Persoonsgegevens
In artikel 1 sub a Wbp wordt een persoonsgegeven als volgt gedefinieerd: “elk gegeven be-treffende een geïdentificeerde of identificeerbare natuurlijke persoon”. Op de eerste plaats gaat het om gegevens betreffende natuurlijke, levende personen.96 Dit zijn gegevens als naam en geslacht. Ook gegevens die een waardering verschaffen over een persoon, zoals het IQ en de hoogte van het inkomen, zijn persoonsgegevens.
Op de tweede plaats moet de persoon aan de hand van de gegevens (in)direct kunnen wor-den geïwor-dentificeerd.97 Direct identificerende gegevens geven informatie over een persoon, van wie zonder veel moeite de identiteit kan worden vastgesteld. Dat is bijvoorbeeld het ge-val bij de combinatie naam, adres, geslacht en geboortedatum. Gegevens zonder naam, maar die met behulp van de tot de beschikking staande middelen en aan de hand van ande-re gegevens kunnen leiden tot identificatie van een bepaald persoon door de verantwoorde-lijke en/of de ontvanger, zijn indirect identificerende gegevens. Hierbij moet gedacht worden aan een registratienummer dat leidt naar een bepaald persoon. Een ander voorbeeld zijn de gegevens in medische dossiers van bijvoorbeeld de sectie Sociale Zaken. In de medische dossiers komen bijvoorbeeld persoonsgegevens betreffende de eigenschappen en gedra-gingen van burgers voor.98 Deze gegevens kunnen betrekking hebben op over de burgers genomen beslissingen. Ook unieke gegevens, zoals een vingerafdruk of het burgerservice-nummer, zijn indirect identificerende gegevens.
In principe is de Wbp van toepassing op levende, natuurlijke personen. Gegevens van rechtspersonen zijn in eerste instantie geen persoonsgegevens.99 Worden echter gegevens van contactpersonen verwerkt, dan zijn het wel persoonsgegevens. Persoonsgegevens van een overleden persoon kunnen toch onder de Wbp vallen als die gegevens informatie ver-schaffen over levende, natuurlijke personen, zoals de nakomelingen van de overleden.100 Verwerken
In artikel 1 sub b Wbp wordt onder het verwerken van persoonsgegevens het volgende ver-staan: “elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzi-gen, opvrawijzi-gen, raadplewijzi-gen, gebruiken, verstrekken door middel van doorzending, versprei-ding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwisselen of vernietigen van gegevens”. Er is sprake van verwerken als er feitelijke macht of invloed over de persoonsgegevens kan worden uit-geoefend, oftewel er kunnen handelingen worden verricht met de persoonsgegevens.101
96 L.B. Sauerwein en J.J. Linnemann, Handleiding voor verwerkers van persoonsgegevens (Ministerie van Justi-tie) 2002, p. 12-13.
T. Hooghiemstra & S. Nouwt, Tekst en toelichting Wet bescherming persoonsgegevens, Den Haag: Sdu Uitge-vers 2007, p. 34.
97 L.B. Sauerwein en J.J. Linnemann, Handleiding voor verwerkers van persoonsgegevens (Ministerie van Justi-tie) 2002, p. 13-14..
T. Hooghiemstra & S. Nouwt, Tekst en toelichting Wet bescherming persoonsgegevens, Den Haag: Sdu Uitge-vers 2007, p. 34-35.
98 CBP 30 juni 2003, z2003-0477.
99 L.B. Sauerwein en J.J. Linnemann, Handleiding voor verwerkers van persoonsgegevens (Ministerie van Justi-tie) 2002, p. 13.
100 T. Hooghiemstra & S. Nouwt, Tekst en toelichting Wet bescherming persoonsgegevens, Den Haag: Sdu Uit-gevers 2007, p. 36.
101 L.B. Sauerwein en J.J. Linnemann, Handleiding voor verwerkers van persoonsgegevens (Ministerie van Justi-tie) 2002, p. 14.
Onder verwerken vallen ook de verwerkingshandelingen die eigenlijk als één handeling te beschouwen zijn. Een voorbeeld hiervan is het verzamelen, gebruiken en opslaan van een de persoonsgegevens. Ook wanneer dezelfde persoonsgegevens aan verschillende organi-saties worden verstrekt, wordt dat gezien als een en dezelfde gegevensverwerking.
Verantwoordelijke
In artikel 1 sub d Wbp wordt een verantwoordelijke als volgt gedefinieerd: “de natuurlijke per-soon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt”.
De verantwoordelijke bepaalt welke persoonsgegevens worden verwerkt, voor welk doel ze worden verwerkt, welke middelen daarbij worden gebruikt en voor hoe lang de verwerking plaatsvindt.102 De feitelijke uitvoering kan gedelegeerd/gemandateerd worden aan anderen.
Bij de gemeente Haaren is de gemeenteraad, het College van Burgemeester en Wethouders (College), de burgemeester en/of de gemeentesecretaris de verantwoordelijke. De ambtelijke organisatie is daadwerkelijk belast met de verwerking van persoonsgegevens.
Er kan ook sprake zijn van gezamenlijke of gedeeltelijke verantwoordelijkheid.103 Dat kan zich voordoen in samenwerkingsverbanden. Bij gezamenlijke verantwoordelijkheid is van elke partij de verantwoordelijke hoofdelijk aansprakelijk. Is voor elke deelverwerking een af-zonderlijke verantwoordelijke, dan is er sprake van gedeeltelijke verantwoordelijkheid. In een samenwerkingsverband kan de verantwoordelijkheid ook bij één verantwoordelijke worden gelegd. De gemeente Haaren heeft bijvoorbeeld een samenwerkingsverband met de ge-meente Boxtel. De administratie van de sectie Sociale Zaken (afdeling Publiekszaken) be-vindt zich in Boxtel. Wel zit elke ochtend een medeweker bij het loket Wegwijs in de gemeen-te Haaren. Loket Wegwijs is een centraal aanspreekpunt voor inwoners van de gemeengemeen-te Haaren voor voorzieningen met betrekking tot zorg, welzijn, inkomensondersteuning en (aangepast) wonen. De verantwoordelijke voor de gegevensverwerkingen van de sectie So-ciale Zaken is het College van de gemeente Haaren.
Betrokkene
In artikel 1 sub f Wbp wordt een verantwoordelijke als volgt gedefinieerd: “degene op wie een persoonsgegeven betrekking heeft”. De persoonsgegevens bevatten informatie over de be-trokkene van wie de persoonsgegevens worden verwerkt. 104
De gemeente Haaren verwerkt vrijwel uitsluitend gegevens van haar burgers. Omdat dit on-derzoeksrapport gericht is aan de gemeente Haaren, wordt in plaats van de term “betrokke-nen” de term “burgers” gebruikt.
Bewerker
In artikel 1 sub e Wbp wordt een bewerker als volgt gedefinieerd: “degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen”. De bewerker verwerkt in opdracht van en onder verantwoordelijkheid van T. Hooghiemstra & S. Nouwt, Tekst en toelichting Wet bescherming persoonsgegevens, Den Haag: Sdu Uitge-vers 2007, p. 36-37.
102 L.B. Sauerwein en J.J. Linnemann, Handleiding voor verwerkers van persoonsgegevens (Ministerie van Justi-tie) 2002, p. 16-17.
T. Hooghiemstra & S. Nouwt, Tekst en toelichting Wet bescherming persoonsgegevens, Den Haag: Sdu Uitge-vers 2007, p. 38.
103 T. Hooghiemstra & S. Nouwt, Tekst en toelichting Wet bescherming persoonsgegevens, Den Haag: Sdu Uit-gevers 2007, p. 38-39.
104 T. Hooghiemstra & S. Nouwt, Tekst en toelichting Wet bescherming persoonsgegevens, Den Haag: Sdu Uit-gevers 2007, p. 41.
de verantwoordelijke de persoonsgegevens.105 De bewerker behoort niet tot de organisatie van de verantwoordelijke. Een voorbeeld is de uitbesteding van de salarisadministratie aan een extern bureau.
De verantwoordelijke blijft als enige bevoegd tot het bepalen van welke persoonsgegevens worden verwekt, voor hoe lang ze worden verwerkt, voor wel doel en met welke middelen ze worden verwerkt. De medewerkers die de persoonsgegevens verwerken behoren tot de or-ganisatie van de verantwoordelijke, namelijk de gemeente Haaren, en staan in hiërarchische verhouding tot de verantwoordelijke. Zij zijn dus geen bewerkers. Een bewerker heeft veelal een contractuele relatie met de verantwoordelijke.106
Ontvanger
In artikel 1 sub h Wbp wordt een ontvanger als volgt gedefinieerd: “degene aan wie de per-soonsgegevens worden verstrekt”. De ontvanger kan zich zowel intern, zoals de verstrekking aan een medewerker van de gemeente Haaren, als extern bevinden.107 Bij externe ontvan-gers moet gedacht worden aan de verstrekking van de gegevens aan de Belastingdienst of een gezondheidsinstelling.
Derde
In artikel 1 sub g Wbp wordt een derde als volgt gedefinieerd: “ieder, niet zijnde de betrokke-ne, de verantwoordelijke, de bewerker, of enig persoon die onder rechtstreeks gezag van de verantwoordelijke of de bewerker gemachtigd is om persoonsgegevens te verwerken”. De derde heeft geen hiërarchische of contractuele relatie met de verantwoordelijke.108
105 T. Hooghiemstra & S. Nouwt, Tekst en toelichting Wet bescherming persoonsgegevens, Den Haag: Sdu Uit-gevers 2007, p. 40.
106 T. Hooghiemstra & S. Nouwt, Tekst en toelichting Wet bescherming persoonsgegevens, Den Haag: Sdu Uit-gevers 2007, p. 42.
107 T. Hooghiemstra & S. Nouwt, Tekst en toelichting Wet bescherming persoonsgegevens, Den Haag: Sdu Uit-gevers 2007, p. 42.
108 T. Hooghiemstra & S. Nouwt, Tekst en toelichting Wet bescherming persoonsgegevens, Den Haag: Sdu Uit-gevers 2007, p. 42.