Algemene Verordening Gegevensbescherming

De Autoriteit Persoonsgegevens (AP) is de Nederlandse toezichthouder op de privacywetgeving, de AVG.  De AP houdt toezicht op iedereen die persoonsgegevens verwerkt: het bedrijfsleven, de  overheid, scholen, sportclubs en individuen. Binnen de taken vallen onderzoek doen, klachten behandelen, voorlichting geven en adviseren. De AP kan tevens boetes opleggen die kunnen oplopen tot 4% van de wereldwijde omzet van een onderneming.

Volgens artikel 4 AVG is een persoonsgegeven:

alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”) [..]

Een persoonsgegeven is een gegeven dat direct of indirect herleidbaar is tot een individu. Denk hierbij aan naam, adres, woonplaats, telefoonnummer en e-mailadres. Maar ook aankoophistorie of lifestylekenmerken, wanneer deze in relatie tot een identificeerbaar individu worden vastgelegd. Ook wanneer u de naam niet weet, maar er bijvoorbeeld sprake is van een unieke ID is dit een persoonsgegeven. U kunt dit ID immers gebruiken om iemand in een groep te individualiseren en gericht te benaderen, bijvoorbeeld met behulp van cookies of een IP-adres.

Er geldt een bijzonder regime voor een aantal bijzondere gegevens die een grote inbreuk op privacy tot gevolg kunnen hebben. De AVG beschrijft bijzondere persoonsgegevens in artikel 9 het volgende:

gegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid

Deze gegevens mag u alleen van iemand vastleggen als u zijn uitdrukkelijke toestemming heeft gekregen. U moet informeren welke bijzondere persoonsgegevens u wilt verwerken en waarom, en hiervoor toestemming vragen. Dit hoeft niet als iemand deze gegevens zelf duidelijk openbaar heeft gemaakt.

In principe valt hieronder alles wat een organisatie met persoonsgegevens kan doen. Registreren, verzamelen, verrijken, inzien, doorsturen, kopiëren maar ook vernietigen. Het gaat ook om toepassingen, zoals het versturen van een nieuwsbrief, het maken van doelgroepselecties, het beantwoorden van een klacht. Eigenlijk valt alles wat een organisatie kan doen met persoonsgegevens onder deze definitie. Het moet wel gaan om een bepaalde gestructureerde verwerking en de gegevens moeten in een bestand zijn opgenomen of bedoeld zijn om hierin te worden opgenomen. De naam van een collega roepen bij het koffiezetapparaat valt niet onder de reikwijdte.

Een organisatie mag alleen persoonsgegevens verzamelen als hij voldoet aan de vereisten uit de AVG. De AVG geeft aan dat een organisatie alleen persoonsgegevens mag verzamelen als:

• dit noodzakelijk is voor het doel wat u voor ogen heeft;
• u dit doel voorafgaand heeft omschreven;
• u niet meer gegevens verzamelt dan noodzakelijk voor dit doel;
• u voor de verwerking een wettelijk erkende reden (grondslag) heeft;
• u degene in uw bestand voorafgaand over de verwerking informeert;
• de rechten van degenen in uw bestand onder de AVG respecteert;
• de gegevens up-to-date worden gehouden;
• de gegevens worden verwijderd als u ze niet meer nodig heeft

Een verwerker is een organisatie die in opdracht van de een andere organisatie persoonsgegevens verwerkt, zonder onder het directe gezag te staan van die organisatie. Verwerken kan zijn dat ze toegang hebben tot de persoonsgegevens, persoonsgegevens uitvragen, persoonsgegevens inzien of opslaan. Denk bijvoorbeeld aan een callcenter dat donateurs werft, een mail en verzendhuis dat direct mailings verzendt met adresgegevens, etc. Wilt u weten of een organisatie aangemerkt kan worden als verwerker? Bekijk dan ook dit stroomschema.

