Reactiebox Zelf reactie inleveren
	H. Kukens http://www.kennisland.nl http://wetenschap.pagina.nl http://wetenschap.startkabel.nl Charles Bl Ik heb in de afgelopen jaren hier heel wat gelezen. En ik ben blij dat ik veel gevoelens die mensen normaliter niet direct uiten, maar wel intens schijnen te beleven en te ondergaan, hier zo uitgebreid naar voren heb mogen zien komen. Ik hoor ook veel in bushokjes, kroegen, kantines of waar ook, maar je ziet zoiets nooit op schrift. En dat het hier juist wel gezet is, er hier op een of andere manier door en voor mensen iets is doorbroken en daardoor bespreekbaar gemaakt, is wonderbaarlijk. Het heeft er aan toe aan bijgedragen dat ik mijn studies met heel wat meer plezier en voortvarendheid heb kunnen afsluiten. Ik ben namelijk op terreinen gekomen, al waar ik normaliter nooit naar geleid zou zijn, maar die wel - op z’n zachts gezegd - de mogelijkheid tot een gigantische maatschappelijke en sociale onrust in zich dragen. Daarnaast ben ik als mens de maatschappij ook heel wat werkelijker gaan zien dan die, zoals die - ook door mijn studierichting - aan mij werd voorgesteld en zal zo beroepshalve later heel wat succesvoller voor mijn toekomstige clientčle kunnen zorgen dan dat ik vooreerst ooit voor mogelijk had kunnen houden. Charles Bl. Ik heb in de afgelopen jaren hier heel wat gelezen. En ik ben blij dat ik veel gevoelens die mensen normaliter niet direct uiten, maar wel intens schijnen te beleven en te ondergaan, hier zo uitgebreid naar voren heb mogen zien komen. Ik hoor ook veel in bushokjes, kroegen, kantines of waar ook, maar je ziet zoiets nooit op schrift. En dat het hier juist wel gezet is, op een of andere manier hier voor of door die mensen iets is doorbroken en daardoor bespreekbaar geworden is, heeft er toe aan bijgedragen dat ik mijn studies met heel wat meer plezier en voortvarendheid heb kunnen afsluiten. Ik ben namelijk op terreinen gekomen, al waar ik normaliter nooit naar geleid zou zijn, maar die wel een mogelijkheid toe een gigantische maatschappelijke en sociale onrust in zich dragen. Daarnaast ben ik als mens de maatschappij ook heel wat werkelijker gaan zien dan die, zoals die - ook door mijn studierichting - werd voorgesteld en zal zo later beroepshalve heel wat succesvoller voor mijn toekomstige clientčle kunnen werken dan dat ik vooreerst ooit voor mogelijk had kunnen houden. Kirk Als iedereen nou maar het bordje 'nooduitgang' in de gaten blijft houden, is er niks aan de hand. Thijssen Moeilijk te zeggen. Maar ik zit er zogezegd niet mee. Want ik hou me met dergelijke dingen ook echt niet bezig. Maar die wel met al die inforamtiebulken zitten opgescheept, tja. Nou ja, gun ieder z'n eigen hobby, plezier, wraking, afgunst, jaloezie, machtswellust, elitaire krankzinnigheid, waanzin, bonus, promotie, salarisverhoging, lintje, vakantiehuisje, auto...en.....Nou ja, zou ik zo zeggen. Maar het moet toch niet de spuigaten gaan uitlopen. Dat als je de ingang van de Psychiatrische inrichting "de Maatschappij" binnengaat, de uitgang niet meer kunt vinden. vdMeerkerk Wat gebeurt er eigenlijk met al die IP-adressen die meegaan met die zgn. internettaire enquetes, die je overal en nergen tegenkomt? Zijn die allemaal bedoeld om een enquete te houden of juist alleen bedoeld om onder het mom van enquete zo beetje voor beetje informatie te ontlokken over en van mensen? Deze op te slaan? Te verkopen? Particulieren, oveheid? Zou er veel interesse zijn voor de gegevens die zo via dergelijke enquetes worden verzameld? Wat zouden die gegevens wel niet allemaal kunnen schuiven? Over gezondheid, politieke identiteit, oordelen, vooroordelen over.... Nou ja. Wouter Meen eens, mee eens, zal me allemaal eigenlijk ook een worst wezen. Het doet allemaal maar wat het niet laten kan; als ze zelf maar het toilet gaan doorspoelen als het gaat stinken. Rederik Ik ventileer hier ook wel eens iets. Er zijn immers zoveel menselijke eigenschappen en gevoelens dat die zichtbaar, bespreekbaar en zeker ook ter dienste van enig allert moeten zijn en blijven; mensen niet mag ontgaan. Jaloezie, afgunst, haat, machtswellust, criminaliteit etc. Gebruik, misbruik via IP-adressen of zo door overhedelijke of burgerlijke opslag? Gevaren omtrent het ge- en misbruiken ingevolge de activiteiten van enig IP-adres? Legio, buitensporig gevaarlijk. Ik zeg maar zo: "De mens en ook de techniek.........staat....nog steeds...... voor NIETS" Enfin, ik surf maar weer eens verder. A Persoonsgegevens op Internet Categorieën Privacy Zie ook Anonimiteit en privacy op het Internet Elektronisch briefgeheim: de stand van zaken Wat weten ze allemaal over mij? De Wet Bescherming Persoonsgegevens is de belangrijkste wet over persoonsgegevens, informatie zoals naam en adres. Verwerking van persoonsgegevens mag alleen als de betrokkene geďnformeerd is over wat er met de gegevens gebeurt. Er zijn uitzonderingen voor bijvoorbeeld mailinglijsten, forums of privé-netwerken. Door ICT-jurist Arnoud Engelfriet (blog, contact). Er bestaat in Nederland geen algemene "wet op de privacy". Er zijn diverse wetten die elk een bepaald aspect van de privacy in Nederland regelen. De belangrijkste en bekendste wet is de Wet Bescherming Persoonsgegevens. De Wet Bescherming Persoonsgegevens regelt onder welke voorwaarden persoonsgegevens verwerkt mogen worden. Persoonsgegevens zijn alle gegevens die herleidbaar zijn tot een bepaald individu. Omdat bijvoorbeeld een e-mailadres ook een persoonsgegeven is, heeft deze wet ook de nodige implicaties voor Internet-aanbieders en -gebruikers. Zo is het publiceren van e-mailadressen op een website niet zomaar toegestaan. Maar ook bijvoorbeeld de familiestamboom mag niet zomaar op Internet. Inhoudsopgave De Wet Bescherming Persoonsgegevens De regels bij verwerking van persoonsgegevens Het College Bescherming Persoonsgegevens Spam E-mail adressen verzamelen Stamboom-onderzoek De Wet Bescherming Persoonsgegevens In 2000 werd de Wet Bescherming Persoonsgegevens (WBP) aangenomen als gevolg van Europese privacy- richtlijn nr. 95/46/EG. Deze wet is de opvolger van de oudere Wet Persoonsregistratie (WPR). De WBP bevat regels voor de "geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen." Persoonsgegevens Persoonsgegevens zijn alle gegevens waarmee een bepaald individu ge�dentificeerd kan worden. Het bekendste voorbeeld zijn naam- en adresgegevens. Ook e-mailadressen en bijvoorbeeld MSN-accounts worden gezien als persoonsgegevens. Maar ook gegevens die een waardering over een bepaalde persoon inhouden, bijvoorbeeld iemands IQ, kunnen persoonsgegevens zijn wanneer te achterhalen is welke persoon dit IQ heeft. Op Internet is bijvoorbeeld het IP-adres een persoonsgegeven. Een IP-adres is, samen met een datum en tijd van gebruik van dat adres, te herleiden tot een persoon. Je hebt daar de hulp van een provider bij nodig, maar het kan. Zie ook Foto's en het portretrecht Ook iemands foto is een persoonsgegeven. De geportretteerde is er tenslotte aan te herkennen. Bovendien is aan een foto te zien welk ras iemand is, en of deze persoon man of vrouw is. Volgens de letter van de wet is een foto dan ook een bijzonder persoonsgegeven, waardoor er voor verwerking van foto's extra strenge regels gelden. Verwerking van persoonsgegevens Verwerking wil zeggen "elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens." De wet geeft als voorbeelden het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens. De regels bij verwerking van persoonsgegevens De betrokkene moet voor elke verwerking van persoonsgegevens zijn toestemming hebben gegeven. Ook heeft hij het recht de informatie die over hem is opgeslagen, te corrigeren of te laten verwijderen. Organisaties die persoonsgegevens verwerken, moeten uitleggen hoe zij dat doen. Voorafgaande toestemming Persoonsgegevens mogen alleen worden verwerkt in overeenstemming met de regels van de WBP. De belangrijkste regel is dat de betreffende persoon zijn toestemming moet hebben gegeven voor de verwerking. Worden gegevens gevraagd aan die persoon zelf, dan moet deze vooraf ge�nformeerd worden over opname in het bestand. Een registratie-formulier op een website moet dus voorzien zijn van een dergelijke waarschuwing. Ook bij persoonsgegevens die uit andere bronnen worden verzameld, moet de betreffende persoon worden ge�nformeerd bij het moment van opname of uiterlijk net voor het moment van verstrekking aan derden. Dit hoeft niet als de betreffende persoon al wist dat zijn gegevens opgenomen zouden worden. Het is dus niet toegestaan om e-mailadressen van mensen die reageren op je website te verzamelen om ze massaal e-mail te sturen, want het maken van een dergelijke verzendlijst is een vorm van verwerking. Het bedrijf Hotmail mag haar klanten echter wel massaal e-mail sturen, want de klanten hebben hiervoor in de algemene voorwaarden toestemming verleend. Het is altijd de taak van de organisatie die de gegevens verwerkt om de betreffende persoon hierover te informeren. Ook mogen persoonsgegevens alleen worden verwerkt in overeenstemming met de doeleinden waarvoor ze zijn verkregen. Het abonneebestand voor een Internet-nieuwsbrief mag dus worden gebruikt om die nieuwsbrief rond te sturen, maar het mag niet worden verkocht aan een ander bedrijf voor bijvoorbeeld een reclame mailing. Informatieplicht Alle organisaties die persoonsgegevens gebruiken, hebben een informatieplicht. Dit betekent dat zij de personen op wie de gegevens betrekking hebben, moeten laten weten wat zij met hun gegevens gaan doen. Dit hoeft niet wanneer het vanzelfsprekend is (bijvoorbeeld bij het invullen van een registratie-formulier bij een online forum) of wanneer het zeer tijdrovend is om het adres van de betrokkene te achterhalen. Correctierecht Daarnaast hebben personen die in een bestand zijn opgenomen het recht om hun geregistreerde gegevens in te zien. Ook kunnen zij eisen dat hun gegevens verbeterd, aangevuld, verwijderd of afgeschermd worden. Dat mag wanneer de gegevens die gebruikt worden door de verantwoordelijke feitelijk onjuist, onvolledig of niet ter zake dienend zijn voor het doel of de doeleinden van de verwerking. Een wanbetaler kan echter niet verwijdering van zijn persoonsgegevens eisen bij de debiteurenadministratie van een bedrijf. Vrijstellingen De WBP eist dat registraties worden aangemeld. Voor een aantal soorten registraties geeft de wet een vrijstelling. Voorbeelden hiervan zijn personeelsadministraties, boekhoudingen, administraties van afnemers en leveranciers, ledenadministraties, abonnementadministraties en administraties van (oud-)leerlingen. Wel worden er in dergelijke gevallen beperkingen gesteld aan de informatie die dan mag worden geregistreerd. Het CBP heeft een Handreiking Vrijstellingsbesluit gepubliceerd met daarin uitleg over de belangrijkste vrijstellingen. Om er een paar te noemen: Abonnementen: uitgevers van publicaties (ook elektronische) hoeven de administratie van persoonsgegevens van hun abonnees niet aan te melden. Ze mogen niet meer bijhouden dan voor het leveren van de publicaties of het innen van het abonnementsgeld nodig is. Wetenschappelijk onderzoek en statistiek: wie onderzoek doet en daarbij persoonsgegevens gebruikt, hoeft zijn databank niet aan te melden. Alleen de hoogst noodzakelijke naam- en adresgegevens mogen worden bijgehouden. Gegevens mogen niet aan derden worden gegeven, behalve met toestemming of als doorgifte noodzakelijk is voor het onderzoek. Doorgifte voor ander onderzoek mag alleen als het gegarandeerd is dat de gegevens nergens anders voor gebruikt kunnen worden. Communicatiebestanden: verwerking van voor communicatie benodigde persoonsgegevens hoeft niet te worden aangemeld. De beheerder van een mailinglijst of forum hoeft zijn abonneebestand of lijst met leden dus niet aan te melden. Hij mag echter geen 'bijzondere persoonsgegevens' (b.v. godsdienst, gezondheid of politieke voorkeuren) opslaan. De databank mag ook niet voor andere doeleinden worden gebruikt zonder toestemming van de betrokkenen. De beheerder van een forum mag gegevens van zijn leden dus niet aan adverteerders geven. Netwerksystemen: wie een privé-netwerk beheert, mag gegevens bijhouden over gebruikers om het netwerk goed te laten werken, voor de veiligheid en interne controle en onderhoud en beheer. Hieronder vallen zaken zoals 'loggen' wat gebruikers doen, welke ingaande en uitgaande communicatie ze verrichten (maar niet de inhoud daarvan) of het vastleggen waar ze wel en niet bij mogen. Gebruikers moeten hierover wel worden geďnformeerd. Dit geldt niet voor Internet-aanbieders en andere beheerders van openbare telecommunicatienetwerken! Deze moeten hun databank gewoon aanmelden. Het College Bescherming Persoonsgegevens Toezicht op de naleving van de WBP is in handen van het College Bescherming Persoonsgegevens (CBP), voorheen Registratiekamer. Het CBP adviseert de regering over de bescherming van persoonsgegevens, voert onderzoeken uit, toetst gedragscodes en privacyreglementen en behandelt vragen en klachten. Het CBP is bevoegd om boetes uit te delen aan organisaties die de WBP overtreden. De registraties van bestanden met persoonsgegevens moeten worden aangemeld bij het CBP. Spam Zie ook Spam nu eindelijk verboden Het rondsturen van ongevraagde commerci�le e-mail, in het jargon 'spam' geheten, mag in principe alleen als de geadresseerden hun toestemming hebben verleend voor opname in het bestand van de zender. Wie de letterlijke tekst van de WBP er bij pakt, zou kunnen concluderen dat deze toestemming vooraf moet worden verleend, en dat vrijwel alle 'spam' in Nederland onrechtmatig is. rechtszaak tussen tussen XS4All en direct marketingbureau Ab.Fab besliste de Hoge Raad dat Ab.Fab geen spam mocht sturen naar XS4All-klanten. XS4ALL heeft als Internet-provider exclusieve rechten op haar computercapaciteit, haar transmissiecapaciteit en haar klantenbestand, en mag anderen de toegang daartoe weigeren. De nieuwe Europese richtlijn 2002/58/EG, die uiterlijk 31 oktober 2003 een Nederlandse wet moet worden, brengt hopelijk meer duidelijkheid. Artikel 13 van deze richtlijn zegt dat e-mail met het oog op direct marketing alleen is toegestaan met betrekking tot abonnees die daarin vooraf hebben toegestemd. E-mail adressen verzamelen Een veelvoorkomende praktijk op Internet is het verzamelen van e-mailadressen van bijvoorbeeld websites om een bestand op te bouwen, met name voor direct marketing doeleinden. Ook dit lijkt in strijd zijn met de WBP. Het leeghalen van andermans e-mailgids werd in december 2002 verboden omdat de betreffende e-mail gids in haar algemene voorwaarden dit verbood. Stamboom-onderzoek Steeds meer mensen, waaronder ook de auteur van dit artikel, publiceren hun stamboom op Internet. De WBP maakt een uitzondering voor verwerking van persoonsgegevens voor uitsluitend