#1: Privacywetgeving en uw organisatie

De eerste stap is vaststellen of u wel te maken heeft met privacywetgeving. De wetgeving is niet op ieder gebruik van een persoonsgegeven van toepassing. Soms is niet eens sprake van een persoonsgegeven.

Vervolgens is het de vraag welke rol uw bedrijf, vereniging, stichting, onderneming of organisatie speelt bij het gebruik van de data. Wilt u zelf de persoonsgegevens gebruiken of verlangt een andere organisatie dit van u? Juridisch noemen we dit het verschil tussen de verantwoordelijke en de bewerker.

Een verantwoordelijke heeft andere (en veel meer) verplichtingen volgens de privacywetgeving dan een bewerker. In veel situaties is zelfs de verantwoordelijke aansprakelijk voor het gedrag van de bewerker.

Als u zelf verantwoordelijke bent en een andere partij u meehelpt met het gebruik van data, dan moet u een bewerkersovereenkomst sluiten. Maar wat moet hier in staan?

Hieronder maken we aan de hand van een aantal vragen en antwoorden voor u inzichtelijk of privacywetgeving binnen uw organisatie een rol speelt, of u daarbij verantwoordelijke of bewerker bent en welke verplichtingen bij uw rol horen.

  • Wanneer is de Algemene Verordening Gegevensbescherming van toepassing?

    De AVG is net als de Wet bescherming persoonsgegevens (“Wbp”) in ieder geval van toepassing als u in Nederland geautomatiseerd bestand met persoonsgegevens verwerkt. Dit is geen duidelijk antwoord, maar een samenvatting van de wettelijke definitie. De wettelijke definitie valt uiteen in verschillende definities van de gebruikte termen. Deze termen worden in de volgende vragen toegelicht.

  • Wanneer is de AVG NIET van toepassing?

    Als de definities van de AVG niet van toepassing zijn. Dit is hetzelfde als ten tijde van de Wbp. Zoals uit de volgende vragen zal blijken, is dit het geval: Als géén sprake is van een persoonsgegeven of als géén sprake is van een geautomatiseerde verwerking. Dan is de AVG niet van toepassing.

    Er is nog meer uitzonderingen. Indien u de persoonsgegevens alleen gebruikt voor persoonlijke of huishoudelijke doeleinden. Dit is het geval bij een verjaardagskalender op uw computer of mobiel. Of bij uw eigen klanten- en contactenbestand dat (alleen) door uzelf voor acquisitiedoeleinden wordt gebruikt. Ook is de AVG niet van toepassing indien de verwerking van persoonsgegevens plaatsvindt voor uitsluitende journalistieke, artistieke of literaire doeleinden. Uw vestigingsplaats en de plaats van de verwerkingen kan een rol spelen bij het vaststellen van de toepasselijkheid van de AVG. Het kan namelijk zijn dat een privacywet van een ander land van toepassing is. Inmiddels is gebleken – in zaken tegen Google en Facebook - dat de Autoriteit Persoonsgegevens al vrij snel van mening is dat de AVG van toepassing is en zij een oordeel mag geven.

  • Heeft de AVG voorrang op andere wettelijke verplichtingen?

    Niet altijd. In beginsel geldt dat alleen dan niet van toepassing is in die gevallen waarin dit zo is omschreven in de AVG zelf. Per situatie zal beoordeeld moeten worden of de AVG een bepaling heeft over de situatie, of de verplichtingen echt conflicteren en of er een mogelijkheid bestaat om aan beide verplichtingen te voldoen.

    In het hiervoor gegeven voorbeeld van de bewaartermijnen is denkbaar dat gelijktijdig aan de diverse verplichtingen wordt voldaan. Voor de Fiscale wetgeving en boekhoudplicht is enkel het bewaren van specifieke financiele gegevens nodig. Denkbaar is om deze gegevens te scheiden van persoonsgegevens en bijvoorbeeld de persoonsgegevens enkel door gebruik van een “golden key” voor één persoon toegankelijk te maken. Dit is weliswaar niet het onomkeerbaar verwijderen van de persoonsgegevens, maar is wel een verstrekkende manier om tegemoet te komen aan de verplichting uit de AVG om de gegevens niet onnodig lang te bewaren.

    In het hierna (volgende vraag) genoemde voorbeeld van de WOB geldt dat de WOB ten opzichte van de AVG een uitputtende regeling geeft over informatieverplichtingen en daardoor een “lex specialis” is ten opzichte van de “lex generalis” van de AVG. In feite wordt door de WOB een bepaalt voorschrift (art 6 sub c) nader uitgewerkt. De WOB gaat op dat punt dus wel voor de AVG. Het recht op kennisneming is weer niet geregeld in de WOB, daarin heeft de AVG weer voorrang.

