26 jan '18
Om rechtmatig persoonsgegevens te kunnen verwerken, is het nodig dat die verwerking is gebaseerd op een rechtvaardige grondslag. Dat is onder de huidige Wet bescherming persoonsgegevens (Wbp) het geval en dat zal straks onder de nieuwe AVG (of: GDPR) niet anders zijn. In de Wbp worden diverse grondslagen genoemd voor het verwerken van persoonsgegevens. In artikel 8 Wbp is een limitatieve opsomming opgenomen van de gronden die een gegevensverwerking rechtvaardigen. Het betreft de navolgende gronden:
Een verwerking van persoonsgegevens moet steeds worden gebaseerd op één van de deze grondslagen. Kan dit niet, dan is het niet toegestaan om persoonsgegevens te verwerken. Op de website van de Autoriteit Persoonsgegevens (AP) staat een aantal (voorbeeld) vragen met antwoorden opgenomen die u kunt raadplegen. Ook onder de Algemene Verordening Gegevensbescherming (AVG), die op 25 mei 2018 van toepassing is , blijven deze gronden volledig relevant (art. 6 AVG). De verwerkingsgrondslagen zullen hierna één voor één worden besproken.
Indien een betrokkene ondubbelzinnig zijn toestemming heeft gegeven is het u toegestaan om de persoonsgegevens te verwerken. Een schriftelijke toestemming is weliswaar niet vereist, maar verdient bewijstechnisch wel de sterke voorkeur. De toestemming dient aan een aantal punten te voldoen:
U dient er rekening mee te houden dat eenmaal verleende toestemming altijd kan worden ingetrokken en u moet de betrokkene ook altijd die mogelijkheid bieden. Ook moet u er vanuit gaan dat in de relatie werkgever-werknemer de werknemer geen vrijwillige toestemming kan geven, omdat hij een afhankelijke positie heeft. Om deze redenen moet de grondslag “toestemming” zoveel mogelijk vermeden worden en verdient het de voorkeur om een gegevensverwerking te baseren op één van de overige grondslagen.
Indien u met een partij een overeenkomst hebt gesloten mag u -voor zover dat noodzakelijk is om de overeenkomst uit te kunnen voeren- de persoonsgegevens van diegene verwerken. Ook in de precontractuele fase mogen persoonsgegevens worden verwerkt indien de betrokkene verzoekt om handelingen waarbij persoonsgegevens worden verwerkt en de handelingen noodzakelijk zijn om de overeenkomst te kunnen sluiten. Een voorbeeld is het aanvragen van een persoonlijke lening door een betrokkene bij een bank. De verwerking van persoonsgegevens is in een dergelijk geval noodzakelijk om een offerte uit te kunnen brengen en om vervolgens een overeenkomst te kunnen sluiten.
De verwerking van persoonsgegevens is toegestaan indien dit noodzakelijk is voor de uitvoering van een wettelijke verplichting. Zonder de verwerking van persoonsgegevens moet het uitvoeren van een wettelijke verplichting niet mogelijk zijn. Een voorbeeld is het verwerken van persoonsgegevens van medewerkers om aangifte loonbelasting te doen.
Een gegevensverwerking is toegestaan als het voor het vitaal belang van de betrokkene noodzakelijk is dat de persoonsgegevens worden verwerkt. Er dient een dringende medische noodzaak aanwezig te zijn om de persoonsgegevens van de betrokkene te verwerken. Een voorbeeld is wanneer direct medische hulp nodig is vanwege een ongeval waarbij een betrokkene buiten bewustzijn is geraakt.
Op deze grondslag kunnen persoonsgegevens worden verwerkt als dit noodzakelijk is voor een goede vervulling van een publiekrechtelijke taak; door uzelf als bestuursorgaan of door een bestuursorgaan waaraan de gegevens worden verstrekt. Een voorbeeld is het behandelen van bezwaarschriften door bestuursorganen.
Het is toegestaan persoonsgegevens te verwerken als dat noodzakelijk is voor een gerechtvaardigd belang van de verantwoordelijke of een derde, tenzij de belangen of fundamentele belangen van de betrokkene prevaleren. Veel bedrijven zullen met een beroep op deze grondslag persoonsgegevens verwerken in het belang van het verrichten van hun reguliere bedrijfsactiviteiten . De vraag moet daarbij steeds worden gesteld (a) of met minder gegevens, of (b) via een minder ingrijpende weg hetzelfde resultaat kan worden bereikt.
Uitgaande van een rechtmatige verwerking van de persoonsgegevens, is de vraag wat over de gegevensverwerking vastgelegd moet worden. Nieuw in de AVG is het beginsel van accountability, letterlijk: verantwoording afleggen, oftewel het nemen van passende maatregelen om compliance te waarborgen en aan te tonen. De (zeven) verplichtingen gelden voor de verwerkingsverantwoordelijke en de verwerker (voorheen: de verantwoordelijke en de bewerker; de termen zijn ietwat aangepast, maar de betekenis is ongewijzigd):
Dit houdt in dat u al bij de ontwikkeling van producten en diensten en vervolgens ook bij de verkoop daarvan stil moet staan bij het nemen van maatregelen om de privacy van gebruikers c.q. kopers te beschermen en om compliance met de AVG te waarborgen. zowel door ontwerp (by design) als door standaardinstellingen (by default).