persoonlijke doeleinden. Het verzamelen van materiaal ten behoeve van een stamboom, en het maken van de stamboom zelf mag dus zonder toestemming van de personen die erin staan gebeuren. Echter, op het moment dat de stamboom wordt gepubliceerd, bijvoorbeeld op Internet, is er niet langer sprake van "persoonlijke doeleinden". De bovengenoemde regels gelden dan. Echter, de WBP gaat formeel gesproken over gegevens die herleidbaar zijn tot natuurlijke personen. Volgens de wet is een overledene geen natuurlijk persoon (meer). Derhalve is de WBP niet van toepassing op overleden personen. Houd er echter wel rekening mee dat bijvoorbeeld de partner of kinderen van de overledene gemakkelijk te achterhalen zijn wanneer er voldoende informatie over de overledene zelf wordt gepubliceerd. Daarmee vormt die informatie een persoonsgegeven van die partner of kinderen. De WBP kan dus soms toch van toepassing zijn. Gerelateerde artikelen Anonimiteit en privacy op het internet Cameratoezicht, filmen en fotograferen van mensen Filesharing (P2P) en privacy Persoonsgegevens op Internet Categorieën Privacy Zie ook Anonimiteit en privacy op het Internet Elektronisch briefgeheim: de stand van zaken Wat weten ze allemaal over mij? De Wet Bescherming Persoonsgegevens is de belangrijkste wet over persoonsgegevens, informatie zoals naam en adres. Verwerking van persoonsgegevens mag alleen als de betrokkene geďnformeerd is over wat er met de gegevens gebeurt. Er zijn uitzonderingen voor bijvoorbeeld mailinglijsten, forums of privé-netwerken. Door ICT-jurist Arnoud Engelfriet (blog, contact). Er bestaat in Nederland geen algemene "wet op de privacy". Er zijn diverse wetten die elk een bepaald aspect van de privacy in Nederland regelen. De belangrijkste en bekendste wet is de Wet Bescherming Persoonsgegevens. De Wet Bescherming Persoonsgegevens regelt onder welke voorwaarden persoonsgegevens verwerkt mogen worden. Persoonsgegevens zijn alle gegevens die herleidbaar zijn tot een bepaald individu. Omdat bijvoorbeeld een e-mailadres ook een persoonsgegeven is, heeft deze wet ook de nodige implicaties voor Internet-aanbieders en -gebruikers. Zo is het publiceren van e-mailadressen op een website niet zomaar toegestaan. Maar ook bijvoorbeeld de familiestamboom mag niet zomaar op Internet. Inhoudsopgave De Wet Bescherming Persoonsgegevens De regels bij verwerking van persoonsgegevens Het College Bescherming Persoonsgegevens Spam E-mail adressen verzamelen Stamboom-onderzoek De Wet Bescherming Persoonsgegevens In 2000 werd de Wet Bescherming Persoonsgegevens (WBP) aangenomen als gevolg van Europese privacy- richtlijn nr. 95/46/EG. Deze wet is de opvolger van de oudere Wet Persoonsregistratie (WPR). De WBP bevat regels voor de "geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen." Persoonsgegevens Persoonsgegevens zijn alle gegevens waarmee een bepaald individu ge�dentificeerd kan worden. Het bekendste voorbeeld zijn naam- en adresgegevens. Ook e-mailadressen en bijvoorbeeld MSN-accounts worden gezien als persoonsgegevens. Maar ook gegevens die een waardering over een bepaalde persoon inhouden, bijvoorbeeld iemands IQ, kunnen persoonsgegevens zijn wanneer te achterhalen is welke persoon dit IQ heeft. Op Internet is bijvoorbeeld het IP-adres een persoonsgegeven. Een IP-adres is, samen met een datum en tijd van gebruik van dat adres, te herleiden tot een persoon. Je hebt daar de hulp van een provider bij nodig, maar het kan. Zie ook Foto's en het portretrecht Ook iemands foto is een persoonsgegeven. De geportretteerde is er tenslotte aan te herkennen. Bovendien is aan een foto te zien welk ras iemand is, en of deze persoon man of vrouw is. Volgens de letter van de wet is een foto dan ook een bijzonder persoonsgegeven, waardoor er voor verwerking van foto's extra strenge regels gelden. Verwerking van persoonsgegevens Verwerking wil zeggen "elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens." De wet geeft als voorbeelden het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens. De regels bij verwerking van persoonsgegevens De betrokkene moet voor elke verwerking van persoonsgegevens zijn toestemming hebben gegeven. Ook heeft hij het recht de informatie die over hem is opgeslagen, te corrigeren of te laten verwijderen. Organisaties die persoonsgegevens verwerken, moeten uitleggen hoe zij dat doen. Voorafgaande toestemming Persoonsgegevens mogen alleen worden verwerkt in overeenstemming met de regels van de WBP. De belangrijkste regel is dat de betreffende persoon zijn toestemming moet hebben gegeven voor de verwerking. Worden gegevens gevraagd aan die persoon zelf, dan moet deze vooraf ge�nformeerd worden over opname in het bestand. Een registratie-formulier op een website moet dus voorzien zijn van een dergelijke waarschuwing. Ook bij persoonsgegevens die uit andere bronnen worden verzameld, moet de betreffende persoon worden ge�nformeerd bij het moment van opname of uiterlijk net voor het moment van verstrekking aan derden. Dit hoeft niet als de betreffende persoon al wist dat zijn gegevens opgenomen zouden worden. Het is dus niet toegestaan om e-mailadressen van mensen die reageren op je website te verzamelen om ze massaal e-mail te sturen, want het maken van een dergelijke verzendlijst is een vorm van verwerking. Het bedrijf Hotmail mag haar klanten echter wel massaal e-mail sturen, want de klanten hebben hiervoor in de algemene voorwaarden toestemming verleend. Het is altijd de taak van de organisatie die de gegevens verwerkt om de betreffende persoon hierover te informeren. Ook mogen persoonsgegevens alleen worden verwerkt in overeenstemming met de doeleinden waarvoor ze zijn verkregen. Het abonneebestand voor een Internet-nieuwsbrief mag dus worden gebruikt om die nieuwsbrief rond te sturen, maar het mag niet worden verkocht aan een ander bedrijf voor bijvoorbeeld een reclame mailing. Informatieplicht Alle organisaties die persoonsgegevens gebruiken, hebben een informatieplicht. Dit betekent dat zij de personen op wie de gegevens betrekking hebben, moeten laten weten wat zij met hun gegevens gaan doen. Dit hoeft niet wanneer het vanzelfsprekend is (bijvoorbeeld bij het invullen van een registratie-formulier bij een online forum) of wanneer het zeer tijdrovend is om het adres van de betrokkene te achterhalen. Correctierecht Daarnaast hebben personen die in een bestand zijn opgenomen het recht om hun geregistreerde gegevens in te zien. Ook kunnen zij eisen dat hun gegevens verbeterd, aangevuld, verwijderd of afgeschermd worden. Dat mag wanneer de gegevens die gebruikt worden door de verantwoordelijke feitelijk onjuist, onvolledig of niet ter zake dienend zijn voor het doel of de doeleinden van de verwerking. Een wanbetaler kan echter niet verwijdering van zijn persoonsgegevens eisen bij de debiteurenadministratie van een bedrijf. Vrijstellingen De WBP eist dat registraties worden aangemeld. Voor een aantal soorten registraties geeft de wet een vrijstelling. Voorbeelden hiervan zijn personeelsadministraties, boekhoudingen, administraties van afnemers en leveranciers, ledenadministraties, abonnementadministraties en administraties van (oud-)leerlingen. Wel worden er in dergelijke gevallen beperkingen gesteld aan de informatie die dan mag worden geregistreerd. Het CBP heeft een Handreiking Vrijstellingsbesluit gepubliceerd met daarin uitleg over de belangrijkste vrijstellingen. Om er een paar te noemen: Abonnementen: uitgevers van publicaties (ook elektronische) hoeven de administratie van persoonsgegevens van hun abonnees niet aan te melden. Ze mogen niet meer bijhouden dan voor het leveren van de publicaties of het innen van het abonnementsgeld nodig is. Wetenschappelijk onderzoek en statistiek: wie onderzoek doet en daarbij persoonsgegevens gebruikt, hoeft zijn databank niet aan te melden. Alleen de hoogst noodzakelijke naam- en adresgegevens mogen worden bijgehouden. Gegevens mogen niet aan derden worden gegeven, behalve met toestemming of als doorgifte noodzakelijk is voor het onderzoek. Doorgifte voor ander onderzoek mag alleen als het gegarandeerd is dat de gegevens nergens anders voor gebruikt kunnen worden. Communicatiebestanden: verwerking van voor communicatie benodigde persoonsgegevens hoeft niet te worden aangemeld. De beheerder van een mailinglijst of forum hoeft zijn abonneebestand of lijst met leden dus niet aan te melden. Hij mag echter geen 'bijzondere persoonsgegevens' (b.v. godsdienst, gezondheid of politieke voorkeuren) opslaan. De databank mag ook niet voor andere doeleinden worden gebruikt zonder toestemming van de betrokkenen. De beheerder van een forum mag gegevens van zijn leden dus niet aan adverteerders geven. Netwerksystemen: wie een privé-netwerk beheert, mag gegevens bijhouden over gebruikers om het netwerk goed te laten werken, voor de veiligheid en interne controle en onderhoud en beheer. Hieronder vallen zaken zoals 'loggen' wat gebruikers doen, welke ingaande en uitgaande communicatie ze verrichten (maar niet de inhoud daarvan) of het vastleggen waar ze wel en niet bij mogen. Gebruikers moeten hierover wel worden geďnformeerd. Dit geldt niet voor Internet-aanbieders en andere beheerders van openbare telecommunicatienetwerken! Deze moeten hun databank gewoon aanmelden. Het College Bescherming Persoonsgegevens Toezicht op de naleving van de WBP is in handen van het College Bescherming Persoonsgegevens (CBP), voorheen Registratiekamer. Het CBP adviseert de regering over de bescherming van persoonsgegevens, voert onderzoeken uit, toetst gedragscodes en privacyreglementen en behandelt vragen en klachten. Het CBP is bevoegd om boetes uit te delen aan organisaties die de WBP overtreden. De registraties van bestanden met persoonsgegevens moeten worden aangemeld bij het CBP. Spam Zie ook Spam nu eindelijk verboden Het rondsturen van ongevraagde commerci�le e-mail, in het jargon 'spam' geheten, mag in principe alleen als de geadresseerden hun toestemming hebben verleend voor opname in het bestand van de zender. Wie de letterlijke tekst van de WBP er bij pakt, zou kunnen concluderen dat deze toestemming vooraf moet worden verleend, en dat vrijwel alle 'spam' in Nederland onrechtmatig is. rechtszaak tussen tussen XS4All en direct marketingbureau Ab.Fab besliste de Hoge Raad dat Ab.Fab geen spam mocht sturen naar XS4All-klanten. XS4ALL heeft als Internet-provider exclusieve rechten op haar computercapaciteit, haar transmissiecapaciteit en haar klantenbestand, en mag anderen de toegang daartoe weigeren. De nieuwe Europese richtlijn 2002/58/EG, die uiterlijk 31 oktober 2003 een Nederlandse wet moet worden, brengt hopelijk meer duidelijkheid. Artikel 13 van deze richtlijn zegt dat e-mail met het oog op direct marketing alleen is toegestaan met betrekking tot abonnees die daarin vooraf hebben toegestemd. E-mail adressen verzamelen Een veelvoorkomende praktijk op Internet is het verzamelen van e-mailadressen van bijvoorbeeld websites om een bestand op te bouwen, met name voor direct marketing doeleinden. Ook dit lijkt in strijd zijn met de WBP. Het leeghalen van andermans e-mailgids werd in december 2002 verboden omdat de betreffende e-mail gids in haar algemene voorwaarden dit verbood. Stamboom-onderzoek Steeds meer mensen, waaronder ook de auteur van dit artikel, publiceren hun stamboom op Internet. De WBP maakt een uitzondering voor verwerking van persoonsgegevens voor uitsluitend persoonlijke doeleinden. Het verzamelen van materiaal ten behoeve van een stamboom, en het maken van de stamboom zelf mag dus zonder toestemming van de personen die erin staan gebeuren. Echter, op het moment dat de stamboom wordt gepubliceerd, bijvoorbeeld op Internet, is er niet langer sprake van "persoonlijke doeleinden". De bovengenoemde regels gelden dan. Echter, de WBP gaat formeel gesproken over gegevens die herleidbaar zijn tot natuurlijke personen. Volgens de wet is een overledene geen natuurlijk persoon (meer). Derhalve is de WBP niet van toepassing op overleden personen. Houd er echter wel rekening mee dat bijvoorbeeld de partner of kinderen van de overledene gemakkelijk te achterhalen zijn wanneer er voldoende informatie over de overledene zelf wordt gepubliceerd. Daarmee vormt die informatie een persoonsgegeven van die partner of kinderen. De WBP kan dus soms toch van toepassing zijn. Gerelateerde artikelen Anonimiteit en privacy op het internet Cameratoezicht, filmen en fotograferen van mensen Filesharing (P2P) en privacy Persoonsgegevens op Internet Categorieën Privacy Zie ook Anonimiteit en privacy op het Internet Elektronisch briefgeheim: de stand van zaken Wat weten ze allemaal over mij? De Wet Bescherming Persoonsgegevens is de belangrijkste wet over persoonsgegevens, informatie zoals naam en adres. Verwerking van persoonsgegevens mag alleen als de betrokkene geďnformeerd is over wat er met de gegevens gebeurt. Er zijn uitzonderingen voor bijvoorbeeld mailinglijsten, forums of privé-netwerken. Door ICT-jurist Arnoud Engelfriet (blog, contact). Er bestaat in Nederland geen algemene "wet op de privacy". Er zijn diverse wetten die elk een bepaald aspect van de privacy in Nederland regelen. De belangrijkste en bekendste wet is de Wet Bescherming Persoonsgegevens. De Wet Bescherming Persoonsgegevens regelt onder welke voorwaarden persoonsgegevens verwerkt mogen worden. Persoonsgegevens zijn alle gegevens die herleidbaar zijn tot een bepaald individu. Omdat bijvoorbeeld een e-mailadres ook een persoonsgegeven is, heeft deze wet ook de nodige implicaties voor Internet-aanbieders en -gebruikers. Zo is het publiceren van e-mailadressen op een website niet zomaar toegestaan. Maar ook bijvoorbeeld de familiestamboom mag niet zomaar op Internet. Inhoudsopgave De Wet Bescherming Persoonsgegevens De regels bij verwerking van persoonsgegevens Het College Bescherming Persoonsgegevens Spam E-mail adressen verzamelen Stamboom-onderzoek De Wet Bescherming Persoonsgegevens In 2000 werd de Wet Bescherming Persoonsgegevens (WBP) aangenomen als gevolg van Europese privacy- richtlijn nr. 95/46/EG. Deze wet is de opvolger van de oudere Wet Persoonsregistratie (WPR). De WBP bevat regels voor de "geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen." Persoonsgegevens Persoonsgegevens zijn alle gegevens waarmee een bepaald individu ge�dentificeerd kan worden. Het bekendste voorbeeld zijn naam- en adresgegevens. Ook e-mailadressen en bijvoorbeeld MSN-accounts worden gezien als persoonsgegevens. Maar ook gegevens die een waardering over een bepaalde persoon inhouden, bijvoorbeeld iemands IQ, kunnen persoonsgegevens zijn wanneer te achterhalen is welke persoon dit IQ heeft. Op Internet is bijvoorbeeld het IP-adres een persoonsgegeven. Een IP-adres is, samen met een datum en tijd van gebruik van dat adres, te herleiden tot een persoon. Je hebt daar de hulp van