013 - 536 65 55 info@kzoadvocaten.nl

PRIVACY / AVG

Home > Specialisaties > Ondernemer > Privacy / AVG

MAG IK CAMERA’S OPHANGEN IN MIJN BEDRIJF? EN WAT MAG IK WEL EN NIET MET DE GEGEVENS VAN MIJN WERKNEMERS EN KLANTEN?

Privacy is een breed begrip. Het recht op privacy heeft betrekking op, onder meer:

  • de persoonlijke levenssfeer in onze woning,
  • bescherming van ons gezinsleven,
  • onze lichamelijke integriteit,
  • correspondentie/briefgeheim,
  • informatie over ons als persoon (persoonsgegevens).

In de media is en wordt ontzettend veel geschreven over de ‘nieuwe privacywet’, oftewel de Algemene Verordening Gegevensbescherming (AVG). Belangrijk om je te realiseren, is dat de Algemene Verordening slechts gaat over één facet van privacy, namelijk de verwerking van persoonsgegevens van ons als burgers/consumenten. In de wet (AVG) worden wij ‘betrokkenen’ genoemd.

WAT KUNNEN WIJ VOOR JE DOEN?

  • Als je je afvraagt of de AVG op jou of jouw onderneming van toepassing is, of bijvoorbeeld als je vragen hebt bij de implementatie van de AVG.
  • Vragen over privacy tijdens werktijd. Wat werknemers in die tijd mogen verwachten aan privacy, hangt voor een groot deel af van wat de werkgever hierover heeft gecommuniceerd (de ‘reasonale expectation of privacy’).
  • Ook als je met een geschil of procedure op het gebied van privacy te maken krijgt, kun je bij ons terecht. KZO|O13 Advocaten kijkt als specialist net een stap verder zodat jij weet hoe je het beste handelt.

Laat je dus goed adviseren! Onze privacyrechtadvocaat Edwin Aerts staat zowel bedrijven als particulieren bij op het gebied van privacy. Edwin is gespecialiseerd in het privacyrecht en de AVG in de volle breedte en is lid van de IAPP (international association of privacy professionals).

FAQ PRIVACY / AVG.

KENNISPAGINA

Op onze kennispagina’s vind je een korte omschrijving van veelgebruikte begrippen in onze teksten. Deze begrippen gebruiken wij ook vaak in onze nieuwsberichten. Onze nieuwsberichten kun je vinden onder ‘nieuws’.

Wanneer is de AVG van toepassing?

Versimpeld weergegeven, is de AVG van toepassing zodra sprake is van ‘verwerken’ van ‘persoonsgegevens’ binnen de Europese Economische Ruimte.

Maar wat zijn nu persoonsgegevens en wat wordt bedoeld met verwerken?

Een persoonsgegeven is elk stukje informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (lees: een mens van vlees en bloed). Voorbeelden van persoonsgegevens zijn: NAW- gegevens, e-mailadressen, rekeningnummers, identificatiecodes, IP-adressen, enz. Gevoelige persoonsgegevens, zoals iemands ras, etniciteit, gezondheid, seksuele geaardheid en dergelijke worden bijzondere persoonsgegevens genoemd. Hiervoor geldt een strenger regime dan voor reguliere persoonsgegevens, dat erop neerkomt dat verwerking verboden is, tenzij er een wettelijke uitzondering geldt. Een soortgelijke regeling geldt voor gegevens over iemands strafrechtelijke antecedenten.

Met verwerken wordt samengevat bedoeld: iedere handeling die met persoonsgegevens kan worden uitgevoerd, al dan niet geautomatiseerd. In feite komt nagenoeg ieder werkwoord in aanmerking, bijvoorbeeld: verzamelen, opslaan, kopiëren, wijzigen, afschermen, verwijderen, etc.

Zowel ‘persoonsgegevens’ als ‘verwerken’ zijn dus ruime begrippen. De AVG is van toepassing op elke geautomatiseerde verwerking en op (ook niet-geautomatiseerde) verwerkingen van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.

