd de taak van de organisatie die de gegevens verwerkt om de betreffende persoon hierover te informeren. Ook mogen persoonsgegevens alleen worden verwerkt in overeenstemming met de doeleinden waarvoor ze zijn verkregen. Het abonneebestand voor een Internet-nieuwsbrief mag dus worden gebruikt om die nieuwsbrief rond te sturen, maar het mag niet worden verkocht aan een ander bedrijf voor bijvoorbeeld een reclame mailing. Informatieplicht Alle organisaties die persoonsgegevens gebruiken, hebben een informatieplicht. Dit betekent dat zij de personen op wie de gegevens betrekking hebben, moeten laten weten wat zij met hun gegevens gaan doen. Dit hoeft niet wanneer het vanzelfsprekend is (bijvoorbeeld bij het invullen van een registratie-formulier bij een online forum) of wanneer het zeer tijdrovend is om het adres van de betrokkene te achterhalen. Correctierecht Daarnaast hebben personen die in een bestand zijn opgenomen het recht om hun geregistreerde gegevens in te zien. Ook kunnen zij eisen dat hun gegevens verbeterd, aangevuld, verwijderd of afgeschermd worden. Dat mag wanneer de gegevens die gebruikt worden door de verantwoordelijke feitelijk onjuist, onvolledig of niet ter zake dienend zijn voor het doel of de doeleinden van de verwerking. Een wanbetaler kan echter niet verwijdering van zijn persoonsgegevens eisen bij de debiteurenadministratie van een bedrijf. Vrijstellingen De WBP eist dat registraties worden aangemeld. Voor een aantal soorten registraties geeft de wet een vrijstelling. Voorbeelden hiervan zijn personeelsadministraties, boekhoudingen, administraties van afnemers en leveranciers, ledenadministraties, abonnementadministraties en administraties van (oud-)leerlingen. Wel worden er in dergelijke gevallen beperkingen gesteld aan de informatie die dan mag worden geregistreerd. Het CBP heeft een Handreiking Vrijstellingsbesluit gepubliceerd met daarin uitleg over de belangrijkste vrijstellingen. Om er een paar te noemen: Abonnementen: uitgevers van publicaties (ook elektronische) hoeven de administratie van persoonsgegevens van hun abonnees niet aan te melden. Ze mogen niet meer bijhouden dan voor het leveren van de publicaties of het innen van het abonnementsgeld nodig is. Wetenschappelijk onderzoek en statistiek: wie onderzoek doet en daarbij persoonsgegevens gebruikt, hoeft zijn databank niet aan te melden. Alleen de hoogst noodzakelijke naam- en adresgegevens mogen worden bijgehouden. Gegevens mogen niet aan derden worden gegeven, behalve met toestemming of als doorgifte noodzakelijk is voor het onderzoek. Doorgifte voor ander onderzoek mag alleen als het gegarandeerd is dat de gegevens nergens anders voor gebruikt kunnen worden. Communicatiebestanden: verwerking van voor communicatie benodigde persoonsgegevens hoeft niet te worden aangemeld. De beheerder van een mailinglijst of forum hoeft zijn abonneebestand of lijst met leden dus niet aan te melden. Hij mag echter geen 'bijzondere persoonsgegevens' (b.v. godsdienst, gezondheid of politieke voorkeuren) opslaan. De databank mag ook niet voor andere doeleinden worden gebruikt zonder toestemming van de betrokkenen. De beheerder van een forum mag gegevens van zijn leden dus niet aan adverteerders geven. Netwerksystemen: wie een privé-netwerk beheert, mag gegevens bijhouden over gebruikers om het netwerk goed te laten werken, voor de veiligheid en interne controle en onderhoud en beheer. Hieronder vallen zaken zoals 'loggen' wat gebruikers doen, welke ingaande en uitgaande communicatie ze verrichten (maar niet de inhoud daarvan) of het vastleggen waar ze wel en niet bij mogen. Gebruikers moeten hierover wel worden geďnformeerd. Dit geldt niet voor Internet-aanbieders en andere beheerders van openbare telecommunicatienetwerken! Deze moeten hun databank gewoon aanmelden. Het College Bescherming Persoonsgegevens Toezicht op de naleving van de WBP is in handen van het College Bescherming Persoonsgegevens (CBP), voorheen Registratiekamer. Het CBP adviseert de regering over de bescherming van persoonsgegevens, voert onderzoeken uit, toetst gedragscodes en privacyreglementen en behandelt vragen en klachten. Het CBP is bevoegd om boetes uit te delen aan organisaties die de WBP overtreden. De registraties van bestanden met persoonsgegevens moeten worden aangemeld bij het CBP. Spam Zie ook Spam nu eindelijk verboden Het rondsturen van ongevraagde commerci�le e-mail, in het jargon 'spam' geheten, mag in principe alleen als de geadresseerden hun toestemming hebben verleend voor opname in het bestand van de zender. Wie de letterlijke tekst van de WBP er bij pakt, zou kunnen concluderen dat deze toestemming vooraf moet worden verleend, en dat vrijwel alle 'spam' in Nederland onrechtmatig is. rechtszaak tussen tussen XS4All en direct marketingbureau Ab.Fab besliste de Hoge Raad dat Ab.Fab geen spam mocht sturen naar XS4All-klanten. XS4ALL heeft als Internet-provider exclusieve rechten op haar computercapaciteit, haar transmissiecapaciteit en haar klantenbestand, en mag anderen de toegang daartoe weigeren. De nieuwe Europese richtlijn 2002/58/EG, die uiterlijk 31 oktober 2003 een Nederlandse wet moet worden, brengt hopelijk meer duidelijkheid. Artikel 13 van deze richtlijn zegt dat e-mail met het oog op direct marketing alleen is toegestaan met betrekking tot abonnees die daarin vooraf hebben toegestemd. E-mail adressen verzamelen Een veelvoorkomende praktijk op Internet is het verzamelen van e-mailadressen van bijvoorbeeld websites om een bestand op te bouwen, met name voor direct marketing doeleinden. Ook dit lijkt in strijd zijn met de WBP. Het leeghalen van andermans e-mailgids werd in december 2002 verboden omdat de betreffende e-mail gids in haar algemene voorwaarden dit verbood. Stamboom-onderzoek Steeds meer mensen, waaronder ook de auteur van dit artikel, publiceren hun stamboom op Internet. De WBP maakt een uitzondering voor verwerking van persoonsgegevens voor uitsluitend persoonlijke doeleinden. Het verzamelen van materiaal ten behoeve van een stamboom, en het maken van de stamboom zelf mag dus zonder toestemming van de personen die erin staan gebeuren. Echter, op het moment dat de stamboom wordt gepubliceerd, bijvoorbeeld op Internet, is er niet langer sprake van "persoonlijke doeleinden". De bovengenoemde regels gelden dan. Echter, de WBP gaat formeel gesproken over gegevens die herleidbaar zijn tot natuurlijke personen. Volgens de wet is een overledene geen natuurlijk persoon (meer). Derhalve is de WBP niet van toepassing op overleden personen. Houd er echter wel rekening mee dat bijvoorbeeld de partner of kinderen van de overledene gemakkelijk te achterhalen zijn wanneer er voldoende informatie over de overledene zelf wordt gepubliceerd. Daarmee vormt die informatie een persoonsgegeven van die partner of kinderen. De WBP kan dus soms toch van toepassing zijn. Gerelateerde artikelen Anonimiteit en privacy op het internet Cameratoezicht, filmen en fotograferen van mensen Filesharing (P2P) en privacy Persoonsgegevens op Internet Categorieën Privacy Zie ook Anonimiteit en privacy op het Internet Elektronisch briefgeheim: de stand van zaken Wat weten ze allemaal over mij? De Wet Bescherming Persoonsgegevens is de belangrijkste wet over persoonsgegevens, informatie zoals naam en adres. Verwerking van persoonsgegevens mag alleen als de betrokkene geďnformeerd is over wat er met de gegevens gebeurt. Er zijn uitzonderingen voor bijvoorbeeld mailinglijsten, forums of privé-netwerken. Door ICT-jurist Arnoud Engelfriet (blog, contact). Er bestaat in Nederland geen algemene "wet op de privacy". Er zijn diverse wetten die elk een bepaald aspect van de privacy in Nederland regelen. De belangrijkste en bekendste wet is de Wet Bescherming Persoonsgegevens. De Wet Bescherming Persoonsgegevens regelt onder welke voorwaarden persoonsgegevens verwerkt mogen worden. Persoonsgegevens zijn alle gegevens die herleidbaar zijn tot een bepaald individu. Omdat bijvoorbeeld een e-mailadres ook een persoonsgegeven is, heeft deze wet ook de nodige implicaties voor Internet-aanbieders en -gebruikers. Zo is het publiceren van e-mailadressen op een website niet zomaar toegestaan. Maar ook bijvoorbeeld de familiestamboom mag niet zomaar op Internet. Inhoudsopgave De Wet Bescherming Persoonsgegevens De regels bij verwerking van persoonsgegevens Het College Bescherming Persoonsgegevens Spam E-mail adressen verzamelen Stamboom-onderzoek De Wet Bescherming Persoonsgegevens In 2000 werd de Wet Bescherming Persoonsgegevens (WBP) aangenomen als gevolg van Europese privacy- richtlijn nr. 95/46/EG. Deze wet is de opvolger van de oudere Wet Persoonsregistratie (WPR). De WBP bevat regels voor de "geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen." Persoonsgegevens Persoonsgegevens zijn alle gegevens waarmee een bepaald individu ge�dentificeerd kan worden. Het bekendste voorbeeld zijn naam- en adresgegevens. Ook e-mailadressen en bijvoorbeeld MSN-accounts worden gezien als persoonsgegevens. Maar ook gegevens die een waardering over een bepaalde persoon inhouden, bijvoorbeeld iemands IQ, kunnen persoonsgegevens zijn wanneer te achterhalen is welke persoon dit IQ heeft. Op Internet is bijvoorbeeld het IP-adres een persoonsgegeven. Een IP-adres is, samen met een datum en tijd van gebruik van dat adres, te herleiden tot een persoon. Je hebt daar de hulp van een provider bij nodig, maar het kan. Zie ook Foto's en het portretrecht Ook iemands foto is een persoonsgegeven. De geportretteerde is er tenslotte aan te herkennen. Bovendien is aan een foto te zien welk ras iemand is, en of deze persoon man of vrouw is. Volgens de letter van de wet is een foto dan ook een bijzonder persoonsgegeven, waardoor er voor verwerking van foto's extra strenge regels gelden. Verwerking van persoonsgegevens Verwerking wil zeggen "elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens." De wet geeft als voorbeelden het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens. De regels bij verwerking van persoonsgegevens De betrokkene moet voor elke verwerking van persoonsgegevens zijn toestemming hebben gegeven. Ook heeft hij het recht de informatie die over hem is opgeslagen, te corrigeren of te laten verwijderen. Organisaties die persoonsgegevens verwerken, moeten uitleggen hoe zij dat doen. Voorafgaande toestemming Persoonsgegevens mogen alleen worden verwerkt in overeenstemming met de regels van de WBP. De belangrijkste regel is dat de betreffende persoon zijn toestemming moet hebben gegeven voor de verwerking. Worden gegevens gevraagd aan die persoon zelf, dan moet deze vooraf ge�nformeerd worden over opname in het bestand. Een registratie-formulier op een website moet dus voorzien zijn van een dergelijke waarschuwing. Ook bij persoonsgegevens die uit andere bronnen worden verzameld, moet de betreffende persoon worden ge�nformeerd bij het moment van opname of uiterlijk net voor het moment van verstrekking aan derden. Dit hoeft niet als de betreffende persoon al wist dat zijn gegevens opgenomen zouden worden. Het is dus niet toegestaan om e-mailadressen van mensen die reageren op je website te verzamelen om ze massaal e-mail te sturen, want het maken van een dergelijke verzendlijst is een vorm van verwerking. Het bedrijf Hotmail mag haar klanten echter wel massaal e-mail sturen, want de klanten hebben hiervoor in de algemene voorwaarden toestemming verleend. Het is altijd de taak van de organisatie die de gegevens verwerkt om de betreffende persoon hierover te informeren. Ook mogen persoonsgegevens alleen worden verwerkt in overeenstemming met de doeleinden waarvoor ze zijn verkregen. Het abonneebestand voor een Internet-nieuwsbrief mag dus worden gebruikt om die nieuwsbrief rond te sturen, maar het mag niet worden verkocht aan een ander bedrijf voor bijvoorbeeld een reclame mailing. Informatieplicht Alle organisaties die persoonsgegevens gebruiken, hebben een informatieplicht. Dit betekent dat zij de personen op wie de gegevens betrekking hebben, moeten laten weten wat zij met hun gegevens gaan doen. Dit hoeft niet wanneer het vanzelfsprekend is (bijvoorbeeld bij het invullen van een registratie-formulier bij een online forum) of wanneer het zeer tijdrovend is om het adres van de betrokkene te achterhalen. Correctierecht Daarnaast hebben personen die in een bestand zijn opgenomen het recht om hun geregistreerde gegevens in te zien. Ook kunnen zij eisen dat hun gegevens verbeterd, aangevuld, verwijderd of afgeschermd worden. Dat mag wanneer de gegevens die gebruikt worden door de verantwoordelijke feitelijk onjuist, onvolledig of niet ter zake dienend zijn voor het doel of de doeleinden van de verwerking. Een wanbetaler kan echter niet verwijdering van zijn persoonsgegevens eisen bij de debiteurenadministratie van een bedrijf. Vrijstellingen De WBP eist dat registraties worden aangemeld. Voor een aantal soorten registraties geeft de wet een vrijstelling. Voorbeelden hiervan zijn personeelsadministraties, boekhoudingen, administraties van afnemers en leveranciers, ledenadministraties, abonnementadministraties en administraties van (oud-)leerlingen. Wel worden er in dergelijke gevallen beperkingen gesteld aan de informatie die dan mag worden geregistreerd. Het CBP heeft een Handreiking Vrijstellingsbesluit gepubliceerd met daarin uitleg over de belangrijkste vrijstellingen. Om er een paar te noemen: Abonnementen: uitgevers van publicaties (ook elektronische) hoeven de administratie van persoonsgegevens van hun abonnees niet aan te melden. Ze mogen niet meer bijhouden dan voor het leveren van de publicaties of het innen van het abonnementsgeld nodig is. Wetenschappelijk onderzoek en statistiek: wie onderzoek doet en daarbij persoonsgegevens gebruikt, hoeft zijn databank niet aan te melden. Alleen de hoogst noodzakelijke naam- en adresgegevens mogen worden bijgehouden. Gegevens mogen niet aan derden worden gegeven, behalve met toestemming of als doorgifte noodzakelijk is voor het onderzoek. Doorgifte voor ander onderzoek mag alleen als het gegarandeerd is dat de gegevens nergens anders voor gebruikt kunnen worden. Communicatiebestanden: verwerking van voor communicatie benodigde persoonsgegevens hoeft niet te worden aangemeld. De beheerder van een mailinglijst of forum hoeft zijn abonneebestand of lijst met leden dus niet aan te melden. Hij mag echter geen 'bijzondere persoonsgegevens' (b.v. godsdienst, gezondheid of politieke voorkeuren) opslaan. De databank mag ook niet voor andere doeleinden worden gebruikt zonder toestemming van de betrokkenen. De beheerder van een forum mag gegevens van zijn leden dus niet aan adverteerders geven. Netwerksystemen: wie een privé-netwerk beheert, mag gegevens bijhouden over gebruikers om het netwerk goed te laten werken, voor de veiligheid en interne controle en onderhoud en beheer. Hieronder vallen zaken zoals 'loggen' wat gebruikers doen, welke ingaande en uitgaande communicatie ze verrichten (maar niet de inhoud daarvan) of het vastleggen waar ze wel en niet bij mogen. Gebruikers moeten hierover wel worden geďnformeerd. Dit geldt niet voor Internet-aanbieders en andere beheerders van openbare telecommunicatienetwerken! Deze moeten hun databank gewoon aanmelden. Het College Bescherming Persoonsgegevens Toezicht op de naleving van de WBP is in handen van het College Bescherming Persoonsgegevens (CBP), voorheen Registratiekamer. Het CBP adviseert de regering over de bescherming van persoonsgegevens, voert onderzoeken uit, toetst gedragscodes en privacyreglementen en behandelt vragen en klachten. Het CBP is bevoegd om boetes uit te delen aan organisaties die de WBP overtreden. De registraties van bestanden met persoonsgegevens moeten worden aangemeld bij het CBP. Spam Zie ook Spam nu eindelijk verboden Het rondsturen van ongevraagde commerci�le e-mail, in het jargon 'spam' geheten, mag in principe alleen als de geadresseerden hun toestemming hebben verleend voor opname in het bestand van de zender. Wie de letterlijke tekst van de WBP er bij pakt, zou kunnen concluderen dat deze toestemming vooraf moet worden verleend, en dat vrijwel alle 'spam' in Nederland onrechtmatig is. rechtszaak tussen tussen XS4All en direct marketingbureau Ab.Fab besliste de Hoge Raad dat Ab.Fab geen spam mocht sturen naar XS4All-klanten. XS4ALL heeft als Internet-provider exclusieve rechten op haar computercapaciteit, haar transmissiecapaciteit en haar klantenbestand, en mag anderen de toegang daartoe weigeren. De nieuwe Europese richtlijn 2002/58/EG, die uiterlijk 31 oktober 2003 een Nederlandse wet moet worden, brengt hopelijk meer duidelijkheid. Artikel 13 van deze richtlijn zegt dat e-mail met het oog op direct marketing alleen is toegestaan met betrekking tot abonnees die daarin vooraf hebben toegestemd. E-mail adressen verzamelen Een veelvoorkomende praktijk op Internet is het verzamelen van e-mailadressen van bijvoorbeeld websites om een bestand op te bouwen, met name voor direct marketing doeleinden. Ook dit lijkt in strijd zijn met de WBP. Het leeghalen van andermans e-mailgids werd in december 2002 verboden omdat de betreffende e-mail gids in haar algemene voorwaarden dit verbood. Stamboom-onderzoek Steeds meer mensen, waaronder ook de auteur van dit artikel, publiceren hun stamboom op Internet. De WBP maakt een uitzondering voor verwerking van persoonsgegevens voor uitsluitend persoonlijke doeleinden. Het verzamelen van materiaal ten behoeve van een stamboom, en het maken van de stamboom zelf mag dus zonder toestemming van de personen die erin staan gebeuren. Echter, op het moment dat de stamboom wordt gepubliceerd, bijvoorbeeld op Internet, is er niet langer sprake van "persoonlijke doeleinden". De bovengenoemde regels gelden dan. Echter, de WBP gaat formeel gesproken over gegevens die herleidbaar zijn tot natuurlijke personen. Volgens de wet is een overledene geen natuurlijk persoon (meer). Derhalve is de WBP niet van toepassing op overleden personen. Houd er echter wel rekening mee dat bijvoorbeeld de partner of kinderen van de overledene gemakkelijk te achterhalen zijn wanneer er voldoende informatie over de overledene zelf wordt gepubliceerd. Daarmee vormt die informatie een persoonsgegeven van die partner of kinderen. De WBP kan dus soms toch van toepassing zijn. Gerelateerde artikelen Anonimiteit en privacy op het internet Cameratoezicht, filmen en fotograferen van mensen Filesharing (P2P) en privacy Persoonsgegevens op Internet Categorieën Privacy Zie ook Anonimiteit en privacy op het Internet Elektronisch briefgeheim: de stand van zaken Wat weten ze allemaal over mij? De Wet Bescherming Persoonsgegevens is de belangrijkste wet over persoonsgegevens, informatie zoals naam en adres. Verwerking van persoonsgegevens mag alleen als de betrokkene geďnformeerd is over wat er met de gegevens gebeurt. Er zijn uitzonderingen voor bijvoorbeeld mailinglijsten, forums of privé-netwerken. Door ICT-jurist Arnoud Engelfriet (blog, contact). Er bestaat in Nederland geen algemene "wet op de privacy". Er zijn diverse wetten die elk een bepaald aspect van de privacy in Nederland regelen. De belangrijkste en bekendste wet is de Wet Bescherming Persoonsgegevens. De Wet Bescherming Persoonsgegevens regelt onder welke voorwaarden persoonsgegevens verwerkt mogen worden. Persoonsgegevens zijn alle gegevens die herleidbaar zijn tot een bepaald individu. Omdat bijvoorbeeld een e-mailadres ook een persoonsgegeven is, heeft deze wet ook de nodige implicaties voor Internet-aanbieders en -gebruikers. Zo is het publiceren van e-mailadressen op een website niet zomaar toegestaan. Maar ook bijvoorbeeld de familiestamboom mag niet zomaar op Internet. Inhoudsopgave De Wet Bescherming Persoonsgegevens De regels bij verwerking van persoonsgegevens Het College Bescherming Persoonsgegevens Spam E-mail adressen verzamelen Stamboom-onderzoek De Wet Bescherming Persoonsgegevens In 2000 werd de Wet Bescherming Persoonsgegevens (WBP) aangenomen als gevolg van Europese privacy- richtlijn nr. 95/46/EG. Deze wet is de opvolger van de oudere Wet Persoonsregistratie (WPR). De WBP bevat regels voor de "geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen." Persoonsgegevens Persoonsgegevens zijn alle gegevens waarmee een bepaald individu ge�dentificeerd kan worden. Het bekendste voorbeeld zijn naam- en adresgegevens. Ook e-mailadressen en bijvoorbeeld MSN-accounts worden gezien als persoonsgegevens. Maar ook gegevens die een waardering over een bepaalde persoon inhouden, bijvoorbeeld iemands IQ, kunnen persoonsgegevens zijn wanneer te achterhalen is welke persoon dit IQ heeft. Op Internet is bijvoorbeeld het IP-adres een persoonsgegeven. Een IP-adres is, samen met een datum en tijd van gebruik van dat adres, te herleiden tot een persoon. Je hebt daar de hulp van een provider bij nodig, maar het kan. Zie ook Foto's en het portretrecht Ook iemands foto is een persoonsgegeven. De geportretteerde is er tenslotte aan te herkennen. Bovendien is aan een foto te zien welk ras iemand is, en of deze persoon man of vrouw is. Volgens de letter van de wet is een foto dan ook een bijzonder persoonsgegeven, waardoor er voor verwerking van foto's extra strenge regels gelden. Verwerking van persoonsgegevens Verwerking wil zeggen "elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens." De wet geeft als voorbeelden het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens. De regels bij verwerking van persoonsgegevens De betrokkene moet voor elke verwerking van persoonsgegevens zijn toestemming hebben gegeven. Ook heeft hij het recht de informatie die over hem is opgeslagen, te corrigeren of te laten verwijderen. Organisaties die persoonsgegevens verwerken, moeten uitleggen hoe zij dat doen. Voorafgaande toestemming Persoonsgegevens mogen alleen worden verwerkt in overeenstemming met de regels van de WBP. De belangrijkste regel is dat de betreffende persoon zijn toestemming moet hebben gegeven voor de verwerking. Worden gegevens gevraagd aan die persoon zelf, dan moet deze vooraf ge�nformeerd worden over opname in het bestand. Een registratie-formulier op een website moet dus voorzien zijn van een dergelijke waarschuwing. Ook bij persoonsgegevens die uit andere bronnen worden verzameld, moet de betreffende persoon worden ge�nformeerd bij het moment van opname of uiterlijk net voor het moment van verstrekking aan derden. Dit hoeft niet als de betreffende persoon al wist dat zijn gegevens opgenomen zouden worden. Het is dus niet toegestaan om e-mailadressen van mensen die reageren op je website te verzamelen om ze massaal e-mail te sturen, want het maken van een dergelijke verzendlijst is een vorm van verwerking. Het bedrijf Hotmail mag haar klanten echter wel massaal e-mail sturen, want de klanten hebben hiervoor in de algemene voorwaarden toestemming verleend. Het is altijd de taak van de organisatie die de gegevens verwerkt om de betreffende persoon hierover te informeren. Ook mogen persoonsgegevens alleen worden verwerkt in overeenstemming met de doeleinden waarvoor ze zijn verkregen. Het abonneebestand voor een Internet-nieuwsbrief mag dus worden gebruikt om die nieuwsbrief rond te sturen, maar het mag niet worden verkocht aan een ander bedrijf voor bijvoorbeeld een reclame mailing. Informatieplicht Alle organisaties die persoonsgegevens gebruiken, hebben een informatieplicht. Dit betekent dat zij de personen op wie de gegevens betrekking hebben, moeten laten weten wat zij met hun gegevens gaan doen. Dit hoeft niet wanneer het vanzelfsprekend is (bijvoorbeeld bij het invullen van een registratie-formulier bij een online forum) of wanneer het zeer tijdrovend is om het adres van de betrokkene te achterhalen. Correctierecht Daarnaast hebben personen die in een bestand zijn opgenomen het recht om hun geregistreerde gegevens in te zien. Ook kunnen zij eisen dat hun gegevens verbeterd, aangevuld, verwijderd of afgeschermd worden. Dat mag wanneer de gegevens die gebruikt worden door de verantwoordelijke feitelijk onjuist, onvolledig of niet ter zake dienend zijn voor het doel of de doeleinden van de verwerking. Een wanbetaler kan echter niet verwijdering van zijn persoonsgegevens eisen bij de debiteurenadministratie van een bedrijf. Vrijstellingen De WBP eist dat registraties worden aangemeld. Voor een aantal soorten registraties geeft de wet een vrijstelling. Voorbeelden hiervan zijn personeelsadministraties, boekhoudingen, administraties van afnemers en leveranciers, ledenadministraties, abonnementadministraties en administraties van (oud-)leerlingen. Wel worden er in dergelijke gevallen beperkingen gesteld aan de informatie die dan mag worden geregistreerd. Het CBP heeft een Handreiking Vrijstellingsbesluit gepubliceerd met daarin uitleg over de belangrijkste vrijstellingen. Om er een paar te noemen: Abonnementen: uitgevers van publicaties (ook elektronische) hoeven de administratie van persoonsgegevens van hun abonnees niet aan te melden. Ze mogen niet meer bijhouden dan voor het leveren van de publicaties of het innen van het abonnementsgeld nodig is. Wetenschappelijk onderzoek en statistiek: wie onderzoek doet en daarbij persoonsgegevens gebruikt, hoeft zijn databank niet aan te melden. Alleen de hoogst noodzakelijke naam- en adresgegevens mogen worden bijgehouden. Gegevens mogen niet aan derden worden gegeven, behalve met toestemming of als doorgifte noodzakelijk is voor het onderzoek. Doorgifte voor ander onderzoek mag alleen als het gegarandeerd is dat de gegevens nergens anders voor gebruikt kunnen worden. Communicatiebestanden: verwerking van voor communicatie benodigde persoonsgegevens hoeft niet te worden aangemeld. De beheerder van een mailinglijst of forum hoeft zijn abonneebestand of lijst met leden dus niet aan te melden. Hij mag echter geen 'bijzondere persoonsgegevens' (b.v. godsdienst, gezondheid of politieke voorkeuren) opslaan. De databank mag ook niet voor andere doeleinden worden gebruikt zonder toestemming van de betrokkenen. De beheerder van een forum mag gegevens van zijn leden dus niet aan adverteerders geven. Netwerksystemen: wie een privé-netwerk beheert, mag gegevens bijhouden over gebruikers om het netwerk goed te laten werken, voor de veiligheid en interne controle en onderhoud en beheer. Hieronder vallen zaken zoals 'loggen' wat gebruikers doen, welke ingaande en uitgaande communicatie ze verrichten (maar niet de inhoud daarvan) of het vastleggen waar ze wel en niet bij mogen. Gebruikers moeten hierover wel worden geďnformeerd. Dit geldt niet voor Internet-aanbieders en andere beheerders van openbare telecommunicatienetwerken! Deze moeten hun databank gewoon aanmelden. Het College Bescherming Persoonsgegevens Toezicht op de naleving van de WBP is in handen van het College Bescherming Persoonsgegevens (CBP), voorheen Registratiekamer. Het CBP adviseert de regering over de bescherming van persoonsgegevens, voert onderzoeken uit, toetst gedragscodes en privacyreglementen en behandelt vragen en klachten. Het CBP is bevoegd om boetes uit te delen aan organisaties die de WBP overtreden. De registraties van bestanden met persoonsgegevens moeten worden aangemeld bij het CBP. Spam Zie ook Spam nu eindelijk verboden Het rondsturen van ongevraagde commerci�le e-mail, in het jargon 'spam' geheten, mag in principe alleen als de geadresseerden hun toestemming hebben verleend voor opname in het bestand van de zender. Wie de letterlijke tekst van de WBP er bij pakt, zou kunnen concluderen dat deze toestemming vooraf moet worden verleend, en dat vrijwel alle 'spam' in Nederland onrechtmatig is. rechtszaak tussen tussen XS4All en direct marketingbureau Ab.Fab besliste de Hoge Raad dat Ab.Fab geen spam mocht sturen naar XS4All-klanten. XS4ALL heeft als Internet-provider exclusieve rechten op haar computercapaciteit, haar transmissiecapaciteit en haar klantenbestand, en mag anderen de toegang daartoe weigeren. De nieuwe Europese richtlijn 2002/58/EG, die uiterlijk 31 oktober 2003 een Nederlandse wet moet worden, brengt hopelijk meer duidelijkheid. Artikel 13 van deze richtlijn zegt dat e-mail met het oog op direct marketing alleen is toegestaan met betrekking tot abonnees die daarin vooraf hebben toegestemd. E-mail adressen verzamelen Een veelvoorkomende praktijk op Internet is het verzamelen van e-mailadressen van bijvoorbeeld websites om een bestand op te bouwen, met name voor direct marketing doeleinden. Ook dit lijkt in strijd zijn met de WBP. Het leeghalen van andermans e-mailgids werd in december 2002 verboden omdat de betreffende e-mail gids in haar algemene voorwaarden dit verbood. Stamboom-onderzoek Steeds meer mensen, waaronder ook de auteur van dit artikel, publiceren hun stamboom op Internet. De WBP maakt een uitzondering voor verwerking van persoonsgegevens voor uitsluitend persoonlijke doeleinden. Het verzamelen van materiaal ten behoeve van een stamboom, en het maken van de stamboom zelf mag dus zonder toestemming van de personen die erin staan gebeuren. Echter, op het moment dat de stamboom wordt gepubliceerd, bijvoorbeeld op Internet, is er niet langer sprake van "persoonlijke doeleinden". De bovengenoemde regels gelden dan. Echter, de WBP gaat formeel gesproken over gegevens die herleidbaar zijn tot natuurlijke personen. Volgens de wet is een overledene geen natuurlijk persoon (meer). Derhalve is de WBP niet van toepassing op overleden personen. Houd er echter wel rekening mee dat bijvoorbeeld de partner of kinderen van de overledene gemakkelijk te achterhalen zijn wanneer er voldoende informatie over de overledene zelf wordt gepubliceerd. Daarmee vormt die informatie een persoonsgegeven van die partner of kinderen. De WBP kan dus soms toch van toepassing zijn. Gerelateerde artikelen Anonimiteit en privacy op het internet Cameratoezicht, filmen en fotograferen van mensen Filesharing (P2P) en privacy Persoonsgegevens op Internet Categorieën Privacy Zie ook Anonimiteit en privacy op het Internet Elektronisch briefgeheim: de stand van zaken Wat weten ze allemaal over mij? De Wet Bescherming Persoonsgegevens is de belangrijkste wet over persoonsgegevens, informatie zoals naam en adres. Verwerking van persoonsgegevens mag alleen als de betrokkene geďnformeerd is over wat er met de gegevens gebeurt. Er zijn uitzonderingen voor bijvoorbeeld mailinglijsten, forums of privé-netwerken. Door ICT-jurist Arnoud Engelfriet (blog, contact). Er bestaat in Nederland geen algemene "wet op de privacy". Er zijn diverse wetten die elk een bepaald aspect van de privacy in Nederland regelen. De belangrijkste en bekendste wet is de Wet Bescherming Persoonsgegevens. De Wet Bescherming Persoonsgegevens regelt onder welke voorwaarden persoonsgegevens verwerkt mogen worden. Persoonsgegevens zijn alle gegevens die herleidbaar zijn tot een bepaald individu. Omdat bijvoorbeeld een e-mailadres ook een persoonsgegeven is, heeft deze wet ook de nodige implicaties voor Internet-aanbieders en -gebruikers. Zo is het publiceren van e-mailadressen op een website niet zomaar toegestaan. Maar ook bijvoorbeeld de familiestamboom mag niet zomaar op Internet. Inhoudsopgave De Wet Bescherming Persoonsgegevens De regels bij verwerking van persoonsgegevens Het College Bescherming Persoonsgegevens Spam E-mail adressen verzamelen Stamboom-onderzoek De Wet Bescherming Persoonsgegevens In 2000 werd de Wet Bescherming Persoonsgegevens (WBP) aangenomen als gevolg van Europese privacy- richtlijn nr. 95/46/EG. Deze wet is de opvolger van de oudere Wet Persoonsregistratie (WPR). De WBP bevat regels voor de "geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen." Persoonsgegevens Persoonsgegevens