Locatie Amsterdam
Jollemanshof 12
1019 GW Amsterdam
Telefoon
020 663 1941
E-mail
info@ictrecht.nl
KvK
34216164
BTW
NL8223.30.040.B01
Locatie Groningen
Leonard Springerlaan 35
9727 KB Groningen
Telefoon
050 209 34 99
E-mail
info@ictrecht.nl
KvK
68038712
BTW
NL857275835.B01
Locatie Brussel
Avenue Louise 65
1000 Brussel
Telefoon
+32 (0)2 535 77 55.
E-mail
info@legalict.com
Ondernemingsnummer
0696.909.465
BTW
BE 0696.909.465
Terug naar overzicht

Heeft uw organisatie last van privacy kramp?

18 december 2019 Door

Juridisch Product

De privacy juristen van adviesbureau ICTRecht helpen uw organisatie bij het in lijn handelen met de nieuwe privacywetgeving. Van het uitvoeren van een privacy audit tot het opstellen van diverse privacydocumenten; onze privacy juristen staan voor u klaar.

Privacy komt veel in het nieuws. De nieuwsberichten over datalekken, zaken die niet meer zijn toegestaan ‘vanwege privacy’ of onderzoeken vanuit de toezichthouder zijn bijna aan de orde van de dag. Dit zorgt ervoor dat veel bedrijven een negatieve kijk krijgen op de Algemene verordening gegevensbescherming (AVG). Onnodig, vinden wij. In deze blog nemen wij jullie mee in deze reactie op de AVG, die wij ook wel ‘privacy kramp’ noemen.

Rechtmatige omgang met persoonsgegevens

De AVG, in de volksmond: de privacywet, gaat over een rechtmatige omgang met persoonsgegevens. Deze Europese verordening bevat een aantal belangrijke bepalingen die deze rechtmatige omgang met persoonsgegevens bevorderen. In deze blog behandelen wij een paar belangrijke aandachtspunten, de reactie(s) van de Europese toezichthouder(s), maar ook hoe organisaties hier eigenlijk mee om hóren te gaan.

Grondslag en doelbinding

Een organisatie mag persoonsgegevens enkel verwerken voor een gerechtvaardigd doel. Dit doel moet (vooraf) duidelijk zijn en wanneer persoonsgegevens voor een bepaald doel zijn verkregen, moet de daadwerkelijke verwerking verenigbaar zijn met dat doel. Zo werd door de Belgische toezichthouder bijvoorbeeld een boete opgelegd omdat gegevens die werden verkregen in het kader van een bouwkundig project, werden hergebruikt voor verkiezingsdoeleinden. Naast een welbepaald doel, dient een organisatie voor alle verwerkingen een rechtmatige grondslag te hebben. Het verwerken van persoonsgegevens betekent namelijk dat er een inbreuk wordt gemaakt op de privacy van de betrokkenen. Dat mag alleen wanneer de organisatie zónder deze gegevens haar doel niet kan bereiken. Dat betekent dat een organisatie zich op een van de zes grondslagen moet kunnen beroepen. Anders is de verwerking onrechtmatig. In Oostenrijk is er bijvoorbeeld een boete opgelegd vanwege het toepassen van cameratoezicht zonder passende grondslag.

De grondslag en het welbepaalde doel waar de gegevens voor gebruikt gaan worden, dienen voorafgaand aan de verwerking al duidelijk te zijn. Wanneer organisaties vooraf tijd reserveren om hierover na te denken, voorkomen zij angst en boetes voor een onrechtmatige verwerking. Dit gold ook voor de Nederlandse banken: De APheeft in juli van dit jaar per brief aan de Nederlandse Vereniging van Banken de banken opgeroepen om hun voornemens voor gepersonaliseerde reclame te heroverwegen. De verdere verwerking van transactiegegevens voor direct marketing-doeleinden zonder toestemming is waarschijnlijk onverenigbaar met het doel – namelijk: afhandeling transacties – waarvoor de gegevens oorspronkelijk zijn verzameld én daardoor dus onrechtmatig.

