De Wet bescherming persoonsgegevens (Wbp) geeft regels ter bescherming van de privacy van burgers. De wet is op 1 september 2001 in werking getreden, en geeft de burger meer rechten. De burger heeft het recht om te weten wat er met zijn persoonsgegevens gebeurt, mag zijn gegevens inzien en corrigeren en kan in veel gevallen bezwaar maken tegen het gebruik van zijn persoonsgegevens.

Organisaties die persoonsgegevens verwerken krijgen meer plichten. Een organisatie mag persoonsgegevens alleen verzamelen en verwerken als daar een goede reden voor is, of als de betrokken burger daar zelf toestemming voor heeft gegeven. Ook moeten zij in veel gevallen de burger laten weten wat zij met zijn gegevens (gaan) doen.

In een serie van artikelen (deel1) geeft de "Data Privacy Counsel" antwoord op vragen over de Wbp en privacy van de burger. Vandaag ongewenste persoonlijk geadresseerde brieven en het onderzoek van het Incassoregister.nl door het College bescherming persoonsgegevens.

Vraag: Mijn rechten onder de Wbp, waar moet ik beginnen. Mooie wet, goed doel. Je zegt uitoefenen van mijn Wbp-rechten, dit is echt abracadabra voor mij. Ik krijg steeds vaker aan mij persoonlijk geadresseerde brieven van bedrijven waar ik in het verleden geen enkel contact mee heb gehad. Hoe kan ik hier dan concreet wat tegen doen?...

Data Privacy Counsel: Koppeling en verkoop van bestanden van persoonsgegevens komt steeds vaker voor, de wettelijke informatieplicht wordt daarbij door derden-verantwoordelijken meestal niet nageleeft. Vaak weet je gewoon niet dat je gegevens ongevraagd door deze derden gebruikt worden, soms kun je ze op het spoor komen op het moment dat je een brief van zo’n derde krijgt.

Kort gelden kreeg ik weer eens ongevraagd een brief op naam en adres van een loterij. Mijn persoonsgegevens had deze loterij zeker niet van mijzelf ontvangen. Met succes, heb ik d.m.v. de onderstaande brief, in een keer zonder verdere stappen, mijn doel bereikt. Binnen 4 weken ontving ik een keurige brief terug met als resultaat: inzicht in de verwerkingen en verwijdering van mijn persoonsgegevens uit hun bestanden.

Deze brief kun je dan vervolgens weer gebruiken tegen andere derden aan wie de aangeschreven verantwoordelijke je persoonsgegevens inmiddels heeft verstrekt. Laat je gegevens dus niet meer ongevraagd gebruiken. Zodra je een ingang hebt (gevonden), verzoekje versturen en doorzetten!

Onderwerp: Ongevraagde verwerking van mijn persoonsgegevens in <.....>
Datum : <.....>

Geachte ,

Naar aanleiding van uw brief van , waarin u mij laat weten dat ik geselecteerd ben voor <.....>, deel ik u mede dat ik totaal geen prijs stel op registratie of deelname.

Derhalve verzoek ik u hierbij om mij een volledig overzicht te verstrekken van alle door u als verantwoordelijke verrichte verwerkingen van mijn persoonsgegevens, alsmede van wie u mijn gegevens heeft ontvangen en aan wie u deze gegevens inmiddels heeft verstrekt.

Nadat ik van u de verlangde overzichten heb ontvangen, kunt u dit schrijven opvatten als een aantekening van verzet tegen de verwerking van mijn persoonsgegevens , hetgeen dient te leiden tot de verwijdering van mijn persoonsgegevens uit uw bestanden en een volledig overzicht van degenen aan wie u mededeling heeft gedaan van deze wijziging in de verwerking van mijn persoonsgegevens.

Ik vertrouw erop dat u binnen de in de Wbp gestelde termijnen voldoet aan mijn verzoeken. Mocht u hier onverhoopt toch niet aan voldoen, dan zal ik ter effectuering van mijn rechten zeker overgaan tot inschakeling van de rechter en/of het College bescherming persoonsgegevens.

Inmiddels verblijf ik,

Waarom onderzoekt het College bescherming persoonsgegevens (CBP) het Incassoregister.nl. nu eigenlijk, zij verwerken toch alleen bedrijfsgegevens en geen persoonsgegevens?...

Data Privacy Counsel: Een bedrijfsgegeven, dus geen persoonsgegeven?
Een onder de Wet bescherming persoonsgegevens (Wbp) vallend persoonsgegeven is elk gegeven waarmee een bepaalde natuurlijke persoon geïdentificeerd is of kan worden. Deze gegevens moeten dus direct of indirect tot een individuele persoon (betrokkene) herleidbaar (kunnen) zijn. Dergelijke persoonsgegevens behoeven niet alleen feitelijke en (direct) kwalificerende gegevens van persoonlijke aard te zijn, ook andere (indirecte) identificerende object- of bedrijfsgegevens kunnen als persoonsgegeven worden aangemerkt. De vraag is dus of personen binnen het bedrijf zonder gebruik van buiten-proportionele middelen geidentificeerd kunnen worden.

Incassoregister.nl stelt op haar website: “Is Incassoregister.nl aangemeld bij het College Bescherming Persoonsgegevens? Nee. Incassoregister legt geen persoonsgegevens vast, maar uitsluitend vorderingen op bedrijven”.

De door Incassoregister.nl opgenomen gegevens hebben als het doel om de debiteur (het bedrijf) te beoordelen, dan wel een beoordeling over zijn betaalgedrag mogelijk te maken. Voorts is er sprake van een beoogde dwang aan het adres van de debiteur om tot betaling van hetgeen verschuldigd is over te gaan. Deze dwang kan op zich wel rechtmatig zijn. Dit ligt natuurlijk weer anders als de verwerkte gegevens persoonsgegevens blijken te zijn en Incassoregister.nl zich niet aan de Wbp houdt.

Incassoregister.nl stelt dat er alleen bedrijfsgegevens verwerkt worden. Echter zijn aan een
bedrijf/rechtspersoon natuurlijke personen verbonden; werknemers, bestuurders, aandeelhouders c.q. eigenaren. Een rechtspersoon kan nu eenmaal niet in het rechtsverkeer optreden zonder deze mensen. Wanneer deze mensen niet met normale proportionele middelen te identificeren zijn, kan inderdaad van zuivere bedrijfsgegevens gesproken worden. Aangezien een bedrijf/rechtspersoon nu juist door mensen (moet) wordt(en) vertegenwoordigd, kunnen deze mensen ook eenvoudig worden geidentificeerd via diverse andere registers en informatiebestanden.

Daarbij kan vanzelfsprekend nog worden opgemerkt dat de door Incassoregister.nl (hoe terecht in het kader van de wanbetaling ook) verwerkte belastende bedrijfs-/betalinggegevens voor het bedrijf in kwestie nadelig zijn. Deze negatieve behandeling/beoordeling door publicatie van de gegevens blijft niet beperkt tot het bedrijf zelf, maar kan in de praktijk vooral zijn weerslag hebben op de personen binnen het bedrijf. Bij een eenmanszaak, waar het bedrijf en de persoon achter het bedrijf een en dezelfde zijn, werkt dit nog sterker; gegevens over het bedrijf kunnen in dat geval meestal aangemerkt worden als direct identificerende persoonsgegevens over de eigenaar.

Conclusie: De stelling van Incassoregister.nl is onjuist. (een belangrijk deel van) De door Incassoregister.nl verwerkte bedrijfsgegevens zijn tevens persoonsgegevens, waarop de Wbp onverminderd van toepassing is.