De rollen binnen de AVG en hun betekenis

In mijn vorige blog heb ik stilgestaan bij het doel van de AVG, de vraag wanneer en op wie de AVG van toepassing is en tot slot wanneer persoonsgegevens mogen worden verwerkt. Maar door wie mogen persoonsgegevens worden verwerkt en wat zijn hun verantwoordelijkheden? En hebben degene van wie de persoonsgegevens worden verwerkt hier ook nog enige zeggenschap over?

Welke rollen zijn er binnen de AVG?

In mijn vorige blog “De Algemene verordening gegevensbescherming (AVG)” heb ik bij sommige onderwerpen al even kort stilgestaan bij de rollen die de AVG kent. Volledigheidshalve hieronder toch eerst een opsomming welke rollen dit allemaal zijn.

De AVG kent de volgende rollen:

• de verwerkingsverantwoordelijke
• de functionaris gegevensbescherming
• de verwerker
• de betrokkene
• de Autoriteit Persoonsgegevens als toezichthouder

In deze blog zal ik niet ingaan op de taken en bevoegdheden van de Autoriteit Persoonsgegevens.

De verwerkingsverantwoordelijke

De verwerkingsverantwoordelijke is dé verantwoordelijke voor de naleving van de AVG en is degene die bepaalt welke persoonsgegevens worden verwerkt, voor welk doel en met welke middelen. De verwerkingsverantwoordelijke is verplicht passende en effectieve maatregelen te nemen om te zorgen dat de verwerkingen in lijn met de AVG plaatsvinden. Daarbij dienen de te nemen maatregelen in verhouding te staan tot de verwerking. Bijvoorbeeld bij verwerking van bijzondere persoonsgegevens dienen de beveiligingsmaatregelen zwaarder te zijn dan bij verwerking van (slechts) naam en telefoonnummer.

Plichten van de verwerkingsverantwoordelijke

Om persoonsgegevens te verwerken conform de in de AVG gestelde eisen, dient een verwerkingsverantwoordelijk tenminste de volgende maatregelen te treffen. Daarbij merk ik wel op dat de te nemen maatregelen wel afhankelijk zijn van de concrete verwerkingen en dat in de praktijk wellicht nog meer maatregelen nodig zijn.

• er dient een register van verwerkingsactiviteiten te worden bijgehouden (‘de registerplicht’)
• er dient onder bepaalde omstandigheden een functionaris voor gegevensbescherming te worden aangesteld;
• er dient voorafgaand aan risicovolle verwerkingsactiviteiten een gegevensbeschermingseffectbeoordeling te worden uitgevoerd;
• de Autoriteit Persoonsgegevens dient onder bepaalde omstandigheden voorafgaand aan een nieuwe risicovolle verwerkingsactiviteit geraadpleegd te worden (‘de voorafgaande raadpleging’);
• bij het inrichten van verwerkingen dient rekening te worden gehouden met het principe van privacy door ontwerp en standaardinstellingen (‘privacy by design & default’);
• er dienen passende beveiligingsmaatregelen te worden getroffen met het oog op de bescherming van persoonsgegevens;
• in het geval van een datalek dient melding te worden gedaan bij de Autoriteit Persoonsgegevens en onder bepaalde omstandigheden dient ook de betrokkene op de hoogte te worden gebracht van de datalek;
• er dienen afspraken te worden gemaakt met verwerkers (‘de verwerkingsovereenkomst’).

Dit klinkt misschien raar, maar op grond van de AVG is het om te voldoen aan de AVG niet genoeg als de verwerkingsverantwoordelijke slechts bovengenoemde maatregelen neemt. De verwerkingsverantwoordelijke moet namelijk deze maatregelen niet alleen nemen, hij/zij moet ook kunnen aantonen dat de maatregelen zijn genomen. In het kader van deze ‘aantoonplicht’ moet de verwerkingsverantwoordelijke vervolgens weer de navolgende maatregelen treffen:

