De AVG beschermt de privacy van iedereen

De AVG beschermt de privacy van iedereen Op 25 mei 2018 is officieel de nieuwe Europese privacywet in werking getreden: de AVG. Deze afkorting staat voor Algemene Verordening Gegevensbescherming. Dat betekent dat de Wet Bescherming Persoonsgegevens (Wbp) niet meer geldt. Voortaan gelden er in de Europese Unie gemeenschappelijke wettelijke regels om onze privacy te garanderen en onze persoonsgegevens goed te beschermen. De toenemende globalisering en de veelheid van data en technologische ontwikkelingen om informatie en kennis uit deze data te halen maken het recht op privacy en het recht op gegevensbescherming steeds actueler en noodzakelijker. Tegelijkertijd moeten er nu eenmaal veel persoonsgegevens verwerkt worden. Om de balans hiertussen te vinden is de wet Algemene Verordening Gegevensbescherming, afgekort AVG (in het Engels: GDPR) vastgesteld.

Het recht om een individu te mogen zijn

Iedereen heeft de behoefte aan vrijheid. Aan de ruimte je eigen keuzes te mogen maken, én je eigen fouten, en jezelf op basis daarvan zo nodig te veranderen. Sommige dingen houd je liever voor jezelf. Over andere zaken wil je je juist vrijelijk kunnen uitspreken. In alle gevallen geldt dat je je eigen leven wilt leiden, zonder controle of oordeel van anderen. Hoe meer dat mensen van je weten hoe moeilijker dit wordt. Doordat mensen snel oordelen, met de vinger wijzen of elkaar niet meer durven vertrouwen uit angst afgerekend te worden op hun gedrag, hun ideeën, hun gedachten.

Kennis is macht

Informatie over een persoon geeft controle en de mogelijkheid om te beïnvloeden. Dit geldt voor de overheid, maar ook voor het bedrijfsleven. Als je weet dat iemand betrouwbaar is zul je hem of haar eerder een baan geven. Als je het eens bent met iemands opvattingen vind je iemand waarschijnlijk aardiger. Als je een fout hebt gemaakt en deze wilt herstellen is het lastig wanneer je steeds herinnerd wordt aan je fout. Deze informatie komt normaal gesproken door sociale interacties tot stand. Maar veel (digitale) gegevens blijven jarenlang bewaard. En wat als een machine op basis van allerlei gegevens gaat bepalen of je wel of niet bent te vertrouwen? En wat als deze het mis heeft?

Het gaat niet om de vraag "wat mag een organisatie allemaal van je weten?"', maar veel meer "wat moet een organisatie allemaal van je weten om haar taak/werk te kunnen doen?". In die vraag zit je recht op privacy besloten. En heel belangrijk: als je weet welke gegevens over je bekend zijn, en waarop door overheid en andere organisaties beslissingen kunnen worden gebaseerd, bijvoorbeeld over de manier waarop je wordt benaderd (al is het maar over welke pagina's je ziet in je Google zoekresultaten) dan kun je met dit inzicht aan de slag. Zodat je zoveel mogelijk zelf bepaalt wat anderen van je weten. Deze controle over je gegevens wordt door de AVG ondersteund.

Naast waarborgen voor je recht op privacy staan in de AVG ook richtlijnen voor de bescherming van de verwerkte persoonsgegevens. Dan weet je zeker dat ze goed beveiligd zijn en niet zomaar in verkeerde handen kunnen vallen.

Wat zijn persoonsgegevens?

Persoonsgegevens zijn alle informatie over een persoon. Het gaat hier om informatie die direct over iemand gaat en om gegevens wanneer ze naar een natuurlijk persoon herleidbaar zijn. Een natuurlijk persoon is een levend persoon en geen organisatie (zorgvuldigheid hierbij blijft belangrijk: de vestigingspostcode van een eenmansbedrijf bijvoorbeeld is wel een persoonsgegeven, omdat deze, ondanks de verwijzing naar een onderneming, toch direct herleidbaar is naar een natuurlijk persoon). Het gaat bij persoonsgegevens onder meer om gegevens als naam, adres, telefoonnummer. Bijzondere persoonsgegevens zoals geslacht, herkomst en politieke voorkeur moeten nog extra beschermd worden. Je moet erop kunnen vertrouwen dat er zorgvuldig met al deze gegevens wordt omgegaan en dat je door onjuiste verwerking geen nadeel ervan kunt ondervinden. Dat is het uitgangspunt van de AVG.

Bescherming van persoonsgegevens

Bescherming van de persoonlijke levenssfeer is een grondrecht. Zo staat het in de Nederlandse grondwet (artikel 10, lid 1), in het Europese Verdrag inzake de rechten van de mens en de fundamentele vrijheden (artikel 8, EVRM) en in het Internationaal Verdrag inzake burgerrechten en politieke rechten (artikel 17, IVBPR). Om deze grondrechten te beschermen moet er een wet zijn die hierop toeziet. Dat was in Nederland de Wbp en wordt vanaf 25 mei 2018 de AVG. Een heel belangrijke wet dus!

