Menu
JPR Advocaten

Privacyrecht

Privacyrecht

Privacy is een ‘hot topic’ tegenwoordig. Steeds meer bedrijven en organisaties zien dat data het nieuwe goud is en maken dan ook dankbaar gebruik van het feit dat data voor het oprapen ligt. Het ligt voor de hand dat dit haaks kan staan op het privacyrecht van degenen wiens gegevens verzameld worden. De behoefte aan sluitende privacywetgeving, die duidelijkheid schept in wat wel en niet is toegestaan in dit spanningsveld, is hoog. JPR Advocaten geeft u uitleg, advies en tips die u, als bedrijf of betrokkene, kunnen helpen uw positie te verduidelijken. 

Algemene Verordening Gegevensbescherming

De General Data Protection Regulation zal op een Europees niveau voorzien in waarborgen op het gebied van privacy. In Nederland zal dit plaatsvinden in de vorm van de Algemene Verordening Gegevensbescherming, die het vanaf 25 mei 2018 overneemt van de Wet Bescherming Persoonsgegevens.

De AVG is van toepassing op het verwerken van persoonsgegevens. Maar wat zijn persoonsgegevens? Volgens de letter van de wet gaat het om ‘alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon’. Uit de gegevens kan worden opgemaakt dat deze betrekking hebben op een specifiek persoon. Dat kan op een directe wijze, zoals aan de hand van een naam. Het kan echter ook op indirecte wijze, zoals aan de hand van locatiegegevens of een online identificator. Bovendien geldt er een speciaal regime voor bijzondere persoonsgegevens. Het gaat dan bijvoorbeeld om godsdienst, ras of gezondheidsgegevens.

Het tweede criterium voor het van toepassing zijn van de AVG, is of de persoonsgegevens verwerkt worden. Dit is vrij snel het geval. Een verwerking wordt gedefinieerd als ‘een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens’. Gedacht kan worden aan het verzamelen, opslaan, wijzigen of vernietigen van persoonsgegevens.

Wanneer is verwerking rechtmatig?

Hoewel het logisch klinkt dat de verwerking van persoonsgegevens rechtmatig moet zijn, gaat dit nog vaak verkeerd bij bedrijven. De AVG beoogt te bewerkstelligen dat de verwerking plaatsvindt op een behoorlijke en transparante wijze, waarbij er wordt verwerkt op een rechtmatige grondslag. Deze grondslagen zijn limitatief opgenomen in de AVG, waarbij de toestemming van de betrokkene voor het verwerken van zijn of haar gegevens doorgaans het meest gebruikt wordt. Een ander veel gebruikte grondslag is het gerechtvaardigd belang. Wanneer u als organisatie een gerechtvaardigd belang heeft om de persoonsgegevens van een betrokkene te verwerken, is het mogelijk om zelfs zonder toestemming van de betrokkene de gegevens te gebruiken. Een mogelijk voorbeeld van een gerechtvaardigd belang is een marketingactie.

Het toestemmingsvereiste is onder de AVG nog eens flink aangescherpt, om de betrokkenen te kunnen beschermen. De toestemming is slechts rechtsgeldig gegeven, wanneer deze vrijelijk door de betrokkene is gegeven. Daarbij is een waarborg voor de betrokkene ingebouwd, dat deze de toestemming op elk moment weer kan intrekken. De AVG stelt bovendien nog hogere eisen aan het krijgen van toestemming van minderjarigen, nu het uitgangspunt is dat deze nog niet in staat worden geacht bekend te zijn met de consequenties van het geven van toestemming.

Tot slot geldt voor bijzondere persoonsgegevens een zwaarder criterium: toestemming is slechts rechtsgeldig indien deze uitdrukkelijk wordt gegeven. Het veronderstellen van toestemming door een ondubbelzinnige uiting is derhalve niet meer voldoende.

Strengere (voorzorgs)maatregelen

Met het oog op ‘voorkomen is beter dan genezen’ voorziet de AVG ook in strenge (voorzorgs)maatregelen, die voor enkele organisaties zelfs verplicht zijn. Zo kan het voorkomen dat uw organisatie verplicht is om een Functionaris Gegevensbescherming te benoemen, die het beleid van gegevensverwerking in de gaten dient te houden. Overheden zijn verplicht een Functionaris Gegevensbescherming aan te stellen, maar ook bijvoorbeeld organisaties die veel bijzondere gegevens verwerken dienen een FG aan te wijzen.

Deze bewustwording van de wijze waarop er wordt omgegaan met persoonsgegevens binnen de organisatie, kan ook al worden gecreëerd voorafgaand aan het starten van de gegevensverwerking. Dit kan door het uitvoeren van een data protection impact assessment, waardoor voorafgaand de privacyrisico’s in kaart worden gebracht. Op grond van deze uiteenzetting kunnen maatregelen getroffen worden om de risico’s te verkleinen. Het is dan ook wijs om, voordat u uw product lanceert, deze al privacyvriendelijk in te richten. De producten worden dan aangeboden op grond van beginselen van privacy by design dan wel privacy by default.

Een andere maatregel is de invoering van de documentatieplicht. Organisaties met meer dan 250 werknemers zijn verplicht een register bij te houden waarin zij alle verwerkingen en soorten persoonsgegevens opnemen. Ook moeten de getroffen beveiligingsmaatregelen, bewaartermijnen en subbewerkers hierin worden opgenomen. Verder verdient het aanbeveling een gegevensbeschermingsbeleid op te stellen. Vergeet tot slot niet de digitale beveiliging, want dit maakt de kans op beveiligingsincidenten die een meldingswaardig datalek opleveren kleiner. Ga dan ook in overleg met de ICT-afdeling en onderzoek of op het gebied van beveiliging nog stappen te maken zijn.

Melden datalekken

Vanaf 1 januari 2016 zijn alle organisaties verplicht onder omstandigheden een datalek te melden. Een datalek treedt sneller op dan u denkt: wat dacht u bijvoorbeeld van een USB-stick met persoonsgegevens erop, die u vervolgens in de trein achterlaat? Zo’n 70% (!) van de datalekken wordt veroorzaakt door menselijk handelen. Het volledig voorkomen van een datalek is dan ook vrijwel niet haalbaar. Het creëren van bewustzijn is in ieder geval een stap in de goede richting.

Daarnaast is het verstandig u bewust te zijn van wanneer een datalek gemeld moet worden, en aan wie. Onder omstandigheden kan het voorkomen dat u een melding van het datalek moet doen aan de Autoriteit Persoonsgegevens (hierna: Autoriteit).  Deze melding moet gemaakt worden op het moment dat het datalek mogelijkerwijs kans op onrechtmatige verwerking en ernstige gevolgen voor de betrokkenen met zich brengt. In de wetgeving staat dat een melding onverwijld moet gebeuren. Uit de richtlijn van de Autoriteit blijkt dat dit inhoudt dat binnen 72 uur een melding gemaakt te worden. Bovendien kan het zo zijn dat u tevens de betrokkene moet inlichten, op wie de gegevens betrekking hebben. Dit is het geval als de inbreuk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Denk hierbij aan mogelijke identiteitsfraude of reputatieschade.

Bevoegdheden Autoriteit

Aangezien de verwerking van persoonsgegevens is onderworpen aan een wettelijk regime, is het ook wenselijk dat er een controlerende en handhavende instantie is. Dat is voor Nederland de Autoriteit.

Ook onder de AVG heeft de Autoriteit handvatten toegereikt gekregen om naleving van de wet af te kunnen dwingen. De Autoriteit kan bijvoorbeeld onaangekondigd een onderzoek gelasten. Indien fouten worden geconstateerd, kan de Autoriteit boetes opleggen. Deze boetes zijn niet mis! Het gaat om boetes tot zo’n 20 miljoen euro of 4% van de wereldwijde jaaromzet.

Verwerkersovereenkomst

Wanneer de persoonsgegevens rechtsgeldig zijn verzameld door uw organisatie, kan het zo zijn dat u het overige deel van het bewerkingsproces uit handen wilt geven aan een andere partij. Wees er daarbij van bewust dat u in deze gevallen ook afspraken maakt hoe omgegaan moet worden met de persoonsgegevens. Bijvoorbeeld: wie dient een melding te doen wanneer een datalek optreedt? En wat mag de bewerker allemaal met uw gegevens doen? Ook processueel gezien is het verstandig om de verhoudingen goed vast te leggen. Deze afspraken legt u vast in een verwerkersovereenkomst.

