8 maart 2017

De Avg uitgelegd deel 2: transparantie en het recht op informatie

De Avg uitgelegd deel 2: transparantie en het recht op informatie

Dit is het tweede artikel in de serie over de Algemene verordening gegevensbescherming (Avg). In deze serie besteden we aandacht aan een aantal grote veranderingen op privacy-gebied waarmee ICT-bedrijven geconfronteerd gaan worden. Reden van deze veranderingen zijn de nieuwe Europese privacy-regels uit de GDPR (General Data Protection Regulation); de Avg. Bedrijven krijgen tot 25 mei 2018 de tijd om hun bedrijfsvoering op de Avg aan te passen.

Na het eerste deel over de Functionaris voor de Gegevensbescherming, nu in dit tweede deel aandacht voor transparantie en het recht op informatie.

Wat is er nieuw aan het begrip transparantie?

Volgens de Avg moeten verwerkingen van persoonsgegevens voldoen aan bepaalde beginselen. Het eerste beginsel is: “persoonsgegevens moeten worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is”.

Deze opsomming is niet helemaal nieuw. Verwerkingen van persoonsgegevens moesten al “in overeenstemming met de wet” zijn. Dat is (ongeveer) hetzelfde als rechtmatig. Ook moesten verwerkingen van persoonsgegevens “behoorlijk en zorgvuldig” zijn. Nu lijkt het woord “zorgvuldig” te zijn vervangen door het woord “transparant”.

Nieuw is dus dat expliciet is opgenomen dat persoonsgegevens verwerkt moeten worden op een manier die transparant is voor de betrokkene.

Wat betekent “transparant voor de betrokkene”?

Een betrokkene is degene op wie de persoonsgegevens die worden verwerkt betrekking hebben. Het is de persoon over wie informatie wordt verwerkt.

Transparantie houdt in dat het voor de betrokkene duidelijk is dat zijn persoonsgegevens verzameld, gebruikt, geraadpleegd of op een andere manier verwerkt worden, waarom en door wie. Transparantie hangt dus nauw samen met het recht op informatie van de betrokkene.

Waarom is transparantie nu opeens zo belangrijk?

De Europese wetgever eist dat een bedrijf dat gegevens over iemand verzamelt daarmee een bepaalde verantwoordelijkheid op zich neemt en daarover verantwoording kan afleggen. Deze verantwoordingsplicht (accountability) is ook één van de nieuwe beginselen uit de Avg.

Verantwoording afleggen doe je bijvoorbeeld door het bijhouden van een administratie waarin het privacy-beleid en de daarbij gemaakte keuzes neergelegd zijn. In een later artikel in deze serie zal hierop in meer detail ingegaan worden. Transparantie hangt samen met de verantwoordingsplicht, in die zin dat je verantwoording moet kunnen afleggen aan de betrokkene door hem/haar informatie te verstrekken.

Transparantie bestond al onder de oude privacy-wet. Zo bestond er al een informatieplicht. Meestal wordt die verwoord in een privacy-statement op de website van een bedrijf. In de Avg is die informatieplicht op een aantal punten aanzienlijk uitgebreid en nader gespecificeerd.

Wat betekent dit voor mijn bedrijf?

Het is aan jou de taak om klanten of anderen van wie je de persoonsgegevens verwerkt te laten begrijpen wat er met die gegevens gebeurt. Om dat te bereiken, moet je als bedrijf de betrokkenen in ieder geval het volgende laten weten:

