Menu
JPR Advocaten

Privacyrecht

Privacyrecht

Privacy is een ‘hot topic’ tegenwoordig. Steeds meer bedrijven en organisaties zien dat data het nieuwe goud is en maken dan ook dankbaar gebruik van het feit dat data voor het oprapen ligt. Het ligt voor de hand dat dit haaks kan staan op het privacyrecht van degenen wiens gegevens verzameld worden. De behoefte aan een sluitende privacywet, die duidelijkheid schept in wat wel en niet is toegestaan in dit spanningsveld, is hoog. Bent u op zoek naar een advocaat privacyrecht? JPR Advocaten geeft u uitleg, advies en tips die u, als bedrijf of betrokkene, kunnen helpen uw positie te verduidelijken.

Algemene Verordening Gegevensbescherming

De General Data Protection Regulation zal op een Europees niveau voorzien in waarborgen op het gebied van privacy. In Nederland is dit door middel van de  Algemene Verordening Gegevensbescherming (AVG) geregeld. De AVG heeft vanaf 25 mei 2018 de Wet Bescherming Persoonsgegevens vervangen.

De AVG is van toepassing op het verwerken van persoonsgegevens. Maar wat zijn persoonsgegevens? Volgens de letter van de wet gaat het om ‘alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon’. Uit de gegevens kan worden opgemaakt dat deze betrekking hebben op een specifiek persoon. Dat kan op een directe wijze, zoals aan de hand van een naam. Het kan echter ook op indirecte wijze, zoals aan de hand van locatiegegevens of een online identificator. Bovendien geldt er een speciaal regime voor bijzondere persoonsgegevens. Het gaat dan bijvoorbeeld om godsdienst, ras of gezondheidsgegevens.

Het tweede criterium voor het van toepassing zijn van de AVG, is of de persoonsgegevens verwerkt worden. Dit is vrij snel het geval. Een verwerking wordt gedefinieerd als ‘een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens’. Gedacht kan worden aan het verzamelen, opslaan, wijzigen of vernietigen van persoonsgegevens.

Wanneer is verwerking rechtmatig?

Hoewel het logisch klinkt dat de verwerking van persoonsgegevens rechtmatig moet zijn, gaat dit nog vaak verkeerd bij bedrijven. De AVG, net zoals ook gold onder de Wet Bescherming Persoonsgegevens, beoogt te bewerkstelligen dat de verwerking plaatsvindt op een behoorlijke en transparante wijze, waarbij er wordt verwerkt op een rechtmatige grondslag. Deze grondslagen zijn limitatief opgenomen in de AVG, waarbij de toestemming van de betrokkene voor het verwerken van zijn of haar gegevens doorgaans het meest gebruikt wordt.

Een ander veel gebruikte grondslag is het gerechtvaardigd belang. Wanneer u als organisatie een gerechtvaardigd belang heeft om de persoonsgegevens van een betrokkene te verwerken, is het mogelijk om zelfs zonder toestemming van de betrokkene de gegevens te gebruiken. Een mogelijk voorbeeld van een gerechtvaardigd belang is een marketingactie. Ook de grondslag uitvoering van de overeenkomst is een veel gebruikte grondslag. Wanneer organisaties goed stil staan bij de verwerking van persoonsgegevens zal blijken dat zij vaak niet eens toestemming nodig hebben van de betrokkene, aangezien de persoonsgegevens noodzakelijk zijn voor de uitvoering van de overeenkomst. Denk hierbij aan de noodzakelijkheid van de adresgegevens om een product te kunnen bezorgen.

Het toestemmingsvereiste is onder de AVG nog eens flink aangescherpt. De toestemming is slechts rechtsgeldig gegeven, wanneer deze vrijelijk door de betrokkene is gegeven. Daarbij is een waarborg voor de betrokkene ingebouwd. De betrokkene kan de toestemming op elk moment weer kan intrekken. De AVG stelt bovendien nog hogere eisen aan het krijgen van toestemming van minderjarigen, nu het uitgangspunt is dat deze nog niet in staat worden geacht bekend te zijn met de consequenties van het geven van toestemming. Wordt er gewerkt met persoonsgegevens van minderjarigen, wees dan kritisch op de eisen die de AVG stelt aan het toestemmingsvereiste.