Wat is de AVG?

De AVG, Algemene Verordening Gegevensbescherming, is ook bekend onder de Engelse naam: General Data Protection Regulation (GDPR).
Al sinds 24 mei 2016 is de AVG van toepassing. Sinds 25 mei 2018 is de AVG feitelijk in werking getreden. Er was hiermee twee jaar uitgetrokken voor de implementatie van deze wet. Gedurende deze tijd was de Wbp geldig. Op 13 december 2017 werd het wetsvoorstel Uitvoeringswet Algemene Verordening Gegevensbescherming naar de Eerste Kamer gestuurd en deze is op 15 mei 2018 aangenomen, zodat ze op 25 mei in de Staatscourant gepubliceerd kan worden en in werking kan treden. Net op tijd voor de Europese invoering. Doel van deze Uitvoeringswet AVG is om nationale regels op te stellen over de uitvoering van de AVG, met onder meer de uitzonderingen en helderheid over de rol van de toezichthouder, de Autoriteit Persoonsgegevens, en om de Wbp in te trekken. Naast de AVG gelden aparte richtlijnen voor politie en justitie.

Wat houdt de AVG in?

De verwerking van persoonsgegevens is met de AVG aan strengere eisen verbonden. Het gaat dan om de verwerking van persoonsgegevens voor het aanbieden van goederen en diensten, als ook het monitoren van (online) gedrag. Veel meer dan nu staat privacy al voordat er daadwerkelijk gegevens worden verzameld in de schijnwerpers. Mensen van wie persoonsgegevens worden verzameld hebben extra privacyrechten en de bestaande rechten zijn versterkt. Dat betekent dat organisaties die persoonsgegevens verwerken meer verplichtingen krijgen. Ze moeten kunnen laten zien dat ze zich aan de wet houden bij hun verwerkingen van persoonsgegevens. Ze hebben een verantwoordingsplicht. Deze extra aandacht voor compliance moet zich vertalen in een goed georganiseerd privacymanagement.

De Autoriteit Persoonsgegevens kan hoge boetes opleggen van maximaal 20 miljoen euro of 4% van de wereldwijde omzet wanneer organisaties zich niet aan de nieuwe privacywetgeving houden. Dan gaat het om overtredingen die zien op fundamentele verplichtingen. Voor overtredingen die zien op meer administratieve verplichtingen is de maximale geldboete 10 miljoen of 2% van de wereldwijde omzet (behalve wanneer genoemd percentage van de omzet de maximale geldboete ontstijgt, dan kan het toch meer zijn als extra stimulans voor multinationals om zich te houden aan de AVG). Organisaties moeten nu dus veel bewuster omgaan met het verwerken en opslaan van data en het doel ervan. Daarnaast ligt er meer verantwoordelijkheid bij de mensen zelf, omdat ze wanneer hun toestemming wordt gevraagd, gedwongen worden om na te denken over de risico's van het delen van persoonlijke informatie. Voor kinderen tot zestien jaar geldt dat zij extra bescherming genieten.

Wanneer heb je als organisatie te maken met de AVG?

De AVG geldt voor:
  • Iedere organisatie die is gevestigd in de EU, Noorwegen, IJsland of Liechtenstein. Het maakt niet uit of de gegevens nu wel of niet binnen de grenzen van de EU worden verwerkt.
  • Iedere organisatie, wereldwijd (!) die gegevens verwerkt gericht op inwoners van de EU.
  • Iedere organisatie moet bij vestigingen in de EU ervoor zorgen dat deze zich houden aan de AVG. Een vestiging ("plaats van bestendige economische activiteit") kan breed worden opgevat: ambassades, schepen, vliegtuigen en boorplatforms vallen er bijvoorbeeld ook onder.

Het toepassingsgebied van de AVG is daarmee wereldwijd. De verwerking van persoonsgegevens kan overal plaatsvinden, maar wanneer de organisatie in de EU is gevestigd of wanneer de gegevensverwerking gaat over mensen uit de EU, dan valt zij binnen het toepassingsbereik van de AVG.

Iedere systematische gegevensverwerking van persoonsgegevens valt onder de AVG. Of dat nu digitaal is of (deels) handmatig gebeurt maakt geen verschil.

Belangrijke rollen in de AVG: de verwerkingsverantwoordelijke, de verwerker en de betrokkene

Om de rollen in het kader van de AVG te bepalen wordt gekeken naar de feitelijke situatie en niet naar de theoretische situatie of de situatie op papier. In extreme zin betekent dat zelfs dat een medewerker van een bedrijf die persoonsgegevens steelt, daarmee, hoe onrechtmatig ook, eigenaar wordt van deze gegevens (en dus verwerkingsverantwoordelijkheid draagt).