  • Wie ben jij en hoe kan de betrokkene contact opnemen met jou en (indien van toepassing) jouw Functionaris voor de Gegevensbescherming (contactgegevens)?
  • Waarom verzamel je persoonsgegevens en waarom mag dat (doelomschrijving, rechtsgrond en onderbouwing daarvan)?
  • Aan wie ga jij de persoonsgegevens verder nog verstrekken?
  • Is de betrokkene verplicht om de gevraagde persoonsgegevens te verstrekken of niet? En wat zijn de gevolgen als hij/zij de persoonsgegevens niet verstrekt (noodzaak)?
  • Waar en hoe kan de betrokkene vragen om inzage, rectificatie of het wissen van persoonsgegevens (right to be forgotten), klachten indienen of bezwaar maken?
  • Hoe kan een betrokkene een verleende toestemming intrekken?
  • Hoe lang verwacht je de persoonsgegevens te gaan bewaren?
  • Als de persoonsgegevens buiten de EU verwerkt gaan worden, welke waarborgen zijn er dan getroffen dat de persoonsgegevens in dat derde land conform de Avg verwerkt worden? Indien persoonsgegevens bijvoorbeeld in Amerika verwerkt worden, zou dat kunnen door aan te geven dat de Amerikaanse onderneming zich heeft aangesloten bij Privacy Shield.
  • Doe je aan geautomatiseerde besluitvorming (bijvoorbeeld profiling)? En zo ja, welke logica wordt daarvoor gebruikt?

In heldere taal

Volgens de Avg moet de bovenstaande informatie bovendien in duidelijke eenvoudige taal en op een toegankelijke en begrijpelijke manier afgestemd zijn op de doelgroep. Verwerk je persoonsgegevens van kinderen, dan zal je dus nog eenvoudiger taal moeten gebruiken. Ook wordt door de Avg het gebruik van visualisatie (iconen) aangemoedigd. Hoe die iconen er dan precies uit moeten zien, is nog niet duidelijk.

Wat moet ik doen met persoonsgegevens die ik niet rechtstreeks heb ontvangen?

Krijg je de persoonsgegevens niet rechtstreeks van de persoon die het betreft, dan zal je bovenstaande informatie alsnog aan de persoon moeten geven en daar mag je niet te lang mee wachten. Uiterlijk een maand om precies te zijn. En korter als je eerder gebruik maakt van de persoonsgegevens voor het opnemen van contact met de betrokkene of de persoonsgegevens aan een ander doorgeeft. Dan moet je de informatie op dat moment geven. Omdat de persoon zelf de persoonsgegevens niet heeft verstrekt, moet je bovendien uitleggen om welke soort persoonsgegevens het gaat (welke categorieën van persoonsgegevens?) en hoe je eraan komt (wat is je bron?).

Wanneer hoef ik deze informatie niet te verstrekken?

De informatie hoeft niet verstrekt te worden als de betrokkene al over de informatie beschikt, het onmogelijk is of onevenredig veel inspanning zou vergen om de informatie te verstrekken, als informeren de doeleinden van de verwerking vrijwel onmogelijk maakt of als de verstrekking van de persoonsgegevens wettelijk is voorgeschreven.

Wat kan ik doen om transparant te zijn?

Al met al is de informatieplicht in de Avg behoorlijk uitgebreid. Bedrijven kunnen deze transparantie geven in een privacy-verklaring. Die kun je op je website plaatsen, in een pop-up bij een app of voegen bij andere documentatie die de betrokkenen al ontvangen. Let er wel op dat deze informatie verstrekt moet worden op het moment dat je de persoonsgegevens van een persoon krijgt. Een privacy-statement moet dus niet achteraf toegestuurd worden, maar direct beschikbaar zijn voor de betrokkene.

Een privacy-verklaring kun je zelf opstellen of laten opstellen door bijvoorbeeld de juristen van Nederland ICT. Daarnaast zijn er online verschillende tools beschikbaar. Zo zou je voor een privacy-verklaring voor je website gebruik kunnen maken van een privacy-verklaring generator. Let daarbij wel op of deze al is aangepast op de nieuwe wetgeving van de Avg. De meeste zien nu nog alleen op de bestaande Wbp. Deze generatoren maken aan de hand van enkele vragen een standaard privacy-verklaring die bezoekers van jouw website inzicht geeft in hoe jouw bedrijf met persoonsgegevens omgaat.

Wat moet er in een privacy-statement?