    In het hierna (volgende vraag) gegeven voorbeeld van de geheimhoudingsbepalingen uit de AVG en de WGBO is sprake van aanvullende verplichtingen. De AVG (dmv UAVG) bepaalt zelf dat wettelijke geheimhoudingsverplichtingen voorafgaan aan de verplichtingen uit de AVG.

  • Kan de AVG tegelijk met een andere wet van toepassing zijn?

    Ja. De AVG bepaalt dat je persoonsgegevens niet oneindig mag bewaren, maar enkel voor zolang nodig is om het beoogde doel te bereiken. Fiscale wetgeving geeft echter weer specifieke bewaartermijn voor uw administratie. Ook de boekhoudverplichting van Boek 2 Burgerlijk Wetboek geeft indirect een voorschrift over het bewaren van administratie. Hier kan sprake zijn van conflicterende verplichtingen.

    Een andere situatie speelt bij een beroep op de Wet Openbaarheid van Bestuur. Een WOB-verzoek strekt tot openlegging van gegevens. Een van de verplichtingen uit de AVG is nu juist geheimhouding. Hier kan dus ook sprake zijn van conflicterende verplichtingen.

    Ook het medische beroepsgeheim zoals is bepaald in de Wet op de Geneeskundige Behandelingsovereenkomst en de AVG kennen beide geheimhoudingsbepalingen. De tekst en strekking van deze bepalingen zijn niet gelijk. Dit betreft niet zo zeer conflicterende verplichtingen als wel minder vergaande verplichtingen.

    Per situatie moet worden beoordeeld hoe aan alle wetten tegelijk kan worden voldaan.

  • Persoonsgegeven

  • Wat is een persoonsgegeven?

    Ieder gegeven dat herleidbaar is of kan worden tot een natuurlijke persoon. Indien u alleen gegevens heeft van bedrijven, dan is geen sprake van een persoonsgegeven. De natuurlijke persoon in kwestie dient ook levend te zijn. Indien er echter gegevens worden verzameld of gebruikt van overleden personen en die gegevens hebben tevens betrekking op nog levende personen, dan is weer wél sprake van een persoonsgegeven.

    De  AVG kent twee soorten persoonsgegevens: normale en bijzondere persoonsgegevens. Voor bijzondere persoonsgegevens geldt een verbod om deze te verwerken, tenzij wordt voldaan aan speciale eisen.

  • Wat betekent herleidbaar tot een persoon?

    Van een naam of kopie paspoort is duidelijk dat dit een persoonsgegeven betreft. Soms is van gegevens niet direct duidelijk op welke persoon deze betrekking hebben. Toch kan het dan om persoonsgegevens gaan. Dit is het geval als met relatief weinig inspanningen toch is te achterhalen om wie het gaat. De aard van de gegevens (postcode met huisnummer, specifieke kenmerken als bijvoorbeeld “de vader van Pietje uit groep 4”) kan hierbij een rol spelen. Ook de mogelijkheid die uzelf heeft om toch de identiteit van de persoon in kwestie te achterhalen speelt een rol. Het maakt overigens niet uit of de identiteit spontaan, direct of indirect wordt gevonden. Alleen indien gegevens onomkeerbaar geanonimiseerd zijn dan is geen sprake meer van persoonsgegevens.

  • Wat is een geautomatiseerde verwerking?

    Iedere verwerking waarbij een computer wordt gebruikt. Op een fysiek dossier met persoonsgegevens is de Wbp niet van toepassing. Mocht het gaan om een kast met fysieke dossiers, dan kan onder omstandigheden toch weer sprake zijn van een geautomatiseerd bestand van gegevens. Zeker als de dossiers zijn gecodeerd en deze systematische toegankelijkheid van de dossiers wordt bijgehouden in een computerbestand.

  • Wat zijn voorbeelden van (bestanden met) persoonsgegevens?

    Een naam al dan niet gecombineerd met adres en woonplaats.

    Een foto.

    Een telefoonnummer.

    Een kenteken.

    Een ip-adres.

    Een diagnose in combinatie met behandelde specialist en geboortedatum van patiënt.

    Een personeelsbestand.

    Locatiegegevens op een specifieke dag en tijdstip in combinatie met aankoopbedrag, leeftijd en woonplaats (zeker als de woonplaats een dorpje in Friesland betreft en de aankoop in Middelharnis werd gedaan).

    Een patiëntenbestand.

