De rechtmatige verwerking van persoonsgegevens

In deze AVG-reeks brengen wij u in vogelvlucht op de hoogte van de belangrijkste verplichtingen op grond van de Algemene Verordening Gegevensbescherming (AVG). Worden in uw bedrijf op enig moment gegevens van natuurlijke personen vastgelegd, bijvoorbeeld omdat u werkgever bent, u een (online) winkel heeft of omdat u cliënten bedient? Dan verwerkt u persoonsgegevens en heeft u op grond van de privacywetgeving verschillende verplichtingen. In deze blog wordt uitgelegd onder welke voorwaarden de verwerking van persoonsgegevens rechtmatig wordt geacht.

Rechtsgronden

Persoonsgegevens mogen niet zomaar worden verwerkt. Voor iedere verwerking dient een (rechtmatige) grondslag te zijn; een rechtsgrond. Bestaat deze niet, dan mogen de persoonsgegevens niet worden verwerkt. Deze verplichting bestond al onder de Wet bescherming persoonsgegevens (Wbp) en geldt (vrijwel) onveranderd onder de AVG. Er zijn zes gronden die hieronder kort zullen worden toegelicht.

  1. de betrokkene heeft toestemming gegeven voor de verwerking.

De toestemming moet vrij, specifiek, geïnformeerd en ondubbelzinnig worden gegeven:

Vrij: dit betekent dat de betrokkene niet mag worden gedwongen gegevens te moeten verstrekken om van een bepaalde dienst gebruik te mogen maken;

Geïnformeerd: de betrokkene moet worden geïnformeerd over de verstrekking (middels een privacyverklaring) en daarin moet onder andere worden aangegeven voor welke doeleinden de gegevens worden verwerkt;

Specifiek: de toestemming moet gelden voor alle verwerkingen die hetzelfde verwerkingsdoeleinde of dezelfde verwerkingsdoeleinden dienen (zie voor de uitleg van dit begrip hieronder). Heeft een verwerking meerdere doeleinden, dan dient de betrokkene zijn toestemming van elk daarvan verlenen;

Ondubbelzinnig: de betrokkene moet op een actieve wijze toestemming geven. Bijvoorbeeld door het klikken op een vakje, het selecteren van bepaalde instellingen of een andere verklaring. Stilzwijgen, het gebruik van reeds aangekruiste vakjes of inactiviteit geldt daarom niet als toestemming.

De verwerkingsverantwoordelijke dient aan te kunnen tonen dat de betrokkene toestemming heeft gegeven. De betrokkene heeft overigens het recht zijn/haar toestemming te allen tijde in te trekken. De verwerking van persoonsgegevens die op de toestemming berust, dient dan direct te worden gestopt.

  1. de verwerking is noodzakelijk voor de uitvoering van een (te sluiten) overeenkomst.

Het dient bij deze grondslag te gaan om een rechtmatige (voorgenomen) overeenkomst waarbij de betrokkene partij is. Daarnaast is het van belang dat de persoonsgegevens die worden verwerkt, noodzakelijk zijn om de afspraken die zijn gemaakt in de overeenkomst na te kunnen komen. Denk bijvoorbeeld aan de afspraak tussen een werkgever en een werknemer, waarbij de eerstgenoemde zich verplicht tot het betalen van salaris. Om dat te kunnen doen, heeft de werkgever het bankrekeningnummer van de werknemer nodig. Deze gegevens mogen dus worden verwerkt op basis van voornoemde grondslag.

  1. de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting.

Voor deze grondslag is het van belang dat voor de verwerkingsverantwoordelijke een wettelijke plicht bestaat om gegevens te verwerken. Voorbeelden hiervan zijn terug te vinden in de werkgevers-werknemers relatie. Een werkgever is bijvoorbeeld verplicht op grond van de wet een kopie van het identiteitsbewijs van de werknemer te bewaren. Ook is een werkgever verplicht bepaalde gegevens van een werknemer te verstrekken aan de Belastingdienst. Deze (en andere) verplichtingen zijn vastgelegd in verschillende wetgeving en om aan deze verplichtingen te voldoen is het noodzakelijk de betreffende persoonsgegevens te verwerken.