Tot slot geldt voor bijzondere persoonsgegevens een zwaarder criterium: toestemming is slechts rechtsgeldig indien deze uitdrukkelijk wordt gegeven. Het veronderstellen van toestemming door een ondubbelzinnige uiting is derhalve niet meer voldoende.

Strengere (voorzorgs)maatregelen

Met het oog op ‘voorkomen is beter dan genezen’ voorziet de AVG ook in strenge (voorzorgs)maatregelen, die voor enkele organisaties zelfs verplicht zijn. Zo kan het voorkomen dat uw organisatie verplicht is om een Functionaris Gegevensbescherming te benoemen. Een Functionaris Gegevensbescherming zal  het beleid van met betrekking tot de verwerking van persoonsgegevens in de gaten dient te houden. Overheden zijn verplicht een Functionaris Gegevensbescherming aan te stellen, maar ook bijvoorbeeld organisaties die veel bijzondere gegevens verwerken dienen een FG aan te wijzen.

Verder verlangt de AVG dat organisaties voor bewustwording zorgen. Verlangd wordt dat medewerkers op de hoogte zijn van de privacyregels en de rechten die betrokkenen hebben. De ideale situatie is dat men voorafgaand aan de verwerking van persoonsgegevens, stil staat bij de mogelijke privacyrisico’s. Dit kan door het uitvoeren van een data protection impact assessment, waardoor voorafgaand de privacyrisico’s in kaart worden gebracht. Op grond van deze uiteenzetting kunnen maatregelen getroffen worden om de risico’s te verkleinen. Het is dan ook verstandig om, voordat u uw product lanceert, deze al privacyvriendelijk in te richten. De producten worden dan aangeboden op grond van beginselen van privacy by design dan wel privacy by default.

Een andere maatregel is de invoering van de documentatieplicht. Organisaties met in beginsel meer dan 250 werknemers zijn verplicht een register bij te houden waarin zij alle verwerkingen en soorten persoonsgegevens opnemen. Verwerkt uw organisatie structureel ook bijzondere gegevens, hier komt u al snel aan zodra u werknemers in dienst heeft, dan geldt de verplichting tot het bijhouden van een register ook voor u. Ook moeten de getroffen beveiligingsmaatregelen, bewaartermijnen en subbewerkers hierin worden opgenomen. Verder verdient het aanbeveling een gegevensbeschermingsbeleid op te stellen.

Naast voormelde maatregelen verlangt de AVG van ondernemers dat zij organisatorische en technische maatregelen treffen om de persoonsgegevens te beschermen. Het is dan ook van belang regelmatig de digitale beveiliging kritisch tegen het licht aan te houden, want dit maakt de kans op beveiligingsincidenten die een meldingswaardig datalek opleveren kleiner. Ga dan ook in overleg met de ICT-afdeling en onderzoek of op het gebied van beveiliging nog stappen te maken zijn. Naast de technische maatregelen zal natuurlijk ook kritisch gekeken worden naar de werkprocessen.

Melden datalekken

Vanaf 1 januari 2016 is – onder bepaalde omstandigheden - datalekken melden een verplichting die op alle organisaties rust. Een datalek treedt sneller op dan u denkt: wat dacht u bijvoorbeeld van een USB-stick met persoonsgegevens erop, die u vervolgens in de trein achterlaat? Zo’n 70% (!) van de datalekken wordt veroorzaakt door menselijk handelen. Het volledig voorkomen van een datalek is dan ook vrijwel niet haalbaar. Het creëren van bewustzijn is in ieder geval een stap in de goede richting.

