Wet bescherming persoonsgegevens

Dit artikel gaat over de Wet Bescherming Persoonsgegevens uit 2001, die door de invoering van de Algemene Verordening Gegevensbescherming in mei 2018 buiten werking is gezet. Lees op de pagina over de Algemene Verordening Gegevens uitgebreide informatie over de actuele wet die persoonsgegevens beschermt.

Geschiedenis van privacy en bescherming van persoonsgegevens

 Met de ontwikkeling van het fotorolletje aan het einde van de negentiende eeuw is de juridische aandacht voor privacy en gegevensbescherming ontstaan. Iedereen kon opeens heel eenvoudig gefotografeerd worden. Doordat er geen toestemming meer hoefde te worden gegeven om gefotografeerd te worden (door langere tijd stil te zitten), kon dat ook op momenten of in situaties gebeuren, waar niet iedereen voorgoed vastgelegd wilde worden. De eerste rechtszaak over het recht op privacy ging dan ook over een jongedame die in een compromitterende situatie op een feestje was gefotografeerd zonder dat zij dat wist.

Sindsdien is er veel veranderd. Het ontstaan van geautomatiseerde gegevensbanken bracht een nieuwe dimensie in de bescherming van persoonsgegevens.

Wet Persoonsregistratie

 In 1989 werd de Wet Persoonsregistratie van kracht. Deze wet stelde regels aan het gebruik van persoonsgegevens door organisaties. Als gegevens voor een bepaald doel werden verzameld, was toestemming vereist om de persoonsgegevens ook voor een ander doel te gebruiken.

Europese ontwikkelingen

 In Europees verband werd ook druk gepraat over privacy en gegevensbescherming. Een belangrijk onderwerp was ook het gegevensverkeer tussen landen van de Europese Unie. Belemmeringen op dit gebied stonden ontwikkelingen in de weg. \Omgekeerd bracht internationaal gegevensverkeer uitgebreidere en nieuwe bedreigingen van de privacy met zich mee.

Op Europees niveau werd besloten een richtlijn uit te brengen, die de verschillende nationale wetten op het gebied van bescherming van persoonsgegevens meer zou harmoniseren. In 1995 werd de Europese richtlijn bescherming persoonsgegevens van kracht. Dit was de voorloper van de latere Algemene Verordening Gegevensbescherming.

Wet bescherming persoonsgegevens uit 2001

 De Wet Bescherming Persoonsgegevens was de Nederlandse invoering van de “Europese richtlijn bescherming persoonsgegevens” uit 1995.

De Wet Bescherming Persoonsgegevens heeft meerdere onderdelen. Als geheel kan de wet niet in een van de standaard rechtsgebieden worden toegewezen. Er worden rechten van personen in verleent, er wordt een grondrecht uit de Grondwet verder uitgewerkt en er zijn bestuursrechtelijke onderdelen voor de uitvoering, toezicht houden op naleving en sanctionering bij het niet naleven van deze Wet bescherming persoonsgegevens.

In de Wet Bescherming Persoonsgegevens werden al een flink aantal principes uit de Europees Verdrag inzake de rechten van de mens en de fundamentele vrijheden (EVRM) ingevoerd. Door het toekennen van rechten aan personen met betrekking tot het verwerken van zijn persoonsgegevens werd het individu beter beschermd dan voorheen.

Uiteindelijk zorgde een wens tot vergaande harmonisatie van Europese regelgeving op het gebied van privacybescherming, maar óók van het gegevensverkeer tussen landen van de EU onderling, tot de invoering van één geldende Europese wet op dit gebied, de Algemene Verordening Gegevensbescherming.

Verdwenen… of toch nog niet?

 Met de invoering van de Algemene Verordening Gegevensbescherming (de AVG) op 25 mei 2018 is de Wet Bescherming Persoonsgegevens (de WBP uit 2001) komen te vervallen. Hiermee is een stukje Nederlandse historie op het gebied van privacywetten tot een einde gekomen. Toch is de Wet Bescherming Persoonsgegevens nog niet helemaal verdwenen.

Er zijn namelijk in de afgelopen 17 jaar verschillende uitspraken gedaan naar aanleiding van deze wet die nog steeds wel relevant kunnen zijn. Een aantal interessante uitspraken in de jurisprudentie met betrekking tot de Wet Bescherming Persoonsgegevens kunnen in de komende tijd nog wel eens gebruikt gaan worden.

Ter voorbeeld de volgende zaken, die onder de AVG nog steeds zouden kunnen worden aangehaald:

CBP z2005-1372: Het CBP (College Bescherming Persoonsgegevens, de huidige Autoriteit Persoonsgegevens) dwingt het Flevoziekenhuis om het online afsprakensysteem aan te passen. Ondanks dat het CBP erkent dat een online afsprakensysteem voordelen kan bieden, dient  een dergelijk systeem niet meer informatie te bevatten dan strikt noodzakelijk voor het doel.

Diagnose informatie hoort volgens het CBP niet thuis in een online afsprakensysteem, omdat dit niet nodig is voor het plannen van een afspraak. Uit inhoudelijke gegevens over de afspraak met een specialist of arts blijkt informatie die iets zegt over de gezondheid van een patiënt, maken onderdeel uit van de vertrouwensrelatie tussen arts en patiënt. Deze informatie hoort volgens de Wbp niet thuis in een afsprakensysteem. Daarom moet deze informatie volgens het CBP zo goed mogelijk te worden afgeschermd voor derden. Onder de AVG is dit niet anders.

CBP z2012-00179: Het CBP concludeert na onderzoek dat het Ruwaard van Putten Ziekenhuis artikel 13 van de Wet Bescherming Persoonsgegevens overtreedt. Er waren onvoldoende beveiligingsmaatregelen getroffen om er voor te zorgen dat alleen maar die werknemers toegang hadden, die op grond van hun functie en werkzaamheden bevoegd waren tot het inzien van elektronische patiëntendossiers. Zo ontbraken maatregelen voor toegangsbeleid voor de patiëntgegevens, die volgens wettelijk voorgeschreven normen aanwezig hadden moeten zijn.

ECLI:NL:RVS:2004:AQ6618 Raad van State, 11-08-2004, 200308813/1: de registratie van de persoonsgegevens van een minderjarige in het Cliënt-Volgsysteem Jeugdcriminaliteit kan worden gezien als een noodzakelijke gegevensverwerking zoals bedoeld in artikel 8 onder e Wbp. De appelant had verzocht om gegevens van zijn zoon te laten verwijderen. De directeur Centrale Justitiële Documentatie wees echter dit verzoek af.

 © 2018 AVG Compleet BV