U bent hier: Home > In praktijk > Privacy algemeen

Hierover meer

Privacy algemeen

Binnen deze pagina

Verwerking van mijn persoonsgegevens
Verzamelen van persoonsgegevens
Een doel bepalen
Gevoelige gegevens
Kwaliteit van de gegevens
Uw rechten
Uw gegevens worden doorgegeven naar het buitenland

Verwerking van mijn persoonsgegevens

Er gaat geen dag voorbij of we hebben onze persoonlijke gegevens ergens bekendgemaakt of aan iemand doorgegeven. Of meer nog, onze gegevens worden door anderen nagekeken, gebruikt voor een bepaald doel, of misschien geselecteerd en gecatalogeerd in databanken.
Met persoonsgegevens bedoelen we onder meer:

de naam van een persoon,
een foto,
een telefoonnummer (zelfs een telefoonnummer op het werk),
een code,
een bankrekeningnummer,
een e-mailadres,
een vingerafdruk,
…

De informatie- en communicatietechnologieën zijn snel geëvolueerd, wat veel mogelijkheden en talrijke voordelen biedt. Door het gebruik van de computer en van het internet kunnen bedrijven maar ook de overheid een betere dienstverlening garanderen en wordt ons dagelijkse leven vergemakkelijkt.

Het gebruik van die technologieën kan echter ook onze privacy in gevaar brengen. De gegevens die door technologieën worden verspreid zijn immers vaak persoonlijk. Gegevensbanken of bestanden met persoonlijke gegevens worden aangelegd, gebruikt, meegedeeld en verkocht. Het wordt dan ook steeds moeilijker te weten wie welke gegevens heeft en wat ermee gebeurt; we hebben niet langer de controle over onze gegevens. Het gevaar op misbruik is bijgevolg groot.

Sinds 1992 bestaat in België een wet die ervoor zorgt dat uw persoonlijke gegevens niet zomaar kunnen worden verwerkt. Deze wet is beter gekend als de Privacywet. De Belgische Privacywet omschrijft heel precies op welke manier en onder welke omstandigheden persoonlijke gegevens mogen worden verwerkt of doorgegeven. Met " gegevensverwerking" wordt bedoeld: elke mogelijke bewerking die op die gegevens wordt uitgevoerd, zoals verzamelen, gebruiken, beheren of meedelen. Enkele voo rbeelden:

een winkel die u vraagt een antwoordstrookje in te vullen, verwerkt gegevens;
een hotel dat u de mogelijkheid biedt online te reserveren verwerkt eveneens gegevens wanneer het daarvoor uw naam, de data van uw verblijf en uw kredietkaartnummer opvraagt.

De Privacywet wil de burger beschermen tegen het gebruik van zijn persoonlijke gegevens. De Privacywet bepaalt de rechten en plichten van de persoon wiens gegevens verwerkt worden, net als de rechten en plichten van de verwerker zelf.

Voor u verder leest, is het belangrijk dat u weet dat de Privacywet niet van tel is als u gegevens verzamelt die enkel voor u persoonlijk zullen dienen of enkel nuttig zijn voor huishoudelijk gebruik. Dat is bijvoorbeeld het geval voor uw persoonlijke elektronische agenda of uw privéadressenbestand. Ook journalisten, schrijvers en kunstenaars moeten niet alle regels van de Privacywet naleven wanneer ze gegevens verwerken.

Op deze webpagina’s vindt u beknopte informatie over hoe persoonsgegevens moeten verwerkt worden, wie ze mag verwerken, voor welk doel en wat de rechten en plichten zijn van diegene die uw gegevens verwerkt.

Voor wie zich grondig en volledig wil verdiepen in de bescherming van persoonsgegevens, raden we aan om het document "Bescherming van persoonsgegevens in België" te lezen of de Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens.

Verzamelen van persoonsgegevens

Een gegevensverwerking begint met het verzamelen van gegevens. Maar vóór de gegevens worden verzameld moet de verantwoordel ijke voor de verwerking bij de Commissie aangifte doen van die verwerking. U kunt alles over de aangifte lezen in het themadossier aangiften.

De verzameling van gegevens moet eerlijk en dus transparant verlopen. Dit betekent dat de persoon die uw gegevens verzamelt, de verantwoordelijke voor de verwerking genoemd, u daarover moet informeren.

