Vanaf 15 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG), of zoals het in het Engels wordt genoemd: General Data Protection Regulation (GDPR), binnen de Europese Unie van kracht.
Heel veel mensen dachten dat het hier om nieuwe wetgeving ging en men kwam in actie. Echter, de privacy en de regels hieromtrent waren in Nederland al geregeld via de Wet bescherming persoonsgegevens, weliswaar minder vergaand dan de AVG. Natuurlijk was het wel goed dat men in actie kwam. Sterker nog, in sommige gevallen was het nemen van actie heel noodzakelijk. Maar de bewustwording van databescherming was toch de grootste winst in dit geval.
Wat mag wel onder AVG?
Het is absoluut niet zo dat onder de AVG niets meer mogelijk is. Er zijn zeker nog mogelijkheden, maar ook verplichtingen om gegevens van mensen vast te leggen. Zo zal een werkgever gegevens over zijn werknemer moeten vastleggen. Een ondernemer mag contactgegevens vastleggen over zijn klanten. Een marketingbureau mag per e-mail mailings verzenden als een ontvanger daarvoor toestemming heeft verleend. De politie mag in het kader van opsporing gegevens vastleggen in de systemen die daarop ook door politiefunctionarissen mogen worden ingezien. En zo zijn er veel meer voorbeelden te bedenken.
Om gegevens vast te leggen, kent de AVG een 6-tal grondslagen:
- Toestemming
- Vitale belangen
- Wettelijke verplichtingen
- Uitvoering van overeenkomsten
- Algemeen belang
- Gerechtvaardigd belang
De toestemming: het staat iedereen vrij om toestemming aan een ander te vragen, mits deze toestemming gegeven kan worden nadat iemand goed is geïnformeerd en uit vrije wil deze toestemming verleent. Daarbij geldt ook dat deze verstrekte toestemming te allen tijde weer ingetrokken kan worden.
Vitale belangen: de AVG geeft aan dat als de vitale belangen van een natuurlijk persoon beschermd moeten worden, er persoonsgegevens verwerkt kunnen worden. Maar dan wel alleen die gegevens die noodzakelijk zijn. Je kunt je wel voorstellen dat vitale belangen niet zonder meer aanwezig zijn, maar in 2020 en 2021 is heel veel gesproken over de vitale belangen rondom COVID-19. Daarbij is wel duidelijk geworden dat de lat heel hoog ligt.
Wettelijke verplichtingen: deze verplichtingen zijn gewoonweg in de wetgeving terug te vinden. Denk aan de gegevens van een werknemer in het kader van de belastingplicht. Of gegevens van een natuurlijk persoon waar je een factuur aan gezonden hebt.
Uitvoering van overeenkomsten: hierbij moet gedacht worden aan het vastleggen van gegevens die je nodig hebt om de bewuste overeenkomst tot uitvoering te brengen, zoals het adres van een natuurlijk persoon die in jouw webshop spullen heeft gekocht. Maar hierbij moet er wel aandacht zijn voor welke gegevens je vastlegt. Gegevens die niet strikt noodzakelijk zijn maar wel handig, mag je niet vastleggen. Denk bijvoorbeeld aan het leveren van een product aan huis, daar is het adres noodzakelijk voor, maar een geboortedatum weer niet.
Algemeen belang: De naam zegt het eigenlijk al: er moet een algemeen belang vervuld zijn. Denk bijvoorbeeld aan de basisregistratie personen bij de gemeente. Op basis hiervan kan iemand een rijbewijs of paspoort aanvragen, maar ook een AOW-uitkering bij de SVB, die gebruik maakt van de basisregistratie van de gemeenten. Noem maar op.
Gerechtvaardigd belang: dit is een van de moeilijkste grondslagen, omdat hier een belangenafweging moet worden gemaakt om de grondslag te kunnen gebruiken. Daarbij moet bedacht worden dat een belang voor de een wel en voor de ander niet gerechtvaardigd is. Wees hier dan ook terughoudend in of motiveer het heel helder en duidelijk.
Wat mag niet onder AVG?
Op grond van de 6 grondslagen mag je dus gegevens vastleggen die je nodig hebt om jouw werk te kunnen doen. Meer vastleggen dan noodzakelijk is niet toegestaan.
Daarnaast is het niet toegestaan om bijzondere persoonsgegevens vast te leggen, tenzij daar een wettelijke uitzondering voor bestaat naast een van de 6 grondslagen.
Wat zijn volgens de AVG bijzondere persoonsgegevens? De Autoriteit Persoonsgegevens heeft dat goed en overzichtelijk opgesomd:
- persoonsgegevens waaruit ras of etnische afkomst blijkt;
- persoonsgegevens waaruit politieke opvattingen blijken;
- persoonsgegevens waaruit religieuze of levensbeschouwelijke overtuigingen blijken;
- persoonsgegevens waaruit het lidmaatschap van een vakvereniging blijkt;
- gegevens over iemands gezondheid;
- gegevens over iemands seksueel gedrag of seksuele gerichtheid;
- genetische gegevens;
- biometrische gegevens met het oog op de unieke identificatie van een persoon.
Van de meeste persoonsgegevens zoals hierboven genoemd, kunnen wij ons wel een voorstelling maken. Genetische en biometrische gegevens liggen toch wat gecompliceerder. Hieronder volgt een toelichting:
Genetische persoonsgegevens: Genetische persoonsgegevens geven unieke informatie over iemands fysiologie of gezondheid en/of over de gezondheid van familieleden. Dat maakt de informatie zo gevoelig. In de praktijk gaat het hierbij vooral om informatie over erfelijkheid en genetische kenmerken die het resultaat zijn van een biologisch monster. Bijvoorbeeld informatie uit analyse van het DNA.
Biometrische persoonsgegevens: Biometrische persoonsgegevens geven unieke informatie over iemands fysieke, fysiologische of gedragsgerelateerde kenmerken. Dat maakt de informatie zo gevoelig. In de praktijk gaat het hierbij vooral om biometrische persoonsgegevens die het resultaat zijn van een specifieke technische verwerking, waardoor de gegevens tot een individu herleidbaar zijn. Zoals bij vingerafdrukken.
Wat moet je doen als bedrijf?
Vanuit de AVG zijn er nogal wat verplichtingen voor bedrijven ontstaan. Zo moet je als bedrijf een register aanleggen waarin de geregistreerde gegevens zijn vastgelegd. Dat register moet te allen tijde ter beschikking kunnen worden gesteld als de Autoriteit Persoonsgegevens hierom vraagt. Maar ook klanten of medewerkers kunnen vragen wat er wordt vastgelegd. Sterker nog, als klanten of medewerkers vragen om inzage in de daadwerkelijk vastgelegde informatie, dan moet dat opgeleverd worden.
Zorg ook dat klanten en relaties bekend worden met het privacyprotocol of privacyverklaring van jouw bedrijf. Daardoor kunnen klanten en relaties vooraf kennisnemen hoe er omgegaan wordt met het vastleggen van de data die jouw bedrijf verzamelt, welke rechten zij hebben om bezwaar te maken en ook hoe zij gegevens kunnen laten veranderen of verwijderen.
Verwerkersovereenkomst
Niet alle persoonsgegevens worden in het eigen bedrijf verwerkt. Zo kan het zijn dat de loonadministratie is uitbesteed. Of wordt er een extern marketingbureau ingeschakeld. Maar deze externe bedrijven verwerken wel in naam en in opdracht gegevens. Om de risico’s goed te managen wordt een verwerkersovereenkomst opgesteld. De praktijk leert helaas wel dat daar niet altijd voldoende aandacht aan besteed wordt en dat daarmee grote aansprakelijkheidsrisico’s kunnen gaan ontstaan. Want bij een datalek kunnen de boetes hoog oplopen en kunnen benadeelden ook nog eens schadevergoedingen eisen.
Functionaris gegevensbescherming
Voor grotere bedrijven geldt daarnaast nog de verplichting op het aanstellen van een functionaris gegevensbescherming en een Data Protection Impact Assessment, zeg maar een stresstest voor de organisatie.
Welke rechten heb ik als over mij gegevens worden vastgelegd?
Als er over jou gegevens worden vastgelegd, dan heb jij te allen tijde het recht om inzage te vragen naar de daadwerkelijk vastgelegde gegevens. Degene die de gegevens vastlegt, is verplicht een totaaloverzicht te geven. Ook moet degene toelichting geven op grond waarvan hij de gegevens vastlegt. Als de grondslag ontbreekt, of jij bent het er niet mee eens en er is geen plicht tot het vastleggen, dan kan je je beroepen op het recht van vergetelheid. De gegevens moeten dan verwijderd worden. Ook heb je het recht op correctie als gegevens niet juist zijn. Kortom, op grond van de AVG sta je niet met lege handen als er over jou gegevens zijn vastgelegd.
Datalek
Alle data die in een bedrijf worden verzameld en vastgelegd, moeten goed beveiligd zijn. We lezen vaak in de media dat er datalekken bij bedrijven zijn, doordat de beveiliging niet helemaal op orde was. De gevolgen kunnen daardoor klein lijken, maar groot zijn. Want stel dat een gebruikersnaam en wachtwoord lekken voor bijvoorbeeld een onschuldige inlog op je eigen pagina, criminelen kunnen de combinatie van gebruikersnaam en wachtwoord ook proberen te gebruiken voor andere websites die niet zo onschuldig zijn. Helaas komt het nog veelvuldig voor dat klanten dezelfde combi meerdere keren gebruiken.
De privacyspecialisten van facily LAW
De AVG kent door zijn omvang nogal wat eisen waar een bedrijf, zoals hiervoor al besproken, aan moet voldoen. De AVG regelt ook de rechten van klanten en relaties. Natuurlijk kan je zelf heel veel doen door logisch na te denken. Toch is het goed ook met de specialisten van facily LAW juristen en mediators contact op te nemen om jouw eigen specifieke situatie door te nemen. Wat heb je geregeld, wat moet je regelen?
Dat kunnen wij op verschillende manieren doen: in een persoonlijk gesprek, het bieden van ondersteuning in de DPIA of via het verzorgen van interne workshops om de bewustwording te vergroten bij jouw medewerkers. Neem vrijblijvend contact op om jouw mogelijkheden te bespreken. Onze specialisten staan voor je klaar.
AVG-pakket van facily LAW
facily LAW juristen en mediators heeft voor bedrijven een AVG-pakket samengesteld waarmee je snel en accuraat een register kan aanleggen. Ook is er een stroomschema datalekken in het pakket opgenomen. Heb je interesse in afname van dit pakket? Neem dan contact met ons op.