Juridische documenten Privacy, Privacy
Voor een goede bescherming van persoonsgegevens is het noodzakelijk om bij het begin te beginnen. Dus ga je aan de slag met privacy: begin bij het begin. Sta daarvoor stil bij de volgende drie vragen: Wat is mijn product of dienst? Welke persoonsgegevens heb ik daarvoor nodig, inclusief de marketing die ik wil en het kunnen verbeteren van product, dienst, processen e.d.? Waarbij dan geldt dat veel kan, maar het wel de vraag is of je alles moet doen. Dat is de derde vraag: moet ik deze persoonsgegevens wel willen verwerken of kan het ook anders? Pas na deze praktische en ethische vragen wordt interessant te kijken welke persoonsgegevens je nu eigenlijk verwerkt en zijn de juridische en technische vragen relevant.
Begin dus niet bij wat je al hebt. Want wat je hebt, vind je lastig om weg te doen. Begin dus bij te bepalen wat je nodig hebt (praktisch én ethisch bezien). Pas daarna ga je onderzoeken hoe dat in te passen is in de privacywetgeving, waarbij ook geldt dat meer kan dan nu soms geschetst wordt. Creatieve oplossingen zijn vrijwel altijd te vinden. Ik geloof dat je op deze manier pas echt recht doet aan de bescherming van persoonsgegevens en de beginselen die ten grondslag liggen aan de privacywetgeving.
Privacy
De Algemene Verordening Gegevensbescherming bestaat voor een groot deel uit open normen. De beginselen in de AVG zijn de leidraad voor de manier waarop je organisatie invulling kan geven aan de bescherming van persoonsgegevens. Maar om welke beginselen gaat het nu eigenlijk?
Beschermingsgedachte
Het belangrijkste beginsel is de beschermingsgedachte. De reden voor het opstellen van de AVG is gelegen in de wens om de gegevens van individuele mensen te beschermen op het moment dat organisaties onze gegevens gebruiken. Het is eigenlijk een kwestie van het rechtzetten van ongelijke machtsverhoudingen. Waarom het nodig is je dit te realiseren? Omdat je je telkens de vraag moet stellen: bescherm ik mijn klanten, mijn medewerkers, mijn leveranciers wel voldoende of kan ik het nog veiliger maken? Het gaat hierbij niet alleen om security, maar juist ook om het waarborgen van de volgende beginselen.
Rechtmatig, behoorlijk en transparant
Voor een rechtmatige en behoorlijke verwerking moet je een grondslag hebben. Als je geen grondslag hebt, dan mag je geen persoonsgegevens verwerken. Er zijn er zes:
1. toestemming
2. overeenkomst
3. wettelijke plicht
4. overheidstaak
5. bescherming vitale belangen betrokkene
6. gerechtvaardigd belang
Ook moet je je houden aan de beginselen en andere regels uit de AVG en daarbij behorende regelgeving. Transparant zijn betekent dat je duidelijk vertelt wat je doet, hoe en waarom.
Doelbinding
Van te voren bedenk je waarvoor je gegevens wilt gaan gebruiken, voor welke doelen. En als je de gegevens daarna voor iets anders wilt gaan gebruiken, dan is dat niet iets wat zomaar kan. Doelbinding betekent dat je gegevens in principe alleen mag gebruiken voor datgene wat je van te voren hebt verteld en voor andere verwerkingen die daarmee niet onverenigbaar zijn. Dit laatste betekent dat een analyse moet maken, waarbij de redelijke verwachtingen van je klanten, medewerkers en leveranciers een belangrijke graadmeter zijn.
Dataminimalisatie
We hebben allemaal de menselijke neiging om maar zoveel mogelijk data (en spullen) te verzamelen voor het geval dat we het ooit een keer nodig zouden hebben. De AVG verwacht echter (terecht) dat we zo min mogelijk gegevens verwerken en alleen datgene wat nodig is. Dit is niet altijd even makkelijk, zeker niet bij het gebruik van software die door een externe ontwikkeld is. Wat het belang van privacy by design en privacy by default onderstreept. Hoe minder gegevens je gebruikt, hoe kleiner het risico is bij een eventueel datalek.
Juistheid
De gegevens die je verwerkt moeten volledig, actueel en correct zijn. Onjuiste gegevens moet je aanpassen of verwijderen. Het is van belang om te zorgen dat je een goed werkend proces hiervoor hebt ingericht.