Het is daarom eigenlijk niet voorstelbaar dat er organisaties zijn die helemaal niet aan verwerking van persoonsgegevens doen. Al bij basale bedrijfsprocessen als personeelsadministratie en klantbeheer wordt immers per definitie gebruik gemaakt van persoonsgegevens. Alle organisaties moeten dus voldoen aan de strengere regels die de AVG stelt ten opzichte van de oude Wbp, die sowieso een ietwat ‘sluimerend’ bestaan leidde.

Hoe is de AVG anders dan de Wbp (Wet Bescherming Persoonsgegevens)?

Versimpeld weergegeven, is de AVG van toepassing zodra sprake is van ‘verwerken’ van ‘persoonsgegevens’ binnen de Europese Economische Ruimte.

Maar wat zijn nu persoonsgegevens en wat wordt bedoeld met verwerken?

Een persoonsgegeven is elk stukje informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (lees: een mens van vlees en bloed). Voorbeelden van persoonsgegevens zijn: NAW- gegevens, e-mailadressen, rekeningnummers, identificatiecodes, IP-adressen, enz. Gevoelige persoonsgegevens, zoals iemands ras, etniciteit, gezondheid, seksuele geaardheid en dergelijke worden bijzondere persoonsgegevens genoemd. Hiervoor geldt een strenger regime dan voor reguliere persoonsgegevens, dat erop neerkomt dat verwerking verboden is, tenzij er een wettelijke uitzondering geldt. Een soortgelijke regeling geldt voor gegevens over iemands strafrechtelijke antecedenten.

Met verwerken wordt samengevat bedoeld: iedere handeling die met persoonsgegevens kan worden uitgevoerd, al dan niet geautomatiseerd. In feite komt nagenoeg ieder werkwoord in aanmerking, bijvoorbeeld: verzamelen, opslaan, kopiëren, wijzigen, afschermen, verwijderen, etc.

Zowel ‘persoonsgegevens’ als ‘verwerken’ zijn dus ruime begrippen. De AVG is van toepassing op elke geautomatiseerde verwerking en op (ook niet-geautomatiseerde) verwerkingen van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.

Het is daarom eigenlijk niet voorstelbaar dat er organisaties zijn die helemaal niet aan verwerking van persoonsgegevens doen. Al bij basale bedrijfsprocessen als personeelsadministratie en klantbeheer wordt immers per definitie gebruik gemaakt van persoonsgegevens. Alle organisaties moeten dus voldoen aan de strengere regels die de AVG stelt ten opzichte van de oude Wbp, die sowieso een ietwat ‘sluimerend’ bestaan leidde.

Wat houdt de 'verantwoordingsplicht' in?

Kernelementen van de AVG zijn awareness en accountability. Van organisaties wordt verlangd bewust om te gaan met het onderwerp bescherming van persoonsgegevens en op elk moment hierover verantwoording af te kunnen leggen. De verplichtingen op het gebied van privacy mogen niet (meer) als een ‘afvinklijstje’ worden gezien. Interne processen en systemen (waaronder bijvoorbeeld projectadministratie, personeelsadministratie en CRM) moeten zo worden ingericht dat privacyrechten te allen tijde optimaal zijn gewaarborgd. Hetzelfde geldt voor aangeboden producten en diensten. Dit wordt in de AVG aangeduid als ‘privacy by default’ (systemen, producten en diensten standaard op de meest privacyvriendelijke stand zetten) en ‘privacy by design’ (privacy vanaf het moment van ontwikkeling integreren in nieuwe systemen, producten en diensten).

Organisaties moeten desgevraagd kunnen aantonen te voldoen aan de AVG bij iedere verwerking van persoonsgegevens. De belangrijkste beginselen van de AVG zijn:

• Rechtmatigheid van iedere verwerking
• Transparantie: betrokkenen moeten weten dat hun persoonsgegevens worden verwerkt, voor
welke doeleinden dat gebeurt en wat hun rechten in dat verband zijn
• Doelbinding: elke verwerking van persoonsgegevens moet noodzakelijk zijn omwille van vooraf
beschreven gerechtvaardigde doeleinden
• Minimaal: er mogen niet meer gegevens verwerkt worden, dan noodzakelijk is voor de doeleinden
• Juistheid: verwerkte persoonsgegevens moeten juist en actueel zijn
• Beveiliging: er moeten passende technische en organisatorische maatregelen worden getroffen om de persoonsgegevens te beveiligen.

