Deze website maakt gebruik van cookies. Meer informatie Melding niet meer tonen

Wet Bescherming Persoonsgegevens

Carerix benadrukt het nut van een privacy statement in het kader van de Wet bescherming persoonsgegevens voor recruitment sector

Achtergrond informatie

Een inleiding in de Wbp

Dit onderdeel licht vanuit de algemene bepalingen zoals geformuleerd in de Wet Bescherming Persoonsgegevens de, voor het gebruik van uw software applicatie, gehanteerde definities toe.

Algemene regels voor verwerking persoonsgegevens

Een belangrijke verplichting die uit de wet voortvloeit is de melding die de verwerker moet doen bij de Autoriteit Persoonsgegevens (AP), de toezichthouder voor verwerking van persoons-gegevens. Deze melding is bedoeld om de transparantie te bevorderen: alle bij het AP gedane meldingen worden opgenomen in een openbaar register

Wat is een persoonsgegeven?

Persoonsgegevens zijn alle gegevens aan de hand waarvan een persoon kan worden geïdentificeerd. Hierbij kun je denken aan naam- en adresgegevens, e-mailadressen, pasfoto’s en bijvoorbeeld IP-adressen.

Wat is een bijzonder persoonsgegeven?

Naast gewone persoonsgegevens kent de wet ook bijzondere persoonsgegevens. Dit zijn gegevens die zo gevoelig zijn dat de verwerking ervan iemands privacy ernstig kan aantasten. Zulke gegevens mogen dan ook alleen onder zeer strenge voorwaarden worden verwerkt. Onder bijzondere of gevoelige persoonsgegevens vallen, bijvoorbeeld, gegevens die iets zeggen over iemands ras, godsdienst, gezondheid, strafrechtelijk verleden of seksuele leven. Ook het burgerservicenummer (BSN) valt onder de categorie bijzondere persoonsgegevens.

Wanneer is er sprake van verwerking van persoonsgegevens?

Onder verwerking wordt verstaan elke handeling met betrekking tot persoonsgegevens. De wet noemt als voorbeelden van verwerking: het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekking door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen en vernietigen van gegevens. Je zou kunnen stellen dat alles wat men met een persoonsgegeven doet onder verwerken valt.

1. De belangrijkste bepalingen uit de Wbp

Uit de handleiding wet bescherming persoonsgegevens

De belangrijkste bepalingen uit de Wbp over het rechtmatig omgaan met persoonsgegevens zijn als volgt samen te vatten:

  • Persoonsgegevens mogen alleen in overeenstemming met de wet en op een behoorlijke en zorgvuldige manier worden verwerkt.
  • Persoonsgegevens mogen alleen voor welbepaalde, vooraf uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld. En vervolgens alleen verder worden verwerkt voor doeleinden die daarmee verenigbaar zijn.
  • Degene van wie persoonsgegevens worden verwerkt (de betrokkene genoemd), moet ten minste op de hoogte zijn van de identiteit van de organisatie of persoon die deze persoonsgegevens verwerkt (de zogeheten verantwoordelijke) en van het doel van de gegevensverwerking.
  • De gegevensverwerking moet op een passende manier worden beveiligd. Voor bijzondere gegevens, zoals ras, gezondheid en geloofsovertuiging gelden extra strenge regels.
  • Het zoeken van gegevens over een persoon is in beginsel niet verboden. Gegevens over personen op internet zijn openbaar. Indien gegevens buiten de betrokkene om verkregen wordt moet de persoon geïnformeerd en om toestemming gevraagd worden, voordat de persoonsgegevens opgeslagen en verwerkt worden.

Voorwaarden voor verwerking persoonsgegevens: rechtvaardigingsgronden

Naast bovengenoemde algemene regels stelt de wet als eis dat voor elke verwerking van persoonsgegevens ten minste één van de in de wet genoemde rechtvaardigingsgronden van toepassing moet zijn.