    Lidmaatschapsnummer van een belangenvereniging/patientenvereniging/beroepsorganisatie in combinatie met inschrijfdatum, leeftijd, geslacht, woonplaats en/of vestigingsplaats.

    Een debiteurenadministratie met contactgegevens en gespreksnotities.

    Een CRM systeem waarbij de mogelijkheid bestaan (en wordt gebruikt) om contactpersonen in te vullen en/of om aan te geven wanneer deze jarig zijn, de naam van hun echtgenote en kinderen en recente vakantiebestemming.

  • Wat zijn bijzondere persoonsgegevens?

    De Wbp maakt een onderscheid in gewone en bijzondere persoonsgegevens. Bijzondere persoonsgegevens zijn gegevens over iemands:

    Godsdienst

    Ras

    Politieke voorkeur

    Gezondheid

    Seksuele leven

    Lidmaatschap vakbond

    Strafrechtelijk verleden

  • Wat is het verschil tussen bijzondere, gevoelige en normale persoonsgegevens?

    Bijzondere persoonsgegevens mogen niet worden verwerkt, tenzij een van de uitzondering van toepassing is. Bijzondere persoonsgegevens zijn gegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven. Maar ook gegevens betreffende het lidmaatschap van een vakbond en strafrechtelijke gegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag.

    Gevoelige persoonsgegevens is geen wettelijke term. De Autoriteit Persoonsgegevens (vroeger het CBP) gebruikt deze term wel steeds vaker. Dit blijkt uit onderzoeken en publicaties. De Autoriteit Persoonsgegevens stelt dan dat de belangenafweging die u bij sommige verplichtingen zelf mag maken anders had moeten worden uitgevoerd, omdat sprake is van gevoelige gegevens. Bij de verwerking van gevoelige gegevens dient meer rekening gehouden te worden met het belang van de persoon in kwestie. Gevoelige persoonsgegevens zijn bijvoorbeeld financiële gegevens, gegevens over prostitutiebezoek, locatiegegevens, gegevens over iemands surfgedrag op internet of gegevens die kunnen leiden tot stigmatisering of uitsluiting. Wachtwoorden, inloggegevens en gebruikersnamen zijn gevoelige gegevens volgens de AP. Voor gevoelige gegevens geldt dat als deze worden gelekt, dit altijd moet worden gemeld bij de AP.  

     Alle andere persoonsgegevens zijn normale persoonsgegevens.

  • Wat betekent verwerken van persoonsgegevens?

    Onder verwerken worden heel veel handelingen begrepen, zoals onder andere: verzamelen, opslaan, doorsturen, opvragen, bewerken, aanpassen, gebruiken, ordenen, raadplegen, verstrekken, afschermen, vernietigen, uitwissen en bewaren.

    Dus ook indien u eigenlijk niets concreet doet met persoonsgegevens, maar deze alleen bewaart of aanpast dan is wél sprake van verwerken van persoonsgegevens.

  • Verwerkingsverantwoordelijke

  • Wanneer bent u verantwoordelijke?

    Een verantwoordelijke, nu dus een verwerkingsverantwoordelijke genoemd, is de partij die het doel van en de middelen voor de verwerking bepaalt. 

    De partij die de formeel-juridische zeggenschap heeft over de verwerking. De gedachte hier achter is dat degene van wie de gegevens worden gebruikt, de betrokkene, weet wie hij moet aanspreken om zijn rechten uit te oefenen.

    De partij die bepaalt, is dus bijvoorbeeld de rechtspersoon die over de operationele gegevensverwerking gaat. Het gaat dus niet om het afdelingshoofd of de marketingmanager die feitelijk de gegevens verzamelt en gebruikt. Het gaat om de partij die de zeggenschap heeft.

    De partij die het doel bepaalt, duidt op de partij die het initiatief heeft genomen om de gegevens te gaan verwerken. Zonder het besluit van deze partij was de hele gegevensverwerking niet op gang gekomen.

    De partij die de middelen bepaalt, duidt op de partij die aangeeft hoe de gegevens worden verwerkt. Bijvoorbeeld op welke technische wijze en voor welke duur. Een partij die enkel feitelijk de gegevens verwerkt, omdat die partij hiervoor is ingehuurd, is niet daardoor de verantwoordelijke. Ook al bepaalt die partij op welke technische manier de gegevens worden verwerkt. De partij die de essentiële middelen voor verwerking bepaalt, zoals de duur, toegang tot gegevens en wélke gegevens worden verwerkt, is en blijft de verantwoordelijke.

  • Kan een groepsmaatschappij worden benoemd tot verantwoordelijke?

    Ja.

