Berichten

Wanneer geldt de Wet Bescherming Persoongegevens?

Wanneer is de Wet Bescherming Persoonsgegevens (Wbp) eigenlijk van toepassing?

Geen onbelangrijke vraag, want als de Wbp van toepassing is, dan moeten de daarin vastgelegde regels worden gevolgd. En als dat niet zo is, dus niet.

Artikel 2 van de Wbp geeft het antwoord. Daarin staat:
“Deze wet is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen”.

Eenvoudiger gezegd: de Wbp geldt voor vrijwel alle handelingen met persoonsgegevens:

1. die geheel of gedeeltelijke geautomatiseerd (ook wel: gedigitaliseerd) plaatsvindt – denk dus aan het aanleggen en opvragen van elektronische bestanden, elektronisch versturen van berichten of elektronische uitwisseling van data; óf

2. die fysiek (ook wel: handmatig) plaatsvindt, maar dan alleen als de persoonsgegevens in een bestand staan of bedoeld zijn om daarin te worden opgenomen. Het meest voor de hand liggende voorbeeld is de kaartenbak.

Met “bestand” bedoelt de wet hier een gestructureerd geheel van persoonsgegevens dat makkelijk kan worden doorzocht. Het gaat dus niet om “bestand” in zin van een computerbestand, zoals een pdf document.

Wat zegt de Europese Privacy Richtlijn?

Artikel 2 is vrijwel één-op-één overgenomen van artikel 3 uit de Europese Privacy Richtlijn. Die Richtlijn schrijft voor hoe de Europese landen de privacy-regels in hun eigen wetten op moeten nemen.

In de toelichting op artikel 3 van de Richtlijn staat het volgende:

“verwerkingen die op [persoonsgegevens] betrekking hebben [vallen] slechts onder deze richtlijn als zij geautomatiseerd zijn of als de betrokken gegevens zijn opgeslagen of zullen worden opgeslagen in een bestand dat gestructureerd is volgens specifieke persoonscriteria teneinde een gemakkelijk toegang tot de betrokken persoonsgegevens mogelijk te maken.”

Hieruit blijkt dat het gaat om óf geautomatiseerde verwerkingen óf om verwerkingen waarbij de gegevens zijn of bedoeld zijn om te worden opgenomen in een gestructureerd bestand.

Ook het Hof van Justitie EU oordeelde in de zaak Lindqvist dat de Privacy Richtlijn al van toepassing is als persoonsgegevens louter geheel of gedeeltelijk geautomatiseerd worden verwerkt. In die zaak ging het om persoonsgegevens die op een website waren gezet. De vraag of de gegevens waren opgenomen in een bestand kwam daarbij in het geheel niet aan de orde.

In Nederland soms anders

Toch wordt daar in Nederland niet altijd zo over gedacht. Eén van de hoogste rechtscolleges in ons land, de Afdeling Bestuursrechtspraak van de Raad van State lijkt er namelijk van uit te gaan dat de Wbp alléén van toepassing is als persoonsgegevens zijn opgenomen in een bestand (of daarvoor bedoeld zijn), ongeacht de vraag of die persoonsgegevens geautomatiseerd of fysiek worden verwerkt.

De Raad van State oordeelde op 30 januari 2013 dat bepaalde persoonsgegevens die in digitale documenten stonden – in essentie – niet onder de Wbp vielen omdat die documenten geen onderdeel van een gestructureerd bestand vormden. Ook de Rechtbank Rotterdam geeft een dergelijk oordeel in een recente uitspraak, onder verwijzing naar het oordeel van de Raad van State in januari 2013.

Deze conclusies zijn naar mijn mening onjuist. Uit de hiervoor aangehaalde tekst van de Privacy Richtlijn en (in ieder geval) de Lindqvist uitspraak volgt dat het óf om geautomatiseerde verwerkingen moet gaan óf om fysieke verwerkingen van persoonsgegevens die in een bestand zijn opgenomen of daarvoor bedoeld zijn. Dus voor geautomatiseerde verwerkingen geldt niet per sé dat ze in een bestand moeten zijn opgenomen om onder de Wbp te vallen.

Nederlandse wetsgeschiedenis onduidelijk

Het kan zijn dat de Nederlandse wetsgeschiedenis verwarring heeft veroorzaakt omdat het op dit punt niet overal even duidelijk is. De Afdeling Bestuursrechtspraak lijkt zich te hebben laten leiden door de volgende passage uit de wetsgeschiedenis, omdat hij de schuine tekst letterlijk aanhaalt in zijn uitspraak:

“In de begripsomschrijving van «bestand» hebben de vereisten [dat het bestand bestaat uit een structureel en systematisch toegankelijk is] echter een ruimer bereik: ook de geautomatiseerde gegevensverwerkingen moeten aan beide vereisten voldoen wil er sprake zijn van een bestand.”

Maar uit deze passage volgt niet dat de Wbp alléén van toepassing zou zijn als de geautomatiseerde persoonsgegevens in een bestand staan, of daarvoor bedoeld zijn. Dat zou ook niet in lijn zijn met een andere passage uit de wetsgeschiedenis, die toch wel weer tamelijk duidelijk is:

“Het begrip «bestand» is in het onderhavige wetsvoorstel enkel van belang als criterium voor de afbakening van de reikwijdte van het wetsvoorstel en bepaalde onderdelen daarvan. Wat betreft de niet-geautomatiseerde verwerkingen vallen alleen bestanden, en dus bijvoorbeeld niet ongestructureerde dossiers onder het toepassingsbereik van dit wetsvoorstel (artikel 2, eerste lid).”

Hieruit volgt dat geautomatiseerde verwerkingen altijd onder het toepassingsbereik van de Wbp vallen óók als ze niet onderdeel uitmaken van een bestand.

Een onwenselijke conclusie

Als zou worden aangenomen dat de Wbp alléén op geautomatiseerde verwerkingen van persoonsgegevens van toepassing is als die gegevens onderdeel uitmaken een bestand, dan zou de reikwijdte van de Wbp aanzienlijk worden beperkt en dat lijkt mij onwenselijk.

Naschrift

Inmiddels is de Raad van State zelf ook van mening dat voornoemde conclusie onjuist is. In dit arrest uit 2014 zegt de Raad van State uitdrukkelijk dat de Wbp van toepassing is op geautomatiseerde verwerkingen en op niet-geautomatiseerde verwerkingen van gegevens die bedoeld zijn om in een bestand op te worden genomen en dat de eis dat de gegevens een bestand moeten worden niet geldt voor geautomatiseerde verwerkingen.