een provider bij nodig, maar het kan. Zie ook Foto's en het portretrecht Ook iemands foto is een persoonsgegeven. De geportretteerde is er tenslotte aan te herkennen. Bovendien is aan een foto te zien welk ras iemand is, en of deze persoon man of vrouw is. Volgens de letter van de wet is een foto dan ook een bijzonder persoonsgegeven, waardoor er voor verwerking van foto's extra strenge regels gelden. Verwerking van persoonsgegevens Verwerking wil zeggen "elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens." De wet geeft als voorbeelden het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens. De regels bij verwerking van persoonsgegevens De betrokkene moet voor elke verwerking van persoonsgegevens zijn toestemming hebben gegeven. Ook heeft hij het recht de informatie die over hem is opgeslagen, te corrigeren of te laten verwijderen. Organisaties die persoonsgegevens verwerken, moeten uitleggen hoe zij dat doen. Voorafgaande toestemming Persoonsgegevens mogen alleen worden verwerkt in overeenstemming met de regels van de WBP. De belangrijkste regel is dat de betreffende persoon zijn toestemming moet hebben gegeven voor de verwerking. Worden gegevens gevraagd aan die persoon zelf, dan moet deze vooraf ge�nformeerd worden over opname in het bestand. Een registratie-formulier op een website moet dus voorzien zijn van een dergelijke waarschuwing. Ook bij persoonsgegevens die uit andere bronnen worden verzameld, moet de betreffende persoon worden ge�nformeerd bij het moment van opname of uiterlijk net voor het moment van verstrekking aan derden. Dit hoeft niet als de betreffende persoon al wist dat zijn gegevens opgenomen zouden worden. Het is dus niet toegestaan om e-mailadressen van mensen die reageren op je website te verzamelen om ze massaal e-mail te sturen, want het maken van een dergelijke verzendlijst is een vorm van verwerking. Het bedrijf Hotmail mag haar klanten echter wel massaal e-mail sturen, want de klanten hebben hiervoor in de algemene voorwaarden toestemming verleend. Het is altijd de taak van de organisatie die de gegevens verwerkt om de betreffende persoon hierover te informeren. Ook mogen persoonsgegevens alleen worden verwerkt in overeenstemming met de doeleinden waarvoor ze zijn verkregen. Het abonneebestand voor een Internet-nieuwsbrief mag dus worden gebruikt om die nieuwsbrief rond te sturen, maar het mag niet worden verkocht aan een ander bedrijf voor bijvoorbeeld een reclame mailing. Informatieplicht Alle organisaties die persoonsgegevens gebruiken, hebben een informatieplicht. Dit betekent dat zij de personen op wie de gegevens betrekking hebben, moeten laten weten wat zij met hun gegevens gaan doen. Dit hoeft niet wanneer het vanzelfsprekend is (bijvoorbeeld bij het invullen van een registratie-formulier bij een online forum) of wanneer het zeer tijdrovend is om het adres van de betrokkene te achterhalen. Correctierecht Daarnaast hebben personen die in een bestand zijn opgenomen het recht om hun geregistreerde gegevens in te zien. Ook kunnen zij eisen dat hun gegevens verbeterd, aangevuld, verwijderd of afgeschermd worden. Dat mag wanneer de gegevens die gebruikt worden door de verantwoordelijke feitelijk onjuist, onvolledig of niet ter zake dienend zijn voor het doel of de doeleinden van de verwerking. Een wanbetaler kan echter niet verwijdering van zijn persoonsgegevens eisen bij de debiteurenadministratie van een bedrijf. Vrijstellingen De WBP eist dat registraties worden aangemeld. Voor een aantal soorten registraties geeft de wet een vrijstelling. Voorbeelden hiervan zijn personeelsadministraties, boekhoudingen, administraties van afnemers en leveranciers, ledenadministraties, abonnementadministraties en administraties van (oud-)leerlingen. Wel worden er in dergelijke gevallen beperkingen gesteld aan de informatie die dan mag worden geregistreerd. Het CBP heeft een Handreiking Vrijstellingsbesluit gepubliceerd met daarin uitleg over de belangrijkste vrijstellingen. Om er een paar te noemen: Abonnementen: uitgevers van publicaties (ook elektronische) hoeven de administratie van persoonsgegevens van hun abonnees niet aan te melden. Ze mogen niet meer bijhouden dan voor het leveren van de publicaties of het innen van het abonnementsgeld nodig is. Wetenschappelijk onderzoek en statistiek: wie onderzoek doet en daarbij persoonsgegevens gebruikt, hoeft zijn databank niet aan te melden. Alleen de hoogst noodzakelijke naam- en adresgegevens mogen worden bijgehouden. Gegevens mogen niet aan derden worden gegeven, behalve met toestemming of als doorgifte noodzakelijk is voor het onderzoek. Doorgifte voor ander onderzoek mag alleen als het gegarandeerd is dat de gegevens nergens anders voor gebruikt kunnen worden. Communicatiebestanden: verwerking van voor communicatie benodigde persoonsgegevens hoeft niet te worden aangemeld. De beheerder van een mailinglijst of forum hoeft zijn abonneebestand of lijst met leden dus niet aan te melden. Hij mag echter geen 'bijzondere persoonsgegevens' (b.v. godsdienst, gezondheid of politieke voorkeuren) opslaan. De databank mag ook niet voor andere doeleinden worden gebruikt zonder toestemming van de betrokkenen. De beheerder van een forum mag gegevens van zijn leden dus niet aan adverteerders geven. Netwerksystemen: wie een privé-netwerk beheert, mag gegevens bijhouden over gebruikers om het netwerk goed te laten werken, voor de veiligheid en interne controle en onderhoud en beheer. Hieronder vallen zaken zoals 'loggen' wat gebruikers doen, welke ingaande en uitgaande communicatie ze verrichten (maar niet de inhoud daarvan) of het vastleggen waar ze wel en niet bij mogen. Gebruikers moeten hierover wel worden geďnformeerd. Dit geldt niet voor Internet-aanbieders en andere beheerders van openbare telecommunicatienetwerken! Deze moeten hun databank gewoon aanmelden. Het College Bescherming Persoonsgegevens Toezicht op de naleving van de WBP is in handen van het College Bescherming Persoonsgegevens (CBP), voorheen Registratiekamer. Het CBP adviseert de regering over de bescherming van persoonsgegevens, voert onderzoeken uit, toetst gedragscodes en privacyreglementen en behandelt vragen en klachten. Het CBP is bevoegd om boetes uit te delen aan organisaties die de WBP overtreden. De registraties van bestanden met persoonsgegevens moeten worden aangemeld bij het CBP. Spam Zie ook Spam nu eindelijk verboden Het rondsturen van ongevraagde commerci�le e-mail, in het jargon 'spam' geheten, mag in principe alleen als de geadresseerden hun toestemming hebben verleend voor opname in het bestand van de zender. Wie de letterlijke tekst van de WBP er bij pakt, zou kunnen concluderen dat deze toestemming vooraf moet worden verleend, en dat vrijwel alle 'spam' in Nederland onrechtmatig is. rechtszaak tussen tussen XS4All en direct marketingbureau Ab.Fab besliste de Hoge Raad dat Ab.Fab geen spam mocht sturen naar XS4All-klanten. XS4ALL heeft als Internet-provider exclusieve rechten op haar computercapaciteit, haar transmissiecapaciteit en haar klantenbestand, en mag anderen de toegang daartoe weigeren. De nieuwe Europese richtlijn 2002/58/EG, die uiterlijk 31 oktober 2003 een Nederlandse wet moet worden, brengt hopelijk meer duidelijkheid. Artikel 13 van deze richtlijn zegt dat e-mail met het oog op direct marketing alleen is toegestaan met betrekking tot abonnees die daarin vooraf hebben toegestemd. E-mail adressen verzamelen Een veelvoorkomende praktijk op Internet is het verzamelen van e-mailadressen van bijvoorbeeld websites om een bestand op te bouwen, met name voor direct marketing doeleinden. Ook dit lijkt in strijd zijn met de WBP. Het leeghalen van andermans e-mailgids werd in december 2002 verboden omdat de betreffende e-mail gids in haar algemene voorwaarden dit verbood. Stamboom-onderzoek Steeds meer mensen, waaronder ook de auteur van dit artikel, publiceren hun stamboom op Internet. De WBP maakt een uitzondering voor verwerking van persoonsgegevens voor uitsluitend persoonlijke doeleinden. Het verzamelen van materiaal ten behoeve van een stamboom, en het maken van de stamboom zelf mag dus zonder toestemming van de personen die erin staan gebeuren. Echter, op het moment dat de stamboom wordt gepubliceerd, bijvoorbeeld op Internet, is er niet langer sprake van "persoonlijke doeleinden". De bovengenoemde regels gelden dan. Echter, de WBP gaat formeel gesproken over gegevens die herleidbaar zijn tot natuurlijke personen. Volgens de wet is een overledene geen natuurlijk persoon (meer). Derhalve is de WBP niet van toepassing op overleden personen. Houd er echter wel rekening mee dat bijvoorbeeld de partner of kinderen van de overledene gemakkelijk te achterhalen zijn wanneer er voldoende informatie over de overledene zelf wordt gepubliceerd. Daarmee vormt die informatie een persoonsgegeven van die partner of kinderen. De WBP kan dus soms toch van toepassing zijn. Gerelateerde artikelen Anonimiteit en privacy op het internet Cameratoezicht, filmen en fotograferen van mensen Filesharing (P2P) en privacy Persoonsgegevens op Internet Categorieën Privacy Zie ook Anonimiteit en privacy op het Internet Elektronisch briefgeheim: de stand van zaken Wat weten ze allemaal over mij? De Wet Bescherming Persoonsgegevens is de belangrijkste wet over persoonsgegevens, informatie zoals naam en adres. Verwerking van persoonsgegevens mag alleen als de betrokkene geďnformeerd is over wat er met de gegevens gebeurt. Er zijn uitzonderingen voor bijvoorbeeld mailinglijsten, forums of privé-netwerken. Door ICT-jurist Arnoud Engelfriet (blog, contact). Er bestaat in Nederland geen algemene "wet op de privacy". Er zijn diverse wetten die elk een bepaald aspect van de privacy in Nederland regelen. De belangrijkste en bekendste wet is de Wet Bescherming Persoonsgegevens. De Wet Bescherming Persoonsgegevens regelt onder welke voorwaarden persoonsgegevens verwerkt mogen worden. Persoonsgegevens zijn alle gegevens die herleidbaar zijn tot een bepaald individu. Omdat bijvoorbeeld een e-mailadres ook een persoonsgegeven is, heeft deze wet ook de nodige implicaties voor Internet-aanbieders en -gebruikers. Zo is het publiceren van e-mailadressen op een website niet zomaar toegestaan. Maar ook bijvoorbeeld de familiestamboom mag niet zomaar op Internet. Inhoudsopgave De Wet Bescherming Persoonsgegevens De regels bij verwerking van persoonsgegevens Het College Bescherming Persoonsgegevens Spam E-mail adressen verzamelen Stamboom-onderzoek De Wet Bescherming Persoonsgegevens In 2000 werd de Wet Bescherming Persoonsgegevens (WBP) aangenomen als gevolg van Europese privacy- richtlijn nr. 95/46/EG. Deze wet is de opvolger van de oudere Wet Persoonsregistratie (WPR). De WBP bevat regels voor de "geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen." Persoonsgegevens Persoonsgegevens zijn alle gegevens waarmee een bepaald individu ge�dentificeerd kan worden. Het bekendste voorbeeld zijn naam- en adresgegevens. Ook e-mailadressen en bijvoorbeeld MSN-accounts worden gezien als persoonsgegevens. Maar ook gegevens die een waardering over een bepaalde persoon inhouden, bijvoorbeeld iemands IQ, kunnen persoonsgegevens zijn wanneer te achterhalen is welke persoon dit IQ heeft. Op Internet is bijvoorbeeld het IP-adres een persoonsgegeven. Een IP-adres is, samen met een datum en tijd van gebruik van dat adres, te herleiden tot een persoon. Je hebt daar de hulp van een provider bij nodig, maar het kan. Zie ook Foto's en het portretrecht Ook iemands foto is een persoonsgegeven. De geportretteerde is er tenslotte aan te herkennen. Bovendien is aan een foto te zien welk ras iemand is, en of deze persoon man of vrouw is. Volgens de letter van de wet is een foto dan ook een bijzonder persoonsgegeven, waardoor er voor verwerking van foto's extra strenge regels gelden. Verwerking van persoonsgegevens Verwerking wil zeggen "elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens." De wet geeft als voorbeelden het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens. De regels bij verwerking van persoonsgegevens De betrokkene moet voor elke verwerking van persoonsgegevens zijn toestemming hebben gegeven. Ook heeft hij het recht de informatie die over hem is opgeslagen, te corrigeren of te laten verwijderen. Organisaties die persoonsgegevens verwerken, moeten uitleggen hoe zij dat doen. Voorafgaande toestemming Persoonsgegevens mogen alleen worden verwerkt in overeenstemming met de regels van de WBP. De belangrijkste regel is dat de betreffende persoon zijn toestemming moet hebben gegeven voor de verwerking. Worden gegevens gevraagd aan die persoon zelf, dan moet deze vooraf ge�nformeerd worden over opname in het bestand. Een registratie-formulier op een website moet dus voorzien zijn van een dergelijke waarschuwing. Ook bij persoonsgegevens die uit andere bronnen worden verzameld, moet de betreffende persoon worden ge�nformeerd bij het moment van opname of uiterlijk net voor het moment van verstrekking aan derden. Dit hoeft niet als de betreffende persoon al wist dat zijn gegevens opgenomen zouden worden. Het is dus niet toegestaan om e-mailadressen van mensen die reageren op je website te verzamelen om ze massaal e-mail te sturen, want het maken van een dergelijke verzendlijst is een vorm van verwerking. Het bedrijf Hotmail mag haar klanten echter wel massaal e-mail sturen, want de klanten hebben hiervoor in de algemene voorwaarden toestemming verleend. Het is altijd de taak van de organisatie die de gegevens verwerkt om de betreffende persoon hierover te informeren. Ook mogen persoonsgegevens alleen worden verwerkt in overeenstemming met de doeleinden waarvoor ze zijn verkregen. Het abonneebestand voor een Internet-nieuwsbrief mag dus worden gebruikt om die nieuwsbrief rond te sturen, maar het mag niet worden verkocht aan een ander bedrijf voor bijvoorbeeld een reclame mailing. Informatieplicht Alle organisaties die persoonsgegevens gebruiken, hebben een informatieplicht. Dit betekent dat zij de personen op wie de gegevens betrekking hebben, moeten laten weten wat zij met hun gegevens gaan doen. Dit hoeft niet wanneer het vanzelfsprekend is (bijvoorbeeld bij het invullen van een registratie-formulier bij een online forum) of wanneer het zeer tijdrovend is om het adres van de betrokkene te achterhalen. Correctierecht Daarnaast hebben personen die in een bestand zijn opgenomen het recht om hun geregistreerde gegevens in te zien. Ook kunnen zij eisen dat hun gegevens verbeterd, aangevuld, verwijderd of afgeschermd worden. Dat mag wanneer de gegevens die gebruikt worden door de verantwoordelijke feitelijk onjuist, onvolledig of niet ter zake dienend zijn voor het doel of de doeleinden van de verwerking. Een wanbetaler kan echter niet verwijdering van zijn persoonsgegevens eisen bij de debiteurenadministratie van een