Wbp is de afkorting voor Wet bescherming persoonsgegevens, de privacywet die van 2001 tot 2016 in gebruik was in Nederland. Deze wet was van toepassing op alle vormen waarop persoonsgegevens verwerkt worden, zowel op papier als digitaal. Deze wet is ondertussen vervangen door de Algemene verordening gegevensbescherming (Avg). Wat is Wbp en hoe wordt er in Nederland omgegaan met de gegevens van personen?
De Wet bescherming persoonsgegevens werd van kracht op 1 september 2001 ter vervanging van de Wet persoonsregistratie die dateert uit 1989. De inhoud van de Wbp is grotendeels gebaseerd op de Europese dataprotectierichtlijn die in 2016 werd vervangen door de wet Avg. Er was een periode van twee jaar voor organisaties om de transitie te maken naar de Europese richtlijn. In het Caribisch gebied is de Wet bescherming persoonsgegevens BES van kracht, een wet die gebaseerd is op de Nederlandse wetgeving.
Burgers wordt vaak gevraagd om persoonlijke informatie. Voor officiële instanties zoals de gemeente en Belastingdienst, bij de huisarts of een ziekenhuis, in winkels, webshops, sportclubs of bij een werkgever. Kortom; er zijn veel organisaties die allerlei gegevens over privé personen registreren. Zolang deze informatie in handen blijft van de organisatie waaraan ze verstrekt zijn, met als doel de diensten te verlenen waar de burger om gevraagd heeft, is er geen probleem. Helaas komt het voor dat gegevens niet voldoende veilig worden gesteld of dat informatie zonder toestemming wordt overgedragen aan andere partijen.
Er zijn diverse manieren om gegevens te verwerken zoals het invullen, opslaan, aanpassen, combineren, overdragen en vernietigen van data. De oude Wbp is niet bestemd voor gegevensverwerking met als doel persoonlijk of huiselijk gebruik en richt zich specifiek op toepassing in professionele context zoals in de journalistiek.
Als burger heb je het recht om te weten wat er met je persoonlijke gegevens gebeurt. Het is mogelijk deze gegevens in te zien en bezwaar te maken tegen het verwerken van de verstrekte informatie. Ook mag er verzocht worden om informatie aan te passen. Wanneer de informatie voor toepassingen als direct marketing gebruikt wordt zal een bezwaar ook gehonoreerd moeten worden.
Vervolgens hebben organisaties die persoonlijke gegevens verwerken ook plichten om aan te voldoen. Zo mag de informatie alleen gebruikt worden voor het doel waarvoor deze verstrekt is. Op een enkele uitzondering na moet ook worden aangegeven wat de organisatie gaat doen met de informatie.
Tot 1 januari 2016 was het College Bescherming Persoonsgegevens verantwoordelijk voor het toezicht op het naleven van de Wbp, daarna zou dit de Autoriteit Persoonsgegevens worden. Wanneer persoonsgegevens in zijn geheel of gedeeltelijk geautomatiseerd worden verwerkt zal dit gemeld moeten worden aan de Autoriteit Persoonsgegevens, de meldingen worden opgenomen in een openbaar register. Sinds 1 januari 2016 is het voor verwerkers en bewerkers verplicht om datalekken te melden aan de APg.
De Wpr was de voorganger van de Wbp en werd geïntroduceerd op 1 juli 1989. Hierin werden aan bedrijven of instellingen regels gesteld rondom het verzamelen en verwerken van persoonlijke gegevens. Als informatie voor andere zaken verwerkt moest worden was het verplicht om de klant in te lichten en toestemming te vragen. Het toezicht werd uitgevoerd door de Registratiekamer wat later het College bescherming persoonsgegevens zou worden en uiteindelijk de Autoriteit Persoonsgegevens.
In mei 2016 werd de Europese dataprotectierichtlijn vervangen door de Algemene verordening gegevensbescherming, organisaties kregen twee jaar de tijd om hun verwerking aan te passen om te voldoen aan de nieuwe regelgeving. De Avg maakt deel uit van een breder pakket aan maatregelen vanuit het Europees parlement om de gegevens van natuurlijke personen te beschermen binnen de Europese Unie.
Als organisaties handelingen uitbesteden zoals het verspreiden van reclamemateriaal per post dan moet er een verwerkersovereenkomst opgesteld worden waarin de verantwoordelijkheden worden bepaald.