Home Actueel Archief Persoonsgegevens ontvangen waar niet om is gevraagd, wat moet je ermee?

Persoonsgegevens ontvangen waar niet om is gevraagd, wat moet je ermee?

Archief
13-11-17

Het gebeurt vaak: een klant, medewerker of andere derde wordt gevraagd bepaalde gegevens in te vullen op een formulier en dit formulier wordt meer dan volledig ingevuld ingezonden.

Als u het formulier, de e-mail of het CV opent, ziet u dat u niet alleen waar u om heeft gevraagd (zoals een naam, telefoonnummer, e-mailadres en omschrijving van de klacht) maar ook allerlei gegevens over de persoonlijke situatie van deze persoon, misschien zelfs wel medische of strafrechtelijke gegevens, of een BSN. Wat moet je met deze ongevraagde persoonsgegevens?

Wanneer uw organisatie gegevens verzamelt van natuurlijke personen, waarvoor uw organisatie zelf de doeleinden en middelen heeft vastgesteld, geldt dat uw organisatie onder de Wet bescherming persoonsgegevens (‘Wbp’) als “verantwoordelijke” voor deze gegevens wordt aangemerkt. Simpeler gezegd: heeft u om de persoonsgegevens gevraagd, of zijn deze op uw website ingevuld, dan bent u daarvoor verantwoordelijk. Vanaf 25 mei 2018 gaat diezelfde vlieger op onder de Algemene Verordening Gegevensbescherming (‘AVG’ of in het Engels ‘GDPR’). Dit betekent dat uw organisatie verplicht is om zich bij het verwerken van persoonsgegevens (waaronder het ontvangen daarvan ook wordt verstaan) te houden aan de regels in de Wbp en de AVG.

De wet stelt dat uw organisatie alleen persoonsgegevens mag verwerken (waaronder dus ‘ontvangen’) als uw organisatie daarvoor een legitiem doel heeft vastgesteld en het niet méér gegevens betreft dan die gegevens die noodzakelijk zijn voor dat doel. Dit betekent dus strikt genomen dat u géén gegevens mag ontvangen, die u niet nodig heeft. Daarnaast geldt dat u de persoonsgegevens op een technische en organisatorische wijze voldoende moet beveiligen, het versturen en ontvangen van gegevens per e-mail voldoet veelal al niet aan dit vereiste. Het gebruik van webformulieren via een https-verbinding zijn dan een beter alternatief.

U krijgt niet direct de Autoriteit Persoonsgegevens op bezoek als u gegevens ontvangt die u niet nodig heeft. Ook niet als u ongevraagd (gevoelige) gegevens per e-mail ontvangt. Maar het is wel zaak om actie te nemen. In ieder geval geldt voor u als verantwoordelijke de verplichting om de gegevens te verwijderen van uw systemen (inclusief eventuele back-ups). Dat er in de e-mail of in het webformulier gegevens staan die u wel nodig heeft, kan dan een probleem opleveren. U kunt ervoor kiezen om de relevante gegevens dan bijvoorbeeld over te nemen en de e-mail of het formulier te wissen. U kunt er ook voor kiezen om de afzender een bericht te sturen dat u zijn verzoek niet kunt voldoen, omdat u op basis van de privacywetgeving verplicht bent om de email te wissen vanwege de persoonsgegevens die erin staan.

Wanneer u gebruik maakt van een webformulier, kunt u ook bij het formulier zelf al aandacht vragen voor het beperkt formuleren van de klacht/de aanvraag. Geef aan dat uw organisatie verplicht is om formulieren waarin persoonsgegevens staan waar niet om is gevraagd (zoals medische gegevens, strafrechtelijke gegevens, politieke gegevens of een BSN) te verwijderen bij binnenkomst.

Meer weten over de privacy? Neem dan contact op met ons team Privacy. U kunt ook onze whitepaper downloaden om wegwijs te worden in de nieuwe privacywetgeving: de AVG.

 

Deel dit artikel