Algemene Verordening Gegevensbescherming op hoofdlijnen

In deze blog informeer ik u als werkgever of HR-manager op hoofdlijnen over de Algemene Verordening Gegevensbescherming (AVG). Ik geef u ook enkele tips mee.

In deze blog informeer ik u als werkgever of HR-manager op hoofdlijnen over de Algemene Verordening gegevensbescherming (AVG, in het Engels: General Data Protection Regulation, GDPR).

Het is voor mij feitelijk onmogelijk om volledig te zijn zonder tientallen bladzijden wetstekst en uitleg daarover over te schrijven. Ik zal daarom die zaken bespreken, die volgens mij voor u het belangrijkst zijn.

Als u na deze blog gelezen te hebben nog vragen over de AVG hebt of ooit met een sanctie van de Autoriteit persoonsgegevens geconfronteerd wordt, zal ik u daar graag bij helpen.

Handleiding AVG

Handig als naslagwerk is de Handleiding Algemene verordening gegevensbescherming.

De juiste instelling

Het gaat in de eerste plaats om de juiste instelling. De gewoonte om allerlei persoonsgegevens bijna klakkeloos te verzamelen moet afgeleerd worden. Stel u telkens weer de vraag: Voor welk doel verzamel ik dit persoonsgegeven en is het voor dat doel noodzakelijk dat ik dat doe?

Een voorbeeld uit mijn advocatenpraktijk: Heb ik de geboortedatum van mijn cliënt nodig? Alleen bij die cliënt voor welke ik gefinancierde rechtsbijstand aanvraag. Dan mag ik de geboortedatum ook alleen bij die cliënt vragen en verwerken. Ook binnen een schijnbaar homogene groep - de cliënten van een advocatenkantoor - zijn er dus verschillen.

Doelen / doeleinden

“Doel” of “doeleinden” is een kernbegrip. Bij de verwerking van ieder persoonsgegeven moet telkens weer de vraag gesteld worden: Voor welk - gerechtvaardigd, duidelijk bepaald en uitdrukkelijk omschreven - doel is dit gegeven noodzakelijk? Zonder doel en zonder noodzakelijkheid mag er geen verwerking plaatsvinden. Onder “verwerking” wordt zowel het verzamelen van de persoonsgegevens als het verwerken ervan verstaan.

Mijn advies: zet op een rij voor welke doeleinden u persoonsgegevens verzamelt en orden de persoonsgegevens per doel. Uiteraard kan een persoonsgegeven voor verscheidene doeleinden verzameld zijn.

Wettelijke grondslagen

De verwerking moet altijd op één van de zes in de AVG genoemde rechtsgrondslagen gebaseerd zijn. Voor u zijn de volgende van belang: 1. de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden; 2. de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is (of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen); 3. de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust; 4. de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.

Bij 1. - toestemming van de betrokkene – is er dus geen noodzakelijkheidsvereiste. De toestemming moet wél in volledige vrijheid gegeven zijn. U als verwerkingsverantwoordelijke moet documenteren dat u de toestemming gekregen hebt. Nota bene, bij toestemming hoeft er dan wel geen noodzaak te zijn, er moet wél nog steeds een doel zijn om de persoonsgegevens te verzamelen en te verwerken.

Voor 4. - gerechtvaardigd belang - verwijs ik kortheidshalve naar de Handleiding en de website van de Autoriteit Persoonsgegevens (AP). Wanneer een verwerking voor de behartiging van gerechtvaardigde belangen noodzakelijk is, kan beter beantwoord worden, zodra een concrete vraag zich voordoet.

Mijn advies: baseer de verwerking zoveel mogelijk op de grondslagen genoemd onder 2. en 3.

Bijzondere persoonsgegevens

Bijzondere persoonsgegevens mogen niet verwerkt worden. Gegevens over ziekte zijn bijzonder, maar de verwerking hiervan valt onder de uitzonderingsgrond dat “de verwerking noodzakelijk is in het kader van de uitvoering van regels op het gebied van arbeids- en sociale zekerheidsrecht”. Ook als de betrokkene uitdrukkelijk toestemming geeft, mogen bijzondere persoonsgegevens verwerkt worden.

Verwerkingsverantwoordelijke en verwerker

Volgens de definitie is de verwerkingsverantwoordelijke “degene die het doel (het waarom) en de middelen (het hoe) voor de verwerking bepaalt”.

Een verwerker is een derde (een externe, aparte partij) die in opdracht van de verwerkingsverantwoordelijke persoonsgegevens verwerkt. Bijvoorbeeld een salarisadministratiekantoor.

Wie is de verwerkingsverantwoordelijke eigenlijk?

De AVG zegt er het volgende van: „verwerkingsverantwoordelijke”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoons­gegevens vaststelt; (...)”

Iedereen die op enige manier - op grond van een specifieke, juridische bevoegdheid, een impliciete bevoegdheid of door feitelijke invloed - wat over het doel en de middelen te zeggen heeft, is (mede-)verwerkingsverantwoordelijke.

Conclusie: Het is verstandig om hier goed over na te denken en het vaststellen van én het doel van én de middelen voor de verwerking van persoonsgegevens (zoveel mogelijk) bij één en dezelfde persoon neer te leggen. Anders ontstaat een wirwar van mede-verwerkingsverantwoordlijken. Dit laat uiteraard onverlet dat anderen prima bij de uitvoering betrokken kunnen zijn, als zij maar niet het doel en/of de middelen mede vaststellen.

Verwerkersovereenkomst

Als u een verwerker inschakelt, moet u een verwerkersovereenkomst sluiten. Zie verder de Handleiding op het zoekwoord “verwerkersovereenkomst”. Zo nodig kan ik u bij de redactie ervan behulpzaam zijn.

Rechten van uw werknemer

Een werknemer heeft het recht een gegeven toestemming weer in te trekken. Verder worden als zijn rechten genoemd: het recht op informatie over de verwerkingen; het recht op inzage in zijn gegevens; het recht op correctie van de gegevens als deze niet kloppen; het recht op verwijdering van de gegevens en ‘het recht om vergeten te worden’; het recht op beperking van de gegevensverwerking; het recht op verzet tegen de gegevensverwerking; het recht op overdracht van zijn gegevens (dataportabiliteit); het recht om niet onderworpen te worden aan een geautomatiseerde besluitvorming.

Registerplicht

De verwerkingsverantwoordelijke heeft een registerplicht. Ik citeer uit de Handleiding: In het register dient u de volgende onderdelen op te nemen: uw naam en contactgegevens, of indien van toepassing die van uw vertegenwoordiger; waar van toepassing de naam en contactgegevens van partijen waarmee u gezamenlijk verwerkingsverantwoordelijke bent; de contactgegevens van uw functionaris voor gegevensbescherming als u die heeft aangesteld; de verwerkingsdoeleinden; een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens; de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, onder meer ontvangers in derde landen of internationale organisaties; indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie. Daarbij dient u ook de documenten inzake de passende waarborgen te vermelden; indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist; indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.

Nota bene: In het register neemt u niét de daadwerkelijke persoonsgegevens van betrokkenen op! Het register geeft slechts door middel van een beschrijving inzicht in de verwerkingsactiviteiten. Het register bevat dus een beschrijving van de verwerkingsactiviteiten en niét de persoonsgegevens zelf.

Het register geeft invulling aan de verantwoordingsplicht van de verwerkingsverantwoordelijke. Deze moet kunnen aantonen dat hij zich aan de AVG gehouden heeft respectievelijk houdt.

Plichten verwerkingsverantwoordelijke

Ten slotte geef ik u als afsluiting en samenvatting een deel van Checklist 1 “Wat zijn de plichten van de verwerkingsverantwoordelijke?” van de Handleiding (wat voor u niet van belang is, heb ik weggehaald):

Op grond van de Verordening moet elke verwerking van persoonsgegevens voldoen aan de volgende beginselen: de verwerking van persoonsgegevens moet rechtmatig, behoorlijk en transparant zijn (“rechtmatigheid, behoorlijkheid en transparantie”); de verwerking moet gebonden zijn aan specifieke verzameldoelen (“doelbinding”); de persoonsgegevens moeten toereikend zijn, ter zake dienend, en beperkt tot wat noodzakelijk is (“minimale gegevensverwerking”); de gegevens moeten juist zijn (“juistheid”); de gegevens mogen niet langer worden bewaard dan nodig (“opslagbeperking”); gegevens moeten goed beveiligd zijn en vertrouwelijk blijven (“integriteit en vertrouwelijkheid”).

De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van deze beginselen en moet ook kunnen aantonen dat een verwerking van persoonsgegevens aan deze beginselen voldoet (de verantwoordingsplicht). Concreet dient de verwerkingsverantwoordelijke hiertoe: een register van verwerkingsactiviteiten bij te houden (de registerplicht); bij het inrichten van verwerkingen rekening te houden met het principe van privacy door ontwerp en standaardinstellingen (privacy by design & default); passende beveiligingsmaatregelen te treffen met het oog op de bescherming van persoonsgegevens; in het geval van een datalek melding te doen bij de Autoriteit Persoonsgegevens en onder bepaalde omstandigheden ook bij de betrokkenen; afspraken te maken met verwerkers. medewerking te verlenen aan de Autoriteit Persoonsgegevens. Tenslotte dient de verwerkingsverantwoordelijke de rechten van de betrokkenen te respecteren en in te vullen.

Klacht, waarschuwing en sanctie

Een betrokkene (werknemer) kan klagen. Gebruik in de eerste plaats het gezonde verstand om een dergelijke klacht te voorkomen en op te lossen.

De toezichthouder kan controleren en een sanctie opleggen. Met het oog hierop is het zaak de registerplicht goed na te leven. Mogelijk krijgt u een schriftelijke waarschuwing. Zie hiervoor mijn blog Bezwaar maken tegen een waarschuwing. Mogelijk? Zinvol?.

Artikel geschreven door Paul Van Hoef

Paul Van Hoef is al ruim dertig jaar uw betrokken en betrouwbare advocaat. Uw belang is zijn belang, hij stopt pas als alle wegen zijn benut. Hij is ijzersterk als het aankomt op het oplossen van juridische puzzels. Vervolgens kan hij dit duidelijk uitleggen, waardoor u te allen tijde weet waar u aan toe bent. Hierdoor kan hij u goed bijstaan om een juridisch conflict te voorkomen of te winnen.