8 maart 2017

De Avg uitgelegd deel 2: transparantie en het recht op informatie

De Avg uitgelegd deel 2: transparantie en het recht op informatie

Dit is het tweede artikel in de serie over de Algemene verordening gegevensbescherming (Avg). In deze serie besteden we aandacht aan een aantal grote veranderingen op privacy-gebied waarmee ICT-bedrijven geconfronteerd gaan worden. Reden van deze veranderingen zijn de nieuwe Europese privacy-regels uit de GDPR (General Data Protection Regulation); de Avg. Bedrijven krijgen tot 25 mei 2018 de tijd om hun bedrijfsvoering op de Avg aan te passen.

Na het eerste deel over de Functionaris voor de Gegevensbescherming, nu in dit tweede deel aandacht voor transparantie en het recht op informatie.

Wat is er nieuw aan het begrip transparantie?

Volgens de Avg moeten verwerkingen van persoonsgegevens voldoen aan bepaalde beginselen. Het eerste beginsel is: “persoonsgegevens moeten worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is”.

Deze opsomming is niet helemaal nieuw. Verwerkingen van persoonsgegevens moesten al “in overeenstemming met de wet” zijn. Dat is (ongeveer) hetzelfde als rechtmatig. Ook moesten verwerkingen van persoonsgegevens “behoorlijk en zorgvuldig” zijn. Nu lijkt het woord “zorgvuldig” te zijn vervangen door het woord “transparant”.

Nieuw is dus dat expliciet is opgenomen dat persoonsgegevens verwerkt moeten worden op een manier die transparant is voor de betrokkene.

Wat betekent “transparant voor de betrokkene”?

Een betrokkene is degene op wie de persoonsgegevens die worden verwerkt betrekking hebben. Het is de persoon over wie informatie wordt verwerkt.

Transparantie houdt in dat het voor de betrokkene duidelijk is dat zijn persoonsgegevens verzameld, gebruikt, geraadpleegd of op een andere manier verwerkt worden, waarom en door wie. Transparantie hangt dus nauw samen met het recht op informatie van de betrokkene.

Waarom is transparantie nu opeens zo belangrijk?

De Europese wetgever eist dat een bedrijf dat gegevens over iemand verzamelt daarmee een bepaalde verantwoordelijkheid op zich neemt en daarover verantwoording kan afleggen. Deze verantwoordingsplicht (accountability) is ook één van de nieuwe beginselen uit de Avg.

Verantwoording afleggen doe je bijvoorbeeld door het bijhouden van een administratie waarin het privacy-beleid en de daarbij gemaakte keuzes neergelegd zijn. In een later artikel in deze serie zal hierop in meer detail ingegaan worden. Transparantie hangt samen met de verantwoordingsplicht, in die zin dat je verantwoording moet kunnen afleggen aan de betrokkene door hem/haar informatie te verstrekken.

Transparantie bestond al onder de oude privacy-wet. Zo bestond er al een informatieplicht. Meestal wordt die verwoord in een privacy-statement op de website van een bedrijf. In de Avg is die informatieplicht op een aantal punten aanzienlijk uitgebreid en nader gespecificeerd.

Wat betekent dit voor mijn bedrijf?

Het is aan jou de taak om klanten of anderen van wie je de persoonsgegevens verwerkt te laten begrijpen wat er met die gegevens gebeurt. Om dat te bereiken, moet je als bedrijf de betrokkenen in ieder geval het volgende laten weten:

  • Wie ben jij en hoe kan de betrokkene contact opnemen met jou en (indien van toepassing) jouw Functionaris voor de Gegevensbescherming (contactgegevens)?
  • Waarom verzamel je persoonsgegevens en waarom mag dat (doelomschrijving, rechtsgrond en onderbouwing daarvan)?
  • Aan wie ga jij de persoonsgegevens verder nog verstrekken?
  • Is de betrokkene verplicht om de gevraagde persoonsgegevens te verstrekken of niet? En wat zijn de gevolgen als hij/zij de persoonsgegevens niet verstrekt (noodzaak)?
  • Waar en hoe kan de betrokkene vragen om inzage, rectificatie of het wissen van persoonsgegevens (right to be forgotten), klachten indienen of bezwaar maken?
  • Hoe kan een betrokkene een verleende toestemming intrekken?
  • Hoe lang verwacht je de persoonsgegevens te gaan bewaren?
  • Als de persoonsgegevens buiten de EU verwerkt gaan worden, welke waarborgen zijn er dan getroffen dat de persoonsgegevens in dat derde land conform de Avg verwerkt worden? Indien persoonsgegevens bijvoorbeeld in Amerika verwerkt worden, zou dat kunnen door aan te geven dat de Amerikaanse onderneming zich heeft aangesloten bij Privacy Shield.
  • Doe je aan geautomatiseerde besluitvorming (bijvoorbeeld profiling)? En zo ja, welke logica wordt daarvoor gebruikt?

In heldere taal

Volgens de Avg moet de bovenstaande informatie bovendien in duidelijke eenvoudige taal en op een toegankelijke en begrijpelijke manier afgestemd zijn op de doelgroep. Verwerk je persoonsgegevens van kinderen, dan zal je dus nog eenvoudiger taal moeten gebruiken. Ook wordt door de Avg het gebruik van visualisatie (iconen) aangemoedigd. Hoe die iconen er dan precies uit moeten zien, is nog niet duidelijk.

Wat moet ik doen met persoonsgegevens die ik niet rechtstreeks heb ontvangen?

Krijg je de persoonsgegevens niet rechtstreeks van de persoon die het betreft, dan zal je bovenstaande informatie alsnog aan de persoon moeten geven en daar mag je niet te lang mee wachten. Uiterlijk een maand om precies te zijn. En korter als je eerder gebruik maakt van de persoonsgegevens voor het opnemen van contact met de betrokkene of de persoonsgegevens aan een ander doorgeeft. Dan moet je de informatie op dat moment geven. Omdat de persoon zelf de persoonsgegevens niet heeft verstrekt, moet je bovendien uitleggen om welke soort persoonsgegevens het gaat (welke categorieën van persoonsgegevens?) en hoe je eraan komt (wat is je bron?).

Wanneer hoef ik deze informatie niet te verstrekken?

De informatie hoeft niet verstrekt te worden als de betrokkene al over de informatie beschikt, het onmogelijk is of onevenredig veel inspanning zou vergen om de informatie te verstrekken, als informeren de doeleinden van de verwerking vrijwel onmogelijk maakt of als de verstrekking van de persoonsgegevens wettelijk is voorgeschreven.

Wat kan ik doen om transparant te zijn?

Al met al is de informatieplicht in de Avg behoorlijk uitgebreid. Bedrijven kunnen deze transparantie geven in een privacy-verklaring. Die kun je op je website plaatsen, in een pop-up bij een app of voegen bij andere documentatie die de betrokkenen al ontvangen. Let er wel op dat deze informatie verstrekt moet worden op het moment dat je de persoonsgegevens van een persoon krijgt. Een privacy-statement moet dus niet achteraf toegestuurd worden, maar direct beschikbaar zijn voor de betrokkene.

Een privacy-verklaring kun je zelf opstellen of laten opstellen door bijvoorbeeld de juristen van Nederland ICT. Daarnaast zijn er online verschillende tools beschikbaar. Zo zou je voor een privacy-verklaring voor je website gebruik kunnen maken van een privacy-verklaring generator. Er zijn op internet gratis privacy-statement-generatoren te vinden die je helpen een begin te maken met je privacy statement, bijvoorbeeld op veiliginternetten.nl. Uiteraard moet je de uitkomst zelf altijd controleren, verbeteren en aanvullen waar nodig.

Let daarbij ook op of de generator al aangepast is op de nieuwe wetgeving van de Avg. De meeste zien nu nog alleen op de bestaande Wbp. Deze generatoren maken aan de hand van enkele vragen een standaard privacy-verklaring die bezoekers van jouw website inzicht geeft in hoe jouw bedrijf met persoonsgegevens omgaat.

Wat moet er in een privacy-statement?

In het kort de informatie die in een privacy-statement moet staan:

  • Naam en contactgegevens van de (vertegenwoordiger en de) verantwoordelijke
  • Contactgegevens van de Functionaris voor de Gegevensbescherming (indien van toepassing)
  • Doel en rechtsgrond (zie de opsomming in artikel 6 Avg) van de verwerking van de persoonsgegevens
  • De gerechtvaardigde belangen van de verantwoordelijke (of derde) indien dit de rechtsgrond van verwerking van de persoonsgegevens is
  • Eventuele ontvangers of categorieën van ontvangers van de persoonsgegevens bij doorgifte
  • Als doorgifte van persoonsgegevens plaatsvindt naar buiten de EU: welke passende waarborgen zijn genomen om de privacy in dat land te waarborgen
  • De bewaartermijn (en de criteria ter bepaling van de termijn)
  • De betrokkene erop wijzen dat hij/zij recht heeft op:
    • Inzage, wissen (right to be forgotten) en rectificatie van de persoonsgegevens of beperking van de verwerking ervan
    • Bezwaar maken tegen verwerking
    • Data-portabiliteit (het recht om je persoonsgegevens te kunnen meenemen)
    • Het intrekken van eerder gegeven toestemming
    • Klacht indienen bij de Autoriteit Persoonsgegevens
  • Bestaan van geautomatiseerde besluitvorming (inclusief profiling) en nuttige informatie over logica, belang en gevolgen daarvan voor de betrokkene.

De betekenis van enkele nieuwe begrippen, zoals “right to be forgotten” en “data-portabiliteit”, komt later in deze serie over de Avg aan bod.

Meer informatie over de achtergrond van de Avg is te vinden op de Avg dossier-pagina. Om een idee te krijgen van de huidige privacy-wet, waarvan veel uitgangspunten ook onder de Avg gelijk blijven, verwijzen wij naar onze 10 vragen en antwoorden over de Wet bescherming persoonsgegevens en de meldplicht datalekken.

Wil je maandelijkse een update ontvangen met nieuws, publicaties en andere informatie over de Avg? Meld je dan aan voor onze nieuwsbrief Avg.

Wat als ik nog vragen heb?

Via de Helpdesk Juridisch geven onze juristen onder meer advies en ondersteuning bij vraagstukken op het gebied van privacy. Nederland ICT organiseert ook verschillende workshops en bijeenkomsten. Leden van Nederland ICT kunnen kosteloos deelnemen. Ben je nog geen lid en wil je ook profiteren van deze en vele andere mogelijkheden van het lidmaatschap? Bekijk de voordelen!

mm
Helpdesk Juridisch We helpen je graag met juridische vragen. Neem contact op via: jurhelp@nederlandict.nl (0348) 49 36 36

Gerelateerd

Ook Eerste Kamer akkoord met nieuwe aftapwet

De nieuwe Wet op de inlichtingen- en veiligheidsdiensten (Wiv) is met een grote meerderheid aangenomen door de Eerste Kamer. 50 van de 75 senatoren stemden in met de wet, die vanaf 1 januari 2018 gaat gelden. De afgelopen jaren was er veel protest tegen de nieuwe bevoegdheden binnen de Wiv, ook uit de ICT-sector. Het zal nu in de praktijk moeten blijken wat de impact van de wet is en of de mate van toezicht volstaat.

CSR: informatievoorziening cybersecurity voor bedrijfsleven moet beter

Er is een ernstig tekort aan informatie over cybersecurity bij het bedrijfsleven in Nederland. Dat constateert de Cyber Security Raad (CSR) in een advies dat vandaag (5/7) uitkomt. Op dit moment is er alleen tussen de overheid en vitale sectoren sprake van structurele uitwisseling van informatie. De CSR adviseert de overheid een landelijk dekkend stelsel voor informatievoorziening in te richten.