Internetconsultatie aanpassing WBP

overheidnlKrap twee maanden geleden ging het nieuwe initiatief van de overheid van start om via internet bij bepaalde weten burgers te consulteren. Ik schreef toen dat het op zich een toe te juichen plan is, maar dat de uitwerking nog niet zo best was. Echter, dat moet ons er niet van weerhouden toch eens een keertje mee te praten. Wachten was echter op een wetsvoorstel waar ook iets mee te doen viel. Gelukkig komt er nu eentje voorbij die goed past binnen de onderwerpen die ik recent behandeld heb. Het gaat om de aanpassing van de wet op de bescherming persoonsgegevens. Dus over privacy.

Hetgeen gelijk opviel was de zin “Doel van de voorgestelde wijziging van het Vrijstellingsbesluit Wbp is het zoveel mogelijk vrijstellen van eenvoudige verwerkingen van persoonsgegevens van de verplichting om die verwerking aan te melden bij het College bescherming persoonsgegeven.”

En dat is ook de essentie van de aanpassingen. Hoewel dat gevaarlijk is in mijn ogen, is het ook begrijpelijk. Zo wil men groepen als gerechtsdeurwaarders en bureaus voor werving en selectie dezelfde vrijstelling geven als advocaten en notarissen. Maar ook websites en weblogs die meestal bijna vanzelf persoonsgegevens opslaan (ook dit weblog) hoeven dat dan niet meer te melden, tenzij ze er iets anders mee gaan doen natuurlijk.

De meest zorgwekkende aanpassing gaat over het vrijstellen van meldplicht voor het verstrekken van gegevens aan derde landen. Dat hoeft niet meer, als dat land in Europa zit of op de lijst met goedgekeurde landen staat (landen die een “nette” wetgeving hebben). Dat betekent dat de drempel voor het gebruik van Nederlandse gegevens in het buitenland wel erg laag wordt. Dat lijkt me geen goede ontwikkeling.

Afijn, ik hoor graag welke zaken u nog meer uit het voorstel haalt (lees vooral Ontwerp Toelichting) en wat u aan reactie heeft meegegeven.

  1. 1

    Is opslaan trouwens hetzelfde als verwerken? Verwerken wil toch zeggen dat je gegevens niet alleen opslaat, maar de opslag op zijn minst organiseert, zodat de mogelijkheid beschikbaar komt er wat dan ook mee te doen?

  2. 2

    Sorry hoor maar als dit ervoor moet gaan zorgen dat de ‘burger’ meer betrokken raakt bij de politieke besluitvorming heb ik één grote tip…maak het aub LEESBAAR. Als juridische leek is er voor mij geen doorkomen aan..zelf de toelichting is niet om door te komen.

    De HighLights die mij opvielen waren;

    1- sluipende uitbreiding van beroepsgroepen die onder de vrijstelling vallen (gevaar glijdende schalen)

    2- als het ongewenst is om gegevens beschikbaar te stellen dan mag je dat doen door een financiële drempel op te werpen (inzage kost geld…hoe meer je in rekening brengt hoe hoger de drempel)nu lijken de bedragen nog wel mee te vallen maar het is maar het begin (wederom gevaar voor glijdende schaal)

    3- jouw gegevens kunnen zo naar andere landen geëxporteerd worden als onze regering die betrouwbaar genoeg acht (als ze dat op dezelfde manier toetsen als nu het geval is met allerlei data die de US van ons wil hebben geeft me dat heeeel weinig vertrouwen)

  3. 4

    Ik heb wat moeite met de vrijstelling voor de alternatieve gezondheidszorg, gastouderopvang en private onderwijs- en cursuaanbod.
    Ik snap wel dat als alle zzp’ers en zo hun digitale verwerking van persoonsgegevens moeten melden, het peperduur wordt. Maar wat als er naast het reguliere medisch dossier, ook zo iets ontstaat als het alternatieve medisch dossier?

    Wie dat soort werk wil doen moet zich op de een of andere manier bewijzen en geregistreerd worden als erkende zorgverlener, gastopvang of onderwijsbedrijf.

    Mischien kan de wet wel regelen dat een ieder die vrijstelling heeft dat expliciet moet meedelen aan bezoekers en klanten?
    Verder is een gratis, makkelijk toegankelijk meldpunt voor klachten een voorwaarde.

