Privacy is een gevoel

De algemene verordening gegevensbescherming bevat op Europese leest geschoeide regels voor de omgang met persoonsgegevens. Deze wet bestrijkt vrijwel alle sectoren in de maatschappij en geldt zowel voor de overheid als voor het bedrijfsleven. De AVG voorziet in een onafhankelijke toezichthouder, de Autoriteit Persoonsgegevens. De wet biedt daarnaast de mogelijkheid om een interne, binnen het bedrijf, toezichthouder aan te stellen: de functionaris voor de gegevensbescherming.

De functionaris voor de gegevensbescherming (FG) is iemand binnen de organisatie en houdt onafhankelijk toezicht op de toepassing en naleving van de AVG. Meldingen van verwerkingen van persoonsgegevens kunnen bij deze functionaris worden gedaan. Tevens is hij een deskundig aanspreekpunt voor de verantwoordelijke. Ook kan hij als contactpersoon optreden voor mensen van wie persoonsgegevens worden verwerkt: klanten, personeelsleden en burgers. Benoeming van een functionaris voor de gegevensbescherming leidt ertoe dat de Autoriteit Persoonsgegevens zich terughoudend opstelt ten aanzien van organisaties waarin deze FG naar behoren werkzaam is.

De FG moet worden aangemeld bij de Autoriteit Persoonsgegevens, die een lijst van organisaties met dergelijke functionarissen bijhoudt. Tenslotte bepaalt de AVG dat de FG een jaarverslag moet uitbrengen. Dit jaarverslag staat niet gedefinieerd en de Autoriteit Persoonsgegevens verwacht dat het opgestuurd wordt aan de Autoriteit Persoonsgegevens maar dit is niet verplicht. Vaak wordt het privacy deel in het jaarlijks verslag van het bedrijf behandeld. 

De bevoegdheden van de FG staan in artikel 58 van de AVG. Hij houdt er toezicht op dat de verwerking van persoonsgegevens in de organisatie die hem heeft aangesteld, plaatsvindt in overeenstemming met de AVG. Indien er binnen de organisatie een gedragscode bestaat voor gegevensverwerkingen, dan strekt het toezicht van de functionaris zich ook uit tot de naleving van deze gedragscode.

Voordat een nieuw verwerkingsactiviteit, bijvoorbeeld ‘aanvraag verhuizen’, wordt gestart, wordt een verantwoordelijke toegewezen. Dit kan een redacteur (diensten) of een domeincoördinator (CMO) zijn. De, natuurlijke, persoon is verantwoordelijk voor alle 10 stappen van het plan en de verwerking hiervan voor de specifieke activiteit.

Deze verantwoordelijkheid wordt overigens vaak vanuit de ‘code of conduct’ neergelegd bij de onderneming. Zij is de natuurlijke persoon als het gaat om degene die formeel-juridisch de bevoegdheid heeft om doel en middelen te bepalen. Met andere woorden. De code of conduct beschrijft hoe de verwerker zijn werkzaamheden moet uitvoeren. Als de werknemer de werkzaamheden uitvoert zoals beschreven in de Code of Conduct, dan wordt de verantwoordelijkheid verplaatst/verschoven naar de werkgever, zij die de Code of Conduct heeft opgesteld.

De intern verantwoordelijke functionaris onderzoekt of de werkgever de enige verantwoordelijke is voor de verwerking van persoonsgegevens. Het kan zijn dat bijvoorbeeld een email-provider of een andere externe leverancier mede verantwoordelijk is voor de persoonsgegevens. Is dit laatste het geval, dan hebben de verschillende partijen iedere verantwoordelijkheid voor het eigen deel van verwerking. Een overeenkomst tussen de verschillende partijen wordt afgesloten om de bescherming van de persoonsgegevens te garanderen.

TIP

• Contractueel vastleggen samenwerking igv meerdere gegevens verwerkers.
• De redacteur die verantwoordelijk is voor de interactie met de gebruiker is tevens verantwoordelijk voor de invulling van het 10 stappen plan. 
• Per activiteit zijn er 2 verantwoordelijken, de FG en de intern verantwoordelijke proceseigenaar

Ieder bedrijf heeft verschillende campagnes en acties met bijbehorende contactmomenten. Voor ieder contactmoment is het belangrijk om het doel te bepalen en de daarbij behorende persoonsgegevens. Dit is noodzakelijk, ook omdat vaak toestemming nodig is van de persoon in kwestie, zie ‘STAP 6’. Om toestemming te verkrijgen van de gebruiker, zal deze gebruiker natuurlijk moeten weten wat de reden is van het doel.

Nadat het doel van het verzamelen van gegevens is bepaald in stap 2, wordt gekeken naar de relevante data die hiervoor nodig is. Welke informatie heb je nodig, van een bewoner, om zowel technisch als organisatorisch een verhuizing door te voeren.

Er zijn 3 typen of persoonlijke gegevens:

• Reguliere persoonsgegevens
• Sensitieve persoonsgegevens
• Persoonsgegevens voor bepaling identiteit, als paspoortnummer

Sensitieve persoonsgegevens en gegevens voor de bepaling van de identiteit worden ook wel bijzondere gegevens genoemd. Artikel 22 van de AVG bevat een verbod op de verwerking van bijzondere persoonsgegevens (zoals godsdienst, ras, politieke gezindheid, gezondheid en strafrechtelijk verleden), tenzij de wet voorziet in een uitdrukkelijke grondslag daarvoor.

Let op, de sensitieve persoonsgegevens is een vast set gegevens. Ze staan vermeld in het gegevensmodel om te zorgen dat de bijzondere (sensitieve) persoonsgegegevens specifiek gemeld worden

Het AVG kan op grond van artikel 22, onder e van AVG een ontheffing verlenen, indien dit noodzakelijk is met het oog op een zwaarwegend algemeen belang en ook passende waarborgen worden geboden ter bescherming van de persoonlijke levenssfeer.

TIP

• Adequate maatregelen om persoonsgegevens te verwerken en beheren moeten geïmplementeerd worden.
  Met name sensitieve en ID persoonsgegevens dienen met zorg te worden bewerkt en beheerd. Het is gewenst om verwerking van sensitieve data altijd te overleggen met een FG.

De AVG beschrijft dat persoonsgegevens alleen verzameld mogen worden als deze ook absoluut nodig zijn. Overvloedige informatie is niet gewenst of toegestaan. Bovendien mag deze data alleen verzameld worden op het moment dat de data nodig is.

Nadat duidelijk is geworden welke persoonsgegevens nodig zijn voor de activiteit (stap 3) dient men te onderzoeken of deze data noodzakelijk is en niet overvloedig is aan het doel (stap 2).

TIP
Hoe minder persoonsgegevens verzameld worden per activiteit, hoe lager het risico is dat het conflicteert met de Privacy wet. Er zijn dan minder maatregelen die geïmplementeerd hoeven te worden om de data te beheren en/of te beveiligen.

Vraag jezelf altijd af:

• zijn de persoonsgevens relevant?
• zijn de persoonsgevens noodzakelijk?
• zijn de persoonsgegevens niet overmatig, wordt de informatie op het juiste moment gevraagd?
• zijn de persoonsgegevens beheersbaar

Als alle vragen met ‘Ja’ beantwoord kunnen worden dan is de verzameling van persoonsgegevens nodig en gewenst. Zo niet, dan is het niet verantwoord om de persoonsgegevens te gaan verwerken.

Voorbeeld: Als een bedrijf iemand in dienst wil nemen is uiteindelijk een BSN nummer nodig voor fiscale regelingen. Als de overeenkomst gesloten is.

Er zijn 2 manieren:

1. Bij de sollicitatie en in de motivatiebrief wordt om het BSN nummer gevraagd aan de werknemer.
2. Wanneer de sollicitant is aangenomen dan pas wordt het BSN nummer gevraagd. Immers van de mensen die niet aangenomen zijn, is geen BSN nummer nodig.

De tweede optie is de enige goede optie.

Elk natuurlijke persoon of instelling (betrokkene) waarvan persoonsgegevens verwerkt of beheerd worden, moet hiervoor vrijwillig en expliciet toestemming hebben gegeven. Voordat gestart wordt met de verzameling en het beheer van persoonsgegevens dient de betrokkene toestemming te hebben gegeven. Het liefst getekend op papier. In geval van sensitieve data is een geschreven toestemming altijd gewenst. Er zijn enkele uitzonderingen op deze regel. Met name binnen de BRP gelden andere regels.

