Wat zijn persoonsgegevens?
De Wet bescherming persoonsgegevens (Wbp) geeft aan dat een persoonsgegeven elk gegeven is over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is. Dat het om een natuurlijke persoon moet gaan, houdt in dat gegevens van overleden personen of van organisaties geen persoonsgegevens zijn.
Voorbeelden van persoonsgegevens
Er zijn vele soorten persoonsgegevens. Voor de hand liggende gegevens zijn iemands naam, adres en woonplaats. Maar ook telefoonnummers en postcodes met huisnummers zijn persoonsgegevens. Gevoelige gegevens als iemands ras, godsdienst of gezondheid worden ook wel bijzondere persoonsgegevens genoemd. Deze zijn door de wetgever extra beschermd.
Bescherming van persoonsgegevens
Bescherming van de persoonlijke levenssfeer is een grondrecht. Dit recht is geregeld in:
- artikel 10 lid 1 van de Grondwet;
- artikel 8 van het Europees Verdrag inzake de rechten van de mens en de fundamentele vrijheden (EVRM);
- artikel 17 van het Internationaal Verdrag inzake burgerrechten en politieke rechten (IVBPR).
Bewaren van persoonsgegevens
De inhoud van een digitaal of papieren dossier bevat veel informatie over een persoon. De huisarts weet bijvoorbeeld welke medicijnen zijn patiënt gebruikt. En de werkgever kan zien wanneer het salaris van een werknemer voor de laatste keer is verhoogd. Om een goede administratie bij te kunnen houden, moet een organisatie bepaalde persoonsgegevens een tijd bewaren. Maar organisaties mogen die gegevens niet langer bewaren dan noodzakelijk is.
Er is op grond van de Wet bescherming persoonsgegevens (Wbp) geen concrete bewaartermijn voor persoonsgegevens. Organisaties bepalen zelf hoe lang zij persoonsgegevens bewaren. Hierbij kijken zij naar hoe lang de gegevens nodig zijn voor het doel waarvoor deze zijn verzameld of worden gebruikt.
Wel zijn er concrete bewaartermijnen in andere wetten waar organisaties zich aan moeten houden. Bijvoorbeeld op grond van belastingwetgeving.
Vernietigen of archiveren
Is de bewaartermijn van persoonsgegevens voorbij of zijn de gegevens niet meer noodzakelijk? Dan moeten organisaties de gegevens vernietigen.
Organisaties mogen persoonsgegevens in een archief bewaren als dit bestemd is voor historische, statistische of wetenschappelijke doeleinden.
Tenzij de Archiefwet of een andere wet van toepassing is, geldt voor persoonsgegevens in een archief geen bewaartermijn. De organisatie moet de gegevens vernietigen als ze niet meer nodig zijn voor het doel van het archief.
Verstrekken van persoonsgegevens
Een organisatie mag niet zomaar persoonsgegevens doorgeven aan personen of andere organisaties. De algemene regel is dat verstrekken van persoonsgegevens alleen mag als dat verenigbaar is met het doel waarvoor de gegevens zijn verzameld. Of dit het geval is, hangt af van de concrete omstandigheden. Dat kan dus per situatie verschillen.
Verenigbaar met doel
Bij de vraag of een verstrekking verenigbaar is, spelen verschillende factoren een rol. Bijvoorbeeld:
- de verwantschap met het doel van verzamelen;
- de aard van de gegevens;
- de gevolgen van een verstrekking;
- de waarborgen die zijn getroffen;
- de verwachtingen van de betrokkene (degene van wie een organisatie persoonsgegevens gebruikt).
Gronden voor verstrekking
Naast de algemene regel van verenigbaarheid geldt dat het verstrekken van gegevens gebaseerd moet zijn op een van de 6 gronden (ook wel grondslagen genoemd) uit artikel 8 van de Wet bescherming persoonsgegevens (Wbp). Dat zijn:
- toestemming van de betrokkene;
- uitvoeren van een overeenkomst;
- wettelijke verplichting;
- vitaal belang van de betrokkene;
- uitvoeren van een publiekrechtelijke taak;
- gerechtvaardigd belang van de organisatie.