• indien dit in verhouding staat tot de verwerkingsactiviteiten, het op schrift stellen van een passend gegevensbeschermingsbeleid waarin bijvoorbeeld wordt bepaald welke technische en organisatorische maatregelen genomen moeten worden;
• het vastleggen van de gegevensbeschermingseffectbeoordelingen;
• documenteren van passende waarborgen die worden gehanteerd bij overdracht van gegevens buiten de Europese Unie;
• informatievoorziening aan de betrokkenen op schrift stellen (bijvoorbeeld in de vorm van een privacy statement);
• indien de persoonsgegevens zijn verwerkt op de grondslag toestemming dient de wijze waarop de toestemming is gevraagd te worden vastgelegd;
• indien de persoonsgegevens zijn verwerkt op de grondslag toestemming dient het bewijs dat de betrokkene de toestemming daadwerkelijk heeft gegeven te worden gedocumenteerd;
• indien de persoonsgegevens worden verwerkt op de grondslag ‘gerechtvaardigd belang’, dient het gerechtvaardigde belang te worden gedocumenteerd;
• de processen en procedures welke worden gevoerd ter waarborging van de rechten van de betrokkenen dienen te worden gedocumenteerd;
• voor iedere inzet van verwerkers dienen verwerkersovereenkomsten conform de eisen van de AVG te worden opgesteld, ondertekend en gedocumenteerd;
• de te volgen procedure in geval van een datalek dient te worden vastgelegd;
• er dient een register van datalekken die zich in de organisatie hebben voorgedaan te worden bijgehouden;
• de maatregelen die worden genomen om invulling te geven aan de uitgangspunten van gegevensbescherming door ontwerp en door standaardinstelling (privacy by design & default) dient te worden vastgelegd.

Verwerkingsregister

Nagenoeg iedereen die persoonsgegevens verwerkt in de zin van de AVG zal een verwerkingsregister moeten opstellen. Dit verwerkingsregister is waarschijnlijk het eerste waar de Autoriteit Persoonsgegevens bij een eventuele controle dan ook naar zal vragen. Daarom zal ik in deze blog kort stilstaan bij deze verplichting. Het voert te ver om in deze blog stil te staan bij alle overige verplichtingen. In mijn volgende blog zal een nadere toelichting op enkele verplichtingen volgen. Indien u in de tussentijd op dit punt toch al vragen heeft, kunt u uiteraard contact met mij opnemen.

Het register van verwerkingsactiviteiten is een opsomming van de belangrijkste informatie over uw verwerking van persoonsgegevens. In het register worden niet de daadwerkelijke persoonsgegevens van de betrokkenen opgenomen. Het register dient slechts te worden gezien als een beschrijving van de verwerkingsactiviteiten. In het verwerkingsregister dienen daartoe de volgende gegevens te worden opgenomen:

• de naam en contactgegevens van de verwerkingsverantwoordelijke;
• de naam en contactgegevens van de functionaris voor gegevensbescherming alsdeze is aangesteld;
• de verwerkingsdoeleinden;
• een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens;
• een beschrijving van de categorieën van ontvangers aan wie de persoonsgegevens eventueel zijn of zullen worden verstrekt;
• indien van toepassing, de doorgiften van persoonsgegevens aan een derde land of internationale organisatie. Daarbij dienen ook de documenten inzake de passende waarborgen voor beveiliging te worden opgenomen;
• de beoogde termijnen waarbinnen de verschillende categorieën persoonsgegevens moeten worden gewist, indien dit mogelijk is;
• een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.

Indien er de benodigde aandacht aan het verwerkingsregister wordt besteed, zal dit register veelal tevens kunnen dienen als een gegevensbeschermingsbeleid.

De functionaris voor gegevensbescherming

Een functionaris voor gegevensbescherming (in het Engels data protection officer, afgekort DPO), hierna aangeduid als ‘FG’, houdt intern toezicht op en adviseert over de toepassing en naleving van de AVG door de verwerkingsverantwoordelijke. U moet een FG aanstellen indien u aan één van de drie volgende voorwaarden voldoet:

1. u bent een overheidsinstantie of overheidsorgaan;
2. u bent hoofdzakelijk belast met verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelmatige observatie van betrokkenen op grote schaal vereisen. Over het algemeen is er sprake van regelmatige en stelselmatige observatie wanneer u betrokkenen, ter uitvoering van de kernactiviteit van uw onderneming, voor een bepaalde periode volgt en daarbij persoonsgegevens over hen vastlegt.
3. U bent hoofdzakelijk belast met verwerkingen die de grootschalige verwerkingen van bijzondere categorieën van persoonsgegevens en van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten behelzen. Dit is bijvoorbeeld het geval bij ziekenhuizen die gezondheidsgegevens verwerken.

