Nog ruim acht maanden, en dan moeten alle organisaties voldoen aan de Europese privacyverordening. Volgens Ad van Loon van Digital Me zijn er echter nog veel misverstanden rondom de Algemene Verordening Gegevensbescherming. Hij zet er voor SecurityVandaag tien op een rij. Vandaag de eerste vijf.

1. Het belangrijkste doel van de AVG is het stellen van grenzen aan de verwerking van persoonsgegevens.

In haar Groenboek uit 2012 kondigde de Europese Commissie haar voornemen aan ten aanzien van de totstandbrenging van de AVG. Zij nam daarin het standpunt in dat grensoverschrijdend verkeer van persoonsgegevens noodzakelijk is voor de uitbreiding van het internationale handelsverkeer en van internationale samenwerking. Tegelijkertijd constateerde zij dat door een gebrek aan vertrouwen consumenten aarzelden om online producten te kopen en om nieuwe diensten te omarmen. De Commissie vreesde dat hierdoor de ontwikkeling van innovatie door de inzet van nieuwe technologieën zou worden vertraagd. Het doel werd de ontwikkeling en pan-Europese uitrol van innovatieve op persoonsgegevens gebaseerde diensten zoveel mogelijk te faciliteren.

De Commissie realiseerde zich dat dit alleen succesvol zou kunnen gebeuren als zij er in zou slagen tegelijkertijd het vertrouwen van consumenten in dergelijke diensten te versterken. Om dit te bereiken werd besloten dat consumenten meer controle over hun persoonsgegevens moesten krijgen, zodat zij zelf meer de regie over het gebruik daarvan in handen zouden krijgen. Dit werd niet alleen een politieke wens, maar werd feitelijk ook juridisch afgedwongen door het Handvest van de grondrechten van de Europese unie. Artikel 7 daarvan bepaalt namelijk dat eenieder recht heeft op bescherming van de hem of haar betreffende persoonsgegevens en dat deze gegevens eerlijk moeten worden verwerkt, ‘voor bepaalde doeleinden en met toestemming van de betrokkene of op basis van een andere gerechtvaardigde grondslag waarin de wet voorziet’.

Verder geeft dit grondrecht eenieder recht op toegang tot de over hem of haar verzamelde gegevens en op rectificatie daarvan. Het stellen van grenzen aan de verwerking van persoonsgegevens is dus geen doel op zich van de AVG, maar eerder een afgeleid doel dat enerzijds juridisch wordt afgedwongen door het grondrechtenhandvest van de EU en anderzijds nodig is om het vertrouwen te creëren op grond waarvan innovatieve, op persoonsgegevens gebaseerde diensten met een hoge toegevoegde waarde kunnen worden ontwikkeld en succesvol worden uitgerold.

2. Als ik persoonsgegevens verwerk op basis van een overeenkomst dan heb ik geen toestemming van de betrokkene(n) nodig.

‘Toestemming’ voor de verwerking van persoonsgegevens kan ad hoc worden gevraagd of in het kader van de totstandbrenging van een overeenkomst. In beide gevallen moet de ‘toestemming’ aan een aantal voorwaarden voldoen. De AVG bepaalt dat toestemming dient te worden gegeven ‘door middel van een duidelijke actieve handeling, bijvoorbeeld een schriftelijke verklaring, ook met elektronische middelen, of een mondelinge verklaring waaruit blijkt dat een individu vrijelijk, specifiek, geïnformeerd en ondubbelzinnig met de verwerking van zijn persoonsgegevens instemt’. En: “Stilzwijgen, het gebruik van reeds aangekruiste vakken of inactiviteit mag niet als toestemming worden aangemerkt.”

De AVG bepaalt ook dat toestemming niet mag worden geacht vrijelijk te zijn verleend indien een individu geen echte of vrije keuze heeft of zijn toestemming niet kan intrekken of wijzigen zonder nadelige gevolgen. En toestemming kan geen geldige rechtsgrond voor verwerking bieden indien er sprake is van een duidelijke wanverhouding tussen het individu en degene die verantwoordelijke is voor de verwerking. Op grond hiervan mogen overheidsorganisaties geen persoonsgegevens verwerken op basis van toestemming van een betrokkene; zij mogen dit alleen indien daarvoor een wettelijke basis bestaat.

3. Als ik persoonsgegevens wil verwerken voor ‘direct marketing’ dan moet ik daarvoor, volgens de AVG, vooraf expliciet toestemming vragen aan de betrokkenen.

De AVG bepaalt dat het verwerken van persoonsgegevens voor direct marketing en profilering ten behoeve van direct marketing kan worden gezien als een gerechtvaardigd belang. Een organisatie zou zich dan ook op het standpunt kunnen stellen dat zij een ‘gerechtvaardigd belang’ heeft bij de verwerking van persoonsgegevens met het oog op (profilering ten behoeve van) direct marketing. In zo’n geval is dan geen toestemming van betrokkene(n) nodig.

Hieraan is echter wel een aantal voorwaarden verbonden. Ten eerste moet een organisatie die zich op een gerechtvaardigd belang beroept, haar belang afwegen tegen het belang van de betrokkene bij de bescherming van zijn of haar persoonsgegevens. Ten tweede moet(en) de betrokkene(n) worden geïnformeerd over het voorgenomen gebruik van hun gegevens en moet hen worden verteld dat en hoe zij hiertegen bezwaar kunnen maken. De AVG vereist dat deze informatie en communicatie eenvoudig toegankelijk en begrijpelijk zijn, en dat duidelijke en eenvoudige taal wordt gebruikt.

