Privacyrecht: praktische tips en handvatten

28 april 2020 | Neal Walenkamp

Privacyrecht: praktische tips en handvatten

Artikel 30 van de AVG vereist dat organisaties die persoonsgegevens verwerken, een register bijhouden van hun verwerkingsactiviteiten. Het opstellen en bijhouden van een verwerkingsregister helpt uw organisatie bij het in kaart brengen van het soort persoonsgegevens gegevens dat uw organisatie verwerkt, waar die gegevens worden opgeslagen en hoe dergelijke gegevens zich door en uit uw organisatie bewegen. Een goed bijgewerkt verwerkingsregister is dan ook de basis van het voldoen aan de AVG. De informatie die u verzamelt voor het opstellen van een verwerkingsregister wordt uw leidraad om te voldoen aan de kernartikelen van de AVG, waaronder artikel 6: de eis om een rechtmatige grondslag voor de verwerking vast te stellen, artikel 7: voorwaarden en vereisten voor het verkrijgen van toestemming, en de eis van artikel 13 om de details van uw verwerking bekend te maken in privacy verklaringen. Het is dus in het belang van uw organisaties om de verwerkte gegevens te inventariseren en te analyseren. Het kennen van de gegevens die uw organisatie verwerkt en waarom uw organisatie deze gegevens verwerkt, zal uw organisatie helpen bij het identificeren van de hiaten in uw AVG compliance programma, en zal de weg vrijmaken voor de naleving van de vele vereisten die de AVG stelt.

Tip: Wijs een paar personen aan die verantwoordelijke zijn voor het opstellen en voornamelijk ook bijhouden van het verwerkingsregister. Kies voor een systeemgerichte aanpak of voor een procesgerichte aanpak. Bij een systeemgerichte aanpak bekijk je per systeem welke gegevensverwerkingen daarin plaatsvinden. Bijvoorbeeld het HR-registratiesysteem. Bij een procesgerichte insteek bekijk je de verschillende gegevensverwerkingen per proces binnen de organisatie. Denk daarbij aan: het afhandelen van bestellingen, werving en selectie en controle van werknemers.

Wat moet ik regelen op het gebied van cookies?

Veel websites maken gebruik van cookies. Een cookie is een klein tekstbestandje dat een website op het (mobiele) apparaat van de bezoeker plaatst. De belangrijkste functie van een cookie is om de ene bezoeker van de website te onderscheiden van de andere. Er bestaan verschillende soorten cookies. Voor bepaalde cookies is toestemming vereist van de bezoeker van de website omdat die cookies persoonsgegevens verwerken. De toestemming wordt meestal gevraagd via een cookiemelding of -banner op de website. Een cookiewall (en cookie muur die de website blokkeert en de gebruiker dwingt akkoord te gaan) is niet toegestaan. Verder is het verplicht de bezoeker van de website uit te leggen welke cookies u gebruikt en met welk doel (bijv. doorgifte aan een derde partij, zodat u op maat gerichte advertenties (op social media) kunt aanbieden aan de betreffende bezoeker). Dit kan worden geregeld door middel van een  privacystatement of cookiepolicy op uw website.

Wat zijn de rechten van betrokkenen en hoe ga ik hiermee om?

‘Betrokkene’ is de wettelijke term voor de persoon van wie persoonsgegevens afkomstig zijn. Als persoonsgegevens worden verwerkt, heeft de betrokkene privacyrechten ten aanzien van die gegevens. Het gaat om de volgende rechten: 1.) recht op informatie 2.) recht op inzage 3.) recht op correctie 4.) recht om vergeten te worden 5.) recht op beperking van de verwerking 6.) recht op overdraagbaarheid 7.) recht op verzet en 8.) recht om niet te worden onderworpen aan automatische beslissingen. Het is belangrijk om de verzoeken van betrokkenen goed af te handelen. Niet in alle gevallen hoeft u (volledig) gehoor te geven aan verzoeken van betrokkenen, maar u moet wel uitleggen hoe u een verzoek heeft behandeld. Een handig hulpmiddel is een schematisch overzicht van de verschillende rechten, de mogelijke vragen van betrokkenen, de antwoorden vanuit uw organisatie en de concrete acties die uw organisatie kan ondernemen. Ten slotte, als u persoonsgegevens laat verwerken door een derde partij, dan is het belangrijk om afspraken te maken met deze partij over hoe wordt omgegaan met de rechten van betrokkenen.