U mag ook vrijwillig een FG aanstellen. Indien een FG vrijwillig is aangesteld, heeft deze wel dezelfde taken, bevoegdheden en verantwoordelijkheden als een verplicht aangestelde FG. U moet daarbij wel in het achterhoofd houden dat, ú verantwoordelijk blijft voor de goede naleving van de AVG. De FG wordt geraadpleegd en houdt toezicht, maar neemt geen beslissingen over het al dan niet verwerken van persoonsgegevens en is dan ook niet de eindverantwoordelijke.

Gestelde eisen aan een functionaris voor gegevensbescherming

Een FG moet een deskundig persoon zijn. Het vereiste van ‘deskundigheid’ ziet uiteraard op het gebied van nationale en Europese wetgeving en de praktijk rondom de bescherming van persoonsgegevens. Daarbij dient het niveau van kennis en expertise in verhouding te staan tot de gevoeligheid, complexiteit en hoeveelheid van persoonsgegevens die een organisatie verwerkt.

Een FG hoeft niet in loondienst van de verwerkingsverantwoordelijke te zijn.

Taken functionaris voor gegevensbescherming

De FG heeft op grond van de AVG de navolgende taken:

• de FG informeert en adviseert de verwerkingsverantwoordelijke over zijn/haar verplichtingen op grond van de AVG;
• de FG ziet toe op de naleving van de AVG en het interne gegevensbeschermingsbeleid;
• de FG moet op verzoek van de verwerkingsverantwoordelijke adviseren over de gegevensbeschermingseffectbeoordeling en toezien op de uitvoering daarvan;
• de FG moet samenwerken met en optreden als contactpersoon voor de Autoriteit Persoonsgegevens;
• de FG rapporteert over de uitvoering van zijn/haar taken.

De verwerker

Een verwerker is een derde die door een verwerkingsverantwoordelijke is ingeschakeld om ten behoeve van deze verwerkingsverantwoordelijke persoonsgegevens te verwerken zonder daarbij aan het rechtstreeks gezag van de verwerkingsverantwoordelijke te zijn onderworpen. Net als bij de FG blijft de verwerkingsverantwoordelijke – ondanks het feit dat de verwerker de persoonsgegevens ten behoeve van hem/haar verwerkt – verantwoordelijk voor de naleving van de AVG.

De verwerkingsovereenkomst

Indien u als verwerkingsverantwoordelijke een verwerker inschakelt, dient u met deze verwerker afspraken te maken. Deze afspraken dienen vervolgens te worden vastgelegd in een verwerkingsovereenkomst. Volgens de AVG moet in deze overeenkomst tenminste de volgende zaken worden geregeld:

• het onderwerp en de duur van de verwerking;
• de aard en het doel van de verwerking;
• het soort persoonsgegevens en de categorieën van betrokkenen;
• de rechten en verplichtingen van de verwerkingsverantwoordelijke;
• de rechten en verplichtingen van de verwerker, zoals:

1. de verwerker mag alleen persoonsgegevens verwerken onder de schriftelijke instructie van de verwerkingsverantwoordelijke;
2. de verwerker dient te waarborgen dat de toegang tot die gegevens is beperkt tot gemachtigde personen;
3. de verwerker dient minimaal hetzelfde niveau van beveiliging van de persoonsgegevens te hanteren dan de verwerkingsverantwoordelijke doet;
4. de verwerker dient de verwerkingsverantwoordelijke zoveel als mogelijk te ondersteunen bij het nakomen van zijn/haar verplichtingen met het oog op beantwoording van verzoeken van de betrokkenen;
5. de verwerker dient de verwerkingsverantwoordelijke bij te staan bij het nakomen van de verplichtingen op het gebied van beveiliging van persoonsgegevens en de meldplicht datalekken;
6. de verwerker dient na beëindiging van de overeenkomst de in opdracht van de verwerkingsverantwoordelijke verwerkte persoonsgegevens te wissen of aan de verwerkingsverantwoordelijke terug te geven en alle bestaande kopieën te verwijderen;
7. de verwerker dient de verwerkingsverantwoordelijke alle informatie te verstrekken die nodig is om aan te tonen dat de verplichtingen uit de AVG rondom het inschakelen van een verwerker worden nageleefd en die nodig is om audits mogelijk te maken;
8. de verwerker dient dezelfde afspraken te maken met sub-verwerkers.

