Vergroot contrast

Richtsnoeren publicatie van persoonsgegevens op internet  

Op internet worden op heel veel manieren persoonsgegevens gepubliceerd, door overheidsinstellingen, door bedrijven, door journalisten of door particulieren. Publicaties op internet zijn over het algemeen wereldwijd, 24 uur per dag, toegankelijk voor een potentieel zeer omvangrijk en divers publiek. Het voordeel van deze grote toegankelijkheid heeft als keerzijde dat mensen van wie persoonsgegevens op internet staan, de betrokkenen, grote nadelen kunnen ondervinden van onjuiste, onvolledige of onnodige publicatie van hun persoonsgegevens. Op internet moeten persoonsgegevens op dezelfde zorgvuldige wijze worden verwerkt als in de offlinewereld. Deze publicatie van het College bescherming persoonsgegevens verschaft duidelijkheid over het toepassen van de Wet bescherming persoonsgegevens (Wbp) in een internetomgeving.

Inhoudsopgave

1 Basisbeginselen van de bescherming van persoonsgegevens op internet 6
2 Verplichtingen van de verantwoordelijke 16
3 Rechten van betrokkenen 36
4 Toepasselijkheid uitzondering journalistieke
doeleinden 40
5 Doorgifte buiten de EU 46
6 Handhaving en de rol van het CBP 50
Managementsamenvatting 54
Management summary 56

REGELS
In het kort dienen degenen die persoonsgegevens op internet (willen) publiceren, de verantwoordelijken, zich te houden aan de volgende regels.

Voorafgaand aan publicatie:
1 Stel vast of de publicatie een legitiem doeleinde dient en of dat doel verenigbaar is met het doel waarvoor de gegevens oorspronkelijk zijn verkregen.
2 Beschik over een rechtvaardigingsgrond voor publicatie.
De belangrijkste rechtvaardiging voor publicatie is toestemming van de betrokkenen. Als het verkrijgen van die toestemming niet mogelijk is, dienen verantwoordelijken te kunnen onderbouwen dat publicatie is toegestaan op grond van een van de vijf andere rechtvaardigingsgronden. Dit zijn: de uitvoering van een overeenkomst, het nakomen van een wettelijke verplichting, het vrijwaren van een vitaal belang van de betrokkene, het goed kunnen vervullen van een publiekrechtelijke taak, of het behartigen van het gerechtvaardigd belang van de verantwoordelijke. Bij deze vijf rechtvaardigingsgronden moet telkens de noodzaak worden vastgesteld om de gekozen persoonsgegevens op internet te publiceren.
3 Publiceer geen bijzondere persoonsgegevens.
Bijzondere persoonsgegevens zijn gegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, lidmaatschap van een vakvereniging, strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag. Publicatie van bijzondere persoonsgegevens op internet is alleen toegestaan als de betrokkene er uitdrukkelijk toestemming voor heeft gegeven of de gegevens bewust zelf openbaar heeft gemaakt.

Tijdens publicatie:

4 Leef de informatieplicht na.
Verantwoordelijken dienen betrokkenen actief te informeren over het doel en de opzet van de publicatie.
5 Vermeld duidelijk uw eigen identiteit, toegankelijk voor iedere bezoeker van de publicatie.
6 Zorg ervoor dat u persoonsgegevens niet langer bewaart en ter beschikking stelt dan strikt noodzakelijk.
7 Waarborg actief de kwaliteit en juistheid van de gepubliceerde persoonsgegevens.
8 Tref beveiligingsmaatregelen tegen onbevoegd gebruik.
Onder die maatregelen vallen onder meer dataminimalisatie, het afschermen van persoonsgegevens voor zoekmachines, doelgroepafbakening en het beveiligen van het gegevenstransport.

Volgend op publicatie:
9 Verwijder gegevens als de betrokkene zijn toestemming voor publicatie intrekt. Voldoe tevens aan verzoeken van betrokkenen tot inzage en aan verzoeken tot verwijdering, verbetering, aanvulling of afscherming van persoonsgegevens als die feitelijk onjuist zijn, voor het doeleinde onvolledig of niet ter zake dienend, dan wel anderszins in strijd met een wettelijk voorschrift worden verwerkt.
10 Verwijder onrechtmatig gepubliceerde persoonsgegevens. Dit speelt vooral bij publicaties met een reactiemogelijkheid voor bezoekers.
CBP Richtsnoeren - Publicatie van persoonsgegevens op internet 55

UITZONDERINGEN
Op deze regels voor verantwoordelijken zijn enkele uitzonderingen.
1 De eerste betreft het gebruik van persoonsgegevens voor uitsluitend persoonlijke of huishoudelijke doeleinden. De Wbp is daarop niet van toepassing. Wie van deze uitzondering gebruik wil maken, dient wel zodanige beveiligingsmaatregelen te treffen dat de persoonsgegevens alleen toegankelijk zijn voor een kenbare groep familieleden, huisgenoten of vrienden.
2 De Wbp kent specifieke regels voor publicaties met een historisch, statistisch of wetenschappelijk doeleinde. Wie op deze grond persoonsgegevens op internet wil publiceren, dient de toegang eveneens strikt af te bakenen. Er gelden bovendien nog striktere eisen ten aanzien van bijzondere persoonsgegevens.
3 Op de publicatie van persoonsgegevens voor uitsluitend journalistieke doeleinden is de Wbp slechts beperkt van toepassing.
4 De Wbp kent een verbod op doorgifte van persoonsgegevens naar landen buiten de EU waarvoor geen passend beschermingsniveau is vastgesteld. Conform het Lindqvist-arrest van het Europees Hof van Justitie is dit verbod niet van toepassing op publicaties op internet. Het feit dat publicaties op internet toegankelijk zijn in allerlei derde landen, wordt niet als ‘doorgifte’ beschouwd. De regels zijn alleen van toepassing op verantwoordelijken die doelbewust persoonsgegevens doorgeven naar een of meerdere derde landen, bijvoorbeeld door middel van een internationaal intranet.

SANCTIES
Verantwoordelijken die zich niet houden aan de Wbp kunnen door betrokkenen in rechte worden aangesproken, zowel op grond van de Wbp als op grond van het bestuursrecht en het civiele recht. Daarnaast kunnen zij in aanraking komen met de toezichthoudende bevoegdheden van het College bescherming persoonsgegevens, variërend van bemiddeling tot het instellen van een ambtshalve onderzoek en het opleggen van een dwangsom.

Noot
De uitleg in de richtsnoeren is beperkt tot de Wet bescherming persoonsgegevens. Bij het publiceren van beedmateriaal moet ook rekening worden gehouden met auteurs- en portretrecht.