Welke rechten heb je als betrokkene?

Voorafgaand aan de verwerking van persoonsgegevens, moeten wij als betrokkene hierover geïnformeerd worden. Dat heet in de AVG het ‘transparatiebeginsel’.

 

Hierbij moeten wij als betrokkenen onder meer worden gewezen op onze rechten, zoals

  • het recht op inzagein welke persoonsgegevens van ons verwerkt zijn/worden
  • het recht op aanvullingen/of correctie van de verwerkte persoonsgegevens
  • het recht op verwijderingvan (overbodige) persoonsgegevens of zelfs van alle ons betreffende persoonsgegevens (ook wel ‘vergetelheid’ genoemd)
  • het recht op bezwaartegen een bepaalde verwerking en beperking van verdere verwerking van onze persoonsgegevens
  • het recht op overdraagbaarheid(dataportabiliteit) van onze persoonsgegevens, waarover hieronder meer.
  • het recht om een klachtin te dienen bij de toezichthouder, de Autoriteit Persoonsgegevens

 

Bivoorbeeld: werknemers

Werknemers kunnen bijvoorbeeld verwijdering vragen van verwerkte persoonsgegevens die niet  noodzakelijk zijn voor de gestelde doeleinden. Het is bijvoorbeeld voor het correct uitvoeren van de salariering niet noodzakelijk de etniciteit van de betrokkene te weten of over een pasfoto te beschikken. Het is overigens wel mogelijk dat een organisatie die persoonsgegevens mag verwerken voor een ander doeleind.

 

Dataportabiliteit

Helemaal nieuw onder de AVG is het hierboven genoemde recht op ‘dataportabiliteit’. Betrokkenen hebben sinds 25 mei 2018 (onder omstandigheden) het recht hun persoonsgegevens in een standaard, overdraagbaar formaat te ontvangen. Dit maakt het mogelijk de persoonsgegevens eenvoudig door te geven aan andere partijen. Dit nieuwe recht beoogt het met name makkelijk(er) te maken van de ene sociale netwerksite of onlinedienst over te stappen naar een andere. Betrokkenen kunnen zelfs verlangen dat de organisatie hun persoonsgegevens direct doorstuurt naar die nieuwe partij.

Ben ik 'verantwoordelijke' of 'verwerker'?

De AVG maakt een onderscheid tussen de ‘verwerkingsverantwoordelijke’ en de ‘verwerker’.

 

De ‘verantwoordelijke’ is degene die het doel van de verwerking van persoonsgegevens vaststelt en de middelen waarmee die verwerking wordt uitgevoerd. Een ‘verwerker’ verwerkt slechts ten behoeve van de ‘verantwoordelijke’. Een werkgever is bijvoorbeeld de ‘verantwoordelijke’ waar het de verwerking van persoonsgegevens van diens personeel aangaat.

 

Bijvoorbeeld: salarisadministratiekantoren

Het komt veel voor dat werkgevers hun salarisadministratie door een externe, zelfstandige partij laten uitvoeren. Dat administratiekantoor wordt dan aangemerkt als ‘verwerker’. Een eigen, interne salarisadministratie van een werkgever is geen ‘verwerker’ in de zin van de wet. De organisatie van de werkgever als geheel wordt namelijk als ‘verantwoordelijke’ beschouwd. Het is voor dienstverleners die opdrachten voor derden uitvoeren dus van belang na te gaan of zij ‘verwerker’ of ‘verantwoordelijke’ zijn. Dit is niet altijd even gemakkelijk. Een extern administratiekantoor dat alleen de salarisrol uitvoert, is doorgaans een ‘verwerker’. Maar wat als het administratiekantoor ook aanpalende adviesdiensten verleent, bijvoorbeeld op juridisch of HR-gebied? Dan zou zomaar sprake kunnen zijn van een situatie waarbij het administratiekantoor vaststelt welke persoonsgegevens zij daarvoor nodig heeft en met welk doel. In zoverre is het administratiekantoor dan daarom (ook) ‘verantwoordelijke’.