    In principe draagt iedere rechtspersoon – ook verenigingen en stichtingen - zijn eigen rechten en plichten. Het is binnen deAVG toegestaan om bijvoorbeeld door bepalingen in statuten en onderlinge regelingen en overeenkomsten vast te laten leggen dat 1 bepaalde vennootschap of vereniging binnen een concern de verantwoordelijke is. In de onderlinge afspraken of statuten dient dan te worden vastgelegd dat 1 vennootschap bevoegd is tot het vaststellen van het doel en de middelen van alle verwerkingen van persoonsgegevens binnen het concern.

  • Kunnen er meerdere partijen bij een verwerking verantwoordelijke zijn?

    Ja.

    Er kan sprake zijn van gemeenschappelijk, gezamenlijk of gediffentieerde verantwoordelijken. Het is mogelijk dat meerdere partijen ieder een eigen deel van een verwerking uitvoeren onder de leiding van een van hen. Iedere partij is dan verantwoordelijke voor zijn eigen deel en de ene partij is gemeenschappelijk verantwoordelijke voor het geheel. Dit speelt bijvoorbeeld binnen grotere organisaties. De organisatie zelf is de gemeenschappelijk verantwoordelijke, maar iedere afdeling kan verantwoordelijk zijn voor de juistheid van de aangeleverde gegevens.

    Het is ook mogelijk dat partijen in een samenwerking besluiten om gegevens te verwerken. Bijvoorbeedl een aantal bedrijven die samen een marketingbestand maken. Dan is sprake van meerdere gezamenlijke verantwoordelijke.

    Als meerdere bedrijven of verenigingen/stichtingen in verschillende landen of gebieden samenwerken en iedere organisatie een eigen deel van de gegevens gebruikt dan kan sprake zijn van gedifferentieerde verantwoordelijke.

  • Verwerker

  • Wanneer is sprake van een verwerker?

    Zodra een partij geen verwerkingsverantwoordelijke is van een gegevensverwerking, maar toch betrokken is bij de verwerking.

  • Wat zijn voorbeelden van verwerkers?

    Een reclamebureau, hostingbedrijf, salarisadminstratiekantoor, websitebouwer.

    Een reclamebureau kan de verwerker zijn van een klantenbestand van een opdrachtgever. Voor het eigen personeelsbestand geldt weer dat het reclamebureau de verwerkingsverantwoordelijke is. Een hostingbedrijf kan de verwerker zijn van de gegevens die op de website of in een app van een klant worden verzameld. Zodra dit hostingbedrijf echter de gegevens gaat monitoren of zelfstandig gaat actualiseren of verrijken, dan kan het hostingbedrijf verwerkingsverantwoordelijke worden.

    Een salarisadministratiekantoor is vaak een verwerker en verricht alleen handelingen met gegevens op verzoek van een ander bedrijf. Ook een websitebouwer is in de regel een verwerker en gebruikt alleen persoonsgegevens om de site te testen of op te leveren aan een opdrachtgever.

  • Waarom is het verschil tussen verwerkingsverantwoordelijke en verwerker van belang?

    De AVG gaat uit van de bescherming van de betrokkene, degene van wie gegevens worden verwerkt. Met het van toepassing worden van de AVG worden de verplichtingen uit de AVG ook opgelegd (ter bescherming van de rechten van de betrokkene) aan de verwerker, niet alleen aan de verwerkingsverantwoordelijke. Beide partijen kunnen dus een boete krijgen of onderworpen worden aan onderzoeken en publicaties hiervan door de Autoriteit Persoonsgegevens. 

    Maar de verwerkingsverantwoordelijke is in eerste instantie de partij tegen wie een betrokkene zal gaan procederen om een schadevergoeding te vorderen. De verwerker daarentegen wordt meer als een afgeleide gezien. Een partij waarvoor de verantwoordelijke verantwoordelijk is. De verwerkingsverantwoordelijke is ook degene die moet zorgen dat betrokkenen daadwerkelijk hun rechten kunnen uitoefenen. De verwerkingsverantwoordelijke is ook degene die een informatieplicht heeft, een privacystatement moet hanteren. De verwerkingsverantwoordelijke moet ook zorgen dat de grondslagen voor de verwerking aanwezig zijn. Tot slot is bij onderhandelingen over een verwerkersovereenkomst het belangrijk om te weten vanuit welke positie je onderhandelt. Hoe ver moet de afspraak over een auditbevoegdheid gaan? Is er een afspraak nodig over garanties of vrijwaringen?

  • Verplichtingen en gronden

  • Wat zijn de verplichtingen van een verantwoordelijke?

