Wbp: rollen en meldingsplicht

In deze blog ga ik nader in op twee elementen uit de Wet bescherming persoonsgegevens (Wbp). Ten eerste de rollen die in de wet worden onderscheiden met betrekking tot de verwerking van persoonsgegevens. Het tweede onderwerp is de meldingsplicht: verwerkingen van persoonsgegevens moeten worden gemeld bij het College bescherming persoonsgegevens (CBP), behalve als is voldaan aan de vereisten uit het vrijstellingsbesluit. Dit zijn belangrijke elementen om te kunnen vaststellen of is voldaan aan de Wbp.

Verantwoordelijke, betrokkene, bewerker

Bij de verwerking van persoonsgegevens worden drie rollen onderscheiden door de Wet bescherming persoonsgegevens. Degene die doel en middelen voor de verwerking van persoonsgegevens bepaalt is de verantwoordelijke. Dit kan een natuurlijk of rechtspersoon zijn. De verantwoordelijke moet erop toezien dat de verwerking gebeurt conform de Wet bescherming persoonsgegevens. De betrokkene is degene op wie de persoonsgegevens betrekking hebben. Als de gegevens in opdracht van de verantwoordelijke worden verwerkt door een andere partij dan heet dat de bewerker. Als een deel van de verwerking is uitbesteed, bijvoorbeeld aan een softwareleverancier of een datacenter, dan is er dus sprake van een bewerker. In dat geval is het aan te raden een bewerkersovereenkomst te sluiten. Dit kan als onderdeel van het contract of in een aparte overeenkomst. De Wet verplicht de verantwoordelijke expliciet ervoor zorg te dragen dat de bewerker in overeenstemming met de Wbp werkt: “De verantwoordelijke ziet toe op de naleving van die maatregelen.”

Melding en vrijstelling

Conform artikel 29 van de Wet bescherming persoonsgegevens (Wbp) moet de verantwoordelijke voor de geautomatiseerde verwerking van persoonsgegevens deze verwerking melden bij het College bescherming Persoonsgegevens (CBP). Om nu te voorkomen dat alle gebruikelijke verwerkingen gemeld moeten worden is er een Vrijstellingsbesluit. Dit besluit beschrijft welke verwerkingen niet gemeld hoeven te worden en onder welke voorwaarden de vrijstelling geldt. Voorbeelden van vrijgestelde administraties zijn een ledenadministratie, een salarisadministratie, een debiteuren- en crediteurenadministratie en een leerlingenadministratie. In deze blog beschrijf ik welke vrijstellingen en voorwaarden er zijn voor de verwerking van persoonsgegevens in de zorg.

Vrijstellingen in de zorg

Voor de zorg geldt dat er in het vrijstellingsbesluit twee categorieën zijn beschreven waarvoor vrijstelling van melden mogelijk is. Dat zijn verwerkingen van:

• beoefenaren van individuele beroepen in de gezondheidszorg, als bedoeld in de Wet op de beroepen in de individuele gezondheidszorg, betreffende hun patiënten;
• instellingen gezondheidszorg als bedoeld in artikel 1.1.1, van de Wet langdurige zorg en artikel 1, onderdeel m, van de Zorgverzekeringswet, betreffende personen aan wie zij verblijf, verzorging en zorg verschaffen.

Verder is beschreven dat de verwerking alleen voor bepaalde, limitatief opgesomde, doelen mag geschieden: de doelbinding. Dit zijn doelen als het uitoefenen van het beroep en het verlenen van zorg, het berekenen en innen van de vergoeding, de controle daarop en het verrichten van wetenschappelijk of statistisch onderzoek.

De gegevens die worden opgeslagen mogen geen andere gegevens zijn dan de in het vrijstellingsbesluit genoemde gegevens. Dit zijn met name de gegevens benodigd voor het verlenen van zorg en voor de administratie.

Worden andere gegevens verwerkt of worden gegevens verwerkt voor andere doelen dan genoemd in het vrijstellingsbesluit, dan wil dat niet direct zeggen dat de verwerking verboden is. De verwerking moet dan wel worden gemeld bij het CBP. De verantwoordelijke persoon of organisatie moet ervoor zorgdragen dat de verwerking binnen de grenzen van de Wet bescherming persoonsgegevens plaatsvindt.

Wel of niet vrijgesteld?

Om te bepalen of een verwerking van persoonsgegevens is vrijgesteld van melding (voldoet aan de vereisten uit het Vrijstellingsbesluit Wbp) heeft het CBP een handreiking gepubliceerd. Als niet aan de vereisten is voldaan moet de verwerking gemeld worden bij het CBP. Dit kan via de een programma of een formulier. Beide zijn te vinden op de site van het CBP.