Dan zit er nog een addertje onder het gras. De huidige Telecommunicatiewet, die is gebaseerd op de Europese richtlijn betreffende privacy en elektronische communicatie, staat direct-marketingcommunicatie via e-mail toe zonder dat daarvoor toestemming van de ontvangers nodig is, zolang je dat maar doet via een-op-eencommunicatie en er geen gebruik wordt gemaakt van ‘automatische oproep- en communicatiesystemen zonder menselijke tussenkomst, faxen en elektronische berichten’ voor het overbrengen van die ongevraagde berichten (art. 11.7 Tw). Ontvangers moet wel de mogelijkheid worden geboden te allen tijde bezwaar te maken tegen de ontvangst van direct-marketingberichten. De markt heeft hierop ingespeeld door steeds meer gebruik te maken van systemen en methoden die aan deze voorwaarden voldoen.

Dit laatste blijkt echter geen duurzaam model te zijn. Er is namelijk nog een Europese verordening in voorbereiding: de verordening inzake privacy en elektronische communicatie. Deze zal bijzondere regels bevatten voor de elektronische communicatiesector; regels die zowel de relevante bepalingen uit de Telecommunicatiewet als die uit de AVG zullen vervangen. Het streven van de Europese wetgever is erop gericht de nieuwe verordening in werking te laten treden op de dag dat de AVG van toepassing zal zijn (25 mei 2018). Uit het voorstel dat momenteel het Europese wetgevingsproces doorloopt, blijkt dat voor direct-marketingcommunicatie, onafhankelijk van de gebruikte technologie (i.e., automatische oproep- en communicatiesystemen dan wel applicaties voor instant messaging, e-mail, SMS, MMS, bluetooth, enz.), altijd de toestemming van de ontvanger nodig zal zijn (toch ‘opt in’ dus).

4. Persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid, mag ik alleen verwerken als ik daartoe uitdrukkelijk toestemming heb gevraagd en verkregen van de betrokkene.

Het betreft hier de verwerking van persoonsgegevens die vallen in bijzondere categorieën. De basisregel is inderdaad dat de verwerking van dat soort gegevens verboden is. Echter, zoals altijd, zijn er uitzonderingen. Zo is de verwerking van dit soort gegevens wel weer toegestaan, zij het binnen bepaalde grenzen, bijvoorbeeld ‘in geval van specifieke behoeften, met name wanneer de verwerking wordt verricht in het kader van gerechtvaardigde activiteiten door bepaalde verenigingen of stichtingen die ernaar streven de uitoefening van de fundamentele vrijheden mogelijk te maken’. Bovendien bepaalt de AVG dat kan worden afgezien van het vragen van uitdrukkelijke toestemming indien de verwerking van bijzondere categorieën van persoonsgegevens noodzakelijk is in het kader van het ‘beheer van gezondheidszorgdiensten, met name om de kwaliteit en kostenefficiëntie te waarborgen van de procedures voor de afwikkeling van aanvragen voor uitkeringen en diensten in het kader van de ziektekostenverzekering, met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden’. En de verwerking van dit soort gegevens is ook toegestaan indien deze betrekking heeft op persoonsgegevens die kennelijk door de betrokkene openbaar zijn gemaakt.

5. De AVG legt mij de verplichting op een PIA uit te (laten) voeren.

PIA staat voor ‘Privacy Impact Assessment’. Nergens in de AVG wordt over PIA’s gesproken. In de Engelse tekst wordt gesproken over een ‘data protection impact assessment’ en in de Nederlandse tekst heet het een ‘gegevensbeschermingseffectbeoordeling’ (3x de woordwaarde).

De AVG bepaalt het volgende: “Indien de verwerking waarschijnlijk gepaard gaat met hoge risico’s in verband met de rechten en vrijheden van natuurlijke personen, dient de verwerkingsverantwoordelijke of de verwerker verantwoordelijk te zijn voor het verrichten van een gegevensbeschermingseffectbeoordeling om met name de oorsprong, de aard, het specifieke karakter en de ernst van dat risico te evalueren. Met het resultaat van de beoordeling dient rekening te worden gehouden bij het bepalen van de passende maatregelen die moeten worden genomen om aan te tonen dat deze verordening bij de verwerking van persoonsgegevens wordt nageleefd.”

Een gegevensbeschermingseffectbeoordeling is ook verplicht ‘wanneer persoonsgegevens worden verwerkt met het oog op het nemen van besluiten met betrekking tot specifieke natuurlijke personen na een systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen die is gebaseerd op de profilering van deze gegevens, of na de verwerking van bijzondere categorieën van persoonsgegevens’.

Een gegevensbeschermingseffectbeoordeling dient vóór de verwerking door de verwerkingsverantwoordelijke te worden uitgevoerd. Van de Autoriteit Persoonsgegevens wordt verwacht dat zij een lijst opstelt van het soort verwerkingen waarvoor een gegevensbeschermingseffectbeoordeling verplicht is en voor welke soort verwerkingen juist niet. Op dit moment is er nog niet zo’n lijst.

Ad van Loon is Senior Legal Counsel bij Digital Me B.V.


Bron: https://www.securityvandaag.nl/article/item/10-veelvoorkomende-misverstanden-over-de-AVG