Avg privacy wet
In dit artikel zal ik het volgende behandelen: wat de avg/privacy wet precies is, wat het behandelt, waar het goed voor is, hoe je organisatie hier mee om dient te gaan, wat de grondslagen in de avg wet betekenen en wat dit betekent voor uw organisatie. Aanvullend kunt u altijd naar de website autoriteit persoonsgegevens gaan om aanvullende informatie te vinden. Al is het mijn ervaring dat dit soms moeilijk vindbaar is en het soms even zoeken is naar de informatie. Dit was dan ook de reden dat ik dit overzicht van de belangrijkste informatie gemaakt heb.
Waar is de avg goed voor?
De avg gaat over het recht van individuelen om over hun eigen gegevens te beschikken. Bijvoorbeeld die foto van toen men jong was en dronken op stond die later een sollicitatie kan verpesten. De wetgever beoogd ook het gevaar van profileren deels te niet doen. Want mooi dat je profielen kan maken van mensen en hierop je besluitvorming kan sturen, maar dit kan ook leiden minder gewenste situaties zoals vormen van discriminatie en uitsluiting omdat hun profiel al risico wordt beschouwt. Denk hierbij aan het albekende voorbeeld van de toeslag affaire. Overigens kan het onvoldoende beschermen van persoonsgegevens leiden tot identiteitsfraude en waar iemand jaren lang last van kan houden. Om de bovenstaande belangen te beschermen bestaat het instutuut authoriteit persoonsgegevens.
Persoonsgegevens
Oke leuk en aardig maar wat zijn dan persoonsgegevens?
Volgens de autoriteit persoonsgegevens zijn persoonsgegevens alle gegeven/informatie die over een natuurlijk persoon(iemand van vlees en bloed) en die direct over iemand gaan of naar deze persoon herleidbaar zijn. In basis houd dit alles in van uiterlijke kenmerken tot interesses, naam, geloof, woonlocatie, telefoonnummer, ip-adres, email, fotos van iemand en etc. In basis zijn persoonsgegevens alles waarmee je iemand kan lokaliseren of beschrijven.
Bijzondere persoonsgegevens
Er zijn echter ook een aantal gegevens die scherper worden beschermt dan andere gegevens en organisaties mogen deze gegevens niet verwerken tenzij hier in de wet een uitzondering voor is deze gegevens worden bijzondere persoonsgegevens genoemd enkele voorbeelden hiervan zijn:
- ras of etnische afkomst;
- politieke opvattingen;
- godsdienst of levensovertuiging;
- lidmaatschap van een vakbond;
- genetische of biometrische gegevens met oog op unieke identificatie;
- gezondheid;
- seksuele leven;
- strafrechtelijk verleden.
Wanneer mag ik persoonsgegevens verwerken?
Je mag persoonsgegevens verwerken als je voldoet aan 1 van de 6 grondslagen voor het verwerken van persoonsgegevens. Je mag zelf bepalen welke van de 6 je gebruikt.
Wat is het verwerken van persoonsgegevens?
Wat is dat verwerken van persoonsgegevens? Dit is alles wat je met persoonsgegevens kan doen van verzamelen tot en met vernietigen en is dus een heel ruim begrip.
Zaken die er in ieder geval onder vallen zijn: het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, beschikbaar stellen, samenbrengen, met elkaar in verband brengen, afschermen, wissen en vernietigen van gegevens.
De 6 grondslagen
De 6 grondslagen zijn
- Toestemming: U heeft toestemming van de persoon om wie het gaat.
- Overeenkomst uitvoeren: Het is noodzakelijk om gegevens te verwerken om een overeenkomst uit te voeren.
- Wettelijk verplicht: het is noodzakelijk om gegevens te verwerken omdat u dit wettelijk verplicht bent.
- Vitale belangen beschermen: het is noodzakelijk om gegevens te verwerken om vitale belangen te beschermen.
- Taak van algemeen belang of openbaar gezag: Het is noodzakelijk om gegevens te verwerken om een taak van algemeen belang of openbaar gezag uit te voeren.
- Gerechtvaardigd belang: Het is noodzakelijk om gegevens te verwerken om uw gerechtvaardigd belang te behartigen.
Zoals hierboven gezegd je mag gegevens verwerken als je voldoet aan een van de grondslagen echter moet je wel zelf bepalen op welke grondslag je gegevens verwerkt dit mag per soort gegeven anders zijn je kan je hier natuurlijk altijd beroepen op toestemming echter kan iemand toestemming altijd weer intrekken wanneer die dit wilt en is het dus handig om te kijken of je deze toestemming wel echt nodig hebt. Hieronder zal ik dieper op elke grondslag in gaan.
Grondslag 1: toestemming
U mag zich beroepen op toestemming als de volgende eisen.
- Toestemming is vrijelijk gegeven.
- De toestemming moet worden verleent vrij van elke druk op plekken waar machtsverhoudingen zijn moet hier extra voorzichtig op ingespeeld worden bijvoorbeeld een medewerker kan moeilijk een vraag van een werkgever weigeren.
-
- Er moet sprake zijn van een duidelijke actieve handeling bijvoorbeeld een digitaal of schriftelijke verklaring. Hieruit moet duidelijk naar voren komen dat toestemming is verleend. Tactieken als vooraf aangevinkte vakjes of u geeft toestemming als u verder scrolt/klikt zijn niet voldoende.
- Geïnformeerd
- Mensen moeten zelf een geïnformeerde afweging kunnen nemen. Om dit te kunnen moet u de mensen vooraf in toegankelijke en begrijpelijke vorm informeren. Anders gezegt in duidelijke en eenvoudig taal gebruik. De informatie die u moet communiceren is
- Uw organisatie’s identiteit.
- Het doel waarvoor u toestemming vraagt.
- Welke gegevens u verzamelt om dit doel te behartigen.
- Het recht dat zij hebben om de toestemming weer in te trekken.
- Mensen moeten zelf een geïnformeerde afweging kunnen nemen. Om dit te kunnen moet u de mensen vooraf in toegankelijke en begrijpelijke vorm informeren. Anders gezegt in duidelijke en eenvoudig taal gebruik. De informatie die u moet communiceren is
- Specifiek
- Je mag alleen toestemming vragen per specifiek doel en specifieke verwerking. Als je meerdere doeleinden hebt dan moet je per doel apart toestemming vragen. Ook mag het doel niet gaande weg veranderen.
- Aantoonbaar en verantwoordingsplicht
- U moet als organisatie kunnen aantonen dat u toestemming hebt gekregen. In welke vorm dit is maakt verder niet uit. U dient verder ook aan te kunnen tonen dat u op juiste wijze uw toestemming heeft gekregen.
Als extra notities
Kinderen onder de 16 mogen zelf geen toestemming voor het verwerken van persoonsgegevens geven dit moet door hun ouders gebeuren. U dient in online wereld aan te kunnen tonen dat u redelijke inspanning heeft geleverd om te controleren dat uw doelgroep ouder is dan 16 jaar.
Mensen hebben altijd het recht om hun toestemming weer in te trekken en dit moet even makkelijk gaan als het geven ervan. Dus niet 1 klik toestemming en daarna uitgebreide klantenservice call om er van af te komen.
Dus ik vraag gewoon voor alles toestemming en ik voldoe aan de avg toch?
Kort antwoord ja maar het is een goed streven om alleen deze grondslag te gebruiken indien uw bedrijf/organisatie zichzelf niet kan beroepen op een andere grondslag. Dit met de reden dat toestemming ingetrokken kan worden en u zo niet onnodig uw klanten hoeft lastig te vallen met vragen betreft toestemming. Voor het midden klein bedrijf zal de alternatieve grondslag over het algemeen het uitvoeren van een overeenkomst zijn.
Grondslag 2: Overeenkomst uitvoeren
Om je op de grondslag uitvoeren overeenkomst te kunnen baseren dien je aan de volgende eisen te voldoen:
- U dient alleen de gegevens te verwerken die noodzakelijk zijn voor de overeenkomst. Wilt u meer verwerken dan heeft u een andere grondslag nodig.
- U heeft een overeenkomst of verzamelt informatie om deze te kunnen opstellen. (bijvoorbeeld voordat iemand afrekent in een webshop verzamel je adres gegevens of je verzamelt gegevens om een offerte te kunnen maken op iemands verzoek).
- U dient zich te kunnen verantwoorden. Heeft u echt alle verzamelde informatie nodig voor de overeenkomst, verzamelt u niet te veel en is er geen overlap met doelen buiten deze grondslag?
Grondslag 3: Wettelijk verplicht
Om je op deze grondslag te baseren moet het noodzakelijk zijn om gegevens te bewaren voor een wettelijk verplicht doel. Bijvoorbeeld administrative verplichting bij de belastingdienst. Ook moet u in het geval van een lopende juridische procedure gegevens bewaren en beschikbaar stellen zolang de zaak loopt.
Over het algemeen kunt u het begrip noodzakelijkheid relatief ruim nemen omdat de wet hier vaak ruim geformuleerd is. Echter dient u in het oog te houden dat je jezelf moet kunnen verantwoorden voor het verwerken van gegevens onder deze grondslag.
Grondslag 4: Vitale belangen beschermen
Grondslag vitaal belang is aan de orde als dit essentieel is voor iemands leven/gezondheid en die persoon niet om toestemming kan vragen om haar gegevens te verwerken. Denk hierbij aan acuut gevaar en iemand is bewusteloos of mentaal niet in staat toestemming te geven. Uiteraard moet u zorg dragen dat u zich kunt verantwoorden voor het verwerken van gegevens onder deze grondslag.
Toegang door anderen
Wilt u andere toegang geven tot deze gegevens dan mag dat alleen als u zich alleen op deze grondslag kan baseren.
Grondslag 5: Taak van algemeen belang of openbaar gezag
U kunt zich alleen op deze grondslag baseren als u een publieke taak uit oefent voor het algemeen belang of openbaar gezag dit betreft taken die in de wet zijn vast gelegd en relevant zijn voor uw organisatie.
In theorie hoeft u geen bestuursorgaan te zijn om je op deze grondslag te beroepen maar dan moet je wel door de wet(bijvoorbeeld ministeriële regeling) zijn aangewezen om zo’n taak uit te voeren. Je kan dit dus niet zelf bepalen.
Deze grondslag is niet zo van belang voor commerciële organisaties omdat de toestemming verkrijgen via deze grondslag vrij strict is en vaak niet binnen bereik voor dit type organisatie.
Grondslag 6: Gerechtvaardigd belang
U mag zich baseren op deze grondslag als uw recht voor het verwerken zwaarder weegt dan het recht op privacy. Deze grondslag heeft hierin vele grijze gebieden voor veel mensen echter dient u in het oog te houden dat bij deze grondslag er altijd een afweging moet zijn. Tussen uw recht en het recht op privacy en dat het recht op privacy vrij zwaar weegt.
Er zijn 3 factoren waar u op moet toetsen om deze grondslag te mogen gebruiken.
- Is er een gerechtvaardigd belang
- Is het noodzakelijk voor dit belang gegevens te verwerken?
- Heeft u een juiste afweging gemaakt tussen uw belang en het privacy belang van de betrokkenen.
Wat zijn wel gerechtvaardigde belangen
De onderstaande lijst gelden als gerechtvaardigde belangen cruciaal is hiervoor echter dat het in jou situatie dat het voldoet aan 3 eisen (1) uw belang is echt, (2) uw belang is concreet en (3) uw belang is rechtstreeks (1) dit houd in dat het belang nu moet plaats vinden. (2) u moet uw belang duidelijk kunnen vertellen/verwoorden. (3) Is het uw belang en niet die van de samenleving of algemeen belang of iets dergelijks.
Voorbeeld gerechtvaardigde belangen
- een veilig en gezond leven hebben of eigendommen beschermen in een dreigende situatie;
- de privésfeer beschermen;
- inbreuken op een persoonlijkheids – of vermogensrecht tegengaan;
- procederen en/of een rechtsvordering instellen, uitoefenen of onderbouwen;
- grensoverschrijdend gedrag in werkrelaties onderzoeken en beëindigen;
- fraude, oplichting of ander onrechtmatig gedrag tegengaan;
- iemand aansprakelijk stellen voor schade;
- bestaande klanten na een aankoop informeren over soortgelijke, eigen producten of diensten;
- computersystemen goed beveiligen en beschermen;
- zorgplichten nakomen voor werknemers en/of klanten;
- aan alle (zorg)verplichtingen voldoen die u heeft op basis van bijvoorbeeld het Burgerlijk Wetboek.
Wat zijn geen gerechtvaardigde belangen
- Een economisch belang
- Winst maximalisatie
- Het volgen van het gedrag van werknemers zonder legitieme reden
- het (koop)gedrag van (potentiële) klanten volgen zonder legitieme reden.
Noodzakelijkheid toetsen
U moet om u te kunnen beroepen op deze grondslag kunnen aantonen dat u de gegevens nodig hebt om uw belang te behartigen. Hier moet u kijken naar 2 zaken
- Staat uw belang in proportie tot de privacy van de betrokkenen
- Is er niet een manier om uw doel te bereiken op een minder ingrijpende manier.
Indien u niet aan beide eisen voldoet dat voldoet u niet aan deze grondslag.
Afweging belangen
Heeft u een gerechtvaardigd belang en is gegevensverwerking noodzakelijk dan moet u een afweging maken tussen uw belangen en de belangen van de betrokkenen bij deze afweging kijkt hoe na de volgende punten.
- De gevolgen op de betrokkenen
- Hoe ernstig is de inbreuk op de privacy van de betrokkenen
- Welke (aanvullende) maatregelen heeft u genomen om ongewenste gevolgen voor de betrokkenen te voorkomen of te beperken.
- of de betrokkenen de verwerking min of meer kunnen verwachten, bijvoorbeeld als vervolg op een eerdere verwerking waarvoor zij toestemming hebben gegeven of als vervolg op verwerkingen die noodzakelijk zijn om een contract uit te voeren.
Uit uw afweging kunnen 2 conclusies komen
- u voldoet aan de eisen van deze grondslag en mag de gegevens verwerken.
- u voldoet niet aan de eisen van deze grondslag en mag de gegevens dus niet verwerken.
Extra notities indien kinderen betrokken zijn bij deze grondslag weegt het privacy belang veel zwaarder en kunt u zich niet zo snel op deze grondslag beroepen. Ook dien je jezelf te kunnen verantwoorden voor het verwerken van persoonsgegevens onder deze grondslag net als bij de andere grondslagen.
Bronnen
https://autoriteitpersoonsgegevens.nl/nl/over-privacy/waarom-is-privacy-belangrijk
https://autoriteitpersoonsgegevens.nl/nl/over-privacy/persoonsgegevens/wat-zijn-persoonsgegevens
https://autoriteitpersoonsgegevens.nl/nl/over-privacy/persoonsgegevens/bewaren-van-persoonsgegevens