  • Toestemming: De betrokkene (dit is degene wiens gegevens worden verwerkt) heeft voor de verwerking zijn ondubbelzinnige toestemming gegeven. Deze uitdrukkelijke toestemming wordt ook geïnformeerde toestemming of informed consent genoemd.
  • Uitvoering overeenkomst: De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is.
  • Wettelijke verplichting: De gegevensverwerking is noodzakelijk om een wettelijke verplichting na te komen.
  • Vitaal belang: De gegevensverwerking is noodzakelijk om een ernstige bedreiging voor de gezondheid van de betrokkene te bestrijden.
  • Publiekrechtelijke taak: De gegevensverwerking is noodzakelijk voor de goede vervulling van een publiekrechtelijke taak.
  • Gerechtvaardigd belang: De gegevensverwerking is noodzakelijk voor de behartiging van een gerechtvaardigd belang van degene die de gegevens verwerkt (of van een derde aan wie de gegevens worden verstrekt). Dit betekent dat degene die de gegevens verwerkt zijn eigen belang moet afwegen tegen het belang en de rechten van de betrokken persoon.
    Ook moet de verwerker vooraf nagaan of hetzelfde resultaat niet kan worden bereikt met minder gegevens.
  • Wie is de verantwoordelijke: Veel van de verplichtingen van de Wbp zijn opgelegd aan de verantwoordelijke. De verantwoordelijke is degene die het doel en de middelen van verwerking vaststelt. Ben jij degene die beslist of, en zo ja, welke gegevens worden verwerkt, met welk doel dat gebeurt en op welke wijze, dan ben je de verantwoordelijke. Het gaat primair om degene die formeel-juridisch de bevoegdheid heeft om doel en middelen te bepalen. De rechtspersoon, de natuurlijke persoon, het bestuursorgaan of ieder ander die formeel bevoegd is deze beslissingen te nemen.

Belangrijke aspecten van de wet, die bij het gebruik van software applicaties veelvuldig worden toegepast zijn:

Het exporteren van persoonsgegevens: doorgifte

Het exporteren van persoonsgegevens, ook wel doorgifte genoemd, is een vorm van verwerking van persoonsgegevens. De hierboven omschreven voorwaarden zijn hierop onverkort van toepassing.

Bewaren volgens de Wet bescherming persoonsgegevens (Wbp)

Er is op grond van de Wbp geen concrete bewaartermijn voor persoonsgegevens. Uiteraard zijn er wel richtlijnen. Organisaties moeten zelf bepalen hoe lang de specifieke persoonsgegevens bewaard mogen worden. Afwegingen hierbij zijn hoe lang de gegevens nodig zijn voor het doel waarvoor deze zijn verzameld of worden gebruikt. Voor meer informatie zie: https://autoriteitpersoonsgegevens.nl/nl/over-privacy/persoonsgegevens/bewaren-van-persoonsgegevens

Vernietigen of niet?

Vernietiging of archiefbestemming. Als je de persoonsgegevens niet meer nodig heeft of de bewaartermijn is verlopen dan moet je de gegevens verwijderen. Verwijderen betekent niet dat je de gegevens altijd moet vernietigen. Het is al voldoende dat je de gegevens buiten het bereik van de actieve administratie brengt en in een archiefdepot of op een aparte schijf opslaat. Een organisatie mag persoonsgegevens in een archief bewaren als het bestemd is voor historische, statistische of wetenschappelijke doeleinden.

Bron: https://autoriteitpersoonsgegevens.nl/nl/over-privacy/persoonsgegevens/bewaren-van-persoonsgegevens

Indien je meer wilt weten over de Wet Bescherming Persoonsgegevens kun je de website van de Rijksoverheid raadplegen.

2. Het nut van een privacy statement voor uw organisatie

Een belangrijk doel van de Wbp is het transparant maken hoe verwerkte persoonsgegevens door uw organisatie worden behandeld en met welk doel informatie wordt verwerkt. Steeds vaker leggen bedrijven het gedrag rond het verwerken en vastleggen van persoonsgegevens vast in een privacy statement op hun website. Dit is transparant en zichtbaar voor iedereen en kan vooraf worden geraadpleegd. In een privacy statement kunnen zaken vastgelegd worden ten aanzien van verwerking van gegevens, waarbij onderscheid gemaakt wordt tussen:

  • Bezoekers van de website
  • Flexwerkers, kandidaten, sollicitanten, zelfstandigen zonder personeel en (directe of ingehuurde) werknemers
  • Werknemers of vertegenwoordigers van (potentiële) zakelijke relaties

In het privacy statement wordt per onderdeel uitgebreid omgeschreven welke persoonsgegevens worden vastgelegd en met welk doel. Hiermee wordt een veelheid aan extra interne procedures vermeden.

3. De praktische toepassing van de Wbp

Dit onderdeel beschrijft in praktische bewoordingen de taken en verantwoordelijkheden van de gebruikende organisaties van de software applicatie en de leverancier. Het doel is de Wbp op een juiste wijze te verankeren in uw organisatie.

Sommige onderdelen zijn door leveranciers “vast” ingeregeld en behoeven geen actie van de gebruikende organisatie. Echter dienen de meeste zaken beschreven in de Wbp te worden geborgd in processen en in de werkwijze zoals deze door je in de software applicatie zijn ingericht.

Op hoofdlijnen betekent dit dat de leverancier verantwoordelijkheid neemt voor het leveren van de tools en middelen om conform de Wbp te kunnen opereren en dat de gebruikende organisatie van de software applicatie de tools en de middelen zodanig inzet, dat deze in lijn zijn met de bepalingen van de Wbp.

3a Taken en verantwoordelijkheden van de gebruikende organisatie

Elke organisatie die persoonsgegevens verwerkt en bewaart wordt geacht de interne werkprocessen daarop aan te passen, zodat medewerkers bij het uitvoeren van hun dagelijks werk kunnen voldoen aan de Wbp. De software ondersteunt deze werkprocessen waar nodig en biedt hiermee instrumenten voor de gebruikende organisatie. In de zin van de Wbp is de gebruikende organisatie van de applicatie de verantwoordelijke en daarmee verantwoordelijk voor een juist gebruik van de instrumenten en het toepassen van de door de Wbp voorgeschreven bepalingen. Dit houdt onder andere in:

  • Registratie van de juiste persoonsgegevens binnen het vastgelegde doel
  • Het informeren van de persoon over het doel van de registratie
  • Verkrijgen van een goedkeuring voor de registratie
  • Bewaken van de wettelijke regels van de opgeslagen persoonsgegevens
  • Nemen van de juiste acties bij verstrijken van de bewaartermijn
  • Uitsluitend toegang verlenen aan de noodzakelijke gebruikers tot de vastgelegde (of delen van de) persoonsgegevens

3b Taken en verantwoordelijkheden de leverancier

De software leverancier neemt de verantwoordelijkheid voor het creëren van de mogelijkheden om conform de Wbp te kunnen opereren. Dit betekent dat de applicatie voldoet aan de volgende aspecten:

  • Op een technisch veilige manier opslaan van de data op een beveiligde locatie in de EU, met toegang voor gebruikers die zijn aangewezen door de verantwoordelijke beheerder van de gebruikende organisatie van de applicatie.
  • Aanreiken van instrumenten om de wettelijke regels te kunnen bewaken. Dit betekent dat de gebruiker in staat is:
    • het kunnen valideren van de goedkeuring van de registratie
    • het kunnen bepalen van de ouderdom van een persoonsgegeven
    • de technische toegang tot de data te kunnen reguleren
  • Aanreiken van instrumenten om persoonsgegevens te beheren. Dit betekent dat de gebruikende organisatie in staat is om:
    • geselecteerde gegeven te kunnen verwijderen
    • geselecteerde gegevens te kunnen anonimiseren
  • Aanreiken van instrumenten aan de gebruikende organisatie om processen in te richten die ondersteunen, binnen de mogelijkheden van de techniek en de wet, om de gegevens up-to-date te houden in lijn met het overeengekomen doel uit het privacy statement.