 

Verschil in verantwoordelijkheid

Het verschil tussen ‘verantwoordelijke’ en ‘verwerker’ is belangrijk. Een ‘verantwoordelijke’ is namelijk bij iedere verwerking verantwoordelijk voor naleving van de volledige AVG. Dat geldt niet voor de ‘verwerker’. De ‘verwerker’ handelt immers in opdracht van de ‘verantwoordelijke’ en hoeft daarom bijvoorbeeld niet te bewaken dat aan de beginselen van transparantie en doelbinding is voldaan. Dat is immers de taak van de ‘verantwoordelijke’. Wel zal ook de ‘verwerker’, net zoals de ‘verantwoordelijke’, onder meer passende technische en organisatorische beveiligingsmaatregelen moeten treffen. Denk bijvoorbeeld aan versleuteling van persoonsgegevens, beleid op het gebied van wachtwoorden en autorisaties en het periodiek testen en evalueren van genomen  beveiligingsmaatregelen.

 

Aandachtspunt

‘Verantwoordelijken’ zoals werkgevers mogen straks alleen nog samenwerken met ‘verwerkers’ die kunnen aantonen hun beveiliging en organisatie op orde te hebben conform de AVG. Dit is dus een aandachtspunt voor zowel verantwoordelijken als voor bedrijven die vanwege hun core business normaliter verwerker zijn in de zin van de AVG. De verantwoordingsplicht brengt met zich mee dat verantwoordelijken kunnen aantonen dat ze dit hebben gecontroleerd. Voor aanstaande verwerkers kan het daarom lonend zijn om hun track-record tastbaar te maken in de vorm van een presentatie met (onder andere) referenties.

Met wie moet ik een verwerkersovereenkomst sluiten en wat moet daarin staan?

De ‘verantwoordelijke’ en de ‘verwerker’ zijn verplicht een verwerkersovereenkomst te sluiten. Daarin moeten onder meer worden vastgelegd het onderwerp, de duur, de aard en het doel van de verwerking, het soort persoonsgegevens, de categorieën van betrokkenen en de rechten en verplichtingen van de verantwoordelijke. De inhoud van zo’n verwerkersovereenkomst is vrij uitgebreid en wordt voor het grootste deel voorgeschreven door de AVG.

Verkort weergegeven, moet een verwerkersovereenkomst in ieder geval bevatten:

(de basis)
1. Naam/aanduiding verantwoordelijke en verwerker
2. onderwerp en duur van de verwerking
3. aard en doel van de verwerking
4. soort persoonsgegevens en categorieën van betrokkenen
5. rechten en verplichtingen van de verantwoordelijke