bedrijf. Vrijstellingen De WBP eist dat registraties worden aangemeld. Voor een aantal soorten registraties geeft de wet een vrijstelling. Voorbeelden hiervan zijn personeelsadministraties, boekhoudingen, administraties van afnemers en leveranciers, ledenadministraties, abonnementadministraties en administraties van (oud-)leerlingen. Wel worden er in dergelijke gevallen beperkingen gesteld aan de informatie die dan mag worden geregistreerd. Het CBP heeft een Handreiking Vrijstellingsbesluit gepubliceerd met daarin uitleg over de belangrijkste vrijstellingen. Om er een paar te noemen: Abonnementen: uitgevers van publicaties (ook elektronische) hoeven de administratie van persoonsgegevens van hun abonnees niet aan te melden. Ze mogen niet meer bijhouden dan voor het leveren van de publicaties of het innen van het abonnementsgeld nodig is. Wetenschappelijk onderzoek en statistiek: wie onderzoek doet en daarbij persoonsgegevens gebruikt, hoeft zijn databank niet aan te melden. Alleen de hoogst noodzakelijke naam- en adresgegevens mogen worden bijgehouden. Gegevens mogen niet aan derden worden gegeven, behalve met toestemming of als doorgifte noodzakelijk is voor het onderzoek. Doorgifte voor ander onderzoek mag alleen als het gegarandeerd is dat de gegevens nergens anders voor gebruikt kunnen worden. Communicatiebestanden: verwerking van voor communicatie benodigde persoonsgegevens hoeft niet te worden aangemeld. De beheerder van een mailinglijst of forum hoeft zijn abonneebestand of lijst met leden dus niet aan te melden. Hij mag echter geen 'bijzondere persoonsgegevens' (b.v. godsdienst, gezondheid of politieke voorkeuren) opslaan. De databank mag ook niet voor andere doeleinden worden gebruikt zonder toestemming van de betrokkenen. De beheerder van een forum mag gegevens van zijn leden dus niet aan adverteerders geven. Netwerksystemen: wie een privé-netwerk beheert, mag gegevens bijhouden over gebruikers om het netwerk goed te laten werken, voor de veiligheid en interne controle en onderhoud en beheer. Hieronder vallen zaken zoals 'loggen' wat gebruikers doen, welke ingaande en uitgaande communicatie ze verrichten (maar niet de inhoud daarvan) of het vastleggen waar ze wel en niet bij mogen. Gebruikers moeten hierover wel worden geďnformeerd. Dit geldt niet voor Internet-aanbieders en andere beheerders van openbare telecommunicatienetwerken! Deze moeten hun databank gewoon aanmelden. Het College Bescherming Persoonsgegevens Toezicht op de naleving van de WBP is in handen van het College Bescherming Persoonsgegevens (CBP), voorheen Registratiekamer. Het CBP adviseert de regering over de bescherming van persoonsgegevens, voert onderzoeken uit, toetst gedragscodes en privacyreglementen en behandelt vragen en klachten. Het CBP is bevoegd om boetes uit te delen aan organisaties die de WBP overtreden. De registraties van bestanden met persoonsgegevens moeten worden aangemeld bij het CBP. Spam Zie ook Spam nu eindelijk verboden Het rondsturen van ongevraagde commerci�le e-mail, in het jargon 'spam' geheten, mag in principe alleen als de geadresseerden hun toestemming hebben verleend voor opname in het bestand van de zender. Wie de letterlijke tekst van de WBP er bij pakt, zou kunnen concluderen dat deze toestemming vooraf moet worden verleend, en dat vrijwel alle 'spam' in Nederland onrechtmatig is. rechtszaak tussen tussen XS4All en direct marketingbureau Ab.Fab besliste de Hoge Raad dat Ab.Fab geen spam mocht sturen naar XS4All-klanten. XS4ALL heeft als Internet-provider exclusieve rechten op haar computercapaciteit, haar transmissiecapaciteit en haar klantenbestand, en mag anderen de toegang daartoe weigeren. De nieuwe Europese richtlijn 2002/58/EG, die uiterlijk 31 oktober 2003 een Nederlandse wet moet worden, brengt hopelijk meer duidelijkheid. Artikel 13 van deze richtlijn zegt dat e-mail met het oog op direct marketing alleen is toegestaan met betrekking tot abonnees die daarin vooraf hebben toegestemd. E-mail adressen verzamelen Een veelvoorkomende praktijk op Internet is het verzamelen van e-mailadressen van bijvoorbeeld websites om een bestand op te bouwen, met name voor direct marketing doeleinden. Ook dit lijkt in strijd zijn met de WBP. Het leeghalen van andermans e-mailgids werd in december 2002 verboden omdat de betreffende e-mail gids in haar algemene voorwaarden dit verbood. Stamboom-onderzoek Steeds meer mensen, waaronder ook de auteur van dit artikel, publiceren hun stamboom op Internet. De WBP maakt een uitzondering voor verwerking van persoonsgegevens voor uitsluitend persoonlijke doeleinden. Het verzamelen van materiaal ten behoeve van een stamboom, en het maken van de stamboom zelf mag dus zonder toestemming van de personen die erin staan gebeuren. Echter, op het moment dat de stamboom wordt gepubliceerd, bijvoorbeeld op Internet, is er niet langer sprake van "persoonlijke doeleinden". De bovengenoemde regels gelden dan. Echter, de WBP gaat formeel gesproken over gegevens die herleidbaar zijn tot natuurlijke personen. Volgens de wet is een overledene geen natuurlijk persoon (meer). Derhalve is de WBP niet van toepassing op overleden personen. Houd er echter wel rekening mee dat bijvoorbeeld de partner of kinderen van de overledene gemakkelijk te achterhalen zijn wanneer er voldoende informatie over de overledene zelf wordt gepubliceerd. Daarmee vormt die informatie een persoonsgegeven van die partner of kinderen. De WBP kan dus soms toch van toepassing zijn. Gerelateerde artikelen Anonimiteit en privacy op het internet Cameratoezicht, filmen en fotograferen van mensen Filesharing (P2P) en privacy Persoonsgegevens op Internet Categorieën Privacy Zie ook Anonimiteit en privacy op het Internet Elektronisch briefgeheim: de stand van zaken Wat weten ze allemaal over mij? De Wet Bescherming Persoonsgegevens is de belangrijkste wet over persoonsgegevens, informatie zoals naam en adres. Verwerking van persoonsgegevens mag alleen als de betrokkene geďnformeerd is over wat er met de gegevens gebeurt. Er zijn uitzonderingen voor bijvoorbeeld mailinglijsten, forums of privé-netwerken. Door ICT-jurist Arnoud Engelfriet (blog, contact). Er bestaat in Nederland geen algemene "wet op de privacy". Er zijn diverse wetten die elk een bepaald aspect van de privacy in Nederland regelen. De belangrijkste en bekendste wet is de Wet Bescherming Persoonsgegevens. De Wet Bescherming Persoonsgegevens regelt onder welke voorwaarden persoonsgegevens verwerkt mogen worden. Persoonsgegevens zijn alle gegevens die herleidbaar zijn tot een bepaald individu. Omdat bijvoorbeeld een e-mailadres ook een persoonsgegeven is, heeft deze wet ook de nodige implicaties voor Internet-aanbieders en -gebruikers. Zo is het publiceren van e-mailadressen op een website niet zomaar toegestaan. Maar ook bijvoorbeeld de familiestamboom mag niet zomaar op Internet. Inhoudsopgave De Wet Bescherming Persoonsgegevens De regels bij verwerking van persoonsgegevens Het College Bescherming Persoonsgegevens Spam E-mail adressen verzamelen Stamboom-onderzoek De Wet Bescherming Persoonsgegevens In 2000 werd de Wet Bescherming Persoonsgegevens (WBP) aangenomen als gevolg van Europese privacy- richtlijn nr. 95/46/EG. Deze wet is de opvolger van de oudere Wet Persoonsregistratie (WPR). De WBP bevat regels voor de "geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen." Persoonsgegevens Persoonsgegevens zijn alle gegevens waarmee een bepaald individu ge�dentificeerd kan worden. Het bekendste voorbeeld zijn naam- en adresgegevens. Ook e-mailadressen en bijvoorbeeld MSN-accounts worden gezien als persoonsgegevens. Maar ook gegevens die een waardering over een bepaalde persoon inhouden, bijvoorbeeld iemands IQ, kunnen persoonsgegevens zijn wanneer te achterhalen is welke persoon dit IQ heeft. Op Internet is bijvoorbeeld het IP-adres een persoonsgegeven. Een IP-adres is, samen met een datum en tijd van gebruik van dat adres, te herleiden tot een persoon. Je hebt daar de hulp van een provider bij nodig, maar het kan. Zie ook Foto's en het portretrecht Ook iemands foto is een persoonsgegeven. De geportretteerde is er tenslotte aan te herkennen. Bovendien is aan een foto te zien welk ras iemand is, en of deze persoon man of vrouw is. Volgens de letter van de wet is een foto dan ook een bijzonder persoonsgegeven, waardoor er voor verwerking van foto's extra strenge regels gelden. Verwerking van persoonsgegevens Verwerking wil zeggen "elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens." De wet geeft als voorbeelden het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens. De regels bij verwerking van persoonsgegevens De betrokkene moet voor elke verwerking van persoonsgegevens zijn toestemming hebben gegeven. Ook heeft hij het recht de informatie die over hem is opgeslagen, te corrigeren of te laten verwijderen. Organisaties die persoonsgegevens verwerken, moeten uitleggen hoe zij dat doen. Voorafgaande toestemming Persoonsgegevens mogen alleen worden verwerkt in overeenstemming met de regels van de WBP. De belangrijkste regel is dat de betreffende persoon zijn toestemming moet hebben gegeven voor de verwerking. Worden gegevens gevraagd aan die persoon zelf, dan moet deze vooraf ge�nformeerd worden over opname in het bestand. Een registratie-formulier op een website moet dus voorzien zijn van een dergelijke waarschuwing. Ook bij persoonsgegevens die uit andere bronnen worden verzameld, moet de betreffende persoon worden ge�nformeerd bij het moment van opname of uiterlijk net voor het moment van verstrekking aan derden. Dit hoeft niet als de betreffende persoon al wist dat zijn gegevens opgenomen zouden worden. Het is dus niet toegestaan om e-mailadressen van mensen die reageren op je website te verzamelen om ze massaal e-mail te sturen, want het maken van een dergelijke verzendlijst is een vorm van verwerking. Het bedrijf Hotmail mag haar klanten echter wel massaal e-mail sturen, want de klanten hebben hiervoor in de algemene voorwaarden toestemming verleend. Het is altijd de taak van de organisatie die de gegevens verwerkt om de betreffende persoon hierover te informeren. Ook mogen persoonsgegevens alleen worden verwerkt in overeenstemming met de doeleinden waarvoor ze zijn verkregen. Het abonneebestand voor een Internet-nieuwsbrief mag dus worden gebruikt om die nieuwsbrief rond te sturen, maar het mag niet worden verkocht aan een ander bedrijf voor bijvoorbeeld een reclame mailing. Informatieplicht Alle organisaties die persoonsgegevens gebruiken, hebben een informatieplicht. Dit betekent dat zij de personen op wie de gegevens betrekking hebben, moeten laten weten wat zij met hun gegevens gaan doen. Dit hoeft niet wanneer het vanzelfsprekend is (bijvoorbeeld bij het invullen van een registratie-formulier bij een online forum) of wanneer het zeer tijdrovend is om het adres van de betrokkene te achterhalen. Correctierecht Daarnaast hebben personen die in een bestand zijn opgenomen het recht om hun geregistreerde gegevens in te zien. Ook kunnen zij eisen dat hun gegevens verbeterd, aangevuld, verwijderd of afgeschermd worden. Dat mag wanneer de gegevens die gebruikt worden door de verantwoordelijke feitelijk onjuist, onvolledig of niet ter zake dienend zijn voor het doel of de doeleinden van de verwerking. Een wanbetaler kan echter niet verwijdering van zijn persoonsgegevens eisen bij de debiteurenadministratie van een bedrijf. Vrijstellingen De WBP eist dat registraties worden aangemeld. Voor een aantal soorten registraties geeft de wet een vrijstelling. Voorbeelden hiervan zijn personeelsadministraties, boekhoudingen, administraties van afnemers en leveranciers, ledenadministraties, abonnementadministraties en administraties van (oud-)leerlingen. Wel worden er in dergelijke gevallen beperkingen gesteld aan de informatie die dan mag worden geregistreerd. Het CBP heeft een Handreiking Vrijstellingsbesluit gepubliceerd met daarin uitleg over de belangrijkste vrijstellingen. Om er een paar te noemen: Abonnementen: uitgevers van publicaties (ook elektronische) hoeven de administratie van persoonsgegevens van hun abonnees niet aan te melden. Ze mogen niet meer bijhouden dan voor het leveren van de publicaties of het innen van het abonnementsgeld nodig is. Wetenschappelijk onderzoek en statistiek: wie onderzoek doet en daarbij persoonsgegevens gebruikt, hoeft zijn databank niet aan te melden. Alleen de hoogst noodzakelijke naam- en adresgegevens mogen worden bijgehouden. Gegevens mogen niet aan derden worden gegeven, behalve met toestemming of als doorgifte noodzakelijk is voor het onderzoek. Doorgifte voor ander onderzoek mag alleen als het gegarandeerd is dat de gegevens nergens anders voor gebruikt kunnen worden. Communicatiebestanden: verwerking van voor communicatie benodigde persoonsgegevens hoeft niet te worden aangemeld. De beheerder van een mailinglijst of forum hoeft zijn abonneebestand of lijst met leden dus niet aan te melden. Hij mag echter geen 'bijzondere persoonsgegevens' (b.v. godsdienst, gezondheid of politieke voorkeuren) opslaan. De databank mag ook niet voor andere doeleinden worden gebruikt zonder toestemming van de betrokkenen. De beheerder van een forum mag gegevens van zijn leden dus niet aan adverteerders geven. Netwerksystemen: wie een privé-netwerk beheert, mag gegevens bijhouden over gebruikers om het netwerk goed te laten werken, voor de veiligheid en interne controle en onderhoud en beheer. Hieronder vallen zaken zoals 'loggen' wat gebruikers doen, welke ingaande en uitgaande communicatie ze verrichten (maar niet de inhoud daarvan) of het vastleggen waar ze wel en niet bij mogen. Gebruikers moeten hierover wel worden geďnformeerd. Dit geldt niet voor Internet-aanbieders en andere beheerders van openbare telecommunicatienetwerken! Deze moeten hun databank gewoon aanmelden. Het College Bescherming Persoonsgegevens Toezicht op de naleving van de WBP is in handen van het College Bescherming Persoonsgegevens (CBP), voorheen Registratiekamer. Het CBP adviseert de regering over de bescherming van persoonsgegevens, voert onderzoeken uit, toetst gedragscodes en privacyreglementen en behandelt vragen en klachten. Het CBP is bevoegd om boetes uit te delen aan organisaties die de WBP overtreden. De registraties van bestanden met persoonsgegevens moeten worden aangemeld bij het CBP. Spam Zie ook Spam nu eindelijk verboden Het rondsturen van ongevraagde commerci�le e-mail, in het jargon 'spam' geheten, mag in principe alleen als de geadresseerden hun toestemming hebben verleend voor opname in het bestand van de zender. Wie de letterlijke tekst van de WBP er bij pakt, zou kunnen concluderen dat deze toestemming vooraf moet worden verleend, en dat vrijwel alle 'spam' in Nederland onrechtmatig is. rechtszaak tussen tussen XS4All en direct marketingbureau