  1. de verwerking is noodzakelijk ter bescherming van vitale belangen.

De verwerking van persoonsgegevens is rechtmatig indien het noodzakelijk is voor de bescherming van een belang dat voor het leven van de betrokkene of van een ander natuurlijke persoon essentieel is. Dit doet zich over het algemeen voor als zich een acuut gevaar voordoet en de verwerking niet op basis van een andere grondslag kan worden gebaseerd. In de toelichting op de Wbp wordt een dergelijke situatie als volgt omschreven:

“Gedacht kan worden aan het geval van een grootschalige ramp waarbij terstond maatregelen in de sfeer van de hulpverlening moeten worden getroffen. Het is dan ondoenlijk eerst alle betrokkenen te informeren en toestemming te vragen alvorens de hulpverlening te starten. Hetzelfde geldt voor hulpverlening aan bewoners van een in brand staand huis.”

  1. de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of in het kader van de uitoefening van het openbaar gezag.

Deze grondslag heeft betrekking op overheidsinstanties die, op basis van wetgeving, persoonsgegevens verwerken. Denk bijvoorbeeld aan de belastingdienst, de Autoriteit Financiële Markten en de politie.

  1. de verwerking is noodzakelijk voor de behartiging van gerechtvaardigde belangen.

Bij deze laatste grondslag gaat het (over het algemeen) over het gerechtvaardigd belang van de verwerkingsverantwoordelijke. Een gerechtvaardigd belang kan aanwezig zijn indien sprake is van een relevante en passende verhouding tussen de betrokkene en de verwerkingsverantwoordelijke. Dus bijvoorbeeld in een werkgevers-werknemersrelatie of wanneer de betrokkene een klant is van de verwerkingsverantwoordelijke. Voorbeelden van een gerechtvaardigd belang zijn fraudevoorkoming, direct marketing of netwerk- en informatiebeveiliging.

De grondslag bevat, in tegenstelling tot de andere grondslagen, de verplichting voor de verwerkingsverantwoordelijke tot het afwegen van zijn gerechtvaardigde belangen tegenover de belangen of de grondrechten en de fundamentele vrijheden van de betrokkenen. Wegen de belangen van de betrokkene zwaarder, dan is de verwerking niet toegestaan op basis van deze grondslag. Dit kan zo zijn in het geval waarin de betrokkene redelijkerwijs geen verdere verwerking verwacht. Bijvoorbeeld als de betalingsgegevens van een rekeninghouder door een bank worden verstrekt aan een commerciële partij.

Image removed.

Rechtsgronden, gerechtvaardigde belangen, verwerkingsdoeleinden en verwerkingen

In de praktijk blijkt soms verwarring te bestaan met betrekking tot verschillende begrippen die verband houden met de verwerking van persoonsgegevens. Er dient onderscheid te worden gemaakt tussen een rechtsgrond, een gerechtvaardigd belang, een doeleinde en een verwerking.

Er bestaan zes rechtsgronden die zijn vastgelegd in de wet. Deze rechtsgronden zijn voor iedere verwerkingsverantwoordelijke van belang. Zoals hiervoor besproken dient altijd een grond aanwezig te zijn, anders mogen gegevens niet worden verwerkt.

Een gerechtvaardigd belang is één van de rechtsgronden en houdt verband met een individuele verwerkingsverantwoordelijke. Een voorbeeld is het waarborgen van de beveiliging van een gebouw.

Een verwerkingsdoeleinde is specifieker en hangt samen met de verwerking van persoonsgegevens. Teneinde een gebouw te beveiligen (gerechtvaardigd belang) krijgt al het personeel een persoonlijke toegangspas (verwerkingsdoeleinde).

