het leven zit

vol verhalen

Oude man vertelt verhaal

Privacyregels bij publicatie

Mag ik zomaar alles online publiceren?

Het College Bescherming Persoonsgegevens heeft richtlijnen gepubliceerd betreffende de publicatie van persoonsgegevens op internet.

Op internet worden op heel veel manieren persoonsgegevens gepubliceerd, door overheidsinstellingen, door bedrijven, door journalisten of door particulieren. Publicaties op internet zijn over het algemeen wereldwijd, 24 uur per dag, toegankelijk voor een potentieel zeer omvangrijk en divers publiek. Het voordeel van deze grote toegankelijkheid heeft als keerzijde dat mensen van wie persoonsgegevens op internet staan, de betrokkenen, grote nadelen kunnen ondervinden van onjuiste, onvolledige of onnodige publicatie van hun persoonsgegevens. Op internet moeten persoonsgegevens op dezelfde zorgvuldige wijze worden verwerkt als in de offlinewereld. Deze publicatie van het College bescherming persoonsgegevens verschaft duidelijkheid over het toepassen van de Wet bescherming persoonsgegevens (Wbp) in een internetomgeving.

Regels

In het kort dienen degenen die persoonsgegevens op internet (willen) publiceren, de verantwoordelijken, zich te houden aan de volgende regels:

Voorafgaand aan publicatie:

    1. Stel vast of de publicatie een legitiem doeleinde dient en of dat doel verenigbaar is met het doel waarvoor de gegevens oorspronkelijk zijn verkregen.
    2. Beschik over een rechtvaardigingsgrond voor publicatie. De belangrijkste rechtvaardiging voor publicatie is toestemming van de betrokkenen. Als het verkrijgen van die toestemming niet mogelijk is, moeten verantwoordelijken kunnen onderbouwen dat publicatie is toegestaan op grond van een van de vijf andere rechtvaardigingsgronden. Dit zijn: de uitvoering van een overeenkomst, het nakomen van een wettelijke verplichting, het vrijwaren van een vitaal belang van de betrokkene, het goed kunnen vervullen van een publiekrechtelijke taak, of het behartigen van het gerechtvaardigd belang van de verantwoordelijke. Bij deze vijf rechtvaardigingsgronden moet telkens de noodzaak worden vastgesteld om de gekozen persoonsgegevens op internet te publiceren.
    3. Publiceer geen bijzondere persoonsgegevens.
      Bijzondere persoonsgegevens zijn gegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, lidmaatschap van een vakvereniging, strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag. Publicatie van bijzondere persoonsgegevens op internet is alleen toegestaan als de betrokkene er uitdrukkelijk toestemming voor heeft gegeven of de gegevens bewust zelf openbaar heeft gemaakt.

Tijdens publicatie:

    1. Leef de informatieplicht na.
      Verantwoordelijken dienen betrokkenen actief te informeren over het doel en de opzet van de publicatie.
    2. Vermeld duidelijk je eigen identiteit, toegankelijk voor iedere bezoeker van de publicatie.
    3. Zorg ervoor dat je persoonsgegevens niet langer bewaart en ter beschikking stelt dan strikt noodzakelijk.
    4. Waarborg actief de kwaliteit en juistheid van de gepubliceerde persoonsgegevens.
    5. Tref beveiligingsmaatregelen tegen onbevoegd gebruik. Onder die maatregelen vallen onder meer dataminimalisatie, het afschermen van persoonsgegevens voor zoekmachines, doelgroepafbakening en het beveiligen van het gegevenstransport.

Volgend op publicatie:

  1. Verwijder gegevens als de betrokkene zijn toestemming voor publicatie intrekt.
    Voldoe ook aan verzoeken van betrokkenen tot inzage en aan verzoeken tot verwijdering, verbetering, aanvulling of afscherming van persoonsgegevens als die feitelijk onjuist zijn, voor het doeleinde onvolledig of niet ter zake dienend, dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt.
  2. Verwijder onrechtmatig gepubliceerde persoonsgegevens. Dit speelt vooral bij publicaties met een reactiemogelijkheid voor bezoekers.

Uitzonderingen

Op deze regels voor verantwoordelijken zijn enkele uitzonderingen.