Daarnaast is het verstandig u bewust te zijn van wanneer een datalek gemeld moet worden, en aan wie. Onder omstandigheden kan het voorkomen dat u een melding van het datalek moet doen aan de Autoriteit
Persoonsgegevens (hierna: Autoriteit).  Deze melding moet gemaakt worden op het moment dat het datalek mogelijkerwijs kans op onrechtmatige verwerking en ernstige gevolgen voor de betrokkenen met zich brengt.

In de wetgeving staat dat een melding onverwijld moet gebeuren. Uit de richtlijn van de Autoriteit blijkt dat dit inhoudt dat binnen 72 uur een melding gemaakt dient te worden. Bovendien kan het zo zijn dat u tevens de betrokkene moet inlichten, op wie de gegevens betrekking hebben. Dit is het geval als de inbreuk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Denk hierbij aan mogelijke identiteitsfraude of reputatieschade.

Bevoegdheden Autoriteit

Aangezien de verwerking van persoonsgegevens is onderworpen aan een wettelijk regime, is het ook wenselijk dat er een controlerende en handhavende instantie is. Dat is voor Nederland de Autoriteit Persoonsgegevens.

Ook onder de AVG heeft de Autoriteit handvatten toegereikt gekregen om naleving van de wet af te kunnen dwingen. De Autoriteit kan bijvoorbeeld onaangekondigd een onderzoek gelasten. De Autoriteit heeft sinds de invoering van de AVG al diverse onderzoeken ingesteld. Zo heeft de Autoriteit onderzoeken verricht naar de aanstelling van de Functionaris Gegevensbescherming, het bijhouden van het verwerkingsregister en de tussen een verwerker en verwerkingsverantwoordelijke gesloten verwerkersovereenkomsten.

Indien fouten worden geconstateerd, kan de Autoriteit boetes opleggen. Deze boetes zijn niet mis! Het gaat om boetes tot zo’n 20 miljoen euro of 4% van de wereldwijde jaaromzet. Naast het opleggen van de boetes kan de Autoriteit lasten onder dwangsom opleggen.

Verwerkersovereenkomst

Wanneer de persoonsgegevens rechtsgeldig zijn verzameld door uw organisatie, kan het zo zijn dat u het overige deel van het verwerkingsproces uit handen wilt geven aan een andere partij. Wees er daarbij van bewust dat u in deze gevallen ook afspraken maakt hoe omgegaan moet worden met de persoonsgegevens. Bijvoorbeeld: wie dient een melding te doen wanneer een datalek optreedt? En wat mag de bewerker allemaal met uw gegevens doen? Ook processueel gezien is het verstandig om de verhoudingen goed vast te leggen. Deze afspraken legt u vast in een verwerkersovereenkomst.

Mocht er een probleem optreden, zoals dat de persoonsgegevens verloren gaan, dan kunt u terugvallen op de gemaakte afspraken in de verwerkersovereenkomst. In deze overeenkomst regelt u bijvoorbeeld wie er aansprakelijk is voor schade van derde partijen, welke subverwerkers mogen worden ingeschakeld en wie het doel en middelen voor de verwerking vaststelt.

Een ander punt is dat in deze overeenkomst vastgesteld wordt wie er een melding moet doen wanneer er sprake is van een datalek. Dit kan hoge boetes voorkomen van de Autoriteit. Voorkom dus discussie achteraf en laat een verwerkersovereenkomst opstellen.

Overigens blijkt dat organisaties met de komst van de AVG met alle partijen met wie zij persoonsgegevens delen een verwerkersovereenkomst zijn gaan sluiten. Dit is een veel gemaakte fout. Als verwerkingsverantwoordelijke ben je enkel verplicht een verwerkersovereenkomst te sluiten met een partij wanneer u deze partij de opdracht geeft persoonsgegevens waarvoor u zelf verantwoordelijk bent, te verwerken. Het gaat hier dus niet om partijen die persoonsgegevens nodig hebben om vervolgens zelf een dienst of product te kunnen leveren.

