Stel, je start een webshop, bijvoorbeeld met kleding. Je hebt een ondernemingsplan opgesteld en kan bijna beginnen. Als je straks klanten hebt, dan krijg je te maken met persoonsgegevens. Heb je eigenlijk al nagedacht hoe je moet omgaan met de persoonsgegevens en dus de privacy van klanten? Je moet namelijk als ondernemer aan de AVG voldoen.
In mei 2018 is de Algemene Verordening Gegevensbescherming (hierna: de AVG) ingetreden in de gehele Europese Unie. Niet alleen de overheid, maar ook het bedrijfsleven en overige organisaties (bijvoorbeeld verenigingen, stichtingen, scholen en ziekenhuizen) moeten aan de AVG voldoen. Zij moeten namelijk persoonsgegevens van anderen (zoals klanten en personeel) verwerken. Dit artikel probeert je stapsgewijs uit te leggen welke belangrijke regels de AVG stelt bij het verwerken van persoonsgegevens en hoe jij als bedrijf, organisatie of vereniging aan de AVG voldoet.
Belangenafweging
De AVG heeft twee hoofddoelen. Enerzijds het doel om persoonsgegevens te beschermen. Denk aan namen, (mail)adressen, geboortedata en medische dossiers. Anderzijds het doel om het vrije verkeer van persoonsgegevens binnen de Europese Unie te laten plaatsvinden.
Degene die persoonsgegevens verwerkt, moet eerst een belangenafweging maken. Een christelijke school kan bijvoorbeeld de afweging maken om geloofsovertuigingen van leerlingen wel of niet te verwerken. Aan de hand van de belangen van de personen wiens gegevens worden verwerkt en de belangen van organisaties en bedrijven wordt een afweging gemaakt. Afgewogen wordt of de persoonsgegevens beschermd moeten worden of dat het vrije verkeer van persoonsgegevens voorrang verdient. In Nederland ziet de Autoriteit Persoonsgegevens (afgekort AP) erop toe dat de regels over het verwerken van persoonsgegevens door organisaties worden nageleefd. De AP onderzoekt op grond van artikel 55 en 58 lid 1 onder e AVG mogelijke overtredingen van de AVG. De AP onderzoekt of de verantwoordelijke een juiste belangenafweging heeft gemaakt en of de verwerking volgens de regels van de AVG is verlopen. Constateert de AP een overtreding, dan wordt vaak een boete opgelegd.
Een voorbeeld is het afwegen van belangen van klanten die een rijbewijs willen halen en de belangen van het Centraal Bureau Rijvaardigheidsbewijzen (CBR). Bij het afnemen en afhandelen van bijvoorbeeld een praktijkexamen auto, moet een examenkandidaat zijn identiteitsgegevens overleggen aan het CBR, zoals zijn BSN, naam, adresgegevens en geboortedatum. Als deze persoonsgegevens niet verwerkt mogen worden, kan een praktijkexamen niet plaatsvinden. Daarom weegt in zo’n geval het belang om persoonsgegevens in het vrije verkeer te brengen zwaarder. In het vrije verkeer brengen van deze persoonsgegevens moet je uiteraard niet te ruim opvatten. Het CBR mag de overgelegde persoonsgegevens alleen binnen de organisatie verwerken voor het afnemen en afhandelen van het praktijkexamen.
Weet welke persoonsgegevens je verwerkt
Verwerk je persoonsgegevens van bijvoorbeeld klanten, personeel of burgers, dan moet je weten met welke soort persoonsgegevens je te maken hebt. Er wordt een onderscheid gemaakt tussen gewone persoonsgegevens en bijzondere persoonsgegevens.
Gewone persoonsgegevens
Gewone persoonsgegevens zijn gegevens waaraan je een persoon kan identificeren. Het makkelijkste voorbeeld is je naam. Ook je adresgegevens, e-mailadres, telefoonnummer, IP-adres en een vingerafdruk zijn gewone persoonsgegevens.
Bijzondere persoonsgegevens
Bijzondere gegevens zijn gevoelig. Het gaat dan bijvoorbeeld om je ras, geloofsovertuiging, politieke voorkeur, gezondheid en strafrechtelijk verleden. Verwerk je een bijzondere persoonsgegeven, dan kan dat alleen onder strenge voorwaarden.
Het uitgangspunt volgens artikel 9 van de AVG is dat het verwerken van bijzondere persoonsgegevens verboden is. Dit heeft te maken met de privacy van personen, die wettelijk is vastgelegd in onder andere artikel 10 lid 1 van de Grondwet. Er zijn echter wel wettelijke uitzonderingsgevallen. De uitzonderingen staan opgesomd in artikel 9 lid 2 AVG. Ze worden in de volgende paragraaf deels besproken.
Ga na of gegevenswerking nodig is: geldige reden
Persoonsgegevens verwerken is alleen rechtmatig als je daar een geldige reden voor hebt. Die geldige reden wordt in de juridische termen een grondslag genoemd. Er staan 6 grondslagen in de AVG.
1. Ondubbelzinnige toestemming
Je mag persoonsgegevens verwerken als personen daar toestemming voor hebben gegeven. Dit moet ondubbelzinnig zijn, oftewel actief. Stel dat je naar een andere huisartsenpraktijk wilt, omdat je bent verhuisd. De huidige huisarts zal toestemming moeten vragen aan de patiënt als hij medische gegevens overdraagt aan de nieuwe huisarts. De patiënt moet de toestemming actief geven. Actief toestemming geven kan mondeling of schriftelijk. Passief toestemming geven, dus niet aangeven of je wel of niet akkoord gaat, is onvoldoende.
Geef daarnaast ook aan voor welk doel je toestemming nodig hebt. In het voorbeeld van het wisselen van huisartsenpraktijk kan het overdragen van medische gegevens nodig zijn om medische klachten te koppelen aan klachten en/of ziektes in het verleden.
2. Wettelijke verplichting
Je kan je beroepen op een wettelijke verplichting. Je bent bijvoorbeeld verplicht om gegevens te verstrekken bij het doen van belastingaangifte. Je naam, adresgegevens, BSN-nummer en informatie over je inkomen en vermogen zijn gegevens die de belastingdienst nodig heeft voor de belastingaanslag.
3. Vitaal belang
Een vitaal belang is ook een geldige reden om persoonsgegevens te verwerken. Vitaal betekent dat de verwerking noodzakelijk is voor iemand zijn gezondheid of leven. Iemand die na een auto-ongeluk bewusteloos raakt en direct hulp nodig heeft, kan natuurlijk geen toestemming geven voor het verwerken van zijn medische gegevens. Daarom is in zo’n geval een vitaal belang de grondslag voor het verwerken van persoonsgegevens.
4. Overeenkomst
Sluit je een overeenkomst waarvoor het verwerken van persoonsgegevens noodzakelijk is, dan vormt die overeenkomst een geldige grondslag. Let er wel op dat de overeenkomst zelf niet gericht mag zijn op verwerking van persoonsgegevens! Denk aan het sluiten van een koopovereenkomst op internet. Koopt een klant producten en moet je het als webwinkel versturen, dan heb je adresgegevens nodig. Die adresgegevens mag je verwerken omdat je anders de overeenkomst niet kan naleven. Je moet immers een gekocht product afleveren bij de klant. Wil je de adresgegevens vervolgens gebruiken om reclame op te sturen, dan is de koopovereenkomst geen geldige grondslag. Je hebt de koopovereenkomst immers niet met de klant gesloten voor het versturen van reclame. In dit laatste voorbeeld heb je toestemming van de koper nodig.
5. Algemeen belang of openbaar gezag
Is vanwege een taak van algemeen belang of openbaar gezag verwerking van persoonsgegevens noodzakelijk, dan is dat een geldige grondslag. Denk bijvoorbeeld aan de overheid. De gemeente kan besluiten om camera’s te plaatsen bij uitgaansgebieden. Het algemene belang voor het plaatsen van camera’s is bijvoorbeeld de veiligheid van burgers. Burgers moeten echter wel geïnformeerd worden over het feit dat ze gefilmd worden. Plaats daarom een bord met daarop de mededeling dat er vanwege veiligheidsredenen camerabewaking is.
6. Gerechtvaardigd belang
Bij een gerechtvaardigd belang gaat het om een belangenafweging. Voor het bereiken van een gerechtvaardigd belang moet het verwerken van persoonsgegevens noodzakelijk zijn. Twee belangen spelen hierbij een rol, namelijk een maatschappelijk belang en het privacybelang van de persoon wiens persoonsgegevens worden verwerkt. Een voorbeeld van een gerechtvaardigd belang is het onderzoeken van grensoverschrijdend gedrag op de werkvloer. In een uitspraak van 21 maart 2019 deed een werkgever onderzoek naar gedragingen van een werknemer. De werknemer had volgens een collega beledigende berichten gestuurd. Aan de hand van de beledigingen schakelde de werkgever een onafhankelijk onderzoeksteam in. Het onderzoek betrof onder andere het bekijken van WhatsApp gesprekken tussen de werknemer en de collega. Volgens de rechtbank was dit onderzoek gerechtvaardigd. De werkgever was namelijk op grond van artikel 3 van de Arbowet verplicht te zorgen voor de veiligheid en gezondheid van haar werknemers.
Kijk of je een data protection impact assessment moet uitvoeren
De aard, omvang, context en het doel van de verwerking zijn bij het aantonen van de naleving van belang. Want hoe risicovoller het verwerken van de persoonsgegevens is, hoe strenger de maatregelen zijn die genomen moeten worden. Om erachter te komen of de persoonsgegevens die je verwerkt risicovol zijn, is het verstandig om een data protection impact assessment (hierna: DPIA) uit te voeren. Een DPIA brengt de risico’s van het verwerken van de persoonsgegevens in kaart. In een door de Autoriteit Persoonsgegevens (AP) opgestelde lijst kun je zien wanneer een DPIA verplicht is. Een DPIA is bijvoorbeeld verplicht als iemand verdacht wordt van diefstal op het werk en werkgevers onderzoek naar de mogelijke diefstal willen doen (bijvoorbeeld door camera’s op te hangen). Omdat een inbreuk op de privacy van de werknemers in dit soort situaties groot is, moet je een DPIA uitvoeren.
Ga na of je een functionaris gegevensbescherming moet aanstellen
Iemand die binnen een organisatie toezicht houdt op het toepassen en naleven van de AVG, is een functionaris gegevensbescherming. In onderstaande gevallen is een functionaris gegevensbescherming verplicht.
Overheid of publieke organisatie
Je bent verplicht om een functionaris aan te stellen als je een overheid of publieke organisatie bent. Denk aan gemeenten, provincies, maar ook aan scholen.
Organisaties en bedrijven die individuen observeren
Sommige organisaties verwerken als hoofdtaak op grote schaal bijzondere persoonsgegevens. Zoals eerder al benoemd in dit artikel, gaan bijzondere persoonsgegevens over bijvoorbeeld iemands gezondheid, geloofsovertuiging of strafrechtelijk verleden. Denk aan ziekenhuizen, kerken en politiebureau’s.