Het is common practice dat een organisatie werkzaamheden uitbesteed aan leveranciers. Wellicht doet een online bureau de vormgeving van de landingspagina’s en vangen zij de leads af of wordt geadresseerde post verstuurd door een verzendhuis. In dat geval moet er een verwerkersovereenkomst worden gesloten tussen opdrachtgever en leverancier. Een verwerkersovereenkomst is een overeenkomst waarin afspraken staan over de verwerking van persoonsgegevens. Het maken van zulke afspraken is een verplichting onder de AVG als een organisatie in opdracht van een andere organisatie persoonsgegevens verwerkt, zonder onder het directe gezag te staan van die organisatie. In een verwerkersovereenkomst staat:

• Een uitgebreide opdrachtomschrijving, wat doet de verwerker?
• Instructies aan de verwerker over de verwerking.
• Een geheimhoudingsplicht.
• Eisen aan de technische en organisatorische beveiliging, denk bijvoorbeeld aan back-ups, EU hosting of twee factor authenticatie.
• Afspraken over het inschakelen van subverwerkers.
• Afspraken over hulp van de verwerker als betrokkenen hun privacyrechten uitoefenen (zoals het recht op inzage, correctie, vergetelheid en dataportabiliteit).
• Dataretentie: hoe lang mag de verwerker de gegevens bewaren en wanneer moet hij deze vernietigen of teruggeven.
• Het recht van de opdrachtgever om de verwerker te controleren op naleving van de afspraken d.m.v. een audit.

Met een privacyverklaring of privacy statement geeft u invulling aan de transparantievereisten uit de AVG. Hierin licht u toe aan degenen in het bestand (en andere belangstellenden) hoe, waarom en welke persoonsgegevens worden verwerkt en welke rechten de mensen in het bestand hebben. In een privacybeleid schrijft u op hoe uw organisatie omgaat met persoonsgegevens in het kader van accountability. De AP zegt hierover: “U moet bijvoorbeeld kunnen aantonen dat een verwerking aan de belangrijkste beginselen van verwerking voldoet, zoals rechtmatigheid, transparantie, doelbinding en juistheid.”

Het zijn geen ondenkbare situaties; het verliezen van een telefoon of USB-stick, een gestolen laptop of vergeten documenten in het openbaar vervoer. De definitie van een datalek is wanneer er ongeoorloofd of onbedoeld toegang is verkregen tot persoonsgegevens. Ook het ongewenst verstrekken, wijzigen, verliezen of vernietigen van persoonsgegevens valt onder een datalek.

De AVG verplicht organisaties ertoe alle beveiligingsincidenten te registreren als hierbij persoonsgegevens gemoeid zijn. Is er een risico voor de privacy van de betrokken mensen?  Dan dient het incident binnen 72 uur eveneens aan de privacy toezichthouder, de Autoriteit Persoonsgegevens (AP), gemeld te worden en ook aan die mensen zelf.

Voor de volledigheid een datalek is dus:

• Een beveiligingsincident;
• Waar persoonsgegevens mee gemoeid zijn;
• Dat mogelijk gevolgen heeft voor de privacy van betrokkene(n).

Indien een organisatie te maken krijgt met een ernstig datalek dienen zij hier een melding van te maken bij de Autoriteit Persoonsgegevens (AP), dit is de meldplicht datalekken. In sommige gevallen moeten ook de betrokkenen van het datalek op de hoogte worden gebracht.

Het melden van een datalek moet binnen 72 uur gebeuren, dit moet gedaan worden bij de Autoriteit Persoonsgegevens. Het melden van het datalek bij de AP kan gedaan worden via een online meldformulier. Wanneer u een datalek moet melden is afhankelijk van de impact van het data lek.

Jaarlijks worden er steeds meer datalekken gemeld. Voorkom dat u een datalek melding moet maken door uw medewerkers te trainen hoe zij met persoonsgegevens om moeten gaan. Mocht u wel te maken krijgen met een datalek dan is het fijn als uw medewerkers op de hoogte zijn van de wet rondom datalekken.

Na het verstrijken van de bewaartermijnen, bijvoorbeeld twee jaar na het beëindigen van de klantrelatie, is het onvoldoende om deze mensen op bijvoorbeeld een suppressielijst of op ‘opt-out’ te zetten want u verwerkt de gegevens dan nog altijd. In principe moet een organisatie alle gegevens die zij heeft verkregen uit de klantrelatie uit de database dan niet meer verwerken en dus verwijderen. Dat betekent het e-mailadres, telefoonnummer, maar in principe ook aankoop- en contacthistorie. Een organisatie mag deze data eventueel wel langer bewaren maar daar moet dan een ander doeleinde voor bestaan zoals bijvoorbeeld vanwege een wettelijke verplichting (de fiscus kent een bewaartermijn van 7 jaar) of als bewijsmateriaal bij klachten. De onrechtmatige daad verjaart immers pas na 5 jaar. De persoonsgegevens die bovenmatig zijn voor deze doeleinden moeten worden verwijderd na het verstrijken van de bewaartermijnen voor marketing.