Opslagbeperking
Je mag de gegevens zolang bewaren als je nodig hebt voor het doel. In Nederland zijn enkele wettelijke bewaartermijnen, maar voor de meeste gegevens zal je hiervoor zelf een afweging moeten maken. Hieraan gekoppeld zit ook het belang dat gegevens beschikbaar moeten zijn en blijven zolang als je deze nodig hebt voor het doel. Het treffen van maatregelen, zoals het hebben van een back-up, is hiervoor nodig. Samen met het beginsel van dataminimalisatie zorgt het beginsel van opslagbeperking ervoor dat de risico’s en eventuele financiële gevolgen bij een datalek kleiner worden.
Integriteit en vertrouwelijkheid
Je moet de gegevens die je verwerkt beveiligen tegen een verwerking door iemand die niet jouw bedoeling is (bijvoorbeeld inzage of verandering door een hacker of een medewerker van een andere afdeling) en tegen verlies of vernietiging (bijvoorbeeld een computercrash of het kwijtraken van een USB-stick). Het gaat erom te zorgen voor het behouden van het vertrouwelijke karakter en de juistheid van de gegevens, waarbij uiteraard een rol speelt wat voor een soort gegevens het zijn.
Verantwoordingsplicht
Je zult als ondernemer moeten kunnen uitleggen welke keuzes je hebt gemaakt en waarom en hoe je recht hebt gedaan aan de beschermingsgedachte van de AVG en de genoemde beginselen. Onderdeel van je verantwoordingsplicht is dat je een aantal documenten verplicht moet hebben in je organisatie.
Vragen of hulp nodig in je organisatie? Neem contact met ons op of plan een telefonisch kennismakingsgesprek in.
Privacy
Toestemming is een van de grondslagen waarop een verwerking gebaseerd kan worden. Het is ook een grondslag die het vaak verkeerd wordt gebruikt. Op het eerste oog is er een voor de hand liggende en transparante grondslag. Je vraagt direct aan de betrokkene toestemming en hoeft zo geen moeilijke onderbouwingen voor een verwerking te bedenken. Het gebruik van toestemming als grondslag brengt een aantal valkuilen met zich mee.
Valkuil 1
De toestemming moet specifiek zijn en de persoon moet vooraf geïnformeerd zijn, maar het verwerken van persoonsgegevens kan meerdere doeleinden hebben. Voor elk doel an sich moet de betrokkene dan uitgebreid geïnformeerd worden en toestemming geven. Je mag bijvoorbeeld niet in algemene zin toestemming vragen voor meerdere verwerkingen. Het moet duidelijk zijn voor welke verwerkingen iemand toestemming geeft. Ook als de informatievoorziening niet goed genoeg is, zal de verwerking onrechtmatig zijn.
Valkuil 2
De toestemming kan worden ingetrokken, en het geven van toestemming moet net zo makkelijk zijn als het intrekken daarvan. Je moet de betrokkene daarvan van tevoren op de hoogte brengen. Op het moment dat de betrokkene zijn toestemming intrekt, dan is er geen grondslag meer voor de verwerking. Het is ook niet mogelijk de verwerking op dat moment met een andere grondslag te onderbouwen, wat betekent dat de gehele verwerking onrechtmatig is na intrekking van de toestemming en je de verwerking zult moeten beëindigen.
Valkuil 3
Er worden
strenge eisen gesteld aan een geldige toestemming. Een belangrijke eis is dat
mensen vrij moeten zijn om toestemming te geven. En dus ook om toestemming te
weigeren. Een toestemming is niet vrij als iemand geen echte of vrije keuze
heeft. Of als diegene toestemming niet kan weigeren zonder nadelige gevolgen. Het
schoolvoorbeeld hiervan is indien een website niet gebruikt kan worden zonder
toestemming te geven voor cookies. Een andere mogelijkheid is als een bepaalde
druk ervoor zorgt dat de betrokkene het gevoel heeft niet vrij te kunnen
beslissen. Bijvoorbeeld in geval van een machtsverschil. In de verhouding
werkgever/werknemer wordt de grondslag toestemming niet aangenomen.
Hoewel toestemming
een makkelijke en betrouwbare grondslag lijkt, komt er heel wat bij kijken om toestemming
te gebruiken als geldige grondslag. Je kunt deze grondslag het beste alleen gebruiken
als je geen van de andere grondslagen kan gebruiken.
Hulp nodig bij het bepalen van de juiste grondslag bij je verwerkingen? Wij denken graag met je mee. Neem contact met ons op of plan een telefonisch kennismakingsgesprek in.
Recente reacties