null

AVG Uitgediept #3: Transparantie en Informatieplicht

In deel 3 van deze blogreeks vertel ik u graag meer over de informatieplicht op basis van de AVG. De AVG introduceert het begrip transparantie en verbindt daar diverse rechten voor de betrokkene aan, hetgeen direct ook betekent dat de verwerkersverantwoordelijke (en de verwerker) zich aan bepaalde regels zal moeten houden.

Wat is er nieuw aan het begrip transparantie?

Zoals we u in informeerden moeten verwerkingen van persoonsgegevens voldoen aan bepaalde beginselen. Het eerste beginsel is dat persoonsgegevens moeten worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is.

In de Wet Bescherming Persoonsgegevens (“WBP”) moesten verwerkingen van persoonsgegevens al “in overeenstemming met de wet” zijn. Dat komt overeen met het begrip rechtmatig. Ook moesten verwerkingen van persoonsgegevens “behoorlijk en zorgvuldig” zijn. Het woord “zorgvuldig” is in de AVG vervangen door het woord “transparant”.

Transparantie

Transparantie houdt in dat het voor de betrokkene, van wie persoonsgegevens wordt verwerkt, duidelijk is dat zijn persoonsgegevens verwerkt worden, waarom, op welke wijze en door wie. Transparantie impliceert dus een recht op informatie van de betrokkene.

Belang van transparantie en de informatieplicht

Een centraal begrip in de AVG is “Accountability” (hierover zal blog nr. 8 gaan). Dat houdt in dat de verwerkingsverantwoordelijke zich moeten kunnen verantwoorden over de wijze waarop hij persoonsgegevens verwerkt. Deze verantwoording zal de verwerkingsverantwoordelijke jegens de autoriteit Persoonsgegevens (“AP”) moeten kunnen afleggen, maar ook jegens de betrokkene. In de AVG is die informatieplicht op een aantal punten aanzienlijk uitgebreid en nader gespecificeerd dan de al bestaande informatieplicht op basis van de WBP.

De omvang van de informatieplicht, ofwel: wat er verteld moet worden – wijzigt fors. In totaal moet, globaal gesproken, namelijk van iedere verwerking de volgende informatie aan de betrokkene worden verstrekt:

  • identiteit en contactgegevens van de organisatie of de vertegenwoordiger daarvan (artikel 13 lid 1 sub a AVG);
  • contactgegevens van de functionaris gegevensbescherming indien deze is aangesteld (artikel 13 lid 1 sub b AVG);
  • de verwerkingsdoeleinden (artikel 13 lid 1 sub c AVG);
  • de rechtsgrond voor de verwerking (artikel 13 lid 1 sub c AVG);
  • de gerechtvaardigde belangen waarop een verwerking is gebaseerd, indien een beroep op de grondslag gerechtvaardigd belang wordt gedaan (artikel 13 lid 1 sub d AVG);
  • aan welke (categorieën van) partij(en) de gegevens worden doorgegeven (artikel 13 lid 1 sub d AVG);
  • of gegevens worden doorgegeven naar buiten de EU en zo ja, welke waarborgen er dan zijn getroffen (artikel 13 lid 1 sub e AVG);
  • de bewaartermijn of de criteria om de bewaartermijn te bepalen (artikel 13 lid 2 sub a AVG);
  • de verschillende rechten van betrokkene, zoals recht op rectificatie (artikel 13 lid 2 sub b AVG);
  • dat een eventueel gegeven toestemming altijd kan worden ingetrokken en dat een dergelijke intrekking geen terugwerkende kracht heeft (artikel 13 lid 2 sub c AVG, maar ook artikel 7 lid 3 AVG);
  • dat een klacht bij de toezichthouder kan worden ingediend (artikel 13 lid 2 sub d AVG);
  • of verstrekking van gegevens verplicht is en wat de gevolgen zijn indien de gegevens niet worden verstrekt (artikel 13 lid 2 sub e AVG);
  • of sprake is van geautomatiseerde besluitvorming en zo ja, wat de onderliggende logica is en welke gevolgen er zijn voor de betrokkene (artikel 13 lid 2 sub f AVG);
  • de kern van de taak-/rolverdeling indien er meerdere partijen gezamenlijk verantwoordelijk zijn voor een verwerking (artikel 26 lid 2 AVG)
  • de incidentele kleinschalige doorgifte naar het buitenland die niet op een geldige juridische basis is gebaseerd (artikel 49 lid 1 slot AVG).

Het zal de betrokkene duidelijk moeten zijn wat zijn/haar rechten precies zijn, dus zal de informatie helder en toegankelijk moeten zijn verwoord. Ook dit is een uitwerking van het begrip transparantie.

Persoonsgegevens van derden ontvangen

Krijg je de persoonsgegevens niet rechtstreeks van de betrokkene die het betreft, dan zal je bovenstaande informatie alsnog aan deze betrokkene moeten geven en die informatie dient binnen een maand na het verkrijgen te worden verstrekt. Die periode is korter als je eerder gebruik maakt van de persoonsgegevens voor het opnemen van contact met de betrokkene of de persoonsgegevens aan een ander doorgeeft. Dan moet de informatie op dat moment worden verstrekt. Nu de betrokkene de gegevens niet zelf aan de verwerkingsverantwoordelijke heeft verstrekt, zal ook moeten worden vermeld om welke (categorieën van) persoonsgegevens het gaat en hoe ze zijn verkregen.

Uitzondering

Bovenstaande informatie hoeft niet verstrekt te worden als de betrokkene al over de informatie beschikt, het onmogelijk is of onevenredig veel inspanning zou vergen om de informatie te verstrekken, als informeren de doeleinden van de verwerking vrijwel onmogelijk maakt of als de verstrekking van de persoonsgegevens wettelijk is voorgeschreven. Heb je de persoonsgegevens niet van de betrokkene zelf ontvangen? Dan hoef je ook niet te informeren als de persoonsgegevens vertrouwelijk moeten blijven uit hoofde van een beroepsgeheim.

In de praktijk

Een privacystatement, zoals veel organisaties en instellingen die thans gebruiken, zal in de meeste situaties onvoldoende zijn om aan bovenstaande verplichtingen te voldoen. Maar hoe moet dan op praktische wijze de informatie aan de betrokkene worden verstrekt? Hiervoor zullen nog steeds de privacystatements kunnen dienen, echter dan uitgebreid met meer informatie. Een goede analyse op welke wijze, voor welk doel en op welke grondslag de persoonsgegevens worden verwerkt, zal noodzakelijk zijn, alvorens een goede informatieverstrekking kan plaatsvinden. Veel informatie zal voor verschillende groepen betrokkenen hetzelfde zijn. Echter, het zal zeker ook maatwerk vergen om alle noodzakelijke (en soms ook specifieke) informatie aan de betrokkenen te verstrekken op een handzame en toegankelijke wijze.

Heeft u vragen, benader dan gerust de advocaten privacyrecht van Ten Holter Noordam.

De volgende blog zal gaan over: ”Recht op inzage, kopie en dataportabiliteit”