zijn alle gegevens waarmee een bepaald individu ge�dentificeerd kan worden. Het bekendste voorbeeld zijn naam- en adresgegevens. Ook e-mailadressen en bijvoorbeeld MSN-accounts worden gezien als persoonsgegevens. Maar ook gegevens die een waardering over een bepaalde persoon inhouden, bijvoorbeeld iemands IQ, kunnen persoonsgegevens zijn wanneer te achterhalen is welke persoon dit IQ heeft. Op Internet is bijvoorbeeld het IP-adres een persoonsgegeven. Een IP-adres is, samen met een datum en tijd van gebruik van dat adres, te herleiden tot een persoon. Je hebt daar de hulp van een provider bij nodig, maar het kan. Zie ook Foto's en het portretrecht Ook iemands foto is een persoonsgegeven. De geportretteerde is er tenslotte aan te herkennen. Bovendien is aan een foto te zien welk ras iemand is, en of deze persoon man of vrouw is. Volgens de letter van de wet is een foto dan ook een bijzonder persoonsgegeven, waardoor er voor verwerking van foto's extra strenge regels gelden. Verwerking van persoonsgegevens Verwerking wil zeggen "elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens." De wet geeft als voorbeelden het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens. De regels bij verwerking van persoonsgegevens De betrokkene moet voor elke verwerking van persoonsgegevens zijn toestemming hebben gegeven. Ook heeft hij het recht de informatie die over hem is opgeslagen, te corrigeren of te laten verwijderen. Organisaties die persoonsgegevens verwerken, moeten uitleggen hoe zij dat doen. Voorafgaande toestemming Persoonsgegevens mogen alleen worden verwerkt in overeenstemming met de regels van de WBP. De belangrijkste regel is dat de betreffende persoon zijn toestemming moet hebben gegeven voor de verwerking. Worden gegevens gevraagd aan die persoon zelf, dan moet deze vooraf ge�nformeerd worden over opname in het bestand. Een registratie-formulier op een website moet dus voorzien zijn van een dergelijke waarschuwing. Ook bij persoonsgegevens die uit andere bronnen worden verzameld, moet de betreffende persoon worden ge�nformeerd bij het moment van opname of uiterlijk net voor het moment van verstrekking aan derden. Dit hoeft niet als de betreffende persoon al wist dat zijn gegevens opgenomen zouden worden. Het is dus niet toegestaan om e-mailadressen van mensen die reageren op je website te verzamelen om ze massaal e-mail te sturen, want het maken van een dergelijke verzendlijst is een vorm van verwerking. Het bedrijf Hotmail mag haar klanten echter wel massaal e-mail sturen, want de klanten hebben hiervoor in de algemene voorwaarden toestemming verleend. Het is altijd de taak van de organisatie die de gegevens verwerkt om de betreffende persoon hierover te informeren. Ook mogen persoonsgegevens alleen worden verwerkt in overeenstemming met de doeleinden waarvoor ze zijn verkregen. Het abonneebestand voor een Internet-nieuwsbrief mag dus worden gebruikt om die nieuwsbrief rond te sturen, maar het mag niet worden verkocht aan een ander bedrijf voor bijvoorbeeld een reclame mailing. Informatieplicht Alle organisaties die persoonsgegevens gebruiken, hebben een informatieplicht. Dit betekent dat zij de personen op wie de gegevens betrekking hebben, moeten laten weten wat zij met hun gegevens gaan doen. Dit hoeft niet wanneer het vanzelfsprekend is (bijvoorbeeld bij het invullen van een registratie-formulier bij een online forum) of wanneer het zeer tijdrovend is om het adres van de betrokkene te achterhalen. Correctierecht Daarnaast hebben personen die in een bestand zijn opgenomen het recht om hun geregistreerde gegevens in te zien. Ook kunnen zij eisen dat hun gegevens verbeterd, aangevuld, verwijderd of afgeschermd worden. Dat mag wanneer de gegevens die gebruikt worden door de verantwoordelijke feitelijk onjuist, onvolledig of niet ter zake dienend zijn voor het doel of de doeleinden van de verwerking. Een wanbetaler kan echter niet verwijdering van zijn persoonsgegevens eisen bij de debiteurenadministratie van een bedrijf. Vrijstellingen De WBP eist dat registraties worden aangemeld. Voor een aantal soorten registraties geeft de wet een vrijstelling. Voorbeelden hiervan zijn personeelsadministraties, boekhoudingen, administraties van afnemers en leveranciers, ledenadministraties, abonnementadministraties en administraties van (oud-)leerlingen. Wel worden er in dergelijke gevallen beperkingen gesteld aan de informatie die dan mag worden geregistreerd. Het CBP heeft een Handreiking Vrijstellingsbesluit gepubliceerd met daarin uitleg over de belangrijkste vrijstellingen. Om er een paar te noemen: Abonnementen: uitgevers van publicaties (ook elektronische) hoeven de administratie van persoonsgegevens van hun abonnees niet aan te melden. Ze mogen niet meer bijhouden dan voor het leveren van de publicaties of het innen van het abonnementsgeld nodig is. Wetenschappelijk onderzoek en statistiek: wie onderzoek doet en daarbij persoonsgegevens gebruikt, hoeft zijn databank niet aan te melden. Alleen de hoogst noodzakelijke naam- en adresgegevens mogen worden bijgehouden. Gegevens mogen niet aan derden worden gegeven, behalve met toestemming of als doorgifte noodzakelijk is voor het onderzoek. Doorgifte voor ander onderzoek mag alleen als het gegarandeerd is dat de gegevens nergens anders voor gebruikt kunnen worden. Communicatiebestanden: verwerking van voor communicatie benodigde persoonsgegevens hoeft niet te worden aangemeld. De beheerder van een mailinglijst of forum hoeft zijn abonneebestand of lijst met leden dus niet aan te melden. Hij mag echter geen 'bijzondere persoonsgegevens' (b.v. godsdienst, gezondheid of politieke voorkeuren) opslaan. De databank mag ook niet voor andere doeleinden worden gebruikt zonder toestemming van de betrokkenen. De beheerder van een forum mag gegevens van zijn leden dus niet aan adverteerders geven. Netwerksystemen: wie een privé-netwerk beheert, mag gegevens bijhouden over gebruikers om het netwerk goed te laten werken, voor de veiligheid en interne controle en onderhoud en beheer. Hieronder vallen zaken zoals 'loggen' wat gebruikers doen, welke ingaande en uitgaande communicatie ze verrichten (maar niet de inhoud daarvan) of het vastleggen waar ze wel en niet bij mogen. Gebruikers moeten hierover wel worden geďnformeerd. Dit geldt niet voor Internet-aanbieders en andere beheerders van openbare telecommunicatienetwerken! Deze moeten hun databank gewoon aanmelden. Het College Bescherming Persoonsgegevens Toezicht op de naleving van de WBP is in handen van het College Bescherming Persoonsgegevens (CBP), voorheen Registratiekamer. Het CBP adviseert de regering over de bescherming van persoonsgegevens, voert onderzoeken uit, toetst gedragscodes en privacyreglementen en behandelt vragen en klachten. Het CBP is bevoegd om boetes uit te delen aan organisaties die de WBP overtreden. De registraties van bestanden met persoonsgegevens moeten worden aangemeld bij het CBP. Spam Zie ook Spam nu eindelijk verboden Het rondsturen van ongevraagde commerci�le e-mail, in het jargon 'spam' geheten, mag in principe alleen als de geadresseerden hun toestemming hebben verleend voor opname in het bestand van de zender. Wie de letterlijke tekst van de WBP er bij pakt, zou kunnen concluderen dat deze toestemming vooraf moet worden verleend, en dat vrijwel alle 'spam' in Nederland onrechtmatig is. rechtszaak tussen tussen XS4All en direct marketingbureau Ab.Fab besliste de Hoge Raad dat Ab.Fab geen spam mocht sturen naar XS4All-klanten. XS4ALL heeft als Internet-provider exclusieve rechten op haar computercapaciteit, haar transmissiecapaciteit en haar klantenbestand, en mag anderen de toegang daartoe weigeren. De nieuwe Europese richtlijn 2002/58/EG, die uiterlijk 31 oktober 2003 een Nederlandse wet moet worden, brengt hopelijk meer duidelijkheid. Artikel 13 van deze richtlijn zegt dat e-mail met het oog op direct marketing alleen is toegestaan met betrekking tot abonnees die daarin vooraf hebben toegestemd. E-mail adressen verzamelen Een veelvoorkomende praktijk op Internet is het verzamelen van e-mailadressen van bijvoorbeeld websites om een bestand op te bouwen, met name voor direct marketing doeleinden. Ook dit lijkt in strijd zijn met de WBP. Het leeghalen van andermans e-mailgids werd in december 2002 verboden omdat de betreffende e-mail gids in haar algemene voorwaarden dit verbood. Stamboom-onderzoek Steeds meer mensen, waaronder ook de auteur van dit artikel, publiceren hun stamboom op Internet. De WBP maakt een uitzondering voor verwerking van persoonsgegevens voor uitsluitend persoonlijke doeleinden. Het verzamelen van materiaal ten behoeve van een stamboom, en het maken van de stamboom zelf mag dus zonder toestemming van de personen die erin staan gebeuren. Echter, op het moment dat de stamboom wordt gepubliceerd, bijvoorbeeld op Internet, is er niet langer sprake van "persoonlijke doeleinden". De bovengenoemde regels gelden dan. Echter, de WBP gaat formeel gesproken over gegevens die herleidbaar zijn tot natuurlijke personen. Volgens de wet is een overledene geen natuurlijk persoon (meer). Derhalve is de WBP niet van toepassing op overleden personen. Houd er echter wel rekening mee dat bijvoorbeeld de partner of kinderen van de overledene gemakkelijk te achterhalen zijn wanneer er voldoende informatie over de overledene zelf wordt gepubliceerd. Daarmee vormt die informatie een persoonsgegeven van die partner of kinderen. De WBP kan dus soms toch van toepassing zijn. Gerelateerde artikelen Anonimiteit en privacy op het internet Cameratoezicht, filmen en fotograferen van mensen Filesharing (P2P) en privacy Persoonsgegevens op Internet Categorieën Privacy Zie ook Anonimiteit en privacy op het Internet Elektronisch briefgeheim: de stand van zaken Wat weten ze allemaal over mij? De Wet Bescherming Persoonsgegevens is de belangrijkste wet over persoonsgegevens, informatie zoals naam en adres. Verwerking van persoonsgegevens mag alleen als de betrokkene geďnformeerd is over wat er met de gegevens gebeurt. Er zijn uitzonderingen voor bijvoorbeeld mailinglijsten, forums of privé-netwerken. Door ICT-jurist Arnoud Engelfriet (blog, contact). Er bestaat in Nederland geen algemene "wet op de privacy". Er zijn diverse wetten die elk een bepaald aspect van de privacy in Nederland regelen. De belangrijkste en bekendste wet is de Wet Bescherming Persoonsgegevens. De Wet Bescherming Persoonsgegevens regelt onder welke voorwaarden persoonsgegevens verwerkt mogen worden. Persoonsgegevens zijn alle gegevens die herleidbaar zijn tot een bepaald individu. Omdat bijvoorbeeld een e-mailadres ook een persoonsgegeven is, heeft deze wet ook de nodige implicaties voor Internet-aanbieders en -gebruikers. Zo is het publiceren van e-mailadressen op een website niet zomaar toegestaan. Maar ook bijvoorbeeld de familiestamboom mag niet zomaar op Internet. Inhoudsopgave De Wet Bescherming Persoonsgegevens De regels bij verwerking van persoonsgegevens Het College Bescherming Persoonsgegevens Spam E-mail adressen verzamelen Stamboom-onderzoek De Wet Bescherming Persoonsgegevens In 2000 werd de Wet Bescherming Persoonsgegevens (WBP) aangenomen als gevolg van Europese privacy- richtlijn nr. 95/46/EG. Deze wet is de opvolger van de oudere Wet Persoonsregistratie (WPR). De WBP bevat regels voor de "geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen." Persoonsgegevens Persoonsgegevens zijn alle gegevens waarmee een bepaald individu ge�dentificeerd kan worden. Het bekendste voorbeeld zijn naam- en adresgegevens. Ook e-mailadressen en bijvoorbeeld MSN-accounts worden gezien als persoonsgegevens. Maar ook gegevens die een waardering over een bepaalde persoon inhouden, bijvoorbeeld iemands IQ, kunnen persoonsgegevens zijn wanneer te achterhalen is welke persoon dit IQ heeft. Op Internet is bijvoorbeeld het IP-adres een persoonsgegeven. Een IP-adres is, samen met een datum en tijd van gebruik van dat adres, te herleiden tot een persoon. Je hebt daar de hulp van een provider bij nodig, maar het kan. Zie ook Foto's en het portretrecht Ook iemands foto is een persoonsgegeven. De geportretteerde is er tenslotte aan te herkennen. Bovendien is aan een foto te zien welk ras iemand is, en of deze persoon man of vrouw is. Volgens de letter van de wet is een foto dan ook een bijzonder persoonsgegeven, waardoor er voor verwerking van foto's extra strenge regels gelden. Verwerking van persoonsgegevens Verwerking wil zeggen "elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens." De wet geeft als voorbeelden het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens. De regels bij verwerking van persoonsgegevens De betrokkene moet voor elke verwerking van persoonsgegevens zijn toestemming hebben gegeven. Ook heeft hij het recht de informatie die over hem is opgeslagen, te corrigeren of te laten verwijderen. Organisaties die persoonsgegevens verwerken, moeten uitleggen hoe zij dat doen. Voorafgaande toestemming Persoonsgegevens mogen alleen worden verwerkt in overeenstemming met de regels van de WBP. De belangrijkste regel is dat de betreffende persoon zijn toestemming moet hebben gegeven voor de verwerking. Worden gegevens gevraagd aan die persoon zelf, dan moet deze vooraf ge�nformeerd worden over opname in het bestand. Een registratie-formulier op een website moet dus voorzien zijn van een dergelijke waarschuwing. Ook bij persoonsgegevens die uit andere bronnen worden verzameld, moet de betreffende persoon worden ge�nformeerd bij het moment van opname of uiterlijk net voor het moment van verstrekking aan derden. Dit hoeft niet als de betreffende persoon al wist dat zijn gegevens opgenomen zouden worden. Het is dus niet toegestaan om e-mailadressen van mensen die reageren op je website te verzamelen om ze massaal e-mail te sturen, want het maken van een dergelijke verzendlijst is een vorm van verwerking. Het bedrijf Hotmail mag haar klanten echter wel massaal e-mail sturen, want de klanten hebben hiervoor in de algemene voorwaarden toestemming verleend. Het is altijd de taak van de organisatie die de gegevens verwerkt om de betreffende persoon hierover te informeren. Ook mogen persoonsgegevens alleen worden verwerkt in overeenstemming met de doeleinden waarvoor ze zijn verkregen. Het abonneebestand voor een Internet-nieuwsbrief mag dus worden gebruikt om die nieuwsbrief rond te sturen, maar het mag niet worden verkocht aan een ander bedrijf voor bijvoorbeeld een reclame mailing. Informatieplicht Alle organisaties die persoonsgegevens gebruiken, hebben een informatieplicht. Dit betekent dat zij de personen op wie de gegevens betrekking hebben, moeten laten weten wat zij met hun gegevens gaan doen. Dit hoeft niet wanneer het vanzelfsprekend is (bijvoorbeeld bij het invullen van een registratie-formulier bij een online forum) of wanneer het zeer tijdrovend is om het adres van de betrokkene te achterhalen. Correctierecht Daarnaast hebben personen die in een bestand zijn opgenomen het recht om hun geregistreerde gegevens in te zien. Ook kunnen zij eisen dat hun gegevens verbeterd, aangevuld, verwijderd of afgeschermd worden. Dat mag wanneer de gegevens die gebruikt worden door de verantwoordelijke feitelijk onjuist, onvolledig of niet ter zake dienend zijn voor het doel of de doeleinden van de verwerking. Een wanbetaler kan echter niet verwijdering van zijn persoonsgegevens eisen bij de debiteurenadministratie van een bedrijf. Vrijstellingen De WBP eist dat registraties worden aangemeld. Voor een aantal soorten registraties geeft de wet een vrijstelling. Voorbeelden hiervan zijn personeelsadministraties, boekhoudingen, administraties van afnemers en leveranciers, ledenadministraties, abonnementadministraties en administraties van (oud-)leerlingen. Wel worden er in dergelijke gevallen beperkingen gesteld aan de informatie die dan mag worden geregistreerd. Het CBP heeft een Handreiking Vrijstellingsbesluit gepubliceerd met daarin uitleg over de belangrijkste vrijstellingen. Om er een paar te noemen: Abonnementen: uitgevers van publicaties (ook elektronische) hoeven de administratie van persoonsgegevens van hun abonnees niet aan te melden. Ze mogen niet meer bijhouden dan voor het leveren van de publicaties of het innen van het abonnementsgeld nodig is. Wetenschappelijk onderzoek en statistiek: wie onderzoek doet en daarbij persoonsgegevens gebruikt, hoeft zijn databank niet aan te melden. Alleen de hoogst noodzakelijke naam- en adresgegevens mogen worden bijgehouden. Gegevens mogen niet aan derden worden gegeven, behalve met toestemming of als doorgifte noodzakelijk is voor het onderzoek. Doorgifte voor ander onderzoek mag alleen als het gegarandeerd is dat de gegevens nergens anders voor gebruikt kunnen worden. Communicatiebestanden: verwerking van voor communicatie benodigde persoonsgegevens hoeft niet te worden aangemeld. De beheerder van een mailinglijst of forum hoeft zijn abonneebestand of lijst met leden dus niet aan te melden. Hij mag echter geen 'bijzondere persoonsgegevens' (b.v. godsdienst, gezondheid of politieke voorkeuren) opslaan. De databank mag ook niet voor andere doeleinden worden gebruikt zonder toestemming van de betrokkenen. De beheerder van een forum mag gegevens van zijn leden dus niet aan adverteerders geven. Netwerksystemen: wie een privé-netwerk beheert, mag gegevens bijhouden over gebruikers om het netwerk goed te laten werken, voor de veiligheid en interne controle en onderhoud en beheer. Hieronder vallen zaken zoals 'loggen' wat gebruikers doen, welke ingaande en uitgaande communicatie ze verrichten (maar niet de inhoud daarvan) of het vastleggen waar ze wel en niet bij mogen. Gebruikers moeten hierover wel worden geďnformeerd. Dit geldt niet voor Internet-aanbieders en andere beheerders van openbare telecommunicatienetwerken! Deze moeten hun databank gewoon aanmelden. Het College Bescherming Persoonsgegevens Toezicht op de naleving van de WBP is in handen van het College Bescherming Persoonsgegevens (CBP), voorheen Registratiekamer. Het CBP adviseert de regering over de bescherming van persoonsgegevens, voert onderzoeken uit, toetst gedragscodes en privacyreglementen en behandelt vragen en klachten. Het CBP is bevoegd om boetes uit te delen aan organisaties die de WBP overtreden. De registraties van bestanden met persoonsgegevens moeten worden aangemeld bij het CBP. Spam Zie ook Spam nu eindelijk verboden Het rondsturen van ongevraagde commerci�le e-mail, in het jargon 'spam' geheten, mag in principe alleen als de geadresseerden hun toestemming hebben verleend voor opname in het bestand van de zender. Wie de letterlijke tekst van de WBP er bij pakt, zou kunnen concluderen dat deze toestemming vooraf moet worden verleend, en dat vrijwel alle 'spam' in Nederland onrechtmatig is. rechtszaak tussen tussen XS4All en direct marketingbureau Ab.Fab besliste de Hoge Raad dat Ab.Fab geen spam mocht sturen naar XS4All-klanten. XS4ALL heeft als Internet-provider exclusieve rechten op haar computercapaciteit, haar transmissiecapaciteit en haar klantenbestand, en mag anderen de toegang daartoe weigeren. De nieuwe Europese richtlijn 2002/58/EG, die uiterlijk 31 oktober 2003 een Nederlandse wet moet worden, brengt hopelijk meer duidelijkheid. Artikel 13 van deze richtlijn zegt dat e-mail met het oog op direct marketing alleen is toegestaan met betrekking tot abonnees die daarin vooraf hebben toegestemd. E-mail adressen verzamelen Een veelvoorkomende praktijk op Internet is het verzamelen van e-mailadressen van bijvoorbeeld websites om een bestand op te bouwen, met name voor direct marketing doeleinden. Ook dit lijkt in strijd zijn met de WBP. Het leeghalen van andermans e-mailgids werd in december 2002 verboden omdat de betreffende e-mail gids in haar algemene voorwaarden dit verbood. Stamboom-onderzoek Steeds meer mensen, waaronder ook de auteur van dit artikel, publiceren hun stamboom op Internet. De WBP maakt een uitzondering voor verwerking van persoonsgegevens voor uitsluitend persoonlijke doeleinden. Het verzamelen van materiaal ten behoeve van een stamboom, en het maken van de stamboom zelf mag dus zonder toestemming van de personen die erin staan gebeuren. Echter, op het moment dat de stamboom wordt gepubliceerd, bijvoorbeeld op Internet, is er niet langer sprake van "persoonlijke doeleinden". De bovengenoemde regels gelden dan. Echter, de WBP gaat formeel gesproken over gegevens die herleidbaar zijn tot natuurlijke personen. Volgens de wet is een overledene geen natuurlijk persoon (meer). Derhalve is de WBP niet van toepassing op overleden personen. Houd er echter wel rekening mee dat bijvoorbeeld de partner of kinderen van de overledene gemakkelijk te achterhalen zijn wanneer er voldoende informatie over de overledene zelf wordt gepubliceerd. Daarmee vormt die informatie een persoonsgegeven van die partner of kinderen. De WBP kan dus soms toch van toepassing zijn. Gerelateerde artikelen Anonimiteit en privacy op het internet Cameratoezicht, filmen en fotograferen van mensen Filesharing (P2P) en privacy Persoonsgegevens op Internet Categorieën Privacy Zie ook Anonimiteit en privacy op het Internet Elektronisch briefgeheim: de stand van zaken Wat weten ze allemaal over mij? De Wet Bescherming Persoonsgegevens is de belangrijkste wet over persoonsgegevens, informatie zoals naam en adres. Verwerking van persoonsgegevens mag alleen als de betrokkene geďnformeerd is over wat er met de gegevens gebeurt. Er zijn uitzonderingen voor bijvoorbeeld mailinglijsten, forums of privé-netwerken. Door ICT-jurist Arnoud Engelfriet (blog, contact). Er bestaat in Nederland geen algemene "wet op de privacy". Er zijn diverse wetten die elk een bepaald aspect van de privacy in Nederland regelen. De belangrijkste en bekendste wet is de Wet Bescherming Persoonsgegevens. De Wet Bescherming Persoonsgegevens regelt onder welke voorwaarden persoonsgegevens verwerkt mogen worden. Persoonsgegevens zijn alle gegevens die herleidbaar zijn tot een bepaald individu. Omdat bijvoorbeeld een e-mailadres ook een persoonsgegeven is, heeft deze wet ook de nodige implicaties voor Internet-aanbieders en -gebruikers. Zo is het publiceren van e-mailadressen op een website niet zomaar toegestaan. Maar ook bijvoorbeeld de familiestamboom mag niet zomaar op Internet. Inhoudsopgave De Wet Bescherming Persoonsgegevens De regels bij verwerking van persoonsgegevens Het College Bescherming Persoonsgegevens Spam E-mail adressen verzamelen Stamboom-onderzoek De Wet Bescherming Persoonsgegevens In 2000 werd de Wet Bescherming Persoonsgegevens (WBP) aangenomen als gevolg van Europese privacy- richtlijn nr. 95/46/EG. Deze wet is de opvolger van de oudere Wet Persoonsregistratie (WPR). De WBP bevat regels voor de "geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen." Persoonsgegevens Persoonsgegevens zijn alle gegevens waarmee een bepaald individu ge�dentificeerd kan worden. Het bekendste voorbeeld zijn naam- en adresgegevens. Ook e-mailadressen en bijvoorbeeld MSN-accounts worden gezien als persoonsgegevens. Maar ook gegevens die een waardering over een bepaalde persoon inhouden, bijvoorbeeld iemands IQ, kunnen persoonsgegevens zijn wanneer te achterhalen is welke persoon dit IQ heeft. Op Internet is bijvoorbeeld het IP-adres een persoonsgegeven. Een IP-adres is, samen met een datum en tijd van gebruik van dat adres, te herleiden tot een persoon. Je hebt daar de hulp van een provider bij nodig, maar het kan. Zie ook Foto's en het portretrecht Ook iemands foto is een persoonsgegeven. De geportretteerde is er tenslotte aan te herkennen. Bovendien is aan een foto te zien welk ras iemand is, en of deze persoon man of vrouw is. Volgens de letter van de wet is een foto dan ook een bijzonder persoonsgegeven, waardoor er voor verwerking van foto's extra strenge regels gelden. Verwerking van persoonsgegevens Verwerking wil zeggen "elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens." De wet geeft als voorbeelden het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens. De regels bij verwerking van persoonsgegevens De betrokkene moet voor elke verwerking van persoonsgegevens zijn toestemming hebben gegeven. Ook heeft hij het recht de informatie die over hem is opgeslagen, te corrigeren of te laten verwijderen. Organisaties die persoonsgegevens verwerken, moeten uitleggen hoe zij dat doen. Voorafgaande toestemming Persoonsgegevens mogen alleen worden verwerkt in overeenstemming met de regels van de WBP. De belangrijkste regel is dat de betreffende persoon zijn toestemming moet hebben gegeven voor de verwerking. Worden gegevens gevraagd aan die persoon zelf, dan moet deze vooraf ge�nformeerd worden over opname in het bestand. Een registratie-formulier op een website moet dus voorzien zijn van een dergelijke waarschuwing. Ook bij persoonsgegevens die uit andere bronnen worden verzameld, moet de betreffende persoon worden ge�nformeerd bij het moment van opname of uiterlijk net voor het moment van verstrekking aan derden. Dit hoeft niet als de betreffende persoon al wist dat zijn gegevens opgenomen zouden worden. Het is dus niet toegestaan om e-mailadressen van mensen die reageren op je website te verzamelen om ze massaal e-mail te sturen, want het maken van een dergelijke verzendlijst is een vorm van verwerking. Het bedrijf Hotmail mag haar klanten echter wel massaal e-mail sturen, want de klanten hebben hiervoor in de algemene voorwaarden toestemming verleend. Het is altijd de taak van de organisatie die de gegevens verwerkt om de betreffende persoon hierover te informeren. Ook mogen persoonsgegevens alleen worden verwerkt in overeenstemming met de doeleinden waarvoor ze zijn verkregen. Het abonneebestand voor een Internet-nieuwsbrief mag dus worden gebruikt om die nieuwsbrief rond te sturen, maar het mag niet worden verkocht aan een ander bedrijf voor bijvoorbeeld een reclame mailing. Informatieplicht Alle organisaties die persoonsgegevens gebruiken, hebben een informatieplicht. Dit betekent dat zij de personen op wie de gegevens betrekking hebben, moeten laten weten wat zij met hun gegevens gaan doen. Dit hoeft niet wanneer het vanzelfsprekend is (bijvoorbeeld bij het invullen van een registratie-formulier bij een online forum) of wanneer het zeer tijdrovend is om het adres van de betrokkene te achterhalen. Correctierecht Daarnaast hebben personen die in een bestand zijn opgenomen het recht om hun geregistreerde gegevens in te zien. Ook kunnen zij eisen dat hun gegevens verbeterd, aangevuld, verwijderd of afgeschermd worden. Dat mag wanneer de gegevens die gebruikt worden door de verantwoordelijke feitelijk onjuist, onvolledig of niet ter zake dienend zijn voor het doel of de doeleinden van de verwerking. Een wanbetaler kan echter niet verwijdering van zijn persoonsgegevens eisen bij de debiteurenadministratie van een bedrijf. Vrijstellingen De WBP eist dat registraties worden aangemeld. Voor een aantal soorten registraties geeft de wet een vrijstelling. Voorbeelden hiervan zijn personeelsadministraties, boekhoudingen, administraties van afnemers en leveranciers, ledenadministraties, abonnementadministraties en administraties van (oud-)leerlingen. Wel worden er in dergelijke gevallen beperkingen gesteld aan de informatie die dan mag worden geregistreerd. Het CBP heeft een Handreiking Vrijstellingsbesluit gepubliceerd met daarin uitleg over de belangrijkste vrijstellingen. Om er een paar te noemen: Abonnementen: uitgevers van publicaties (ook elektronische) hoeven de administratie van persoonsgegevens van hun abonnees niet aan te melden. Ze mogen niet meer bijhouden dan voor het leveren van de publicaties of het innen van het abonnementsgeld nodig is. Wetenschappelijk onderzoek en statistiek: wie onderzoek doet en daarbij persoonsgegevens gebruikt, hoeft zijn databank niet aan te melden. Alleen de hoogst noodzakelijke naam- en adresgegevens mogen worden bijgehouden. Gegevens mogen niet aan derden worden gegeven, behalve met toestemming of als doorgifte noodzakelijk is voor het onderzoek. Doorgifte voor ander onderzoek mag alleen als het gegarandeerd is dat de gegevens nergens anders voor gebruikt kunnen worden. Communicatiebestanden: verwerking van voor communicatie benodigde persoonsgegevens hoeft niet te worden aangemeld. De beheerder van een mailinglijst of forum hoeft zijn abonneebestand of lijst met leden dus niet aan te melden. Hij mag echter geen 'bijzondere persoonsgegevens' (b.v. godsdienst, gezondheid of politieke voorkeuren) opslaan. De databank mag ook niet voor andere doeleinden worden gebruikt zonder toestemming van de betrokkenen. De beheerder van een forum mag gegevens van zijn leden dus niet aan adverteerders geven. Netwerksystemen: wie een privé-netwerk beheert, mag gegevens bijhouden over gebruikers om het netwerk goed te laten werken, voor de veiligheid en interne controle en onderhoud en beheer. Hieronder vallen zaken zoals 'loggen' wat gebruikers doen, welke ingaande en uitgaande communicatie ze verrichten (maar niet de inhoud daarvan) of het vastleggen waar ze wel en niet bij mogen. Gebruikers moeten hierover wel worden geďnformeerd. Dit geldt niet voor Internet-aanbieders en andere beheerders van openbare telecommunicatienetwerken! Deze moeten hun databank gewoon aanmelden. Het College Bescherming Persoonsgegevens Toezicht op de naleving van de WBP is in handen van het College Bescherming Persoonsgegevens (CBP), voorheen Registratiekamer. Het CBP adviseert de regering over de bescherming van persoonsgegevens, voert onderzoeken uit, toetst gedragscodes en privacyreglementen en behandelt vragen en klachten. Het CBP is bevoegd om boetes uit te delen aan organisaties die de WBP overtreden. De registraties van bestanden met persoonsgegevens moeten worden aangemeld bij het CBP. Spam Zie ook Spam nu eindelijk verboden Het rondsturen van ongevraagde commerci�le e-mail, in het jargon 'spam' geheten, mag in principe alleen als de geadresseerden hun toestemming hebben verleend voor opname in het bestand van de zender. Wie de letterlijke tekst van de WBP er bij pakt, zou kunnen concluderen dat deze toestemming vooraf moet worden verleend, en dat vrijwel alle 'spam' in Nederland onrechtmatig is. rechtszaak tussen tussen XS4All en direct marketingbureau Ab.Fab besliste de Hoge Raad dat Ab.Fab geen spam mocht sturen naar XS4All-klanten. XS4ALL heeft als Internet-provider exclusieve rechten op haar computercapaciteit, haar transmissiecapaciteit en haar klantenbestand, en mag anderen de toegang daartoe weigeren. De nieuwe Europese richtlijn 2002/58/EG, die uiterlijk 31 oktober 2003 een Nederlandse wet moet worden, brengt hopelijk meer duidelijkheid. Artikel 13 van deze richtlijn zegt dat e-mail met het oog op direct marketing alleen is toegestaan met betrekking tot abonnees die daarin vooraf hebben toegestemd. E-mail adressen verzamelen Een veelvoorkomende praktijk op Internet is het verzamelen van e-mailadressen van bijvoorbeeld websites om een bestand op te bouwen, met name voor direct marketing doeleinden. Ook dit lijkt in strijd zijn met de WBP. Het leeghalen van andermans e-mailgids werd in december 2002 verboden omdat de betreffende e-mail gids in haar algemene voorwaarden dit verbood. Stamboom-onderzoek Steeds meer mensen, waaronder ook de auteur van dit artikel, publiceren hun stamboom op Internet. De WBP maakt een uitzondering voor verwerking van persoonsgegevens voor uitsluitend persoonlijke doeleinden. Het verzamelen van materiaal ten behoeve van een stamboom, en het maken van de stamboom zelf mag dus zonder toestemming van de personen die erin staan gebeuren. Echter, op het moment dat de