Uw website & privacy

Websites maken uitgebreid gebruik van de data die het bezoekersverkeer achterlaat. Ook de verwerking van deze gegevens is onderworpen aan wetgeving. Zorg er dan ook voor dat uw website met het oog op privacy voldoet aan alle wettelijke vereisten. Gedacht kan worden aan het opnemen van een privacy statement en een cookieverklaring.

Cookies zijn kleine bestanden die worden meegestuurd wanneer u een pagina van de desbetreffende website bezoekt. Deze cookies kunnen meerdere functies hebben. Ze kunnen het u makkelijker maken bij uw volgende bezoek aan de website: zo onthouden zij bijvoorbeeld uw instellingen, zoals taalkeuze. Het kan echter ook zijn dat er gebruik wordt gemaakt van tracking cookies. Deze cookies volgen uw surfgedrag, om hier op in te kunnen spelen.

Voor het mogen plaatsen van sommige cookies is toestemming nodig van de bezoeker. Deze bezoeker moet immers weten waar hij precies mee akkoord gaat: het plaatsen van een cookieverklaring is daarom vereist door de Telecomwet.

Verwerkt u daarnaast privacygevoelige gegevens via de website? Dan dient u de bezoeker hiervan op de hoogte te stellen. Dit kan bijvoorbeeld in de vorm van een privacy statement. Deze verklaring wijst de bezoeker op welke gegevens er verzameld worden en met welk doel. Bovendien wijst u de bezoeker hierin op diens rechten. De nieuwe wetgeving verlangt dat het privacy statement in begrijpelijke taal wordt opgesteld, zodat het voor eenieder toegankelijk is.

Rechten als betrokkene

Degene van wie de persoonsgegevens worden verwerkt, wordt aangemerkt als ‘betrokkene’. Het is soms lastig om zicht te krijgen op welke persoonsgegevens er precies worden verwerkt. De betrokkene heeft er echter wel recht op om dit te weten, en om hier zo nodig tegen op te treden. De AVG biedt de betrokkene nog meer handvatten dan voorheen om dit te bewerkstelligen.

Onder de Wbp leek het een ondergeschoven kindje, maar ook deze wetgeving gaf de betrokkene al behoorlijke rechten. Zo had de betrokkene onder andere al het recht op inzage en het recht op correctie van de persoonsgegevens. De AVG geeft de betrokkene nu ook het recht op dataportabiliteit en legt tevens het recht op vergetelheid vast in de wet.

De betrokkene kan een dergelijk verzoek indienen bij uw organisatie. Hier dient de betrokkene binnen vier weken op te reageren. Mochten er klachten ontstaan over de wijze hoe u deze klacht afhandelt, of klachten over de wijze waarop u de persoonsgegevens in eerste instantie verwerkt, dan kan de betrokkene zich richten tot de Autoriteit met deze klacht. De Autoriteit zal de klacht vervolgens afhandelen. De Autoriteit heeft de eerste organisaties al geconfronteerd met lasten onder dwangsom, voor het niet tijdig afwikkelen van een dergelijk verzoek. Gelet hierop is het dan ook verstandig de verzoeken van betrokkenen adequaat op te pakken.

Advies privacywetgeving nodig?

Bent u niet zeker of uw bedrijf voldoet aan de (nieuwe) vereisten voor de verwerking van persoonsgegevens? Of wilt u voor het lanceren van uw product een check uit laten voeren of uw product voldoet aan de privacyrichtlijnen? JPR Advocaten beschikt over ruime expertise en kennis op het gebied van de nieuwe wetgeving. Wij kunnen u dan ook in het gehele proces adviseren. Maar ook wanneer u een betrokkene bent en meent dat uw privacy wordt geschonden, kunnen wij u helpen hier tegen op te treden. Schroom niet om contact op te nemen met één van onze gespecialiseerde advocaten.

Meer weten over onze dienstverlening?
Neem contact op
Op de hoogte blijven?
Meld u aan voor de nieuwsbrief: