Klaar voor gegevensverwerking ingevolge de AVG ?

Door: mr. M.M. (Marlene) Plaß, mr. C.M. (Claudine) Hermesdorf, Ondernemingsrecht Datum: 7 maart 2018

Werkt u met persoonsgegevens, zoals bijvoorbeeld de gegevens van uw klanten? En zo ja, voldoet uw bedrijfsvoering al aan de Algemene Verordening Gegevensbescherming (AVG)?

De AVG treedt op 25 mei 2018 in werking en vervangt de Wet bescherming persoonsgegevens (Wbp). De AVG bevat nieuwe concepten, uitgebreide nieuwe verplichtingen voor het bedrijfsleven en versterkt de rechten van degene van wie gegevens worden verwerkt (‘de betrokkene’).

Door de strenge voorschriften gecombineerd met hoge boetes is het noodzakelijk dat u zich hierop goed voorbereidt. De verwerking van persoonsgegevens leidt tot nieuwe zorgplichten voor de verantwoordelijke, zoals een documentatieplicht en een dataminimalisatiebeleid. Daarbij moet de verantwoordelijke steeds zelf controleren of de verwerking wel in overeenstemming is met de wet- en regelgeving.

Wat zijn persoonsgegevens?

Onder de definitie persoonsgegevens valt “alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”).” Maar wat betekent in deze samenhang “identificeerbaar”? Het gaat om de mogelijkheid om iemand direct of indirect te kunnen identificeren aan de hand van bepaalde identificatoren. Deze identificatoren kunnen zijn een naam, een identificatienummer, locatiegegevens, een online identificator, adressen, enz.

Voorbeelden uit de praktijk

U werkt met klantgegevens? In dat geval kunnen als “de persoon identificeerbare gegevens” bijvoorbeeld worden aangemerkt: de naam en voornamen, voorletters, titulatuur, geslacht, geboortedatum, adres, postcode, woonplaats, telefoonnummer en soortgelijke voor communicatie benodigde gegevens (bijvoorbeeld het e-mailadres), het bankrekeningnummer.

Verwerking van persoonsgegevens

Pas indien u als organisatie persoonsgegevens ‘verwerkt’, is de AVG van toepassing. Wat valt onder het begrip verwerking? Voorbeelden volgens de AVG zijn “het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.”

Het begrip ‘verwerking’ is dus zeer ruim en kan van toepassing zijn op elk passief en actief handelen met persoonsgegevens.

Wanneer mag ik persoonsgegevens verwerken?

Het uitgangspunt is, dat u geen gegevens mag verwerken, tenzij hiervoor een wettelijke grondslag bestaat. Deze grondslagen zijn er indien u toestemming heeft van de betrokken persoon of indien de gegevensverwerking noodzakelijk is:

  • voor de uitvoering van een overeenkomst;
  • voor het nakomen van een wettelijke verplichting;
  • ter bescherming van de vitale belangen;
  • voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag;
  • voor de behartiging van de gerechtvaardigde belangen.

Het verkrijgen van toestemming van de betrokkene is overigens niet altijd wenselijk of in de praktijk goed te bewerkstelligen. Bovendien zijn er ook nadelen aan verbonden, zoals de mogelijkheid tot intrekking van de toestemming. Hier zullen wij later in een specifiek artikel op ingaan.

Verplichtingen voor de verantwoordelijke

Nieuw onder de AVG is de documentatieplicht van het privacybeleid, het dataminimalisatiebeleid, de policy en procedures. Kort gezegd dient u uw compliance inzake de gegevensbescherming schriftelijk vast te leggen. In sommige gevallen is eveneens een Privacy Impact Assessment (PIA) verplicht.

Onder omstandigheden is uw organisatie bovendien wettelijk verplicht om een functionaris voor gegevensbescherming aan te stellen. Deze taak kan door een interne werknemer of door een externe worden uitgeoefend. Ook hier zijn voor- en nadelen aan verbonden. Te denken valt aan de bijzondere arbeidsrechtelijke bescherming van de interne werknemer in dit geval.

De betrokkenen verkrijgen onder de AVG nieuwe rechten, waarover zij eveneens geïnformeerd dienen te worden. Er is dus niet alleen een documentatieplicht voor de verantwoordelijke maar tegelijkertijd een informatieplicht. Deze kan praktisch gezien alleen goed worden nagekomen, indien de interne documentatie op orde is.

Vragen over implementatie?

Het onderwerp is complex en lastig om alle onderwerpen in een (serie van) artikelen te bespreken. Wij nodigen u daarom uit om in het geval van vragen over (de implementatie van) de AVG binnen uw organisatie contact met ons op te nemen via ondernemingsrecht@dekempenaer.nl of 026 3522 825, dan wel u aan te melden voor een van onze AVG-sessies.