  4. 5

    @ Peter, #1:

    In de context van de huidige Wet Bescherming Persoonsgegevens is alles wat je met Persoonsgegevens doet een “verwerking”. Zie:

    http://www.justitie.nl/images/Handleiding%20voor%20verwerkers%20persoonsgegevens_tcm34-3940.pdf

    Sectie 2.3:

    De verwerking van persoonsgegevens is elke handeling of elk geheel van handelingen met persoonsgegevens.

    Verzamelen en opslaan is een verwerking onder die definitie en als bovendien de handeling(en) geautomatiseerd plaats vinden zijn vallen ze meteen onder de WBP (zie eerste zinnen van de volgende pagina in die handleiding).

  5. 6

    @Remco: Nee, er gebeurt weinig met die meldingen. Maar het feit dat je het moet melden maakt je al meer bewust van de verantwoordelijkheid en de regeltjes. Dus hoe minder er gemeld hoeft te worden, hoe makkelijker men weer met privacy-gegevens om zal gaan. In mijn ogen dan.

  6. 7

    Wat?!
    Dus als ik het goed heb opgevat, is het de bedoeling van deze wijzeging dat er niet meer gemeld hoeft te worden dat er persoonsgegevens “verwerkt” (opgeslagen, gedeeld, ?verkocht?, verwijderd etc) worden..

    WTF?
    Mijn persoonsgegevens moeten blijven bij de Instanties waar ik deze achterlaat en bij geen ander!
    Wij (de “zieners”) weten allemaal welke kant het opgaat, helaas hebben we een meerheid aan “blinden” in dit land als je me vat..
    Vooral in mijn generatie (zelf 21j) houd men zich niet bezig met politiek, en daar zit het ‘m..

    De kloof tussen burger en politiek nog te groot. 60 jaar geleden was het normaal dat niemand wat met politiek had, dat waren andere tijden. Maar tegenwoordig moet je wel, ze zitten notabene bij je in de huiskamer!

  7. 8

    @ 7:

    Nee, de bedoeling van de wijziging is dat er iets vaker dan nu reeds het geval is niet meer gemeld hoeft te worden dat er persoonsgegevens verwerkt worden. Je doet het klinken alsof er nieuwe dingen staan te gebeuren maar dat is dus niet zo…

    Het gaat hierbij onder meer om die heel brede definitie van “verwerken” (zie #5) die er met enige regelmaat voor zorgt dat zo’n melding op niet meer dan een formaliteit neerkomt die je dus net zo goed weer kan afschaffen. De “Ontwerp Toelichting” waarnaar het stuk hierboven linkt is goed te lezen.

    Blazen is meestal onproductief en uiteindelijk de reden waarom inspraak-initiatieven zo vaak op een catastrofe uitdraaien. Te veel mensen die ze vooral gebruiken als persoonlijke vlaggenmast.

    Peter #4 heeft wat mij betreft een goed punt. Een “alternatief medisch dossier”, in zoverre iets dergelijks zou bestaan, is wellicht nog gevoeliger dan een echte, aangezien die eerste vooral over psychische problemen gaat (expliciet dan wel impliciet).

  8. 9

    Begin eerst met vaststellen wie de eigenaaren dus rechthebbende exploitant van persoonsgegevens is. Ik vind namelijk dat ik zelf de eigenaar zou moeten zijn van mijn eigen persoonsgegevens. Een soort autuersrecht.

    Pas dan kan duidelijk worden welke rechten ik aan dat bezit kan ontlenen en wanneer derden inbreuk maken op mijn rechten.

  9. 11

    @ Kalief:

    Ook de definitie van persoonsgegeven is niet krap. Bijvoorbeeld het IP adres waar vandaan jij #9 hebt geplaatst is een persoonsgegeven, in ieder geval in combinatie met de bij #9 gemelde tijd, en toen sargasso die opsloeg bijvoorbeeld om jou toe te staan je reactie nog te editen was dat een verwerking.

    Nu meen ik me te herinneren dat de wet al voldoende uitzonderingen op de meldplicht bevatte voor iets daar daar op neer komt, maar ik ga ‘m nu even niet helemaal nalezen…

    Maar een persoonsgegeven is dus in ieder geval niet het saldo van jouw bankrekening ofzo, maar een gegeven dat naar een individuele natuurlijke persoon herleid kan worden (met nadruk op “kan”, ook). Ben jij de eigenaar van het feit dat jij op computer-systemen betaald en onderhouden door sargasso om 18:35 een bericht hebt geplaatst? Ik vind dat niet zo evident eigenlijk…