Ab.Fab besliste de Hoge Raad dat Ab.Fab geen spam mocht sturen naar XS4All-klanten. XS4ALL heeft als Internet-provider exclusieve rechten op haar computercapaciteit, haar transmissiecapaciteit en haar klantenbestand, en mag anderen de toegang daartoe weigeren. De nieuwe Europese richtlijn 2002/58/EG, die uiterlijk 31 oktober 2003 een Nederlandse wet moet worden, brengt hopelijk meer duidelijkheid. Artikel 13 van deze richtlijn zegt dat e-mail met het oog op direct marketing alleen is toegestaan met betrekking tot abonnees die daarin vooraf hebben toegestemd. E-mail adressen verzamelen Een veelvoorkomende praktijk op Internet is het verzamelen van e-mailadressen van bijvoorbeeld websites om een bestand op te bouwen, met name voor direct marketing doeleinden. Ook dit lijkt in strijd zijn met de WBP. Het leeghalen van andermans e-mailgids werd in december 2002 verboden omdat de betreffende e-mail gids in haar algemene voorwaarden dit verbood. Stamboom-onderzoek Steeds meer mensen, waaronder ook de auteur van dit artikel, publiceren hun stamboom op Internet. De WBP maakt een uitzondering voor verwerking van persoonsgegevens voor uitsluitend persoonlijke doeleinden. Het verzamelen van materiaal ten behoeve van een stamboom, en het maken van de stamboom zelf mag dus zonder toestemming van de personen die erin staan gebeuren. Echter, op het moment dat de stamboom wordt gepubliceerd, bijvoorbeeld op Internet, is er niet langer sprake van "persoonlijke doeleinden". De bovengenoemde regels gelden dan. Echter, de WBP gaat formeel gesproken over gegevens die herleidbaar zijn tot natuurlijke personen. Volgens de wet is een overledene geen natuurlijk persoon (meer). Derhalve is de WBP niet van toepassing op overleden personen. Houd er echter wel rekening mee dat bijvoorbeeld de partner of kinderen van de overledene gemakkelijk te achterhalen zijn wanneer er voldoende informatie over de overledene zelf wordt gepubliceerd. Daarmee vormt die informatie een persoonsgegeven van die partner of kinderen. De WBP kan dus soms toch van toepassing zijn. Gerelateerde artikelen Anonimiteit en privacy op het internet Cameratoezicht, filmen en fotograferen van mensen Filesharing (P2P) en privacy Persoonsgegevens op Internet Categorieën Privacy Zie ook Anonimiteit en privacy op het Internet Elektronisch briefgeheim: de stand van zaken Wat weten ze allemaal over mij? De Wet Bescherming Persoonsgegevens is de belangrijkste wet over persoonsgegevens, informatie zoals naam en adres. Verwerking van persoonsgegevens mag alleen als de betrokkene geďnformeerd is over wat er met de gegevens gebeurt. Er zijn uitzonderingen voor bijvoorbeeld mailinglijsten, forums of privé-netwerken. Door ICT-jurist Arnoud Engelfriet (blog, contact). Er bestaat in Nederland geen algemene "wet op de privacy". Er zijn diverse wetten die elk een bepaald aspect van de privacy in Nederland regelen. De belangrijkste en bekendste wet is de Wet Bescherming Persoonsgegevens. De Wet Bescherming Persoonsgegevens regelt onder welke voorwaarden persoonsgegevens verwerkt mogen worden. Persoonsgegevens zijn alle gegevens die herleidbaar zijn tot een bepaald individu. Omdat bijvoorbeeld een e-mailadres ook een persoonsgegeven is, heeft deze wet ook de nodige implicaties voor Internet-aanbieders en -gebruikers. Zo is het publiceren van e-mailadressen op een website niet zomaar toegestaan. Maar ook bijvoorbeeld de familiestamboom mag niet zomaar op Internet. Inhoudsopgave De Wet Bescherming Persoonsgegevens De regels bij verwerking van persoonsgegevens Het College Bescherming Persoonsgegevens Spam E-mail adressen verzamelen Stamboom-onderzoek De Wet Bescherming Persoonsgegevens In 2000 werd de Wet Bescherming Persoonsgegevens (WBP) aangenomen als gevolg van Europese privacy- richtlijn nr. 95/46/EG. Deze wet is de opvolger van de oudere Wet Persoonsregistratie (WPR). De WBP bevat regels voor de "geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen." Persoonsgegevens Persoonsgegevens zijn alle gegevens waarmee een bepaald individu ge�dentificeerd kan worden. Het bekendste voorbeeld zijn naam- en adresgegevens. Ook e-mailadressen en bijvoorbeeld MSN-accounts worden gezien als persoonsgegevens. Maar ook gegevens die een waardering over een bepaalde persoon inhouden, bijvoorbeeld iemands IQ, kunnen persoonsgegevens zijn wanneer te achterhalen is welke persoon dit IQ heeft. Op Internet is bijvoorbeeld het IP-adres een persoonsgegeven. Een IP-adres is, samen met een datum en tijd van gebruik van dat adres, te herleiden tot een persoon. Je hebt daar de hulp van een provider bij nodig, maar het kan. Zie ook Foto's en het portretrecht Ook iemands foto is een persoonsgegeven. De geportretteerde is er tenslotte aan te herkennen. Bovendien is aan een foto te zien welk ras iemand is, en of deze persoon man of vrouw is. Volgens de letter van de wet is een foto dan ook een bijzonder persoonsgegeven, waardoor er voor verwerking van foto's extra strenge regels gelden. Verwerking van persoonsgegevens Verwerking wil zeggen "elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens." De wet geeft als voorbeelden het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens. De regels bij verwerking van persoonsgegevens De betrokkene moet voor elke verwerking van persoonsgegevens zijn toestemming hebben gegeven. Ook heeft hij het recht de informatie die over hem is opgeslagen, te corrigeren of te laten verwijderen. Organisaties die persoonsgegevens verwerken, moeten uitleggen hoe zij dat doen. Voorafgaande toestemming Persoonsgegevens mogen alleen worden verwerkt in overeenstemming met de regels van de WBP. De belangrijkste regel is dat de betreffende persoon zijn toestemming moet hebben gegeven voor de verwerking. Worden gegevens gevraagd aan die persoon zelf, dan moet deze vooraf ge�nformeerd worden over opname in het bestand. Een registratie-formulier op een website moet dus voorzien zijn van een dergelijke waarschuwing. Ook bij persoonsgegevens die uit andere bronnen worden verzameld, moet de betreffende persoon worden ge�nformeerd bij het moment van opname of uiterlijk net voor het moment van verstrekking aan derden. Dit hoeft niet als de betreffende persoon al wist dat zijn gegevens opgenomen zouden worden. Het is dus niet toegestaan om e-mailadressen van mensen die reageren op je website te verzamelen om ze massaal e-mail te sturen, want het maken van een dergelijke verzendlijst is een vorm van verwerking. Het bedrijf Hotmail mag haar klanten echter wel massaal e-mail sturen, want de klanten hebben hiervoor in de algemene voorwaarden toestemming verleend. Het is altijd de taak van de organisatie die de gegevens verwerkt om de betreffende persoon hierover te informeren. Ook mogen persoonsgegevens alleen worden verwerkt in overeenstemming met de doeleinden waarvoor ze zijn verkregen. Het abonneebestand voor een Internet-nieuwsbrief mag dus worden gebruikt om die nieuwsbrief rond te sturen, maar het mag niet worden verkocht aan een ander bedrijf voor bijvoorbeeld een reclame mailing. Informatieplicht Alle organisaties die persoonsgegevens gebruiken, hebben een informatieplicht. Dit betekent dat zij de personen op wie de gegevens betrekking hebben, moeten laten weten wat zij met hun gegevens gaan doen. Dit hoeft niet wanneer het vanzelfsprekend is (bijvoorbeeld bij het invullen van een registratie-formulier bij een online forum) of wanneer het zeer tijdrovend is om het adres van de betrokkene te achterhalen. Correctierecht Daarnaast hebben personen die in een bestand zijn opgenomen het recht om hun geregistreerde gegevens in te zien. Ook kunnen zij eisen dat hun gegevens verbeterd, aangevuld, verwijderd of afgeschermd worden. Dat mag wanneer de gegevens die gebruikt worden door de verantwoordelijke feitelijk onjuist, onvolledig of niet ter zake dienend zijn voor het doel of de doeleinden van de verwerking. Een wanbetaler kan echter niet verwijdering van zijn persoonsgegevens eisen bij de debiteurenadministratie van een bedrijf. Vrijstellingen De WBP eist dat registraties worden aangemeld. Voor een aantal soorten registraties geeft de wet een vrijstelling. Voorbeelden hiervan zijn personeelsadministraties, boekhoudingen, administraties van afnemers en leveranciers, ledenadministraties, abonnementadministraties en administraties van (oud-)leerlingen. Wel worden er in dergelijke gevallen beperkingen gesteld aan de informatie die dan mag worden geregistreerd. Het CBP heeft een Handreiking Vrijstellingsbesluit gepubliceerd met daarin uitleg over de belangrijkste vrijstellingen. Om er een paar te noemen: Abonnementen: uitgevers van publicaties (ook elektronische) hoeven de administratie van persoonsgegevens van hun abonnees niet aan te melden. Ze mogen niet meer bijhouden dan voor het leveren van de publicaties of het innen van het abonnementsgeld nodig is. Wetenschappelijk onderzoek en statistiek: wie onderzoek doet en daarbij persoonsgegevens gebruikt, hoeft zijn databank niet aan te melden. Alleen de hoogst noodzakelijke naam- en adresgegevens mogen worden bijgehouden. Gegevens mogen niet aan derden worden gegeven, behalve met toestemming of als doorgifte noodzakelijk is voor het onderzoek. Doorgifte voor ander onderzoek mag alleen als het gegarandeerd is dat de gegevens nergens anders voor gebruikt kunnen worden. Communicatiebestanden: verwerking van voor communicatie benodigde persoonsgegevens hoeft niet te worden aangemeld. De beheerder van een mailinglijst of forum hoeft zijn abonneebestand of lijst met leden dus niet aan te melden. Hij mag echter geen 'bijzondere persoonsgegevens' (b.v. godsdienst, gezondheid of politieke voorkeuren) opslaan. De databank mag ook niet voor andere doeleinden worden gebruikt zonder toestemming van de betrokkenen. De beheerder van een forum mag gegevens van zijn leden dus niet aan adverteerders geven. Netwerksystemen: wie een privé-netwerk beheert, mag gegevens bijhouden over gebruikers om het netwerk goed te laten werken, voor de veiligheid en interne controle en onderhoud en beheer. Hieronder vallen zaken zoals 'loggen' wat gebruikers doen, welke ingaande en uitgaande communicatie ze verrichten (maar niet de inhoud daarvan) of het vastleggen waar ze wel en niet bij mogen. Gebruikers moeten hierover wel worden geďnformeerd. Dit geldt niet voor Internet-aanbieders en andere beheerders van openbare telecommunicatienetwerken! Deze moeten hun databank gewoon aanmelden. Het College Bescherming Persoonsgegevens Toezicht op de naleving van de WBP is in handen van het College Bescherming Persoonsgegevens (CBP), voorheen Registratiekamer. Het CBP adviseert de regering over de bescherming van persoonsgegevens, voert onderzoeken uit, toetst gedragscodes en privacyreglementen en behandelt vragen en klachten. Het CBP is bevoegd om boetes uit te delen aan organisaties die de WBP overtreden. De registraties van bestanden met persoonsgegevens moeten worden aangemeld bij het CBP. Spam Zie ook Spam nu eindelijk verboden Het rondsturen van ongevraagde commerci�le e-mail, in het jargon 'spam' geheten, mag in principe alleen als de geadresseerden hun toestemming hebben verleend voor opname in het bestand van de zender. Wie de letterlijke tekst van de WBP er bij pakt, zou kunnen concluderen dat deze toestemming vooraf moet worden verleend, en dat vrijwel alle 'spam' in Nederland onrechtmatig is. rechtszaak tussen tussen XS4All en direct marketingbureau Ab.Fab besliste de Hoge Raad dat Ab.Fab geen spam mocht sturen naar XS4All-klanten. XS4ALL heeft als Internet-provider exclusieve rechten op haar computercapaciteit, haar transmissiecapaciteit en haar klantenbestand, en mag anderen de toegang daartoe weigeren. De nieuwe Europese richtlijn 2002/58/EG, die uiterlijk 31 oktober 2003 een Nederlandse wet moet worden, brengt hopelijk meer duidelijkheid. Artikel 13 van deze richtlijn zegt dat e-mail met het oog op direct marketing alleen is toegestaan met betrekking tot abonnees die daarin vooraf hebben toegestemd. E-mail adressen verzamelen Een veelvoorkomende praktijk op Internet is het verzamelen van e-mailadressen van bijvoorbeeld websites om een bestand op te bouwen, met name voor direct marketing doeleinden. Ook dit lijkt in strijd zijn met de WBP. Het leeghalen van andermans e-mailgids werd in december 2002 verboden omdat de betreffende e-mail gids in haar algemene voorwaarden dit verbood. Stamboom-onderzoek Steeds meer mensen, waaronder ook de auteur van dit artikel, publiceren hun stamboom op Internet. De WBP maakt een uitzondering voor verwerking van persoonsgegevens voor uitsluitend persoonlijke doeleinden. Het verzamelen van materiaal ten behoeve van een stamboom, en het maken van de stamboom zelf mag dus zonder toestemming van de personen die erin staan gebeuren. Echter, op het moment dat de stamboom wordt gepubliceerd, bijvoorbeeld op Internet, is er niet langer sprake van "persoonlijke doeleinden". De bovengenoemde regels gelden dan. Echter, de WBP gaat formeel gesproken over gegevens die herleidbaar zijn tot natuurlijke personen. Volgens de wet is een overledene geen natuurlijk persoon (meer). Derhalve is de WBP niet van toepassing op overleden personen. Houd er echter wel rekening mee dat bijvoorbeeld de partner of kinderen van de overledene gemakkelijk te achterhalen zijn wanneer er voldoende informatie over de overledene zelf wordt gepubliceerd. Daarmee vormt die informatie een persoonsgegeven van die partner of kinderen. De WBP kan dus soms toch van toepassing zijn. Gerelateerde artikelen Anonimiteit en privacy op het internet Cameratoezicht, filmen en fotograferen van mensen Filesharing (P2P) en privacy Persoonsgegevens op Internet Categorieën Privacy Zie ook Anonimiteit en privacy op het Internet Elektronisch briefgeheim: de stand van zaken Wat weten ze allemaal over mij? De Wet Bescherming Persoonsgegevens is de belangrijkste wet over persoonsgegevens, informatie zoals naam en adres. Verwerking van persoonsgegevens mag alleen als de betrokkene geďnformeerd is over wat er met de gegevens gebeurt. Er zijn uitzonderingen voor bijvoorbeeld mailinglijsten, forums of privé-netwerken. Door ICT-jurist Arnoud Engelfriet (blog, contact). Er bestaat in Nederland geen algemene "wet op de privacy". Er zijn diverse wetten die elk een bepaald aspect van de privacy in Nederland regelen. De belangrijkste en bekendste wet is de Wet Bescherming Persoonsgegevens. De Wet Bescherming Persoonsgegevens regelt onder welke voorwaarden persoonsgegevens verwerkt mogen worden. Persoonsgegevens zijn alle gegevens die herleidbaar zijn tot een bepaald individu. Omdat bijvoorbeeld een e-mailadres ook een persoonsgegeven is, heeft deze wet ook de nodige implicaties voor Internet-aanbieders en -gebruikers. Zo is het publiceren van e-mailadressen op een website niet zomaar toegestaan. Maar ook bijvoorbeeld de familiestamboom