(en verder)
1. een bepaling die de verwerker verplicht om de personen die feitelijk de verwerking uitvoeren vertrouwelijkheid op te leggen
2. de bepaling dat de verwerker uitsluitend persoonsgegevens verwerkt op basis van schriftelijke instructies van de verantwoordelijke (onder meer ingeval van doorgifte aan landen of organisaties die niet onder de AVG vallen), tenzij een bepaalde verwerking wettelijke verplicht is (in dat geval moet de verantwoordelijke vooraf worden geïnformeerd over die wettelijke plicht, tenzij de wet dat informeren verbiedt)
3. de garantie dat de verwerker passende technische en organisatorische beveiligingsmaatregelen treft en in stand houdt
4. de bepaling dat verwerker geen sub-verwerker in mag schakelen zonder voorafgaande specifieke of algemene toestemming van verantwoordelijke en dat, bij algemene toestemming, de verantwoordelijke telkens voor het inschakelen van een sub-verwerker hierover wordt geïnformeerd en bezwaar kan maken
5. de bepaling dat, als de verwerker een sub-verwerker inschakelt, met die sub-verwerker een (sub)verwerkersovereenkomst wordt gesloten die deze sub-verwerker aan dezelfde verplichtingen bindt als waaraan de verwerker zelf gebonden is mét de bepaling dat de verwerker ten opzichte van de verantwoordelijke aansprakelijk is indien de sub-verwerker diens verplichtingen niet nakomt
6. de bepaling dat de verwerker door middel van passende maatregelen, zoveel als mogelijk, bijstand verleent aan de verantwoordelijke bij het nakomen van diens verplichtingen om verzoeken te beantwoorden van betrokkenen gebaseerd op diens rechten
7. de bepaling dat de verwerker, zoveel als mogelijk, aan de verantwoordelijke bijstand verleent bij het kunnen nakomen van diens verplichtingen tot beveiliging van gegevensverwerking, melding van datalekken en de uitvoering en opvolging van privacy impact assessments
8. de garantie dat de verwerker, na beëindiging van de verwerkingsdienst, alle persoonsgegevens aan de verantwoordelijk terugbezorgd indien deze dit wenst en alle persoonsgegevens verwijderd, behoudens bij een wettelijke bewaarplicht
9. de bepaling die de verwerker verplicht om alle informatie aan de verantwoordelijke ter beschikking te stellen en mee te werken aan diens controles en audits, om zo aan te tonen dat aan alle verplichtingen uit de verwerkersovereenkomst wordt voldaan
10. de bepaling dat de verwerker onverwijld de verantwoordelijke moet informeren indien hij van oordeel is dat een instructie van de verantwoordelijke in strijd is met de wet- en regelgeving omtrent bescherming van persoonsgegevens

Wat houdt de meldplicht datalekken in?

Als persoonsgegevens van een betrokkene (bijv. een werknemer, klant of lid) worden verkregen, moet de verwerkingsverantwoordelijke transparant zijn over wat er met die persoonsgegevens gebeurt.

Art. 12 lid 1 AVG bepaalt hierover: “De verwerkingsverantwoordelijke neemt passende maatregelen opdat de betrokkene de in de artikelen 13 en 14 bedoelde informatie en de in de artikelen 15 tot en met 22 en artikel 34 bedoelde communicatie in verband met de verwerking in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal ontvangt, in het bijzonder wanneer de informatie specifiek voor een kind bestemd is (…)”

Wat moet er nu minimaal staan in een standaard privacyverklaring (ook wel privacy statement of privacy disclaimer genoemd)? Verkort weergegeven het volgende:

1. naam en contactgegevens van de verwerkingsverantwoordelijke

2. indien aan de orde: contactgegevens van de Functionaris voor de gegevensbescherming

3. de verwerkingsdoeleinden en grondslagen van de verwerking, incl. omschrijving van het gerechtvaardigd eigen belang indien een verwerking op die grondslag is gebaseerd

4. de (categorieën van) ontvangers van de verwerkte persoonsgegevens

5. indien aan de orde: vermelding van doorgifte aan derde-landen (= buiten toepassingsgebied AVG, wat versimpeld weergegeven betekent landen buiten de Europese Economische Ruimte)

6. de bewaarperiode, of de criteria aan de hand waarvan de bewaarperiode wordt bepaald

7. vermelding van de volgende rechten van de betrokkene:
a. inzage
b. rectificatie of verwijdering
c. beperking
d. bezwaar tegen de verwerking
e. gegevensoverdraagbaarheid

8. dat een eventueel door de betrokkenen gegeven toestemming voor verwerking op elk moment ingetrokken kan worden

9. dat de betrokkene de mogelijkheid heeft een klacht in te dienen bij de Autoriteit Persoonsgegevens

10. of verstrekking van bepaalde persoonsgegevens een wettelijke of contractuele plicht is (of noodzakelijk om een overeenkomst te kunnen sluiten) en wat de gevolgen zijn bij niet-verstrekken

11. Indien aan de orde: de vermelding van geautomatiseerde besluitvorming en/of profiling op basis van de verwerkte persoonsgegevens, inclusief de mogelijkheid hiertegen bezwaar te maken

Wanneer is een verwerking rechtmatig en dus toegestaan?

