Privacy in de praktijk - Gebruik de gegevens alleen op één van de in de wet vermelde gronden.

A. De grondslagen voor het verwerken van persoonsgegevens

Om rechtmatig persoonsgegevens te kunnen verwerken, is het nodig dat die verwerking is gebaseerd op een rechtvaardige grondslag. Dat is onder de huidige Wet bescherming persoonsgegevens (Wbp) het geval en dat zal straks onder de nieuwe AVG (of: GDPR) niet anders zijn. In de Wbp worden diverse grondslagen genoemd voor het verwerken van persoonsgegevens. In artikel 8 Wbp is een limitatieve opsomming opgenomen van de gronden die een gegevensverwerking rechtvaardigen. Het betreft de navolgende gronden:

1. Toestemming betrokkene;
2. Noodzakelijk voor de uitvoering van een overeenkomst;
3. Wettelijke verplichting;
4. Vitaal belang van de betrokkene;
5. Uitvoeren van een publiekrechtelijke taak;
6. Gerechtvaardigd belang van de verantwoordelijke.

Een verwerking van persoonsgegevens moet steeds worden gebaseerd op één van de deze grondslagen. Kan dit niet, dan is het niet toegestaan om persoonsgegevens te verwerken. Op de website van de Autoriteit Persoonsgegevens (AP) staat een aantal (voorbeeld) vragen met antwoorden opgenomen die u kunt raadplegen. Ook onder de Algemene Verordening Gegevensbescherming (AVG), die op 25 mei 2018 van toepassing is , blijven deze gronden volledig relevant (art. 6 AVG). De verwerkingsgrondslagen zullen hierna één voor één worden besproken.

Toestemming betrokkene

Indien een betrokkene ondubbelzinnig zijn toestemming heeft gegeven is het u toegestaan om de persoonsgegevens te verwerken. Een schriftelijke toestemming is weliswaar niet vereist, maar verdient bewijstechnisch wel de sterke voorkeur. De toestemming dient aan een aantal punten te voldoen:

• De betrokkene moet zijn wil in vrijheid hebben geuit;
• De toestemming moet zijn gericht op bepaalde gegevensverwerkingen (moet dus specifiek zijn en niet algemeen);
• De toestemming moet ondubbelzinnig zijn.

U dient er rekening mee te houden dat eenmaal verleende toestemming altijd kan worden ingetrokken en u moet de betrokkene ook altijd die mogelijkheid bieden. Ook moet u er vanuit gaan dat in de relatie werkgever-werknemer de werknemer geen vrijwillige toestemming kan geven, omdat hij een afhankelijke positie heeft. Om deze redenen moet de grondslag “toestemming” zoveel mogelijk vermeden worden en verdient het de voorkeur om een gegevensverwerking te baseren op één van de overige grondslagen.

Noodzakelijk voor de uitvoering van een overeenkomst

Indien u met een partij een overeenkomst hebt gesloten mag u -voor zover dat noodzakelijk is om de overeenkomst uit te kunnen voeren- de persoonsgegevens van diegene verwerken. Ook in de precontractuele fase mogen persoonsgegevens worden verwerkt indien de betrokkene verzoekt om handelingen waarbij persoonsgegevens worden verwerkt en de handelingen noodzakelijk zijn om de overeenkomst te kunnen sluiten. Een voorbeeld is het aanvragen van een persoonlijke lening door een betrokkene bij een bank. De verwerking van persoonsgegevens is in een dergelijk geval noodzakelijk om een offerte uit te kunnen brengen en om vervolgens een overeenkomst te kunnen sluiten.

Wettelijke verplichting

De verwerking van persoonsgegevens is toegestaan indien dit noodzakelijk is voor de uitvoering van een wettelijke verplichting. Zonder de verwerking van persoonsgegevens moet het uitvoeren van een wettelijke verplichting niet mogelijk zijn. Een voorbeeld is het verwerken van persoonsgegevens van medewerkers om aangifte loonbelasting te doen.

