Recent zijn de regels rond de vrijstellingen van de Wet bescherming persoonsgegevens aangepast. Hiermee wordt het eenvoudiger voor bedrijven en instellingen om persoonsgegevens (namen, adressen, contactgegevens etcetera) te verwerken. Of nou ja, een formaliteit wordt lichter gemaakt: men hoeft in een aantal nieuwe gevallen de privacywaakhond niet meer te melden dat men dit doet. En als ik zo vrij mag zijn: dit zal (afgezien van cameratoezicht) niets veranderen, want geen hond die zich in deze situaties aan de meldingsplicht hield.
Wie persoonsgegevens verwerkt, moet dit melden bij de privacyautoriteit: het College bescherming persoonsgegevens (nu Autoriteit Persoonsgegevens). Zo kan iedereen nagaan hoe zijn gegevens worden verwerkt en waarom. Persoonsgegevens verwerken doe je al snel - iedereen met een adresboek in zijn mailprogramma of een logfunctionaliteit op het intranet doet dat al, bijvoorbeeld. Om nu echter te voorkomen dat al dat soort triviale verwerkingen moet worden aangemeld, kent de wet een vrijstellingsmogelijkheid. Wie zich aan de regels uit een vrijstelling houdt, hoeft dus niet langer te melden wat hij doet.
Maar let wel: het feit dat men onder een vrijstelling valt, betekent niet dat dus de verwerking legaal is. Het betekent enkel dat de verwerking niet hoeft te worden gemeld bij het Cbp!
Voor cameratoezicht ten behoeve van beveiliging verandert de bewaartermijn van 24 uur naar vier weken. Dit wil zeggen dat een bedrijf vier weken aan beveiligingsbeelden mag bewaren zonder het Cbp op te hoogte te hoeven stellen van het cameratoezicht. De eisen over het waarschuwen van bezoekers en het kunnen rechtvaardigen van het toezicht zelf blijven gewoon gelden.
Een vereniging of stichting die informatie over betrokkenen en activiteiten wil publiceren op de eigen website, hoeft deze verwerking niet meer aan te melden. Wil men een standenlijst van een sportvereniging of de lijst met aanwezigen bij de algemene ledenvergadering online zetten, dan hoeft dat niet meer te worden gemeld.
Wél moet de toestemming van de leden hiervoor verkregen worden, net als voorheen. En ook moeten de betreffende delen van de website zijn afgeschermd voor niet-leden.
Ook wanneer men foto’s en videobeelden maakt van leden, hoeft dat niet apart te worden gemeld. Maar portretrecht blijft gewoon gelden.
Een onderwijsinstelling kinderopvang, gastouderinstelling etcetera hoeft niet meer te melden dat zij informatie over de leerlingen, deelnemers of studenten op haar website publiceert. Ook hier geldt dat deze vrijstelling vereist dat het betreffende deel van de website afgesloten is voor het algemene publiek, met name voor zoekmachines.
Bedrijven die op hun intranet persoonsgegevens verwerken (zoals het interne adresboek of de Wie-is-wie pagina) hoeven dit niet meer aan te melden wanneer het gaat om informeren over de bedrijfsactiviteiten (wie is wie, wie aan te spreken bij welke gelegenheid) en het tonen van foto's en video's over het werk of het bedrijf.
De eis om toestemming aan de OR te vragen voor al deze soorten verwerkingen (en natuurlijk ook om een goede grond voor verwerking an sich te hebben) blijft gewoon bestaan.
Personen die een individuele website (dus niet zakelijk of commercieel) hebben, hoeven bij het Cbp deze site niet te registreren als ze daar gegevens over henzelf of hun familie vermelden, hun mening geven waarbij persoonsgegevens genoemd worden, of als ze foto's en video's plaatsen.
Ook hier blijft een goede grondslag voor deze 'verwerking' (ik heb echt moeite met bloggen of twitteren "een verwerking van persoonsgegevens te noemen) noodzakelijk. Deze zal in 9 van de 10 keer in de vrije meningsuiting gevonden worden.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.