19feb, 18
VANDIJK advocaten - De Algemene Verordening Gegevensbescherming/General Data Protection Regulation : bescherming persoonsgegevens op internet (deel 3) (mr. Ynke M.M. Ooykaas)

Het jaar 2018 belooft een spannend jaar te worden voor iedereen die met data te maken heeft. Bedrijven hebben tot 25 mei 2018 de tijd te voldoen aan de Algemene Verordening Gegevensbescherming (AVG) of in het Engels General Data Protection Regulation ( GDPR). De AVG is mei 2016 in werking getreden, maar bedrijven hebben nog tot 25 mei 2018 de tijd om aan deze ingrijpende richtlijn te voldoen.

Het eerste artikelen over de AVG gingen over het doel, de achtergrond en de definitie van persoonsgegevens. Dit deel gaat over het gebruik en het verwerken van persoonsgegevens.

Wat valt er onder het verwerken van persoonsgegevens?

Elke handeling waarbij persoonsgegevens worden gebruikt, valt onder het verwerken van persoonsgegevens. Denk aan het verzamelen, ordenen, opslaan, bijwerken, raadplegen, doorsturen of ter beschikking stellen van gegevens, maar ook het combineren of wissen van gegevens. Daaronder valt dus bijvoorbeeld ook het maken van een zogenaamd ‘smoelenboek’, het plaatsen van gegevens op een webpagina, het bijhouden van een bestand voor relaties of een klant vragen een vragenformulier in te vullen.  De definitie van de term ‘verwerken’ is met opzet heel ruim gehouden. Het doel van de AVG is tenslotte het privéleven van burgers meer bescherming te bieden tegen ongelimiteerd gebruik/misbruik van persoonsgegevens.

Let op: er gelden afhankelijk van het soort gegevens dat wordt geregistreerd extra eisen. Zo gelden andere criteria voor de registratie van klantgegevens dan de registratie van een medisch dossier.

Wanneer mag u gegevens verwerken?

De hoofdregel is dat u persoonsgegevens niet zomaar mag verzamelen en verwerken. Daar moet een gegronde basis voor zijn. De belangrijkste grondslag is het verkrijgen van toestemming.
In dat geval geldt een aantal zaken:

  • u moet de persoon om wie het gaat in eenvoudige, begrijpelijke taal  vragen of u zijn persoonsgegevens mag gebruiken;
  • u moet de identiteit bekend maken van het bedrijf dat de gegevens gaat gebruiken;
  • u moet vooraf aangeven dat u de gegevens gaat gebruiken;
  • u moet vooraf aangeven waarvoor u de gegevens gaat gebruiken en per soort gebruik toestemming vragen (dus aparte toestemming vragen voor een mailing, uitnodigingen voor bijeenkomsten e.d.).
    Let op: het simpelweg verwijzen naar een privacyverklaring en de websitebezoeker daar door middel van een vinkje mee akkoord laten gaan, is niet goed genoeg;
  • u moet vooraf aangeven dat de gegeven toestemming altijd kan worden ingetrokken;
  • de toestemming moet worden gegeven door een expliciete handeling. Het is dus niet “wie zwijgt, stemt toe”;
  • u mag geen gebruik maken van ‘chantage’. U mag dus geen verband leggen tussen het gebruik van bepaalde producten of diensten en de afgifte van gegevens. Dat mag alleen wanneer de gegevens nodig zijn voor de uitvoering van een overeenkomst. Bijvoorbeeld wanneer u de gegevens over de intensiteit van het printergebruik nodig heeft om een goede offerte af te kunnen geven;
  • er mag geen sprake zijn van een afhankelijke relatie, in dat geval zouden de gegevens niet uit eigen vrije wil verstrekt kunnen zijn. Zo is de toestemming van de werknemer voor het registreren van bepaalde gegevens onvoldoende wanneer men ervan uitgaat dat de werknemer in een ondergeschikte positie staat ten opzichte van de werkgever en de werknemer dus niet vrijelijk ja of nee kan zeggen. Het vragen van toestemming is dus geen goede basis voor het registreren van gegevens van werknemers;
  • wees voorzichtig met het registeren van gegevens van kinderen onder de 16 jaar. U moet zich er, voor zover technisch mogelijk, van verzekeren dat degene die toestemming geeft 16 jaar of ouder is of anders de ouder of voogd om toestemming vragen.
  • u mag de toestemming voor het gebruiken van persoonsgegevens ook verwerken in een ander schriftelijk stuk (bijvoorbeeld een contract) dat getekend moet worden. Let erop dat het gedeelte inzake de verwerking van persoonsgegevens apart van de rest van het contract worden vermeld.

De AVG gaat ervan uit dat de personen van wie u persoonsgegevens gebruikt hiervoor geen toestemming hebben gegeven tenzij u kunt aantonen dat zij wél toestemming hebben gegeven. Het is dus belangrijk dat u de gegeven toestemming goed administreert.

Toestemming is slechts één van de pijlers van de nieuwe AVG. In het volgende deel andere gronden die als basis kunnen dienen om persoonsgegevens te verwerken.

y.ooykaas@vandijkadvocaten.nl

Meer informatie? Neem contact met ons op!