Plichten van de verwerker

Veel van de verplichtingen die de AVG een verwerker oplegt, b wel uit hetgeen in de verwerkingsovereenkomst dient te worden opgenomen. Volledigheidshalve treft u onderstaand tot een opsomming van de verplichtingen van de verwerker uit hoofde van de AVG aan.

• Een verwerker is verplicht een verwerkingsovereenkomst met de verwerkingsverantwoordelijke te sluiten;
• Een verwerker mag alleen een derde partij (een sub-verwerker) inschakelen na voorafgaande schriftelijke toestemming van de verwerkingsverantwoordelijke;
• Bij het inschakelen van een sub-verwerker moet de verwerker met deze sub-verwerker een overeenkomst sluiten waarin de sub-verwerker wordt verplicht om minimaal hetzelfde niveau van gegevensbescherming te bieden als de verwerker zelf biedt ten opzichte van de verwerkingsverantwoordelijke;
• Een verwerker moet zelf ook een verwerkingsregister bijhouden. Hierbij is de verwerker verplicht om in dit register minimaal de navolgende gegevens op te nemen:

1. de naam en contactgegevens van de verwerker;
2. de contactgegevens van de verwerkingsverwantwoordelijke namens wie de verwerker verwerkingsactiviteiten uitvoert;
3. de contactgegevens van de FG als deze is aangesteld;
4. de categorieën van verwerkingen die de verwerker voor de afzonderlijke verwerkingsverantwoordelijken uitvoert;
5. de eventuele doorgiften van persoonsgegevens aan derde landen of internationale organisaties;
6. indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.

• Een verwerker is zelf verplicht om passende beveiligingsmaatregelen te treffen;
• In geval van een datalek moet de verwerker de verwerkingsverantwoordelijke per omgaande in kennis stellen van de datalek;
• Een verwerker dient volledige medewerking te verlenen aan de Autoriteit Persoonsgegevens bij de vervulling van haar taken.
• Na beëindiging van de verwerkingsovereenkomst dient de verwerker de betrokken persoonsgegevens te wissen en – indien gewenst – terug te geven aan de verwerkingsverantwoordelijke.

De betrokkene

De betrokkene is de geïdentificeerde of identificeerbare natuurlijk persoon op wie de verwerkte en/of de te verwerken persoonsgegevens betrekking hebben. De AVG heeft mede als doel dat de betrokkenen goed worden beschermd bij verwerking van hun persoonsgegevens. Om deze bescherming te bieden en om eerlijke verwerking te waarborgen, geeft de AVG de betrokkenen een aantal rechten welke de betrokkenen tegen de verwerkingsverantwoordelijken kunnen uitoefenen c.q. inroepen.

Rechten van betrokkenen

1. Het recht op informatie over de verwerkingen.
2. Het recht op inzage in zijn/haar gegevens.
3. Het recht op correctie van de gegevens als deze niet kloppen.
4. Het recht op verwijdering van de gegevens en ‘het recht om vergeten te worden’.
5. Het recht op beperking van de gegevensverwerking.
6. Het recht op verzet tegen de gegevensverwerking.
7. Het recht op overdracht van zijn/haar gegevens (dataportabiliteit).
8. Het recht om niet onderworpen te worden aan een geautomatiseerde besluitvorming.

Beperkingen op de rechten van betrokkenen

Zoals u wellicht kunt voorstellen, hoeft u niet altijd rekening te houden met de rechten van betrokkenen. Soms kan beperking van de rechten van betrokkenen noodzakelijk. Zo is beperking van de rechten toegestaan indien dat noodzakelijk is ter waarborging van:

• de nationale veiligheid, landverdediging of openbare veiligheid;
• de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of tenuitvoerlegging van straffen;
• belangrijke doelstellingen van algemeen belang van Nederland of de Europese Unie;
• de bescherming van de onafhankelijkheid van rechters en rechterlijke procedures;
• taken op het gebied van toezicht, inspectie of regelgeving op de hierboven genoemde gebieden;
• de bescherming van de betrokkene zelf of van de rechten of vrijheden van anderen;
• de inning van civielrechtelijke vorderingen.

