Iedere onderneming of organisatie heeft met de Wet bescherming persoonsgegevens (Wbp) te maken. In deze wet staat wat er wel en niet mag met onze gegevens. We hebben bijvoorbeeld het recht op informatie en inzage in onze gegevens. Als burger hebben wij het recht te weten waarom en hoe een organisatie de persoonsgegevens gebruikt. De Autoriteit Persoonsgegevens (voorheen: College bescherming persoonsgegevens) controleert of een organisatie zich aan de wet houdt.

De Nieuwsbrief van advocatenkantoor Pellicaan gaat uitgebreid in op de bepalingen van de Wbp (september 2016). Heel nuttig, want vandaag de dag komen de persoonsgegevens van burgers in honderden bestanden voor.
De Wbp is de Nederlandse uitwerking van de Europese richtlijn bescherming persoonsgegevens en is al sinds 1 september 2001 van kracht. Het is dus geen nieuwe wet. Maar per 1 januari 2016 is de Wbp gewijzigd. De meest besproken wijzigingen betreffen de invoering van de zogenaamde ‘meldplicht bij datalekken’ en de boetebevoegdheden van de Autoriteit Persoonsgegevens zijn aanzienlijk uitgebreid. Op 25 mei 2018 wordt in heel Europa de Europese Privacy verordening van kracht en dit heeft ook gevolgen voor de Wbp.
De vraag of de gegevens wel veilig zijn is heel belangrijk geworden.

Ellen Timmer, advocaat ondernemingsrecht bij Pellicaan, houdt in haar weblog de stand van zaken bij over privacy, persoonsgegevens en digitale veiligheid. Op 1 augustus 2016 bijvoorbeeld schreef zij: In deze digitale tijd is voor iedereen die zijn persoons- of bedrijfsgegevens afgeeft de vraag of die gegevens wel veilig zijn bij die wederpartij. Dit geldt zowel voor particulieren (‘natuurlijke personen’) als voor bedrijven. Hoewel discussies over privacy vaak over particulieren gaan, moet niet worden vergeten dat ook ondernemingen, zoals zorgverleners, administratiekantoren, verzekeringstussenpersonen en notarissen, belang hebben bij het zorgvuldig omgaan met klantgegevens, bijvoorbeeld omdat zij geheimhoudingsverplichtingen hebben.

Privacy hangt nauw samen met (cyber)security, want het gaat er niet alleen om dat personen en bedrijven niet willen dat ‘de vuile was’ (of de schone was) op straat komt te liggen. Iedereen wil graag weten wat er met de gegevens gebeurt die aan een ander worden verstrekt, of deze vertrouwelijk worden behandeld en of er geen derden met slechte bedoelingen bij de gegevens kunnen.

Het gaat niet alleen om de persoonsgegevens maar  ook om de transactiegegevens ofwel: de klantgegevens

Het gaat niet alleen over persoonsgegevens (naam, adres, woonplaats) of die van de relaties, zoals de inhoud van het adresboek en contacten op sociale media, maar ook over transactiegegevens: wat wordt er gekocht, welke artikelen worden gelezen, welke handelingen worden verricht, enz., samen te vatten als ‘klantgegevens’.

De verstrekte gegevens komen in de digitale omgeving van een ander terecht en dan is de vraag of die gegevens daar blijven, dan wel (bewust of onbewust) worden doorgegeven, bijvoorbeeld aan ondernemingen die bezig zijn om profielen samen te stellen, zoals het bedrijf YD, dat ‘een tik op de vingers’ kreeg van de Autoriteit Persoonsgegevens (AP). Het is echter niet alleen profilering wat aandacht verdient; er zijn meer ‘nieuwsgierigen’ die belangstelling hebben voor dingen waar zij niets mee te maken hebben, zoals criminelen.

Volgens Timmer kunnen ondernemers zich onderscheiden door privacy en veiligheid een prominente plaats te geven bij het aanbieden van producten en diensten. Timmer geeft zes aanbevelingen, zoals het hanteren van kwaliteitssystemen op het gebied van het zorgvuldig omgaan met klantgegevens, certificering en controleonderzoeken.

Ondernemers kunnen kansen grijpen met privacy, door Ellen Timmer, 1 augustus 2016: https://ellentimmer.files.wordpress.com/2014/06/2014-06-ondernemers-kunnen-kansen-grijpen-met-privacy.pdf

Digitale zaken in het wetgevingsprogramma van het ministerie van veiligheid, Ellen Timmer – juridische artikelen en berichten, 21 september 2016: https://ellentimmer.wordpress.com/2016/09/21/wbp-3/