In het geval dat de werkgever persoonsgegevens verzamelt via internet dan is er geen mogelijkheid om een geschreven toestemming te verkrijgen. In dit geval kan je de betrokkene om expliciete toestemming vragen door middel van een opt-in methode. In geval van commerciële mededelingen wordt er een zogenaamde dubbele opt-in gevraagd. Een betrokkene moet expliciet 2 keer toestemming geven. Bijvoorbeeld door het ‘aanvinken’ van een optie gevolgd door een waarschuwing die je ook moet bevestigen. Een ander voorbeeld is een bevestigingsemail die verstuurd wordt naar de persoon. In deze email staat een linkje waar je op moet klikken zodat de tweede toestemming geactiveerd wordt.

Vanuit de BRP bestaan vrijstellingen voor het aanmelden van persoonsgegevens. Deze vallen onder het BRP regime. In hoofdstuk 3 staat informatie over de BRP. Dit geld met name over overheid en gemeenten.

TIP

• Voeg een standaard ‘privacy statement’ toe een de website die geldig is voor alle formulieren.
• Voeg een standaard ‘privacy statement’ voor de levering van ‘statistische informatie’ aan derden.
• Gebruik een opt-in of dubbele opt-in in alle webformulieren.
• Bewaar de (geschreven) toestemming van de gebruiker zo lang de gegevens van die gebruiker verwerkt worden.
• Controleer vrijstelling vanuit de BRP

Wanneer gegevens niet alleen verwerkt of beheerd worden bij de werkgever dan is er sprake van gegevensstromen met (vrije)derden (bijvoorbeeld: leveranciers). In geval van gegevensstromen naar derden is het noodzakelijk om een duidelijk maatregelenpakket te beschrijven.

Dit maatregelenpakket bevat minimaal de volgende informatie:

• De namen van derden (leveranciers)
• De persoonsgegevens die getransporteerd worden
• Het doel van de gegevensoverdracht
• Toestemming van de verantwoordelijke van het deelproces

TIP

• De personen waarvan de persoonsgegevens overgedragen worden, dienen hiervan op de hoogte te zijn.
• Als de gegevensstroom naar derden alleen statistische informatie bevat die niet gerelateerd kan worden bestaande personen, dan volstaat een algemene vermelding in de ‘privacy statements’ van de werkgever.

Wanneer je persoonsgegevens verzamelt voor een specifiek doel, dan is het niet toegestaan om deze gegevens te gebruiken voor een ander doel. Tenzij de personen hiervoor toestemming hebben gegegeven. Deze permissie moet minimaal op papier staan of dubbel bevestigd in geval van elektronische toestemming. Dit alles om te bewijzen dat je de specifieke toestemming hebt verkregen van de betreffende persoon.

Voorbeeld: Betrokkene XYZ heeft toestemming gegeven om een nieuwsbrief X te ontvangen. Dan niet toegestaan om persoon XYZ een nieuwsbrief Y te versturen met een ander doel.

Belangrijk: Mocht je persoonsgegevens gebruiken voor meerdere doelen, dan is het belangrijk om het doel van de actie voldoende ruim te omschrijven. Hoe breder de doelstelling hoe meer mogelijkhden er bestaan om de informatie te verwerken.

TIP

• Allereerst moet worden bepaald welke persoonsgegevens noodzakelijk zijn om de dienst te kunnen verlenen.
• Bij het vaststellen van de noodzaak tot het verwerken van persoonsgegevens moet uitgegaan worden van de gedachte ‘hoe minder persoonsgegevens we verwerken, hoe beter’.
• In deze fase moet u rekening houden met feit dat bij de gegevensverwerking  meerdere organisaties en organisatieonderdelen betrokken kunnen zijn. Ieder belanghebbend onderdeel zal inspraak willen hebben in de bepaling welke persoonsgegevens moeten worden verzameld.
• Deze fase levert een overzicht op waarin uiteen is gezet welke persoonsgegevens om welke reden moeten worden verwerkt.
  Per slot van rekening kan geen misbruik worden gemaakt van gegevens die niet worden verzameld en is er minder inspanning nodig voor het beheer en de beveiliging van de persoonsgegevens.
• Maak de doelstelling niet te eng. Dit geeft weinig mogelijkheden voor opvolging van je campagne. Definieer een aantal grote campagnes bijvoorbeeld het “verzamelen van emailadressen tbv communicatie”, “selecteren doelgroep voor vrijwilligerswerk” of “ihkv 50% digitale communicatie in 2014 profielen verzamelen en onderhouden”.
• Geef wel een concrete opsomming v/d activiteiten

Persoonsgegevens die worden verwerkt en/of beheerd dienen adequaat beveiligd te worden tegen verlies, schade, diefstal of ongewenste toegang. Voor sensitieve persoonsgegevens dienen de beveiligingseisen nog hoger te zijn vanwege het grotere risico wat er mee gemoeid is.

Gebruik alleen servers en systemen die voldoende beveiligd kunnen worden. Bescherm het netwerk tegen binnendringers. Maak gebruik van virus en firewall software.

Wanneer het verwerken van persoonsgegevens extern uitgevoerd wordt, dan moet een overeenkomst gesloten worden tussen de werkgever en de derde partij ten aanzien van bescherming van persoonsgegevens.

TIP

• Alle werknemers dienen geïnformeerd te worden over de bescherming van persoonsgegevens en de richtlijnen om deze gegevens te verwerken
• Alleen verantwoordelijke personen verkrijgen toegang tot de persoonsgegevens
• Elke gebruiker moet een eigen unieke toegangscode hebben om in te loggen in de database of applicatie
• Elke toegangscode moet voorzien zijn van een sterk beveiligd wachtwoord
• De verwerking van persoonsgegevens moet worden gelogd door de applicatie en database
• Rechten en rollen van gebruikers dienen periodiek gecontroleerd
• Sensitieve persoonsgegevens dienen zeer beveiligd te worden, het liefst ge-encrypt
• Firewalls en antivirus programma’s dienen te worden geïnstalleerd
• In geval van externe dataverwerking dient er altijd een overeenkomst te bestaan
• De bescherming en encrypting van harde schijven van laptops, mobiele devices en andere schermen is zeer gewenst.

Wanneer een bedrijfsactiviteit op z’n einde loopt dan is het nodig om de persoonsgegevens te archiveren. Bewaar gearchiveerde persoonsgegevens altijd op een veilige en beheersbare manier.

Wanneer data gearchiveerd wordt, wordt de retentie periode voor dat doel in acht genomen. Ook wanneer back-ups gemaakt worden van deze data, dan dienen de back-ups net zo veilig behandeld te worden als de oorspronkelijke data.

In het geval dat de werkgever gearchiveerde data opnieuw wilt gebruiken, dan dient hiervoor toestemming aanwezig te zijn van de betrokkene.

Vanuit het programma ‘Excellente Informatiebeveiliging’ uit 2008 wordt jaarlijks gecontroleerd of de technologie voldoet aan de Privacy wet- en regelgeving.

TIP

• Hou ook rekening met andere retentie perioden als bijvoorbeeld de minimale bewaarplicht van bedrijfsgegevens of bijvoorbeeld de belasting wetgeving.

Wanneer de activiteit afgelopen is, of vanwege een expliciete vraag van een betrokkene, worden alle gegevens definitief verwijderd en vernietigd.

In het geval van gegevens uit het GBA gelden andere voorwaarden ten aanzien van het verwijderen van persoonsgegevens.

TIP

• De vernietiging moet worden gedefinieerd. Er moet bewijs zijn van de vernietiging van de persoonsgegevens.
  Vernietig ook de back-upgegevens
• Zorg ervoor dat harde schijven van computers en andere opslagmedia geleegd en geformatteerd worden bij doorverkoop aan derden
• In geval de betrokkene het bepaald zullen alle gegevens worden weggegooid. Er zijn uitzonderingen voor deze regel. Bijvoorbeeld dat gegevens 9 jaar bewaard moeten blijven voor belasting doeleinden.