Iedere verwerking van een persoonsgegeven moet rechtmatig zijn. Dit klinkt als een open deur, maar leidt er in de praktijk toe dat telkens bekeken moet worden wat de wettelijke grondslag voor een verwerking is. De AVG kent zes van zulke grondslagen:

• Toestemming van de betrokkene
• Noodzakelijk voor de uitvoering van een overeenkomst met de betrokkene (of om de totstandkoming van die overeenkomst mogelijk te maken);
• Noodzakelijk om een wettelijke plicht te voldoen
• Noodzakelijk in verband met de vitale belangen van de betrokkene
• Noodzakelijk voor het vervullen van een taak van algemeen belang
• Noodzakelijk in verband met de gerechtvaardigde belangen van de verwerkende organisatie

De twee grondslagen die de meeste onduidelijkheid en vragen oproepen, zijn de toestemming en het gerechtvaardigde eigen belangen van de organisatie.

 

Toestemming

Bij klanten, relaties of bijvoorbeeld leden van een vereniging kan uitdrukkelijk gegeven toestemming op zich als grondslag voor verwerking van hun persoonsgegevens worden gebruikt. Bij het verwerken van bijzondere persoonsgegevens zoals bijvoorbeeld gezondheidsgegevens van leden van een sportvereniging zal ‘toestemming’ vaak zelfs de enige mogelijke grondslag zijn.

Echter, in het arbeidsrecht is ‘toestemming’ een zeer wankele basis. Dit komt door de gezagsverhouding tussen werkgever en werknemer. Deze maakt dat een werknemer niet zonder meer in volledige vrijheid instemming kan geven.

Bovendien kan een gegeven toestemming op elk moment weer worden ingetrokken. Organisaties doen er dan ook goed aan hun verwerkingen van persoonsgegevens zoveel als mogelijk te baseren op een andere juridische grondslag dan instemming te baseren. ‘Toestemming’ dient dus in feite gezien te worden als een ‘vluchtstrook’ die je alleen gebruikt als geen van de andere vijf mogelijke grondslagen gebruikt kan worden en je als organisatie toch meent een gerechtvaardigd doel te hebben bij de beoogde verwerking van persoonsgegevens.

 

Gerechtvaardigd eigen belangen

Een organisatie mag ook persoonsgegevens verwerken indien dat noodzakelijk is in verband met zijn eigen belangen. Dit eigen belang én de noodzakelijkheid moeten dan wel telkens goed gemotiveerd worden.

Bij werknemers kun je bijvoorbeeld denken aan het houden van toezicht op het werk en bijhouden en evalueren van het functioneren van de werknemers. Algemeen aanvaard is dat werkgevers hierbij een noodzakelijk gerechtvaardigd belang hebben. Wel is hierbij een belangrijke rol weggelegd voor de vraag of de inbreuk op de privacy van de betrokkene proportioneel is en of de betrokkene de inbreuk in redelijkheid kon verwachten (‘reasonable expectation of privacy’). Bijvoorbeeld: minimaal cameratoezicht dat duidelijk is kenbaar gemaakt aan werknemers en klanten zal eerder rechtmatig zijn dan heimelijk cameratoezicht dat alle aanwezigen in het bedrijf continu volgt en overal filmt. Bij werknemers is het personeelshandboek een erg goed instrument om het personeel te informeren over wat men wel en niet kan verwachten op het gebied van (inbreuken op hun) privacy op het werk.

Wat moet er in ieder geval in een privacyverklaring staan?

Als persoonsgegevens van een betrokkene (bijv. een werknemer, klant of lid) worden verkregen, moet de verwerkingsverantwoordelijke transparant zijn over wat er met die persoonsgegevens gebeurt.

