AVG uitgediept #1: Introductie privacywetgeving

Momenteel geldt in Nederland de Wet bescherming persoonsgegevens (Wbp) die een uitwerking is van de Europese Richtlijn bescherming persoonsgegevens (95/46/EG) uit 1995. De Wbp is van toepassing op de (gedeeltelijk) geautomatiseerde verwerking van persoonsgegevens en niet-geautomatiseerde verwerking voor zover die gegevens in een bestand zijn opgenomen of bestemd zijn om in een bestand te worden opgenomen. De Wbp is niet van toepassing als de verwerking voor persoonlijke of huishoudelijke doeleinden plaatsvindt. Daarnaast is nog een aantal uitzonderingen in de wet opgenomen die ik hier buiten beschouwing zal laten. De Wbp geldt voor organisaties die een vestiging in Nederland hebben of wiens gegevensverwerking - kort gezegd - in Nederland plaatsvindt. Vanaf 25 mei 2018 zal de AVG de Wbp geheel vervangen.

Allereerst is het belangrijk om te weten wat nou persoonsgegevens zijn. Persoonsgegevens zijn alle gegevens die betrekking hebben op een geïdentificeerde of identificeerbare persoon. Er is derhalve sprake van persoonsgegevens indien de identiteit van een persoon met die gegevens, eventueel in combinatie met andere gegevens, kan worden vastgesteld. Gedacht kan worden aan evidente voorbeelden als naam en adresgegevens, maar ook bijvoorbeeld een postcode, foto, vingerafdruk, kenteken, telefoonnummer of IP-adres zijn persoonsgegevens indien deze gegevens, eventueel in combinatie met andere gegevens, te herleiden zijn naar een individuele persoon. Het gaat hier uitdrukkelijk om natuurlijke personen en geen rechtspersonen.

Vervolgens is het voor organisaties belangrijk om te weten wanneer zij die persoonsgegevens verwerken. Onder verwerking van persoonsgegevens vallen alle denkbare handelingen die met persoonsgegevens kunnen worden verricht. De Wbp definieert het als "elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, en het afschermen, uitwissen of vernietigen van gegevens".

Een struikelpunt voor sommige organisaties is het verschil tussen de verantwoordelijke (in de AVG verwerkingsverantwoordelijke genoemd) en de bewerker (in de AVG verwerker genoemd). De verantwoordelijke is de natuurlijke persoon, rechtspersoon of het bestuursorgaan die/dat het doel en de middelen voor de verwerking van persoonsgegevens vaststelt. Met andere woorden is dit de partij op wiens initiatief en onder wiens eindverantwoordelijkheid persoonsgegevens worden verwerkt. De verantwoordelijke kan de gegevensverwerking uitbesteden aan een derde partij. Deze derde partij wordt de bewerker genoemd. De bewerker verwerkt persoonsgegevens in opdracht van en ten behoeve van de verantwoordelijke. De bewerker dient wel instructies van de verantwoordelijke op te volgen, maar staat niet onder diens gezag. Denk hierbij aan een extern salarisadministratiekantoor, cloudsoftwareleverancier, verzuimdienst en marketingbureau.

Tot slot is de betrokkene de persoon op wie de persoonsgegevens betrekking hebben.

Voor organisaties die tot nu toe nog niet veel aandacht hebben geschonken aan privacy, is het van belang dat zij nagaan of zij persoonsgegevens wel mogen verwerken. Uitgangspunt is namelijk dat persoonsgegevens niet mogen worden verwerkt, tenzij hier een rechtmatige grondslag voor is. Wanneer mag u dan wel persoonsgegevens verwerken? In de Wbp staat een limitatieve opsomming. Persoonsgegevens mogen slechts worden verwerkt, indien:

1. de betrokkene voor de verwerking ondubbelzinnige toestemming heeft verleend;
2. de gegevensverwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is;
3. de gegevensverwerking noodzakelijk is om een wettelijke verplichting na te komen waaraan de verantwoordelijke onderworpen is;
4. de gegevensverwerking noodzakelijk is ter vrijwaring van een vitaal belang van de betrokkene;
5. de gegevensverwerking noodzakelijk is voor de goede vervulling van een publiekrechtelijke taak door het desbetreffende bestuursorgaan dan wel het bestuursorgaan waaraan de gegevens worden verstrekt; of
6. de gegevensverwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke of van een derde aan wie de gegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert.

Heeft u een grondslag voor de verwerking van persoonsgegevens? Dan bent u er nog niet. Voor de verwerking geldt ook een aantal randvoorwaarden. De cumulatieve vereisten zijn als volgt:

1. de gegevensverwerking moet in overeenstemming met de wet zijn;
2. de gegevens moeten juist en volledig zijn;
3. de verwerking mag alleen plaatsvinden voor - vooraf - welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden;
4. de verwerking moet verenigbaar zijn met de doeleinden waarvoor de gegevens zijn verkregen;
5. de verwerking moet evenredig en noodzakelijk voor het doel zijn;
6. de gegevens mogen niet langer worden bewaard dan noodzakelijk of wettelijk verplicht; en
7. passende technische en organisatorische maatregelen moeten worden genomen om de gegevens te beveiligen tegen verlies of onrechtmatige verwerking.

De essentie van de privacywetgeving blijft onder de AVG behouden, maar een fors aantal verplichtingen komt er bij - voor zowel verantwoordelijke als bewerker. Tegelijkertijd krijgt de betrokkene meer rechten onder de AVG. Ook heeft de AVG een veel bredere reikwijdte dan de Wbp. De AVG is namelijk ook van toepassing op organisaties in niet-EU landen die persoonsgegevens van EU onderdanen verwerken voor het aanbieden van diensten of producten. Hierdoor vallen ondernemingen als bijvoorbeeld Amazon, AliExpress en Spotify ook onder het Europese recht. De veranderingen in de privacywetgeving zullen wij in een 14-delige blogreeks gedurende de komende zeven weken met u doornemen. In deze blogreeks komen de volgende onderwerpen aan de orde:

1. Introductie privacywetgeving
2. Toestemming als verwerkingsgrond onder de AVG
3. Informatieplicht
4. Recht op inzage, kopie en dataportabiliteit
5. Recht op vergetelheid
6. Privacy by design and privacy by default
7. Verwerkersovereenkomst en de nieuwe vereisten onder de AVG
8. Accountability en de documentatieplicht
9. Beveiliging van persoonsgegevens
10. Meldplicht datalekken
11. Privacy Impact Assessment
12. Functionaris voor de gegevensbescherming
13. Doorgifte aan derde landen
14. Handhaving en sancties

De blogs zullen tweemaal per week worden gepubliceerd, op iedere maandag en donderdag. Uiteraard kunt u te allen tijde contact met ons privacyteam opnemen indien u vragen heeft over de implementatie binnen uw eigen organisatie.