Door Caroline Fievez
Landsverordening bescherming persoonsgegevens
U hebt vast ook zo’n vriend of vriendin: via Facebook mag u meegenieten van de laatste Disney-vakantie met de kinderen, de nieuwe Hummer, de yellowfin op de Boston Whaler en van de feestjes met veel en vooral blije vrienden. Via de Whatsappstatus ziet u dat hij of zij ziek is - een groene smiley - of waar hij of zij zich nu bevindt: ‘no calls please, travelling through Australia’ - een thumbs up of een huppelende kangaroe als smiley -. De bewust gedeelde persoonlijke levenssfeer: dienen er dan nog regels te zijn om de persoonlijke levenssfeer te beschermen? Ja. Want men is er zich in het algemeen niet van bewust hoe onbegrensd de groep is met wie persoonsgegevens kunnen worden gedeeld, welke gegevens dat zijn en waartoe de gegevens kunnen worden gebruikt.
Europese landen hebben op grond van een EU-richtlijn al lange tijd wetgeving ter bescherming van de persoonlijke levenssfeer. Op Sint Maarten en de BES is sinds 10-10-‘10 eveneens een privacywet van kracht. Op Curaçao is de privacywet, de Landsverordening bescherming persoonsgegevens, op 1 oktober jl. in werking getreden.
Toestemming
Persoonsgegevens geven informatie over een persoon. Niet alleen geboortedatum, geloof, politieke gezindheid of geslacht betreffen persoonsgegevens, ook beeld, een IP-adres, inkomsten, bankrekening- of telefoonnummers, gegevens over een huis of auto, geven informatie over een persoon en betreffen daarmee persoonsgegevens. De privacywet bepaalt dat persoonsgegevens niet zonder toestemming van de betrokken persoon door anderen mogen worden verwerkt. De privacywet definieert het begrip verwerken erg ruim. Het houdt onder meer het bewaren, bewerken, doorgeven, wijzigen en uitwissen van persoonsgegevens in. Voorts geldt dat het de betrokken persoon duidelijk moet zijn met welk doel zijn gegevens door anderen worden verwerkt en voor hoe lang. Zo kunnen iemands persoonsgegevens voor een bank van belang zijn vanwege bijvoorbeeld een hypotheek. De gegevens worden dan bewaard voor de duur van die hypotheek.
Een snelle rondgang langs een aantal algemene voorwaarden van Curaçaose bedrijven leert dat lang niet alle algemene voorwaarden voldoen aan de privacywet. Zo geeft een aantal algemene voorwaarden niet aan met welk doel de persoonsgegevens worden bewaard. Dat laatste is van eminent belang. U hebt er mogelijk geen bezwaar tegen dat de supermarkt gegevens over uw aankopen bewaart en daarbij registreert hoeveel flessen wijn u per week koopt. Daarmee kan de supermarkt u bijvoorbeeld op de hoogte houden van wijnaanbiedingen. Maar als uw supermarkt diezelfde gegevens zou delen met uw ziekteverzekeraar, dan kunnen die aankopen in uw nadeel werken.
Beveiliging
De beveiliging van uw persoonsgegevens is van groot belang. Derden moeten niet eenvoudig aan de haal kunnen gaan met uw gegevens. De privacywet verplicht degene die de persoonsgegevens verwerkt, technische en organisatorische maatregelen te treffen om de persoonlijke gegevens te beveiligen tegen verlies of onrechtmatige verwerking. Dit geldt zowel voor gegevens die geautomatiseerd worden verwerkt als voor gegevens die niet geautomatiseerd worden verwerkt. Eenvoudig gezegd: indien uw persoonsgegevens in een papieren dossier liggen opgeslagen dan ligt dat dossier in een ruimte die niet toegankelijk is voor iedereen en beveiligd is tegen inbraak. Voor wat betreft gegevens die geautomatiseerd worden bewaard geldt dat die dusdanig zijn opgeslagen dat deze niet gehackt kunnen worden of op een andere wijze zichtbaar kunnen zijn voor iedereen. Zo ontdekte men in Nederland kort geleden dat met het bonuskaartnummer van de bonuskaart van Albert Heijn eenvoudig valt te achterhalen welke boodschappen de bonuskaarthouder heeft gedaan. Het bonuskaartnummer staat nagenoeg volledig op de kassabon, de ontbrekende nummers zijn vanwege vaak standaard nummers makkelijk te achterhalen. Het hoeft geen nader betoog dat de zichtbare aankoop van bijvoorbeeld een zwangerschapstest voor iemand nadelige consequenties kan hebben.
Beveiliging houdt ook in dat bedrijven die persoonsgegevens verwerken ervoor zorg dragen dat die gegevens niet door werknemers op afstand te raadplegen zijn of mee naar huis kunnen worden genomen. Wanneer een werknemer op zijn laptop werkt in een omgeving waar veel mensen zijn, bijvoorbeeld op een airport of in een hotellobby, kunnen derden niet alleen de gegevens vanaf het scherm lezen, met behulp van mobiele devices kunnen derden zich ook toegang verschaffen tot het scherm of de bestanden van de door de werknemer gebruikte laptop. Afgelopen week kwam in Nederland een service provider in het nieuws wegens een gestolen laptop van een werknemer. Daarop stonden persoonsgegevens van klanten die niet waren versleuteld (zonder encryptie).