Informeren

Voor betrokkenen moet het duidelijk zijn waarom en op welke manier hun persoonsgegevens worden verwerkt. Dit betekent dat zij moeten worden geïnformeerd via bijvoorbeeld een privacyverklaring. Een privacyverklaring moet in begrijpelijke taal duidelijk maken wat een organisatie doet met persoonsgegevens, zodat betrokkenen zelf kunnen beslissen of zij hun persoonsgegevens wel willen delen. De toezichthouders van Polen en Frankrijk hebben al boetes opgelegd voor het niet voldoen aan deze verplichting. Een opvallende (én krampachtige) reactie van organisaties is de lange en onbegrijpelijke privacyverklaring. Dergelijke boetes zijn echter gemakkelijk(er) te voorkomen: door transparant te zijn richting betrokkenen over wat je precies doet met welke gegevens, voorkom je niet enkel een boete, maar zorg je ook voor een eerlijke en open houding. Betrokkenen zijn zich bovendien steeds meer bewust van hun rechten en willen dan ook graag weten wat een bedrijf precies doet met hun persoonsgegevens en met welke derden deze gegevens worden gedeeld.

Uiteenlopende verplichtingen

Naast het hebben van een grondslag, een doeleinde én natuurlijk het infomeren daarover, is er nog een aantal andere zaken waar organisaties rekening mee moeten houden. Organisaties mogen bijvoorbeeld niet méér gegevens verwerken dan zij nodig hebben voor het doel en zij moeten zorgen voor passende beveiliging. Het maken van passende afspraken over de omgang met persoonsgegevens met derde partijen is daarbij van groot belang. Dit brengt met zich mee dat er soms ten onrechte met verwerkersovereenkomsten wordt gesmeten, aldus collega Arnoud Engelfriet. Ook ten aanzien van de website dient een organisatie aan bepaalde verplichtingen te voldoen. Zo werd vorige week duidelijk dat de AP aan het handhaven is op het gebruik van cookies. Veel organisaties maken namelijk nog gebruik van irritante cookiebanners (of zelfs nog steeds –walls).

De krampachtige reactie

Een veelgehoorde kreet is: ‘dat mag niet meer, vanwege de privacy’. Enerzijds klopt het dat niet alles meer mag: er zijn natuurlijk ook niet voor niets binnen één jaar ruim 144.000 privacy klachten binnengekomen bij de verschillende toezichthouders in Europa. Anderzijds is de AVG niet in het leven geroepen om alles te verbieden. De AVG is er om onrechtmatige verwerkingen te voorkomen en hiermee betrokkenen te beschermen. Eigenlijk mag heel veel nog, maar dwingt de AVG organisaties om goed na te denken over wat zij (willen gaan) doen met persoonsgegevens. Een goede overweging en vastlegging daarvan zal met zich meebrengen dat organisaties zelf tot bepaalde inzichten komen over de rechtmatigheid van hun verwerkingen. We dienen ook niet te vergeten dat de AVG een voorganger heeft, de Wet bescherming persoonsgegevens (Wbp), welke al uitging van dezelfde basisprincipes. Een groot aantal regels bestond dus al, maar sommige organisaties waren zich daar nog niet van bewust. Een te strenge interpretatie in reactie op de boetes en klachten is natuurlijk begrijpelijk. Dit is echter niet te bedoeling en zorgt voor een averechts effect: privacy is een grondrecht, maar dit grondrecht is er niet om de dagelijkse praktijk moeilijk of onwerkbaar te maken.

Twijfelt u of uw organisatie op de juiste manier met persoonsgegevens omgaat? Neem dan contact op met één van onze privacy specialisten via info@ictrecht.nl.

Linde Mensink

Juridisch adviseur

Linde Mensink werkt bij ICTRecht als juridisch adviseur binnen het privacyteam en is Certified Information Privacy Professional/Europe (CIPP/E). Binnen ICTRecht houdt zij zich voornamelijk bezig met de beantwoording van uiteenlopende juridische vraagstukken op het gebied van privacywetgeving.


Er zijn 2 reacties

  1. Waar vaak aan voorbijgegaan wordt is dat veel organisaties hun procedures of processen opgeschoond hebben omdat tijdens een PbD of DPIA bleek dat het administratief allemaal toch niet zo geweldig efficiënt of degelijk geregeld was, een prachtige bijvangst dus.

    Een nieuwe AP-leuze zou kunnen zijn: Als de ene hand de andere wast worden ze beide schoon of zoals Cruijff zou zeggen: ‘Ieder nadeel heeft zijn voordeel’.

    ps. het aantonen van die efficiëntieslag helpt de budgethouder zeker om akkoord te krijgen op een volgende budgetronde, zegt het voort 😉

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Uw persoonsgegevens gebruiken wij alleen voor het plaatsen en verwerken van uw reactie. Lees de privacyverklaring voor meer informatie