Bewaartermijnen persoonsgegevens software applicaties

Indien de doelstelling van het bewaren van persoonsgegevens niet meer geldig is of de bewaartermijn is komen te vervallen van de persoonsgegevens (dit is mede afhankelijk van de relatie die is ontstaan tussen de verwerker van de persoonsgegevens en de betreffende persoon), dan is het mogelijk om deze gegevens niet meer zichtbaar te laten zijn.

Vanuit de Wbp worden verschillende mogelijkheden benoemd indien gegevens niet meer noodzakelijk zijn om te bewaren:

  • definitief verwijderen van het persoonsgegeven (vernietigen). In deze situatie is de registratie definitief verloren
  • onzichtbaar maken en onttrekken uit de operationele administratie (archiveren). De gegevens zijn onder speciale condities terug te halen maar zijn geen onderdeel meer van de operationele administratie.
  • de identificerende kenmerken verwijderen ten aanzien van het persoonsgegeven (anonimiseren). De persoonskenmerken en privacy gevoelige informatie is definitief verloren, maar de registratie (zonder specifieke persoonskenmerken) is voor bijvoorbeeld rapportage doeleinden nog wel te benaderen.

Vernietigen

Indien persoonsgegevens vernietigd worden binnen de software applicatie is de betreffende registratie fysiek (purge) definitief verwijderd uit de database. Dit heeft ook invloed op de rapportages en overzichten waar de registratie in voorkomt, immers deze zijn niet meer volledig en kunnen niet uitvoerbare verwijzingen bevatten.

Archiveren

Door middel van het autorisatie schema binnen de software applicatie kan de kandidaat/professional worden gemerkt als “gearchiveerd”. Dan is deze persoon (of onderdeel van de persoonsgegevens) niet direct meer vindbaar in de applicatie. De Autoriteit Persoonsgegevens kijkt met name of deze gegevens alleen in een afgeschermde omgeving beschikbaar zijn voor speciaal geautoriseerde medewerkers van de organisatie. Dit is met name van belang als er redenen zijn om gegevens van personen langer te waren, bijvoorbeeld in verband met bewijslast voor de belastingdienst.

Anonimiseren

De derde mogelijkheid binnen de software applicatie is het anonimiseren van (delen van) de kandidaat/professional. Vanuit een privacy perspectief wordt hiermee voldaan aan de wetgeving. Voordeel is dat de rapportages in tact blijven.

Uw organisatie moet passende technische en organisatorische maatregelen nemen om het verlies van gegevens of onrechtmatige verwerking tegen te gaan.

Zoals eerder genoemd ligt een groot deel van de verantwoordelijkheid bij de gebruikende organisatie van de software applicatie om te zorgen dat de wet en regelgeving wordt nageleefd. Hierbij wordt door de wetgever extra focus gelegd op het verlies, onrechtmatige toegang en/of verwerking van privacy gevoelige informatie (zie ook wijzigingen vanaf 1-1-2016).

Alhoewel er beperkte jurisprudentie beschikbaar is met betrekking tot de passende beveiligingsstandaard van kandidaatsgegevens raden wij de volgende maatregelen aan ten zeerste aan:

  • Alle websites waar kandidaatsgegevens worden ingevuld/getoond en verwerkt dienen versleuteld te worden middels een https verbinding met als doel de communicatie tussen start- en eind punt te encrypteren. Zo kunnen deze gegevens niet onderschept worden. (https://nl.wikipedia.org/wiki/HyperText_Transfer_Protocol_Secure).
  • Gebruik de software applicatie ook alleen middels https.
  • Zorg dat wachtwoorden regelmatig worden gewijzigd en voldoen de minimale eisen rond lengte en complexiteit.
  • Zorg in uw organisatie voor een goede ethiek rond wachtwoorden. Deel geen wachtwoorden met collega’s.
  • Zorg voor unieke gebruikersaccounts binnen uw organisatie en deel geen accounts. De beveiligingsmaatregelen en logging binnen de software applicatie zijn vaak op gebruikers niveau. Indien meerdere gebruikers op hetzelfde gebruikersaccount inloggen dan is de, vanuit de wetgever verplichte tracking en tracing, niet mogelijk.
  • Het automatisch vergrendelen van werkstations is ook een maatregel die misbruik helpt voorkomen.

Deze bovenstaande lijst is niet uitputtend, maar een minimum set van maatregelen die je als organisatie dient te nemen.

4. Wijzigingen vanaf 1 januari 2016

De overheid heeft extra maatregelen aangekondigd ten aanzien van de handhaving van de Wbp. Hoewel de onderliggende wetgeving niet is veranderd, zijn elementen toegevoegd, waaronder “meldingsplicht datalekken“ vanaf 1 januari 2016.

Meldplicht datalekken

Als je bemerkt dat onbevoegden toegang hebben gekregen tot uw software applicatie dien je uit te zoeken of je verplicht bent om daar melding van te doen. Er is alleen sprake van een datalek als zich daadwerkelijk een beveiligingsincident heeft voorgedaan. Bij een beveiligingsincident moet je bijvoorbeeld denken aan het kwijtraken van een USB-stick, diefstal van een laptop of aan een inbraak door een hacker.
Niet ieder beveiligingsincident is ook een datalek. Er is sprake van een datalek als er bij het beveiligingsincident persoonsgegevens verloren zijn gegaan, of als je onrechtmatige verwerking van de persoonsgegevens niet redelijkerwijs kunt uitsluiten. Als alleen sprake is van een zwakke plek in de beveiliging, spreken we van een beveiligingslek en niet van een datalek. Je hoeft dan geen melding te doen aan de Autoriteit Persoonsgegevens. Meer informatie over dit onderwerp kun je lezen in ‘Beleidsregels voor toepassing van artikel 34a van de Wbp’.

Meldplicht Datalek aan betrokkenen

Als je tot de conclusie komt dat je een datalek moet melden aan de Autoriteit Persoonsgegevens, dan betekent dit niet automatisch dat je dit datalek ook moet melden aan de betrokkene. Je moet hiervoor een aparte afweging maken. De wet geeft aan dat je een melding moet doen aan de betrokkene als het datalek waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. Betrokkenen kunnen door het verlies, onrechtmatig gebruik of misbruik in hun belangen worden geschaad. Daarbij moet je bijvoorbeeld denken aan onrechtmatige publicatie, aantasting in eer en goede naam, (identiteits)fraude of discriminatie. Als er persoonsgegevens van gevoelige aard zijn gelekt, dan kun je er in principe van uit gaan dat je het datalek niet alleen moet melden aan de Autoriteit Persoonsgegevens, maar ook aan de betrokkene. Uw melding stelt de betrokkene in staat om alert te zijn op de mogelijke gevolgen van het datalek en om zich daar waar mogelijk tegen te wapenen door, bijvoorbeeld, een gelekt wachtwoord te vervangen. De wet schrijft voor dat je de melding onverwijld moet doen. Je moet daarbij rekening houden met het feit dat de betrokkene naar aanleiding van uw melding mogelijk maatregelen moet nemen om zich te beschermen tegen de gevolgen van het datalek. Hoe eerder je de betrokkene daarover informeert, hoe eerder deze in actie kan komen. Als je passende technische beschermingsmaatregelen heeft genomen waardoor de persoonsgegevens die het betreft onbegrijpelijk of ontoegankelijk zijn voor onbevoegden, dan kun je de melding aan de betrokkene achterwege laten. Bij deze beschermingsmaatregelen moet je bijvoorbeeld denken aan cryptografische bewerkingen zoals encryptie en hashing. Je moet per geval bepalen of de maatregelen die je hebt genomen voldoende bescherming bieden om de melding aan de betrokkene achterwege te kunnen laten. (uit Beleidsregels voor toepassing van artikel 34a van de Wbp)

Mocht je onterecht niet overgaan tot het melden van een een datalek, dan riskeer je een boete opgelegd door de Autoriteit Persoonsgegevens tot EUR 820.000 of, als deze boete niet materieel is, tot 10% van de netto omzet.

Mocht je vragen hebben ten aanzien van de inhoud van deze whitepaper, dan kun je deze  stellen aan Jurgen Delfos, CTO van Carerix (jurgen.delfos@carerix.com).