Privacy Wetgeving Part II – De praktijk

Posted by on okt 19, 2017 in Accountancy, Blog, Nieuws | No Comments

Als zelfs een camera in een reclamezuil plaatsen discussie doet opwaaien rondom met privacy, wat mag er dan nog wel? (zie Privacy Wetgeving Part I) Met de toepassing van de Algemene Verordening Gegevensbescherming (AVG), de nieuwe privacywetgeving, in het verschiet is het toch vooral belangrijk om te weten ‘wat te doen als bedrijf’?

Wanneer mag je persoonsgegevens bedrijfsmatig verwerken?

Natuurlijk staat dat in allerlei uitgebreide termen in de verordening. Maar waar het op neer komt is dat je de persoonsgegevens mag verwerken als daar een reden voor is, ook wel een grondslag. Een toepassing hiervan is dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn of haar persoonsgegevens voor één of meerdere specifieke doeleinden. Denk hierbij aan overeenkomsten. Dus op basis van een arbeidsovereenkomst mag salarisverwerking plaatsvinden, zodat je salaris ook daadwerkelijk uitbetaald wordt. Maar ook wanneer je een reis boekt welke je vooraf betaald, zullen er gegevens vastgelegd moeten worden. Al deze vormen van verwerking van persoonsgegevens hebben een grondslag, een doel.

Reclame, identiteitsdiefstal en profiling.

Oké, je hebt als bedrijf die gegevens dus nodig voor bepaalde doeleinden, maar deze reden of grondslag die aanwezig moet zijn is natuurlijk niet het enige wat de AVG heeft vastgelegd. Want op grond van de privacywetgeving wordt jij als verwerker (lees: jij als bedrijf) geacht al het redelijk mogelijke te doen om te zorgen dat iemand zijn privacy niet onevenredig geschonden wordt. Dit klinkt logisch, maar toch wordt er maar zelden zo mee om gegaan.

Dit gaat van ongewenste reclame-uitingen tot ongewenste pogingen om je te beïnvloeden op basis van je profiel. Maar ook serieuzere zaken als identiteitsdiefstal of het niet kunnen afsluiten van verzekeringen vanwege gelekte gezondheidsdata. Of misschien nog wel een stap verder, er is een algoritme dat op basis je gezicht weet of je homo bent of niet.  Een vorm van profiling waar aan de hand van uiterlijk een profiel geschetst wordt over je seksualiteit. Maar dit zou natuurlijk ook kunnen over je politieke voorkeur of geloof. Allemaal informatie waarbij jij als bedrijf enorm veel kennis over iemand hebt. Wanneer deze gegeven naar buiten lekken of bewust gedeeld wordt met derden, kan dit grote gevolgen hebben voor de betreffende persoon.

De verplichtingen rondom het verwerken van persoonsgegevens.

Dus wat moet je volgens de AVG doen om dit te voorkomen? Je hebt ten eerste de verplichting om beleid op te stellen en ten tweede de verplichting om checks en audits uit te voeren of dit beleid ook daadwerkelijk wordt nageleefd. Niet erg ingewikkeld op het eerste oog. De crux zit hem vooral in het kunnen bewijzen en vastleggen dat je als bedrijf voldoet aan deze eisen van verwerking van persoonsgegevens.

Wat zijn de eisen aan verwerking van persoonsgegevens en waar moet je beleid dus aan voldoen?

  • Rechtmatigheid. Dit gaat dus in op de eerdergenoemde grondslag. Er moet een rechtmatige grondslag zijn en je verwerking van de persoonsgegevens moet ook in overeenstemming zijn met deze grondslag. Bijvoorbeeld: je hebt gegevens van een klant vanuit een contract, dan mag je deze niet aan derden verstrekken tenzij hiervoor expliciet toestemming is gegeven. Anders gezegd, het is jouw verantwoordelijkheid als verwerker wat een derde doet met jouw data.
  • Transparantie. De verantwoordelijke moet de natuurlijk persoon informeren over welke informatie zij verwerkt, met welke doelen, op basis van welke grondslag en welke rechten zij hebben.
  • Doelbinding. Hierbij gaat het om het feit dat gegevens niet voor andere doelen worden gebruikt dan de grondslag. Bijvoorbeeld je hebt adresgegevens op basis van een arbeidsovereenkomst, dan mag je deze gegevens niet gebruiken voor een reclameactie.
  • Juistheid. Jij als bedrijf, de verantwoordelijke, moet ervoor zorgen dat de gegevens die je verwerkt juist zijn en ook de juiste persoon betreffen.

Nogmaals, dit klinkt best logisch, maar de crux zit hem in het bewijzen en vastleggen dat je hieraan voldoet.

De praktijk…

Samengevat zijn voor de praktijk dus de volgende punten van belang:

  • Pas de privacy regels proactief tot op je activiteiten als bedrijf.
  • Maak duidelijke afspraken met verwerkers, waarin de verwerkingen alleen plaats vinden op basis van het overeengekomen doel en werkwijze.
  • En als laatste, een open deur, zorg dat de informatiebeveiliging op orde is! Anders heeft al het bovenstaande immers weinig nut en komt boven dien de “wet datalekken” ook nog eens om de hoek kijken.

Leave a Reply