Vitaal belang van de betrokkene

Een gegevensverwerking is toegestaan als het voor het vitaal belang van de betrokkene noodzakelijk is dat de persoonsgegevens worden verwerkt. Er dient een dringende medische noodzaak aanwezig te zijn om de persoonsgegevens van de betrokkene te verwerken. Een voorbeeld is wanneer direct medische hulp nodig is vanwege een ongeval waarbij een betrokkene buiten bewustzijn is geraakt.

Uitvoeren van een publiekrechtelijke taak

Op deze grondslag kunnen persoonsgegevens worden verwerkt als dit noodzakelijk is voor een goede vervulling van een publiekrechtelijke taak; door uzelf als bestuursorgaan of door een bestuursorgaan waaraan de gegevens worden verstrekt. Een voorbeeld is het behandelen van bezwaarschriften door bestuursorganen.

Gerechtvaardigd belang van de verantwoordelijke

Het is toegestaan persoonsgegevens te verwerken als dat noodzakelijk is voor een gerechtvaardigd belang van de verantwoordelijke of een derde, tenzij de belangen of fundamentele belangen van de betrokkene prevaleren. Veel bedrijven zullen met een beroep op deze grondslag persoonsgegevens verwerken in het belang van het verrichten van hun reguliere bedrijfsactiviteiten . De vraag moet daarbij steeds worden gesteld (a) of met minder gegevens, of (b) via een minder ingrijpende weg hetzelfde resultaat kan worden bereikt.

B. Accountability

Uitgaande van een rechtmatige verwerking van de persoonsgegevens, is de vraag wat over de gegevensverwerking vastgelegd moet worden. Nieuw in de AVG is het beginsel van accountability, letterlijk: verantwoording afleggen, oftewel het nemen van passende maatregelen om compliance te waarborgen en aan te tonen. De (zeven) verplichtingen gelden voor de verwerkingsverantwoordelijke en de verwerker (voorheen: de verantwoordelijke en de bewerker; de termen zijn ietwat aangepast, maar de betekenis is ongewijzigd):

1. Privacy by design en by default;
2. Verwerkersovereenkomst;
3. Verwerkingenregister;
4. Beveiligingseisen en meldplicht datalekken;
5. Privacy Impact Assessment (PIA);
6. Functionaris Gegevensbescherming (FG/Data Protection Officer (DPO);
7. Gedragscodes en certificeringen.

Privacy by design en by default

Dit houdt in dat u al bij de ontwikkeling van producten en diensten en vervolgens ook bij de verkoop daarvan stil moet staan bij het nemen van maatregelen om de privacy van gebruikers c.q. kopers te beschermen en om compliance met de AVG te waarborgen. zowel door ontwerp (by design) als door standaardinstellingen (by default).

Verwerkersovereenkomst (voorheen: de bewerkersovereenkomst)

De verwerkersovereenkomst maakt onderdeel uit van de dienstverleningsovereenkomst tussen de verwerkingsverantwoordelijke en de verwerker. In de AVG zijn de formele eisen aan de inhoud van een verwerkersovereenkomst vastgelegd:

• Verwerking op grond van schriftelijke instructies verwerkingsverantwoordelijke;
• Geheimhoudingsverplichting medewerkers;
• Technische en organisatorische beveiligingsmaatregelen (TOMs);
• Voorwaarden aan inschakelen sub-verwerkers;
• Bijstand bij nakoming beveiliging en meldplicht datalekken;
• Bijstand bij gevolgen rechten van betrokkenen;
• Plicht tot verwijdering na einde verwerkersovereenkomst;
• Accountability en audit-verplichtingen.