stamboom wordt gepubliceerd, bijvoorbeeld op Internet, is er niet langer sprake van "persoonlijke doeleinden". De bovengenoemde regels gelden dan. Echter, de WBP gaat formeel gesproken over gegevens die herleidbaar zijn tot natuurlijke personen. Volgens de wet is een overledene geen natuurlijk persoon (meer). Derhalve is de WBP niet van toepassing op overleden personen. Houd er echter wel rekening mee dat bijvoorbeeld de partner of kinderen van de overledene gemakkelijk te achterhalen zijn wanneer er voldoende informatie over de overledene zelf wordt gepubliceerd. Daarmee vormt die informatie een persoonsgegeven van die partner of kinderen. De WBP kan dus soms toch van toepassing zijn. Gerelateerde artikelen Anonimiteit en privacy op het internet Cameratoezicht, filmen en fotograferen van mensen Filesharing (P2P) en privacy Persoonsgegevens op Internet Categorieën Privacy Zie ook Anonimiteit en privacy op het Internet Elektronisch briefgeheim: de stand van zaken Wat weten ze allemaal over mij? De Wet Bescherming Persoonsgegevens is de belangrijkste wet over persoonsgegevens, informatie zoals naam en adres. Verwerking van persoonsgegevens mag alleen als de betrokkene geďnformeerd is over wat er met de gegevens gebeurt. Er zijn uitzonderingen voor bijvoorbeeld mailinglijsten, forums of privé-netwerken. Door ICT-jurist Arnoud Engelfriet (blog, contact). Er bestaat in Nederland geen algemene "wet op de privacy". Er zijn diverse wetten die elk een bepaald aspect van de privacy in Nederland regelen. De belangrijkste en bekendste wet is de Wet Bescherming Persoonsgegevens. De Wet Bescherming Persoonsgegevens regelt onder welke voorwaarden persoonsgegevens verwerkt mogen worden. Persoonsgegevens zijn alle gegevens die herleidbaar zijn tot een bepaald individu. Omdat bijvoorbeeld een e-mailadres ook een persoonsgegeven is, heeft deze wet ook de nodige implicaties voor Internet-aanbieders en -gebruikers. Zo is het publiceren van e-mailadressen op een website niet zomaar toegestaan. Maar ook bijvoorbeeld de familiestamboom mag niet zomaar op Internet. Inhoudsopgave De Wet Bescherming Persoonsgegevens De regels bij verwerking van persoonsgegevens Het College Bescherming Persoonsgegevens Spam E-mail adressen verzamelen Stamboom-onderzoek De Wet Bescherming Persoonsgegevens In 2000 werd de Wet Bescherming Persoonsgegevens (WBP) aangenomen als gevolg van Europese privacy- richtlijn nr. 95/46/EG. Deze wet is de opvolger van de oudere Wet Persoonsregistratie (WPR). De WBP bevat regels voor de "geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen." Persoonsgegevens Persoonsgegevens zijn alle gegevens waarmee een bepaald individu ge�dentificeerd kan worden. Het bekendste voorbeeld zijn naam- en adresgegevens. Ook e-mailadressen en bijvoorbeeld MSN-accounts worden gezien als persoonsgegevens. Maar ook gegevens die een waardering over een bepaalde persoon inhouden, bijvoorbeeld iemands IQ, kunnen persoonsgegevens zijn wanneer te achterhalen is welke persoon dit IQ heeft. Op Internet is bijvoorbeeld het IP-adres een persoonsgegeven. Een IP-adres is, samen met een datum en tijd van gebruik van dat adres, te herleiden tot een persoon. Je hebt daar de hulp van een provider bij nodig, maar het kan. Zie ook Foto's en het portretrecht Ook iemands foto is een persoonsgegeven. De geportretteerde is er tenslotte aan te herkennen. Bovendien is aan een foto te zien welk ras iemand is, en of deze persoon man of vrouw is. Volgens de letter van de wet is een foto dan ook een bijzonder persoonsgegeven, waardoor er voor verwerking van foto's extra strenge regels gelden. Verwerking van persoonsgegevens Verwerking wil zeggen "elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens." De wet geeft als voorbeelden het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens. De regels bij verwerking van persoonsgegevens De betrokkene moet voor elke verwerking van persoonsgegevens zijn toestemming hebben gegeven. Ook heeft hij het recht de informatie die over hem is opgeslagen, te corrigeren of te laten verwijderen. Organisaties die persoonsgegevens verwerken, moeten uitleggen hoe zij dat doen. Voorafgaande toestemming Persoonsgegevens mogen alleen worden verwerkt in overeenstemming met de regels van de WBP. De belangrijkste regel is dat de betreffende persoon zijn toestemming moet hebben gegeven voor de verwerking. Worden gegevens gevraagd aan die persoon zelf, dan moet deze vooraf ge�nformeerd worden over opname in het bestand. Een registratie-formulier op een website moet dus voorzien zijn van een dergelijke waarschuwing. Ook bij persoonsgegevens die uit andere bronnen worden verzameld, moet de betreffende persoon worden ge�nformeerd bij het moment van opname of uiterlijk net voor het moment van verstrekking aan derden. Dit hoeft niet als de betreffende persoon al wist dat zijn gegevens opgenomen zouden worden. Het is dus niet toegestaan om e-mailadressen van mensen die reageren op je website te verzamelen om ze massaal e-mail te sturen, want het maken van een dergelijke verzendlijst is een vorm van verwerking. Het bedrijf Hotmail mag haar klanten echter wel massaal e-mail sturen, want de klanten hebben hiervoor in de algemene voorwaarden toestemming verleend. Het is altijd de taak van de organisatie die de gegevens verwerkt om de betreffende persoon hierover te informeren. Ook mogen persoonsgegevens alleen worden verwerkt in overeenstemming met de doeleinden waarvoor ze zijn verkregen. Het abonneebestand voor een Internet-nieuwsbrief mag dus worden gebruikt om die nieuwsbrief rond te sturen, maar het mag niet worden verkocht aan een ander bedrijf voor bijvoorbeeld een reclame mailing. Informatieplicht Alle organisaties die persoonsgegevens gebruiken, hebben een informatieplicht. Dit betekent dat zij de personen op wie de gegevens betrekking hebben, moeten laten weten wat zij met hun gegevens gaan doen. Dit hoeft niet wanneer het vanzelfsprekend is (bijvoorbeeld bij het invullen van een registratie-formulier bij een online forum) of wanneer het zeer tijdrovend is om het adres van de betrokkene te achterhalen. Correctierecht Daarnaast hebben personen die in een bestand zijn opgenomen het recht om hun geregistreerde gegevens in te zien. Ook kunnen zij eisen dat hun gegevens verbeterd, aangevuld, verwijderd of afgeschermd worden. Dat mag wanneer de gegevens die gebruikt worden door de verantwoordelijke feitelijk onjuist, onvolledig of niet ter zake dienend zijn voor het doel of de doeleinden van de verwerking. Een wanbetaler kan echter niet verwijdering van zijn persoonsgegevens eisen bij de debiteurenadministratie van een bedrijf. Vrijstellingen De WBP eist dat registraties worden aangemeld. Voor een aantal soorten registraties geeft de wet een vrijstelling. Voorbeelden hiervan zijn personeelsadministraties, boekhoudingen, administraties van afnemers en leveranciers, ledenadministraties, abonnementadministraties en administraties van (oud-)leerlingen. Wel worden er in dergelijke gevallen beperkingen gesteld aan de informatie die dan mag worden geregistreerd. Het CBP heeft een Handreiking Vrijstellingsbesluit gepubliceerd met daarin uitleg over de belangrijkste vrijstellingen. Om er een paar te noemen: Abonnementen: uitgevers van publicaties (ook elektronische) hoeven de administratie van persoonsgegevens van hun abonnees niet aan te melden. Ze mogen niet meer bijhouden dan voor het leveren van de publicaties of het innen van het abonnementsgeld nodig is. Wetenschappelijk onderzoek en statistiek: wie onderzoek doet en daarbij persoonsgegevens gebruikt, hoeft zijn databank niet aan te melden. Alleen de hoogst noodzakelijke naam- en adresgegevens mogen worden bijgehouden. Gegevens mogen niet aan derden worden gegeven, behalve met toestemming of als doorgifte noodzakelijk is voor het onderzoek. Doorgifte voor ander onderzoek mag alleen als het gegarandeerd is dat de gegevens nergens anders voor gebruikt kunnen worden. Communicatiebestanden: verwerking van voor communicatie benodigde persoonsgegevens hoeft niet te worden aangemeld. De beheerder van een mailinglijst of forum hoeft zijn abonneebestand of lijst met leden dus niet aan te melden. Hij mag echter geen 'bijzondere persoonsgegevens' (b.v. godsdienst, gezondheid of politieke voorkeuren) opslaan. De databank mag ook niet voor andere doeleinden worden gebruikt zonder toestemming van de betrokkenen. De beheerder van een forum mag gegevens van zijn leden dus niet aan adverteerders geven. Netwerksystemen: wie een privé-netwerk beheert, mag gegevens bijhouden over gebruikers om het netwerk goed te laten werken, voor de veiligheid en interne controle en onderhoud en beheer. Hieronder vallen zaken zoals 'loggen' wat gebruikers doen, welke ingaande en uitgaande communicatie ze verrichten (maar niet de inhoud daarvan) of het vastleggen waar ze wel en niet bij mogen. Gebruikers moeten hierover wel worden geďnformeerd. Dit geldt niet voor Internet-aanbieders en andere beheerders van openbare telecommunicatienetwerken! Deze moeten hun databank gewoon aanmelden. Het College Bescherming Persoonsgegevens Toezicht op de naleving van de WBP is in handen van het College Bescherming Persoonsgegevens (CBP), voorheen Registratiekamer. Het CBP adviseert de regering over de bescherming van persoonsgegevens, voert onderzoeken uit, toetst gedragscodes en privacyreglementen en behandelt vragen en klachten. Het CBP is bevoegd om boetes uit te delen aan organisaties die de WBP overtreden. De registraties van bestanden met persoonsgegevens moeten worden aangemeld bij het CBP. Spam Zie ook Spam nu eindelijk verboden Het rondsturen van ongevraagde commerci�le e-mail, in het jargon 'spam' geheten, mag in principe alleen als de geadresseerden hun toestemming hebben verleend voor opname in het bestand van de zender. Wie de letterlijke tekst van de WBP er bij pakt, zou kunnen concluderen dat deze toestemming vooraf moet worden verleend, en dat vrijwel alle 'spam' in Nederland onrechtmatig is. rechtszaak tussen tussen XS4All en direct marketingbureau Ab.Fab besliste de Hoge Raad dat Ab.Fab geen spam mocht sturen naar XS4All-klanten. XS4ALL heeft als Internet-provider exclusieve rechten op haar computercapaciteit, haar transmissiecapaciteit en haar klantenbestand, en mag anderen de toegang daartoe weigeren. De nieuwe Europese richtlijn 2002/58/EG, die uiterlijk 31 oktober 2003 een Nederlandse wet moet worden, brengt hopelijk meer duidelijkheid. Artikel 13 van deze richtlijn zegt dat e-mail met het oog op direct marketing alleen is toegestaan met betrekking tot abonnees die daarin vooraf hebben toegestemd. E-mail adressen verzamelen Een veelvoorkomende praktijk op Internet is het verzamelen van e-mailadressen van bijvoorbeeld websites om een bestand op te bouwen, met name voor direct marketing doeleinden. Ook dit lijkt in strijd zijn met de WBP. Het leeghalen van andermans e-mailgids werd in december 2002 verboden omdat de betreffende e-mail gids in haar algemene voorwaarden dit verbood. Stamboom-onderzoek Steeds meer mensen, waaronder ook de auteur van dit artikel, publiceren hun stamboom op Internet. De WBP maakt een uitzondering voor verwerking van persoonsgegevens voor uitsluitend persoonlijke doeleinden. Het verzamelen van materiaal ten behoeve van een stamboom, en het maken van de stamboom zelf mag dus zonder toestemming van de personen die erin staan gebeuren. Echter, op het moment dat de stamboom wordt gepubliceerd, bijvoorbeeld op Internet, is er niet langer sprake van "persoonlijke doeleinden". De bovengenoemde regels gelden dan. Echter, de WBP gaat formeel gesproken over gegevens die herleidbaar zijn tot natuurlijke personen. Volgens de wet is een overledene geen natuurlijk persoon (meer). Derhalve is de WBP niet van toepassing op overleden personen. Houd er echter wel rekening mee dat bijvoorbeeld de partner of kinderen van de overledene gemakkelijk te achterhalen zijn wanneer er voldoende informatie over de overledene zelf wordt gepubliceerd. Daarmee vormt die informatie een persoonsgegeven van die partner of kinderen. De WBP kan dus soms toch van toepassing zijn. Gerelateerde artikelen Anonimiteit en privacy op het internet Cameratoezicht, filmen en fotograferen van mensen Filesharing (P2P) en privacy Persoonsgegevens op Internet Categorieën Privacy Zie ook Anonimiteit en privacy op het Internet Elektronisch briefgeheim: de stand van zaken Wat weten ze allemaal over mij? De Wet Bescherming Persoonsgegevens is de belangrijkste wet over persoonsgegevens, informatie zoals naam en adres. Verwerking van persoonsgegevens mag alleen als de betrokkene geďnformeerd is over wat er met de gegevens gebeurt. Er zijn uitzonderingen voor bijvoorbeeld mailinglijsten, forums of privé-netwerken. Door ICT-jurist Arnoud Engelfriet (blog, contact). Er bestaat in Nederland geen algemene "wet op de privacy". Er zijn diverse wetten die elk een bepaald aspect van de privacy in Nederland regelen. De belangrijkste en bekendste wet is de Wet Bescherming Persoonsgegevens. De Wet Bescherming Persoonsgegevens regelt onder welke voorwaarden persoonsgegevens verwerkt mogen worden. Persoonsgegevens zijn alle gegevens die herleidbaar zijn tot een bepaald individu. Omdat bijvoorbeeld een e-mailadres ook een persoonsgegeven is, heeft deze wet ook de nodige implicaties voor Internet-aanbieders en -gebruikers. Zo is het publiceren van e-mailadressen op een website niet zomaar toegestaan. Maar ook bijvoorbeeld de familiestamboom mag niet zomaar op Internet. Inhoudsopgave De Wet Bescherming Persoonsgegevens De regels bij verwerking van persoonsgegevens Het College Bescherming Persoonsgegevens Spam E-mail adressen verzamelen Stamboom-onderzoek De Wet Bescherming Persoonsgegevens In 2000 werd de Wet Bescherming Persoonsgegevens (WBP) aangenomen als gevolg van Europese privacy- richtlijn nr. 95/46/EG. Deze wet is de opvolger van de oudere Wet Persoonsregistratie (WPR). De WBP bevat regels voor de "geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen." Persoonsgegevens Persoonsgegevens zijn alle gegevens waarmee een bepaald individu ge�dentificeerd kan worden. Het bekendste voorbeeld zijn naam- en adresgegevens. Ook e-mailadressen en bijvoorbeeld MSN-accounts worden gezien als persoonsgegevens. Maar ook gegevens die een waardering over een bepaalde persoon inhouden, bijvoorbeeld iemands IQ, kunnen persoonsgegevens zijn wanneer te achterhalen is welke persoon dit IQ heeft. Op Internet is bijvoorbeeld het IP-adres een persoonsgegeven. Een IP-adres is, samen met een datum en tijd van gebruik van dat adres, te herleiden tot een persoon. Je hebt daar de hulp van een provider bij nodig, maar het kan. Zie ook Foto's en het portretrecht Ook iemands foto is een persoonsgegeven. De geportretteerde is er tenslotte aan te herkennen. Bovendien is aan een foto te zien welk ras iemand is, en of deze persoon man of vrouw is. Volgens de letter van de wet is een foto dan ook een bijzonder persoonsgegeven, waardoor er voor verwerking van foto's extra strenge regels gelden. Verwerking van persoonsgegevens Verwerking wil zeggen "elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens." De wet geeft als voorbeelden het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens. De regels bij verwerking van persoonsgegevens De betrokkene moet voor elke verwerking van persoonsgegevens zijn toestemming hebben gegeven. Ook heeft hij het recht de informatie die over hem is opgeslagen, te corrigeren of te laten verwijderen. Organisaties die persoonsgegevens verwerken, moeten uitleggen hoe zij dat doen. Voorafgaande toestemming Persoonsgegevens mogen alleen worden verwerkt in overeenstemming met de regels van de WBP. De belangrijkste regel is dat de betreffende persoon zijn toestemming moet hebben gegeven voor de verwerking. Worden gegevens gevraagd aan die persoon zelf, dan moet deze vooraf ge�nformeerd worden over opname in het bestand. Een registratie-formulier op een website moet dus voorzien zijn van een dergelijke waarschuwing. Ook bij persoonsgegevens die uit andere bronnen worden verzameld, moet de betreffende persoon worden ge�nformeerd bij het moment van opname of uiterlijk net voor het moment van verstrekking aan derden. Dit hoeft niet als de betreffende persoon al wist dat zijn gegevens opgenomen zouden worden. Het is dus niet toegestaan om e-mailadressen van mensen die reageren op je website te verzamelen om ze massaal e-mail te sturen, want het maken van een dergelijke verzendlijst is een vorm van verwerking. Het bedrijf Hotmail mag haar klanten echter wel massaal e-mail sturen, want de klanten hebben hiervoor in de algemene voorwaarden toestemming verleend. Het is altijd de taak van de organisatie die de gegevens verwerkt om de betreffende persoon hierover te informeren. Ook mogen persoonsgegevens alleen worden verwerkt in overeenstemming met de doeleinden waarvoor ze zijn verkregen. Het abonneebestand voor een Internet-nieuwsbrief mag dus worden gebruikt om die nieuwsbrief rond te sturen, maar het mag niet worden verkocht aan een ander bedrijf voor bijvoorbeeld een reclame mailing. Informatieplicht Alle organisaties die persoonsgegevens gebruiken, hebben een informatieplicht. Dit betekent dat zij de personen op wie de gegevens betrekking hebben, moeten laten weten wat zij met hun gegevens gaan doen. Dit hoeft niet wanneer het vanzelfsprekend is (bijvoorbeeld bij het invullen van een registratie-formulier bij een online forum) of wanneer het zeer tijdrovend is om het adres van de betrokkene te achterhalen. Correctierecht Daarnaast hebben personen die in een bestand zijn opgenomen het recht om hun geregistreerde gegevens in te zien. Ook kunnen zij eisen dat hun gegevens verbeterd, aangevuld, verwijderd of afgeschermd worden. Dat mag wanneer de gegevens die gebruikt worden door de verantwoordelijke feitelijk onjuist, onvolledig of niet ter zake dienend zijn voor het doel of de doeleinden van de verwerking. Een wanbetaler kan echter niet verwijdering van zijn persoonsgegevens eisen bij de debiteurenadministratie van een bedrijf. Vrijstellingen De WBP eist dat registraties worden aangemeld. Voor een aantal soorten registraties geeft de wet een vrijstelling. Voorbeelden hiervan zijn personeelsadministraties, boekhoudingen, administraties van afnemers en leveranciers, ledenadministraties, abonnementadministraties en administraties van (oud-)leerlingen. Wel worden er in dergelijke gevallen beperkingen gesteld aan de informatie die dan mag worden geregistreerd. Het CBP heeft een Handreiking Vrijstellingsbesluit gepubliceerd met daarin uitleg over de belangrijkste vrijstellingen. Om er een paar te noemen: Abonnementen: uitgevers van publicaties (ook elektronische) hoeven de administratie van persoonsgegevens van hun abonnees niet aan te melden. Ze mogen niet meer bijhouden dan voor het leveren van de publicaties of het innen van het abonnementsgeld nodig is. Wetenschappelijk onderzoek en statistiek: wie onderzoek doet en daarbij persoonsgegevens gebruikt, hoeft zijn databank niet aan te melden. Alleen de hoogst noodzakelijke naam- en adresgegevens mogen worden bijgehouden. Gegevens mogen niet aan derden worden gegeven, behalve met toestemming of als doorgifte noodzakelijk is voor het onderzoek. Doorgifte voor ander onderzoek mag alleen als het gegarandeerd is dat de gegevens nergens anders voor gebruikt kunnen worden. Communicatiebestanden: verwerking van voor communicatie benodigde persoonsgegevens hoeft niet te worden aangemeld. De beheerder van een mailinglijst of forum hoeft zijn abonneebestand of lijst met leden dus niet aan te melden. Hij mag echter geen 'bijzondere persoonsgegevens' (b.v. godsdienst, gezondheid of politieke voorkeuren) opslaan. De databank mag ook niet voor andere doeleinden worden gebruikt zonder toestemming van de betrokkenen. De beheerder van een forum mag gegevens van zijn leden dus niet aan adverteerders geven. Netwerksystemen: wie een privé-netwerk beheert, mag gegevens bijhouden over gebruikers om het netwerk goed te laten werken, voor de veiligheid en interne controle en onderhoud en beheer. Hieronder vallen zaken zoals 'loggen' wat gebruikers doen, welke ingaande en uitgaande communicatie ze verrichten (maar niet de inhoud daarvan) of het vastleggen waar ze wel en niet bij mogen. Gebruikers moeten hierover wel worden geďnformeerd. Dit geldt niet voor Internet-aanbieders en andere beheerders van openbare telecommunicatienetwerken! Deze moeten hun databank gewoon aanmelden. Het College Bescherming Persoonsgegevens Toezicht op de naleving van de WBP is in handen van het College Bescherming Persoonsgegevens (CBP), voorheen Registratiekamer. Het CBP adviseert de regering over de bescherming van persoonsgegevens, voert onderzoeken uit, toetst gedragscodes en privacyreglementen en behandelt vragen en klachten. Het CBP is bevoegd om boetes uit te delen aan organisaties die de WBP overtreden. De registraties van bestanden met persoonsgegevens moeten worden aangemeld bij het CBP. Spam Zie ook Spam nu eindelijk verboden Het rondsturen van ongevraagde commerci�le e-mail, in het jargon 'spam' geheten, mag in principe alleen als de geadresseerden hun toestemming hebben verleend voor opname in het bestand van de zender. Wie de letterlijke tekst van de WBP er bij pakt, zou kunnen concluderen dat deze toestemming vooraf moet worden verleend, en dat vrijwel alle 'spam' in Nederland onrechtmatig is. rechtszaak tussen tussen XS4All en direct marketingbureau Ab.Fab besliste de Hoge Raad dat Ab.Fab geen spam mocht sturen naar XS4All-klanten. XS4ALL heeft als Internet-provider exclusieve rechten op haar computercapaciteit, haar transmissiecapaciteit en haar klantenbestand, en mag anderen de toegang daartoe weigeren. De nieuwe Europese richtlijn 2002/58/EG, die uiterlijk 31 oktober 2003 een Nederlandse wet moet worden, brengt hopelijk meer duidelijkheid. Artikel 13 van deze richtlijn zegt dat e-mail met het oog op direct marketing alleen is toegestaan met betrekking tot abonnees die daarin vooraf hebben toegestemd. E-mail adressen verzamelen Een veelvoorkomende praktijk op Internet is het verzamelen van e-mailadressen van bijvoorbeeld websites om een bestand op te bouwen, met name voor direct marketing doeleinden. Ook dit lijkt in strijd zijn met de WBP. Het leeghalen van andermans e-mailgids werd in december 2002 verboden omdat de betreffende e-mail gids in haar algemene voorwaarden dit verbood. Stamboom-onderzoek Steeds meer mensen, waaronder ook de auteur van dit artikel, publiceren hun stamboom op Internet. De WBP maakt een uitzondering voor verwerking van persoonsgegevens voor uitsluitend persoonlijke doeleinden. Het verzamelen van materiaal ten behoeve van een stamboom, en het maken van de stamboom zelf mag dus zonder toestemming van de personen die erin staan gebeuren. Echter, op het moment dat de stamboom wordt gepubliceerd, bijvoorbeeld op Internet, is er niet langer sprake van "persoonlijke doeleinden". De bovengenoemde regels gelden dan. Echter, de WBP gaat formeel gesproken over gegevens die herleidbaar zijn tot natuurlijke personen. Volgens de wet is een overledene geen natuurlijk persoon (meer). Derhalve is de WBP niet van toepassing op overleden personen. Houd er echter wel rekening mee dat bijvoorbeeld de partner of kinderen van de overledene gemakkelijk te achterhalen zijn wanneer er voldoende informatie over de overledene zelf wordt gepubliceerd. Daarmee vormt die informatie een persoonsgegeven van die partner of kinderen. De WBP kan dus soms toch van toepassing zijn. Gerelateerde artikelen Anonimiteit en privacy op het internet Cameratoezicht, filmen en fotograferen van mensen Filesharing (P2P) en privacy Persoonsgegevens op Internet Categorieën Privacy Zie ook Anonimiteit en privacy op het Internet Elektronisch briefgeheim: de stand van zaken Wat weten ze allemaal over mij? De Wet Bescherming Persoonsgegevens is de belangrijkste wet over persoonsgegevens, informatie zoals naam en adres. Verwerking van persoonsgegevens mag alleen als de betrokkene geďnformeerd is over wat er met de gegevens gebeurt. Er zijn uitzonderingen voor bijvoorbeeld mailinglijsten, forums of privé-netwerken. Door ICT-jurist Arnoud Engelfriet (blog, contact). Er bestaat in Nederland geen algemene "wet op de privacy". Er zijn diverse wetten die elk een bepaald aspect van de privacy in Nederland regelen. De belangrijkste en bekendste wet is de Wet Bescherming Persoonsgegevens. De Wet Bescherming Persoonsgegevens regelt onder welke voorwaarden persoonsgegevens verwerkt mogen worden. Persoonsgegevens zijn alle gegevens die herleidbaar zijn tot een bepaald individu. Omdat bijvoorbeeld een e-mailadres ook een persoonsgegeven is, heeft deze wet ook de nodige implicaties voor Internet-aanbieders en -gebruikers. Zo is het publiceren van e-mailadressen op een website niet zomaar toegestaan. Maar ook bijvoorbeeld de familiestamboom mag niet zomaar op Internet. Inhoudsopgave De Wet Bescherming Persoonsgegevens De regels bij verwerking van persoonsgegevens Het College Bescherming Persoonsgegevens Spam E-mail adressen verzamelen Stamboom-onderzoek De Wet Bescherming Persoonsgegevens In 2000 werd de Wet Bescherming Persoonsgegevens (WBP) aangenomen als gevolg van Europese privacy- richtlijn nr. 95/46/EG. Deze wet is de opvolger van de oudere Wet Persoonsregistratie (WPR). De WBP bevat regels voor de "geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen." Persoonsgegevens Persoonsgegevens zijn alle gegevens waarmee een bepaald individu ge�dentificeerd kan worden. Het bekendste voorbeeld zijn naam- en adresgegevens. Ook e-mailadressen en bijvoorbeeld MSN-accounts worden gezien als persoonsgegevens. Maar ook gegevens die een waardering over een bepaalde persoon inhouden, bijvoorbeeld iemands IQ, kunnen persoonsgegevens zijn wanneer te achterhalen is welke persoon dit IQ heeft. Op Internet is bijvoorbeeld het IP-adres een persoonsgegeven. Een IP-adres is, samen met een datum en tijd van gebruik van dat adres, te herleiden tot een persoon. Je hebt daar de hulp van een provider bij nodig, maar het kan. Zie ook Foto's en het portretrecht Ook iemands foto is een persoonsgegeven. De geportretteerde is er tenslotte aan te herkennen. Bovendien is aan een foto te zien welk ras iemand is, en of deze persoon man of vrouw is. Volgens de letter van de wet is een foto dan ook een bijzonder persoonsgegeven, waardoor er voor verwerking van foto's extra strenge regels gelden. Verwerking van persoonsgegevens Verwerking wil zeggen "elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens." De wet geeft als voorbeelden het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens. De regels bij verwerking van persoonsgegevens De betrokkene moet voor elke verwerking van persoonsgegevens zijn toestemming hebben gegeven. Ook heeft hij het recht de informatie die over hem is opgeslagen, te corrigeren of te laten verwijderen. Organisaties die persoonsgegevens verwerken, moeten uitleggen hoe zij dat doen. Voorafgaande toestemming Persoonsgegevens mogen alleen worden verwerkt in overeenstemming met de regels van de WBP. De belangrijkste regel is dat de betreffende persoon zijn toestemming moet hebben gegeven voor de verwerking. Worden gegevens gevraagd aan die persoon zelf, dan moet deze vooraf ge�nformeerd worden over opname in het bestand. Een registratie-formulier op een website moet dus voorzien zijn van een dergelijke waarschuwing. Ook bij persoonsgegevens die uit andere bronnen worden verzameld, moet de betreffende persoon worden ge�nformeerd bij het moment van opname of uiterlijk net voor het moment van verstrekking aan derden. Dit hoeft niet als de betreffende persoon al wist dat zijn gegevens opgenomen zouden worden. Het is dus niet toegestaan om e-mailadressen van mensen die reageren op je website te verzamelen om ze massaal e-mail te sturen, want het maken van een dergelijke verzendlijst is een vorm van verwerking. Het bedrijf Hotmail mag haar klanten echter wel massaal e-mail sturen, want de klanten hebben hiervoor in de algemene voorwaarden toestemming verleend. Het is altijd de taak van de organisatie die de gegevens verwerkt om de betreffende persoon hierover te informeren. Ook mogen persoonsgegevens alleen worden verwerkt in overeenstemming met de doeleinden waarvoor ze zijn verkregen. Het abonneebestand voor een Internet-nieuwsbrief mag dus worden gebruikt om die nieuwsbrief rond te sturen, maar het mag niet worden verkocht aan een ander bedrijf voor bijvoorbeeld een reclame mailing. Informatieplicht Alle organisaties die persoonsgegevens gebruiken, hebben een informatieplicht. Dit betekent dat zij de personen op wie de gegevens betrekking hebben, moeten laten weten wat zij met hun gegevens gaan doen. Dit hoeft niet wanneer het vanzelfsprekend is (bijvoorbeeld bij het invullen van een registratie-formulier bij een online forum) of wanneer het zeer tijdrovend is om het adres van de betrokkene te achterhalen. Correctierecht Daarnaast hebben personen die in een bestand zijn opgenomen het recht om hun geregistreerde gegevens in te zien. Ook kunnen zij eisen dat hun gegevens verbeterd, aangevuld, verwijderd of afgeschermd worden. Dat mag wanneer de gegevens die gebruikt worden door de verantwoordelijke feitelijk onjuist, onvolledig of niet ter zake dienend zijn voor het doel of de doeleinden van de verwerking. Een wanbetaler kan echter niet verwijdering van zijn persoonsgegevens eisen bij de debiteurenadministratie van een bedrijf. Vrijstellingen De WBP eist dat registraties worden aangemeld. Voor een aantal soorten registraties geeft de wet een vrijstelling. Voorbeelden hiervan zijn personeelsadministraties, boekhoudingen, administraties van afnemers en leveranciers, ledenadministraties, abonnementadministraties en administraties van (oud-)leerlingen. Wel worden er in dergelijke gevallen beperkingen gesteld aan de informatie die dan mag worden geregistreerd. Het CBP heeft een Handreiking Vrijstellingsbesluit gepubliceerd met daarin uitleg over de belangrijkste vrijstellingen. Om er een paar te noemen: Abonnementen: uitgevers van publicaties (ook elektronische) hoeven de administratie van persoonsgegevens van hun abonnees niet aan te melden. Ze mogen niet meer bijhouden dan voor het leveren van de publicaties of het innen van het abonnementsgeld nodig is. Wetenschappelijk onderzoek en statistiek: wie onderzoek doet en daarbij persoonsgegevens gebruikt, hoeft zijn databank niet aan te melden. Alleen de hoogst noodzakelijke naam- en adresgegevens mogen worden bijgehouden. Gegevens mogen niet aan derden worden gegeven, behalve met toestemming of als doorgifte noodzakelijk is voor het onderzoek. Doorgifte voor ander onderzoek mag alleen als het gegarandeerd is dat de gegevens nergens anders voor gebruikt kunnen worden. Communicatiebestanden: verwerking van voor communicatie benodigde persoonsgegevens hoeft niet te worden aangemeld. De beheerder van een mailinglijst of forum hoeft zijn abonneebestand of lijst met leden dus niet aan te melden. Hij mag echter geen 'bijzondere persoonsgegevens' (b.v. godsdienst, gezondheid of politieke voorkeuren) opslaan. De databank mag ook niet voor andere doeleinden worden gebruikt zonder toestemming van de betrokkenen. De beheerder van een forum mag gegevens van zijn leden dus niet aan adverteerders geven. Netwerksystemen: wie een privé-netwerk beheert, mag gegevens bijhouden over gebruikers om het netwerk goed te laten werken, voor de veiligheid en interne controle en onderhoud en beheer. Hieronder vallen zaken zoals 'loggen' wat gebruikers doen, welke ingaande en uitgaande communicatie ze verrichten (maar niet