In het kort de informatie die in een privacy-statement moet staan:

  • Naam en contactgegevens van de (vertegenwoordiger en de) verantwoordelijke
  • Contactgegevens van de Functionaris voor de Gegevensbescherming (indien van toepassing)
  • Doel en rechtsgrond (zie de opsomming in artikel 6 Avg) van de verwerking van de persoonsgegevens
  • De gerechtvaardigde belangen van de verantwoordelijke (of derde) indien dit de rechtsgrond van verwerking van de persoonsgegevens is
  • Eventuele ontvangers of categorieën van ontvangers van de persoonsgegevens bij doorgifte
  • Als doorgifte van persoonsgegevens plaatsvindt naar buiten de EU: welke passende waarborgen zijn genomen om de privacy in dat land te waarborgen
  • De bewaartermijn (en de criteria ter bepaling van de termijn)
  • De betrokkene erop wijzen dat hij/zij recht heeft op:
    • Inzage, wissen (right to be forgotten) en rectificatie van de persoonsgegevens of beperking van de verwerking ervan
    • Bezwaar maken tegen verwerking
    • Data-portabiliteit (het recht om je persoonsgegevens te kunnen meenemen)
    • Het intrekken van eerder gegeven toestemming
    • Klacht indienen bij de Autoriteit Persoonsgegevens
  • Bestaan van geautomatiseerde besluitvorming (inclusief profiling) en nuttige informatie over logica, belang en gevolgen daarvan voor de betrokkene.

De betekenis van enkele nieuwe begrippen, zoals “right to be forgotten” en “data-portabiliteit”, komt later in deze serie over de Avg aan bod.

Meer informatie over de achtergrond van de Avg is te vinden op de Avg dossier-pagina. Om een idee te krijgen van de huidige privacy-wet, waarvan veel uitgangspunten ook onder de Avg gelijk blijven, verwijzen wij naar onze 10 vragen en antwoorden over de Wet bescherming persoonsgegevens en de meldplicht datalekken.

Wil je maandelijkse een update ontvangen met nieuws, publicaties en andere informatie over de Avg? Meld je dan aan voor onze nieuwsbrief Avg.

Wat als ik nog vragen heb?

Via de Helpdesk Juridisch geven onze juristen onder meer advies en ondersteuning bij vraagstukken op het gebied van privacy. Nederland ICT organiseert ook verschillende workshops en bijeenkomsten. Leden van Nederland ICT kunnen kosteloos deelnemen. Ben je nog geen lid en wil je ook profiteren van deze en vele andere mogelijkheden van het lidmaatschap? Bekijk de voordelen!

mm
Helpdesk Juridisch We helpen je graag met juridische vragen. Neem contact op via: jurhelp@nederlandict.nl (0348) 49 36 36

Gerelateerd

Nu was het WannaCry, volgende keer InTears?

Afgelopen weekend was er wereldwijd veel ophef over een ransomware-aanval met de veelzeggende naam WannaCry. De malware verspreidde zich razendsnel via bedrijfsnetwerken. Getroffen bedrijven konden tegen betaling van $300 aan bitcoins de sleutel krijgen om hun gegijzelde bestanden weer te decrypten. De aanval werd min of meer per toeval een halt toegeroepen. Voor nu, want een nieuwe versie van de malware is alweer in omloop. De maatregelen om dit soort aanvallen te voorkomen zijn niet nieuw. Het is hoog tijd dat ze genomen worden.

Column Lotte de Bruijn: ‘Knaagdieren’

Begin dit jaar gaf onderzoeker Cris Thomas een presentatie op een Amerikaanse conferentie over cybersecurity. Hij heeft onderzocht wat de belangrijkste oorzaak is van storingen in netwerken in de afgelopen jaren. Op nummer één stonden geen Russische hackers of ddos’ende tieners, maar… eekhoorns! Het geknaag van de beestjes aan kabels en stroomdraden zorgde voor verreweg de meeste schade aan de digitale infrastructuur.