Verordening gegevensbescherming

14 september, 2017 – Marius Rebel

In deze blog wordt u aan de hand van de belangrijkste begrippen door de nieuwe Europese Verordening over persoonsgegevens geleidt. Het doel is een wat meer dan oppervlakkige kennismaking met deze Verordening. De Verordening en de overwegingen die de EU hierbij heeft beslaan vele pagina’s dus vanzelf kan niet alles in deze memo aan de orde komen.

Uitleg en aandachtspunten:

1. De Verordering

De Verordening 2016/679 van het Europese Parlement en de Raad. Deze Verordening is vanaf 25 mei 2018 van toepassing. Het gaat over de verwerking van persoonsgegevens van natuurlijke personen.

2. Persoonsgegevens

De Verordening gaat over het verwerken van persoonsgegevens. De definitie van persoonsgegevens is: “alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon”. Een paar aandachtspunten hierbij:

  • Het gaat om de vraag of een natuurlijk persoon identificeerbaar is. Daarbij is niet essentieel of iemands naam aan informatie kan worden gekoppeld. Ook op andere wijze kan iemand identificeerbaar zijn, zonder dat zijn naam daar aan verbonden is.
  • Er moet rekening worden gehouden met alle middelen waarvan redelijkerwijs valt te verwachten dat zij door iemand kunnen worden gebruikt om een natuurlijk persoon te identificeren. Ook als de voor de verwerking verantwoordelijke persoon (de “Verwerkingsverantwoordelijke”) zelf niet in staat is om iemand te identificeren, kan het toch nog om persoonsgegevens gaat, omdat een ander door bijvoorbeeld documenten te koppelen, vervolgens wel tot identificatie in staat kan zijn.
  • Een klantenbestand met ondernemingen betreft geen persoonsgegevens. Maar als u ook gegevens vast legt van de contactpersonen of de eigenaar dan gaat het weer wel om persoonsgegevens.

3. Voor wie is het relevant?

De Verordening geeft allerlei regels voor entiteiten die verantwoordelijk zijn voor de verwerking van persoonsgegevens (zie onder het kopje ‘Verwerkingsverantwoordelijke’) en voor entiteiten die ten behoeve van zo’n verantwoordelijke persoonsgegevens verwerken (zie onder het kopje ‘Verwerker’).

4. Verwerking

Zoals gezegd gaat de Verordening over het verwerken van persoonsgegevens. Alles wat met persoonsgegevens gedaan kan worden, valt hier onder. De definitie van verwerking is: “een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens”. Deze opsomming is niet limitatief.

5. PIA

Een Privacy Impact Assessment (PIA of ook wel DPIA; data protection impact assessment, of ook wel gegevensbeschermingseffectbeoordeling) is een instrument om vooraf de privacy risico’s van verwerking van persoonsgegevens in kaart te brengen. Een PIA is verplicht als de gegevensverwerking waarschijnlijk een hoog privacy risico oplevert voor betrokkenen. Een PIA stimuleert u om op tijd na te denken over vragen als:

  • wat de impact is van het beoogde project op de privacy van de betrokkenen (de mensen van wie u persoonsgegevens verwerkt);
  • wat de risico’s zijn voor de betrokkenen en voor de organisatie;
  • of er, gegeven de doelstellingen van het project, ook een aanpak mogelijk is die minder gevolgen heeft voor de privacy.

De werkgroep van Europese toezichthouders heeft een lijst opgesteld van verwerkingen waarvoor een PIA verplicht is.  Deze lijst is gepubliceerd op de website van de Autoriteit Persoonsgegevens. Als vuistregel geldt dat een organisatie een PIA moet uitvoeren als de verwerkring van persoonsgegevens aan 2 of meer van de onderstaande 10 criteria voldoet:

  1. Beoordelen van mensen op basis van persoonskenmerken.
  2. Geautomatiseerde beslissingen.
  3. Stelselmatige en grootschalige monitoring.
  4. Gevoelige gegevens.
  5. Grootschalige gegevensverwerkingen.
  6. Gekoppelde databases.
  7. Gegevens over kwetsbare personen.
  8. Gebruik van nieuwe technologieën.
  9. Doorgifte van persoonsgegevens buiten de EU.
  10. Blokkering van een recht, dienst of contract.

6. Privacy by design

Bij de ontwikkeling van producten en diensten moet al aandacht worden besteed aan privacy verhogende maatregelen. Ook moeten er zo min mogelijk persoonsgegevens worden verwerkt; dus alleen gegevens die noodzakelijk zijn voor het doel van de verwerking. Als online een product wordt gekocht zal in de regel bijvoorbeeld een geboortedatum van de koper niet relevant zijn voor de koop; zodat dan dus een geboortedatum niet mag worden gevraagd.

7. Privacy by default

De werking van producten of diensten (dus ook programma’s, app’s en website) moeten zodanig zijn dat maximale privacy wordt betracht.

8. Toestemming

Toestemming speelt een heel belangrijke rol. Een betrokkene moet vooraf toestemming geven als over hem persoonsgegevens worden verwerkt. Het is niet voldoende als die toestemming impliciet wordt gegevens, bijvoorbeeld verstopt in de algemene voorwaarden of privacy statement. Het moet gaan om een “vrije, specifieke, op informatie berustende en uitdrukkelijke wilsuiting waarmee de betrokkene, door middel van hetzij een verklaring hetzij een ondubbelzinnig actieve handeling aanvaardt dat persoonsgegevens die hem betreffen worden verwerkt”. Gebruik van al vooraf aangevinkte velden bij iets als “ja, ik wil op de hoogte worden gehouden”, zijn niet toegestaan. Ook is het niet toegestaan om verstopt in algemene voorwaarden of privacyverklaring op te nemen dat informatie wordt gedeeld met derden en dan de toestemming hiervoor te veronderstellen. Of op social media dat gegevens standaard openbaar zijn. Betrokkenen moeten eerst actief een keuze maken. En die keuze kan alleen worden gemaakt als de betrokken wordt geïnformeerd voor welk doel de persoonsgegevens worden verwerkt (zie ‘Informeren’). Een betrokkene heeft ook het recht de toestemming te allen tijde in te trekken en hij moet hierover ook worden geïnformeerd. De Verwerkingsverantwoordelijke moet kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens. 

9. Rechtmatig, behoorlijk, transparant, toereikend en ter zake dienend

Persoonsgegevens moeten worden verwerkt op een wijze die ten aanzien van de betrokkene, rechtmatig, behoorlijk, transparant, toereikend en ter zake dienend is. Transparant betekent dat het voor de betrokkene duidelijk is dat zijn persoonsgegevens worden verzameld, gebruikt, geraadpleegd of op een andere manier verwerkt en waarom dat gebeurt en door wie. De organisatie moet dus (vooraf) verantwoording afleggen aan betrokkenen. Bij het ‘waarom’ moet het doel van de verwerking worden gemeld, waarbij dan ook niet meer gegevens mogen worden verwerkt dan voor dat doel noodzakelijk is (ter zake dienend). En dat doel moet (vooraf) specifiek zijn vastgelegd en omschreven. Alleen wanneer de overeenkomst niet goed kan worden uitgevoerd zonder de verwerking van bepaalde persoonsgegevens, mogen (alleen) die bepaalde persoonsgegevens worden verwerkt.

10. Dataminimalisatie

Alleen het minimaal noodzakelijke is toegestaan. Er mogen niet meer persoonsgegevens worden verwerkt dan strikt noodzakelijk is voor het doel waarvoor je persoonsgegevens nodig hebt. Alles wat je niet nodig hebt, mag niet worden verwerkt. En als je na de verwerking de persoonsgegevens niet meer nodig hebt dan moet het worden gewist of onherkenbaar gemaakt. 

11. Funcionaris

Sommige organisaties zijn verplicht om een functionaris aan te stellen (een werknemer of een derde) die zich bezig gaat houden met de verwerking van persoonsgegevens. Dit wordt ook wel een ‘data protection officer’ genoemd. Deze organisaties zijn: a) de overheid, b) organisaties die hoofdzakelijk belast zijn met verwerking van persoonsgegevens die vanwege hun aard, hun omvang of hun doeleinden regelmatige of stelselmatige observatie op grote schaal van betrokkenen vereisen, of c) organisaties die hoofdzakelijk bijzondere gegevens verwerken.

12. Maatregelen

Organisaties moeten passende technische en organisatorische maatregelen nemen om te waarborgen dat aan de Verordening wordt voldaan. Ook moet er intern beleid worden vastgesteld en passende maatregelen worden genomen die voldoen aan de beginselen van ‘Privacy by design’ en ‘Privacy by default’. Verder moet er gegevensbeschermingsbeleid (data security policy) worden opgesteld. 

13. Informeren

Betrokkenen moeten vooraf actief, en in duidelijke en eenvoudige bewoordingen worden geïnformeerd over (o.a.) de volgende zaken:

  1. Gegevens van de organisatie: naam en contactgegevens. En als er een Functionaris is, dan ook de gegevens van de Functionaris.
  2. Waarom je persoonsgegevens verzamelt en waarom dat mag. Het doel van de verwerking moet concreet omschreven zijn en dus niet in vage bewoordingen.
  3. Aan wie de persoonsgegevens nog meer worden verstrekt.
  4. Als persoonsgegevens van een derde afkomstig zijn (in welk geval er over nog meer zaken moet worden geïnformeerd; zie artikel 12 lid 1 in combinatie met artikel 14).
  5. Of de betrokkene verplicht is om de gevraagde persoonsgegevens te verstrekken of niet. En wat de gevolgen zijn als de betrokkene de persoonsgegevens niet verstrekt.
  6. Waar en hoe de betrokkene kan vragen om inzage, rectificatie of het wissen van persoonsgegevens, of beperking van verwerking, dat hij een klacht kan indienen bij de toezichthouder, of bezwaar kan maken.
  7. Hoe de betrokkene een verleende toestemming weer kan intrekken.
  8. Hoe lang de persoonsgegevens worden bewaard.
  9. Als de persoonsgegevens buiten de EU verwerkt worden: welke waarborgen er zijn getroffen zodat de persoonsgegevens in dat derde land verwerkt worden conform de Verordening.
  10. Voor het geval de organisatie aan geautomatiseerde besluitvorming doet (zoals profiling) dan moet dat gemeld worden alsmede welke logica in de besluitvorming wordt gebruikt.
  11. Hoe wordt omgegaan met datalekken.

14. Taalgebruik

Zoals opgemerkt moet een betrokkene van wie persoonsgegevens worden verwerkt over divers zaken worden geïnformeerd. Dit informeren van betrokkene moet op eenvoudige wijze en in duidelijke bewoordingen. En ditzelfde geldt ook als een betrokkene om inzage vraagt of bezwaar maakt.

15. Kinderen

Aan persoonsgegevens van kinderen is een afzonderlijk artikel gewijd (artikel 8).

16. Verwerkingsverantwoordelijke

Degenen die het doel en de middelen van de verwerking van persoonsgegevens vast stelt, is de verwerkingsverantwoordelijke. Deze moet er op toezien dat de regels worden nageleefd. Hij is voor veel zaken uit de Verordening verantwoordelijk. En belangrijk hierbij: hij moet dat ook kunnen aantonen. Zo is de verwerkingsverantwoordelijke verantwoordelijk voor de ‘Maatregelen’ (namelijk het treffen van technische en organisatorische maatregelen om te waarborgen en aan te tonen dat de verwerking van persoonsgegevens in overeenstemming is met de Verordening). En hij moet deze maatregelen ook evalueren en actualiseren.  

17. Verwerker

Een verwerker werkt onder toezicht in leiding van een verwerkingsverantwoordelijke. Een organisatie die een verwerker inschakelt mag alleen kiezen voor een verwerker die afdoende garanties biedt met betrekking tot het toepassen van passende technische en organisatorische maatregelen. Een verwerker moet aan diverse verplichtingen voldoen, zoals:

  • Het sluiten van een bewerkersovereenkomst.
  • Het bijhouden van een register van alle categorieën van verwerkingsactiviteiten.
  • Samenwerken met de Autoriteit.
  • Het treffen van passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen (zie nader uitgewerkt in artikel 25 en 32 lid 1).
  • Het informeren van de verwerkingsverantwoordelijke indien sprake is van een inbreuk.
  • Het samen met de verwerkingsverantwoordelijke aanwijzen van een Functionaris, het bekend maken van diens contactgegevens, het betrekken en ondersteunen van de Functionaris.
  • Eventueel aansluiten bij gedragscodes.
  • Voldoen aan nog op te stellen certificeringen.
  • Het betalen van schade aan betrokkenen ingeval sprake is van een inbreuk op de Verordening.
  • Indien de Verwerker er bij betrokken is: zorgen voor nakoming van de verplichtingen ter zake Privacy by design en Privacy by default.

Uit de boetebepaling (artikel 83) blijkt dat ook veel algemeen geformuleerde bepalingen uit de Verordening van toepassing zijn op de Verwerker en dat op niet-naleving boetes kunnen staan.

18. Bewerkersovereenkomst

Als een organisatie (of beter gezegd: een verwerkingsverantwoordelijke) een verwerker inschakelt dan moet in die overeenkomst met de verwerker o.a. het volgende worden geregeld:

  • Het onderwerp van de verwerking;
  • De duur;
  • De aard en het doel van de verwerking;
  • Het soort persoonsgegevens en de categorieën van betrokkenen;
  • De rechten en verplichtingen van de verwerkingsverantwoordelijke;
  • Dat de verwerker uitsluitend mag verwerken op basis van schriftelijke instructies van de verwerkingsverantwoordelijke;
  • Dat de personen die verwerken een geheimhoudingsverklaring hebben ondertekend;
  • Dat er beveiligingsmaatregelen worden genomen (en welke);
  • Dat er inspecties mogelijk zijn;
  • Of er een subverwerker ingeschakeld mag worden.

19. Recht op inzage

Een betrokkene heeft het recht om te weten of en welke persoonsgegevens van hem worden verwerkt.

20. Recht op rectificatie en recht om vergetelheid

Een betrokkenen heeft het recht op rectificatie en een recht op wissing van zijn persoonsgegevens.

21. Privacyverklaring

Een privacyverklaring of privacy statement is niet verplicht. Wel is het verplicht om te informeren (zie ‘Informeren’) en dat kan juist heel goed in een privacyverklaring (maar informeren mag ook op een andere wijze, bijvoorbeeld per invulregel op een aanmeldingsformulier). Maar let wel op: het vragen om toestemming (zie ‘Toestemming’) aan een betrokkene om persoonsgegevens te verwerken mag niet verstopt zijn in een verwijzing naar de privacyverklaring.  

22. Datalekken

Datalekken moeten worden gemeld bij de toezichthouder. Over datalekken is veel informatie beschikbaar, zodat daar hier niet verder op wordt ingegaan.

23. Boetes

De Verordening kent (forse) boetebepalingen voor gevallen van niet-naleving. 

Weet u niet waar te beginnen met de uitvoering van deze Verordening of hebt u vragen? Neem contact op met mr. M. Rebel van Van Braak Bedrijfsjuristen (m.rebel@vanbraakjuristen.nl).


Terug naar overzicht