De eerste betreft het gebruik van persoonsgegevens voor uitsluitend persoonlijke of huishoudelijke doeleinden. De Wbp is daarop niet van toepassing. Wie van deze uitzondering gebruik wil maken, moet wel zodanige beveiligingsmaatregelen te treffen dat de persoonsgegevens alleen toegankelijk zijn voor een kenbare groep familieleden, huisgenoten of vrienden.

De Wbp kent specifieke regels voor publicaties met een historisch, statistisch of wetenschappelijk doeleinde.
Wie op deze grond persoonsgegevens op internet wil publiceren, dient de toegang eveneens strikt af te bakenen. Er gelden bovendien nog striktere eisen ten aanzien van bijzondere persoonsgegevens.

Op de publicatie van persoonsgegevens voor uitsluitend journalistieke doeleinden is de Wbp slechts beperkt van toepassing.

De Wbp kent een verbod op doorgifte van persoonsgegevens naar landen buiten de EU waarvoor geen passend beschermingsniveau is vastgesteld.

Conform het Lindqvist-arrest van het Europees Hof van Justitie is dit verbod niet van toepassing op publicaties op internet. Het feit dat publicaties op internet toegankelijk zijn in allerlei derde landen, wordt niet als ‘doorgifte’ beschouwd. De regels zijn alleen van toepassing op verantwoordelijken die doelbewust persoonsgegevens doorgeven naar een of meerdere derde landen, bijvoorbeeld door middel van een internationaal intranet.

Sancties

Verantwoordelijken die zich niet houden aan de Wbp kunnen door betrokkenen in rechte worden aangesproken, zowel op grond van de Wbp als op grond van het bestuursrecht en het civiele recht. Daarnaast kunnen zij in aanraking komen met de toezichthoudende bevoegdheden van het College bescherming persoonsgegevens, variërend van bemiddeling tot het instellen van een ambtshalve onderzoek en het opleggen van een dwangsom.

Noot

De uitleg in de richtlijnen is beperkt tot de Wet bescherming persoonsgegevens. Bij het publiceren van beeldmateriaal moet ook rekening worden gehouden met auteurs- en portretrecht.

Genealogische websites

Wie geïnteresseerd is in stamboomonderzoek, vindt op internet steeds meer bronnen, zowel gedigitaliseerd archiefmateriaal als onderzoek door (amateur-) genealogen. Omdat de Wbp niet van toepassing is op overleden personen, zijn er vanuit de Wbp weinig bezwaren tegen het publiceren van een stamboom op internet. Toch ontvangt het CBP regelmatig vragen en klachten over stambomen op internet. In het begrijpelijke streven naar volledigheid bevatten veel stambomen informatie over levende personen, zoals hun geboortedatum. In sommige stambomen worden zelfs de ziekten vermeld waaraan mensen zijn overleden. Dergelijke informatie kan betrekking hebben op nabestaanden en dus een persoonsgegeven zijn, als het gaat om erfelijke ziekten waarmee de kinderen kunnen zijn belast. Dat kan het geval zijn bij een moeder die aan hemofilie leed. Omdat deze ziekte is gebonden aan een gen in het X-chromosoom, geeft zij de ziekte in ieder geval door aan zonen. In dit voorbeeld is de Wbp dus wel van toepassing.

Wie een stamboom wil publiceren op internet, doet er verstandig aan om zich in eerste instantie te beperken tot gegevens van overledenen en alleen gegevens op te nemen over levende personen als zij daarin ondubbelzinnig hebben toegestemd. De Wbp kent geen principe als ‘wie zwijgt, stemt toe’ bij het publiceren op internet van persoonsgegevens. De publicist moet reële moeite doen om de (levende) familieleden te bereiken en hen – voorafgaand aan de publicatie op internet van hun persoonsgegevens – vertellen wat hij over hen wil publiceren en met welk doel. Als een familielid geen toestemming geeft voor een dergelijke vermelding, mogen zijn of haar gegevens niet worden gepubliceerd. De publicist kan in de stamboom op internet een verwijzing opnemen als: ‘Uit dit huwelijk kwamen drie kinderen voort, onder wie…’