    De Algemene Verordening Gegevensbescherming heeft een aantal uitgangspunten. Dit zijn de algemene beginselen die er voor dienen te zorgen dat de gegevensverwerking op zorgvuldige wijze geschiedt. Deze beginselen zijn samen te vatten met de termen: transparantie, proportionaliteit, doelbinding, subsidiariteit.

    Deze beginselen worden uitgewerkt in de AVG als verplichtingen waaraan moet worden voldaan bij datagebruik (art 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15 -23 AVG).

    In bijgaand overzicht hebben we de verplichtingen opgesomd (nog niet omgenummerd naar AVG).

    Download: Verplichtingen van verantwoordelijke (ondernemer).pdf

  • Wat zijn de verplichtingen van een verwerker?

    Een verwerker heeft in ieder geval een zelfstandige geheimhoudingsverplichting en een beveiligingsverplichting.

  • Wat zijn de (limitatief opgesomde) verwerkingsgronden?

    • Ondubbelzinnige toestemming van de betrokkene. Dit betekent dat de betrokkene in vrijheid de wil moet hebben geuit dat bepaalde persoonsgegevens mogen worden verwerkt, over welke verwerking hij volledig vooraf is geïnformeerd;
    • Noodzakelijk ter uitvoering van een overeenkomst. Dit moet gaan om een overeenkomst tussen de betrokkene en de verantwoordelijke. Bijvoorbeeld de verwerking van adresgegevens voor een online geplaatste bestelling;
    • Ter uitvoering van een wettelijke plicht. Het moet echt om een situatie gaan dat niet op een andere wijze uitvoering kan worden gegeven aan de wettelijke plicht. Bepaalde arbeidsrechtelijke wetgeving verplicht werkgevers bijvoorbeeld om gegevens van personeel te administreren;
    • Vitaal belang van betrokkene. Bij deze grondslag zal vaak een medisch aspect een rol spelen. Ook in deze situaties verdient het vragen van toestemming de voorkeur;
    • Uitvoering van een publiekrechtelijke taak. Deze grondslag kan alleen worden gebruikt door bestuursorganen en dan mogen alleen persoonsgegevens worden verwerkt die nodig zijn voor de uitvoering van de hun opgedragen bestuursrechtelijke taak;
    • Gerechtvaardigd belang van de verantwoordelijke. Bij deze grondslag speelt de belangafweging van de belangen van de betrokkene en de verantwoordelijke een grote rol. Veel organisaties proberen om op basis van deze grondslag persoonsgegevens te verwerken voor het in hun ogen financieel zwaarwegende belang om bijvoorbeeld marketingacties uit te voeren. Het gebruik van deze grondslag is aan discussie onderhevig. Gebruik van deze grondslag zal goed beargumenteerd en gedocumenteerd dienen te gebeuren.

  • Kan toestemming worden ingetrokken, en dan?

    Ja.

    Toestemming kan worden ingetrokken en dan mag u niet op grond van een andere grondslag verder gaan met de verwerking. De verwerking dient bij het intrekken van de toestemming direct en volledig te worden gestaakt. Dit betekent dat uw systemen het staken van een verwerking van een of meerdere persoonsgegevens mogelijk moeten maken.

  • Wat zijn de verschillen tussen de Wbp en AVG?

    De AVG en Wbp zijn op grote lijnen gelijk. Er zijn wel een paar verschillen. Te denken valt aan:

    • een meldplicht datalekken (verdergaand dan de Nederlandse meldplicht datalekken die vanaf 1 januari 2016 geldt);
    • de verplichting om er voor te zorgen dat diverse nieuwe rechten van betrokkenen kunnen worden uitgevoerd (onder andere het veel besproken “right to be forgotten”, dat echter nu op grond van een uitspraak van het Europese Hof van Justitie al werking heeft);
    • het documenteren van beleid en verwerkingen van persoonsgegevens (accountability);
    • het uitvoeren van een privacy impact assessment;
    • het verplicht aanstellen van een data protection officer, een fg;
    • het bijhouden van een register van verwerkingen;
    • in sommige situaties is de AVG ook van toepassing op partijen die niet in Europa zijn gevestigd;
    • de hoogte van de boetes!

  • Wat kost een overtreding?

    Een verantwoordelijke riskeert vanaf 1 januari 2016 een boete van maximaal Euro 820.000,00 of 10% van de jaaromzet. Deze boete wordt uitgedeeld door de Autoriteit Persoonsgegevens (vroeger CBP).

    Vanaf 25 mei 2018 worden deze boetebedragen fors hoger:

    maximaal 20 miljoen of 4% van de jaaromzet van het hele concern.

Meer informatie over uw specifieke situatie? Wij helpen u graag verder