Verwerkingenregister

Vrijwel iedere organisatie moet (intern) een schriftelijk of elektronisch register van verwerkingsactiviteiten bijhouden. De verantwoordingsplicht is niet van toepassing bij organisaties met minder dan 250 werknemers, wanneer er alleen incidentele verwerkingen plaatsvinden, en wanneer geen bijzondere gegevens worden verwerkt. In de meeste gevallen zal echter ook binnen organisaties met minder dan 250 werknemers sprake zijn van verwerkingen die veelvuldig voorkomen (en dus niet incidenteel zijn), zodat ook voor de meeste van deze kleinere organisaties de verantwoordingsplicht geldt. Het register vervangt de bestaande algemene meldplicht bij de toezichthouder (AP). Het register bevat alle navolgende gegevens:

• Naam- en contactgegevens verwerkingsverantwoordelijke;
• Verwerkingsdoeleinden;
• Categorieën betrokkenen;
• Categorieën persoonsgegevens;
• Categorieën ontvangers;
• Doorgifte aan derde landen;
• Beoogde bewaartermijnen;
• Algemene beschrijving Technische en Organisatorische beveiligingsmaatregelen (TOMs).

Beveiligingseisen en meldplicht datalekken

De beveiligingseisen in de AVG zijn grotendeels conform de CBP Richtsnoeren uit 2013, en garanderen vertrouwelijkheid, integriteit, beschikbaarheid en flexibiliteit van het systeem. De meldplicht datalekken (die wij in Nederland al vanaf 1 januari 2016 kennen) houdt in dat u direct een melding bij de AP moet doen zodra er een ernstig datalek is. Er is sprake van een datalek als data in handen (kunnen) vallen van derden die geen toegang zouden mogen hebben. Voorbeelden zijn: een gestolen laptop, malware-besmetting en inbraak door een hacker.

Privacy Impact Assessment (PIA)

Een PIA (oftewel: gegevensbeschermingseffectbeoordeling) is een analyse van de impact van een product of project op de privacy. Een PIA is verplicht als er waarschijnlijk een hoog risico is voor de privacy door de verwerking (met name bij nieuwe technologieën).

Functionaris Gegevensbescherming (FG/DPO)

Onder de AVG kunt u verplicht zijn een FG aan te stellen. Voor overheidsorganisaties en andere organisaties -van wie de kernactiviteiten op grote schaal, regelmatige en stelselmatige monitoring vereisen, of die belast zijn met grootschalige verwerking (als kernactiviteit) van bijzondere persoonsgegevens (denk bijvoorbeeld aan zorginstellingen)- is de aanstelling van een FG verplicht. Aan de FG worden onder de AVG specifieke, minimale eisen gesteld en taken opgedragen.

Gedragscodes en certificeringen

Een branche of sector kan zich aansluiten bij gedragscodes en certificeringen als middel om hun compliance met de AVG aan te tonen. Een voorbeeld zijn de certificeringen die betrekking hebben op de beveiligingseisen. Nieuw onder de AVG is de invoering van certificeringsmechanismen, waarmee door verwerkingsverantwoordelijken kan worden aangetoond dat bij verwerkingen in overeenstemming met de AVG wordt gehandeld.

Conclusie

De grondslagen voor het verwerken van persoonsgegevens blijven onder de AVG bestaan. Het beginsel van accountability is nieuw in de AVG en houdt onder meer in dat u als verwerkingsverantwoordelijke moet kunnen laten zien welke verwerkingen binnen uw organisatie plaatsvinden (verwerkingsregister). Indien u meer wilt weten over de grondslagen voor het verwerken van persoonsgegevens of het beginsel van accountability, neem dan contact op met het IT- en privacyteam van Ploum.

Lees meer artikelen in deze reeks:

• Privacy in de praktijk - De zeven vuistregels
• Gebruik de gegevens alleen op één van de in de wet vermelde gronden
• Gebruik gegevens alleen voor het doel waarvoor je ze hebt verkregen
• Hoe privacygevoeliger de informatie, des te minder er mag
• Beveilig gegevens voldoende tegen verlies of onbevoegde toegang en meld eventuele datalekken
• Regel voldoende waarborgen als je persoonsgegevens aan derden verstrekt
• Vertel de betrokkene wat u doet met zijn gegevens (checklist privacyverklaring)
• Proportionaliteit en subsidiariteit

Voor meer vragen over dit onderwerp kunt u terecht bij ons IT- en privacy team.