de inhoud daarvan) of het vastleggen waar ze wel en niet bij mogen. Gebruikers moeten hierover wel worden geďnformeerd. Dit geldt niet voor Internet-aanbieders en andere beheerders van openbare telecommunicatienetwerken! Deze moeten hun databank gewoon aanmelden. Het College Bescherming Persoonsgegevens Toezicht op de naleving van de WBP is in handen van het College Bescherming Persoonsgegevens (CBP), voorheen Registratiekamer. Het CBP adviseert de regering over de bescherming van persoonsgegevens, voert onderzoeken uit, toetst gedragscodes en privacyreglementen en behandelt vragen en klachten. Het CBP is bevoegd om boetes uit te delen aan organisaties die de WBP overtreden. De registraties van bestanden met persoonsgegevens moeten worden aangemeld bij het CBP. Spam Zie ook Spam nu eindelijk verboden Het rondsturen van ongevraagde commerci�le e-mail, in het jargon 'spam' geheten, mag in principe alleen als de geadresseerden hun toestemming hebben verleend voor opname in het bestand van de zender. Wie de letterlijke tekst van de WBP er bij pakt, zou kunnen concluderen dat deze toestemming vooraf moet worden verleend, en dat vrijwel alle 'spam' in Nederland onrechtmatig is. rechtszaak tussen tussen XS4All en direct marketingbureau Ab.Fab besliste de Hoge Raad dat Ab.Fab geen spam mocht sturen naar XS4All-klanten. XS4ALL heeft als Internet-provider exclusieve rechten op haar computercapaciteit, haar transmissiecapaciteit en haar klantenbestand, en mag anderen de toegang daartoe weigeren. De nieuwe Europese richtlijn 2002/58/EG, die uiterlijk 31 oktober 2003 een Nederlandse wet moet worden, brengt hopelijk meer duidelijkheid. Artikel 13 van deze richtlijn zegt dat e-mail met het oog op direct marketing alleen is toegestaan met betrekking tot abonnees die daarin vooraf hebben toegestemd. E-mail adressen verzamelen Een veelvoorkomende praktijk op Internet is het verzamelen van e-mailadressen van bijvoorbeeld websites om een bestand op te bouwen, met name voor direct marketing doeleinden. Ook dit lijkt in strijd zijn met de WBP. Het leeghalen van andermans e-mailgids werd in december 2002 verboden omdat de betreffende e-mail gids in haar algemene voorwaarden dit verbood. Stamboom-onderzoek Steeds meer mensen, waaronder ook de auteur van dit artikel, publiceren hun stamboom op Internet. De WBP maakt een uitzondering voor verwerking van persoonsgegevens voor uitsluitend persoonlijke doeleinden. Het verzamelen van materiaal ten behoeve van een stamboom, en het maken van de stamboom zelf mag dus zonder toestemming van de personen die erin staan gebeuren. Echter, op het moment dat de stamboom wordt gepubliceerd, bijvoorbeeld op Internet, is er niet langer sprake van "persoonlijke doeleinden". De bovengenoemde regels gelden dan. Echter, de WBP gaat formeel gesproken over gegevens die herleidbaar zijn tot natuurlijke personen. Volgens de wet is een overledene geen natuurlijk persoon (meer). Derhalve is de WBP niet van toepassing op overleden personen. Houd er echter wel rekening mee dat bijvoorbeeld de partner of kinderen van de overledene gemakkelijk te achterhalen zijn wanneer er voldoende informatie over de overledene zelf wordt gepubliceerd. Daarmee vormt die informatie een persoonsgegeven van die partner of kinderen. De WBP kan dus soms toch van toepassing zijn. Gerelateerde artikelen Anonimiteit en privacy op het internet Cameratoezicht, filmen en fotograferen van mensen Filesharing (P2P) en privacy Persoonsgegevens op Internet Categorieën Privacy Zie ook Anonimiteit en privacy op het Internet Elektronisch briefgeheim: de stand van zaken Wat weten ze allemaal over mij? De Wet Bescherming Persoonsgegevens is de belangrijkste wet over persoonsgegevens, informatie zoals naam en adres. Verwerking van persoonsgegevens mag alleen als de betrokkene geďnformeerd is over wat er met de gegevens gebeurt. Er zijn uitzonderingen voor bijvoorbeeld mailinglijsten, forums of privé-netwerken. Door ICT-jurist Arnoud Engelfriet (blog, contact). Er bestaat in Nederland geen algemene "wet op de privacy". Er zijn diverse wetten die elk een bepaald aspect van de privacy in Nederland regelen. De belangrijkste en bekendste wet is de Wet Bescherming Persoonsgegevens. De Wet Bescherming Persoonsgegevens regelt onder welke voorwaarden persoonsgegevens verwerkt mogen worden. Persoonsgegevens zijn alle gegevens die herleidbaar zijn tot een bepaald individu. Omdat bijvoorbeeld een e-mailadres ook een persoonsgegeven is, heeft deze wet ook de nodige implicaties voor Internet-aanbieders en -gebruikers. Zo is het publiceren van e-mailadressen op een website niet zomaar toegestaan. Maar ook bijvoorbeeld de familiestamboom mag niet zomaar op Internet. Inhoudsopgave De Wet Bescherming Persoonsgegevens De regels bij verwerking van persoonsgegevens Het College Bescherming Persoonsgegevens Spam E-mail adressen verzamelen Stamboom-onderzoek De Wet Bescherming Persoonsgegevens In 2000 werd de Wet Bescherming Persoonsgegevens (WBP) aangenomen als gevolg van Europese privacy- richtlijn nr. 95/46/EG. Deze wet is de opvolger van de oudere Wet Persoonsregistratie (WPR). De WBP bevat regels voor de "geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen." Persoonsgegevens Persoonsgegevens zijn alle gegevens waarmee een bepaald individu ge�dentificeerd kan worden. Het bekendste voorbeeld zijn naam- en adresgegevens. Ook e-mailadressen en bijvoorbeeld MSN-accounts worden gezien als persoonsgegevens. Maar ook gegevens die een waardering over een bepaalde persoon inhouden, bijvoorbeeld iemands IQ, kunnen persoonsgegevens zijn wanneer te achterhalen is welke persoon dit IQ heeft. Op Internet is bijvoorbeeld het IP-adres een persoonsgegeven. Een IP-adres is, samen met een datum en tijd van gebruik van dat adres, te herleiden tot een persoon. Je hebt daar de hulp van een provider bij nodig, maar het kan. Zie ook Foto's en het portretrecht Ook iemands foto is een persoonsgegeven. De geportretteerde is er tenslotte aan te herkennen. Bovendien is aan een foto te zien welk ras iemand is, en of deze persoon man of vrouw is. Volgens de letter van de wet is een foto dan ook een bijzonder persoonsgegeven, waardoor er voor verwerking van foto's extra strenge regels gelden. Verwerking van persoonsgegevens Verwerking wil zeggen "elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens." De wet geeft als voorbeelden het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens. De regels bij verwerking van persoonsgegevens De betrokkene moet voor elke verwerking van persoonsgegevens zijn toestemming hebben gegeven. Ook heeft hij het recht de informatie die over hem is opgeslagen, te corrigeren of te laten verwijderen. Organisaties die persoonsgegevens verwerken, moeten uitleggen hoe zij dat doen. Voorafgaande toestemming Persoonsgegevens mogen alleen worden verwerkt in overeenstemming met de regels van de WBP. De belangrijkste regel is dat de betreffende persoon zijn toestemming moet hebben gegeven voor de verwerking. Worden gegevens gevraagd aan die persoon zelf, dan moet deze vooraf ge�nformeerd worden over opname in het bestand. Een registratie-formulier op een website moet dus voorzien zijn van een dergelijke waarschuwing. Ook bij persoonsgegevens die uit andere bronnen worden verzameld, moet de betreffende persoon worden ge�nformeerd bij het moment van opname of uiterlijk net voor het moment van verstrekking aan derden. Dit hoeft niet als de betreffende persoon al wist dat zijn gegevens opgenomen zouden worden. Het is dus niet toegestaan om e-mailadressen van mensen die reageren op je website te verzamelen om ze massaal e-mail te sturen, want het maken van een dergelijke verzendlijst is een vorm van verwerking. Het bedrijf Hotmail mag haar klanten echter wel massaal e-mail sturen, want de klanten hebben hiervoor in de algemene voorwaarden toestemming verleend. Het is altijd de taak van de organisatie die de gegevens verwerkt om de betreffende persoon hierover te informeren. Ook mogen persoonsgegevens alleen worden verwerkt in overeenstemming met de doeleinden waarvoor ze zijn verkregen. Het abonneebestand voor een Internet-nieuwsbrief mag dus worden gebruikt om die nieuwsbrief rond te sturen, maar het mag niet worden verkocht aan een ander bedrijf voor bijvoorbeeld een reclame mailing. Informatieplicht Alle organisaties die persoonsgegevens gebruiken, hebben een informatieplicht. Dit betekent dat zij de personen op wie de gegevens betrekking hebben, moeten laten weten wat zij met hun gegevens gaan doen. Dit hoeft niet wanneer het vanzelfsprekend is (bijvoorbeeld bij het invullen van een registratie-formulier bij een online forum) of wanneer het zeer tijdrovend is om het adres van de betrokkene te achterhalen. Correctierecht Daarnaast hebben personen die in een bestand zijn opgenomen het recht om hun geregistreerde gegevens in te zien. Ook kunnen zij eisen dat hun gegevens verbeterd, aangevuld, verwijderd of afgeschermd worden. Dat mag wanneer de gegevens die gebruikt worden door de verantwoordelijke feitelijk onjuist, onvolledig of niet ter zake dienend zijn voor het doel of de doeleinden van de verwerking. Een wanbetaler kan echter niet verwijdering van zijn persoonsgegevens eisen bij de debiteurenadministratie van een bedrijf. Vrijstellingen De WBP eist dat registraties worden aangemeld. Voor een aantal soorten registraties geeft de wet een vrijstelling. Voorbeelden hiervan zijn personeelsadministraties, boekhoudingen, administraties van afnemers en leveranciers, ledenadministraties, abonnementadministraties en administraties van (oud-)leerlingen. Wel worden er in dergelijke gevallen beperkingen gesteld aan de informatie die dan mag worden geregistreerd. Het CBP heeft een Handreiking Vrijstellingsbesluit gepubliceerd met daarin uitleg over de belangrijkste vrijstellingen. Om er een paar te noemen: Abonnementen: uitgevers van publicaties (ook elektronische) hoeven de administratie van persoonsgegevens van hun abonnees niet aan te melden. Ze mogen niet meer bijhouden dan voor het leveren van de publicaties of het innen van het abonnementsgeld nodig is. Wetenschappelijk onderzoek en statistiek: wie onderzoek doet en daarbij persoonsgegevens gebruikt, hoeft zijn databank niet aan te melden. Alleen de hoogst noodzakelijke naam- en adresgegevens mogen worden bijgehouden. Gegevens mogen niet aan derden worden gegeven, behalve met toestemming of als doorgifte noodzakelijk is voor het onderzoek. Doorgifte voor ander onderzoek mag alleen als het gegarandeerd is dat de gegevens nergens anders voor gebruikt kunnen worden. Communicatiebestanden: verwerking van voor communicatie benodigde persoonsgegevens hoeft niet te worden aangemeld. De beheerder van een mailinglijst of forum hoeft zijn abonneebestand of lijst met leden dus niet aan te melden. Hij mag echter geen 'bijzondere persoonsgegevens' (b.v. godsdienst, gezondheid of politieke voorkeuren) opslaan. De databank mag ook niet voor andere doeleinden worden gebruikt zonder toestemming van de betrokkenen. De beheerder van een forum mag gegevens van zijn leden dus niet aan adverteerders geven. Netwerksystemen: wie een privé-netwerk beheert, mag gegevens bijhouden over gebruikers om het netwerk goed te laten werken, voor de veiligheid en interne controle en onderhoud en beheer. Hieronder vallen zaken zoals 'loggen' wat gebruikers doen, welke ingaande en uitgaande communicatie ze verrichten (maar niet de inhoud daarvan) of het vastleggen waar ze wel en niet bij mogen. Gebruikers moeten hierover wel worden geďnformeerd. Dit geldt niet voor Internet-aanbieders en andere beheerders van openbare telecommunicatienetwerken! Deze moeten hun databank gewoon aanmelden. Het College Bescherming Persoonsgegevens Toezicht op de naleving van de WBP is in handen van het College Bescherming Persoonsgegevens (CBP), voorheen Registratiekamer. Het CBP adviseert de regering over de bescherming van persoonsgegevens, voert onderzoeken uit, toetst gedragscodes en privacyreglementen en behandelt vragen en klachten. Het CBP is bevoegd om boetes uit te delen aan organisaties die de WBP overtreden. De registraties van bestanden met persoonsgegevens moeten worden aangemeld bij het CBP. Spam Zie ook Spam nu eindelijk verboden Het rondsturen van ongevraagde commerci�le e-mail, in het jargon 'spam' geheten, mag in principe alleen als de geadresseerden hun toestemming hebben verleend voor opname in het bestand van de zender. Wie de letterlijke tekst van de WBP er bij pakt, zou kunnen concluderen dat deze toestemming vooraf moet worden verleend, en dat vrijwel alle 'spam' in Nederland onrechtmatig is. rechtszaak tussen tussen XS4All en direct marketingbureau Ab.Fab besliste de Hoge Raad dat Ab.Fab geen spam mocht sturen naar XS4All-klanten. XS4ALL heeft als Internet-provider exclusieve rechten op haar computercapaciteit, haar transmissiecapaciteit en haar klantenbestand, en mag anderen de toegang daartoe weigeren. De nieuwe Europese richtlijn 2002/58/EG, die uiterlijk 31 oktober 2003 een Nederlandse wet moet worden, brengt hopelijk meer duidelijkheid. Artikel 13 van deze richtlijn zegt dat e-mail met het oog op direct marketing alleen is toegestaan met betrekking tot abonnees die daarin vooraf hebben toegestemd. E-mail adressen verzamelen Een veelvoorkomende praktijk op Internet is het verzamelen van e-mailadressen van bijvoorbeeld websites om een bestand op te bouwen, met name voor direct marketing doeleinden. Ook dit lijkt in strijd zijn met de WBP. Het leeghalen van andermans e-mailgids werd in december 2002 verboden omdat de betreffende e-mail gids in haar algemene voorwaarden dit verbood. Stamboom-onderzoek Steeds meer mensen, waaronder ook de auteur van dit artikel, publiceren hun stamboom op Internet. De WBP maakt een uitzondering voor verwerking van persoonsgegevens voor uitsluitend persoonlijke doeleinden. Het verzamelen van materiaal ten behoeve van een stamboom, en het maken van de stamboom zelf mag dus zonder toestemming van de personen die erin staan gebeuren. Echter, op het moment dat de stamboom wordt gepubliceerd, bijvoorbeeld op Internet, is er niet langer sprake van "persoonlijke doeleinden". De bovengenoemde regels gelden dan. Echter, de WBP gaat formeel gesproken over gegevens die herleidbaar zijn tot natuurlijke personen. Volgens de wet is een overledene geen natuurlijk persoon (meer). Derhalve is de WBP niet van toepassing op overleden personen. Houd er echter wel rekening mee dat bijvoorbeeld de partner of kinderen van de overledene gemakkelijk te achterhalen zijn wanneer er voldoende informatie over de overledene zelf wordt gepubliceerd. Daarmee vormt die informatie een persoonsgegeven van die partner of kinderen. De WBP kan dus soms toch van toepassing zijn. Gerelateerde artikelen Anonimiteit en privacy op het internet Cameratoezicht, filmen en fotograferen van mensen Filesharing (P2P) en privacy Persoonsgegevens op Internet Categorieën Privacy Zie ook Anonimiteit en privacy op het Internet Elektronisch briefgeheim: de stand van zaken Wat weten ze allemaal over mij? De Wet Bescherming Persoonsgegevens is de belangrijkste wet over persoonsgegevens, informatie zoals naam en adres. Verwerking van persoonsgegevens mag alleen als de betrokkene geďnformeerd is over wat er met de gegevens gebeurt. Er zijn uitzonderingen voor bijvoorbeeld mailinglijsten, forums of privé-netwerken. Door ICT-jurist Arnoud Engelfriet (blog, contact). Er bestaat in Nederland geen algemene "wet op de privacy". Er zijn diverse wetten die elk een bepaald aspect van de privacy in Nederland regelen. De belangrijkste en bekendste wet is de Wet Bescherming Persoonsgegevens. De Wet Bescherming Persoonsgegevens regelt onder welke voorwaarden persoonsgegevens verwerkt mogen worden. Persoonsgegevens zijn alle gegevens die herleidbaar zijn tot een bepaald individu. Omdat bijvoorbeeld een e-mailadres ook een persoonsgegeven is, heeft deze wet ook de nodige implicaties voor Internet-aanbieders en -gebruikers. Zo is het publiceren van e-mailadressen op een website niet zomaar toegestaan. Maar ook bijvoorbeeld de familiestamboom mag niet zomaar op Internet. Inhoudsopgave De Wet Bescherming Persoonsgegevens De regels bij verwerking van persoonsgegevens Het College Bescherming Persoonsgegevens Spam E-mail adressen verzamelen Stamboom-onderzoek De Wet Bescherming Persoonsgegevens In 2000 werd de Wet Bescherming Persoonsgegevens (WBP) aangenomen als gevolg van Europese privacy- richtlijn nr. 95/46/EG. Deze wet is de opvolger van de oudere Wet Persoonsregistratie (WPR). De WBP bevat regels voor de "geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen." Persoonsgegevens Persoonsgegevens zijn alle gegevens waarmee een bepaald individu ge�dentificeerd kan worden. Het bekendste voorbeeld zijn naam- en adresgegevens. Ook e-mailadressen en bijvoorbeeld MSN-accounts worden gezien als persoonsgegevens. Maar ook gegevens die een waardering over een bepaalde persoon inhouden, bijvoorbeeld iemands IQ, kunnen persoonsgegevens zijn wanneer te achterhalen is welke persoon dit IQ heeft. Op Internet is bijvoorbeeld het IP-adres een persoonsgegeven. Een IP-adres is, samen met een datum en tijd van gebruik van dat adres, te herleiden tot een persoon. Je hebt daar de hulp van een provider bij nodig, maar het kan. Zie ook Foto's en het portretrecht Ook iemands foto is een persoonsgegeven. De geportretteerde is er tenslotte aan te herkennen. Bovendien is aan een foto te zien welk ras iemand is, en of deze persoon man of vrouw is. Volgens de letter van de wet is een foto dan ook een bijzonder persoonsgegeven, waardoor er voor verwerking van foto's extra strenge regels gelden. Verwerking van persoonsgegevens Verwerking wil zeggen "elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens." De wet geeft als voorbeelden het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens. De regels bij verwerking van persoonsgegevens De betrokkene moet voor elke verwerking van persoonsgegevens zijn toestemming hebben gegeven. Ook heeft hij het recht de informatie die over hem is opgeslagen, te corrigeren of te laten verwijderen. Organisaties die persoonsgegevens verwerken, moeten uitleggen hoe zij dat doen. Voorafgaande toestemming Persoonsgegevens mogen alleen worden verwerkt in overeenstemming met de regels van de WBP. De belangrijkste regel is dat de betreffende persoon zijn toestemming moet hebben gegeven voor de verwerking. Worden gegevens gevraagd aan die persoon zelf, dan moet deze vooraf ge�nformeerd worden over opname in het bestand. Een registratie-formulier op een website moet dus voorzien zijn van een dergelijke waarschuwing. Ook bij persoonsgegevens die uit andere bronnen worden verzameld, moet de betreffende persoon worden ge�nformeerd bij het moment van opname of uiterlijk net voor het moment van verstrekking aan derden. Dit hoeft niet als de betreffende persoon al wist dat zijn gegevens opgenomen zouden worden. Het is dus niet toegestaan om e-mailadressen van mensen die reageren op je website te verzamelen om ze massaal e-mail te sturen, want het maken van een dergelijke verzendlijst is een vorm van verwerking. Het bedrijf Hotmail mag haar klanten echter wel massaal e-mail sturen, want de klanten hebben hiervoor in de algemene voorwaarden toestemming verleend. Het is altijd de taak van de organisatie die de gegevens verwerkt om de betreffende persoon hierover te informeren. Ook mogen persoonsgegevens alleen worden verwerkt in overeenstemming met de doeleinden waarvoor ze zijn verkregen. Het abonneebestand voor een Internet-nieuwsbrief mag dus worden gebruikt om die nieuwsbrief rond te sturen, maar het mag niet worden verkocht aan een ander bedrijf voor bijvoorbeeld een reclame mailing. Informatieplicht Alle organisaties die persoonsgegevens gebruiken, hebben een informatieplicht. Dit betekent dat zij de personen op wie de gegevens betrekking hebben, moeten laten weten wat zij met hun gegevens gaan doen. Dit hoeft niet wanneer het vanzelfsprekend is (bijvoorbeeld bij het invullen van een registratie-formulier bij een online forum) of wanneer het zeer tijdrovend is om het adres van de betrokkene te achterhalen. Correctierecht Daarnaast hebben personen die in een bestand zijn opgenomen het recht om hun geregistreerde gegevens in te zien. Ook kunnen zij eisen dat hun gegevens verbeterd, aangevuld, verwijderd of afgeschermd worden. Dat mag wanneer de gegevens die gebruikt worden door de verantwoordelijke feitelijk onjuist, onvolledig of niet ter zake dienend zijn voor het doel of de doeleinden van de verwerking. Een wanbetaler kan echter niet verwijdering van zijn persoonsgegevens eisen bij de debiteurenadministratie van een bedrijf. Vrijstellingen De WBP eist dat registraties worden aangemeld. Voor een aantal soorten registraties geeft de wet een vrijstelling. Voorbeelden hiervan zijn personeelsadministraties, boekhoudingen, administraties van afnemers en leveranciers, ledenadministraties, abonnementadministraties en administraties van (oud-)leerlingen. Wel worden er in dergelijke gevallen beperkingen gesteld aan de informatie die dan mag worden geregistreerd. Het CBP heeft een Handreiking Vrijstellingsbesluit gepubliceerd met daarin uitleg over de belangrijkste vrijstellingen. Om er een paar te noemen: Abonnementen: uitgevers van publicaties (ook elektronische) hoeven de administratie van persoonsgegevens van hun abonnees niet aan te melden. Ze mogen niet meer bijhouden dan voor het leveren van de publicaties of het innen van het abonnementsgeld nodig is. Wetenschappelijk onderzoek en statistiek: wie onderzoek doet en daarbij persoonsgegevens gebruikt, hoeft zijn databank niet aan te melden. Alleen de hoogst noodzakelijke naam- en adresgegevens mogen worden bijgehouden. Gegevens mogen niet aan derden worden gegeven, behalve met toestemming of als doorgifte noodzakelijk is voor het onderzoek. Doorgifte voor ander onderzoek mag alleen als het gegarandeerd is dat de gegevens nergens anders voor gebruikt kunnen worden. Communicatiebestanden: verwerking van voor communicatie benodigde persoonsgegevens hoeft niet te worden aangemeld. De beheerder van een mailinglijst of forum hoeft zijn abonneebestand of lijst met leden dus niet aan te melden. Hij mag echter geen 'bijzondere persoonsgegevens' (b.v. godsdienst, gezondheid of politieke voorkeuren) opslaan. De databank mag ook niet voor andere doeleinden worden gebruikt zonder toestemming van de betrokkenen. De beheerder van een forum mag gegevens van zijn leden dus niet aan adverteerders geven. Netwerksystemen: wie een privé-netwerk beheert, mag gegevens bijhouden over gebruikers om het netwerk goed te laten werken, voor de veiligheid en interne controle en onderhoud en beheer. Hieronder vallen zaken zoals 'loggen' wat gebruikers doen, welke ingaande en uitgaande communicatie ze verrichten (maar niet de inhoud daarvan) of het vastleggen waar ze wel en niet bij mogen. Gebruikers moeten hierover wel worden geďnformeerd. Dit geldt niet voor Internet-aanbieders en andere beheerders van openbare telecommunicatienetwerken! Deze moeten hun databank gewoon aanmelden. Het College Bescherming Persoonsgegevens Toezicht op de naleving van de WBP is in handen van het College Bescherming Persoonsgegevens (CBP), voorheen Registratiekamer. Het CBP adviseert de regering over de bescherming van persoonsgegevens, voert onderzoeken uit, toetst gedragscodes en privacyreglementen en behandelt vragen en klachten. Het CBP is bevoegd om boetes uit te delen aan organisaties die de WBP overtreden. De registraties van bestanden met persoonsgegevens moeten worden aangemeld bij het CBP. Spam Zie ook Spam nu eindelijk verboden Het rondsturen van ongevraagde commerci�le e-mail, in het jargon 'spam' geheten, mag in principe alleen als de geadresseerden hun toestemming hebben verleend voor opname in het bestand van de zender. Wie de letterlijke tekst van de WBP er bij pakt, zou kunnen concluderen dat deze toestemming vooraf moet worden verleend, en dat vrijwel alle 'spam' in Nederland onrechtmatig is. rechtszaak tussen tussen XS4All en direct marketingbureau Ab.Fab besliste de Hoge Raad dat Ab.Fab geen spam mocht sturen naar XS4All-klanten. XS4ALL heeft als Internet-provider exclusieve rechten op haar computercapaciteit, haar transmissiecapaciteit en haar klantenbestand, en mag anderen de toegang daartoe weigeren. De nieuwe Europese richtlijn 2002/58/EG, die uiterlijk 31 oktober 2003 een Nederlandse wet moet worden, brengt hopelijk meer duidelijkheid. Artikel 13 van deze richtlijn zegt dat e-mail met het oog op direct marketing alleen is toegestaan met betrekking tot abonnees die daarin vooraf hebben toegestemd. E-mail adressen verzamelen Een veelvoorkomende praktijk op Internet is het verzamelen van e-mailadressen van bijvoorbeeld websites om een bestand op te bouwen, met name voor direct marketing doeleinden. Ook dit lijkt in strijd zijn met de WBP. Het leeghalen van andermans e-mailgids werd in december 2002 verboden omdat de betreffende e-mail gids in haar algemene voorwaarden dit verbood. Stamboom-onderzoek Steeds meer mensen, waaronder ook de auteur van dit artikel, publiceren hun stamboom op Internet. De WBP maakt een uitzondering voor verwerking van persoonsgegevens voor uitsluitend persoonlijke doeleinden. Het verzamelen van materiaal ten behoeve van een stamboom, en het maken van de stamboom zelf mag dus zonder toestemming van de personen die erin staan gebeuren. Echter, op het moment dat de stamboom wordt gepubliceerd, bijvoorbeeld op Internet, is er niet langer sprake van "persoonlijke doeleinden". De bovengenoemde regels gelden dan. Echter, de WBP gaat formeel gesproken over gegevens die herleidbaar zijn tot natuurlijke personen. Volgens de wet is een overledene geen natuurlijk persoon (meer). Derhalve is de WBP niet van toepassing op overleden personen. Houd er echter wel rekening mee dat bijvoorbeeld de partner of kinderen van de overledene gemakkelijk te achterhalen zijn wanneer er voldoende informatie over de overledene zelf wordt gepubliceerd. Daarmee vormt die informatie een persoonsgegeven van die partner of kinderen. De WBP kan dus soms toch van toepassing zijn. Gerelateerde artikelen Anonimiteit en privacy op het internet Cameratoezicht, filmen en fotograferen van mensen Filesharing (P2P) en privacy Persoonsgegevens op Internet Categorieën Privacy Zie ook Anonimiteit en privacy op het Internet Elektronisch briefgeheim: de stand van zaken Wat weten ze allemaal over mij? De Wet Bescherming Persoonsgegevens is de belangrijkste wet over persoonsgegevens, informatie zoals naam en adres. Verwerking van persoonsgegevens mag alleen als de betrokkene geďnformeerd is over wat er met de gegevens gebeurt. Er zijn uitzonderingen voor bijvoorbeeld mailinglijsten, forums of privé-netwerken. Door ICT-jurist Arnoud Engelfriet (blog, contact). Er bestaat in Nederland geen algemene "wet op de privacy". Er zijn diverse wetten die elk een bepaald aspect van de privacy in Nederland regelen. De belangrijkste en bekendste wet is de Wet Bescherming Persoonsgegevens. De Wet Bescherming Persoonsgegevens regelt onder welke voorwaarden persoonsgegevens verwerkt mogen worden. Persoonsgegevens zijn alle gegevens die herleidbaar zijn tot een bepaald individu. Omdat bijvoorbeeld een e-mailadres ook een persoonsgegeven is, heeft deze wet ook de nodige implicaties voor Internet-aanbieders en -gebruikers. Zo is het publiceren van e-mailadressen op een website niet zomaar toegestaan. Maar ook bijvoorbeeld de familiestamboom mag niet zomaar op Internet. Inhoudsopgave De Wet Bescherming Persoonsgegevens De regels bij verwerking van persoonsgegevens Het College Bescherming Persoonsgegevens Spam E-mail adressen verzamelen Stamboom-onderzoek De Wet Bescherming Persoonsgegevens In 2000 werd de Wet Bescherming Persoonsgegevens (WBP) aangenomen als gevolg van Europese privacy- richtlijn nr. 95/46/EG. Deze wet is de opvolger van de oudere Wet Persoonsregistratie (WPR). De WBP bevat regels voor de "geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen." Persoonsgegevens Persoonsgegevens zijn alle gegevens waarmee een bepaald individu ge�dentificeerd kan worden. Het bekendste voorbeeld zijn naam- en adresgegevens. Ook e-mailadressen en bijvoorbeeld MSN-accounts worden gezien als persoonsgegevens. Maar ook gegevens die een waardering over een bepaalde persoon inhouden, bijvoorbeeld iemands IQ, kunnen persoonsgegevens zijn wanneer te achterhalen is welke persoon dit IQ heeft. Op Internet is bijvoorbeeld het IP-adres een persoonsgegeven. Een IP-adres is, samen met een datum en tijd van gebruik van dat adres, te herleiden tot een persoon. Je hebt daar de hulp van een provider bij nodig, maar het kan. Zie ook Foto's en het portretrecht Ook iemands foto is een persoonsgegeven. De geportretteerde is er tenslotte aan te herkennen. Bovendien is aan een foto te zien welk ras iemand is, en of deze persoon man of vrouw is. Volgens de letter van de wet is een foto dan ook een bijzonder persoonsgegeven, waardoor er voor verwerking van foto's extra strenge regels gelden. Verwerking van persoonsgegevens Verwerking wil zeggen "elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens." De wet geeft als voorbeelden het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens. De regels bij verwerking van persoonsgegevens De betrokkene moet voor elke verwerking van persoonsgegevens zijn toestemming hebben gegeven. Ook heeft hij het recht de informatie die over hem is opgeslagen, te corrigeren of te laten verwijderen. Organisaties die persoonsgegevens verwerken, moeten uitleggen hoe zij dat doen. Voorafgaande toestemming Persoonsgegevens mogen alleen worden verwerkt in overeenstemming met de regels van de WBP. De belangrijkste regel is dat de betreffende persoon zijn toestemming moet hebben gegeven voor de verwerking. Worden gegevens gevraagd aan die persoon zelf, dan moet deze vooraf ge�nformeerd worden over opname in het bestand. Een registratie-formulier op een website moet dus voorzien zijn van een dergelijke waarschuwing. Ook bij persoonsgegevens die uit andere bronnen worden verzameld, moet de betreffende persoon worden ge�nformeerd bij het moment van opname of uiterlijk net voor het moment van verstrekking aan derden. Dit hoeft niet als de betreffende persoon al wist dat zijn gegevens opgenomen zouden worden. Het is dus niet toegestaan om e-mailadressen van mensen die reageren op je website te verzamelen om ze massaal e-mail te sturen, want het maken van een dergelijke verzendlijst is een vorm van verwerking. Het bedrijf Hotmail mag haar klanten echter wel massaal e-mail sturen, want de klanten hebben hiervoor in de algemene voorwaarden toestemming verleend. Het is altijd de taak van de organisatie die de gegevens verwerkt om de betreffende persoon hierover te informeren. Ook mogen persoonsgegevens alleen worden verwerkt in overeenstemming met de doeleinden waarvoor ze zijn verkregen. Het abonneebestand voor een Internet-nieuwsbrief mag dus worden gebruikt om die nieuwsbrief rond te sturen, maar het mag niet worden verkocht aan een ander bedrijf voor bijvoorbeeld een reclame mailing. Informatieplicht Alle organisaties die persoonsgegevens gebruiken, hebben een informatieplicht. Dit betekent dat zij de personen op wie de gegevens betrekking hebben, moeten laten weten wat zij met hun gegevens gaan doen. Dit hoeft niet wanneer het vanzelfsprekend is (bijvoorbeeld bij het invullen van een registratie-formulier bij een online forum) of wanneer het zeer tijdrovend is om het adres van de betrokkene te achterhalen. Correctierecht Daarnaast hebben personen die in een bestand