In principe heeft een klant het recht dit te vragen. Een organisatie hoeft niet in alle gevallen aan dit verzoek te voldoen. Verwijdering kan namelijk niet als het verwerken of bewaren van de gegevens nog noodzakelijk is of voor de doeleinden van de verwerking, denk aan:

• Uitvoering overeenkomst (als de persoon nog klant is).
• Bewaren van gegevens als bewijsmateriaal bij eventuele klachten (de onrechtmatige daad verjaart pas na vijf jaar).
• Met de introductie van SEPA moeten machtigingen tot het uitvoeren van incasso’s tot 14 maanden na uitvoering van de laatste incasso bewaard blijven.
• De wettelijke bewaarplicht van de fiscus, die pas na zeven jaar verjaart.

Let wel dat een organisatie in principe voor ieder veld/variabele de afweging moet maken. Dus als ik ex-klant ben en vraag om gegevens te wissen, kan het zijn dat NAWT en rekeningnummer en aankoophistorie worden bewaard maar dat andere aanvullende data, die niet nodig is voor de punten hierboven wel moet worden gewist.

Met betrekking tot marketing. Ook hier kan iemand vragen om het wissen van zijn gegevens. Dat moet een organisatie doen. Dit is wel iets anders dan het uitoefenen van het Recht van verzet. Indien een consument niet meer door een organisatie benaderd wilt worden is het noodzakelijk dat een organisatie de contactdata bewaren op een suppressielijst.

Op basis van het gerechtvaardigd belang (6f AVG) mogen dochtermaatschappijen onder een holding persoonsgegevens uitwisselen voor  bijvoorbeeld validatie- of direct marketing doeleinden. De consument moet hierover worden geïnformeerd in een privacy statement (op holdingniveau). Dochtermaatschappijen mogen opt-out data die verzameld is op grond van het gerechtvaardigd belang (naam, adres, woonplaats en telefoonnummer) onderling uitwisselen. Dit geldt niet voor opt-in data zoals het e-mailadres en telefoonnummer. Deze mogen alleen worden verwerkt door de juridische entiteit die de opt-in heeft verkregen of een klantrelatie met geadresseerde heeft.

In Artikel 8 van de Algemene Verordening Gegevensbescherming (AVG) wordt de leeftijd van 16 jaar genoemd. Heeft een persoon de leeftijd van 16 jaar nog niet bereikt, dan heeft een organisatie toestemming van de ouders nodig voor het gebruik van het e-mailadres voor commerciële, ideële of charitatieve doeleinden. Is toestemming niet nodig, bijvoorbeeld omdat er geen e-mailadres wordt verzameld, maar alleen reguliere adresgegevens, dan moet er altijd wel worden geïnformeerd wat er met de gegevens gaat gebeuren. Voor kinderen jonger dan 16 jaar geldt dat de ouders moeten worden geïnformeerd over wat er gedaan wordt met de gegevens en waar men terecht kan bij eventuele vragen en/of bezwaar.

De AP zegt in het algemeen over hergebruik van persoonsgegevens:

Het feit dat persoonsgegevens op internet staan, betekent niet dat ze zomaar opnieuw gebruikt mogen worden in een andere context, voor een ander doeleinde. Het nieuwe doel moet verenigbaar zijn met het oude doel en de verantwoordelijke dient een zelfstandige rechtvaardigingsgrond te hebben voor de publicatie.

Die rechtvaardigingsgrond betekent in feite dat de organisatie een gerechtvaardigd belang moet hebben voor het scrapen. Dat kan marketing zijn. En vervolgens moet dit belang zwaarder wegen dan het privacybelang van  de consument. Dat zal erg afhangen van het ‘type’ data dat gescraped wordt. Een verrijking met data uit openbare bronnen zoals Funda kan vaak weer niet. Bovendien is het zo dat het feit dat iemand ervoor kiest zijn woning vrij toegankelijk via internet te koop aan te bieden, geen “instemming” voor hergebruik van die gegevens inhoudt. Indien u uw database verrijkt met persoonsgegevens uit openbare bron, is privacywetgeving van toepassing en dient u daarover te informeren. Dat informeren kunt u bewerkstelligen door in het privacy statement aan te geven dat de database eventueel wordt verrijkt met informatie uit een openbare bron (kvk, kadaster etc). Daarnaast is het van belang om na te gaan of de gebruiksvoorwaarden van de bron hergebruik toestaan.