Art. 12 lid 1 AVG bepaalt hierover: “De verwerkingsverantwoordelijke neemt passende maatregelen opdat de betrokkene de in de artikelen 13 en 14 bedoelde informatie en de in de artikelen 15 tot en met 22 en artikel 34 bedoelde communicatie in verband met de verwerking in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal ontvangt, in het bijzonder wanneer de informatie specifiek voor een kind bestemd is (…)”

Wat moet er nu minimaal staan in een standaard privacyverklaring (ook wel privacy statement of privacy disclaimer genoemd)? Verkort weergegeven het volgende:

1. naam en contactgegevens van de verwerkingsverantwoordelijke

2. indien aan de orde: contactgegevens van de Functionaris voor de gegevensbescherming

3. de verwerkingsdoeleinden en grondslagen van de verwerking, incl. omschrijving van het gerechtvaardigd eigen belang indien een verwerking op die grondslag is gebaseerd

4. de (categorieën van) ontvangers van de verwerkte persoonsgegevens

5. indien aan de orde: vermelding van doorgifte aan derde-landen (= buiten toepassingsgebied AVG, wat versimpeld weergegeven betekent landen buiten de Europese Economische Ruimte)

6. de bewaarperiode, of de criteria aan de hand waarvan de bewaarperiode wordt bepaald

7. vermelding van de volgende rechten van de betrokkene:
a. inzage
b. rectificatie of verwijdering
c. beperking
d. bezwaar tegen de verwerking
e. gegevensoverdraagbaarheid

8. dat een eventueel door de betrokkenen gegeven toestemming voor verwerking op elk moment ingetrokken kan worden

9. dat de betrokkene de mogelijkheid heeft een klacht in te dienen bij de Autoriteit Persoonsgegevens

10. of verstrekking van bepaalde persoonsgegevens een wettelijke of contractuele plicht is (of noodzakelijk om een overeenkomst te kunnen sluiten) en wat de gevolgen zijn bij niet-verstrekken

11. Indien aan de orde: de vermelding van geautomatiseerde besluitvorming en/of profiling op basis van de verwerkte persoonsgegevens, inclusief de mogelijkheid hiertegen bezwaar te maken

Hoe maak ik een 'Register van verwerkingsactiviteiten'?

Elke organisatie die ‘niet incidenteel’ persoonsgegevens verwerkt (lees: elk bedrijf) moet een ‘register van verwerkingsactiviteiten’ bijhouden (art. 30 AVG). Dit begint met het in kaart brengen van de gegevensstromen naar, binnen en vanuit de organisatie.

Bepaal dus per categorie van persoonsgegevens waar en hoe ze worden verzameld, waar worden ze opgeslagen en aan wie buiten de organisatie worden ze worden verstrekt.

Een spreadsheetprogramma (zoals Excel) is het meest geschikt om een register van verwerkingsactiviteiten in aan te leggen. Het register bevat (samengevat):

1. Naam en contactgegevens van de verwerkingsverantwoordelijke
2. Beschrijving van de categorieën van betrokkenen wiens persoonsgegevens worden verwerkt bijvoorbeeld: medewerkers, klanten, ex-klanten, leden, contactpersonen
3. Beschrijving van de categorieën van persoonsgegevens die worden verwerkt
bijvoorbeeld: NAW-gegevens, geboortedatum, contactgegevens (e-mail, telefoonnummer), gezinssamenstelling, financiële bijzonderheden, gezondheidsgegevens, ras/etniciteit, geloofsovertuiging, vrijetijdsbesteding
4. Beschrijving van doeleinden voor de verwerking, incl. wettelijke grondslag. Oftewel: waarom worden bepaalde categorieën van persoonsgegevens door onze organisatie verwerkt en wat geeft ons daartoe het recht?
bijvoorbeeld: adres- en contactgegevens van klanten worden verwerkt om met de klant te communiceren over de uitvoering van de opdracht (grondslag: uitvoering overeenkomst) en om die personen gericht te kunnen informeren over eventuele andere diensten en producten (grondslag: gerechtvaardigd belang en, waar nodig, toestemming)
bijvoorbeeld: foto’s van leden worden verwerkt ter plaatsing op onze website en/of sociale media-accounts (grondslag: toestemming)
5. Beschrijving van de categorieën ontvangers aan wie persoonsgegevens zijn of zullen worden verstrekt;
Bijvoorbeeld: zakelijke dienstverleners, overheidsinstanties, financiële instellingen, externe adviseurs, onderaannemers, gelieerde vennootschappen (bij concernverbanden)
6. Algemene beschrijving van de technische en organisatorische maatregelen die de organisatie heeft genomen om persoonsgegevens die worden verwerkt te beveiligen
7. Bewaartermijnen van de (categorieën) persoonsgegevens
Bijvoorbeeld: projectdossiers worden na x jaar vernietigd
Bijvoorbeeld: gegevens van ex-medewerkers worden na x jaar vernietigd
8. Vermelding van verstrekking van persoonsgegevens aan een land buiten de Europese Unie (EER) of aan een internationale organisatie (indien van toepassing)