mag niet zomaar op Internet. Inhoudsopgave De Wet Bescherming Persoonsgegevens De regels bij verwerking van persoonsgegevens Het College Bescherming Persoonsgegevens Spam E-mail adressen verzamelen Stamboom-onderzoek De Wet Bescherming Persoonsgegevens In 2000 werd de Wet Bescherming Persoonsgegevens (WBP) aangenomen als gevolg van Europese privacy- richtlijn nr. 95/46/EG. Deze wet is de opvolger van de oudere Wet Persoonsregistratie (WPR). De WBP bevat regels voor de "geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen." Persoonsgegevens Persoonsgegevens zijn alle gegevens waarmee een bepaald individu ge�dentificeerd kan worden. Het bekendste voorbeeld zijn naam- en adresgegevens. Ook e-mailadressen en bijvoorbeeld MSN-accounts worden gezien als persoonsgegevens. Maar ook gegevens die een waardering over een bepaalde persoon inhouden, bijvoorbeeld iemands IQ, kunnen persoonsgegevens zijn wanneer te achterhalen is welke persoon dit IQ heeft. Op Internet is bijvoorbeeld het IP-adres een persoonsgegeven. Een IP-adres is, samen met een datum en tijd van gebruik van dat adres, te herleiden tot een persoon. Je hebt daar de hulp van een provider bij nodig, maar het kan. Zie ook Foto's en het portretrecht Ook iemands foto is een persoonsgegeven. De geportretteerde is er tenslotte aan te herkennen. Bovendien is aan een foto te zien welk ras iemand is, en of deze persoon man of vrouw is. Volgens de letter van de wet is een foto dan ook een bijzonder persoonsgegeven, waardoor er voor verwerking van foto's extra strenge regels gelden. Verwerking van persoonsgegevens Verwerking wil zeggen "elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens." De wet geeft als voorbeelden het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens. De regels bij verwerking van persoonsgegevens De betrokkene moet voor elke verwerking van persoonsgegevens zijn toestemming hebben gegeven. Ook heeft hij het recht de informatie die over hem is opgeslagen, te corrigeren of te laten verwijderen. Organisaties die persoonsgegevens verwerken, moeten uitleggen hoe zij dat doen. Voorafgaande toestemming Persoonsgegevens mogen alleen worden verwerkt in overeenstemming met de regels van de WBP. De belangrijkste regel is dat de betreffende persoon zijn toestemming moet hebben gegeven voor de verwerking. Worden gegevens gevraagd aan die persoon zelf, dan moet deze vooraf ge�nformeerd worden over opname in het bestand. Een registratie-formulier op een website moet dus voorzien zijn van een dergelijke waarschuwing. Ook bij persoonsgegevens die uit andere bronnen worden verzameld, moet de betreffende persoon worden ge�nformeerd bij het moment van opname of uiterlijk net voor het moment van verstrekking aan derden. Dit hoeft niet als de betreffende persoon al wist dat zijn gegevens opgenomen zouden worden. Het is dus niet toegestaan om e-mailadressen van mensen die reageren op je website te verzamelen om ze massaal e-mail te sturen, want het maken van een dergelijke verzendlijst is een vorm van verwerking. Het bedrijf Hotmail mag haar klanten echter wel massaal e-mail sturen, want de klanten hebben hiervoor in de algemene voorwaarden toestemming verleend. Het is altijd de taak van de organisatie die de gegevens verwerkt om de betreffende persoon hierover te informeren. Ook mogen persoonsgegevens alleen worden verwerkt in overeenstemming met de doeleinden waarvoor ze zijn verkregen. Het abonneebestand voor een Internet-nieuwsbrief mag dus worden gebruikt om die nieuwsbrief rond te sturen, maar het mag niet worden verkocht aan een ander bedrijf voor bijvoorbeeld een reclame mailing. Informatieplicht Alle organisaties die persoonsgegevens gebruiken, hebben een informatieplicht. Dit betekent dat zij de personen op wie de gegevens betrekking hebben, moeten laten weten wat zij met hun gegevens gaan doen. Dit hoeft niet wanneer het vanzelfsprekend is (bijvoorbeeld bij het invullen van een registratie-formulier bij een online forum) of wanneer het zeer tijdrovend is om het adres van de betrokkene te achterhalen. Correctierecht Daarnaast hebben personen die in een bestand zijn opgenomen het recht om hun geregistreerde gegevens in te zien. Ook kunnen zij eisen dat hun gegevens verbeterd, aangevuld, verwijderd of afgeschermd worden. Dat mag wanneer de gegevens die gebruikt worden door de verantwoordelijke feitelijk onjuist, onvolledig of niet ter zake dienend zijn voor het doel of de doeleinden van de verwerking. Een wanbetaler kan echter niet verwijdering van zijn persoonsgegevens eisen bij de debiteurenadministratie van een bedrijf. Vrijstellingen De WBP eist dat registraties worden aangemeld. Voor een aantal soorten registraties geeft de wet een vrijstelling. Voorbeelden hiervan zijn personeelsadministraties, boekhoudingen, administraties van afnemers en leveranciers, ledenadministraties, abonnementadministraties en administraties van (oud-)leerlingen. Wel worden er in dergelijke gevallen beperkingen gesteld aan de informatie die dan mag worden geregistreerd. Het CBP heeft een Handreiking Vrijstellingsbesluit gepubliceerd met daarin uitleg over de belangrijkste vrijstellingen. Om er een paar te noemen: Abonnementen: uitgevers van publicaties (ook elektronische) hoeven de administratie van persoonsgegevens van hun abonnees niet aan te melden. Ze mogen niet meer bijhouden dan voor het leveren van de publicaties of het innen van het abonnementsgeld nodig is. Wetenschappelijk onderzoek en statistiek: wie onderzoek doet en daarbij persoonsgegevens gebruikt, hoeft zijn databank niet aan te melden. Alleen de hoogst noodzakelijke naam- en adresgegevens mogen worden bijgehouden. Gegevens mogen niet aan derden worden gegeven, behalve met toestemming of als doorgifte noodzakelijk is voor het onderzoek. Doorgifte voor ander onderzoek mag alleen als het gegarandeerd is dat de gegevens nergens anders voor gebruikt kunnen worden. Communicatiebestanden: verwerking van voor communicatie benodigde persoonsgegevens hoeft niet te worden aangemeld. De beheerder van een mailinglijst of forum hoeft zijn abonneebestand of lijst met leden dus niet aan te melden. Hij mag echter geen 'bijzondere persoonsgegevens' (b.v. godsdienst, gezondheid of politieke voorkeuren) opslaan. De databank mag ook niet voor andere doeleinden worden gebruikt zonder toestemming van de betrokkenen. De beheerder van een forum mag gegevens van zijn leden dus niet aan adverteerders geven. Netwerksystemen: wie een privé-netwerk beheert, mag gegevens bijhouden over gebruikers om het netwerk goed te laten werken, voor de veiligheid en interne controle en onderhoud en beheer. Hieronder vallen zaken zoals 'loggen' wat gebruikers doen, welke ingaande en uitgaande communicatie ze verrichten (maar niet de inhoud daarvan) of het vastleggen waar ze wel en niet bij mogen. Gebruikers moeten hierover wel worden geďnformeerd. Dit geldt niet voor Internet-aanbieders en andere beheerders van openbare telecommunicatienetwerken! Deze moeten hun databank gewoon aanmelden. Het College Bescherming Persoonsgegevens Toezicht op de naleving van de WBP is in handen van het College Bescherming Persoonsgegevens (CBP), voorheen Registratiekamer. Het CBP adviseert de regering over de bescherming van persoonsgegevens, voert onderzoeken uit, toetst gedragscodes en privacyreglementen en behandelt vragen en klachten. Het CBP is bevoegd om boetes uit te delen aan organisaties die de WBP overtreden. De registraties van bestanden met persoonsgegevens moeten worden aangemeld bij het CBP. Spam Zie ook Spam nu eindelijk verboden Het rondsturen van ongevraagde commerci�le e-mail, in het jargon 'spam' geheten, mag in principe alleen als de geadresseerden hun toestemming hebben verleend voor opname in het bestand van de zender. Wie de letterlijke tekst van de WBP er bij pakt, zou kunnen concluderen dat deze toestemming vooraf moet worden verleend, en dat vrijwel alle 'spam' in Nederland onrechtmatig is. rechtszaak tussen tussen XS4All en direct marketingbureau Ab.Fab besliste de Hoge Raad dat Ab.Fab geen spam mocht sturen naar XS4All-klanten. XS4ALL heeft als Internet-provider exclusieve rechten op haar computercapaciteit, haar transmissiecapaciteit en haar klantenbestand, en mag anderen de toegang daartoe weigeren. De nieuwe Europese richtlijn 2002/58/EG, die uiterlijk 31 oktober 2003 een Nederlandse wet moet worden, brengt hopelijk meer duidelijkheid. Artikel 13 van deze richtlijn zegt dat e-mail met het oog op direct marketing alleen is toegestaan met betrekking tot abonnees die daarin vooraf hebben toegestemd. E-mail adressen verzamelen Een veelvoorkomende praktijk op Internet is het verzamelen van e-mailadressen van bijvoorbeeld websites om een bestand op te bouwen, met name voor direct marketing doeleinden. Ook dit lijkt in strijd zijn met de WBP. Het leeghalen van andermans e-mailgids werd in december 2002 verboden omdat de betreffende e-mail gids in haar algemene voorwaarden dit verbood. Stamboom-onderzoek Steeds meer mensen, waaronder ook de auteur van dit artikel, publiceren hun stamboom op Internet. De WBP maakt een uitzondering voor verwerking van persoonsgegevens voor uitsluitend persoonlijke doeleinden. Het verzamelen van materiaal ten behoeve van een stamboom, en het maken van de stamboom zelf mag dus zonder toestemming van de personen die erin staan gebeuren. Echter, op het moment dat de stamboom wordt gepubliceerd, bijvoorbeeld op Internet, is er niet langer sprake van "persoonlijke doeleinden". De bovengenoemde regels gelden dan. Echter, de WBP gaat formeel gesproken over gegevens die herleidbaar zijn tot natuurlijke personen. Volgens de wet is een overledene geen natuurlijk persoon (meer). Derhalve is de WBP niet van toepassing op overleden personen. Houd er echter wel rekening mee dat bijvoorbeeld de partner of kinderen van de overledene gemakkelijk te achterhalen zijn wanneer er voldoende informatie over de overledene zelf wordt gepubliceerd. Daarmee vormt die informatie een persoonsgegeven van die partner of kinderen. De WBP kan dus soms toch van toepassing zijn. Gerelateerde artikelen Anonimiteit en privacy op het internet Cameratoezicht, filmen en fotograferen van mensen Filesharing (P2P) en privacy Persoonsgegevens op Internet Categorieën Privacy Zie ook Anonimiteit en privacy op het Internet Elektronisch briefgeheim: de stand van zaken Wat weten ze allemaal over mij? De Wet Bescherming Persoonsgegevens is de belangrijkste wet over persoonsgegevens, informatie zoals naam en adres. Verwerking van persoonsgegevens mag alleen als de betrokkene geďnformeerd is over wat er met de gegevens gebeurt. Er zijn uitzonderingen voor bijvoorbeeld mailinglijsten, forums of privé-netwerken. Door ICT-jurist Arnoud Engelfriet (blog, contact). Er bestaat in Nederland geen algemene "wet op de privacy". Er zijn diverse wetten die elk een bepaald aspect van de privacy in Nederland regelen. De belangrijkste en bekendste wet is de Wet Bescherming Persoonsgegevens. De Wet Bescherming Persoonsgegevens regelt onder welke voorwaarden persoonsgegevens verwerkt mogen worden. Persoonsgegevens zijn alle gegevens die herleidbaar zijn tot een bepaald individu. Omdat bijvoorbeeld een e-mailadres ook een persoonsgegeven is, heeft deze wet ook de nodige implicaties voor Internet-aanbieders en -gebruikers. Zo is het publiceren van e-mailadressen op een website niet zomaar toegestaan. Maar ook bijvoorbeeld de familiestamboom mag niet zomaar op Internet. Inhoudsopgave De Wet Bescherming Persoonsgegevens De regels bij verwerking van persoonsgegevens Het College Bescherming Persoonsgegevens Spam E-mail adressen verzamelen Stamboom-onderzoek De Wet Bescherming Persoonsgegevens In 2000 werd de Wet Bescherming Persoonsgegevens (WBP) aangenomen als gevolg van Europese privacy- richtlijn nr. 95/46/EG. Deze wet is de opvolger van de oudere Wet Persoonsregistratie (WPR). De WBP bevat regels voor de "geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen." Persoonsgegevens Persoonsgegevens zijn alle gegevens waarmee een bepaald individu ge�dentificeerd kan worden. Het bekendste voorbeeld zijn naam- en adresgegevens. Ook e-mailadressen en bijvoorbeeld MSN-accounts worden gezien als persoonsgegevens. Maar ook gegevens die een waardering over een bepaalde persoon inhouden, bijvoorbeeld iemands IQ, kunnen persoonsgegevens zijn wanneer te achterhalen is welke persoon dit IQ heeft. Op Internet is bijvoorbeeld het IP-adres een persoonsgegeven. Een IP-adres is, samen met een datum en tijd van gebruik van dat adres, te herleiden tot een persoon. Je hebt daar de hulp van een provider bij nodig, maar het kan. Zie ook Foto's en het portretrecht Ook iemands foto is een persoonsgegeven. De geportretteerde is er tenslotte aan te herkennen. Bovendien is aan een foto te zien welk ras iemand is, en of deze persoon man of vrouw is. Volgens de letter van de wet is een foto dan ook een bijzonder persoonsgegeven, waardoor er voor verwerking van foto's extra strenge regels gelden. Verwerking van persoonsgegevens Verwerking wil zeggen "elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens." De wet geeft als voorbeelden het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens. De regels bij verwerking van persoonsgegevens De betrokkene moet voor elke verwerking van persoonsgegevens zijn toestemming hebben gegeven. Ook heeft hij het recht de informatie die over hem is opgeslagen, te corrigeren of te laten verwijderen. Organisaties die persoonsgegevens verwerken, moeten uitleggen hoe zij dat doen. Voorafgaande toestemming Persoonsgegevens mogen alleen worden verwerkt in overeenstemming met de regels van de WBP. De belangrijkste regel is dat de betreffende persoon zijn toestemming moet hebben gegeven voor de verwerking. Worden gegevens gevraagd aan die persoon zelf, dan moet deze vooraf ge�nformeerd worden over opname in het bestand. Een registratie-formulier op een website moet dus voorzien zijn van een dergelijke waarschuwing. Ook bij persoonsgegevens die uit andere bronnen worden verzameld, moet de betreffende persoon worden ge�nformeerd bij het moment van opname of uiterlijk net voor het moment van verstrekking aan derden. Dit hoeft niet als de betreffende persoon al wist dat zijn gegevens opgenomen zouden worden. Het is dus niet toegestaan om e-mailadressen van mensen die reageren op je website te verzamelen om ze massaal e-mail te sturen, want het maken van een dergelijke verzendlijst is een vorm van verwerking. Het bedrijf Hotmail mag haar klanten echter wel massaal e-mail sturen, want de klanten hebben hiervoor in de algemene voorwaarden toestemming verleend. Het is altijd de taak van de organisatie die de gegevens verwerkt om de betreffende persoon hierover te informeren. Ook mogen persoonsgegevens alleen worden verwerkt in overeenstemming met de doeleinden waarvoor ze zijn verkregen. Het