Daarnaast worden gegevens verwerkt. Dit is het verzamelen van de persoonsgegevens en het uiteindelijk (digitaal) plaatsen van de persoonsgegevens ‘op’ een toegangspas. Het gaat in dit geval dus om de specifieke verwerkingshandelingen die worden verricht om een verwerkingsdoeleinde te bereiken.

Tot slot

Heeft u vragen over het (rechtmatig) verwerken van persoonsgegevens en/of de AVG? Wij beantwoorden deze graag. Neem contact op met Jennifer Quik (j.quik@vandiepen.com).

De AVG is eindelijk hier

Vanaf vandaag, 25 mei 2018 is het zover: de Algemene Verordening Gegevensbescherming (AVG) is van toepassing in de Europese Unie. Na een transitieperiode van twee jaar (sinds mei 2016) dienen bedrijven die persoonsgegevens verwerken te voldoen aan de eisen van de verordening. In een korte reeks van blogs leggen wij uit wat de belangrijkste verplichtingen zijn waaraan de verwerkingsverantwoordelijke dient te voldoen op het moment dat hij persoonsgegevens verwerkt van de betrokkene. En daarbij worden voornoemde begrippen uiteraard toegelicht.

Definities

Te beginnen met het begrip persoonsgegeven. Dit is alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (de betrokkene). Het gaat hierbij om gegevens waarvan je weet bij welke persoon die horen. Denk bijvoorbeeld aan naam, adresgegevens en een telefoonnummer.

Privacywetgeving is van toepassing op het moment dat persoonsgegevens worden verwerkt. Het begrip verwerken omvat alle handelingen die kunnen worden uitgevoerd met persoonsgegevens, zoals verzamelen, opslaan en versturen. Maar ook het afschermen, uitwissen en vernietigen van gegevens is een vorm van verwerken. Degene die bepaalt wélke gegevens worden verwerkt en wáárom de gegevens worden verwerkt, wordt aangemerkt als de verwerkingsverantwoordelijke. De privacywetgeving legt bij deze partij de verantwoordelijkheid voor het zorgvuldig verwerken van de persoonsgegevens.

Privacywetgeving

Persoonsgegevens zijn onderdeel van iemand zijn persoonlijke levenssfeer. Een ieder heeft het recht op bescherming daarvan. Dat wordt gedaan door verschillende (inter)nationale wetgeving. In Europa geldt een richtlijn van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (Richtlijn 95/46/EG). Hierin staat aangegeven op welke wijze persoonsgegevens moeten worden beschermd en mogen worden verwerkt. De lidstaten hebben de richtlijn omgezet in nationale wetgeving en zo bestaat er dus per Europees land een afzonderlijke privacywet. In Nederland hebben wij de Wet bescherming persoonsgegevens (Wbp). De richtlijn stamt echter uit 1995 en sindsdien is (op technologisch gebied) veel veranderd. Reden voor een herziening in de vorm van de AVG. Deze wet is een verordening en heeft, in tegenstelling tot de richtlijn, rechtstreekse werking. Dit houdt in dat de lidstaten de bepalingen niet hoeven om te zetten naar nationale wetgeving, maar dat dezelfde wet in alle Europese landen geldt. Met het van toepassing worden van de AVG, op 25 mei 2018, wordt Richtlijn 95/46/EG ingetrokken en vervalt de Wbp.

Belangrijke veranderingen die de AVG met zich meebrengt zijn de versterking en uitbreiding van de rechten van betrokkenen, meer verantwoordelijkheden voor organisaties en de verhoging van de maximale boetes die kunnen worden opgelegd door de nationale toezichthouders (in Nederland is dat de Autoriteit Persoonsgegevens). Onder de Wbp kan de boete oplopen tot maximaal € 830.000,- of 10% van de jaaromzet indien het bedrag geen passende maatregel is. Onder de AVG kan een boete oplopen tot maximaal 20 miljoen euro of, als dat bedrag hoger is, 4% van de totale wereldwijde jaaromzet. Overigens zou de boete niet (alleen) de reden moeten zijn voor bedrijven om zich te verdiepen in de AVG. Het voldoen aan de AVG biedt de mogelijkheid tot het aantonen van de betrouwbaarheid van het bedrijf voor wat betreft de zorgvuldige verwerking van persoonsgegevens.