Mocht er een probleem optreden, zoals dat de persoonsgegevens verloren gaan, dan kunt u terugvallen op de gemaakte afspraken in de verwerkersovereenkomst. In deze overeenkomst regelt u bijvoorbeeld wie er aansprakelijk is voor schade van derde partijen, welke subbewerkers mogen worden ingeschakeld en wie het doel en middelen voor de verwerking vaststelt.

Een ander punt is dat in deze overeenkomst vastgesteld wordt wie er een melding moet doen wanneer er sprake is van een datalek. Dit kan hoge boetes voorkomen van de Autoriteit. Voorkom dus discussie achteraf en laat een verwerkersovereenkomst opstellen.

Uw website & privacy

Websites maken uitgebreid gebruik van de data die het bezoekersverkeer achterlaat. Ook de verwerking van deze gegevens is onderworpen aan wetgeving. Zorg er dan ook voor dat uw website met het oog op privacy voldoet aan alle wettelijke vereisten. Gedacht kan worden aan het opnemen van een privacy statement en een cookieverklaring.

Cookies zijn kleine bestanden die worden meegestuurd wanneer u een pagina van de desbetreffende website bezoekt. Deze cookies kunnen meerdere functies hebben. Ze kunnen het u makkelijker maken bij uw volgende bezoek aan de website: zo onthouden zij bijvoorbeeld uw instellingen, zoals taalkeuze. Het kan echter ook zijn dat er gebruik wordt gemaakt van tracking cookies. Deze cookies volgen uw surfgedrag, om hier op in te kunnen spelen.

Voor het mogen plaatsen van sommige cookies is toestemming nodig van de bezoeker. Deze bezoeker moet immers weten waar hij precies mee akkoord gaat: het plaatsen van een cookieverklaring is daarom vereist door de Telecomwet.

Verwerkt u daarnaast privacygevoelige gegevens via de website? Dan dient u de bezoeker hiervan op de hoogte te stellen. Dit kan bijvoorbeeld in de vorm van een privacy statement. Deze verklaring wijst de bezoeker op welke gegevens er verzameld worden en met welk doel. Bovendien wijst u de bezoeker hierin op diens rechten. De nieuwe wetgeving verlangt dat het privacy statement in begrijpelijke taal wordt opgesteld, zodat het voor eenieder toegankelijk is.

Rechten als betrokkene

Degene van wie de persoonsgegevens worden verwerkt, wordt aangemerkt als ‘betrokkene’. Het is soms lastig om zicht te krijgen op welke persoonsgegevens er precies worden verwerkt. De betrokkene heeft er echter wel recht op om dit te weten, en om hier zo nodig tegen op te treden. De AVG biedt de betrokkene nog meer handvatten dan voorheen om dit te bewerkstelligen.

Onder de Wbp leek het een ondergeschoven kindje, maar ook deze wetgeving gaf de betrokkene al behoorlijke rechten. Zo had de betrokkene onder andere al het recht op inzage en het recht op correctie van de persoonsgegevens. De AVG geeft de betrokkene nu ook het recht op dataportabiliteit en legt tevens het recht op vergetelheid vast in de wet.

De betrokkene kan een dergelijk verzoek indienen bij uw organisatie. Hier dient de betrokkene binnen vier weken op te reageren. Mochten er klachten ontstaan over de wijze hoe u deze klacht afhandelt, of klachten over de wijze waarop u de persoonsgegevens in eerste instantie verwerkt, dan kan de betrokkene zich richten tot de Autoriteit met deze klacht. De Autoriteit zal de klacht vervolgens afhandelen.

Advies privacywetgeving nodig?

Bent u niet zeker of uw bedrijf voldoet aan de (nieuwe) vereisten voor de verwerking van persoonsgegevens? Of wilt u voor het lanceren van uw product een check uit laten voeren of uw product voldoet aan de privacyrichtlijnen? JPR Advocaten beschikt over ruime expertise en kennis op het gebied van de nieuwe wetgeving. Wij kunnen u dan ook in het gehele proces adviseren. Maar ook wanneer u een betrokkene bent en meent dat uw privacy wordt geschonden, kunnen wij u helpen hier tegen op te treden. Schroom niet om contact op te nemen met één van onze gespecialiseerde advocaten.

Meer weten over onze dienstverlening?
Neem contact op
Op de hoogte blijven?
Meld u aan voor de nieuwsbrief: