Hoe werkt Privacy nu in de praktijk?

Iedere campagne of elk contactmoment dient er gekeken te worden of er gebruik wordt gemaakt van persoonlijke gegevens. Als er gebruik gemaakt wordt van persoonlijke gegevens, is dit dan toegestaan?Hieronder volgen een aantal vragen om te bepalen of het toegestaan is om bij een contactmoment of campagne persoonlijke gegevens te gebruiken.

Als u alle vragen positief kan beantwoorden of uitvoeren dan is er sprake van een ‘Vrijstelling van de wettelijke meldingsplicht’. Is dit niet het geval, dan zal de verwerking gemeld moet worden bij de desbetreffende instanties.

De persoon of instantie die het doel en de middelen voor de verwerking vaststelt is de verantwoordelijke. Deze definitie staat beschreven in de WBP. Om een vrijstelling van de wettelijke meldingsplicht te realiseren is het noodzakelijk om een verantwoordelijke persoon of instantie te hebben. In geval van meerdere verantwoordelijken zal de verwerking altijd gemeld moeten worden.

Degene die de werkzaamheden uitvoert, namens de verantwoordelijke, wordt de ‘bewerker’ genoemd. Dit kan een medewerker zijn maar het kan ook een externe leverancier zijn. Denk hierbij aan partijen die nieuwsbrieven versturen of externe partijen die applicaties ontwikkelen.

Een bewerker is niet verantwoordelijk voor de verwerking van de persoonsgegevens maar heeft wel bepaalde verplichtingen ten aanzien van de verwerking. Denk hierbij aan beveiligd transport of geheimhoudingsplicht. Eventueel kan een ‘bewerkersovereenkomst’ opgesteld worden. Deze overeenkomst legt de verplichtingen tussen verantwoordelijke en leverancier vast.

Handmatige verwerkingen zijn verwerkingen die alleen met de hand of met de mond gedaan worden. Er wordt dus geen systeem of applicatie gebruikt voor de verwerking. Denk hierbij aan onze dagelijkse gesprekken met elkaar. U vraagt voor een gesprek met de lokale slager geen toestemming voordat u vraagt hoe het met hem gaat. Heeft u een specifiek of bedreigend doel met de vragen die u stelt aan de slager, dan gelden andere regels. Zie de vraag over specifieke risico’s.

U kunt er standaard van uit gaan dat u geen toestemming heeft om persoonlijke gegevens te gebruiken.

Er zijn een paar uitzonderingen, namelijk:

u heeft toestemming als de gegevens in een openbaar register staan dat bij de wet is ingesteld.
u heeft toestemming als u de gegevens verstrekt aan een bestuursorgaan vanwege een wettelijke verplichting.
u heeft toestemming als u de gegevens gebruikt voor opsporing van strafbare feiten.

De eerste twee uitzonderingen gelden vaak voor overheden en gemeenten. De laatste uitzonderingen is specifiek voor personen die volgens de wet met opsporing belast zijn. De meeste van u vallen hier niet onder.

Het kan gebeuren dat er specifieke risico’s zijn aan de verwerking van persoonsgegegevens. Denk hierbij aan:

het koppelen van systemen op basis van persoonlijke identificatienummers, zoals BSN of DIGID nummers, zonder dat hiervoor een wettelijke afspraken voor zijn gemaakt.
het vastleggen van persoonsgegegevens op grond van eigen waarnemeningen zonder de persoon in kwestie te informeren. Met andere woorden bespioneren, afluisteren en het volgen van personen is een specifiek risico.
het verwerken van persoonsgegegevens voor derden, als het gaat om het verwerken van strafrechtelijke gegevens of gegegevens over onrechtmatige of hinderlijk gedrag, zonder rechtmatige vergunning.

In geval van specifieke risico’s, waarbij voorafgaand onderzoeken nodig is, zal er nooit sprake zijn van een vrijstelling. Ook hierbij geld dat deze vraagstelling bij de meeste van u niet van toepassing is.

Om een vrijstelling te verkrijgen voor de verwerking van persoonsgegevens dient het land, van de leverancier of vrije derde, binnen de EU te bevinden. Is dit niet het geval dan zal de verwerking gemeld moeten worden. Als dit niet gedaan wordt kan de activiteit als verboden worden aangemerkt.

Er zijn een aantal uitzonderingen:

De Minister van Justitie heeft bepaald dat een bepaald land een passend beschermingsniveu waarborgt.
De betrokkene heeft ondubbelzinnig toestemming gegeven voor deze manier van verwerken van persoonsgegevens.
De levering van persoonsgegevens, buiten de EU, is noodzakelijk ter vrijwaring van een vitaal belang van de betrokkene.

Het kan zijn dat de campagne of het contactmoment een vrijstelling geniet voor de verwerking van persoonsgegevens. Dan is het nog steeds mogelijk om een melding te maken bij het CBP van uw campagne.

Dit kunt u bijvoorbeeld overwegen wanneer u vertrouwelijke gegevens gaat communiceren en u verwacht dat de ontvanger hier twijfels over heeft. Uit voorzorg kan u dan een vrijwillige melding maken. U dient dan wel te voldoen aan alle eisen van de wet- en regelgeving omtrent Privacy.

Het kan zijn dat de handelingen die u uitvoert binnen een categorie valt waarvoor een vrijstelling bestaat. Denk hierbij aan de verwerkingen ten behoeve van salarisadministratie, pensioen, kinderopvang, bezwaarschriften of ledenlijsten. Voor meer details kunt u vinden op de site van het CBP.

Naast vrijstellingen voor specifieke categorieën bestaan er ook vrijstellingen voor combinaties van verwerkingen. Deze combinaties bevatten meestal bijzondere vereisten.

Om vrijstelling te verkrijgen voor een combinatie van verschillende categorien, dienen de combinaties aan verschillende eisen te voldoen:

De verwerking voldoet aan de extra bijzondere vereisten voor de specifieke categorie. Denk hierbij aan rechtmatige grondslag en specifieke doeleinden.
De verwerking past binnen de omschrijving van het specifieke doel.

Voorbeelden van combinaties die een vrijstelling opleveren zijn:

Abonnementen
Leveren van diensten
Ter beschikking stellen van leermiddelen

U kunt de verwerking van uw persoonsgegevens vermelden via het meldingsprogramma van het WBP of via een formlier wat u kunt invullen en opsturen.

Met het meldingsprogramma kunt u uw melding digitaal vastleggen en opsturen. U kunt ook de verwerking melden bij uw functionaris voor de gegegevensbescherming (FG).

Heeft u geen FG, dan kunt u zich aanmelden bij het CBP. Via het CBP kunt u een FG regelen.

Deze vragen en antwoorden zijn opgesteld na het lezen van het CBP-web.

10stappensolo

Hergebruik van informatie van deze website, zonder overleg met Mediascope, is niet toegestaan. 

10 Stappen is een idee en uitwerking van Mediascope.  

10 stappen naar Privacy is een onderdeel van de privacy strategieën die door Mediascope worden beschreven  en uitgewerkt. 

De privacy disclaimer en algemene voorwaarden zijn dan ook van Mediascope.

This site is designed and developed by Mediascope