zijn opgenomen het recht om hun geregistreerde gegevens in te zien. Ook kunnen zij eisen dat hun gegevens verbeterd, aangevuld, verwijderd of afgeschermd worden. Dat mag wanneer de gegevens die gebruikt worden door de verantwoordelijke feitelijk onjuist, onvolledig of niet ter zake dienend zijn voor het doel of de doeleinden van de verwerking. Een wanbetaler kan echter niet verwijdering van zijn persoonsgegevens eisen bij de debiteurenadministratie van een bedrijf. Vrijstellingen De WBP eist dat registraties worden aangemeld. Voor een aantal soorten registraties geeft de wet een vrijstelling. Voorbeelden hiervan zijn personeelsadministraties, boekhoudingen, administraties van afnemers en leveranciers, ledenadministraties, abonnementadministraties en administraties van (oud-)leerlingen. Wel worden er in dergelijke gevallen beperkingen gesteld aan de informatie die dan mag worden geregistreerd. Het CBP heeft een Handreiking Vrijstellingsbesluit gepubliceerd met daarin uitleg over de belangrijkste vrijstellingen. Om er een paar te noemen: Abonnementen: uitgevers van publicaties (ook elektronische) hoeven de administratie van persoonsgegevens van hun abonnees niet aan te melden. Ze mogen niet meer bijhouden dan voor het leveren van de publicaties of het innen van het abonnementsgeld nodig is. Wetenschappelijk onderzoek en statistiek: wie onderzoek doet en daarbij persoonsgegevens gebruikt, hoeft zijn databank niet aan te melden. Alleen de hoogst noodzakelijke naam- en adresgegevens mogen worden bijgehouden. Gegevens mogen niet aan derden worden gegeven, behalve met toestemming of als doorgifte noodzakelijk is voor het onderzoek. Doorgifte voor ander onderzoek mag alleen als het gegarandeerd is dat de gegevens nergens anders voor gebruikt kunnen worden. Communicatiebestanden: verwerking van voor communicatie benodigde persoonsgegevens hoeft niet te worden aangemeld. De beheerder van een mailinglijst of forum hoeft zijn abonneebestand of lijst met leden dus niet aan te melden. Hij mag echter geen 'bijzondere persoonsgegevens' (b.v. godsdienst, gezondheid of politieke voorkeuren) opslaan. De databank mag ook niet voor andere doeleinden worden gebruikt zonder toestemming van de betrokkenen. De beheerder van een forum mag gegevens van zijn leden dus niet aan adverteerders geven. Netwerksystemen: wie een privé-netwerk beheert, mag gegevens bijhouden over gebruikers om het netwerk goed te laten werken, voor de veiligheid en interne controle en onderhoud en beheer. Hieronder vallen zaken zoals 'loggen' wat gebruikers doen, welke ingaande en uitgaande communicatie ze verrichten (maar niet de inhoud daarvan) of het vastleggen waar ze wel en niet bij mogen. Gebruikers moeten hierover wel worden geďnformeerd. Dit geldt niet voor Internet-aanbieders en andere beheerders van openbare telecommunicatienetwerken! Deze moeten hun databank gewoon aanmelden. Het College Bescherming Persoonsgegevens Toezicht op de naleving van de WBP is in handen van het College Bescherming Persoonsgegevens (CBP), voorheen Registratiekamer. Het CBP adviseert de regering over de bescherming van persoonsgegevens, voert onderzoeken uit, toetst gedragscodes en privacyreglementen en behandelt vragen en klachten. Het CBP is bevoegd om boetes uit te delen aan organisaties die de WBP overtreden. De registraties van bestanden met persoonsgegevens moeten worden aangemeld bij het CBP. Spam Zie ook Spam nu eindelijk verboden Het rondsturen van ongevraagde commerci�le e-mail, in het jargon 'spam' geheten, mag in principe alleen als de geadresseerden hun toestemming hebben verleend voor opname in het bestand van de zender. Wie de letterlijke tekst van de WBP er bij pakt, zou kunnen concluderen dat deze toestemming vooraf moet worden verleend, en dat vrijwel alle 'spam' in Nederland onrechtmatig is. rechtszaak tussen tussen XS4All en direct marketingbureau Ab.Fab besliste de Hoge Raad dat Ab.Fab geen spam mocht sturen naar XS4All-klanten. XS4ALL heeft als Internet-provider exclusieve rechten op haar computercapaciteit, haar transmissiecapaciteit en haar klantenbestand, en mag anderen de toegang daartoe weigeren. De nieuwe Europese richtlijn 2002/58/EG, die uiterlijk 31 oktober 2003 een Nederlandse wet moet worden, brengt hopelijk meer duidelijkheid. Artikel 13 van deze richtlijn zegt dat e-mail met het oog op direct marketing alleen is toegestaan met betrekking tot abonnees die daarin vooraf hebben toegestemd. E-mail adressen verzamelen Een veelvoorkomende praktijk op Internet is het verzamelen van e-mailadressen van bijvoorbeeld websites om een bestand op te bouwen, met name voor direct marketing doeleinden. Ook dit lijkt in strijd zijn met de WBP. Het leeghalen van andermans e-mailgids werd in december 2002 verboden omdat de betreffende e-mail gids in haar algemene voorwaarden dit verbood. Stamboom-onderzoek Steeds meer mensen, waaronder ook de auteur van dit artikel, publiceren hun stamboom op Internet. De WBP maakt een uitzondering voor verwerking van persoonsgegevens voor uitsluitend persoonlijke doeleinden. Het verzamelen van materiaal ten behoeve van een stamboom, en het maken van de stamboom zelf mag dus zonder toestemming van de personen die erin staan gebeuren. Echter, op het moment dat de stamboom wordt gepubliceerd, bijvoorbeeld op Internet, is er niet langer sprake van "persoonlijke doeleinden". De bovengenoemde regels gelden dan. Echter, de WBP gaat formeel gesproken over gegevens die herleidbaar zijn tot natuurlijke personen. Volgens de wet is een overledene geen natuurlijk persoon (meer). Derhalve is de WBP niet van toepassing op overleden personen. Houd er echter wel rekening mee dat bijvoorbeeld de partner of kinderen van de overledene gemakkelijk te achterhalen zijn wanneer er voldoende informatie over de overledene zelf wordt gepubliceerd. Daarmee vormt die informatie een persoonsgegeven van die partner of kinderen. De WBP kan dus soms toch van toepassing zijn. Gerelateerde artikelen Anonimiteit en privacy op het internet Cameratoezicht, filmen en fotograferen van mensen Filesharing (P2P) en privacy Persoonsgegevens op Internet Categorieën Privacy Zie ook Anonimiteit en privacy op het Internet Elektronisch briefgeheim: de stand van zaken Wat weten ze allemaal over mij? De Wet Bescherming Persoonsgegevens is de belangrijkste wet over persoonsgegevens, informatie zoals naam en adres. Verwerking van persoonsgegevens mag alleen als de betrokkene geďnformeerd is over wat er met de gegevens gebeurt. Er zijn uitzonderingen voor bijvoorbeeld mailinglijsten, forums of privé-netwerken. Door ICT-jurist Arnoud Engelfriet (blog, contact). Er bestaat in Nederland geen algemene "wet op de privacy". Er zijn diverse wetten die elk een bepaald aspect van de privacy in Nederland regelen. De belangrijkste en bekendste wet is de Wet Bescherming Persoonsgegevens. De Wet Bescherming Persoonsgegevens regelt onder welke voorwaarden persoonsgegevens verwerkt mogen worden. Persoonsgegevens zijn alle gegevens die herleidbaar zijn tot een bepaald individu. Omdat bijvoorbeeld een e-mailadres ook een persoonsgegeven is, heeft deze wet ook de nodige implicaties voor Internet-aanbieders en -gebruikers. Zo is het publiceren van e-mailadressen op een website niet zomaar toegestaan. Maar ook bijvoorbeeld de familiestamboom mag niet zomaar op Internet. Inhoudsopgave De Wet Bescherming Persoonsgegevens De regels bij verwerking van persoonsgegevens Het College Bescherming Persoonsgegevens Spam E-mail adressen verzamelen Stamboom-onderzoek De Wet Bescherming Persoonsgegevens In 2000 werd de Wet Bescherming Persoonsgegevens (WBP) aangenomen als gevolg van Europese privacy- richtlijn nr. 95/46/EG. Deze wet is de opvolger van de oudere Wet Persoonsregistratie (WPR). De WBP bevat regels voor de "geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen." Persoonsgegevens Persoonsgegevens zijn alle gegevens waarmee een bepaald individu ge�dentificeerd kan worden. Het bekendste voorbeeld zijn naam- en adresgegevens. Ook e-mailadressen en bijvoorbeeld MSN-accounts worden gezien als persoonsgegevens. Maar ook gegevens die een waardering over een bepaalde persoon inhouden, bijvoorbeeld iemands IQ, kunnen persoonsgegevens zijn wanneer te achterhalen is welke persoon dit IQ heeft. Op Internet is bijvoorbeeld het IP-adres een persoonsgegeven. Een IP-adres is, samen met een datum en tijd van gebruik van dat adres, te herleiden tot een persoon. Je hebt daar de hulp van een provider bij nodig, maar het kan. Zie ook Foto's en het portretrecht Ook iemands foto is een persoonsgegeven. De geportretteerde is er tenslotte aan te herkennen. Bovendien is aan een foto te zien welk ras iemand is, en of deze persoon man of vrouw is. Volgens de letter van de wet is een foto dan ook een bijzonder persoonsgegeven, waardoor er voor verwerking van foto's extra strenge regels gelden. Verwerking van persoonsgegevens Verwerking wil zeggen "elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens." De wet geeft als voorbeelden het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens. De regels bij verwerking van persoonsgegevens De betrokkene moet voor elke verwerking van persoonsgegevens zijn toestemming hebben gegeven. Ook heeft hij het recht de informatie die over hem is opgeslagen, te corrigeren of te laten verwijderen. Organisaties die persoonsgegevens verwerken, moeten uitleggen hoe zij dat doen. Voorafgaande toestemming Persoonsgegevens mogen alleen worden verwerkt in overeenstemming met de regels van de WBP. De belangrijkste regel is dat de betreffende persoon zijn toestemming moet hebben gegeven voor de verwerking. Worden gegevens gevraagd aan die persoon zelf, dan moet deze vooraf ge�nformeerd worden over opname in het bestand. Een registratie-formulier op een website moet dus voorzien zijn van een dergelijke waarschuwing. Ook bij persoonsgegevens die uit andere bronnen worden verzameld, moet de betreffende persoon worden ge�nformeerd bij het moment van opname of uiterlijk net voor het moment van verstrekking aan derden. Dit hoeft niet als de betreffende persoon al wist dat zijn gegevens opgenomen zouden worden. Het is dus niet toegestaan om e-mailadressen van mensen die reageren op je website te verzamelen om ze massaal e-mail te sturen, want het maken van een dergelijke verzendlijst is een vorm van verwerking. Het bedrijf Hotmail mag haar klanten echter wel massaal e-mail sturen, want de klanten hebben hiervoor in de algemene voorwaarden toestemming verleend. Het is altijd de taak van de organisatie die de gegevens verwerkt om de betreffende persoon hierover te informeren. Ook mogen persoonsgegevens alleen worden verwerkt in overeenstemming met de doeleinden waarvoor ze zijn verkregen. Het abonneebestand voor een Internet-nieuwsbrief mag dus worden gebruikt om die nieuwsbrief rond te sturen, maar het mag niet worden verkocht aan een ander bedrijf voor bijvoorbeeld een reclame mailing. Informatieplicht Alle organisaties die persoonsgegevens gebruiken, hebben een informatieplicht. Dit betekent dat zij de personen op wie de gegevens betrekking hebben, moeten laten weten wat zij met hun gegevens gaan doen. Dit hoeft niet wanneer het vanzelfsprekend is (bijvoorbeeld bij het invullen van een registratie-formulier bij een online forum) of wanneer het zeer tijdrovend is om het adres van de betrokkene te achterhalen. Correctierecht Daarnaast hebben personen die in een bestand zijn opgenomen het recht om hun geregistreerde gegevens in te zien. Ook kunnen zij eisen dat hun gegevens verbeterd, aangevuld, verwijderd of afgeschermd worden. Dat mag wanneer de gegevens die gebruikt worden door de verantwoordelijke feitelijk onjuist, onvolledig of niet ter zake dienend zijn voor het doel of de doeleinden van de verwerking. Een wanbetaler kan echter niet verwijdering van zijn persoonsgegevens eisen bij de debiteurenadministratie van een bedrijf. Vrijstellingen De WBP eist dat registraties worden aangemeld. Voor een aantal soorten registraties geeft de wet een vrijstelling. Voorbeelden hiervan zijn personeelsadministraties, boekhoudingen, administraties van afnemers en leveranciers, ledenadministraties, abonnementadministraties en administraties van (oud-)leerlingen. Wel worden er in dergelijke gevallen beperkingen gesteld aan de informatie die dan mag worden geregistreerd. Het CBP heeft een Handreiking Vrijstellingsbesluit gepubliceerd met daarin uitleg over de belangrijkste vrijstellingen. Om er een paar te noemen: Abonnementen: uitgevers van publicaties (ook elektronische) hoeven de administratie van persoonsgegevens van hun abonnees niet aan te melden. Ze mogen niet meer bijhouden dan voor het leveren van de publicaties of het innen van het abonnementsgeld nodig is. Wetenschappelijk onderzoek en statistiek: wie onderzoek doet en daarbij persoonsgegevens gebruikt, hoeft zijn databank niet aan te melden. Alleen de hoogst noodzakelijke naam- en adresgegevens mogen worden bijgehouden. Gegevens mogen niet aan derden worden gegeven, behalve met toestemming of als doorgifte noodzakelijk is voor het onderzoek. Doorgifte voor ander onderzoek mag alleen als het gegarandeerd is dat de gegevens nergens anders voor gebruikt kunnen worden. Communicatiebestanden: verwerking van voor communicatie benodigde persoonsgegevens hoeft niet te worden aangemeld. De beheerder van een mailinglijst of forum hoeft zijn abonneebestand of lijst met leden dus niet aan te melden. Hij mag echter geen 'bijzondere persoonsgegevens' (b.v. godsdienst, gezondheid of politieke voorkeuren) opslaan. De databank mag ook niet voor andere doeleinden worden gebruikt zonder toestemming van de betrokkenen. De beheerder van een forum mag gegevens van zijn leden dus niet aan adverteerders geven. Netwerksystemen: wie een privé-netwerk beheert, mag gegevens bijhouden over gebruikers om het netwerk goed te laten werken, voor de veiligheid en interne controle en onderhoud en beheer. Hieronder vallen zaken zoals 'loggen' wat gebruikers doen, welke ingaande en uitgaande communicatie ze verrichten (maar niet de inhoud daarvan) of het vastleggen waar ze wel en niet bij mogen. Gebruikers moeten hierover wel worden geďnformeerd. Dit geldt niet voor Internet-aanbieders en andere beheerders van openbare telecommunicatienetwerken! Deze moeten hun databank gewoon aanmelden. Het College Bescherming Persoonsgegevens Toezicht op de naleving van de WBP is in handen van het College Bescherming Persoonsgegevens (CBP), voorheen Registratiekamer. Het CBP adviseert de regering over de bescherming van persoonsgegevens, voert onderzoeken uit, toetst gedragscodes en privacyreglementen en behandelt vragen en klachten. Het CBP is bevoegd om boetes uit te delen aan organisaties die de WBP overtreden. De registraties van bestanden met persoonsgegevens moeten worden aangemeld bij het CBP. Spam Zie ook Spam nu eindelijk verboden Het rondsturen van ongevraagde commerci�le e-mail, in het jargon 'spam' geheten, mag in principe alleen als de geadresseerden hun toestemming hebben verleend voor opname in het bestand van de zender. Wie de letterlijke tekst van de WBP er bij pakt, zou kunnen concluderen dat deze toestemming vooraf moet worden verleend, en dat vrijwel alle 'spam' in Nederland onrechtmatig is. rechtszaak tussen tussen XS4All en direct marketingbureau Ab.Fab besliste de Hoge Raad dat Ab.Fab geen spam mocht sturen naar XS4All-klanten. XS4ALL heeft als Internet-provider exclusieve rechten op haar computercapaciteit, haar transmissiecapaciteit en haar klantenbestand, en mag anderen de toegang daartoe weigeren. De nieuwe Europese richtlijn 2002/58/EG, die uiterlijk 31 oktober 2003 een Nederlandse wet moet worden, brengt hopelijk meer duidelijkheid. Artikel 13 van deze richtlijn zegt dat e-mail met het oog op direct marketing alleen is toegestaan met betrekking tot abonnees die daarin vooraf hebben toegestemd. E-mail adressen verzamelen Een veelvoorkomende praktijk op Internet is het verzamelen van e-mailadressen van bijvoorbeeld websites om een bestand op te bouwen, met name voor direct marketing doeleinden. Ook dit lijkt in strijd zijn met de WBP. Het leeghalen van andermans e-mailgids werd in december 2002 verboden omdat de betreffende e-mail gids in haar algemene voorwaarden dit verbood. Stamboom-onderzoek Steeds meer mensen, waaronder ook de auteur van dit artikel, publiceren hun stamboom op Internet. De WBP maakt een uitzondering voor verwerking van persoonsgegevens voor uitsluitend persoonlijke doeleinden. Het verzamelen van materiaal ten behoeve van een stamboom, en het maken van de stamboom zelf mag dus zonder toestemming van de personen die erin staan gebeuren. Echter, op het moment dat de stamboom wordt gepubliceerd, bijvoorbeeld op Internet, is er niet langer sprake van "persoonlijke doeleinden". De bovengenoemde regels gelden dan. Echter, de WBP gaat formeel gesproken over gegevens die herleidbaar zijn tot natuurlijke personen. Volgens de wet is een overledene geen natuurlijk persoon (meer). Derhalve is de WBP niet van toepassing op overleden personen. Houd er echter wel rekening mee dat bijvoorbeeld de partner of kinderen van de overledene gemakkelijk te achterhalen zijn wanneer er voldoende informatie over de overledene zelf wordt gepubliceerd. Daarmee vormt die informatie een persoonsgegeven van die partner of kinderen. De WBP kan dus soms toch van toepassing zijn. Gerelateerde artikelen Anonimiteit en privacy op het internet Cameratoezicht, filmen en fotograferen van mensen Filesharing (P2P) en privacy Persoonsgegevens op Internet Categorieën Privacy Zie ook Anonimiteit en privacy op het Internet Elektronisch briefgeheim: de stand van zaken Wat weten ze allemaal over mij? De Wet Bescherming Persoonsgegevens is de belangrijkste wet over persoonsgegevens, informatie zoals naam en adres. Verwerking van persoonsgegevens mag alleen als de betrokkene geďnformeerd is over wat er met de gegevens gebeurt. Er zijn uitzonderingen voor bijvoorbeeld mailinglijsten, forums of privé-netwerken. Door ICT-jurist Arnoud Engelfriet (blog, contact). Er bestaat in Nederland geen algemene "wet op de privacy". Er zijn diverse wetten die elk een bepaald aspect van de privacy in Nederland regelen. De belangrijkste en bekendste wet is de Wet Bescherming Persoonsgegevens. De Wet Bescherming Persoonsgegevens regelt onder welke voorwaarden persoonsgegevens verwerkt mogen worden. Persoonsgegevens zijn alle gegevens die herleidbaar zijn tot een bepaald individu. Omdat bijvoorbeeld een e-mailadres ook een persoonsgegeven is, heeft deze wet ook de nodige implicaties voor Internet-aanbieders en -gebruikers. Zo is het publiceren van e-mailadressen op een website niet zomaar toegestaan. Maar ook bijvoorbeeld de familiestamboom mag niet zomaar op Internet. Inhoudsopgave De Wet Bescherming Persoonsgegevens De regels bij verwerking van persoonsgegevens Het College Bescherming Persoonsgegevens Spam E-mail adressen verzamelen Stamboom-onderzoek De Wet Bescherming Persoonsgegevens In 2000 werd de Wet Bescherming Persoonsgegevens (WBP) aangenomen als gevolg van Europese privacy- richtlijn nr. 95/46/EG. Deze wet is de opvolger van de oudere Wet Persoonsregistratie (WPR). De WBP bevat regels voor de "geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen." Persoonsgegevens Persoonsgegevens zijn alle gegevens waarmee een bepaald individu ge�dentificeerd kan worden. Het bekendste voorbeeld zijn naam- en adresgegevens. Ook e-mailadressen en bijvoorbeeld MSN-accounts worden gezien als persoonsgegevens. Maar ook gegevens die een waardering over een bepaalde persoon inhouden, bijvoorbeeld iemands IQ, kunnen persoonsgegevens zijn wanneer te achterhalen is welke persoon dit IQ heeft. Op Internet is bijvoorbeeld het IP-adres een persoonsgegeven. Een IP-adres is, samen met een datum en tijd van gebruik van dat adres, te herleiden tot een persoon. Je hebt daar de hulp van een provider bij nodig, maar het kan. Zie ook Foto's en het portretrecht Ook iemands foto is een persoonsgegeven. De geportretteerde is er tenslotte aan te herkennen. Bovendien is aan een foto te zien welk ras iemand is, en of deze persoon man of vrouw is. Volgens de letter van de wet is een foto dan ook een bijzonder persoonsgegeven, waardoor er voor verwerking van foto's extra strenge regels gelden. Verwerking van persoonsgegevens Verwerking wil zeggen "elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens." De wet geeft als voorbeelden het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens. De regels bij verwerking van persoonsgegevens De betrokkene moet voor elke verwerking van persoonsgegevens zijn toestemming hebben gegeven. Ook heeft hij het recht de informatie die over hem is opgeslagen, te corrigeren of te laten verwijderen. Organisaties die persoonsgegevens verwerken, moeten uitleggen hoe zij dat doen. Voorafgaande toestemming Persoonsgegevens mogen alleen worden verwerkt in overeenstemming met de regels van de WBP. De belangrijkste regel is dat de betreffende persoon zijn toestemming moet hebben gegeven voor de verwerking. Worden gegevens gevraagd aan die persoon zelf, dan moet deze vooraf ge�nformeerd worden over opname in het bestand. Een registratie-formulier op een website moet dus voorzien zijn van een dergelijke waarschuwing. Ook bij persoonsgegevens die uit andere bronnen worden verzameld, moet de betreffende persoon worden ge�nformeerd bij het moment van opname of uiterlijk net voor het moment van verstrekking aan derden. Dit hoeft niet als de betreffende persoon al wist dat zijn gegevens opgenomen zouden worden. Het is dus niet toegestaan om e-mailadressen van mensen die reageren op je website te verzamelen om ze massaal e-mail te sturen, want het maken van een dergelijke verzendlijst is een vorm van verwerking. Het bedrijf Hotmail mag haar klanten echter wel massaal e-mail sturen, want de klanten hebben hiervoor in de algemene voorwaarden toestemming verleend. Het is altijd de taak van de organisatie die de gegevens verwerkt om de betreffende persoon hierover te informeren. Ook mogen persoonsgegevens alleen worden verwerkt in overeenstemming met de doeleinden waarvoor ze zijn verkregen. Het abonneebestand voor een Internet-nieuwsbrief mag dus worden gebruikt om die nieuwsbrief rond te sturen, maar het mag niet worden verkocht aan een ander bedrijf voor bijvoorbeeld een reclame mailing. Informatieplicht Alle organisaties die persoonsgegevens gebruiken, hebben een informatieplicht. Dit betekent dat zij de personen op wie de gegevens betrekking hebben, moeten laten weten wat zij met hun gegevens gaan doen. Dit hoeft niet wanneer het vanzelfsprekend is (bijvoorbeeld bij het invullen van een registratie-formulier bij een online forum) of wanneer het zeer tijdrovend is om het adres van de betrokkene te achterhalen. Correctierecht Daarnaast hebben personen die in een bestand zijn opgenomen het recht om hun geregistreerde gegevens in te zien. Ook kunnen zij eisen dat hun gegevens verbeterd, aangevuld, verwijderd of afgeschermd worden. Dat mag wanneer de gegevens die gebruikt worden door de verantwoordelijke feitelijk onjuist, onvolledig of niet ter zake dienend zijn voor het doel of de doeleinden van de verwerking. Een wanbetaler kan echter niet verwijdering van zijn persoonsgegevens eisen bij de debiteurenadministratie van een bedrijf. Vrijstellingen De WBP eist dat registraties worden aangemeld. Voor een aantal soorten registraties geeft de wet een vrijstelling. Voorbeelden hiervan zijn personeelsadministraties, boekhoudingen, administraties van afnemers en leveranciers, ledenadministraties, abonnementadministraties en administraties van (oud-)leerlingen. Wel worden er in dergelijke gevallen beperkingen gesteld aan de informatie die dan mag worden geregistreerd. Het CBP heeft een Handreiking Vrijstellingsbesluit gepubliceerd met daarin uitleg over de belangrijkste vrijstellingen. Om er een paar te noemen: Abonnementen: uitgevers van publicaties (ook elektronische) hoeven de administratie van persoonsgegevens van hun abonnees niet aan te melden. Ze mogen niet meer bijhouden dan voor het leveren van de publicaties of het innen van het abonnementsgeld nodig is. Wetenschappelijk onderzoek en statistiek: wie onderzoek doet en daarbij persoonsgegevens gebruikt, hoeft zijn databank niet aan te melden. Alleen de hoogst noodzakelijke naam- en adresgegevens mogen worden bijgehouden. Gegevens mogen niet aan derden worden gegeven, behalve met toestemming of als doorgifte noodzakelijk is voor het onderzoek. Doorgifte voor ander onderzoek mag alleen als het gegarandeerd is dat de gegevens nergens anders voor gebruikt kunnen worden. Communicatiebestanden: verwerking van voor communicatie benodigde persoonsgegevens hoeft niet te worden aangemeld. De beheerder van een mailinglijst of forum hoeft zijn abonneebestand of lijst met leden dus niet aan te melden. Hij mag echter geen 'bijzondere persoonsgegevens' (b.v. godsdienst, gezondheid of politieke voorkeuren) opslaan. De databank mag ook niet voor andere doeleinden worden gebruikt zonder toestemming van de betrokkenen. De beheerder van een forum mag gegevens van zijn leden dus niet aan adverteerders geven. Netwerksystemen: wie een privé-netwerk beheert, mag gegevens bijhouden over gebruikers om het netwerk goed te laten werken, voor de veiligheid en interne controle en onderhoud en beheer. Hieronder vallen zaken zoals 'loggen' wat gebruikers doen, welke ingaande en uitgaande communicatie ze verrichten (maar niet de inhoud daarvan) of het vastleggen waar ze wel en niet bij mogen. Gebruikers moeten hierover wel worden geďnformeerd. Dit geldt niet voor Internet-aanbieders en andere beheerders van openbare telecommunicatienetwerken! Deze moeten hun databank gewoon aanmelden. Het College Bescherming Persoonsgegevens Toezicht op de naleving van de WBP is in handen van het College Bescherming Persoonsgegevens (CBP), voorheen Registratiekamer. Het CBP adviseert de regering over de bescherming van persoonsgegevens, voert onderzoeken uit, toetst gedragscodes en privacyreglementen en behandelt vragen en klachten. Het CBP is bevoegd om boetes uit te delen aan organisaties die de WBP overtreden. De registraties van bestanden met persoonsgegevens moeten worden aangemeld bij het CBP. Spam Zie ook Spam nu eindelijk verboden Het rondsturen van ongevraagde commerci�le e-mail, in het jargon 'spam' geheten, mag in principe alleen als de geadresseerden hun toestemming hebben verleend voor opname in het bestand van de zender. Wie de letterlijke tekst van de WBP er bij pakt, zou kunnen concluderen dat deze toestemming vooraf moet worden verleend, en dat vrijwel alle 'spam' in Nederland onrechtmatig is. rechtszaak tussen tussen XS4All en direct marketingbureau Ab.Fab besliste de Hoge Raad dat Ab.Fab geen spam mocht sturen naar XS4All-klanten. XS4ALL heeft als Internet-provider exclusieve rechten op haar computercapaciteit, haar transmissiecapaciteit en haar klantenbestand, en mag anderen de toegang daartoe weigeren. De nieuwe Europese richtlijn 2002/58/EG, die uiterlijk 31 oktober 2003 een Nederlandse wet moet worden, brengt hopelijk meer duidelijkheid. Artikel 13 van deze richtlijn zegt dat e-mail met het oog op direct marketing alleen is toegestaan met betrekking tot abonnees die daarin vooraf hebben toegestemd. E-mail adressen verzamelen Een veelvoorkomende praktijk op Internet is het verzamelen van e-mailadressen van bijvoorbeeld websites om een bestand op te bouwen, met name voor direct marketing doeleinden. Ook dit lijkt in strijd zijn met de WBP. Het leeghalen van andermans e-mailgids werd in december 2002 verboden omdat de betreffende e-mail gids in haar algemene voorwaarden dit verbood. Stamboom-onderzoek Steeds meer mensen, waaronder ook de auteur van dit artikel, publiceren hun stamboom op Internet. De WBP maakt een uitzondering voor verwerking van persoonsgegevens voor uitsluitend persoonlijke doeleinden. Het verzamelen van materiaal ten behoeve van een stamboom, en het maken van de stamboom zelf mag dus zonder toestemming van de personen die erin staan gebeuren. Echter, op het moment dat de stamboom wordt gepubliceerd, bijvoorbeeld op Internet, is er niet langer sprake van "persoonlijke doeleinden". De bovengenoemde regels gelden dan. Echter, de WBP gaat formeel gesproken over gegevens die herleidbaar zijn tot natuurlijke personen. Volgens de wet is een overledene geen natuurlijk persoon (meer). Derhalve is de WBP niet van toepassing op overleden personen. Houd er echter wel rekening mee dat bijvoorbeeld de partner of kinderen van de overledene gemakkelijk te achterhalen zijn wanneer er voldoende informatie over de overledene zelf wordt gepubliceerd. Daarmee vormt die informatie een persoonsgegeven van die partner of kinderen. De WBP kan dus soms toch van toepassing zijn. Gerelateerde artikelen Anonimiteit en privacy op het internet Cameratoezicht, filmen en fotograferen van mensen Filesharing (P2P) en privacy WAt nou naam daar is het ip adres toch goed voor zoek dat maar zelf lekker uit!!! Persoonsgegevens op Internet Categorieën Privacy Zie ook Anonimiteit en privacy op het Internet Elektronisch briefgeheim: de stand van zaken Wat weten ze allemaal over mij? De Wet Bescherming Persoonsgegevens is de belangrijkste wet over persoonsgegevens, informatie zoals naam en adres. Verwerking van persoonsgegevens mag alleen als de betrokkene geďnformeerd is over wat er met de gegevens gebeurt. Er zijn uitzonderingen voor bijvoorbeeld mailinglijsten, forums of privé-netwerken. Door ICT-jurist Arnoud Engelfriet (blog, contact). Er bestaat in Nederland geen algemene "wet op de privacy". Er zijn diverse wetten die elk een bepaald aspect van de privacy in Nederland regelen. De belangrijkste en bekendste wet is de Wet Bescherming Persoonsgegevens. De Wet Bescherming Persoonsgegevens regelt onder welke voorwaarden persoonsgegevens verwerkt mogen worden. Persoonsgegevens zijn alle gegevens die herleidbaar zijn tot een bepaald individu. Omdat bijvoorbeeld een e-mailadres ook een persoonsgegeven is, heeft deze wet ook de nodige implicaties voor Internet-aanbieders en -gebruikers. Zo is het publiceren van e-mailadressen op een website niet zomaar toegestaan. Maar ook bijvoorbeeld de familiestamboom mag niet zomaar op Internet. Inhoudsopgave De Wet Bescherming Persoonsgegevens De regels bij verwerking van persoonsgegevens Het College Bescherming Persoonsgegevens Spam E-mail adressen verzamelen Stamboom-onderzoek De Wet Bescherming Persoonsgegevens In 2000 werd de Wet Bescherming Persoonsgegevens (WBP) aangenomen als gevolg van Europese privacy- richtlijn nr. 95/46/EG. Deze wet is de opvolger van de oudere Wet Persoonsregistratie (WPR). De WBP bevat regels voor de "geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen." Persoonsgegevens Persoonsgegevens zijn alle gegevens waarmee een bepaald individu ge�dentificeerd kan worden. Het bekendste voorbeeld zijn naam- en adresgegevens. Ook e-mailadressen en bijvoorbeeld MSN-accounts worden gezien als persoonsgegevens. Maar ook gegevens die een waardering over een bepaalde persoon inhouden, bijvoorbeeld iemands IQ, kunnen persoonsgegevens zijn wanneer te achterhalen is welke persoon dit IQ heeft. Op Internet is bijvoorbeeld het IP-adres een persoonsgegeven. Een IP-adres is, samen met een datum en tijd van gebruik van dat adres, te herleiden tot een persoon. Je hebt daar de hulp van een provider bij nodig, maar het kan. Zie ook Foto's en het portretrecht Ook iemands foto is een persoonsgegeven. De geportretteerde is er tenslotte aan te herkennen. Bovendien is aan een foto te zien welk ras iemand is, en of deze persoon man of vrouw