Persoonsgegevens naar het buitenland
Degene die uw persoonsgegevens heeft opgevraagd mag uw gegevens door een ander laten verwerken. U kunt daarbij denken aan banken, verzekeraars, pensioenfondsen of internetproviders die hun administratie bij wijze van efficiëntie uitbesteden aan andere bedrijven: ‘outsourcing’. Outsourcing is toegestaan mits er voldoende waarborgen worden geboden. Ook aan buitenlandse bedrijven mag de verwerking worden uitbesteed. In dat geval vindt doorgifte van persoonsgegevens naar het buitenland plaats. Doorgifte van persoonsgegevens naar een land buiten het Koninkrijk, de zogenaamde derde landen, is toegestaan mits die derde landen een passend beschermingsniveau bieden. De privacywet legt dat passend beschermingsniveau overigens niet heel duidelijk uit. Doorgifte is ook toegestaan wanneer daar toestemming voor is gekregen van de minister van Bestuur, Planning, en Dienstverlening. Vooralsnog bestaat er geen beleid met betrekking tot doorgifte. Een lijst met landen die een passend beschermingsniveau bieden ontbreekt. Het ligt het meest voor de hand om aansluiting te zoeken bij de lijst van landen die door de EU zijn beoordeeld als landen die een passend beschermingsniveau bieden. De Verenigde Staten staan op deze lijst genoemd maar enkel daar waar het gaat om de doorgifte van passagiersgegevens of waar het bedrijven betreft die zich hebben verplicht tot de zogenaamde ‘Safe Harbor Principles’. Mastercard, Apple en Google zijn onder meer bedrijven die stellen zich aan die Safe Harbor Principles te houden. Kortom, de Verenigde Staten zijn dan ook niet zondermeer een land dat ter zake persoonsgegevens een passend beschermingsniveau biedt. Uruguay, Canada, Israël en Argentinië zijn landen die onder meer op de lijst worden genoemd als landen met een passend beschermingsniveau. Landen in deze regio zoals Venezuela, Colombia, Suriname of Brazilië komen niet op de EU-lijst voor.
Journalistiek
De privacywet geldt niet voor politie, justitie en de krijgsmacht en evenmin voor activiteiten met persoonlijke doeleinden. Hoewel het privé lijkt is uw Facebook-pagina dat niet. Daarop kunt u dan ook niet zonder toestemming van een betrokkene schrijven dat iemand met ziekteverlof is. Zonder toestemming een foto plaatsen van een vriendin die met een positieve zwangerschapstest zwaait of zichtbaar onder invloed is, is evenmin toegestaan. Voor zover persoonsgegevens worden gebruikt voor journalistieke, artistieke of literaire doeleinden, geldt de privacywet niet. De journalistieke vrijheid wordt echter wel begrensd: daar waar publicatie het maatschappelijk belang niet dient kan alsnog sprake zijn van schending van iemands privacy. Voorts geldt voor de journalistiek dat het als algemeen maatschappelijk aanvaarde norm heeft te gelden dat hetgeen wordt gepubliceerd op voldoende bronnen is gebaseerd. Zonder meer iets publiceren kan dan ook niet, zeker niet als dat iemands persoonlijke levenssfeer betreft.
Toezicht en handhaving
Hoewel de privacywet in werking is getreden wordt de wet nog niet gehandhaafd. Volgens de privacywet dient het College bescherming persoonsgegevens daartoe. Het College wordt bij landsbesluit benoemd. Dat is nog niet gebeurd. Daarmee is de privacywet niet zinloos: de wet geeft namelijk aan dat iedereen die persoonsgegevens verwerkt een jaar na inwerkingtreding van de wet – dus op 1 oktober 2014 – de verwerking in overeenstemming heeft gebracht met de wet. Voor de verwerking van bijzondere gegevens zoals iemands godsdienst of gezondheid, geldt zelfs een termijn van drie jaar. Het is desalniettemin van belang dat het College op de kortst mogelijke termijn wordt benoemd. Men heeft tijd nodig om in dit complexe onderwerp volledig thuis te raken. Bovenal is het van groot belang dat wordt toegezien op de bescherming van onze persoonsgegevens.
Waar kunt u zelf op letten
Zelf kunt u ook het nodige doen om de persoonlijke levenssfeer van uw klanten, uzelf of uw vrienden te beschermen. Let op de door u beheerde website van de schaakclub: geen adressen of telefoonnummers van de schaakleden. Evenmin vermeldt u daarop wanneer iemand afwezig is in verband met ziekte of vakantie. Controleer algemene voorwaarden op privacy: voor welk doel worden gegevens bewaard, voor welke termijn, bestaat er recht op inzage en is er voldoende passende beveiliging. Zorg dat klantgegevens zijn versleuteld. Zorg ook voor een intern beleid over het (niet) mee naar huis nemen van dossiers, laptops door werknemers. En let uiteraard op uw Facebook-pagina. Pagina’s waarop vrienden en fotoalbums niet zichtbaar zijn: thumbs up, I like this!
Bovenstaand is geen uitputtend overzicht van alle gevolgen van de Landsverordening bescherming persoonsgegevens. De gevolgen en oplossingen verschillen per geval, afhankelijk van de specifieke omstandigheden. Voor concreet advies kunt u contact opnemen met HBN Law (Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken. of Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken.). Aan dit bericht kunnen geen rechten worden ontleend. Alle rechten zijn voorbehouden.