De bescherming van meneer X

Op 1 september is na jarenlange voorbereiding de Wet bescherming persoonsgegevens officieel van kracht geworden. Wat betekent die wet voor internetbedrijven die gegevens over hun klanten willen vergaren?

Het is nog altijd schering en inslag op internet: bedrijven die in ruil voor diensten de consument het hemd van het lijf vragen. Niet iedere marketing manager zal zich hebben gerealiseerd dat het vergaren van persoonsgegevens aan regels is gebonden.

De nieuwe Wet bescherming persoonsgegevens (Wbp), die op 1 september van kracht is geworden, sluit aan op een reeds zes jaar bestaande Europese Richtlijn over de bescherming van natuurlijke personen en het vrije verkeer van gegevens. "De oude wetgeving weerspiegelde de toenmalige stand der techniek", zegt woordvoerder Gert Onne van de Klashorst van het College bescherming persoonsgegevens (CBP), de voormalige Registratiekamer. "De oude wet had de vooral betrekking op de verwerking van persoonsgegevens door mainframes. Omdat de informatisering van de maatschappij in een stroomversnelling is terechtgekomen moest de wet worden aangepast."

In feite komt het er op neer dat de bestaande regelingen flink zijn aangescherpt. "Als je gegevens van personen vastlegt moet je vertellen waarom je het doet en waarvoor je het doet", legt Van de Klashorst uit. "Centraal in de nieuwe wetgeving is wat wij doelbinding noemen. Als je zegt dat je gegevens vergaart voor doel a, mag je ze niet zonder meer voor doel b gebruiken."

Ook nieuw is dat de toezichthouder, in dit geval het CBP, nieuwe bevoegdheden heeft gekregen. "We kunnen voor bepaalde overtredingen boetes opleggen of bedrijven dwingen om orde op zaken te stellen", aldus Van de Klashorst.

De nieuwe wet stelt ook normen voor een behoorlijke en zorgvuldige verwerking van persoonsgegevens. Dat laatste is niet overbodig. Het is al eens gebeurd dat door een lek op de website van een verzekeringsmaatschappij gegevens van klanten zomaar op straat kwamen te liggen. Niet alleen namen, adressen en polisnummers werden openbaar, ook het soort verzekeringen dat klanten hadden lopen bij de verzekeraar. Een belangrijk element in de nieuwe wetgeving is dan ook dat passende technische en organisatorische maatregelen worden getroffen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking.

Elk bedrijf dat persoonsgegevens verzamelt moet dat bovendien aanmelden bij het CBP. Onder persoonsgegevens wordt niet alleen verstaan de naam en het adres van de persoon, ook een IP-adres valt onder de reikwijdte van de wet, ten minste als zo'n adres tot individuele personen herleid kan worden.

Niet alleen moet worden aangegeven waarvoor de bestanden gebruikt worden, consumenten hebben ook het recht om de gegevens in te zien en te laten wijzigen. Hiervoor kan een standaardvergoeding van maximaal tien gulden worden gevraagd.

Als bezwaar is gemaakt tegen de registratie, moeten de gegevens aangepast worden. Zo'n verzoek hoeft niet eens gemotiveerd te worden. Commerciële exploitatie van persoongegevens blijft overigens wel toegestaan, zolang aan een aantal voorwaarden wordt voldaan. Zo moet de consument altijd worden ingelicht. Als een onderneming adressen verhuurt of verkoopt aan een andere onderneming, mag het gebruik niet onverenigbaar zijn met het doel waarvoor dat bedrijf de gegevens heeft verkregen. Van de Klashorst: "Als bij een faillissement gegevens worden overgedragen moet het ontvangende bedrijf handelen conform de gewekte verwachtingen."

Volgens Van de Klashorst worden nog lang niet alle regels nageleefd, terwijl dat toch niet zo moeilijk is. "Een aantal jaren terug had men de mond vol over permissie marketing, maar in de praktijk heeft de consument nog maar weinig in te brengen."

In 1999 heeft CPB al eens een onderzoek ingesteld naar de wijze waarop internetaanbieders persoonsgegevens verzamelen en gebruiken. Directe aanleiding was de omstreden reclamecampagne van Xs4all, die zijn gratis concurrenten ervan beschuldigde de persoonsgegevens louter voor marketingdoeleinden te gebruiken. Concurrenten Euronet (Wanadoo) en Scaramea spanden daarop vergeefs een kort geding aan tegen Xs4all.

De toenmalige Registratiekamer werd niet vrolijk en concludeerde naderhand dat een minderheid van de providers de abonnee wees op het recht op inzage en correctie van de gegevens. Veel providers sloten de aansprakelijkheid voor de beveiliging van de persoonsgegevens zelfs geheel uit. Ook bleek dat niet iedere provider de bestanden bij de Registratiekamer had aangemeld.

Volgens Van de Klashorst is de situatie ten aanzien van veel dienstenaanbieders op het web nauwelijks verbeterd: "Aan webpagina's wordt allerlei software, zoals Java applets, toegevoegd om maar zoveel mogelijk gegevens over de klant te verzamelen zonder dat hij daarover wordt ingelicht. Er bestaat bij ons grote twijfel over de rechtmatigheid van het bewaren van deze gegevens voor marketingdoeleinden."

Boetes

In de toekomst zullen bedrijven zich minder makkelijk aan hun verplichtingen kunnen onttrekken. Ondernemingen die hun bestanden niet of onvolledig aanmelden riskeren een boete van 4540 euro, al is het de vraag of dergelijke boetes snel zullen worden opgelegd. Het college ziet volgens eigen zeggen meer in zachte dwang. Onder het motto 'Mag het een bitje minder zijn? ' wil het CBP bedrijven er bijvoorbeeld toe bewegen om in het algemeen zo voorzichtig mogelijk om te gaan met persoonsgegevens.

Lang niet altijd zijn persoonsgegevens ook echt nodig om bepaalde doelstellingen te realiseren. Het is niet altijd strikt noodzakelijk om de exacte leeftijd van een persoon te weten, als een leeftijdscategorie (25 – 40 jaar) ook voldoet.

Het CBP vindt het verder verstandig als grote bedrijven of brancheorganisaties een functionaris gegevensbescherming aanwijzen die binnen de organisatie toezicht houdt op de verwerking van persoonsgegevens en naleving van de Wbp. Deze persoon zou er op moeten toezien dat de voorlichting aan de consument niet wordt weggestopt in de Algemene Voorwaarden.

Voor organisaties die persoongegevens vergaren heeft het CPB een 'Wbp Zelfevaluatie' ontwikkeld, een systematische methode om zelfstandig de kwaliteit van een organisatie voor wat betreft de privacybescherming te beoordelen. Desgewenst kan een organisatie een beroep doen op een interne of externe auditor (zoals een accountant).