Heb ik een Functionaris voor de Gegevensbescherming nodig?

Met de komst van de AVG worden bepaalde organisaties sinds 25 mei 2018 verplicht een
functionaris voor de gegevensbescherming (FG) aan te stellen, in het Engels een Data Protection Officer (DPO) genaamd.

De FG houdt binnen de organisatie toezicht op de toepassing en naleving van de AVG, adviseert de organisatie hierover en is de contactpersoon voor de Autoriteit Persoonsgegevens. Verschillende organisaties hebben nu ook al een FG, maar onder de Wbp bestaat hiertoe nog geen verplichting. Overheidsinstanties en publiekrechtelijke organisaties worden straks in alle gevallen verplicht een FG te benoemen. Hetzelfde geldt voor organisaties met als kernactiviteiten het op grote schaal volgen van individuen of het op grote schaal verwerken van bijzondere persoonsgegevens, zoals gezondheidsgegevens en gegevens over ras, etniciteit en/of geloofsovertuiging.

Voorbeeld: zorginstellingen
Zorginstellingen hebben als kernactiviteit het verlenen van zorg. Ondersteunende diensten, zoals de salarisadministratie, behoren niet tot die kernactiviteiten. De verwerking van persoonsgegevens door de salarisadministratie van een zorginstelling leidt er bijgevolg op zichzelf in beginsel niet toe dat er een FG aangesteld moet worden. In verband met de kernactiviteit van zorginstellingen worden echter op grote schaal bijzondere persoonsgegevens verwerkt, namelijk gezondheidsgegevens. Om die reden zal een zorginstelling een FG moeten aanstellen.

Hoe zit het met doorgifte van persoonsgegevens buiten de EU/EER?

Extra alertheid is geboden indien persoonsgegevens internationaal worden doorgegeven, bijvoorbeeld bij uitwisseling van gegevens met een buitenlandse vestiging of met een buitenlands (online) dienstverlener. Indien de gegevens binnen de EER blijven, is er in de regel weinig aan de hand. De AVG geldt dan immers in alle betrokken landen.

Bij doorgifte aan landen die niet gebonden zijn aan de AVG (‘derde landen’), moet wel goed opgelet worden. Doorgifte aan derde landen is in beginsel alleen toegestaan indien de Europese Commissie daarover een ‘adequaatheidsbesluit’ heeft afgegeven, of als de in het derde land gevestigde ontvanger kan aantonen ‘passende waarborgen’ te bieden inzake bescherming van persoonsgegevens.

Bedrijven in de Verenigde Staten kunnen zich bijvoorbeeld laten certificeren voor het EU-US Privacy Shield (alhoewel dit ‘shield’ wel aan de nodige kritiek onderhevig is). Internationale concerns hebben daarnaast op grond van de AVG de mogelijkheid interne gedragscodes op te stellen voor het gegevensverkeer binnen de eigen organisatie, zogeheten ‘binding corporate rules’. Hoe dan ook zal persoonsgegevensuitwisseling met derde landen altijd een punt van aandacht opleveren.

STEL EEN VRAAG AAN EEN ADVOCAAT

Spoorlaan 460
Postbus 9150
5000 HD Tilburg

T 013 - 536 65 55
F 013 - 536 84 20
E info@kzoadvocaten.nl

Social media

Je kunt ons ook volgen op de normale social media kanalen:

NIEUWSBRIEF

Meld je aan voor onze online nieuwsbrief en blijf op de hoogte van de laatste ontwikkelingen.