Hoe lang mag ik persoonsgegevens bewaren?

Hoe lang u persoonsgegevens mag bewaren is niet in het algemeen te zeggen. De AVG schrijft geen specifieke termijnen voor. Uw organisatie mag de persoonsgegevens bewaren zo lang dat nodig is voor het doel waarvoor uw organisatie de persoonsgegevens heeft verzameld. Let wel: dat gegevens  mogelijk ‘handig voor in de toekomst’ zijn telt niet. In sommige gevallen schrijft een andere wet wel termijnen voor, bijvoorbeeld belastingwetgeving en/of de wet op de geneeskundige behandeling. Die termijnen zijn dan in principe leidend. Maar in de meeste gevallen moet uw organisatie deze termijnen zelf bepalen en vastleggen. Als de termijn verstreken is, dient u de persoonsgegevens ook echt te vernietigen.

Datalekprotocol

Een datalek klinkt ernstig – ‘dat komt in mijn organisatie niet voor’ – maar in de praktijk zijn datalekken helaas van alle dag; er is dan ook een aanzienlijke kans dat zich ooit een datalek bij uw organisatie heeft voorgedaan, of zal voordoen. Denk aan: de laptop/mobiele telefoon van de werknemer die per ongeluk kwijtraakt, een ransomware besmetting van uw ICT-systeem, of een lek in software – herinnert u zich de Citrix-situatie van begin 2020 nog? Laten we wel wezen: het is uiteraard het mooist als datalekken voorkomen worden. Het hanteren van een IT/ICT-reglement en de juiste bewaartermijnen, alsook de handhaving daarvan, dragen zonder meer bij aan de preventie van datalekken en het beperken van de impact daarvan. Het is echter onrealistisch om te verwachten dat een datalek zich nooit (meer) zal voordoen, voornamelijk omdat datalekken meestal worden veroorzaakt door menselijk handelen. Datalekken zijn een reëel bedrijfsrisico. Waar het dan ook eigenlijk om gaat: handelt uw organisatie adequaat in geval van een (eventueel) datalek? Adequaat handelen betekent: het datalek tijdig melden bij de AP en eventuele betrokkenen (de mensen van wie persoonsgegevens zijn gelekt) en maatregelen nemen om de impact daarvan te beperken. In een datalekprotocol worden concrete handvatten gegeven aan (de medewerkers van) uw organisatie hoe te handelen in geval van een datalek. Adequaat handelen verkleint de kans op boetes van de AP, alsook de eventuele afbreuk aan de reputatie van uw organisatie (‘negatief in de pers komen’).

IT/ICT-reglement/gedragscode

Grote kans dat er in uw organisatie met printers, laptops, toegangspassen, mobiele telefoons gewerkt wordt. Wellicht bent u al goed op weg en heeft u het gebruik van deze apparatuur en de onderliggende ICT-infrastructuur geregeld in een IT/ICT-reglement, dat wordt verstrekt bij de indiensttreding van een werknemer. Heeft u er ook al aan gedacht om deze regels toe te passen bij de inhuur van ZZP’ers, flexmedewerkers, consultants en/of gedetacheerden? En nemen (al) deze gebruikers van de ICT-middelen dan ook de ICT-regels in acht bij het thuiswerken? Voor (de voortzetting van) uw bedrijf is het belangrijk medewerkers te blijven wijzen op de geldende regelementen en dus niet alleen bij indiensttreding, maar ook gedurende het dienstverband, of, zoals we hiervóór zagen, bij andere vormen van werkondersteuning. Dit is niet alleen van belang ter voorkoming/beslechting van eventuele arbeidsgeschillen, maar, vooral ook om een cultuur te creëren waarbinnen het belang van databeveiliging net zo vanzelfsprekend wordt gevonden als het jaarlijkse bedrijfsuitje. Zeker wanneer uw medewerkers ook thuiswerken, is het nodig om bepaalde voorwaarden aan dat thuiswerken te stellen. Denk daarbij aan: niet inloggen op een onbeveiligd WIFI-netwerk (bijvoorbeeld in een koffietent), het lokaal opslaan van documenten (wij raden dit af) en het updaten van de virusscanner, firewall en beveiligingsupdates van  de apparatuur waarmee gewerkt wordt.

Direct marketing/nieuwsbrieven

Hoe houd je  klantenbinding? Door klanten regelmatig een folder te sturen met nieuwe acties of hen te attenderen op de opening van die nieuwe flagshipstore, toch? Het versturen van een nieuwsbrief is inderdaad een effectief en laagdrempelig middel om het contact met klanten te onderhouden én om de eigen onderneming te promoten. Rondom de inwerkingtreding van de AVG was er veel aandacht voor het (rechtmatig) versturen van nieuwsbrieven. Het had wat weg van symboolpolitiek, maar niettemin: het actueel houden van uw klantenbestand is een belangrijke – en gelukkig ook gemakkelijke – manier om (in dit opzicht) AVG-compliant te zijn. U weet waarschijnlijk dat u daadwerkelijke toestemming moet verkrijgen voor het versturen van nieuwsbrief (de zogenoemde ‘opt-in-toestemming’) en dat klanten ook de mogelijkheid moeten hebben om zich af te melden voor een eventuele nieuwsbrief. Heeft u er ook bij stilgestaan dat u (gegevens rondom) de toestemming dient bij te houden, zoals welke toestemming is gegeven, hoe en wanneer de toestemming is gegeven? Als u de klantgegevens voor direct marketing-doeleinden doorzet aan derde partijen, dan dient u klanten er bovendien op te attenderen dat dit gebeurt, zodat klanten een geïnformeerde toestemming kunnen geven.

Privacyverklaring

De AVG legt strenge regels op voor het verzamelen en verwerken van persoonsgegevens van betrokkenen. De manier waarop uw organisatie persoonsgegevens verwerkt dient boven alles transparant te zijn voor de betrokkenen. Een privacyverklaring is een document dat aangeeft welke persoonlijke gegevens uw organisatie van betrokkenen verzamelt, waarom en hoe uw organisatie deze bewaart. Het doel van een privacyverklaring is om gebruikers te informeren over hoe er met hun gegevens wordt omgegaan. Daarom moet de privacyverklaring toegankelijk zijn voor uw gebruikers en in een duidelijke en leesbare taal worden bewaard, daarnaast dient een privacyverklaring de betrokkenen te informeren over diens  rechten onder de AVG.

Tip: Schrijf begrijpelijk. Zonder onnodige juridische termen wordt de privacyverklaring al een stuk beter leesbaar.

Verwerkersovereenkomst

Vrijwel elk bedrijf is voor de verwerking van persoonsgegevens afhankelijk van derden. Of het nu gaat om een e-mailcliënt, een cloud-opslagservice of website-analysesoftware, de AVG verplicht uw organisatie om een verwerkingsovereenkomst af te sluiten met elk van deze diensten. Een overeenkomst inzake gegevensverwerking is een juridisch bindend contract waarin de rechten en plichten van elke partij met betrekking tot de bescherming van persoonsgegevens zijn vastgelegd. De afspraken die partijen in een verwerkersovereenkomst vastleggen binden partijen op dezelfde manier als het contract dat partijen sluiten voor de dienstverlening zelf. Waar partijen dagen, weken en soms maanden onderhandelen over een dienstverleningsovereenkomst wordt een verwerkersovereenkomst vaak niet dan wel met beperkte interesse geregeld. Dit terwijl er vaak afspraken in worden vastgelegd die ernstige gevolgen voor de bedrijfsvoering kunnen hebben, denk hierbij onder andere aan de verdeling van de aansprakelijkheid. Het is dan ook essentieel dat uw organisatie voldoende kennis heeft over de inhoud van de overeen te komen verwerkersovereenkomsten.

Tip: Zorg dat er een goede en voornamelijk werkbare conceptverwerkersovereenkomst wordt opgesteld. Stel één persoon of een projectteam aan die zich verdiepen in de verwerkersovereenkomst.

Team ICT & Privacy
Neal Walenkamp, Helena Lysaght en Nine Bennink