Persoonsgegevens in goede handen bij FG

Auteurs: 
Sjaak Nouwt, juridisch adviseur KNMG

Berend de Vries, Managing Partner Comfort-IA

Wanneer een bedrijf of instelling privacygevoelige gegevens registreert, moet dit gemeld worden aan het College bescherming persoonsgegevens (CBP) of aan een speciale functionaris, tenzij de registratie onder de vrijstelling valt. Hoe zit het precies met zorginstellingen?

Sinds de invoering van de Wet bescherming persoonsgegevens (Wbp, 2001) bestaat er een wettelijke meldingsplicht voor organisaties in de private en (semi-)publieke sector die persoonsgegevens verwerken. De directie of het bestuur is verantwoordelijk voor de melding, door middel van een papieren meldingsformulier of via het meldingsprogramma op de website van het CBP. Het CBP kan een boete opleggen van € 4.500 voor iedere niet aangemelde verwerking van persoonsgegevens.


Ter voorkoming van te veel administratieve lasten, kent de Wbp echter ook het zogenoemde Vrijstellingsbesluit, een algemene maatregel van bestuur, zoals genoemd in artikel 29 van de Wbp. Vrijstelling is krachtens deze regeling mogelijk voor zover een “inbreuk op de fundamentele rechten en vrijheden van de betrokkenen onwaarschijnlijk is”. Daarbij moet vooral worden gedacht aan verwerkingen die veel voorkomen, standaard zijn en waarvan algemeen bekend is dat zij plaatsvinden. Daarvan is sprake bij verwerkingen waarvan het bestaan “evident” is, zoals dat in de toelichting genoemd wordt. Met andere woorden, het bestaan en de aard van de verwerking zijn voor betrokkenen kenbaar en bijna vanzelfsprekend: verwerkingen die afwijken van de standaard zijn gemakkelijk te onderkennen voor de betrokkenen. Voorbeelden zijn het abonneebestand van een krant, het ledenbestand van een vereniging, personeels- en salarisadministraties.


In artikel 27 en 28 van de Wbp staat de regeling voor de melding uitgewerkt en artikel 29 lid 1 geeft een mogelijkheid tot vrijstelling: