De Algemene verordening gegevensbescherming (AVG)

U heeft er waarschijnlijk de laatste weken al veel over gehoord. Er is namelijk bijna geen ontkomen aan: vanaf 25 mei 2018 geldt de Algemene verordening gegevensbescherming (de AVG) en komt de Wet bescherming persoonsgegevens te vervallen. Maar wat houdt deze nieuwe privacywet allemaal in? De komende weken zullen wij in een reeks van blogs de belangrijkste aspecten uit de AVG bespreken.

Wat is het doel van de AVG?

Het doel van de AVG is met name om twee belangen (beter) te waarborgen: de bescherming van natuurlijke personen in verband met de verwerking van hun gegevens én het vrije verkeer van persoonsgegevens binnen de EU. Hoe deze belangen worden gewaarborgd, moet blijken uit de uitgebreide AVG.

Wanneer is de AVG van toepassing?

Volgens de ‘Handleiding Algemene verordening gegevensbescherming’ van het Ministerie van Justitie en Veiligheid is de AVG van toepassing “wanneer er sprake is van een geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens. Daarnaast is de Verordening van toepassing op de handmatige verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen.”

Om dus te bepalen of de AVG op u van toepassing is, moet u uzelf drie vragen stellen:

  1. Verwerk ik gegevens?
  2. Zijn deze gegevens persoonsgegevens?
  3. Verwerk ik deze gegevens geheel of gedeeltelijk geautomatiseerd, of zijn ze opgenomen dan wel bestemd om te worden opgenomen in een bestand?

Verwerking

Volgens de AVG is een verwerking elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens. De AVG noemt onder andere als voorbeelden:

  • verzamelen
  • vastleggen
  • opslaan
  • bijwerken of wijzigen
  • opvragen
  • raadplegen
  • gebruiken
  • verstrekken
  • wissen of vernietigen

Uit bovenstaand lijstje kunnen we wel concluderen dat een verwerkingshandeling in de praktijk snel zal worden gezien als een verwerking in de zin van de AVG.

Persoonsgegevens

Volgens de AVG zijn persoonsgegevens alle gegevens die:

  1. betrekking hebben op
  2. een geïdentificeerde, of
  3. identificeerbare
  4. natuurlijke persoon.

Met andere woorden: willen gegevens persoonsgegevens zijn, moeten de gegevens iets over een uniek of specifiek natuurlijk persoon zeggen. Enige voorbeelden van persoonsgegevens zijn:

  • naam
  • geboortedatum
  • adresgegevens
  • geslacht
  • beroep en inkomen
  • het burgerservicenummer (BSN) wat overigens alleen mag worden gebruikt voor in de wet voorgeschreven doelen.
  • maar ook voor welke koopsom een natuurlijk persoon bij een autogarage een auto heeft gekocht.

De AVG is in principe alleen van toepassing op de verwerking van gegevens over natuurlijke personen. Op deze regel is wel één uitzondering: wanneer een onderneming vereenzelvigd kan worden met een natuurlijk persoon is de AVG ook van toepassing op de natuurlijk persoon achter de onderneming.

Voorbeeld: de omzet van een eenmanszaak zegt veelal iets over het inkomen van de eigenaar van de eenmanszaak. De AVG is dan ook van toepassing op de verwerking van gegevens van de eenmanszaak.

‘Gewone’ persoonsgegevens en bijzondere categorieën van persoonsgegevens

Net als de huidige Wet bescherming persoonsgegevens, maakt de AVG onderscheid tussen ‘gewone’ persoonsgegevens en bijzondere categorieën van persoonsgegevens. Bijzondere categorieën van persoonsgegevens zijn gegevens die gezien hun aard extra gevoelig zijn zoals: gegevens waaruit ras of etnische afkomst blijkt, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, het lidmaatschap van een vakbond, genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, gegevens over gezondheid en gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid.

De verwerking van deze bijzondere categorieën persoonsgegevens is verboden, tenzij er een specifiek in de AVG gegeven uitzondering van toepassing is. Naast de bijzondere categorieën persoonsgegevens zijn ook persoonsgegevens van strafrechtelijke aard gezien hun aard gevoelig waardoor er ook voor deze categorie persoonsgegevens een afzonderlijke regeling van toepassing is. Het gaat voor deze blog te ver om deze regeling en de uitzonderingen op het verwerkingsverbod te bespreken. Mocht u vragen hebben over deze uitzonderingen, kunt u uiteraard contact met ons opnemen.

Wie is verantwoordelijk voor naleving van de AVG?

Maar als nu blijkt dat u persoonsgegevens verwerkt en op deze verwerkingshandelingen de AVG van toepassing is, wie is dan vervolgens verantwoordelijk voor de naleving van de AVG? Dat is de verwerkingsverantwoordelijke. Misschien schiet u met dit antwoord niet veel op, want wie en wat is een verwerkingsverantwoordelijke. De verwerkingsverantwoordelijke is degene die bepaalt welke persoonsgegevens worden verzameld, voor welk doel deze gegevens worden verzameld en op welke manier de gegevens worden verzameld c.q. verwerkt (met welke middelen). Met andere woorden: de verwerkingsverantwoordelijke is degene die bepaalt hoe en waarom er persoonsgegevens worden verwerkt.

De verwerkingsverantwoordelijke kan een natuurlijk persoon of een rechtspersoon (een b.v., een stichting, een overheidsorgaan, etc.) zijn. Maar wanneer de persoonsgegevens worden verwerkt voor een rechtspersoon, wordt de rechtspersoon aangemerkt als de verwerkingsverantwoordelijk en niet de werknemer die besluit om de persoonsgegevens te gaan verwerken. Dus niet een administratief medewerkster die besluit voor een stichting een e-mail campagne te starten voor het werven van sponsors, is de verwerkingsverantwoordelijke, maar de Stichting waarvoor de e-mail campagne is gestart.

Verwerker

De AVG kent ook de rol van ‘verwerker’. Niet elke onderneming (en dus niet elke verwerkingsverantwoordelijke) verwerkt de persoonsgegevens namelijk zelf maar schakelen daarvoor een derde in. Deze derde is een verwerker indien het een persoon of organisatie betreft die door een verwerkingsverantwoordelijke is ingeschakeld om ten behoeve van deze verwerkingsverantwoordelijke persoonsgegevens te verwerken. De verwerker is daarbij niet aan het rechtstreeks gezag van de verwerkingsverantwoordelijke onderworpen.

Er is wel alleen sprake van verwerkerschap wanneer de verwerking van persoonsgegevens de primaire opdracht aan de verwerker is. Met andere woorden: de dienstverlening van de verwerker c.q. de opdracht van de verwerkingsverantwoordelijke moet gericht zijn op het verwerken van persoonsgegevens. Als de verwerking van persoonsgegevens slechts noodzakelijk is voor het uitvoeren van een andere vorm van dienstverlening, is de opdrachtnemer geen verwerker maar is hij/zij zelf verwerkingsverantwoordelijke ten aanzien van de verwerking van die persoonsgegevens.

Het Ministerie van Justitie en Veiligheid noemt bij de uitleg van het begrip ‘verwerker’ als voorbeelden:

  • een administratiekantoor dat in opdracht van een onderneming de salarisadministratie uitvoert. Het uitvoeren van salarisadministratie komt neer op het verwerken van persoonsgegevens van medewerkers wat het administratiekantoor verwerker maakt.
  • een handelsinformatiebureau dat bedrijven in staat stelt om de kredietwaardigheid van consumenten te beoordelen is daarentegen meestal géén verwerker. De opdracht is namelijk: beoordeel voor mij de kredietwaardigheid van deze consument. Hoewel bij deze beoordeling gebruik wordt gemaakt van persoonsgegevens van de consument, is het het handelsinformatiebureau dat zelf bepaalt welke persoonsgegevens zij aanwendt en hoe zij dit doet. Dit maakt het handelsinformatiebureau ondanks het feit dat zij opdrachtnemer is, verwerkingsverantwoordelijke.

Ten tweede is het, wil er sprake zijn van verwerkerschap, noodzakelijk dat de verwerker niet aan het rechtstreeks gezag van de verwerkingsverantwoordelijke is onderworpen. Dit wil zeggen dat de verwerker onder geen beding ondergeschikt mag zijn aan de verwerkingsverantwoordelijke. Indien degene die de persoonsgegevens verwerkt bijvoorbeeld een medewerker van de verwerkingsverantwoordelijke is of gedetacheerd bij de verwerkingsverantwoordelijke is of een ZZP’er is die werkt onder de instructies van de verwerkingsverantwoordelijke, is er geen sprake van verwerkerschap.

Alhoewel de AVG de verwerker wel enkele verplichtingen oplegt, blijft de verwerkingsverantwoordelijke verantwoordelijk voor de naleving van de AVG met betrekking tot de in haar opdracht verwerkte persoonsgegevens.

De verplichtingen en verantwoordelijkheden die de AVG aan de verwerkingsverantwoordelijke en verwerker oplegt, komen in een volgende blog aan bod.

Wanneer mag u persoonsgegevens verwerken?

De AVG bepaalt dat persoonsgegevens alleen mogen worden verwerkt voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen. Er mogen dus geen persoonsgegevens worden verwerkt zonder dat voor die verwerking een doel is bepaald.

Rechtsgrondslagen c.q. gerechtvaardigde doelen

De verwerking van persoonsgegevens is gerechtvaardigd als het doel van de verwerking is gebaseerd op één van de zes in de AVG opgenomen rechtsgrondslagen. De in de AVG opgenomen lijst met rechtsgrondslagen is limitatief. Dit betekent dat als het doel van de verwerking niet kan worden gebaseerd op één van de in de lijst opgenomen rechtsgrondslagen, het niet is toegestaan om de persoonsgegevens te verwerken.

De zes rechtsgrondslagen zijn:

  1. de betrokkene (zijnde de natuurlijk persoon op wie de persoonsgegevens betrekking hebben) heeft toestemming gegeven voor de verwerking van zijn persoonsgegeven voor één of meer specifieke doeleinden;
  2. de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te treffen;
  3. de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;
  4. de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;
  5. de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen;
  6. de verweking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijk of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.

Indien het doel van de verwerking van persoonsgegevens kan worden gebaseerd op één van de zes rechtsgrondslagen, dient vervolgens de verwerking ook nog te voldoen aan de eisen van proportionaliteit en subsidiariteit. Dit betekent dat allereerst de verwerking proportioneel moet zijn. Als op voorhand bekend is, dat met de verwerking van de gegevens het beoogde doel niet kan worden bereikt, kan de verwerking achterwege blijven en is daarmee dus niet proportioneel. Bovendien moet het gerechtvaardigde doel wat wordt nagestreefd in verhouding staan tot het feit dat daarvoor persoonsgegevens moeten worden verwerkt. Ten tweede moet de verwerkingsverantwoordelijke zich te allen tijde afvragen of het beoogde doel niet op een andere, minder ingrijpende wijze kan worden bereikt. Dit is het subsidiariteitsvereiste.

Toestemming

De eerste rechtsgrondslag, zijnde de verwerking na toestemming van de betrokkene, lijkt een duidelijke rechtsgrondslag. U vraagt de betrokkene of hij/zij akkoord gaat met het opslaan van zijn adresgegevens en u mag vervolgens deze gegevens opslaan. Zo makkelijk gaat het helaas niet en daarom behoeft de eerste rechtsgrondslag nog enige nadere uitleg. De AVG heeft namelijk om te kunnen spreken van een geldige toestemming, een aantal voorwaarden aan de toestemming verbonden.

Allereerst moet de betrokkene daadwerkelijk de keuze hebben om zijn toestemming te weigeren, zonder dat hiervoor voor hem/haar negatieve gevolgen aan kleven. De AVG spreekt in dit verband van een ‘vrij gegeven toestemming’. Als er sprake is van een afhankelijkheidsrelatie tussen de verwerkingsverantwoordelijke en de betrokkene, wordt de toestemming niet snel als ‘vrij gegeven’ geacht omdat men ervan uitgaat dat er in een dergelijke situatie toch altijd sprake is van enige druk op de betrokkene.

Ten tweede dient de betrokkene voor het geven van zijn/haar toestemming duidelijk geïnformeerd te zijn over de redenen waarom zijn/haar persoonsgegevens worden verwerkt (het doel), de manier waarop de persoonsgegevens worden verwerkt , met wie de persoonsgegevens eventueel worden gedeeld en hoe lang deze worden bewaard.

Tot slot moet de gegeven toestemming ondubbelzinnig zijn. Dit betekent dat er geen enkele twijfel mag bestaan over het feit dat de betrokkene zijn/haar toestemming heeft gegeven. Zo is bijvoorbeeld geen sprake van ondubbelzinnige toestemming indien op een website een vakje om toestemming te verkrijgen standaard staat aangevinkt en de betrokkene indien hij/zij geen toestemming wenst te verlenen het vakje dus moet uitvinken. Dit wordt ook wel opt out genoemd. Indien men echter hetzelfde vakje zelf aan moet vinken om toestemming te verlenen (opt in) en iemand doet dit vervolgens ook, is er wel sprake van ondubbelzinnige toestemming.

Zo… het eerste ei is gelegd: best wel veel informatie en voor u misschien ook wel saai. Maar helaas is het voor u toch noodzakelijk om u in de AVG te verdiepen, want er staan forse boetes op overtreding van deze nieuwe privacywet. Om u nu niet direct te ontmoedigen, houden wij het voor nu hierbij. Binnenkort zullen wij u met een volgende blog informeren over de verschillende rollen binnen de AVG. Wat betekenen deze rollen en welke verantwoordelijkheden behoren erbij?

Heeft u over het bovenstaande (al) vragen, neemt u dan gerust contact met mij op.

Bertine van den Heuvel-van Dijk LLB

Geschreven door:

mr. Claudelle Schimmel-Blom

mr. Claudelle Schimmel-Blom.
Heeft u een vraag? Neem contact op.

T: 0318 - 584 999
E: info@axiusadvocaten.nl

Ontdek wat onze advocaten voor
u kunnen betekenen.

Gratis kennismaken