De verwerkersovereenkomst maakt onderdeel uit van de dienstverleningsovereenkomst tussen de verwerkingsverantwoordelijke en de verwerker. In de AVG zijn de formele eisen aan de inhoud van een verwerkersovereenkomst vastgelegd:
Vrijwel iedere organisatie moet (intern) een schriftelijk of elektronisch register van verwerkingsactiviteiten bijhouden. De verantwoordingsplicht is niet van toepassing bij organisaties met minder dan 250 werknemers, wanneer er alleen incidentele verwerkingen plaatsvinden, en wanneer geen bijzondere gegevens worden verwerkt. In de meeste gevallen zal echter ook binnen organisaties met minder dan 250 werknemers sprake zijn van verwerkingen die veelvuldig voorkomen (en dus niet incidenteel zijn), zodat ook voor de meeste van deze kleinere organisaties de verantwoordingsplicht geldt. Het register vervangt de bestaande algemene meldplicht bij de toezichthouder (AP). Het register bevat alle navolgende gegevens:
De beveiligingseisen in de AVG zijn grotendeels conform de CBP Richtsnoeren uit 2013, en garanderen vertrouwelijkheid, integriteit, beschikbaarheid en flexibiliteit van het systeem. De meldplicht datalekken (die wij in Nederland al vanaf 1 januari 2016 kennen) houdt in dat u direct een melding bij de AP moet doen zodra er een ernstig datalek is. Er is sprake van een datalek als data in handen (kunnen) vallen van derden die geen toegang zouden mogen hebben. Voorbeelden zijn: een gestolen laptop, malware-besmetting en inbraak door een hacker.
Een PIA (oftewel: gegevensbeschermingseffectbeoordeling) is een analyse van de impact van een product of project op de privacy. Een PIA is verplicht als er waarschijnlijk een hoog risico is voor de privacy door de verwerking (met name bij nieuwe technologieën).
Onder de AVG kunt u verplicht zijn een FG aan te stellen. Voor overheidsorganisaties en andere organisaties -van wie de kernactiviteiten op grote schaal, regelmatige en stelselmatige monitoring vereisen, of die belast zijn met grootschalige verwerking (als kernactiviteit) van bijzondere persoonsgegevens (denk bijvoorbeeld aan zorginstellingen)- is de aanstelling van een FG verplicht. Aan de FG worden onder de AVG specifieke, minimale eisen gesteld en taken opgedragen.
Een branche of sector kan zich aansluiten bij gedragscodes en certificeringen als middel om hun compliance met de AVG aan te tonen. Een voorbeeld zijn de certificeringen die betrekking hebben op de beveiligingseisen. Nieuw onder de AVG is de invoering van certificeringsmechanismen, waarmee door verwerkingsverantwoordelijken kan worden aangetoond dat bij verwerkingen in overeenstemming met de AVG wordt gehandeld.
De grondslagen voor het verwerken van persoonsgegevens blijven onder de AVG bestaan. Het beginsel van accountability is nieuw in de AVG en houdt onder meer in dat u als verwerkingsverantwoordelijke moet kunnen laten zien welke verwerkingen binnen uw organisatie plaatsvinden (verwerkingsregister). Indien u meer wilt weten over de grondslagen voor het verwerken van persoonsgegevens of het beginsel van accountability, neem dan contact op met het IT- en privacyteam van Ploum.
Lees meer artikelen in deze reeks:
Voor meer vragen over dit onderwerp kunt u terecht bij ons IT- en privacy team.
20 dec 24
18 dec 24
10 dec 24
04 dec 24
29 nov 24
25 nov 24
19 nov 24
13 nov 24
11 nov 24
07 nov 24
01 nov 24
21 okt 24
Met uw inschrijving blijft u op de hoogte van de laatste juridische ontwikkelingen op dit gebied. Vul hieronder uw gegevens in om per e-mail op te hoogte te blijven.
Blijf op de hoogte van de laatste juridische ontwikkelingen in uw sector. Vul hieronder uw gegevens in om op maat gesneden juridische updates en uitnodigingen voor evenementen te ontvangen.
Volgen wat u interessant vindt
Krijg aanbevelingen op basis van uw interesses
{phrase:advantage_3}
{phrase:advantage_4}
We vragen u om uw voor- en achternaam zodat wij die kunnen gebruiken als u zich bijvoorbeeld inschrijft op een Ploum Kennisevent.
Er wordt automatisch een wachtwoord voor u aangemaakt. Zodra uw account is aangemaakt ontvangt u dit wachtwoord in een welkomstmail. U kunt er direct mee inloggen. Dit wachtwoord kunt u indien gewenst ook zelf aanpassen via de wachtwoord vergeten functie.