Verplichtingen verwerkingsverantwoordelijke ten aanzien van rechten betrokkenen

Als verwerkingsverantwoordelijke bent u verplicht gehoor te geven aan de rechten van betrokkenen. Dit betekent dat indien een betrokkene één van de rechten inroept, bijvoorbeeld indien een betrokkene u vraagt om inzage in zijn/haar gegevens of vraagt om zijn/haar gegevens te verwijderen, u aan het verzoek van de betrokkene uitvoering moet geven. De AVG schrijft in dit verband zelfs voor dat u binnen één maand na ontvangst van het verzoek de betrokkene dient te informeren over de uitvoering van het verzoek. U mag – als het gaat om veel of complexe verzoeken – wel twee maanden extra de tijd nemen om uitvoering aan de verzoeken te geven, maar u dient dit dan wel binnen één maand aan de betrokkene mee te delen.

De tweede verplichting van de verwerkingsverantwoordelijke vloeit voort uit het eerste recht van de betrokkenen. Uit “het recht op informatie over de verwerkingen”, vloeit immers voor de verwerkingsverantwoordelijke de verplichting voort om de betrokkenen te informeren over de gegevensverwerking. Meer specifiek dient de verwerkingsverantwoordelijke de betrokkene te informeren over wat er met zijn/haar persoonsgegevens gebeurt en waarom. Bovendien moet de betrokkene bewust gemaakt worden van de risico’s van de gegevensverwerking, de regels die voor de gegevensverwerking gelden en de manier waarop de betrokkene zijn/haar rechten met betrekking tot de verwerking van de gegevens kunnen uitoefenen. In beginsel dient een verwerkingsverantwoordelijke de volgende informatie aan de betrokkene te verstrekken:

• de identiteit en contactgegevens van de verwerkingsverantwoordelijke;
• de contactgegevens van de FG, indien deze is ingeschakeld;
• de doelen waarvoor de persoonsgegevens worden verwerkt;
• de grondslag waarop de gegevensverwerking is gebaseerd;
• wanneer de verwerking is gebaseerd op de grondslag ‘gerechtvaardigd belang’: wat het gerechtvaardigd belang is;
• de eventuele ontvangers of categorieën ontvangers van de gegevens;
• in geval van verstrekking aan derde landen: (1) of er een adequaatheidsbesluit van de Commissie bestaat of (2) er passende waarborgen zijn getroffen, welke dit zijn en of hier een kopie van kan worden verkregen, dan wel waar die waarborgen kunnen worden geraadpleegd;
• de bewaartermijn, of als dat niet mogelijk is de criteria voor het bepalen ervan;
• de rechten van de betrokkene;
• in het geval van ‘toestemming’, dat de betrokkene die toestemming altijd weer kan intrekken;
• dat de betrokkene het recht heeft een klacht in te dienen over de verwerking bij de Autoriteit Persoonsgegevens;
• of het verwerken van persoonsgegevens een wettelijke verplichting is of noodzakelijk is voor de uitvoering of het aangaan van een overeenkomst, of de betrokkene verplicht is die gegevens te verstrekken en wat de gevolgen zijn van het niet verstrekken van die gegevens voor de betrokkene;
• ingeval van geautomatiseerde besluitvorming, nuttige informatie over de onderliggende logica, het belang van de verwerking en de verwachte gevolgen van die verwerking voor de betrokkene;
• alle andere informatie over de verwerking die nodig is om tegenover de betrokkene een behoorlijke en transparante verwerking te waarborgen;
• indien de verwerkingsverantwoordelijke de informatie buiten de betrokkene om heeft verkregen, moet hij/zij de betrokkene eveneens informeren over de bron waaruit de persoonsgegevens zijn verkregen;

Op het moment dat de verwerkingsverantwoordelijke de persoonsgegevens voor een ander doel gaat verwerken, dient hij/zij de betrokkene op de hoogte te stellen van het nieuwe doel en daarbij alle bovenstaande informatie opnieuw aan hem/haar te verstrekken.

Heeft u vragen over hoe de overige rechten van betrokken dienen te worden uitgelegd, kunt u uiteraard contact met mij opnemen.

En met de bespreking van de rechten van de betrokkene, is het tweede ei ook gelegd. Weer een blog met veel informatie en ik realiseer mij dat het er ook niet leuker op wordt. Ik hoop wel dat met deze blog wel weer het één en ander duidelijker is geworden. Mocht u toch nog vragen hebben over al het bovenstaande kunt u daarvoor altijd contact met mij opnemen.

Bertine van den Heuvel-van Dijk LLB