De verantwoordelijke voor de verwerking moet:

aangeven waarom hij uw persoonsgegevens wil verkrijgen;
zijn contactgegevens doorgeven;
laten weten wie uw gegevens zal krijgen;
vermelden dat u het recht hebt uw gegevens in te kijken en te verbeteren;
vermelden dat u zich kosteloos mag verzetten tegen het gebruik van uw gegevens voor direct marketing, zoals bijv. reclameacties.

De verantwoordelijke voor de verwerking mag niet:

zeggen dat hij een bepaald doel nastreeft terwijl hij met de verzamelde gegevens andere bedoelingen heeft;
handelen zonder uw medeweten (bijv. als u via een website een bestelling plaatst en u daardoor uw persoonsgegevens moet meedelen, moet die website een rubriek voorzien waar u op de hoogte wordt gebracht wat er met uw gegevens zal gebeuren. Deze rubriek wordt meestal "privacypolicy" genoemd).

Persoongegevens mogen enkel worden verzameld als ze noodzakelijk zijn om het aangekondigde doel te bereiken en ze ter zake kunnen dienen. Zo mag een handelaar de naam en het adres van zijn klanten vragen om hen facturen toe te sturen of hen over zijn commerciële activiteiten te informeren. Hij heeft echter geen geldige reden om de geboortedatum of het beroep van zijn klanten te vragen.

De verwerker is niet altijd verplicht om zich rechtstreeks tot u te richten om uw gegevens te verkrijgen. Hij kan de gegevens ook bekomen bij een andere persoon of bij instellingen of maatschappijen die over gegevensbanken beschi kken.

Twee voorbeelden:

een huisarts stuurt de gegevens van een patiënt naar een specialist;
een bedrijf kan aan een uitzendbureau vragen om een lijst te sturen met het curriculum vitae van de personen die aan een gewenst beroepsprofiel beantwoorden.

Ook hier moet u als betrokken persoon geïnformeerd worden, tenzij u reeds op de hoogte zou zijn.

Als het onmogelijk of onredelijk veel moeite kost om de betrokken personen in te lichten, is de verantwoordelijke voor de verwerking vrijgesteld van die informatieplicht. Hij moet daarover echter altijd verantwoording afleggen bij de Commissie. Hij voegt zijn verantwoording dan bij de aangifte die hij moet doen vóór hij start met de verwerking.

Een doel bepalen

De verantwoordelijke voor de verwerking mag uw persoonsgegevens enkel verwerken (m.a.w. verzamelen, gebruiken, beheren, meedelen) als hij voldoet aan een aantal voorwaarden. Hij kan uw persoonsgegevens niet verzamelen en gebruiken zonder een precieze doelstelling te bepalen. De verantwoordelijke legt de doelstelling vast bij het begin en dit bepaalt het verdere verloop van de activiteiten. Het is op basis van dit vastgelegd doel dat de verantwoordelijke zal beslissen:

welke gegevens hij mag verzamelen;
wat hij ermee zal doen;
of hij ze mag meedelen en aan wie hij ze mag meedelen.

Hij mag daarna op uw gegevens enkel die bewerkingen uitvoeren die hem helpen zijn doel te bereiken en die daarmee verenigbaar zijn. Met "verenigbaar" bedoelen we wat in de Privacywet daarover is bepaald en wat u redelijkerwijs (normaal gezien) mag verwachten. Als de verantwoordelijke uw gegevens gebruikt voor andere doeleinden die onverenigbaar zijn met het oorspronkelijk doeleinde, dan is dat strafbaar.
Bijvoorbeeld:

een fitnessclub die zijn ledenlijst verkoopt aan een bedrijf dat vermageringskuren aanbiedt;
een oogarts die de namen van zijn patiënten doorgeeft aan een bedrijf dat gespecialiseerd is in de verkoop van contactlenzen (hij mag daarentegen zijn dossiers wel doorgeven aan een confrater van wie hij de mening wil weten).

De verantwoordelijke mag niet zomaar eender welk doel voor ogen hebben. Het spreekt vanzelf dat het moet gaan om een gerechtvaardigd doel. Dit betekent dat de belangen van de verantwoordelijke voor de verwerking in evenwicht moeten zijn met uw belangen als betrokken persoon. Een doelstelling die uw privacy bovenmatig zou aantasten is geen gerechtvaardigd doel. Bijvoorbeeld: een bestand samenstellen met bijna-zestigers om hen op hun zestigste verjaardag documentatie toe te sturen over een begrafenisverzekering "omdat het tijd wordt hierover na te denken", is geen gerechtvaardigd doel. Het nadeel dat deze personen hierdoor ondervinden is ongetwijfeld groter dan het commercieel belang van de persoon die het bestand samenstelt.