abonneebestand voor een Internet-nieuwsbrief mag dus worden gebruikt om die nieuwsbrief rond te sturen, maar het mag niet worden verkocht aan een ander bedrijf voor bijvoorbeeld een reclame mailing. Informatieplicht Alle organisaties die persoonsgegevens gebruiken, hebben een informatieplicht. Dit betekent dat zij de personen op wie de gegevens betrekking hebben, moeten laten weten wat zij met hun gegevens gaan doen. Dit hoeft niet wanneer het vanzelfsprekend is (bijvoorbeeld bij het invullen van een registratie-formulier bij een online forum) of wanneer het zeer tijdrovend is om het adres van de betrokkene te achterhalen. Correctierecht Daarnaast hebben personen die in een bestand zijn opgenomen het recht om hun geregistreerde gegevens in te zien. Ook kunnen zij eisen dat hun gegevens verbeterd, aangevuld, verwijderd of afgeschermd worden. Dat mag wanneer de gegevens die gebruikt worden door de verantwoordelijke feitelijk onjuist, onvolledig of niet ter zake dienend zijn voor het doel of de doeleinden van de verwerking. Een wanbetaler kan echter niet verwijdering van zijn persoonsgegevens eisen bij de debiteurenadministratie van een bedrijf. Vrijstellingen De WBP eist dat registraties worden aangemeld. Voor een aantal soorten registraties geeft de wet een vrijstelling. Voorbeelden hiervan zijn personeelsadministraties, boekhoudingen, administraties van afnemers en leveranciers, ledenadministraties, abonnementadministraties en administraties van (oud-)leerlingen. Wel worden er in dergelijke gevallen beperkingen gesteld aan de informatie die dan mag worden geregistreerd. Het CBP heeft een Handreiking Vrijstellingsbesluit gepubliceerd met daarin uitleg over de belangrijkste vrijstellingen. Om er een paar te noemen: Abonnementen: uitgevers van publicaties (ook elektronische) hoeven de administratie van persoonsgegevens van hun abonnees niet aan te melden. Ze mogen niet meer bijhouden dan voor het leveren van de publicaties of het innen van het abonnementsgeld nodig is. Wetenschappelijk onderzoek en statistiek: wie onderzoek doet en daarbij persoonsgegevens gebruikt, hoeft zijn databank niet aan te melden. Alleen de hoogst noodzakelijke naam- en adresgegevens mogen worden bijgehouden. Gegevens mogen niet aan derden worden gegeven, behalve met toestemming of als doorgifte noodzakelijk is voor het onderzoek. Doorgifte voor ander onderzoek mag alleen als het gegarandeerd is dat de gegevens nergens anders voor gebruikt kunnen worden. Communicatiebestanden: verwerking van voor communicatie benodigde persoonsgegevens hoeft niet te worden aangemeld. De beheerder van een mailinglijst of forum hoeft zijn abonneebestand of lijst met leden dus niet aan te melden. Hij mag echter geen 'bijzondere persoonsgegevens' (b.v. godsdienst, gezondheid of politieke voorkeuren) opslaan. De databank mag ook niet voor andere doeleinden worden gebruikt zonder toestemming van de betrokkenen. De beheerder van een forum mag gegevens van zijn leden dus niet aan adverteerders geven. Netwerksystemen: wie een privé-netwerk beheert, mag gegevens bijhouden over gebruikers om het netwerk goed te laten werken, voor de veiligheid en interne controle en onderhoud en beheer. Hieronder vallen zaken zoals 'loggen' wat gebruikers doen, welke ingaande en uitgaande communicatie ze verrichten (maar niet de inhoud daarvan) of het vastleggen waar ze wel en niet bij mogen. Gebruikers moeten hierover wel worden geďnformeerd. Dit geldt niet voor Internet-aanbieders en andere beheerders van openbare telecommunicatienetwerken! Deze moeten hun databank gewoon aanmelden. Het College Bescherming Persoonsgegevens Toezicht op de naleving van de WBP is in handen van het College Bescherming Persoonsgegevens (CBP), voorheen Registratiekamer. Het CBP adviseert de regering over de bescherming van persoonsgegevens, voert onderzoeken uit, toetst gedragscodes en privacyreglementen en behandelt vragen en klachten. Het CBP is bevoegd om boetes uit te delen aan organisaties die de WBP overtreden. De registraties van bestanden met persoonsgegevens moeten worden aangemeld bij het CBP. Spam Zie ook Spam nu eindelijk verboden Het rondsturen van ongevraagde commerci�le e-mail, in het jargon 'spam' geheten, mag in principe alleen als de geadresseerden hun toestemming hebben verleend voor opname in het bestand van de zender. Wie de letterlijke tekst van de WBP er bij pakt, zou kunnen concluderen dat deze toestemming vooraf moet worden verleend, en dat vrijwel alle 'spam' in Nederland onrechtmatig is. rechtszaak tussen tussen XS4All en direct marketingbureau Ab.Fab besliste de Hoge Raad dat Ab.Fab geen spam mocht sturen naar XS4All-klanten. XS4ALL heeft als Internet-provider exclusieve rechten op haar computercapaciteit, haar transmissiecapaciteit en haar klantenbestand, en mag anderen de toegang daartoe weigeren. De nieuwe Europese richtlijn 2002/58/EG, die uiterlijk 31 oktober 2003 een Nederlandse wet moet worden, brengt hopelijk meer duidelijkheid. Artikel 13 van deze richtlijn zegt dat e-mail met het oog op direct marketing alleen is toegestaan met betrekking tot abonnees die daarin vooraf hebben toegestemd. E-mail adressen verzamelen Een veelvoorkomende praktijk op Internet is het verzamelen van e-mailadressen van bijvoorbeeld websites om een bestand op te bouwen, met name voor direct marketing doeleinden. Ook dit lijkt in strijd zijn met de WBP. Het leeghalen van andermans e-mailgids werd in december 2002 verboden omdat de betreffende e-mail gids in haar algemene voorwaarden dit verbood. Stamboom-onderzoek Steeds meer mensen, waaronder ook de auteur van dit artikel, publiceren hun stamboom op Internet. De WBP maakt een uitzondering voor verwerking van persoonsgegevens voor uitsluitend persoonlijke doeleinden. Het verzamelen van materiaal ten behoeve van een stamboom, en het maken van de stamboom zelf mag dus zonder toestemming van de personen die erin staan gebeuren. Echter, op het moment dat de stamboom wordt gepubliceerd, bijvoorbeeld op Internet, is er niet langer sprake van "persoonlijke doeleinden". De bovengenoemde regels gelden dan. Echter, de WBP gaat formeel gesproken over gegevens die herleidbaar zijn tot natuurlijke personen. Volgens de wet is een overledene geen natuurlijk persoon (meer). Derhalve is de WBP niet van toepassing op overleden personen. Houd er echter wel rekening mee dat bijvoorbeeld de partner of kinderen van de overledene gemakkelijk te achterhalen zijn wanneer er voldoende informatie over de overledene zelf wordt gepubliceerd. Daarmee vormt die informatie een persoonsgegeven van die partner of kinderen. De WBP kan dus soms toch van toepassing zijn. Gerelateerde artikelen Anonimiteit en privacy op het internet Cameratoezicht, filmen en fotograferen van mensen Filesharing (P2P) en privacy Persoonsgegevens op Internet Categorieën Privacy Zie ook Anonimiteit en privacy op het Internet Elektronisch briefgeheim: de stand van zaken Wat weten ze allemaal over mij? De Wet Bescherming Persoonsgegevens is de belangrijkste wet over persoonsgegevens, informatie zoals naam en adres. Verwerking van persoonsgegevens mag alleen als de betrokkene geďnformeerd is over wat er met de gegevens gebeurt. Er zijn uitzonderingen voor bijvoorbeeld mailinglijsten, forums of privé-netwerken. Door ICT-jurist Arnoud Engelfriet (blog, contact). Er bestaat in Nederland geen algemene "wet op de privacy". Er zijn diverse wetten die elk een bepaald aspect van de privacy in Nederland regelen. De belangrijkste en bekendste wet is de Wet Bescherming Persoonsgegevens. De Wet Bescherming Persoonsgegevens regelt onder welke voorwaarden persoonsgegevens verwerkt mogen worden. Persoonsgegevens zijn alle gegevens die herleidbaar zijn tot een bepaald individu. Omdat bijvoorbeeld een e-mailadres ook een persoonsgegeven is, heeft deze wet ook de nodige implicaties voor Internet-aanbieders en -gebruikers. Zo is het publiceren van e-mailadressen op een website niet zomaar toegestaan. Maar ook bijvoorbeeld de familiestamboom mag niet zomaar op Internet. Inhoudsopgave De Wet Bescherming Persoonsgegevens De regels bij verwerking van persoonsgegevens Het College Bescherming Persoonsgegevens Spam E-mail adressen verzamelen Stamboom-onderzoek De Wet Bescherming Persoonsgegevens In 2000 werd de Wet Bescherming Persoonsgegevens (WBP) aangenomen als gevolg van Europese privacy- richtlijn nr. 95/46/EG. Deze wet is de opvolger van de oudere Wet Persoonsregistratie (WPR). De WBP bevat regels voor de "geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen." Persoonsgegevens Persoonsgegevens zijn alle gegevens waarmee een bepaald individu ge�dentificeerd kan worden. Het bekendste voorbeeld zijn naam- en adresgegevens. Ook e-mailadressen en bijvoorbeeld MSN-accounts worden gezien als persoonsgegevens. Maar ook gegevens die een waardering over een bepaalde persoon inhouden, bijvoorbeeld iemands IQ, kunnen persoonsgegevens zijn wanneer te achterhalen is welke persoon dit IQ heeft. Op Internet is bijvoorbeeld het IP-adres een persoonsgegeven. Een IP-adres is, samen met een datum en tijd van gebruik van dat adres, te herleiden tot een persoon. Je hebt daar de hulp van een provider bij nodig, maar het kan. Zie ook Foto's en het portretrecht Ook iemands foto is een persoonsgegeven. De geportretteerde is er tenslotte aan te herkennen. Bovendien is aan een foto te zien welk ras iemand is, en of deze persoon man of vrouw is. Volgens de letter van de wet is een foto dan ook een bijzonder persoonsgegeven, waardoor er voor verwerking van foto's extra strenge regels gelden. Verwerking van persoonsgegevens Verwerking wil zeggen "elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens." De wet geeft als voorbeelden het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens. De regels bij verwerking van persoonsgegevens De betrokkene moet voor elke verwerking van persoonsgegevens zijn toestemming hebben gegeven. Ook heeft hij het recht de informatie die over hem is opgeslagen, te corrigeren of te laten verwijderen. Organisaties die persoonsgegevens verwerken, moeten uitleggen hoe zij dat doen. Voorafgaande toestemming Persoonsgegevens mogen alleen worden verwerkt in overeenstemming met de regels van de WBP. De belangrijkste regel is dat de betreffende persoon zijn toestemming moet hebben gegeven voor de verwerking. Worden gegevens gevraagd aan die persoon zelf, dan moet deze vooraf ge�nformeerd worden over opname in het bestand. Een registratie-formulier op een website moet dus voorzien zijn van een dergelijke waarschuwing. Ook bij persoonsgegevens die uit andere bronnen worden verzameld, moet de betreffende persoon worden ge�nformeerd bij het moment van opname of uiterlijk net voor het moment van verstrekking aan derden. Dit hoeft niet als de betreffende persoon al wist dat zijn gegevens opgenomen zouden worden. Het is dus niet toegestaan om e-mailadressen van mensen die reageren op je website te verzamelen om ze massaal e-mail te sturen, want het maken van een dergelijke verzendlijst is een vorm van verwerking. Het bedrijf Hotmail mag haar klanten echter wel massaal e-mail sturen, want de klanten hebben hiervoor in de algemene voorwaarden toestemming verleend. Het is altijd de taak van de organisatie die de gegevens verwerkt om de betreffende persoon hierover te informeren. Ook mogen persoonsgegevens alleen worden verwerkt in overeenstemming met de doeleinden waarvoor ze zijn verkregen. Het abonneebestand voor een Internet-nieuwsbrief mag dus worden gebruikt om die nieuwsbrief rond te sturen, maar het mag niet worden verkocht aan een ander bedrijf voor bijvoorbeeld een reclame mailing. Informatieplicht Alle organisaties die persoonsgegevens gebruiken, hebben een informatieplicht. Dit betekent dat zij de personen op wie de gegevens betrekking hebben, moeten laten weten wat zij met hun gegevens gaan doen. Dit hoeft niet wanneer het vanzelfsprekend is (bijvoorbeeld bij het invullen van een registratie-formulier bij een online forum) of wanneer het zeer tijdrovend is om het adres van de betrokkene te achterhalen. Correctierecht Daarnaast hebben personen die in een bestand zijn opgenomen het recht om hun geregistreerde gegevens in te zien. Ook kunnen zij eisen dat hun gegevens verbeterd, aangevuld, verwijderd of afgeschermd worden. Dat mag wanneer de gegevens die gebruikt worden door de verantwoordelijke feitelijk onjuist, onvolledig of niet ter zake dienend zijn voor het doel of de doeleinden van de verwerking. Een wanbetaler kan echter niet verwijdering van zijn persoonsgegevens eisen bij de debiteurenadministratie van een bedrijf. Vrijstellingen De WBP eist dat registraties worden aangemeld. Voor een aantal soorten registraties geeft de wet een vrijstelling. Voorbeelden hiervan zijn personeelsadministraties, boekhoudingen, administraties van afnemers en leveranciers, ledenadministraties, abonnementadministraties en administraties van (oud-)leerlingen. Wel worden er in dergelijke gevallen beperkingen gesteld aan de informatie die dan mag worden geregistreerd. Het CBP heeft een Handreiking Vrijstellingsbesluit gepubliceerd met daarin uitleg over de belangrijkste vrijstellingen. Om er een paar te noemen: Abonnementen: uitgevers van publicaties (ook elektronische) hoeven de administratie van persoonsgegevens van hun abonnees niet aan te melden. Ze mogen niet meer bijhouden dan voor het leveren van de publicaties of het innen van het abonnementsgeld nodig is. Wetenschappelijk onderzoek en statistiek: wie onderzoek doet en daarbij persoonsgegevens gebruikt, hoeft zijn databank niet aan te melden. Alleen de hoogst noodzakelijke naam- en adresgegevens mogen worden bijgehouden. Gegevens mogen niet aan derden worden gegeven, behalve met toestemming of als doorgifte noodzakelijk is voor het onderzoek. Doorgifte voor ander onderzoek mag alleen als het gegarandeerd is dat de gegevens nergens anders voor gebruikt kunnen worden. Communicatiebestanden: verwerking van voor communicatie benodigde persoonsgegevens hoeft niet te worden aangemeld. De beheerder van een mailinglijst of forum hoeft zijn abonneebestand of lijst met leden dus niet aan te melden. Hij mag echter geen 'bijzondere persoonsgegevens' (b.v. godsdienst, gezondheid of politieke voorkeuren) opslaan. De databank mag ook niet voor andere doeleinden worden gebruikt zonder toestemming van de betrokkenen. De beheerder van een forum mag gegevens van zijn leden dus niet aan adverteerders geven. Netwerksystemen: wie een privé-netwerk beheert, mag gegevens bijhouden over gebruikers om het netwerk goed te laten werken, voor de veiligheid en interne controle en onderhoud en beheer. Hieronder vallen zaken zoals 'loggen' wat gebruikers doen, welke ingaande en uitgaande communicatie ze verrichten (maar niet de inhoud daarvan) of het vastleggen waar ze wel en niet bij mogen. Gebruikers moeten hierover wel