is. Volgens de letter van de wet is een foto dan ook een bijzonder persoonsgegeven, waardoor er voor verwerking van foto's extra strenge regels gelden. Verwerking van persoonsgegevens Verwerking wil zeggen "elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens." De wet geeft als voorbeelden het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens. De regels bij verwerking van persoonsgegevens De betrokkene moet voor elke verwerking van persoonsgegevens zijn toestemming hebben gegeven. Ook heeft hij het recht de informatie die over hem is opgeslagen, te corrigeren of te laten verwijderen. Organisaties die persoonsgegevens verwerken, moeten uitleggen hoe zij dat doen. Voorafgaande toestemming Persoonsgegevens mogen alleen worden verwerkt in overeenstemming met de regels van de WBP. De belangrijkste regel is dat de betreffende persoon zijn toestemming moet hebben gegeven voor de verwerking. Worden gegevens gevraagd aan die persoon zelf, dan moet deze vooraf ge�nformeerd worden over opname in het bestand. Een registratie-formulier op een website moet dus voorzien zijn van een dergelijke waarschuwing. Ook bij persoonsgegevens die uit andere bronnen worden verzameld, moet de betreffende persoon worden ge�nformeerd bij het moment van opname of uiterlijk net voor het moment van verstrekking aan derden. Dit hoeft niet als de betreffende persoon al wist dat zijn gegevens opgenomen zouden worden. Het is dus niet toegestaan om e-mailadressen van mensen die reageren op je website te verzamelen om ze massaal e-mail te sturen, want het maken van een dergelijke verzendlijst is een vorm van verwerking. Het bedrijf Hotmail mag haar klanten echter wel massaal e-mail sturen, want de klanten hebben hiervoor in de algemene voorwaarden toestemming verleend. Het is altijd de taak van de organisatie die de gegevens verwerkt om de betreffende persoon hierover te informeren. Ook mogen persoonsgegevens alleen worden verwerkt in overeenstemming met de doeleinden waarvoor ze zijn verkregen. Het abonneebestand voor een Internet-nieuwsbrief mag dus worden gebruikt om die nieuwsbrief rond te sturen, maar het mag niet worden verkocht aan een ander bedrijf voor bijvoorbeeld een reclame mailing. Informatieplicht Alle organisaties die persoonsgegevens gebruiken, hebben een informatieplicht. Dit betekent dat zij de personen op wie de gegevens betrekking hebben, moeten laten weten wat zij met hun gegevens gaan doen. Dit hoeft niet wanneer het vanzelfsprekend is (bijvoorbeeld bij het invullen van een registratie-formulier bij een online forum) of wanneer het zeer tijdrovend is om het adres van de betrokkene te achterhalen. Correctierecht Daarnaast hebben personen die in een bestand zijn opgenomen het recht om hun geregistreerde gegevens in te zien. Ook kunnen zij eisen dat hun gegevens verbeterd, aangevuld, verwijderd of afgeschermd worden. Dat mag wanneer de gegevens die gebruikt worden door de verantwoordelijke feitelijk onjuist, onvolledig of niet ter zake dienend zijn voor het doel of de doeleinden van de verwerking. Een wanbetaler kan echter niet verwijdering van zijn persoonsgegevens eisen bij de debiteurenadministratie van een bedrijf. Vrijstellingen De WBP eist dat registraties worden aangemeld. Voor een aantal soorten registraties geeft de wet een vrijstelling. Voorbeelden hiervan zijn personeelsadministraties, boekhoudingen, administraties van afnemers en leveranciers, ledenadministraties, abonnementadministraties en administraties van (oud-)leerlingen. Wel worden er in dergelijke gevallen beperkingen gesteld aan de informatie die dan mag worden geregistreerd. Het CBP heeft een Handreiking Vrijstellingsbesluit gepubliceerd met daarin uitleg over de belangrijkste vrijstellingen. Om er een paar te noemen: Abonnementen: uitgevers van publicaties (ook elektronische) hoeven de administratie van persoonsgegevens van hun abonnees niet aan te melden. Ze mogen niet meer bijhouden dan voor het leveren van de publicaties of het innen van het abonnementsgeld nodig is. Wetenschappelijk onderzoek en statistiek: wie onderzoek doet en daarbij persoonsgegevens gebruikt, hoeft zijn databank niet aan te melden. Alleen de hoogst noodzakelijke naam- en adresgegevens mogen worden bijgehouden. Gegevens mogen niet aan derden worden gegeven, behalve met toestemming of als doorgifte noodzakelijk is voor het onderzoek. Doorgifte voor ander onderzoek mag alleen als het gegarandeerd is dat de gegevens nergens anders voor gebruikt kunnen worden. Communicatiebestanden: verwerking van voor communicatie benodigde persoonsgegevens hoeft niet te worden aangemeld. De beheerder van een mailinglijst of forum hoeft zijn abonneebestand of lijst met leden dus niet aan te melden. Hij mag echter geen 'bijzondere persoonsgegevens' (b.v. godsdienst, gezondheid of politieke voorkeuren) opslaan. De databank mag ook niet voor andere doeleinden worden gebruikt zonder toestemming van de betrokkenen. De beheerder van een forum mag gegevens van zijn leden dus niet aan adverteerders geven. Netwerksystemen: wie een privé-netwerk beheert, mag gegevens bijhouden over gebruikers om het netwerk goed te laten werken, voor de veiligheid en interne controle en onderhoud en beheer. Hieronder vallen zaken zoals 'loggen' wat gebruikers doen, welke ingaande en uitgaande communicatie ze verrichten (maar niet de inhoud daarvan) of het vastleggen waar ze wel en niet bij mogen. Gebruikers moeten hierover wel worden geďnformeerd. Dit geldt niet voor Internet-aanbieders en andere beheerders van openbare telecommunicatienetwerken! Deze moeten hun databank gewoon aanmelden. Het College Bescherming Persoonsgegevens Toezicht op de naleving van de WBP is in handen van het College Bescherming Persoonsgegevens (CBP), voorheen Registratiekamer. Het CBP adviseert de regering over de bescherming van persoonsgegevens, voert onderzoeken uit, toetst gedragscodes en privacyreglementen en behandelt vragen en klachten. Het CBP is bevoegd om boetes uit te delen aan organisaties die de WBP overtreden. De registraties van bestanden met persoonsgegevens moeten worden aangemeld bij het CBP. Spam Zie ook Spam nu eindelijk verboden Het rondsturen van ongevraagde commerci�le e-mail, in het jargon 'spam' geheten, mag in principe alleen als de geadresseerden hun toestemming hebben verleend voor opname in het bestand van de zender. Wie de letterlijke tekst van de WBP er bij pakt, zou kunnen concluderen dat deze toestemming vooraf moet worden verleend, en dat vrijwel alle 'spam' in Nederland onrechtmatig is. rechtszaak tussen tussen XS4All en direct marketingbureau Ab.Fab besliste de Hoge Raad dat Ab.Fab geen spam mocht sturen naar XS4All-klanten. XS4ALL heeft als Internet-provider exclusieve rechten op haar computercapaciteit, haar transmissiecapaciteit en haar klantenbestand, en mag anderen de toegang daartoe weigeren. De nieuwe Europese richtlijn 2002/58/EG, die uiterlijk 31 oktober 2003 een Nederlandse wet moet worden, brengt hopelijk meer duidelijkheid. Artikel 13 van deze richtlijn zegt dat e-mail met het oog op direct marketing alleen is toegestaan met betrekking tot abonnees die daarin vooraf hebben toegestemd. E-mail adressen verzamelen Een veelvoorkomende praktijk op Internet is het verzamelen van e-mailadressen van bijvoorbeeld websites om een bestand op te bouwen, met name voor direct marketing doeleinden. Ook dit lijkt in strijd zijn met de WBP. Het leeghalen van andermans e-mailgids werd in december 2002 verboden omdat de betreffende e-mail gids in haar algemene voorwaarden dit verbood. Stamboom-onderzoek Steeds meer mensen, waaronder ook de auteur van dit artikel, publiceren hun stamboom op Internet. De WBP maakt een uitzondering voor verwerking van persoonsgegevens voor uitsluitend persoonlijke doeleinden. Het verzamelen van materiaal ten behoeve van een stamboom, en het maken van de stamboom zelf mag dus zonder toestemming van de personen die erin staan gebeuren. Echter, op het moment dat de stamboom wordt gepubliceerd, bijvoorbeeld op Internet, is er niet langer sprake van "persoonlijke doeleinden". De bovengenoemde regels gelden dan. Echter, de WBP gaat formeel gesproken over gegevens die herleidbaar zijn tot natuurlijke personen. Volgens de wet is een overledene geen natuurlijk persoon (meer). Derhalve is de WBP niet van toepassing op overleden personen. Houd er echter wel rekening mee dat bijvoorbeeld de partner of kinderen van de overledene gemakkelijk te achterhalen zijn wanneer er voldoende informatie over de overledene zelf wordt gepubliceerd. Daarmee vormt die informatie een persoonsgegeven van die partner of kinderen. De WBP kan dus soms toch van toepassing zijn. Gerelateerde artikelen Anonimiteit en privacy op het internet Cameratoezicht, filmen en fotograferen van mensen Filesharing (P2P) en privacy Persoonsgegevens op Internet Categorieën Privacy Zie ook Anonimiteit en privacy op het Internet Elektronisch briefgeheim: de stand van zaken Wat weten ze allemaal over mij? De Wet Bescherming Persoonsgegevens is de belangrijkste wet over persoonsgegevens, informatie zoals naam en adres. Verwerking van persoonsgegevens mag alleen als de betrokkene geďnformeerd is over wat er met de gegevens gebeurt. Er zijn uitzonderingen voor bijvoorbeeld mailinglijsten, forums of privé-netwerken. Door ICT-jurist Arnoud Engelfriet (blog, contact). Er bestaat in Nederland geen algemene "wet op de privacy". Er zijn diverse wetten die elk een bepaald aspect van de privacy in Nederland regelen. De belangrijkste en bekendste wet is de Wet Bescherming Persoonsgegevens. De Wet Bescherming Persoonsgegevens regelt onder welke voorwaarden persoonsgegevens verwerkt mogen worden. Persoonsgegevens zijn alle gegevens die herleidbaar zijn tot een bepaald individu. Omdat bijvoorbeeld een e-mailadres ook een persoonsgegeven is, heeft deze wet ook de nodige implicaties voor Internet-aanbieders en -gebruikers. Zo is het publiceren van e-mailadressen op een website niet zomaar toegestaan. Maar ook bijvoorbeeld de familiestamboom mag niet zomaar op Internet. Inhoudsopgave De Wet Bescherming Persoonsgegevens De regels bij verwerking van persoonsgegevens Het College Bescherming Persoonsgegevens Spam E-mail adressen verzamelen Stamboom-onderzoek De Wet Bescherming Persoonsgegevens In 2000 werd de Wet Bescherming Persoonsgegevens (WBP) aangenomen als gevolg van Europese privacy- richtlijn nr. 95/46/EG. Deze wet is de opvolger van de oudere Wet Persoonsregistratie (WPR). De WBP bevat regels voor de "geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen." Persoonsgegevens Persoonsgegevens zijn alle gegevens waarmee een bepaald individu ge�dentificeerd kan worden. Het bekendste voorbeeld zijn naam- en adresgegevens. Ook e-mailadressen en bijvoorbeeld MSN-accounts worden gezien als persoonsgegevens. Maar ook gegevens die een waardering over een bepaalde persoon inhouden, bijvoorbeeld iemands IQ, kunnen persoonsgegevens zijn wanneer te achterhalen is welke persoon dit IQ heeft. Op Internet is bijvoorbeeld het IP-adres een persoonsgegeven. Een IP-adres is, samen met een datum en tijd van gebruik van dat adres, te herleiden tot een persoon. Je hebt daar de hulp van een provider bij nodig, maar het kan. Zie ook Foto's en het portretrecht Ook iemands foto is een persoonsgegeven. De geportretteerde is er tenslotte aan te herkennen. Bovendien is aan een foto te zien welk ras iemand is, en of deze persoon man of vrouw is. Volgens de letter van de wet is een foto dan ook een bijzonder persoonsgegeven, waardoor er voor verwerking van foto's extra strenge regels gelden. Verwerking van persoonsgegevens Verwerking wil zeggen "elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens." De wet geeft als voorbeelden het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens. De regels bij verwerking van persoonsgegevens De betrokkene moet voor elke verwerking van persoonsgegevens zijn toestemming hebben gegeven. Ook heeft hij het recht de informatie die over hem is opgeslagen, te corrigeren of te laten verwijderen. Organisaties die persoonsgegevens verwerken, moeten uitleggen hoe zij dat doen. Voorafgaande toestemming Persoonsgegevens mogen alleen worden verwerkt in overeenstemming met de regels van de WBP. De belangrijkste regel is dat de betreffende persoon zijn toestemming moet hebben gegeven voor de verwerking. Worden gegevens gevraagd aan die persoon zelf, dan moet deze vooraf ge�nformeerd worden over opname in het bestand. Een registratie-formulier op een website moet dus voorzien zijn van een dergelijke waarschuwing. Ook bij persoonsgegevens die uit andere bronnen worden verzameld, moet de betreffende persoon worden ge�nformeerd bij het moment van opname of uiterlijk net voor het moment van verstrekking aan derden. Dit hoeft niet als de betreffende persoon al wist dat zijn gegevens opgenomen zouden worden. Het is dus niet toegestaan om e-mailadressen van mensen die reageren op je website te verzamelen om ze massaal e-mail te sturen, want het maken van een dergelijke verzendlijst is een vorm van verwerking. Het bedrijf Hotmail mag haar klanten echter wel massaal e-mail sturen, want de klanten hebben hiervoor in de algemene voorwaarden toestemming verleend. Het is altijd de taak van de organisatie die de gegevens verwerkt om de betreffende persoon hierover te informeren. Ook mogen persoonsgegevens alleen worden verwerkt in overeenstemming met de doeleinden waarvoor ze zijn verkregen. Het abonneebestand voor een Internet-nieuwsbrief mag dus worden gebruikt om die nieuwsbrief rond te sturen, maar het mag niet worden verkocht aan een ander bedrijf voor bijvoorbeeld een reclame mailing. Informatieplicht Alle organisaties die persoonsgegevens gebruiken, hebben een informatieplicht. Dit betekent dat zij de personen op wie de gegevens betrekking hebben, moeten laten weten wat zij met hun gegevens gaan doen. Dit hoeft niet wanneer het vanzelfsprekend is (bijvoorbeeld bij het invullen van een registratie-formulier bij een online forum) of wanneer het zeer tijdrovend is om het adres van de betrokkene te achterhalen. Correctierecht Daarnaast hebben personen die in een bestand zijn opgenomen het recht om hun geregistreerde gegevens in te zien. Ook kunnen zij eisen dat hun gegevens verbeterd, aangevuld, verwijderd of afgeschermd worden. Dat mag wanneer de gegevens die gebruikt worden door de verantwoordelijke feitelijk onjuist, onvolledig of niet ter zake dienend zijn voor het doel of de doeleinden van de verwerking. Een wanbetaler kan echter niet verwijdering van zijn persoonsgegevens eisen bij de debiteurenadministratie van een bedrijf. Vrijstellingen De WBP eist dat registraties worden aangemeld. Voor een aantal soorten registraties geeft de wet een vrijstelling. Voorbeelden hiervan zijn personeelsadministraties, boekhoudingen, administraties van afnemers en leveranciers, ledenadministraties, abonnementadministraties en administraties van (oud-)leerlingen. Wel worden er in dergelijke gevallen beperkingen gesteld aan de informatie die dan mag worden geregistreerd. Het CBP heeft een Handreiking Vrijstellingsbesluit gepubliceerd met daarin uitleg over de belangrijkste vrijstellingen. Om er een paar te noemen: Abonnementen: uitgevers van publicaties (ook elektronische) hoeven de administratie van persoonsgegevens van hun abonnees niet aan te melden. Ze mogen niet meer bijhouden dan voor het leveren van de publicaties of het innen van het abonnementsgeld nodig is. Wetenschappelijk onderzoek en statistiek: wie onderzoek doet en daarbij persoonsgegevens gebruikt, hoeft zijn databank niet aan te melden. Alleen de hoogst noodzakelijke naam- en adresgegevens mogen worden bijgehouden. Gegevens mogen niet aan derden worden gegeven, behalve met toestemming of als doorgifte noodzakelijk is voor het onderzoek. Doorgifte voor ander onderzoek mag alleen als het gegarandeerd is dat de gegevens nergens anders voor gebruikt kunnen worden. Communicatiebestanden: verwerking van voor communicatie benodigde persoonsgegevens hoeft niet te worden aangemeld. De beheerder van een mailinglijst of forum hoeft zijn abonneebestand of lijst met leden dus niet aan te melden. Hij mag echter geen 'bijzondere persoonsgegevens' (b.v. godsdienst, gezondheid of politieke voorkeuren) opslaan. De databank mag ook niet voor andere doeleinden worden gebruikt zonder toestemming van de betrokkenen. De beheerder van een forum mag gegevens van zijn leden dus niet aan adverteerders geven. Netwerksystemen: wie een privé-netwerk beheert, mag gegevens bijhouden over gebruikers om het netwerk goed te laten werken, voor de veiligheid en interne controle en onderhoud en beheer. Hieronder vallen zaken zoals 'loggen' wat gebruikers doen, welke ingaande en uitgaande communicatie ze verrichten (maar niet de inhoud daarvan) of het vastleggen waar ze wel en niet bij mogen. Gebruikers moeten hierover wel worden geďnformeerd. Dit geldt niet voor Internet-aanbieders en andere beheerders van openbare telecommunicatienetwerken! Deze moeten hun databank gewoon aanmelden. Het College Bescherming Persoonsgegevens Toezicht op de naleving van de WBP is in handen van het College Bescherming Persoonsgegevens (CBP), voorheen Registratiekamer. Het CBP adviseert de regering over de bescherming van persoonsgegevens, voert onderzoeken uit, toetst gedragscodes en privacyreglementen en behandelt vragen en klachten. Het CBP is bevoegd om boetes uit te delen aan organisaties die de WBP overtreden. De registraties van bestanden met persoonsgegevens moeten worden aangemeld bij het CBP. Spam Zie ook Spam nu eindelijk verboden Het rondsturen van ongevraagde commerci�le e-mail, in het jargon 'spam' geheten, mag in principe alleen als de geadresseerden hun toestemming hebben verleend voor opname in het bestand van de zender. Wie de letterlijke tekst van de WBP er bij pakt, zou kunnen concluderen dat deze toestemming vooraf moet worden verleend, en dat vrijwel alle 'spam' in Nederland onrechtmatig is. rechtszaak tussen tussen XS4All en direct marketingbureau Ab.Fab besliste de Hoge Raad dat Ab.Fab geen spam mocht sturen naar XS4All-klanten. XS4ALL heeft als Internet-provider exclusieve rechten op haar computercapaciteit, haar transmissiecapaciteit en haar klantenbestand, en mag anderen de toegang daartoe weigeren. De nieuwe Europese richtlijn 2002/58/EG, die uiterlijk 31 oktober 2003 een Nederlandse wet moet worden, brengt hopelijk meer duidelijkheid. Artikel 13 van deze richtlijn zegt dat e-mail met het oog op direct marketing alleen is toegestaan met betrekking tot abonnees die daarin vooraf hebben toegestemd. E-mail adressen verzamelen Een veelvoorkomende praktijk op Internet is het verzamelen van e-mailadressen van bijvoorbeeld websites om een bestand op te bouwen, met name voor direct marketing doeleinden. Ook dit lijkt in strijd zijn met de WBP. Het leeghalen van andermans e-mailgids werd in december 2002 verboden omdat de betreffende e-mail gids in haar algemene voorwaarden dit verbood. Stamboom-onderzoek Steeds meer mensen, waaronder ook de auteur van dit artikel, publiceren hun stamboom op Internet. De WBP maakt een uitzondering voor verwerking van persoonsgegevens voor uitsluitend persoonlijke doeleinden. Het verzamelen van materiaal ten behoeve van een stamboom, en het maken van de stamboom zelf mag dus zonder toestemming van de personen die erin staan gebeuren. Echter, op het moment dat de stamboom wordt gepubliceerd, bijvoorbeeld op Internet, is er niet langer sprake van "persoonlijke doeleinden". De bovengenoemde regels gelden dan. Echter, de WBP gaat formeel gesproken over gegevens die herleidbaar zijn tot natuurlijke personen. Volgens de wet is een overledene geen natuurlijk persoon (meer). Derhalve is de WBP niet van toepassing op overleden personen. Houd er echter wel rekening mee dat bijvoorbeeld de partner of kinderen van de overledene gemakkelijk te achterhalen zijn wanneer er voldoende informatie over de overledene zelf wordt gepubliceerd. Daarmee vormt die informatie een persoonsgegeven van die partner of kinderen. De WBP kan dus soms toch van toepassing zijn. Gerelateerde artikelen Anonimiteit en privacy op het internet Cameratoezicht, filmen en fotograferen van mensen Filesharing (P2P) en privacy Persoonsgegevens op Internet Categorieën Privacy Zie ook Anonimiteit en privacy op het Internet Elektronisch briefgeheim: de stand van zaken Wat weten ze allemaal over mij? De Wet Bescherming Persoonsgegevens is de belangrijkste wet over persoonsgegevens, informatie zoals naam en adres. Verwerking van persoonsgegevens mag alleen als de betrokkene geďnformeerd is over wat er met de gegevens gebeurt. Er zijn uitzonderingen voor bijvoorbeeld mailinglijsten, forums of privé-netwerken. Door ICT-jurist Arnoud Engelfriet (blog, contact). Er bestaat in Nederland geen algemene "wet op de privacy". Er zijn diverse wetten die elk een bepaald aspect van de privacy in Nederland regelen. De belangrijkste en bekendste wet is de Wet Bescherming Persoonsgegevens. De Wet Bescherming Persoonsgegevens regelt onder welke voorwaarden persoonsgegevens verwerkt mogen worden. Persoonsgegevens zijn alle gegevens die herleidbaar zijn tot een bepaald individu. Omdat bijvoorbeeld een e-mailadres ook een persoonsgegeven is, heeft deze wet ook de nodige implicaties voor Internet-aanbieders en -gebruikers. Zo is het publiceren van e-mailadressen op een website niet zomaar toegestaan. Maar ook bijvoorbeeld de familiestamboom mag niet zomaar op Internet. Inhoudsopgave De Wet Bescherming Persoonsgegevens De regels bij verwerking van persoonsgegevens Het College Bescherming Persoonsgegevens Spam E-mail adressen verzamelen Stamboom-onderzoek De Wet Bescherming Persoonsgegevens In 2000 werd de Wet Bescherming Persoonsgegevens (WBP) aangenomen als gevolg van Europese privacy- richtlijn nr. 95/46/EG. Deze wet is de opvolger van de oudere Wet Persoonsregistratie (WPR). De WBP bevat regels voor de "geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen." Persoonsgegevens Persoonsgegevens zijn alle gegevens waarmee een bepaald individu ge�dentificeerd kan worden. Het bekendste voorbeeld zijn naam- en adresgegevens. Ook e-mailadressen en bijvoorbeeld MSN-accounts worden gezien als persoonsgegevens. Maar ook gegevens die een waardering over een bepaalde persoon inhouden, bijvoorbeeld iemands IQ, kunnen persoonsgegevens zijn wanneer te achterhalen is welke persoon dit IQ heeft. Op Internet is bijvoorbeeld het IP-adres een persoonsgegeven. Een IP-adres is, samen met een datum en tijd van gebruik van dat adres, te herleiden tot een persoon. Je hebt daar de hulp van een provider bij nodig, maar het kan. Zie ook Foto's en het portretrecht Ook iemands foto is een persoonsgegeven. De geportretteerde is er tenslotte aan te herkennen. Bovendien is aan een foto te zien welk ras iemand is, en of deze persoon man of vrouw is. Volgens de letter van de wet is een foto dan ook een bijzonder persoonsgegeven, waardoor er voor verwerking van foto's extra strenge regels gelden. Verwerking van persoonsgegevens Verwerking wil zeggen "elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens." De wet geeft als voorbeelden het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens. De regels bij verwerking van persoonsgegevens De betrokkene moet voor elke verwerking van persoonsgegevens zijn toestemming hebben gegeven. Ook heeft hij het recht de informatie die over hem is opgeslagen, te corrigeren of te laten verwijderen. Organisaties die persoonsgegevens verwerken, moeten uitleggen hoe zij dat doen. Voorafgaande toestemming Persoonsgegevens mogen alleen worden verwerkt in overeenstemming met de regels van de WBP. De belangrijkste regel is dat de betreffende persoon zijn toestemming moet hebben gegeven voor de verwerking. Worden gegevens gevraagd aan die persoon zelf, dan moet deze vooraf ge�nformeerd worden over opname in het bestand. Een registratie-formulier op een website moet dus voorzien zijn van een dergelijke waarschuwing. Ook bij persoonsgegevens die uit andere bronnen worden verzameld, moet de betreffende persoon worden ge�nformeerd bij het moment van opname of uiterlijk net voor het moment van verstrekking aan derden. Dit hoeft niet als de betreffende persoon al wist dat zijn gegevens opgenomen zouden worden. Het is dus niet toegestaan om e-mailadressen van mensen die reageren op je website te verzamelen om ze massaal e-mail te sturen, want het maken van een dergelijke verzendlijst is een vorm van verwerking. Het bedrijf Hotmail mag haar klanten echter wel massaal e-mail sturen, want de klanten hebben hiervoor in de algemene voorwaarden toestemming verleend. Het is altijd de taak van de organisatie die de gegevens verwerkt om de betreffende persoon hierover te informeren. Ook mogen persoonsgegevens alleen worden verwerkt in overeenstemming met de doeleinden waarvoor ze zijn verkregen. Het abonneebestand voor een Internet-nieuwsbrief mag dus worden gebruikt om die nieuwsbrief rond te sturen, maar het mag niet worden verkocht aan een ander bedrijf voor bijvoorbeeld een reclame mailing. Informatieplicht Alle organisaties die persoonsgegevens gebruiken, hebben een informatieplicht. Dit betekent dat zij de personen op wie de gegevens betrekking hebben, moeten laten weten wat zij met hun gegevens gaan doen. Dit hoeft niet wanneer het vanzelfsprekend is (bijvoorbeeld bij het invullen van een registratie-formulier bij een online forum) of wanneer het zeer tijdrovend is om het adres van de betrokkene te achterhalen. Correctierecht Daarnaast hebben personen die in een bestand zijn opgenomen het recht om hun geregistreerde gegevens in te zien. Ook kunnen zij eisen dat hun gegevens verbeterd, aangevuld, verwijderd of afgeschermd worden. Dat mag wanneer de gegevens die gebruikt worden door de verantwoordelijke feitelijk onjuist, onvolledig of niet ter zake dienend zijn voor het doel of de doeleinden van de verwerking. Een wanbetaler kan echter niet verwijdering van zijn persoonsgegevens eisen bij de debiteurenadministratie van een bedrijf. Vrijstellingen De WBP eist dat registraties worden aangemeld. Voor een aantal soorten registraties geeft de wet een vrijstelling. Voorbeelden hiervan zijn personeelsadministraties, boekhoudingen, administraties van afnemers en leveranciers, ledenadministraties, abonnementadministraties en administraties van (oud-)leerlingen. Wel worden er in dergelijke gevallen beperkingen gesteld aan de informatie die dan mag worden geregistreerd. Het CBP heeft een Handreiking Vrijstellingsbesluit gepubliceerd met daarin uitleg over de belangrijkste vrijstellingen. Om er een paar te noemen: Abonnementen: uitgevers van publicaties (ook elektronische) hoeven de administratie van persoonsgegevens van hun abonnees niet aan te melden. Ze mogen niet meer bijhouden dan voor het leveren van de publicaties of het innen van het abonnementsgeld nodig is. Wetenschappelijk onderzoek en statistiek: wie onderzoek doet en daarbij persoonsgegevens gebruikt, hoeft zijn databank niet aan te melden. Alleen de hoogst noodzakelijke naam- en adresgegevens mogen worden bijgehouden. Gegevens mogen niet aan derden worden gegeven, behalve met toestemming of als doorgifte noodzakelijk is voor het onderzoek. Doorgifte voor ander onderzoek mag alleen als het gegarandeerd is dat de gegevens nergens anders voor gebruikt kunnen worden. Communicatiebestanden: verwerking van voor communicatie benodigde persoonsgegevens hoeft niet te worden aangemeld. De beheerder van een mailinglijst of forum hoeft zijn abonneebestand of lijst met leden dus niet aan te melden. Hij mag echter geen 'bijzondere persoonsgegevens' (b.v. godsdienst, gezondheid of politieke voorkeuren) opslaan. De databank mag ook niet voor andere doeleinden worden gebruikt zonder toestemming van de betrokkenen. De beheerder van een forum mag gegevens van zijn leden dus niet aan adverteerders geven. Netwerksystemen: wie een privé-netwerk beheert, mag gegevens bijhouden over gebruikers om het netwerk goed te laten werken, voor de veiligheid en interne controle en onderhoud en beheer. Hieronder vallen zaken zoals 'loggen' wat gebruikers doen, welke ingaande en uitgaande communicatie ze verrichten (maar niet de inhoud daarvan) of het vastleggen waar ze wel en niet bij mogen. Gebruikers moeten hierover wel worden geďnformeerd. Dit geldt niet voor Internet-aanbieders en andere beheerders van openbare telecommunicatienetwerken! Deze moeten hun databank gewoon aanmelden. Het College Bescherming Persoonsgegevens Toezicht op de naleving van de WBP is in handen van het College Bescherming Persoonsgegevens (CBP), voorheen Registratiekamer. Het CBP adviseert de regering over de bescherming van persoonsgegevens, voert onderzoeken uit, toetst gedragscodes en privacyreglementen en behandelt vragen en klachten. Het CBP is bevoegd om boetes uit te delen aan organisaties die de WBP overtreden. De registraties van bestanden met persoonsgegevens moeten worden aangemeld bij het CBP. Spam Zie ook Spam nu eindelijk verboden Het rondsturen van ongevraagde commerci�le e-mail, in het jargon 'spam' geheten, mag in principe alleen als de geadresseerden hun toestemming hebben verleend voor opname in het bestand van de zender. Wie de letterlijke tekst van de WBP er bij pakt, zou kunnen concluderen dat deze toestemming vooraf moet worden verleend, en dat vrijwel alle 'spam' in Nederland onrechtmatig is. rechtszaak tussen tussen XS4All en direct marketingbureau Ab.Fab besliste de Hoge Raad dat Ab.Fab geen spam mocht sturen naar XS4All-klanten. XS4ALL heeft als Internet-provider exclusieve rechten op haar computercapaciteit, haar transmissiecapaciteit en haar klantenbestand, en mag anderen de toegang daartoe weigeren. De nieuwe Europese richtlijn 2002/58/EG, die uiterlijk 31 oktober 2003 een Nederlandse wet moet worden, brengt hopelijk meer duidelijkheid. Artikel 13 van deze richtlijn zegt dat e-mail met het oog op direct marketing alleen is toegestaan met betrekking tot abonnees die daarin vooraf hebben toegestemd. E-mail adressen verzamelen Een veelvoorkomende praktijk op Internet is het verzamelen van e-mailadressen van bijvoorbeeld websites om een bestand op te bouwen, met name voor direct marketing doeleinden. Ook dit lijkt in strijd zijn met de WBP. Het leeghalen van andermans e-mailgids werd in december 2002 verboden omdat de betreffende e-mail gids in haar algemene voorwaarden dit verbood. Stamboom-onderzoek Steeds meer mensen, waaronder ook de auteur van dit artikel, publiceren hun stamboom op Internet. De WBP maakt een uitzondering voor verwerking van persoonsgegevens voor uitsluitend persoonlijke doeleinden. Het verzamelen van materiaal ten behoeve van een stamboom, en het maken van de stamboom zelf mag dus zonder toestemming van de personen die erin staan gebeuren. Echter, op het moment dat de stamboom wordt gepubliceerd, bijvoorbeeld op Internet, is er niet langer sprake van "persoonlijke doeleinden". De bovengenoemde regels gelden dan. Echter, de WBP gaat formeel gesproken over gegevens die herleidbaar zijn tot natuurlijke personen. Volgens de wet is een overledene geen natuurlijk persoon (meer). Derhalve is de WBP niet van toepassing op overleden personen. Houd er echter wel rekening mee dat bijvoorbeeld de partner of kinderen van de overledene gemakkelijk te achterhalen zijn wanneer er voldoende informatie over de overledene zelf wordt gepubliceerd. Daarmee vormt die informatie een persoonsgegeven van die partner of kinderen. De WBP kan dus soms toch van toepassing zijn. Gerelateerde artikelen Anonimiteit en privacy op het internet Cameratoezicht, filmen en fotograferen van mensen Filesharing (P2P) en privacy