Eens de verantwoordelijke een gerechtvaardigd doel heeft vastgelegd, moet hij daarbij nog minstens een van de volgende voorwaarden vervullen. Hij mag uw gegevens slechts verwerken als:

u daarvoor uw ondubbelzinnige, vrije en geïnformeerde toestemming geeft;
of als de verwerking noodzakelijk is voor de uitvoering van een overeenkomst die u met de verantwoordelijke hebt afgesloten (bv. een bank die u een hypothecaire lening heeft toegekend);
of als de wet dat eist. De werkgever is bijvoorbeeld verplicht om aan de sociale zekerheid bepaalde gegevens over zijn personeel mee te delen;
of als de verwerking voor u van levensbelang is. Bijvoorbeeld bij een bewusteloos slachtoffer van een ongeval over wie medische gegevens worden verzameld om hem te kunnen verzorgen;
of als de verwerking moet gebeuren om een taak van openbaar belang te vervullen. Zo heeft De Post het recht een bestand te maken met de adres wijzigingen van haar klanten zodat ze de post na de verhuizing verder kan bezorgen;
of als de gegevensverwerking noodzakelijk is om een gerechtvaardigd belang te behartigen van de verantwoordelijke of een andere persoon, tenminste als de belangen van de betrokken persoon niet zwaarder doorwegen.

Gevoelige gegevens

Sommige gegevens zijn zo delicaat dat ze alleen in zeer specifieke gevallen mogen verwerkt worden. Uw naam en adres zijn eerder onschuldige gegevens, maar dit geldt niet voor uw ras, gezondheid, politieke opvattingen, levensbeschouwelijke overtuigingen (gelovige of atheïst, enz…), seksuele voorkeuren of uw gerechtelijk verleden. De Privacywet regelt de registratie en het gebruik van die gevoelige gegevens heel strikt.

De verantwoordelijke mag wel gevoelige gegevens (met uitzondering van de gerechtelijke gegevens) over u verwerken als:

hij uw schriftelijke toestemming heeft gekregen;
dat noodzakelijk is om u de nodige zorgen te verstrekken;
dat verplicht is door de arbeidswetgeving.

Politieke partijen, congregaties, vakbonden, ziekenfondsen en andere instellingen mogen uiteraard de gegevens van hun leden registreren en gebruiken. Zij mogen die gegevens echter niet aan iemand anders meedelen zonder toestemming van de betrokken personen. Gerechtelijke gegevens (over verdenkingen, vervolgingen en veroordelingen) mogen worden verwerkt door een overheidsinstantie als dat noodzakelijk is voor de uitoefening van haar taken.

Daarnaast zijn er nog een aantal andere maatregelen die de verantwoordelijke in acht moet nemen bij het verwerken van gevoelige gegevens. Om een volledig overzicht te hebben, leest u het best het document "Bescherming van persoonsgegevens in België".

Kwaliteit van de gegevens

Ook de gegevens zelf moeten aan bepaalde voorwaarden voldoen. De verantwoordelijke voor de verwerking moet zorgen voor:

de goede kwaliteit van de gegevens. Dit betekent dat de gegevens nauwkeurig moeten zijn;
de vertrouwelijkheid van de gegevens. Hij moet er dus voor zorgen dat ze niet zomaar door iedereen kunnen worden ingekeken en meegedeeld;
de veiligheid van de gegevens. Hij moet erover waken dat ze niet gestolen worden of verloren gaan. Hoe gevoeliger de gegevens, hoe groter de beveiligingsgraad moet zijn;
dat hij gegevens niet langer mag bewaren dan nodig is om zijn doel te bereiken. Na afloop moet hij de gegevens dus wissen.

Uw rechten

Van zodra iemand uw gegevens verwerkt, hebt u:

recht op informatie. U moet dus verwittigd worden dat uw gegevens verwerkt zullen worden en waarom dat gebeurt. De wet bepaalt welke informatie de verantwoordelijke voor de verwerking aan u moet verstrekken;
het recht vragen te stellen aan de verantwoordelijke. U kunt hem vragen of hij gegevens over u bezit. Hij moet u meedelen welke gegevens hij over u heeft en waarom, welke soort gegevens het zijn en wie die gegevens zal ontvangen;
recht op rechtstreekse toegang tot uw gegevens. Dit betekent dat u altijd kennis mag hebben van uw gegevens. Belangrijk is wel dat uw recht op toegang niet automatisch betekent dat u een kopie krijgt van de gegevenslijst waarop u geregistreerd bent. De verantwoordelijke mag u ook gewoon (per brief en zelfs per telefoon) meedelen dat hij gegevens over u bezit en over welke gegevens het precies gaat (bv. uw naam en adres, of uw telefoonnummer, of uw geboortedatum,…). Door uw recht op toegang weet u waar de gegevens vandaan komen en hoe men tot een bepaalde beslissing is gekomen (bijvoorbeeld bij niet-toekenning van een lening).
Om uw recht op toegang uit te oefenen, stuurt u de verantwoordelijke een brief of fax waarbij u een kopie voegt van uw identiteitskaart of een e-mail met uw elektronische handtekening;
recht op onrechtstreekse toegang. Er zijn bepaalde gegevens die u niet zomaar kunt inkijken, ook niet als het uw gegevens zijn. Dit is het geval voor gegevens die worden bijgehouden voor de bescherming van de veiligheid van het land, openbare veiligheid, landsverdediging of voor preventie of bestraffing van misdrijven. In die gevallen moet u om te weten of er over u gegevens verwerkt worden, aan de Commissie een brief schrijven met een kopie van uw identiteitskaart. De Commissie treedt dan op als tussenpersoon en kan in uw plaats uw gegevens inkijken. Daarna laat de Commissie u weten dat ze uw gegevens heeft gecontroleerd en eventueel dat ze uw gegevens heeft laten wijzigen, zonder dat ze de inhoud ervan vrijgeeft.
Het kan ook gaan om uw gezondheidsgegevens. U kunt daar zelf rechtstreeks toegang tot krijgen of het kan gebeuren dat de verantwoordelijke voor de verwerking vraagt dat een tussenpersoon dat in uw plaats doet. Dit om te voorkomen dat u bijvoorbeeld ook gevoelige gegevens van een familielid zou kunnen inkijken;
recht op verbetering van uw gegevens. Als u merkt dat er onjuiste, onvolledige, overbodige of verboden gegevens over u circuleren, kunt u dit kosteloos laten rechtzetten, laten wissen of verbieden te gebruiken. Als de verantwoordelijke voor de verwerking niet binnen de maand de fout heeft rechtgezet, kunt u bij de Commissie schriftelijk klacht indienen;
recht op verzet. U kunt zich altijd verzetten tegen het gebruik van uw gegevens, maar dan moet u daar ernstige redenen voor hebben. U kunt zich niet verzetten als het gaat om een gegevensverwerking die is opgelegd door een wet of reglementaire bepaling. Anderzijds mag u zich kosteloos en zonder redenen verzetten tegen het gebruik van uw gegevens wanneer ze verwerkt worden voor direct marketingdoeleinden;
het recht niet aan een geautomatiseerde beslissing te worden onderworpen. Het zou niet goed zijn mocht een bepaalde beslissing die u aanbelangt enkel en alleen afhangen van de beslissingen van een machine. Zo is het dan ook bij wet verboden dat een beslissing die ingrijpende gevolgen voor u zou hebben, genomen wordt op basis van een geautomatiseerde gegevensverwerking die bepaalde aspecten van uw persoonlijkheid evalueert. Dit verbod is echter niet van toepassing wanneer het gaat om het afsluiten van een overeenkomst, bijvoorbeeld een lening of een verzekering of als het verplicht is door een wet of reglementaire bepaling. U krijgt echter wel altijd de kans uw mening te laten kennen;
het recht een klacht in te dienen bij de Commissie of bij de rechtbank. Als u moeilijkheden ondervindt bij het uitoefenen van uw rechten of als u merkt dat een verantwoordelijke zijn plichten niet nakomt, kunt u een klacht indienen bij de Commissie. De Commissie probeert dan te bemiddelen om de zaak in der minne te regelen. De Commissie behandelt uw klacht gratis.

Als dat niet lukt, kan zij de overtreding melden bij de Procureur des Konings of ze kan een zaak aanspannen bij de rechtbank. U kunt ook zelf een zaak aanspannen bij de rechtbank of klacht indienen bij de Procureur des Konings.

Uw gegevens worden doorgegeven naar het buitenland

Wilt u zich over dit onderwerp ten gronde informeren, dan raden wij u sterk aan het thema "Grensoverschrijdende doorgifte van persoonsgegevens" te lezen.

Lees ook onze FAQ: privacy algemeen