AVG-reeks

Een deel van de verplichtingen van de verwerkingsverantwoordelijke onder de AVG is dezelfde als onder de Wbp. Een aantal verplichtingen is uitgebreid en er zijn een aantal nieuwe verplichtingen toegevoegd. In deze AVG-reeks wordt kort ingegaan op de belangrijkste verplichtingen waaraan de verwerkingsverantwoordelijke moet voldoen, waaronder het opstellen van een privacyverklaring, de meldplicht datalekken en het afsluiten van een verwerkersovereenkomst met een verwerker.

Tot slot

Heeft u vragen over de AVG? Wij beantwoorden deze graag. Neem contact op met Jennifer Quik (j.quik@vandiepen.com).

Privacy in de zorg (deel 2): NEN 7510 en 7512 best practice of verplicht?

Met de inwerkingtreding van het Besluit elektronische gegevensverwerking door zorgaanbieders op 1 januari 2018, wordt aan de verantwoordelijke voor een elektronisch uitwisselingssysteem en aan de zorgaanbieder de eis gesteld dat zij zorgen voor een veilig en zorgvuldig gebruik van hun systemen overeenkomstig het bepaalde in de NEN 7510 en NEN 7512. Dit betekent dat het voldoen aan deze normen per 1 januari 2018 verplicht is en niet louter een “best practice”.

De huidige Wet bescherming persoonsgegevens (Wbp) verplicht de verantwoordelijke “passende technische en organisatorische maatregelen” te nemen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Op grond van artikel 26 Wbp kunnen bij algemene maatregel van bestuur nadere regels worden gesteld ten aanzien van deze verplichting. Het Besluit elektronische gegevensverwerking door zorgaanbieders geeft invulling aan deze verplichting voor zorgaanbieders en andere organisaties die bij de informatievoorziening in de gezondheidszorg betrokken zijn. Het Besluit verwijst dwingend naar de normen NEN 7510 en 7512. Dit betekent dat voldoen aan deze normen een wettelijke verplichting is.

De NEN 7510 is een norm voor het organisatorisch en technisch inrichten van informatiebeveiliging in de zorg en heeft betrekking op vertrouwelijkheid, integriteit en continuïteit van de geautomatiseerde informatievoorziening. De NEN 7512 is een nadere invulling van de NEN 7510 betreffende de veiligheid van gegevensuitwisselingen tussen partijen in de zorg. Deze norm ziet op de elektronische communicatie in de zorg tussen zorgaanbieders en zorginstellingen onderling, met patiënten, met zorgverzekeraars en andere partijen die bij de zorg betrokken zijn.

De Minister van VWS heeft de normen afgekocht. Dit betekent dat de normen vrij verkrijgbaar zijn. In het Besluit wordt verwezen naar de NEN zonder dat daarbij een versie wordt genoemd. Dit betekent dat steeds de laatste gepubliceerde versie van toepassing is. Door het Ministerie van Volksgezondheid, Welzijn en Sport zal in de Staatscourant steeds mededeling worden gedaan van een nieuwe uitgave van NEN en vanaf welke datum de nieuwe uitgave van toepassing wordt. Hierbij zal volgens het Besluit rekening worden gehouden met de benodigde implementatietijd die nodig kan zijn om aan wijzigingen in NEN te voldoen. Zorgaanbieders dienen dus oplettend te zijn!

Wilt u meer weten over privacy in de zorg? Neemt u dan contact op met Natascha van Duuren, partner IT, IE & privacy,