De verwerkingsverantwoordelijke

De verwerkingsverantwoordelijke stelt het doel en de middelen van de verwerking vast. Voor een bedrijf dat een klantenbestand en/of medewerkersbestand heeft is dat makkelijk te bepalen: zo'n bedrijf is verwerkingsverantwoordelijk en moet volgens de AVG het doel en de middelen van de verwerking van persoonsgegevens goed afwegen in het licht van privacy en gegevensbescherming. Voor de overheid ligt het vaak wat anders, omdat alleen bestuursorganen verwerkingsverantwoordelijk kunnen worden gesteld, zoals het Ministerie van Onderwijs voor het diplomaregister. Vaker is de verwerking van persoonsgegevens nodig om een wettelijke taak uit te voeren en dan is het minder eenvoudig.

De verwerker

Deze verwerkt persoonsgegevens voor de verwerkingsverantwoordelijke. Een verwerker kan, met uitdrukkelijke toestemming van de verwerkingsverantwoordelijke, deel van zijn werkzaamheden weer uitbesteden aan een zogenaamde subverwerker, die ook weer werk kan uit besteden aan een subsubverwerker, enzovoorts.

Zo kan een bedrijf de personeels- en salarisadministratie uitbesteden aan een partij die op zijn beurt weer gebruikmaakt van cloudhosting (welke dienst daarmee een subverwerker is van deze persoonsgegevens, maar tegelijkertijd ook medeverantwoordelijk kan zijn op basis van de dienstverlening die wordt geboden).

De betrokkene

De betrokkene is de persoon achter de persoonsgegevens. In de AVG is een belangrijke rol weggelegd voor de (heldere en begrijpelijke) communicatie met de persoon zelf over de verwerkingen van de persoonsgegevens. Het gaat er dan om betrokkenen te informeren over welke gegevens met welk doel worden verwerkt en hen inzage te kunnen geven in de gegevens. Nieuw in de AVG is het recht op dataportabiliteit, wat betekent dat je de digitale gegevens mee moet kunnen nemen en ze dus overdraagbaar moeten zijn. Zodat je ze mee kunt nemen naar een nieuwe tandarts bijvoorbeeld, Het gaat dan om alle gegevens die je als betrokkene direct en bewust beschikbaar hebt gesteld, maar ook om de gegevens die door het gebruik van de dienst of apparaat beschikbaar zijn gekomen. Communicatie gaat ook over toestemming vragen om de persoonsgegevens te verwerken en de mogelijkheid te bieden om deze toestemming (kosteloos) weer in te trekken. Ook als de betrokkene verzoekt zijn gegevens te verbeteren dan wel te verwijderen of bezwaar wil maken moet dit eenvoudig mogelijk zijn.

Verantwoordelijkheid

Het is belangrijk om deze rollen goed te kennen en hiermee rekening te houden, omdat bij controles en eventuele boetes bij het in gebreke blijven van de verplichtingen uit de AVG iedere (sub)verwerker alleen voor hun deel aansprakelijk en verantwoordelijk voor de eventuele schade kan worden gehouden. Voor de verwerkingsverantwoordelijke geldt het omgekeerde. Zij zijn aansprakelijk tenzij ze kunnen aantonen dat het niet hun schuld was. Om ervoor te zorgen dat een klager nooit van het kastje naar de muur blijft worden gestuurd als het gaat om het aansprakelijk stellen van organisaties en het claimen van geleden schade is het zo dat de verwerkingsverantwoordelijke en de (sub)verwerker tezamen verantwoordelijk worden gehouden tenzij ze kunnen aantonen dat ze helemaal geen schuld hebben. Van gezamenlijke verantwoordelijkheid is bijvoorbeeld sprake wanneer het om een concern met meerdere bedrijven gaat, waarbij de persoonsgegevens op het hoofdkantoor worden bewaard voor de dochteronderneming die de gegevens verwerkt. Voor een webshop die gebruik maakt van een betaaldienst geldt dat zij allebei een eigen verantwoordelijkheid hebben voor hun deel. Net zoals voor de webshop en de pakketdienst.

Verwerkersovereenkomst

Waar het om gaat is dat het voor alle partijen helder is voor welk doel en met welke middelen de persoonsgegevens worden verwerkt. De afspraken worden vastgelegd in een verwerkersovereenkomst. Hierin staat op welke wijze de verwerker aan de wettelijke eisen aan privacy en gegevensbescherming voldoet zoals die gesteld worden in de AVG. Alle betrokkenen bij de vastgelegde persoonsgegevens moeten op de hoogte zijn van de inhoud. Je mag er als verwerkingsverantwoordelijke niet zomaar vanuit gaan dat deze eisen gegarandeerd kunnen worden, maar moet hierop toezien. Voor verwerkers is het belangrijk dat zij actief en onvoorwaardelijk kunnen laten zien dat zij garant staan voor de veiligheid van de persoonsgegevens.

Accountability is Privacymanagement

De invoering van de AVG betekent dat alleen voldoen aan de wet niet meer genoeg is. Er is sprake van een omgekeerde bewijslast: je moet kunnen aantonen dat je de regels naleeft en de privacy en gegevensbescherming van betrokkenen goed hebt geregeld. Dit is de verantwoordingsplicht waarmee organisaties hun bijdrage leveren aan de bescherming van het grondrecht op privacy van mensen. Dat betekent dat je als organisatie je privacymanagement goed op orde moet hebben.

Plichten van de verwerkingsverantwoordelijke

De verwerkingsverantwoordelijke van persoonsgegevens heeft verschillende plichten volgens de AVG om de privacy en gegevensbescherming te kunnen garanderen. Deze dienen altijd te worden afgestemd met de verwerker om optimale passendheid te garanderen.

Accountability of verantwoordingsplicht

Organisaties moeten zich kunnen verantwoorden volgens de privacywetgeving. Dat wil zeggen dat ze moeten kunnen aangeven op welke manier ze de AVG principes naleven. Hiermee zijn ze niet alleen verantwoordelijk voor de continue (!) waarborging hiervan, maar ook voor de bewijslast. Ook hier geldt weer het adagium van passendheid bij de belangenafweging: het belang van de verwerking van persoonsgegevens enerzijds en het belang van de (natuurlijke) persoon erachter anderzijds, rekeninghoudend met het soort verwerking, de risico's voor de rechten en vrijheden van natuurlijke personen en de mogelijkheden om passende technische en organisatorische maatregelen te blijven nemen om zoveel mogelijk tegemoet te komen aan de bedoelingen van de AVG.

Documentatieplicht: verwerkingsregister

Iedere organisatie moet een register bijhouden van alle verwerkingen van persoonsgegevens waarvoor zij verantwoordelijk is (artikel 30, AVG). Hierin moeten alle structurele verwerkingen staan en voor organisaties met meer dan 250 medewerkers ook alle incidentele verwerkingen. Organisaties met minder dan 250 medewerkers moeten ook een register van verwerkingen bijhouden als het gaat om verwerkingen die structureel zijn, of die een risico zijn voor de rechten en vrijheden van de betrokkenen, of wanneer het gaat om bijzondere persoonsgegevens of strafrechtelijke gegevens. Dat betekent, zeker voor grote organisaties, dat elke e-mail met persoonsgegevens die wordt verstuurd moet worden gedocumenteerd. Dit vraagt veel van elke individuele medewerker en het is nog maar de vraag hoe werkbaar dit is in de praktijk. De Autoriteit Persoonsgegevens kan om inzage vragen, maar het hoeft niet openbaar gemaakt te worden aan betrokkenen.

Functionaris voor Gegevensbescherming (FG)

Het wordt in een groot aantal gevallen verplicht om een Functionaris Gegevensbescherming (FG) of in goed Engels 'Data Protection Officer' (DOP) binnen een organisatie aan te stellen. Bijvoorbeeld als de gegevensverwerking hoge risico's voor betrokkenen met zich meebrengt. Hij of zij ziet toe op naleving van de AVG binnen de organisatie. Voor overheidsinstellingen, voor organisaties waarvan grootschalige, regelmatige en stelselmatige observaties tot hun kerntaken behoren en voor organisaties die als kernbezigheid de grootschalige verwerking van bijzondere of strafrechtelijke persoonsgegevens hebben is de aanstelling van een FG sowieso verplicht.

Privacy Impact Assessment (DPIA)

Een Data Protection Impact Assessment (DPIA) kan worden uitgevoerd om de risico's van de verwerking van persoonsgegevens voor betrokkenen in kaart te brengen en aan te geven tot welke maatregelen is besloten om deze aan te pakken. Hiervoor is het belangrijk dat helder beschreven wordt welke persoonsgegevens voor welke doeleinden nodig zijn en wat de noodzaak en proportionaliteit hiervan is. De Functionaris voor Gegevensbescherming (CF) kan hierbij adviseren. Ook kan het in geval van een hoog risico en onvoldoende tegenmaatregelen noodzakelijk zijn om voorafgaand advies in te winnen bij de Autoriteit Persoonsgegevens.

Privacy by default

Privacy by default verwijst naar het gebruik van persoonsgegevens en betekent dat je door technische en organisatorische maatregelen alleen mag uitgaan van de verwerking van persoonsgegevens die écht nodig zijn om de dienst te kunnen verlenen. Het is de bedoeling dat je standaard zoveel mogelijk rekening houdt met de privacy van alle betrokkenen.

Privacy by design

Al tijdens het ontwerpfase, bij het in kaart brengen van de gegevensbehoeften en de ontwikkeling van systemen moet je rekening houden met privacy-by-design: hoe bescherm je de persoonsgegevens die écht nodig zijn en hoe (en hoe lang) bewaar je ze. Hierbij moet je ervan uitgaan dat je systemen zo privacyvriendelijk mogelijk inricht. Door pseudonimisering bijvoorbeeld, wat inhoudt dat gegevens zodanig worden versleuteld dat ze niet zonder aanvullende gegevens (die apart en zorgvuldig) worden bewaard herleidbaar zijn tot een natuurlijk persoon. Ook het automatisch verwijderen van gegevens wanneer bijvoorbeeld de bewaartermijn is verstreken kan hieronder worden verstaan.

Informatiebeveiliging

Om goed beschermd te zijn, moeten opgeslagen persoonsgegevens ook goed worden beveiligd. Dat vereist niet alleen een goed privacymanagement, maar ook een goed informatiebeveiligingsmanagement, bijvoorbeeld door te werken volgens internationaal erkende ISO standaarden 27001 (management van informatiebeveiliging) en 27002 (informatiebeveiligingsmaatregelen).
Om het risico op mogelijke schendingen te voorkomen, noemt de AVG expliciet een aantal waarborgen om de persoonsgegevens goed te beveiligen, waaronder maatregelen als: pseudonimisering en versleuteling van gegevens, de mogelijkheid om toegang tot de gegevens te herstellen, een procedure om regelmatig de beveiliging van de verwerking te kunnen testen, beoordelen en evalueren en het vermogen te garanderen dat de verwerkingssystemen en -diensten altijd beschikbaar en veerkrachtig zijn en op vertrouwelijke, integere manier omgaan met persoonsgegevens.

De meldplicht datalekken

Een datalek is een inbreuk op de beveiliging van de opgeslagen persoonsgegevens. Het gevolg hiervan is dat onbekend is wat er met de persoonsgegevens gebeurt: worden ze vernietigd, verhandeld of gewijzigd? Ook is onbekend wie er toegang tot heeft.
Voorbeelden van datalekken zijn: iemand die per ongeluk persoonsgegevens mailt naar de verkeerde collega of een versleutelde USB-stick met persoonsgegevens die per abuis achterblijft in een treincoupé. Maar het kan ook gaan om grote datalekken als hacking (het ongeoorloofd wegkapen van gegevens) of hijacking (door ransom ware wordt een afkoopsom gevraagd om weer bij de gegevens te kunnen) van de persoonsgegevens.

Elk datalek moet worden geregistreerd door de organisatie en moet worden gemeld. Melden moet bij de Autoriteit Persoonsgegevens binnen 72 uur na het bekend worden van het datalek. Deze doet vervolgens onderzoek. Als het risico bestaat dat een datalek een negatieve impact heeft op de rechten en vrijheden van de betrokkenen moet dit ook bij hen worden gemeld.

Plichten voor verwerkers

In het gegevensverwerkingsproces is het belangrijk dat de goede gegevens zorgvuldig worden geregistreerd, opgeslagen en gerapporteerd door de verwerkers.

Rechtmatige en behoorlijke verwerking

Bij de verwerking van persoonsgegevens dien je je altijd af te vragen of deze rechtmatig en behoorlijk is tegenover de betrokkene. Dat de gegevensverwerking rechtmatig moet zijn houdt in dat het niet in strijd mag zijn met het Europese en nationale recht. Dat betekent dat als verschillende grondrechten in het geding zijn het belangrijk is om een goede afweging te maken. Grondrechten als privacy en veiligheid hoeven elkaar niet in de weg te zitten. Door ze allebei aandacht te geven, en ze zoveel mogelijk met elkaar te verenigen, kunnen ze beide gerespecteerd worden. Het argument dat bijvoorbeeld veiligheid ten koste van privacy moet gaan houdt dus geen steek: het gaat erom beide rechten zorgvuldig tegen elkaar af te wegen en te garanderen.

Een behoorlijke gegevensverwerking betekent dat je niet alleen de letter van de wet, maar ook de geest van de wet moet volgen. Toestemming afdwingen voor de verwerking van bijzondere persoonsgegevens bijvoorbeeld voordat een dienst kan worden geleverd, zonder dat deze gegevens noodzakelijk zijn om deze dienst uit te voeren en het ook niet in het directe belang is van betrokkenen is zelfs verboden door de AVG.

Juistheid van gegevens

Gegevens moeten correct worden geregistreerd en mogen niet verouderd zijn. Omdat 100% juistheid nooit kan worden gegarandeerd is het belangrijk om goede afspraken te maken over registratie en actualisatie van gegevens.

Doelbinding

Zoals al eerder aangegeven is het doel van de verwerking van persoonsgegevens erg belangrijk. Alle gegevens die direct bijdragen tot het doel mogen worden verwerkt. Niet meer en niet minder. Dit principe van 'minimale gegevensverwerking' strekt zich ook uit tot de opslag van gegevens. Gegevens die niet meer nodig zijn mogen niet meer worden bewaard. Uitzonderingen zijn gegevens die gearchiveerd moeten worden bijvoorbeeld voor het algemeen belang of voor wetenschappelijke doeleinden. Dan is het wel belangrijk om deze gegevens zo goed mogelijk te beveiligen, bijvoorbeeld door pseudonimisering of versleuteling. Pseudonimisering is hierbij geen automatische oplossing, omdat ook als gegevens wel versleuteld worden, ze (zeker als het gaat om een combinatie van verschillende persoonsgegevens) herleidbaar kunnen zijn naar een persoon.

Grondslagen van belangenafweging voor persoonsgegevensverwerking

Je mag als organisatie dus niet zomaar persoonsgegevens verzamelen, maar moet voor een rechtmatige verwerking kunnen aantonen wat het doel hiervan is. Dat betekent dat de grondslag voor verzameling of verwerking vooraf helder moet zijn. Doel en context van een verwerking bepalen in grote mate de grondslag. Door rekening te houden met de rechten en belangen van betrokkenen en deze tegen elkaar af te wegen en daarbij het doel van de verwerking van de gegevens te betrekken bepaal je vooraf de grondslag. De volgende geldige grondslagen worden onderscheiden:

Algemeen belang

Hierbij gaat het om gegevensverwerking die nodig is voor de uitvoering van een overheidstaak of een andere taak met wettelijke bepaling. Maar alleen een publiekrechtelijke taak is hier dus niet voldoende, al moet de praktijk uitwijzen hoe deze grondslag precies wordt ingevuld door de lidstaten. Als het mogelijk is moeten overheidsinstanties zich op deze grondslag baseren. Wanneer het gaat om de uitvoering van een wettelijke taak voor het algemeen belang dan mag volgens de AVG de overheid zelfs geen toestemming aan betrokkenen vragen voor de gegevensverwerking of zich beroepen op gerechtvaardigd belang.

Vitaal belang of Levensbelang

Op de Spoedeisende Eerste Hulp doet een arts zijn of haar best om het leven van een patiënt te redden, ook zonder behandelovereenkomst of specifieke toestemming. Een beroep op deze grondslag is bedoeld om het leven van mensen te waarborgen, maar het hoeft geen acute zaak van leven of dood te zijn. In geval van epidemieën bijvoorbeeld of noodsituaties of rampen kan het nodig zijn om bepaalde (vaak bijzondere) persoonsgegevens te verwerken.

Wettelijke verplichting

Als werkgever ben je verplicht om het BSN van werknemers op te slaan, een personeels- en salarisadministratie te voeren en de Belastingdienst hiervan op de hoogte te stellen. Om de werknemersverzekeringen te kunnen voeren is het voor het UWV noodzakelijk om BSN gegevens te verwerken, maar alleen naar de werknemer, niet naar de werkgever toe.

Overeenkomst

Soms is de grondslag dat je als organisatie een overeenkomst wilt sluiten met de betrokkene waarvoor de verwerking van persoonsgegevens noodzakelijk is. Om een arbeidsovereenkomst te kunnen afsluiten moet bijvoorbeeld een personeelsdossier worden bijgehouden.

Gerechtvaardigd belang

Het verwerken van persoonsgegevens kan noodzakelijk zijn om bepaalde bedrijfsactiviteiten te kunnen verrichten. Voorwaarde is wel dat er een “relevante en passende verhouding” tussen de betrokkene en de verwerkingsverantwoordelijke bestaat. Zo kan een onderneming als een autogarage een klantenbestand aanleggen om uitnodigingen voor jaarlijkse onderhoudsbeurten te kunnen versturen. En ook is het logisch dat persoonsgegevens als inlognamen en wachtwoorden bewaard moeten worden voor de netwerkbeveiliging. Maar bij direct marketing gericht op acquisitie (het opbouwen of vergroten van een klantenkring) is het de vraag of dit gerechtvaardigd belang opweegt tegen de privacy van betrokkenen of dat de belangen mogelijk op een andere grondslag moet gebeuren. Zoals gezegd is deze grondslag expliciet uitgesloten voor overheidsorganen. Ook hier geldt dat de invulling van deze grondslag nog nader moet worden bepaald in de praktijk.

Toestemming

Deze grondslag is als het ware een "restgrond", omdat eerst moet worden gekeken of een van de andere grondslagen kan worden gebruikt. De gegeven toestemming moet ondubbelzinnig zijn, in vrijheid zijn geuit en gericht zijn op bepaalde gegevensverwerking(en). Een school die de adresgegevens van oud-leerlingen wil bewaren om een reünie te organiseren moet hiervoor toestemming vragen aan de betrokkenen en mag vervolgens deze lijst alleen voor dat doel gebruiken. Een bedrijf dat pas een product of dienst wil leveren wanneer bepaalde persoonsgegevens worden verstrekt (zonder dat deze hiervoor nodig zijn) geeft de betrokkene te weinig vrijheid om hierover te kunnen beslissen. De betrokkene moet de toestemming bovendien eenvoudig en altijd kunnen intrekken.

In drie gevallen is uitdrukkelijke en expliciete toestemming van de betrokkene nodig. En ook hier staat voorop dat de betrokkene zich vrij moet voelen deze toestemming te geven.
Zonder deze toestemming is het verboden om:
  • Bijzondere persoonsgegevens te verwerken, zoals religie en geslacht, maar ook strafrechtelijke gegevens.
  • Persoonsgegevens te verzamelen voor profilering, dat wil zeggen analyses en voorspellingen op basis van persoonsgegevens over zeer persoonlijke zaken als bijvoorbeeld gezondheid, gedrag en economische situatie. Als de profilering rechtsgevolgen heeft of op een ander manier een belangrijke invloed heeft op de betrokkene moet een mens altijd onderdeel uitmaken van het beslissingsproces. Daarmee wordt voorkomen dat zelflerende algoritmes op basis van onnavolgbare logica invloedrijke beslissingen nemen.
  • Persoonsgegevens door te geven naar derde landen, behalve als:
    • deze voorkomen op de lijst met Adequaatheidsbesluiten van de Europese Commissie waarop landen (maar ook sectoren of typen verwerkingen) staan met een afdoende beschermingsniveau naar EU-maatstaven;
    • er voldoende AVG-erkende waarborgen zijn, bijvoorbeeld Binding Corporate Rules (BCR's), de bindende bedrijfsvoorschriften met daarin door multinationals zelfopgelegde privacygedragscodes, standaardbepalingen, zoals modelcontracten en juridisch bindende afspraken tussen overheidsinstanties. Ook wanneer het derde land als ontvangende partij zich bindend vastlegt de privacy conform te respecteren;
    • het gaat om de enkele bepaalde generieke uitzonderingen.

Toezicht

De Autoriteit Persoonsgegevens voert het toezicht uit op naleving en de handhaving van de AVG binnen Nederland. In geval van internationale bedrijven of gegevensverwerking over landsgrenzen heen wordt afgestemd met de evenknieën uit betreffende landen. Er wordt dan een leidende toezichthouder benoemd, zodat er maar een privacytoezichthouder is. Hiermee zorgt de AVG dus voor een consequent toezicht en een eenvormige handhaving. De genoemde hoge boetes zijn bedoeld om het vertrouwen in de digitale economie te versterken zodat de Europese markt zich positief kan ontwikkelen. Het EU-beleid is erop gericht om strenge sancties op te leggen om de verantwoordingsplicht af te dwingen ingeval van inbreuken op de verordening.

Invoering van de AVG

Er is dus sinds 25 mei 2018 heel veel veranderd voor organisaties als het gaat om privacy en gegevensbescherming. En als het niet goed is geregeld is er niet alleen een groot risico op imagoschade wanneer deze niet goed zijn geregeld, maar ook op financiële schade door de hoge boetes die kunnen worden opgelegd. Het document van de Autoriteit Persoonsgegevens 'De AVG in een notendop' laat goed zien wat de AVG inhoudt.

Het mooie van de AVG is dat het niet zomaar een set voorschriften is, maar dat deze wet je dwingt om telkens de belangenafweging tussen de verwerking van persoonsgegevens en de privacy van betrokkenen te blijven maken: wat is absoluut noodzakelijk als het gaat om de verwerking van persoonsgegevens? Waarom is dat zo? In wiens belang is dat? Wie heeft toegang tot de gegevens en met welke reden? De uitkomst van de genoemde belangenafweging is lang niet altijd duidelijk en kan soms zelfs tegenstrijdig zijn met elkaar. Dit vraagt om een gewetensvol en nauwgezet implementatietraject.

Campagne: Privacy gaat iedereen wat aan

Op 29 januari 2018 startte de Autoriteit Persoonsgegevens de campagne ‘Privacy gaat iedereen wat aan’. Deze campagne heeft tot doel organisaties te helpen bij de voorbereidingen op de AVG en wil zij mensen bewuster maken van hun privacyrechten. Ter ondersteuning is de website www.hulpbijprivacy.nl gelanceerd en is er een (gratis te downloaden) lespakket voor groep 7 en 8 van de basisschool ontwikkeld. De Autoriteit Persoonsgegevens heeft ook een AVG-regelhulp geïntroduceerd, zodat verwerkingsverantwoordelijke organisaties (organisaties dus die doel en middelen van de verwerking van persoonsgegevens bepalen) via een 10-stappenplan kunnen bepalen wat ze nog moeten doen zodat ze goed zijn voorbereid op de nieuwe Europese privacywet. Zodat het in de praktijk goed, transparant en zorgvuldig is geregeld. Niet alleen voor de wet, maar in het belang van ons allemaal.
© 2018 - 2024 Sage, het auteursrecht van dit artikel ligt bij de infoteur. Zonder toestemming is vermenigvuldiging verboden. Per 2021 gaat InfoNu verder als archief, artikelen worden nog maar beperkt geactualiseerd.
Gerelateerde artikelen
AVG: Wat is de betekenis van de verantwoordingsplicht?AVG: Wat is de betekenis van de verantwoordingsplicht?Met de invoering van de Algemene verordening gegevensbescherming (AVG) bestaat voor organisaties een grotere verantwoord…
Persoonsgegevens: Je rechten bij veranderen en afschermenPersoonsgegevens: Je rechten bij veranderen en afschermenDe Wet bescherming persoonsgegevens is ingevoerd om de privacy van mensen te beschermen. In mei 2018 werden die wetten e…
Privacy: bescherming persoonsgegevens in Nederland en BelgiëPrivacy: bescherming persoonsgegevens in Nederland en BelgiëEen omschrijving van de term privacy is: de mogelijkheid om in eigen omgeving helemaal zichzelf te zijn. Mensen moeten z…
AVG: Welke privacyrechten bij persoonsgegevensverwerking?AVG: Welke privacyrechten bij persoonsgegevensverwerking?De AVG beschrijft 8 privacyrechten die een betrokkene kan inroepen om zich te beschermen tegen een inbreuk op het recht…

De werkelijke identiteit volgens het gap-analysemodelDe werkelijke identiteit volgens het gap-analysemodelEr is geen bedrijf ter wereld dat zonder zijn eigen medewerkers kan functioneren. Deze interne doelgroep is voor ieder m…
Datagedreven werken zorgt voor slimme organisatiesDatagedreven werken zorgt voor slimme organisatiesWe leven in een informatiesamenleving. Datagedreven werken komt voort uit de veelheid van data die beschikbaar is door h…
Bronnen en referenties
  • Inleidingsfoto: Tumisu, Pixabay
  • https://www.rijksoverheid.nl/documenten/kamerstukken/2017/12/13/wetsvoorstel-uitvoeringswet-algemene-verordening-gegevensbescherming (laatst geraadpleegd op 23 januari 2018)
  • https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/algemene-informatie-avg (laatst geraadpleegd op 25 december 2017)
  • https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/de_avg_in_een_notendop.pdf (laatst geraadpleegd op 25 december 2017)
  • https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/2017-11_stappenplan_avg_online_v2.pdf (laatst geraadpleegd op 25 december 2017)
  • https://www.nederlandict.nl/news/avg-uitgelegd-deel-5-accountability-en-documentatieplicht/ (Laatst geraadpleegd op 22 januari 2018)
  • Versmissen,K., Terstegge, J, & Krijgsman N. (2017). Grip op de AVG: de nieuwe privacywet voor niet-juristen. Uitgeverij: Wolters-Kluwers
  • https://autoriteitpersoonsgegevens.nl/nl/over-privacy/persoonsgegevens (laatst geraadpleegd op 25 januari 2018)
  • https://www.stibbe.com/~/media/03%20news/publications/amsterdam/friederike%20van%20der%20jagt/friederike%20van%20der%20jagt%20-%20recht%20op%20bescherming%20van%20persoonsgegevens.pdf (Laatst geraadpleegd op 22 januari 2018)
  • https://www.rijksoverheid.nl/onderwerpen/persoonsgegevens/documenten/rapporten/2018/01/22/handleiding-algemene-verordening-gegevensbescherming (laatst geraadpleegd op 23 januari 2018)
  • https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving/voorbereiding-op-de-avg#over-welke-onderwerpen-geven-de-europese-privacytoezichthouders-uitleg-in-guidelines-6189 (laatst geraadpleegd op 24 januari 2018)
  • https://www.rijksoverheid.nl/onderwerpen/bescherming-persoonsgegevens/voorbereiden-op-de-avg (laatst geraadpleegd op 23 januari 2018)
  • https://www.eerstekamer.nl/behandeling/20180313/gewijzigd_voorstel_van_wet_2/document3/f=/vkmnl1uigttt_opgemaakt.pdf (laatst geraadpleegd op 17 mei 2018)
  • https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/avg_in_een_notendop.pdf (laatst geraadpleegd op 28 mei 2018)
Sage (63 artikelen)
Laatste update: 16-01-2019
Rubriek: Zakelijk
Subrubriek: Zakelijk
Bronnen en referenties: 14
Per 2021 gaat InfoNu verder als archief. Het grote aanbod van artikelen blijft beschikbaar maar er worden geen nieuwe artikelen meer gepubliceerd en nog maar beperkt geactualiseerd, daardoor kunnen artikelen op bepaalde punten verouderd zijn. Reacties plaatsen bij artikelen is niet meer mogelijk.