worden geďnformeerd. Dit geldt niet voor Internet-aanbieders en andere beheerders van openbare telecommunicatienetwerken! Deze moeten hun databank gewoon aanmelden. Het College Bescherming Persoonsgegevens Toezicht op de naleving van de WBP is in handen van het College Bescherming Persoonsgegevens (CBP), voorheen Registratiekamer. Het CBP adviseert de regering over de bescherming van persoonsgegevens, voert onderzoeken uit, toetst gedragscodes en privacyreglementen en behandelt vragen en klachten. Het CBP is bevoegd om boetes uit te delen aan organisaties die de WBP overtreden. De registraties van bestanden met persoonsgegevens moeten worden aangemeld bij het CBP. Spam Zie ook Spam nu eindelijk verboden Het rondsturen van ongevraagde commerci�le e-mail, in het jargon 'spam' geheten, mag in principe alleen als de geadresseerden hun toestemming hebben verleend voor opname in het bestand van de zender. Wie de letterlijke tekst van de WBP er bij pakt, zou kunnen concluderen dat deze toestemming vooraf moet worden verleend, en dat vrijwel alle 'spam' in Nederland onrechtmatig is. rechtszaak tussen tussen XS4All en direct marketingbureau Ab.Fab besliste de Hoge Raad dat Ab.Fab geen spam mocht sturen naar XS4All-klanten. XS4ALL heeft als Internet-provider exclusieve rechten op haar computercapaciteit, haar transmissiecapaciteit en haar klantenbestand, en mag anderen de toegang daartoe weigeren. De nieuwe Europese richtlijn 2002/58/EG, die uiterlijk 31 oktober 2003 een Nederlandse wet moet worden, brengt hopelijk meer duidelijkheid. Artikel 13 van deze richtlijn zegt dat e-mail met het oog op direct marketing alleen is toegestaan met betrekking tot abonnees die daarin vooraf hebben toegestemd. E-mail adressen verzamelen Een veelvoorkomende praktijk op Internet is het verzamelen van e-mailadressen van bijvoorbeeld websites om een bestand op te bouwen, met name voor direct marketing doeleinden. Ook dit lijkt in strijd zijn met de WBP. Het leeghalen van andermans e-mailgids werd in december 2002 verboden omdat de betreffende e-mail gids in haar algemene voorwaarden dit verbood. Stamboom-onderzoek Steeds meer mensen, waaronder ook de auteur van dit artikel, publiceren hun stamboom op Internet. De WBP maakt een uitzondering voor verwerking van persoonsgegevens voor uitsluitend persoonlijke doeleinden. Het verzamelen van materiaal ten behoeve van een stamboom, en het maken van de stamboom zelf mag dus zonder toestemming van de personen die erin staan gebeuren. Echter, op het moment dat de stamboom wordt gepubliceerd, bijvoorbeeld op Internet, is er niet langer sprake van "persoonlijke doeleinden". De bovengenoemde regels gelden dan. Echter, de WBP gaat formeel gesproken over gegevens die herleidbaar zijn tot natuurlijke personen. Volgens de wet is een overledene geen natuurlijk persoon (meer). Derhalve is de WBP niet van toepassing op overleden personen. Houd er echter wel rekening mee dat bijvoorbeeld de partner of kinderen van de overledene gemakkelijk te achterhalen zijn wanneer er voldoende informatie over de overledene zelf wordt gepubliceerd. Daarmee vormt die informatie een persoonsgegeven van die partner of kinderen. De WBP kan dus soms toch van toepassing zijn. Gerelateerde artikelen Anonimiteit en privacy op het internet Cameratoezicht, filmen en fotograferen van mensen Filesharing (P2P) en privacy Persoonsgegevens op Internet Categorieën Privacy Zie ook Anonimiteit en privacy op het Internet Elektronisch briefgeheim: de stand van zaken Wat weten ze allemaal over mij? De Wet Bescherming Persoonsgegevens is de belangrijkste wet over persoonsgegevens, informatie zoals naam en adres. Verwerking van persoonsgegevens mag alleen als de betrokkene geďnformeerd is over wat er met de gegevens gebeurt. Er zijn uitzonderingen voor bijvoorbeeld mailinglijsten, forums of privé-netwerken. Door ICT-jurist Arnoud Engelfriet (blog, contact). Er bestaat in Nederland geen algemene "wet op de privacy". Er zijn diverse wetten die elk een bepaald aspect van de privacy in Nederland regelen. De belangrijkste en bekendste wet is de Wet Bescherming Persoonsgegevens. De Wet Bescherming Persoonsgegevens regelt onder welke voorwaarden persoonsgegevens verwerkt mogen worden. Persoonsgegevens zijn alle gegevens die herleidbaar zijn tot een bepaald individu. Omdat bijvoorbeeld een e-mailadres ook een persoonsgegeven is, heeft deze wet ook de nodige implicaties voor Internet-aanbieders en -gebruikers. Zo is het publiceren van e-mailadressen op een website niet zomaar toegestaan. Maar ook bijvoorbeeld de familiestamboom mag niet zomaar op Internet. Inhoudsopgave De Wet Bescherming Persoonsgegevens De regels bij verwerking van persoonsgegevens Het College Bescherming Persoonsgegevens Spam E-mail adressen verzamelen Stamboom-onderzoek De Wet Bescherming Persoonsgegevens In 2000 werd de Wet Bescherming Persoonsgegevens (WBP) aangenomen als gevolg van Europese privacy- richtlijn nr. 95/46/EG. Deze wet is de opvolger van de oudere Wet Persoonsregistratie (WPR). De WBP bevat regels voor de "geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen." Persoonsgegevens Persoonsgegevens zijn alle gegevens waarmee een bepaald individu ge�dentificeerd kan worden. Het bekendste voorbeeld zijn naam- en adresgegevens. Ook e-mailadressen en bijvoorbeeld MSN-accounts worden gezien als persoonsgegevens. Maar ook gegevens die een waardering over een bepaalde persoon inhouden, bijvoorbeeld iemands IQ, kunnen persoonsgegevens zijn wanneer te achterhalen is welke persoon dit IQ heeft. Op Internet is bijvoorbeeld het IP-adres een persoonsgegeven. Een IP-adres is, samen met een datum en tijd van gebruik van dat adres, te herleiden tot een persoon. Je hebt daar de hulp van een provider bij nodig, maar het kan. Zie ook Foto's en het portretrecht Ook iemands foto is een persoonsgegeven. De geportretteerde is er tenslotte aan te herkennen. Bovendien is aan een foto te zien welk ras iemand is, en of deze persoon man of vrouw is. Volgens de letter van de wet is een foto dan ook een bijzonder persoonsgegeven, waardoor er voor verwerking van foto's extra strenge regels gelden. Verwerking van persoonsgegevens Verwerking wil zeggen "elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens." De wet geeft als voorbeelden het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens. De regels bij verwerking van persoonsgegevens De betrokkene moet voor elke verwerking van persoonsgegevens zijn toestemming hebben gegeven. Ook heeft hij het recht de informatie die over hem is opgeslagen, te corrigeren of te laten verwijderen. Organisaties die persoonsgegevens verwerken, moeten uitleggen hoe zij dat doen. Voorafgaande toestemming Persoonsgegevens mogen alleen worden verwerkt in overeenstemming met de regels van de WBP. De belangrijkste regel is dat de betreffende persoon zijn toestemming moet hebben gegeven voor de verwerking. Worden gegevens gevraagd aan die persoon zelf, dan moet deze vooraf ge�nformeerd worden over opname in het bestand. Een registratie-formulier op een website moet dus voorzien zijn van een dergelijke waarschuwing. Ook bij persoonsgegevens die uit andere bronnen worden verzameld, moet de betreffende persoon worden ge�nformeerd bij het moment van opname of uiterlijk net voor het moment van verstrekking aan derden. Dit hoeft niet als de betreffende persoon al wist dat zijn gegevens opgenomen zouden worden. Het is dus niet toegestaan om e-mailadressen van mensen die reageren op je website te verzamelen om ze massaal e-mail te sturen, want het maken van een dergelijke verzendlijst is een vorm van verwerking. Het bedrijf Hotmail mag haar klanten echter wel massaal e-mail sturen, want de klanten hebben hiervoor in de algemene voorwaarden toestemming verleend. Het is altijd de taak van de organisatie die de gegevens verwerkt om de betreffende persoon hierover te informeren. Ook mogen persoonsgegevens alleen worden verwerkt in overeenstemming met de doeleinden waarvoor ze zijn verkregen. Het abonneebestand voor een Internet-nieuwsbrief mag dus worden gebruikt om die nieuwsbrief rond te sturen, maar het mag niet worden verkocht aan een ander bedrijf voor bijvoorbeeld een reclame mailing. Informatieplicht Alle organisaties die persoonsgegevens gebruiken, hebben een informatieplicht. Dit betekent dat zij de personen op wie de gegevens betrekking hebben, moeten laten weten wat zij met hun gegevens gaan doen. Dit hoeft niet wanneer het vanzelfsprekend is (bijvoorbeeld bij het invullen van een registratie-formulier bij een online forum) of wanneer het zeer tijdrovend is om het adres van de betrokkene te achterhalen. Correctierecht Daarnaast hebben personen die in een bestand zijn opgenomen het recht om hun geregistreerde gegevens in te zien. Ook kunnen zij eisen dat hun gegevens verbeterd, aangevuld, verwijderd of afgeschermd worden. Dat mag wanneer de gegevens die gebruikt worden door de verantwoordelijke feitelijk onjuist, onvolledig of niet ter zake dienend zijn voor het doel of de doeleinden van de verwerking. Een wanbetaler kan echter niet verwijdering van zijn persoonsgegevens eisen bij de debiteurenadministratie van een bedrijf. Vrijstellingen De WBP eist dat registraties worden aangemeld. Voor een aantal soorten registraties geeft de wet een vrijstelling. Voorbeelden hiervan zijn personeelsadministraties, boekhoudingen, administraties van afnemers en leveranciers, ledenadministraties, abonnementadministraties en administraties van (oud-)leerlingen. Wel worden er in dergelijke gevallen beperkingen gesteld aan de informatie die dan mag worden geregistreerd. Het CBP heeft een Handreiking Vrijstellingsbesluit gepubliceerd met daarin uitleg over de belangrijkste vrijstellingen. Om er een paar te noemen: Abonnementen: uitgevers van publicaties (ook elektronische) hoeven de administratie van persoonsgegevens van hun abonnees niet aan te melden. Ze mogen niet meer bijhouden dan voor het leveren van de publicaties of het innen van het abonnementsgeld nodig is. Wetenschappelijk onderzoek en statistiek: wie onderzoek doet en daarbij persoonsgegevens gebruikt, hoeft zijn databank niet aan te melden. Alleen de hoogst noodzakelijke naam- en adresgegevens mogen worden bijgehouden. Gegevens mogen niet aan derden worden gegeven, behalve met toestemming of als doorgifte noodzakelijk is voor het onderzoek. Doorgifte voor ander onderzoek mag alleen als het gegarandeerd is dat de gegevens nergens anders voor gebruikt kunnen worden. Communicatiebestanden: verwerking van voor communicatie benodigde persoonsgegevens hoeft niet te worden aangemeld. De beheerder van een mailinglijst of forum hoeft zijn abonneebestand of lijst met leden dus niet aan te melden. Hij mag echter geen 'bijzondere persoonsgegevens' (b.v. godsdienst, gezondheid of politieke voorkeuren) opslaan. De databank mag ook niet voor andere doeleinden worden gebruikt zonder toestemming van de betrokkenen. De beheerder van een forum mag gegevens van zijn leden dus niet aan adverteerders geven. Netwerksystemen: wie een privé-netwerk beheert, mag gegevens bijhouden over gebruikers om het netwerk goed te laten werken, voor de veiligheid en interne controle en onderhoud en beheer. Hieronder vallen zaken zoals 'loggen' wat gebruikers doen, welke ingaande en uitgaande communicatie ze verrichten (maar niet de inhoud daarvan) of het vastleggen waar ze wel en niet bij mogen. Gebruikers moeten hierover wel worden geďnformeerd. Dit geldt niet voor Internet-aanbieders en andere beheerders van openbare telecommunicatienetwerken! Deze moeten hun databank gewoon aanmelden. Het College Bescherming Persoonsgegevens Toezicht op de naleving van de WBP is in handen van het College Bescherming Persoonsgegevens (CBP), voorheen Registratiekamer. Het CBP adviseert de regering over de bescherming van persoonsgegevens, voert onderzoeken uit, toetst gedragscodes en privacyreglementen en behandelt vragen en klachten. Het CBP is bevoegd om boetes uit te delen aan organisaties die de WBP overtreden. De registraties van bestanden met persoonsgegevens moeten worden aangemeld bij het CBP. Spam Zie ook Spam nu eindelijk verboden Het rondsturen van ongevraagde commerci�le e-mail, in het jargon 'spam' geheten, mag in principe alleen als de geadresseerden hun toestemming hebben verleend voor opname in het bestand van de zender. Wie de letterlijke tekst van de WBP er bij pakt, zou kunnen concluderen dat deze toestemming vooraf moet worden verleend, en dat vrijwel alle 'spam' in Nederland onrechtmatig is. rechtszaak tussen tussen XS4All en direct marketingbureau Ab.Fab besliste de Hoge Raad dat Ab.Fab geen spam mocht sturen naar XS4All-klanten. XS4ALL heeft als Internet-provider exclusieve rechten op haar computercapaciteit, haar transmissiecapaciteit en haar klantenbestand, en mag anderen de toegang daartoe weigeren. De nieuwe Europese richtlijn 2002/58/EG, die uiterlijk 31 oktober 2003 een Nederlandse wet moet worden, brengt hopelijk meer duidelijkheid. Artikel 13 van deze richtlijn zegt dat e-mail met het oog op direct marketing alleen is toegestaan met betrekking tot abonnees die daarin vooraf hebben toegestemd. E-mail adressen verzamelen Een veelvoorkomende praktijk op Internet is het verzamelen van e-mailadressen van bijvoorbeeld websites om een bestand op te bouwen, met name voor direct marketing doeleinden. Ook dit lijkt in strijd zijn met de WBP. Het leeghalen van andermans e-mailgids werd in december 2002 verboden omdat de betreffende e-mail gids in haar algemene voorwaarden dit verbood. Stamboom-onderzoek Steeds meer mensen, waaronder ook de auteur van dit artikel, publiceren hun stamboom op Internet. De WBP maakt een uitzondering voor verwerking van persoonsgegevens voor uitsluitend persoonlijke doeleinden. Het verzamelen van materiaal ten behoeve van een stamboom, en het maken van de stamboom zelf mag dus zonder toestemming van de personen die erin staan gebeuren. Echter, op het moment dat de stamboom wordt gepubliceerd, bijvoorbeeld op Internet, is er niet langer sprake van "persoonlijke doeleinden". De bovengenoemde regels gelden dan. Echter, de WBP gaat formeel gesproken over gegevens die herleidbaar zijn tot natuurlijke personen. Volgens de wet is een overledene geen natuurlijk persoon (meer). Derhalve is de WBP niet van toepassing op overleden personen. Houd er echter wel rekening mee dat bijvoorbeeld de partner of kinderen van de overledene gemakkelijk te achterhalen zijn wanneer er voldoende informatie over de overledene zelf wordt gepubliceerd. Daarmee vormt die informatie een persoonsgegeven van die partner of kinderen. De WBP kan dus soms toch van toepassing zijn. Gerelateerde artikelen Anonimiteit en privacy op het internet Cameratoezicht, filmen en fotograferen van mensen Filesharing (P2P) en privacy Persoonsgegevens op Internet Categorieën Privacy Zie ook