Persoonsgegevens op Internet Categorieën Privacy Zie ook Anonimiteit en privacy op het Internet Elektronisch briefgeheim: de stand van zaken Wat weten ze allemaal over mij? De Wet Bescherming Persoonsgegevens is de belangrijkste wet over persoonsgegevens, informatie zoals naam en adres. Verwerking van persoonsgegevens mag alleen als de betrokkene geďnformeerd is over wat er met de gegevens gebeurt. Er zijn uitzonderingen voor bijvoorbeeld mailinglijsten, forums of privé-netwerken. Door ICT-jurist Arnoud Engelfriet (blog, contact). Er bestaat in Nederland geen algemene "wet op de privacy". Er zijn diverse wetten die elk een bepaald aspect van de privacy in Nederland regelen. De belangrijkste en bekendste wet is de Wet Bescherming Persoonsgegevens. De Wet Bescherming Persoonsgegevens regelt onder welke voorwaarden persoonsgegevens verwerkt mogen worden. Persoonsgegevens zijn alle gegevens die herleidbaar zijn tot een bepaald individu. Omdat bijvoorbeeld een e-mailadres ook een persoonsgegeven is, heeft deze wet ook de nodige implicaties voor Internet-aanbieders en -gebruikers. Zo is het publiceren van e-mailadressen op een website niet zomaar toegestaan. Maar ook bijvoorbeeld de familiestamboom mag niet zomaar op Internet. Inhoudsopgave De Wet Bescherming Persoonsgegevens De regels bij verwerking van persoonsgegevens Het College Bescherming Persoonsgegevens Spam E-mail adressen verzamelen Stamboom-onderzoek De Wet Bescherming Persoonsgegevens In 2000 werd de Wet Bescherming Persoonsgegevens (WBP) aangenomen als gevolg van Europese privacy- richtlijn nr. 95/46/EG. Deze wet is de opvolger van de oudere Wet Persoonsregistratie (WPR). De WBP bevat regels voor de "geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen." Persoonsgegevens Persoonsgegevens zijn alle gegevens waarmee een bepaald individu ge�dentificeerd kan worden. Het bekendste voorbeeld zijn naam- en adresgegevens. Ook e-mailadressen en bijvoorbeeld MSN-accounts worden gezien als persoonsgegevens. Maar ook gegevens die een waardering over een bepaalde persoon inhouden, bijvoorbeeld iemands IQ, kunnen persoonsgegevens zijn wanneer te achterhalen is welke persoon dit IQ heeft. Op Internet is bijvoorbeeld het IP-adres een persoonsgegeven. Een IP-adres is, samen met een datum en tijd van gebruik van dat adres, te herleiden tot een persoon. Je hebt daar de hulp van een provider bij nodig, maar het kan. Zie ook Foto's en het portretrecht Ook iemands foto is een persoonsgegeven. De geportretteerde is er tenslotte aan te herkennen. Bovendien is aan een foto te zien welk ras iemand is, en of deze persoon man of vrouw is. Volgens de letter van de wet is een foto dan ook een bijzonder persoonsgegeven, waardoor er voor verwerking van foto's extra strenge regels gelden. Verwerking van persoonsgegevens Verwerking wil zeggen "elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens." De wet geeft als voorbeelden het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens. De regels bij verwerking van persoonsgegevens De betrokkene moet voor elke verwerking van persoonsgegevens zijn toestemming hebben gegeven. Ook heeft hij het recht de informatie die over hem is opgeslagen, te corrigeren of te laten verwijderen. Organisaties die persoonsgegevens verwerken, moeten uitleggen hoe zij dat doen. Voorafgaande toestemming Persoonsgegevens mogen alleen worden verwerkt in overeenstemming met de regels van de WBP. De belangrijkste regel is dat de betreffende persoon zijn toestemming moet hebben gegeven voor de verwerking. Worden gegevens gevraagd aan die persoon zelf, dan moet deze vooraf ge�nformeerd worden over opname in het bestand. Een registratie-formulier op een website moet dus voorzien zijn van een dergelijke waarschuwing. Ook bij persoonsgegevens die uit andere bronnen worden verzameld, moet de betreffende persoon worden ge�nformeerd bij het moment van opname of uiterlijk net voor het moment van verstrekking aan derden. Dit hoeft niet als de betreffende persoon al wist dat zijn gegevens opgenomen zouden worden. Het is dus niet toegestaan om e-mailadressen van mensen die reageren op je website te verzamelen om ze massaal e-mail te sturen, want het maken van een dergelijke verzendlijst is een vorm van verwerking. Het bedrijf Hotmail mag haar klanten echter wel massaal e-mail sturen, want de klanten hebben hiervoor in de algemene voorwaarden toestemming verleend. Het is altijd de taak van de organisatie die de gegevens verwerkt om de betreffende persoon hierover te informeren. Ook mogen persoonsgegevens alleen worden verwerkt in overeenstemming met de doeleinden waarvoor ze zijn verkregen. Het abonneebestand voor een Internet-nieuwsbrief mag dus worden gebruikt om die nieuwsbrief rond te sturen, maar het mag niet worden verkocht aan een ander bedrijf voor bijvoorbeeld een reclame mailing. Informatieplicht Alle organisaties die persoonsgegevens gebruiken, hebben een informatieplicht. Dit betekent dat zij de personen op wie de gegevens betrekking hebben, moeten laten weten wat zij met hun gegevens gaan doen. Dit hoeft niet wanneer het vanzelfsprekend is (bijvoorbeeld bij het invullen van een registratie-formulier bij een online forum) of wanneer het zeer tijdrovend is om het adres van de betrokkene te achterhalen. Correctierecht Daarnaast hebben personen die in een bestand zijn opgenomen het recht om hun geregistreerde gegevens in te zien. Ook kunnen zij eisen dat hun gegevens verbeterd, aangevuld, verwijderd of afgeschermd worden. Dat mag wanneer de gegevens die gebruikt worden door de verantwoordelijke feitelijk onjuist, onvolledig of niet ter zake dienend zijn voor het doel of de doeleinden van de verwerking. Een wanbetaler kan echter niet verwijdering van zijn persoonsgegevens eisen bij de debiteurenadministratie van een bedrijf. Vrijstellingen De WBP eist dat registraties worden aangemeld. Voor een aantal soorten registraties geeft de wet een vrijstelling. Voorbeelden hiervan zijn personeelsadministraties, boekhoudingen, administraties van afnemers en leveranciers, ledenadministraties, abonnementadministraties en administraties van (oud-)leerlingen. Wel worden er in dergelijke gevallen beperkingen gesteld aan de informatie die dan mag worden geregistreerd. Het CBP heeft een Handreiking Vrijstellingsbesluit gepubliceerd met daarin uitleg over de belangrijkste vrijstellingen. Om er een paar te noemen: Abonnementen: uitgevers van publicaties (ook elektronische) hoeven de administratie van persoonsgegevens van hun abonnees niet aan te melden. Ze mogen niet meer bijhouden dan voor het leveren van de publicaties of het innen van het abonnementsgeld nodig is. Wetenschappelijk onderzoek en statistiek: wie onderzoek doet en daarbij persoonsgegevens gebruikt, hoeft zijn databank niet aan te melden. Alleen de hoogst noodzakelijke naam- en adresgegevens mogen worden bijgehouden. Gegevens mogen niet aan derden worden gegeven, behalve met toestemming of als doorgifte noodzakelijk is voor het onderzoek. Doorgifte voor ander onderzoek mag alleen als het gegarandeerd is dat de gegevens nergens anders voor gebruikt kunnen worden. Communicatiebestanden: verwerking van voor communicatie benodigde persoonsgegevens hoeft niet te worden aangemeld. De beheerder van een mailinglijst of forum hoeft zijn abonneebestand of lijst met leden dus niet aan te melden. Hij mag echter geen 'bijzondere persoonsgegevens' (b.v. godsdienst, gezondheid of politieke voorkeuren) opslaan. De databank mag ook niet voor andere doeleinden worden gebruikt zonder toestemming van de betrokkenen. De beheerder van een forum mag gegevens van zijn leden dus niet aan adverteerders geven. Netwerksystemen: wie een privé-netwerk beheert, mag gegevens bijhouden over gebruikers om het netwerk goed te laten werken, voor de veiligheid en interne controle en onderhoud en beheer. Hieronder vallen zaken zoals 'loggen' wat gebruikers doen, welke ingaande en uitgaande communicatie ze verrichten (maar niet de inhoud daarvan) of het vastleggen waar ze wel en niet bij mogen. Gebruikers moeten hierover wel worden geďnformeerd. Dit geldt niet voor Internet-aanbieders en andere beheerders van openbare telecommunicatienetwerken! Deze moeten hun databank gewoon aanmelden. Het College Bescherming Persoonsgegevens Toezicht op de naleving van de WBP is in handen van het College Bescherming Persoonsgegevens (CBP), voorheen Registratiekamer. Het CBP adviseert de regering over de bescherming van persoonsgegevens, voert onderzoeken uit, toetst gedragscodes en privacyreglementen en behandelt vragen en klachten. Het CBP is bevoegd om boetes uit te delen aan organisaties die de WBP overtreden. De registraties van bestanden met persoonsgegevens moeten worden aangemeld bij het CBP. Spam Zie ook Spam nu eindelijk verboden Het rondsturen van ongevraagde commerci�le e-mail, in het jargon 'spam' geheten, mag in principe alleen als de geadresseerden hun toestemming hebben verleend voor opname in het bestand van de zender. Wie de letterlijke tekst van de WBP er bij pakt, zou kunnen concluderen dat deze toestemming vooraf moet worden verleend, en dat vrijwel alle 'spam' in Nederland onrechtmatig is. rechtszaak tussen tussen XS4All en direct marketingbureau Ab.Fab besliste de Hoge Raad dat Ab.Fab geen spam mocht sturen naar XS4All-klanten. XS4ALL heeft als Internet-provider exclusieve rechten op haar computercapaciteit, haar transmissiecapaciteit en haar klantenbestand, en mag anderen de toegang daartoe weigeren. De nieuwe Europese richtlijn 2002/58/EG, die uiterlijk 31 oktober 2003 een Nederlandse wet moet worden, brengt hopelijk meer duidelijkheid. Artikel 13 van deze richtlijn zegt dat e-mail met het oog op direct marketing alleen is toegestaan met betrekking tot abonnees die daarin vooraf hebben toegestemd. E-mail adressen verzamelen Een veelvoorkomende praktijk op Internet is het verzamelen van e-mailadressen van bijvoorbeeld websites om een bestand op te bouwen, met name voor direct marketing doeleinden. Ook dit lijkt in strijd zijn met de WBP. Het leeghalen van andermans e-mailgids werd in december 2002 verboden omdat de betreffende e-mail gids in haar algemene voorwaarden dit verbood. Stamboom-onderzoek Steeds meer mensen, waaronder ook de auteur van dit artikel, publiceren hun stamboom op Internet. De WBP maakt een uitzondering voor verwerking van persoonsgegevens voor uitsluitend persoonlijke doeleinden. Het verzamelen van materiaal ten behoeve van een stamboom, en het maken van de stamboom zelf mag dus zonder toestemming van de personen die erin staan gebeuren. Echter, op het moment dat de stamboom wordt gepubliceerd, bijvoorbeeld op Internet, is er niet langer sprake van "persoonlijke doeleinden". De bovengenoemde regels gelden dan. Echter, de WBP gaat formeel gesproken over gegevens die herleidbaar zijn tot natuurlijke personen. Volgens de wet is een overledene geen natuurlijk persoon (meer). Derhalve is de WBP niet van toepassing op overleden personen. Houd er echter wel rekening mee dat bijvoorbeeld de partner of kinderen van de overledene gemakkelijk te achterhalen zijn wanneer er voldoende informatie over de overledene zelf wordt gepubliceerd. Daarmee vormt die informatie een persoonsgegeven van die partner of kinderen. De WBP kan dus soms toch van toepassing zijn. Gerelateerde artikelen Anonimiteit en privacy op het internet Cameratoezicht, filmen en fotograferen van mensen Filesharing (P2P) en privacy Persoonsgegevens op Internet Categorieën Privacy Zie ook Anonimiteit en privacy op het Internet Elektronisch briefgeheim: de stand van zaken Wat weten ze allemaal over mij? De Wet Bescherming Persoonsgegevens is de belangrijkste wet over persoonsgegevens, informatie zoals naam en adres. Verwerking van persoonsgegevens mag alleen als de betrokkene geďnformeerd is over wat er met de gegevens gebeurt. Er zijn uitzonderingen voor bijvoorbeeld mailinglijsten, forums of privé-netwerken. Door ICT-jurist Arnoud Engelfriet (blog, contact). Er bestaat in Nederland geen algemene "wet op de privacy". Er zijn diverse wetten die elk een bepaald aspect van de privacy in Nederland regelen. De belangrijkste en bekendste wet is de Wet Bescherming Persoonsgegevens. De Wet Bescherming Persoonsgegevens regelt onder welke voorwaarden persoonsgegevens verwerkt mogen worden. Persoonsgegevens zijn alle gegevens die herleidbaar zijn tot een bepaald individu. Omdat bijvoorbeeld een e-mailadres ook een persoonsgegeven is, heeft deze wet ook de nodige implicaties voor Internet-aanbieders en -gebruikers. Zo is het publiceren van e-mailadressen op een website niet zomaar toegestaan. Maar ook bijvoorbeeld de familiestamboom mag niet zomaar op Internet. Inhoudsopgave De Wet Bescherming Persoonsgegevens De regels bij verwerking van persoonsgegevens Het College Bescherming Persoonsgegevens Spam E-mail adressen verzamelen Stamboom-onderzoek De Wet Bescherming Persoonsgegevens In 2000 werd de Wet Bescherming Persoonsgegevens (WBP) aangenomen als gevolg van Europese privacy- richtlijn nr. 95/46/EG. Deze wet is de opvolger van de oudere Wet Persoonsregistratie (WPR). De WBP bevat regels voor de "geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen." Persoonsgegevens Persoonsgegevens zijn alle gegevens waarmee een bepaald individu ge�dentificeerd kan worden. Het bekendste voorbeeld zijn naam- en adresgegevens. Ook e-mailadressen en bijvoorbeeld MSN-accounts worden gezien als persoonsgegevens. Maar ook gegevens die een waardering over een bepaalde persoon inhouden, bijvoorbeeld iemands IQ, kunnen persoonsgegevens zijn wanneer te achterhalen is welke persoon dit IQ heeft. Op Internet is bijvoorbeeld het IP-adres een persoonsgegeven. Een IP-adres is, samen met een datum en tijd van gebruik van dat adres, te herleiden tot een persoon. Je hebt daar de hulp van een provider bij nodig, maar het kan. Zie ook Foto's en het portretrecht Ook iemands foto is een persoonsgegeven. De geportretteerde is er tenslotte aan te herkennen. Bovendien is aan een foto te zien welk ras iemand is, en of deze persoon man of vrouw is. Volgens de letter van de wet is een foto dan ook een bijzonder persoonsgegeven, waardoor er voor verwerking van foto's extra strenge regels gelden. Verwerking van persoonsgegevens Verwerking wil zeggen "elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens." De wet geeft als voorbeelden het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens. De regels bij verwerking van persoonsgegevens De betrokkene moet voor elke verwerking van persoonsgegevens zijn toestemming hebben gegeven. Ook heeft hij het recht de informatie die over hem is opgeslagen, te corrigeren of te laten verwijderen. Organisaties die persoonsgegevens verwerken, moeten uitleggen hoe zij dat doen. Voorafgaande toestemming Persoonsgegevens mogen alleen worden verwerkt in overeenstemming met de regels van de WBP. De belangrijkste regel is dat de betreffende persoon zijn toestemming moet hebben gegeven voor de verwerking. Worden gegevens gevraagd aan die persoon zelf, dan moet deze vooraf ge�nformeerd worden over opname in het bestand. Een registratie-formulier op een website moet dus voorzien zijn van een dergelijke waarschuwing. Ook bij persoonsgegevens die uit andere bronnen worden verzameld, moet de betreffende persoon worden ge�nformeerd bij het moment van opname of uiterlijk net voor het moment van verstrekking aan derden. Dit hoeft niet als de betreffende persoon al wist dat zijn gegevens opgenomen zouden worden. Het is dus niet toegestaan om e-mailadressen van mensen die reageren op je website te verzamelen om ze massaal e-mail te sturen, want het maken van een dergelijke verzendlijst is een vorm van verwerking. Het bedrijf Hotmail mag haar klanten echter wel massaal e-mail sturen, want de klanten hebben hiervoor in de algemene voorwaarden toestemming verleend. Het is altijd de taak van de organisatie die de gegevens verwerkt om de betreffende persoon hierover te informeren. Ook mogen persoonsgegevens alleen worden verwerkt in overeenstemming met de doeleinden waarvoor ze zijn verkregen. Het abonneebestand voor een Internet-nieuwsbrief mag dus worden gebruikt om die nieuwsbrief rond te sturen, maar het mag niet worden verkocht aan een ander bedrijf voor bijvoorbeeld een reclame mailing. Informatieplicht Alle organisaties die persoonsgegevens gebruiken, hebben een informatieplicht. Dit betekent dat zij de personen op wie de gegevens betrekking hebben, moeten laten weten wat zij met hun gegevens gaan doen. Dit hoeft niet wanneer het vanzelfsprekend is (bijvoorbeeld bij het invullen van een registratie-formulier bij een online forum) of wanneer het zeer tijdrovend is om het adres van de betrokkene te achterhalen. Correctierecht Daarnaast hebben personen die in een bestand zijn opgenomen het recht om hun geregistreerde gegevens in te zien. Ook kunnen zij eisen dat hun gegevens verbeterd, aangevuld, verwijderd of afgeschermd worden. Dat mag wanneer de gegevens die gebruikt worden door de verantwoordelijke feitelijk onjuist, onvolledig of niet ter zake dienend zijn voor het doel of de doeleinden van de verwerking. Een wanbetaler kan echter niet verwijdering van zijn persoonsgegevens eisen bij de debiteurenadministratie van een bedrijf. Vrijstellingen De WBP eist dat registraties worden aangemeld. Voor een aantal soorten registraties geeft de wet een vrijstelling. Voorbeelden hiervan zijn personeelsadministraties, boekhoudingen, administraties van afnemers en leveranciers, ledenadministraties, abonnementadministraties en administraties van (oud-)leerlingen. Wel worden er in dergelijke gevallen beperkingen gesteld aan de informatie die dan mag worden geregistreerd. Het CBP heeft een Handreiking Vrijstellingsbesluit gepubliceerd met daarin uitleg over de belangrijkste vrijstellingen. Om er een paar te noemen: Abonnementen: uitgevers van publicaties (ook elektronische) hoeven de administratie van persoonsgegevens van hun abonnees niet aan te melden. Ze mogen niet meer bijhouden dan voor het leveren van de publicaties of het innen van het abonnementsgeld nodig is. Wetenschappelijk onderzoek en statistiek: wie onderzoek doet en daarbij persoonsgegevens gebruikt, hoeft zijn databank niet aan te melden. Alleen de hoogst noodzakelijke naam- en adresgegevens mogen worden bijgehouden. Gegevens mogen niet aan derden worden gegeven, behalve met toestemming of als doorgifte noodzakelijk is voor het onderzoek. Doorgifte voor ander onderzoek mag alleen als het gegarandeerd is dat de gegevens nergens anders voor gebruikt kunnen worden. Communicatiebestanden: verwerking van voor communicatie benodigde persoonsgegevens hoeft niet te worden aangemeld. De beheerder van een mailinglijst of forum hoeft zijn abonneebestand of lijst met leden dus niet aan te melden. Hij mag echter geen 'bijzondere persoonsgegevens' (b.v. godsdienst, gezondheid of politieke voorkeuren) opslaan. De databank mag ook niet voor andere doeleinden worden gebruikt zonder toestemming van de betrokkenen. De beheerder van een forum mag gegevens van zijn leden dus niet aan adverteerders geven. Netwerksystemen: wie een privé-netwerk beheert, mag gegevens bijhouden over gebruikers om het netwerk goed te laten werken, voor de veiligheid en interne controle en onderhoud en beheer. Hieronder vallen zaken zoals 'loggen' wat gebruikers doen, welke ingaande en uitgaande communicatie ze verrichten (maar niet de inhoud daarvan) of het vastleggen waar ze wel en niet bij mogen. Gebruikers moeten hierover wel worden geďnformeerd. Dit geldt niet voor Internet-aanbieders en andere beheerders van openbare telecommunicatienetwerken! Deze moeten hun databank gewoon aanmelden. Het College Bescherming Persoonsgegevens Toezicht op de naleving van de WBP is in handen van het College Bescherming Persoonsgegevens (CBP), voorheen Registratiekamer. Het CBP adviseert de regering over de bescherming van persoonsgegevens, voert onderzoeken uit, toetst gedragscodes en privacyreglementen en behandelt vragen en klachten. Het CBP is bevoegd om boetes uit te delen aan organisaties die de WBP overtreden. De registraties van bestanden met persoonsgegevens moeten worden aangemeld bij het CBP. Spam Zie ook Spam nu eindelijk verboden Het rondsturen van ongevraagde commerci�le e-mail, in het jargon 'spam' geheten, mag in principe alleen als de geadresseerden hun toestemming hebben verleend voor opname in het bestand van de zender. Wie de letterlijke tekst van de WBP er bij pakt, zou kunnen concluderen dat deze toestemming vooraf moet worden verleend, en dat vrijwel alle 'spam' in Nederland onrechtmatig is. rechtszaak tussen tussen XS4All en direct marketingbureau Ab.Fab besliste de Hoge Raad dat Ab.Fab geen spam mocht sturen naar XS4All-klanten. XS4ALL heeft als Internet-provider exclusieve rechten op haar computercapaciteit, haar transmissiecapaciteit en haar klantenbestand, en mag anderen de toegang daartoe weigeren. De nieuwe Europese richtlijn 2002/58/EG, die uiterlijk 31 oktober 2003 een Nederlandse wet moet worden, brengt hopelijk meer duidelijkheid. Artikel 13 van deze richtlijn zegt dat e-mail met het oog op direct marketing alleen is toegestaan met betrekking tot abonnees die daarin vooraf hebben toegestemd. E-mail adressen verzamelen Een veelvoorkomende praktijk op Internet is het verzamelen van e-mailadressen van bijvoorbeeld websites om een bestand op te bouwen, met name voor direct marketing doeleinden. Ook dit lijkt in strijd zijn met de WBP. Het leeghalen van andermans e-mailgids werd in december 2002 verboden omdat de betreffende e-mail gids in haar algemene voorwaarden dit verbood. Stamboom-onderzoek Steeds meer mensen, waaronder ook de auteur van dit artikel, publiceren hun stamboom op Internet. De WBP maakt een uitzondering voor verwerking van persoonsgegevens voor uitsluitend persoonlijke doeleinden. Het verzamelen van materiaal ten behoeve van een stamboom, en het maken van de stamboom zelf mag dus zonder toestemming van de personen die erin staan gebeuren. Echter, op het moment dat de stamboom wordt gepubliceerd, bijvoorbeeld op Internet, is er niet langer sprake van "persoonlijke doeleinden". De bovengenoemde regels gelden dan. Echter, de WBP gaat formeel gesproken over gegevens die herleidbaar zijn tot natuurlijke personen. Volgens de wet is een overledene geen natuurlijk persoon (meer). Derhalve is de WBP niet van toepassing op overleden personen. Houd er echter wel rekening mee dat bijvoorbeeld de partner of kinderen van de overledene gemakkelijk te achterhalen zijn wanneer er voldoende informatie over de overledene zelf wordt gepubliceerd. Daarmee vormt die informatie een persoonsgegeven van die partner of kinderen. De WBP kan dus soms toch van toepassing zijn. Gerelateerde artikelen Anonimiteit en privacy op het internet Cameratoezicht, filmen en fotograferen van mensen Filesharing (P2P) en privacy Persoonsgegevens op Internet Categorieën Privacy Zie ook Anonimiteit en privacy op het Internet Elektronisch briefgeheim: de stand van zaken Wat weten ze allemaal over mij? De Wet Bescherming Persoonsgegevens is de belangrijkste wet over persoonsgegevens, informatie zoals naam en adres. Verwerking van persoonsgegevens mag alleen als de betrokkene geďnformeerd is over wat er met de gegevens gebeurt. Er zijn uitzonderingen voor bijvoorbeeld mailinglijsten, forums of privé-netwerken. Door ICT-jurist Arnoud Engelfriet (blog, contact). Er bestaat in Nederland geen algemene "wet op de privacy". Er zijn diverse wetten die elk een bepaald aspect van de privacy in Nederland regelen. De belangrijkste en bekendste wet is de Wet Bescherming Persoonsgegevens. De Wet Bescherming Persoonsgegevens regelt onder welke voorwaarden persoonsgegevens verwerkt mogen worden. Persoonsgegevens zijn alle gegevens die herleidbaar zijn tot een bepaald individu. Omdat bijvoorbeeld een e-mailadres ook een persoonsgegeven is, heeft deze wet ook de nodige implicaties voor Internet-aanbieders en -gebruikers. Zo is het publiceren van e-mailadressen op een website niet zomaar toegestaan. Maar ook bijvoorbeeld de familiestamboom mag niet zomaar op Internet. Inhoudsopgave De Wet Bescherming Persoonsgegevens De regels bij verwerking van persoonsgegevens Het College Bescherming Persoonsgegevens Spam E-mail adressen verzamelen Stamboom-onderzoek De Wet Bescherming Persoonsgegevens In 2000 werd de Wet Bescherming Persoonsgegevens (WBP) aangenomen als gevolg van Europese privacy- richtlijn nr. 95/46/EG. Deze wet is de opvolger van de oudere Wet Persoonsregistratie (WPR). De WBP bevat regels voor de "geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen." Persoonsgegevens Persoonsgegevens zijn alle gegevens waarmee een bepaald individu ge�dentificeerd kan worden. Het bekendste voorbeeld zijn naam- en adresgegevens. Ook e-mailadressen en bijvoorbeeld MSN-accounts worden gezien als persoonsgegevens. Maar ook gegevens die een waardering over een bepaalde persoon inhouden, bijvoorbeeld iemands IQ, kunnen persoonsgegevens zijn wanneer te achterhalen is welke persoon dit IQ heeft. Op Internet is bijvoorbeeld het IP-adres een persoonsgegeven. Een IP-adres is, samen met een datum en tijd van gebruik van dat adres, te herleiden tot een persoon. Je hebt daar de hulp van een provider bij nodig, maar het kan. Zie ook Foto's en het portretrecht Ook iemands foto is een persoonsgegeven. De geportretteerde is er tenslotte aan te herkennen. Bovendien is aan een foto te zien welk ras iemand is, en of deze persoon man of vrouw is. Volgens de letter van de wet is een foto dan ook een bijzonder persoonsgegeven, waardoor er voor verwerking van foto's extra strenge regels gelden. Verwerking van persoonsgegevens Verwerking wil zeggen "elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens." De wet geeft als voorbeelden het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens. De regels bij verwerking van persoonsgegevens De betrokkene moet voor elke verwerking van persoonsgegevens zijn toestemming hebben gegeven. Ook heeft hij het recht de informatie die over hem is opgeslagen, te corrigeren of te laten verwijderen. Organisaties die persoonsgegevens verwerken, moeten uitleggen hoe zij dat doen. Voorafgaande toestemming Persoonsgegevens mogen alleen worden verwerkt in overeenstemming met de regels van de WBP. De belangrijkste regel is dat de betreffende persoon zijn toestemming moet hebben gegeven voor de verwerking. Worden gegevens gevraagd aan die persoon zelf, dan moet deze vooraf ge�nformeerd worden over opname in het bestand. Een registratie-formulier op een website moet dus voorzien zijn van een dergelijke waarschuwing. Ook bij persoonsgegevens die uit andere bronnen worden verzameld, moet de betreffende persoon worden ge�nformeerd bij het moment van opname of uiterlijk net voor het moment van verstrekking aan derden. Dit hoeft niet als de betreffende persoon al wist dat zijn gegevens opgenomen zouden worden. Het is dus niet toegestaan om e-mailadressen van mensen die reageren op je website te verzamelen om ze massaal e-mail te sturen, want het maken van een dergelijke verzendlijst is een vorm van verwerking. Het bedrijf Hotmail mag haar klanten echter wel massaal e-mail sturen, want de klanten hebben hiervoor in de algemene voorwaarden toestemming verleend. Het is altijd de taak van de organisatie die de gegevens verwerkt om de betreffende persoon hierover te informeren. Ook mogen persoonsgegevens alleen worden verwerkt in overeenstemming met de doeleinden waarvoor ze zijn verkregen. Het abonneebestand voor een Internet-nieuwsbrief mag dus worden gebruikt om die nieuwsbrief rond te sturen, maar het mag niet worden verkocht aan een ander bedrijf voor bijvoorbeeld een reclame mailing. Informatieplicht Alle organisaties die persoonsgegevens gebruiken, hebben een informatieplicht. Dit betekent dat zij de personen op wie de gegevens betrekking hebben, moeten laten weten wat zij met hun gegevens gaan doen. Dit hoeft niet wanneer het vanzelfsprekend is (bijvoorbeeld bij het invullen van een registratie-formulier bij een online forum) of wanneer het zeer tijdrovend is om het adres van de betrokkene te achterhalen. Correctierecht Daarnaast hebben personen die in een bestand zijn opgenomen het recht om hun geregistreerde gegevens in te zien. Ook kunnen zij eisen dat hun gegevens verbeterd, aangevuld, verwijderd of afgeschermd worden. Dat mag wanneer de gegevens die gebruikt worden door de verantwoordelijke feitelijk onjuist, onvolledig of niet ter zake dienend zijn voor het doel of de doeleinden van de verwerking. Een wanbetaler kan echter niet verwijdering van zijn persoonsgegevens eisen bij de debiteurenadministratie van een bedrijf. Vrijstellingen De WBP eist dat registraties worden aangemeld. Voor een aantal soorten registraties geeft de wet een vrijstelling. Voorbeelden hiervan zijn personeelsadministraties, boekhoudingen, administraties van afnemers en leveranciers, ledenadministraties, abonnementadministraties en administraties van (oud-)leerlingen. Wel worden er in dergelijke gevallen beperkingen gesteld aan de informatie die dan mag worden geregistreerd. Het CBP heeft een Handreiking Vrijstellingsbesluit gepubliceerd met daarin uitleg over de belangrijkste vrijstellingen. Om er een paar te noemen: Abonnementen: uitgevers van publicaties (ook elektronische) hoeven de administratie van persoonsgegevens van hun abonnees niet aan te melden. Ze mogen niet meer bijhouden dan voor het leveren van de publicaties of het innen van het abonnementsgeld nodig is. Wetenschappelijk onderzoek en statistiek: wie onderzoek doet en daarbij persoonsgegevens gebruikt, hoeft zijn databank niet aan te melden. Alleen de hoogst noodzakelijke naam- en adresgegevens mogen worden bijgehouden. Gegevens mogen niet aan derden worden gegeven, behalve met toestemming of als doorgifte noodzakelijk is voor het onderzoek. Doorgifte voor ander onderzoek mag alleen als het gegarandeerd is dat de gegevens nergens anders voor gebruikt kunnen worden. Communicatiebestanden: verwerking van voor communicatie benodigde persoonsgegevens hoeft niet te worden aangemeld. De beheerder van een mailinglijst of forum hoeft zijn abonneebestand of lijst met leden dus niet aan te melden. Hij mag echter geen 'bijzondere persoonsgegevens' (b.v. godsdienst, gezondheid of politieke voorkeuren) opslaan. De databank mag ook niet voor andere doeleinden worden gebruikt zonder toestemming van de betrokkenen. De beheerder van een forum mag gegevens van zijn leden dus niet aan adverteerders geven. Netwerksystemen: wie een privé-netwerk beheert, mag gegevens bijhouden over gebruikers om het netwerk goed te laten werken, voor de veiligheid en interne controle en onderhoud en beheer. Hieronder vallen zaken zoals 'loggen' wat gebruikers doen, welke ingaande en uitgaande communicatie ze verrichten (maar niet de inhoud daarvan) of het vastleggen waar ze wel en niet bij mogen. Gebruikers moeten hierover wel worden geďnformeerd. Dit geldt niet voor Internet-aanbieders en andere beheerders van openbare telecommunicatienetwerken! Deze moeten hun databank gewoon aanmelden. Het College Bescherming Persoonsgegevens Toezicht op de naleving van de WBP is in handen van het College Bescherming Persoonsgegevens (CBP), voorheen Registratiekamer. Het CBP adviseert de regering over de bescherming van persoonsgegevens, voert onderzoeken uit, toetst gedragscodes en privacyreglementen en behandelt vragen en klachten. Het CBP is bevoegd om boetes uit te delen aan organisaties die de WBP overtreden. De registraties van bestanden met persoonsgegevens moeten worden aangemeld bij het CBP. Spam Zie ook Spam nu eindelijk verboden Het rondsturen van ongevraagde commerci�le e-mail, in het jargon 'spam' geheten, mag in principe alleen als de geadresseerden hun toestemming hebben verleend voor opname in het bestand van de zender. Wie de letterlijke tekst van de WBP er bij pakt, zou kunnen concluderen dat deze toestemming vooraf moet worden verleend, en dat vrijwel alle 'spam' in Nederland onrechtmatig is. rechtszaak tussen tussen XS4All en direct marketingbureau Ab.Fab besliste de Hoge Raad dat Ab.Fab geen spam mocht sturen naar XS4All-klanten. XS4ALL heeft als Internet-provider exclusieve rechten op haar computercapaciteit, haar transmissiecapaciteit en haar klantenbestand, en mag anderen de toegang daartoe weigeren. De nieuwe Europese richtlijn 2002/58/EG, die uiterlijk 31 oktober 2003 een Nederlandse wet moet worden, brengt hopelijk meer duidelijkheid. Artikel 13 van deze richtlijn zegt dat e-mail met het oog op direct marketing alleen is toegestaan met betrekking tot abonnees die daarin vooraf hebben toegestemd. E-mail adressen verzamelen Een veelvoorkomende praktijk op Internet is het verzamelen van e-mailadressen van bijvoorbeeld websites om een bestand op te bouwen, met name voor direct marketing doeleinden. Ook dit lijkt in strijd zijn met de WBP. Het leeghalen van andermans e-mailgids werd in december 2002 verboden omdat de betreffende e-mail gids in haar algemene voorwaarden dit verbood. Stamboom-onderzoek Steeds meer mensen, waaronder ook de auteur van dit artikel, publiceren hun stamboom op Internet. De WBP maakt een uitzondering voor verwerking van persoonsgegevens voor uitsluitend persoonlijke doeleinden. Het verzamelen van materiaal ten behoeve van een stamboom, en het maken van de stamboom zelf mag dus zonder toestemming van de personen die erin staan gebeuren. Echter, op het moment dat de stamboom wordt gepubliceerd, bijvoorbeeld op Internet, is er niet langer sprake van "persoonlijke doeleinden". De bovengenoemde regels gelden dan. Echter, de WBP gaat formeel gesproken over gegevens die herleidbaar zijn tot natuurlijke personen. Volgens de wet is een overledene geen natuurlijk persoon (meer). Derhalve is de WBP niet van toepassing op overleden personen. Houd er echter wel rekening mee dat bijvoorbeeld de partner of kinderen van de overledene gemakkelijk te achterhalen zijn wanneer er voldoende informatie over de overledene zelf wordt gepubliceerd. Daarmee vormt die informatie een persoonsgegeven van die partner of kinderen. De WBP kan dus soms toch van toepassing zijn. Gerelateerde artikelen Anonimiteit en privacy op het internet Cameratoezicht, filmen en fotograferen van mensen Filesharing (P2P) en privacy Persoonsgegevens op Internet Categorieën Privacy Zie ook Anonimiteit en privacy op het Internet Elektronisch briefgeheim: de stand van zaken Wat weten ze allemaal over mij? De Wet Bescherming Persoonsgegevens is de belangrijkste wet over persoonsgegevens, informatie zoals naam en adres. Verwerking van persoonsgegevens mag alleen als de betrokkene geďnformeerd is over wat er met de gegevens gebeurt. Er zijn uitzonderingen voor bijvoorbeeld mailinglijsten, forums of privé-netwerken. Door ICT-jurist Arnoud Engelfriet (blog, contact). Er bestaat in Nederland geen algemene "wet op de privacy". Er zijn diverse wetten die elk een bepaald aspect van de privacy in Nederland regelen. De belangrijkste en bekendste wet is de Wet Bescherming Persoonsgegevens. De Wet Bescherming Persoonsgegevens regelt onder welke voorwaarden persoonsgegevens verwerkt mogen worden. Persoonsgegevens zijn alle gegevens die herleidbaar zijn tot een bepaald individu. Omdat bijvoorbeeld een e-mailadres ook een persoonsgegeven is, heeft deze wet ook de nodige implicaties voor Internet-aanbieders en -gebruikers. Zo is het publiceren van e-mailadressen op een website niet zomaar toegestaan. Maar ook bijvoorbeeld de familiestamboom mag niet zomaar op Internet. Inhoudsopgave De Wet Bescherming Persoonsgegevens De regels bij verwerking van persoonsgegevens Het College Bescherming Persoonsgegevens Spam E-mail adressen verzamelen Stamboom-onderzoek De Wet Bescherming Persoonsgegevens In 2000 werd de Wet Bescherming Persoonsgegevens (WBP) aangenomen als gevolg van Europese privacy- richtlijn nr. 95/46/EG. Deze wet is de opvolger van de oudere Wet Persoonsregistratie (WPR). De WBP bevat regels voor de "geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen." Persoonsgegevens Persoonsgegevens zijn alle gegevens waarmee een bepaald individu ge�dentificeerd kan worden. Het bekendste voorbeeld zijn naam- en adresgegevens. Ook e-mailadressen en bijvoorbeeld MSN-accounts worden gezien als persoonsgegevens. Maar ook gegevens die een waardering over een bepaalde persoon inhouden, bijvoorbeeld iemands IQ, kunnen persoonsgegevens zijn wanneer te achterhalen is welke persoon dit IQ heeft. Op Internet is bijvoorbeeld het IP-adres een persoonsgegeven. Een IP-adres is, samen met een datum en tijd van gebruik van dat adres, te herleiden tot een persoon. Je hebt daar de hulp van een provider bij nodig, maar het kan. Zie ook Foto's en het portretrecht Ook iemands foto is een persoonsgegeven. De geportretteerde is er tenslotte aan te herkennen. Bovendien is aan een foto te zien welk ras iemand is, en of deze persoon man of vrouw is. Volgens de letter van de wet is een foto dan ook een bijzonder persoonsgegeven, waardoor er voor verwerking van foto's extra strenge regels gelden. Verwerking van persoonsgegevens Verwerking wil zeggen "elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens." De wet geeft als voorbeelden het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens. De regels bij verwerking van persoonsgegevens De betrokkene moet voor elke verwerking van persoonsgegevens zijn toestemming hebben gegeven. Ook heeft hij het recht de informatie die over hem is opgeslagen, te corrigeren of te laten verwijderen. Organisaties die persoonsgegevens verwerken, moeten uitleggen hoe zij dat doen. Voorafgaande toestemming Persoonsgegevens mogen alleen worden verwerkt in overeenstemming met de regels van de WBP. De belangrijkste regel is dat de betreffende persoon zijn toestemming moet hebben gegeven voor de verwerking. Worden gegevens gevraagd aan die persoon zelf, dan moet deze vooraf ge�nformeerd worden over opname in het bestand. Een registratie-formulier op een website moet dus voorzien zijn van een dergelijke waarschuwing. Ook bij persoonsgegevens die uit andere bronnen worden verzameld, moet de betreffende persoon worden ge�nformeerd bij het moment van opname of uiterlijk net voor het moment van verstrekking aan derden. Dit hoeft niet als de betreffende persoon al wist dat zijn gegevens opgenomen zouden worden. Het is dus niet toegestaan om e-mailadressen van mensen die reageren op je website te verzamelen om ze massaal e-mail te sturen, want het maken van een dergelijke verzendlijst is een vorm van verwerking. Het bedrijf Hotmail mag haar klanten echter wel massaal e-mail sturen, want de klanten hebben hiervoor in de algemene voorwaarden toestemming verleend. Het is altijd de taak van de organisatie die de gegevens verwerkt om de betreffende persoon hierover te informeren. Ook mogen persoonsgegevens alleen worden verwerkt in overeenstemming met de doeleinden waarvoor ze zijn verkregen. Het abonneebestand voor een Internet-nieuwsbrief mag dus worden gebruikt om die nieuwsbrief rond te sturen, maar het mag niet worden verkocht aan een ander bedrijf voor bijvoorbeeld een reclame mailing. Informatieplicht Alle organisaties die persoonsgegevens gebruiken, hebben een informatieplicht. Dit betekent dat zij de personen op wie de gegevens betrekking hebben, moeten laten weten wat zij met hun gegevens gaan doen. Dit hoeft niet wanneer het vanzelfsprekend is (bijvoorbeeld bij het invullen van een registratie-formulier bij een online forum) of wanneer het zeer tijdrovend is om het adres van de betrokkene te achterhalen. Correctierecht Daarnaast hebben personen die in een bestand zijn opgenomen het recht om hun geregistreerde gegevens in te zien. Ook kunnen zij eisen dat hun gegevens verbeterd, aangevuld, verwijderd of afgeschermd worden. Dat mag wanneer de gegevens die gebruikt worden door de verantwoordelijke feitelijk onjuist, onvolledig of niet ter zake dienend zijn voor het doel of de doeleinden van de verwerking. Een wanbetaler kan echter niet verwijdering van zijn persoonsgegevens eisen bij de debiteurenadministratie van een bedrijf. Vrijstellingen De WBP eist dat registraties worden aangemeld. Voor een aantal soorten registraties geeft de wet een vrijstelling. Voorbeelden hiervan zijn personeelsadministraties, boekhoudingen, administraties van afnemers en leveranciers, ledenadministraties, abonnementadministraties en administraties van (oud-)leerlingen. Wel worden er in dergelijke gevallen beperkingen gesteld aan de informatie die dan mag worden geregistreerd. Het CBP heeft een Handreiking Vrijstellingsbesluit gepubliceerd met daarin uitleg over de belangrijkste vrijstellingen. Om er een paar te noemen: Abonnementen: uitgevers van publicaties (ook elektronische) hoeven de administratie van persoonsgegevens van hun abonnees niet aan te melden. Ze mogen niet meer bijhouden dan voor het leveren van de publicaties of het innen van het abonnementsgeld nodig is. Wetenschappelijk onderzoek en statistiek: wie onderzoek doet en daarbij persoonsgegevens gebruikt, hoeft zijn databank niet aan te melden. Alleen de hoogst noodzakelijke naam- en adresgegevens mogen worden bijgehouden. Gegevens mogen niet aan derden worden gegeven, behalve met toestemming of als doorgifte noodzakelijk is voor het onderzoek. Doorgifte voor ander onderzoek mag alleen als het gegarandeerd is dat de gegevens nergens anders voor gebruikt kunnen worden. Communicatiebestanden: verwerking van voor communicatie benodigde persoonsgegevens hoeft niet te worden aangemeld. De beheerder van een mailinglijst of forum hoeft zijn abonneebestand of lijst met leden dus niet aan te melden. Hij mag echter geen 'bijzondere persoonsgegevens' (b.v. godsdienst, gezondheid of politieke voorkeuren) opslaan. De databank mag ook niet voor andere doeleinden worden gebruikt zonder toestemming van de betrokkenen. De beheerder van een forum mag gegevens van zijn leden dus niet aan adverteerders geven. Netwerksystemen: wie een privé-netwerk beheert, mag gegevens bijhouden over gebruikers om het netwerk goed te laten werken, voor de veiligheid en interne controle en onderhoud en beheer. Hieronder vallen zaken zoals 'loggen' wat gebruikers doen, welke ingaande en uitgaande communicatie ze verrichten (maar niet de inhoud daarvan) of het vastleggen waar ze wel en niet bij mogen. Gebruikers moeten hierover wel worden geďnformeerd. Dit geldt niet voor Internet-aanbieders en andere beheerders van openbare telecommunicatienetwerken! Deze moeten hun databank gewoon aanmelden. Het College Bescherming Persoonsgegevens Toezicht op de naleving van de WBP is in handen van het College Bescherming Persoonsgegevens (CBP), voorheen Registratiekamer. Het CBP adviseert de regering over de bescherming van persoonsgegevens, voert onderzoeken uit, toetst gedragscodes en privacyreglementen en behandelt vragen en klachten. Het CBP is bevoegd om boetes uit te delen aan organisaties die de WBP overtreden. De registraties van bestanden met persoonsgegevens moeten worden aangemeld bij het CBP. Spam Zie ook Spam nu eindelijk verboden Het rondsturen van ongevraagde commerci�le e-mail, in het jargon 'spam' geheten, mag in principe alleen als de geadresseerden hun toestemming hebben verleend voor opname in het bestand van de zender. Wie de letterlijke tekst van de WBP er bij pakt, zou kunnen concluderen dat deze toestemming vooraf moet worden verleend, en dat vrijwel alle 'spam' in Nederland onrechtmatig is. rechtszaak tussen tussen XS4All en direct marketingbureau Ab.Fab besliste de Hoge Raad dat Ab.Fab geen spam mocht sturen naar XS4All-klanten. XS4ALL heeft als Internet-provider exclusieve rechten op haar computercapaciteit, haar transmissiecapaciteit en haar klantenbestand, en mag anderen de toegang daartoe weigeren. De nieuwe Europese richtlijn 2002/58/EG, die uiterlijk 31 oktober 2003 een Nederlandse wet moet worden, brengt hopelijk meer duidelijkheid. Artikel 13 van deze richtlijn zegt dat e-mail met het oog op direct marketing alleen is toegestaan met betrekking tot abonnees die daarin vooraf hebben toegestemd. E-mail adressen verzamelen Een veelvoorkomende praktijk op Internet is het verzamelen van e-mailadressen van bijvoorbeeld websites om een bestand op te bouwen, met name voor direct marketing doeleinden. Ook dit lijkt in strijd zijn met de WBP. Het leeghalen van andermans e-mailgids werd in december 2002 verboden omdat de betreffende e-mail gids in haar algemene voorwaarden dit verbood. Stamboom-onderzoek Steeds meer mensen, waaronder ook de auteur van dit artikel, publiceren hun stamboom op Internet. De WBP maakt een uitzondering voor verwerking van persoonsgegevens voor uitsluitend persoonlijke doeleinden. Het verzamelen van materiaal ten behoeve van een stamboom, en het maken van de stamboom zelf mag dus zonder toestemming van de personen die erin staan gebeuren. Echter, op het moment dat de stamboom wordt gepubliceerd, bijvoorbeeld op Internet, is er niet langer sprake van "persoonlijke doeleinden". De bovengenoemde regels gelden dan. Echter, de WBP gaat formeel gesproken over gegevens die herleidbaar zijn tot natuurlijke personen. Volgens de wet is een overledene geen natuurlijk persoon (meer). Derhalve is de WBP niet van toepassing op overleden personen. Houd er echter wel rekening mee dat bijvoorbeeld de partner of kinderen van de overledene gemakkelijk te achterhalen zijn wanneer er voldoende informatie over de overledene zelf wordt gepubliceerd. Daarmee vormt die informatie een persoonsgegeven van die partner of kinderen. De WBP kan dus soms toch van toepassing zijn. Gerelateerde artikelen Anonimiteit en privacy op het internet Cameratoezicht, filmen en fotograferen van mensen Filesharing (P2P) en privacy Persoonsgegevens op Internet Categorieën Privacy Zie ook Anonimiteit en privacy op het Internet Elektronisch briefgeheim: de stand van zaken Wat weten ze allemaal over mij? De Wet Bescherming Persoonsgegevens is de belangrijkste wet over persoonsgegevens, informatie zoals naam en adres. Verwerking van persoonsgegevens mag alleen als de betrokkene geďnformeerd is over wat er met de gegevens gebeurt. Er zijn uitzonderingen voor bijvoorbeeld mailinglijsten, forums of privé-netwerken. Door ICT-jurist Arnoud Engelfriet (blog, contact). Er bestaat in Nederland geen algemene "wet op de privacy". Er zijn diverse wetten die elk een bepaald aspect van de privacy in Nederland regelen. De belangrijkste en bekendste wet is de Wet Bescherming Persoonsgegevens. De Wet Bescherming Persoonsgegevens regelt onder welke voorwaarden persoonsgegevens verwerkt mogen worden. Persoonsgegevens zijn alle gegevens die herleidbaar zijn tot een bepaald individu. Omdat bijvoorbeeld een e-mailadres ook een persoonsgegeven is, heeft deze wet ook de nodige implicaties voor Internet-aanbieders en -gebruikers. Zo is het publiceren van e-mailadressen op een website niet zomaar toegestaan. Maar ook bijvoorbeeld de familiestamboom mag niet zomaar op Internet. Inhoudsopgave De Wet Bescherming Persoonsgegevens De regels bij verwerking van persoonsgegevens Het College Bescherming Persoonsgegevens Spam E-mail adressen verzamelen Stamboom-onderzoek De Wet Bescherming Persoonsgegevens In 2000 werd de Wet Bescherming Persoonsgegevens (WBP) aangenomen als gevolg van Europese privacy- richtlijn nr. 95/46/EG. Deze wet is de opvolger van de oudere Wet Persoonsregistratie (WPR). De WBP bevat regels voor de "geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen." Persoonsgegevens Persoonsgegevens zijn alle gegevens waarmee een bepaald individu ge�dentificeerd kan worden. Het bekendste voorbeeld zijn naam- en adresgegevens. Ook e-mailadressen en bijvoorbeeld MSN-accounts worden gezien als persoonsgegevens. Maar ook gegevens die een waardering over een bepaalde persoon inhouden, bijvoorbeeld iemands IQ, kunnen persoonsgegevens zijn wanneer te achterhalen is welke persoon dit IQ heeft. Op Internet is bijvoorbeeld het IP-adres een persoonsgegeven. Een IP-adres is, samen met een datum en tijd van gebruik van dat adres, te herleiden tot een persoon. Je hebt daar de hulp van een provider bij nodig, maar het kan. Zie ook Foto's en het portretrecht Ook iemands foto is een persoonsgegeven. De geportretteerde is er tenslotte aan te herkennen. Bovendien is aan een foto te zien welk ras iemand is, en of deze persoon man of vrouw is. Volgens de letter van de wet is een foto dan ook een bijzonder persoonsgegeven, waardoor er voor verwerking van foto's extra strenge regels gelden. Verwerking van persoonsgegevens Verwerking wil zeggen "elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens." De wet geeft als voorbeelden het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens. De regels bij verwerking van persoonsgegevens De betrokkene moet voor elke verwerking van persoonsgegevens zijn toestemming hebben gegeven. Ook heeft hij het recht de informatie die over hem is opgeslagen, te corrigeren of te laten verwijderen. Organisaties die persoonsgegevens verwerken, moeten uitleggen hoe zij dat doen. Voorafgaande toestemming Persoonsgegevens mogen alleen worden verwerkt in overeenstemming met de regels van de WBP. De belangrijkste regel is dat de betreffende persoon zijn toestemming moet hebben gegeven voor de verwerking. Worden gegevens gevraagd aan die persoon zelf, dan moet deze vooraf ge�nformeerd worden over opname in het bestand. Een registratie-formulier op een website moet dus voorzien zijn van een dergelijke waarschuwing. Ook bij persoonsgegevens die uit andere bronnen worden verzameld, moet de betreffende persoon worden ge�nformeerd bij het moment van opname of uiterlijk net voor het moment van verstrekking aan derden. Dit hoeft niet als de betreffende persoon al wist dat zijn gegevens opgenomen zouden worden. Het is dus niet toegestaan om e-mailadressen van mensen die reageren op je website te verzamelen om ze massaal e-mail te sturen, want het maken van een dergelijke verzendlijst is een vorm van verwerking. Het bedrijf Hotmail mag haar klanten echter wel massaal e-mail sturen, want de klanten hebben hiervoor in de algemene voorwaarden toestemming verleend. Het is altijd de taak van de organisatie die de gegevens verwerkt om de betreffende persoon hierover te informeren. Ook mogen persoonsgegevens alleen worden verwerkt in overeenstemming met de doeleinden waarvoor ze zijn verkregen. Het abonneebestand voor een Internet-nieuwsbrief mag dus worden gebruikt om die nieuwsbrief rond te sturen, maar het mag niet worden verkocht aan een ander bedrijf voor bijvoorbeeld een reclame mailing. Informatieplicht Alle organisaties die persoonsgegevens gebruiken, hebben een informatieplicht. Dit betekent dat zij de personen op wie de gegevens betrekking hebben, moeten laten weten wat zij met hun gegevens gaan doen. Dit hoeft niet wanneer het vanzelfsprekend is (bijvoorbeeld bij het invullen van een registratie-formulier bij een online forum) of wanneer het zeer tijdrovend is om het adres van de betrokkene te achterhalen. Correctierecht Daarnaast hebben personen die in een bestand zijn opgenomen het recht om hun geregistreerde gegevens in te zien. Ook kunnen zij eisen dat hun gegevens verbeterd, aangevuld, verwijderd of afgeschermd worden. Dat mag wanneer de gegevens die gebruikt worden door de verantwoordelijke feitelijk onjuist, onvolledig of niet ter zake dienend zijn voor het doel of de doeleinden van de verwerking. Een wanbetaler kan echter niet verwijdering van zijn persoonsgegevens eisen bij de debiteurenadministratie van een bedrijf. Vrijstellingen De WBP eist dat registraties worden aangemeld. Voor een aantal soorten registraties geeft de wet een vrijstelling. Voorbeelden hiervan zijn personeelsadministraties, boekhoudingen, administraties van afnemers en leveranciers, ledenadministraties, abonnementadministraties en administraties van (oud-)leerlingen. Wel worden er in dergelijke gevallen beperkingen gesteld aan de informatie die dan mag worden geregistreerd. Het CBP heeft een Handreiking Vrijstellingsbesluit gepubliceerd met daarin uitleg over de belangrijkste vrijstellingen. Om er een paar te noemen: Abonnementen: uitgevers van publicaties (ook elektronische) hoeven de administratie van persoonsgegevens van hun abonnees niet aan te melden. Ze mogen niet meer bijhouden dan voor het leveren van de publicaties of het innen van het abonnementsgeld nodig is. Wetenschappelijk onderzoek en statistiek: wie onderzoek doet en daarbij persoonsgegevens gebruikt, hoeft zijn databank niet aan te melden. Alleen de hoogst noodzakelijke naam- en adresgegevens mogen worden bijgehouden. Gegevens mogen niet aan derden worden gegeven, behalve met toestemming of als doorgifte noodzakelijk is voor het onderzoek. Doorgifte voor ander onderzoek mag alleen als het gegarandeerd is dat de gegevens nergens anders voor gebruikt kunnen worden. Communicatiebestanden: verwerking van voor communicatie benodigde persoonsgegevens hoeft niet te worden aangemeld. De beheerder van een mailinglijst of forum hoeft zijn abonneebestand of lijst met leden dus niet aan te melden. Hij mag echter geen 'bijzondere persoonsgegevens' (b.v. godsdienst, gezondheid of politieke voorkeuren) opslaan. De databank mag ook niet voor andere doeleinden worden gebruikt zonder toestemming van de betrokkenen. De beheerder van een forum mag gegevens van zijn leden dus niet aan adverteerders geven. Netwerksystemen: wie een privé-netwerk beheert, mag gegevens bijhouden over gebruikers om het netwerk goed te laten werken, voor de veiligheid en interne controle en onderhoud en beheer. Hieronder vallen zaken zoals 'loggen' wat gebruikers doen, welke ingaande en uitgaande communicatie ze verrichten (maar niet de inhoud daarvan) of het vastleggen waar ze wel en niet bij mogen. Gebruikers moeten hierover wel worden geďnformeerd. Dit geldt niet voor Internet-aanbieders en andere beheerders van openbare telecommunicatienetwerken! Deze moeten hun databank gewoon aanmelden. Het College Bescherming Persoonsgegevens Toezicht op de naleving van de WBP is in handen van het College Bescherming Persoonsgegevens (CBP), voorheen Registratiekamer. Het CBP adviseert de regering over de bescherming van persoonsgegevens, voert onderzoeken uit, toetst gedragscodes en privacyreglementen en behandelt vragen en klachten. Het CBP is bevoegd om boetes uit te delen aan organisaties die de WBP overtreden. De registraties van bestanden met persoonsgegevens moeten worden aangemeld bij het CBP. Spam Zie ook Spam nu eindelijk verboden Het rondsturen van ongevraagde commerci�le e-mail, in het jargon 'spam' geheten, mag in principe alleen als de geadresseerden hun toestemming hebben verleend voor opname in het bestand van de zender. Wie de letterlijke tekst van de WBP er bij pakt, zou kunnen concluderen dat deze toestemming vooraf moet worden verleend, en dat vrijwel alle 'spam' in Nederland onrechtmatig is. rechtszaak tussen tussen XS4All en direct marketingbureau Ab.Fab besliste de Hoge Raad dat Ab.Fab geen spam mocht sturen naar XS4All-klanten. XS4ALL heeft als Internet-provider exclusieve rechten op haar computercapaciteit, haar transmissiecapaciteit en haar klantenbestand, en mag anderen de toegang daartoe weigeren. De nieuwe Europese richtlijn 2002/58/EG, die uiterlijk 31 oktober 2003 een Nederlandse wet moet worden, brengt hopelijk meer duidelijkheid. Artikel 13 van deze richtlijn zegt dat e-mail met het oog op direct marketing alleen is toegestaan met betrekking tot abonnees die daarin vooraf hebben toegestemd. E-mail adressen verzamelen Een veelvoorkomende praktijk op Internet is het verzamelen van e-mailadressen van bijvoorbeeld websites om een bestand op te bouwen, met name voor direct marketing doeleinden. Ook dit lijkt in strijd zijn met de WBP. Het leeghalen van andermans e-mailgids werd in december 2002 verboden omdat de betreffende e-mail gids in haar algemene voorwaarden dit verbood. Stamboom-onderzoek Steeds meer mensen, waaronder ook de auteur van dit artikel, publiceren hun stamboom op Internet. De WBP maakt een uitzondering voor verwerking van persoonsgegevens voor uitsluitend persoonlijke doeleinden. Het verzamelen van materiaal ten behoeve van een stamboom, en het maken van de stamboom zelf mag dus zonder toestemming van de personen die erin staan gebeuren. Echter, op het moment dat de stamboom wordt gepubliceerd, bijvoorbeeld op Internet, is er niet langer sprake van "persoonlijke doeleinden". De bovengenoemde regels gelden dan. Echter, de WBP gaat formeel gesproken over gegevens die herleidbaar zijn tot natuurlijke personen. Volgens de wet is een overledene geen natuurlijk persoon (meer). Derhalve is de WBP niet van toepassing op overleden personen. Houd er echter wel rekening mee dat bijvoorbeeld de partner of kinderen van de overledene gemakkelijk te achterhalen zijn wanneer er voldoende informatie over de overledene zelf wordt gepubliceerd. Daarmee vormt die informatie een persoonsgegeven van die partner of kinderen. De WBP kan dus soms toch van toepassing zijn. Gerelateerde artikelen Anonimiteit en privacy op het internet Cameratoezicht, filmen en fotograferen van mensen Filesharing (P2P) en privacy Persoonsgegevens op Internet Categorieën Privacy Zie ook Anonimiteit en privacy op het Internet Elektronisch briefgeheim: de stand van zaken Wat weten ze allemaal over mij? De Wet Bescherming Persoonsgegevens is de belangrijkste wet over persoonsgegevens, informatie zoals naam en adres. Verwerking van persoonsgegevens mag alleen als de betrokkene geďnformeerd is over wat er met de gegevens gebeurt. Er zijn uitzonderingen voor bijvoorbeeld mailinglijsten, forums of privé-netwerken. Door ICT-jurist Arnoud Engelfriet (blog, contact). Er bestaat in Nederland geen algemene "wet op de privacy". Er zijn diverse wetten die elk een bepaald aspect van de privacy in Nederland regelen. De belangrijkste en bekendste wet is de Wet Bescherming Persoonsgegevens. De Wet Bescherming Persoonsgegevens regelt onder welke voorwaarden persoonsgegevens verwerkt mogen worden. Persoonsgegevens zijn alle gegevens die herleidbaar zijn tot een bepaald individu. Omdat bijvoorbeeld een e-mailadres ook een persoonsgegeven is, heeft deze wet ook de nodige implicaties voor Internet-aanbieders en -gebruikers. Zo is het publiceren van e-mailadressen op een website niet zomaar toegestaan. Maar ook bijvoorbeeld de familiestamboom mag niet zomaar op Internet. Inhoudsopgave De Wet Bescherming Persoonsgegevens De regels bij verwerking van persoonsgegevens Het College Bescherming Persoonsgegevens Spam E-mail adressen verzamelen Stamboom-onderzoek De Wet Bescherming Persoonsgegevens In 2000 werd de Wet Bescherming Persoonsgegevens (WBP) aangenomen als gevolg van Europese privacy- richtlijn nr. 95/46/EG. Deze wet is de opvolger van de oudere Wet Persoonsregistratie (WPR). De WBP bevat regels voor de "geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen." Persoonsgegevens Persoonsgegevens zijn alle gegevens waarmee een bepaald individu ge�dentificeerd kan worden. Het bekendste voorbeeld zijn naam- en adresgegevens. Ook e-mailadressen en bijvoorbeeld MSN-accounts worden gezien als persoonsgegevens. Maar ook gegevens die een waardering over een bepaalde persoon inhouden, bijvoorbeeld iemands IQ, kunnen persoonsgegevens zijn wanneer te achterhalen is welke persoon dit IQ heeft. Op Internet is bijvoorbeeld het IP-adres een persoonsgegeven. Een IP-adres is, samen met een datum en tijd van gebruik van dat adres, te herleiden tot een persoon. Je hebt daar de hulp van een provider bij nodig, maar het kan. Zie ook Foto's en het portretrecht Ook iemands foto is een persoonsgegeven. De geportretteerde is er tenslotte aan te herkennen. Bovendien is aan een foto te zien welk ras iemand is, en of deze persoon man of vrouw is. Volgens de letter van de wet is een foto dan ook een bijzonder persoonsgegeven, waardoor er voor verwerking van foto's extra strenge regels gelden. Verwerking van persoonsgegevens Verwerking wil zeggen "elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens." De wet geeft als voorbeelden het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens. De regels bij verwerking van persoonsgegevens De betrokkene moet voor elke verwerking van persoonsgegevens zijn toestemming hebben gegeven. Ook heeft hij het recht de informatie die over hem is opgeslagen, te corrigeren of te laten verwijderen. Organisaties die persoonsgegevens verwerken, moeten uitleggen hoe zij dat doen. Voorafgaande toestemming Persoonsgegevens mogen alleen worden verwerkt in overeenstemming met de regels van de WBP. De belangrijkste regel is dat de betreffende persoon zijn toestemming moet hebben gegeven voor de verwerking. Worden gegevens gevraagd aan die persoon zelf, dan moet deze vooraf ge�nformeerd worden over opname in het bestand. Een registratie-formulier op een website moet dus voorzien zijn van een dergelijke waarschuwing. Ook bij persoonsgegevens die uit andere bronnen worden verzameld, moet de betreffende persoon worden ge�nformeerd bij het moment van opname of uiterlijk net voor het moment van verstrekking aan derden. Dit hoeft niet als de betreffende persoon al wist dat zijn gegevens opgenomen zouden worden. Het is dus niet toegestaan om e-mailadressen van mensen die reageren op je website te verzamelen om ze massaal e-mail te sturen, want het maken van een dergelijke verzendlijst is een vorm van verwerking. Het bedrijf Hotmail mag haar klanten echter wel massaal e-mail sturen, want de klanten hebben hiervoor in de algemene voorwaarden toestemming verleend. Het is altijd de taak van de organisatie die de gegevens verwerkt om de betreffende persoon hierover te informeren. Ook mogen persoonsgegevens alleen worden verwerkt in overeenstemming met de doeleinden waarvoor ze zijn verkregen. Het abonneebestand voor een Internet-nieuwsbrief mag dus worden gebruikt om die nieuwsbrief rond te sturen, maar het mag niet worden verkocht aan een ander bedrijf voor bijvoorbeeld een reclame mailing. Informatieplicht Alle organisaties die persoonsgegevens gebruiken, hebben een informatieplicht. Dit betekent dat zij de personen op wie de gegevens betrekking hebben, moeten laten weten wat zij met hun gegevens gaan doen. Dit hoeft niet wanneer het vanzelfsprekend is (bijvoorbeeld bij het invullen van een registratie-formulier bij een online forum) of wanneer het zeer tijdrovend is om het adres van de betrokkene te achterhalen. Correctierecht Daarnaast hebben personen die in een bestand zijn opgenomen het recht om hun geregistreerde gegevens in te zien. Ook kunnen zij eisen dat hun gegevens verbeterd, aangevuld, verwijderd of afgeschermd worden. Dat mag wanneer de gegevens die gebruikt worden door de verantwoordelijke feitelijk onjuist, onvolledig of niet ter zake dienend zijn voor het doel of de doeleinden van de verwerking. Een wanbetaler kan echter niet verwijdering van zijn persoonsgegevens eisen bij de debiteurenadministratie van een bedrijf. Vrijstellingen De WBP eist dat registraties worden aangemeld. Voor een aantal soorten registraties geeft de wet een vrijstelling. Voorbeelden hiervan zijn personeelsadministraties, boekhoudingen, administraties van afnemers en leveranciers, ledenadministraties, abonnementadministraties en administraties van (oud-)leerlingen. Wel worden er in dergelijke gevallen bep