AVG: Administratieve verplichtingen en conclusie

In de voorgaande delen is stilgestaan bij de regelgeving omtrent privacyrecht. Geconcludeerd kan worden dat deze (nieuwe) regels inhoudelijk weinig verandering brengen. Wat de AVG echter wel wijzigt, is de hoeveelheid administratie die de verantwoordelijke en verwerker moeten bijhouden. Een van de voorbeelden is het reeds besproken register van datalekken (zie deel 7 van deze serie). Er moet voorts veel informatie naar de betrokkene worden gecommuniceerd. Deze administratieve lasten zullen in dit laatste deel worden besproken.

Gegevensbeschermingsbeleid

De verantwoordelijke is verplicht om een gegevensbeschermingsbeleid op te stellen als dit in verhouding staat tot de verwerkingsactiviteiten.1 Dit betekent dat bij het verwerken van veel persoonsgegevens, of de verwerking van bijzondere persoonsgegevens, de verantwoordelijke beleid moet opstellen waarin staat hoe hij de persoonsgegevens gaat beschermen. De Artikel 29 Werkgroep heeft richtlijnen opgesteld over dit beleidsdocument.2

Verwerkingsregister

Om te bewerkstelligen dat de organisatie die persoonsgegevens verwerkt, transparant kan zijn naar de betrokkene, is vereist dat de organisatie weet wat er gebeurt met de gegevens die worden verwerkt. Als de organisatie bijvoorbeeld niet weet welke gegevens worden verwerkt, of naar welke derden de gegevens worden verstuurd, kan de organisatie ook niet de juiste bescherming bieden. Om dit te bewerkstelligen, dienen verantwoordelijken en verwerkers een verwerkingsregister bij te houden.3 Dit register hoeft niet te worden bijgehouden voor organisaties met minder dan 250 werknemers, tenzij:

  • deze gegevensverwerking een risico vormt voor de rechten en vrijheden van de betrokkenen;
  • de verwerking niet incidenteel is; of
  • bijzondere persoonsgegevens (zoals medische gegevens) worden verwerkt.

 
In dit register dienen de volgende gegevens opgenomen te worden:

  • de naam en contactgegevens van de verantwoordelijke/verwerker en van de functionaris voor gegevensbescherming;
  • een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen; en
  • wanneer gegevens naar een ander land worden doorgegeven, vermelding van dat land.

 
De verantwoordelijke dient bovendien de volgende gegevens in het register op te nemen:

  • de verwerkingsdoeleinden;
  • een beschrijving van de categorieën van betrokkenen;
  • een beschrijving van de categorieën van persoonsgegevens die worden verwerkt;
  • de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt; en
  • de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist.

De verwerker dient daarnaast de categorieën van verwerkingen die namens de verantwoordelijke worden uitgevoerd (bijvoorbeeld het vastleggen, het wijzigen of het maken van back-ups) in het register op te nemen.
Gezien de overlap van gegevens die de verantwoordelijke en de verwerker moeten vastleggen, biedt GeriMedica de optie om per organisatie een register op te sturen waarin de meeste van deze gegevens zijn opgenomen. Neem hiervoor contact op met de helpdesk of uw contactpersoon bij GeriMedica.

Informatieplicht naar de betrokkene

De verantwoordelijke dient in beginsel informatie aan de betrokkene te verstrekken wanneer zijn gegevens worden verwerkt. Deze informatie moet beknopt, begrijpelijk, transparant, gemakkelijk, toegankelijk en kosteloos naar de betrokkene worden gecommuniceerd.4 Wanneer deze informatie reeds bekend is, hoeft deze niet nogmaals te worden verstrekt. Deze informatie kan bijvoorbeeld worden verstrekt in de vorm van een privacy statement.
In het geval de gegevens van de betrokkene zelf zijn verkregen, moet deze informatie minimaal bevatten:

  • de identiteit en contactgegevens van de verantwoordelijke en van de functionaris voor gegevensbescherming;
  • de verwerkingsdoeleinden van de verwerking;
  • de rechtsgrond van de verwerking (zie deel 4 van deze serie voor meer informatie);
  • de gerechtvaardigde belangen van de verantwoordelijke;
  • wanneer van toepassing, de categorieën van ontvangers van de persoonsgegevens;
  • of de verantwoordelijke het voornemen heeft de gegevens door te geven aan een derde land;
  • de periode gedurende welke de gegevens worden opgeslagen of de criteria om die termijn te bepalen;
  • dat de betrokkene het recht heeft om een verzoek tot inzage te doen, recht heeft van rectificatie, wissing en beperking, bezwaar en gegevensoverdraagbaarheid (zie deel 8 van deze serie voor meer informatie);
  • als de verwerking gebaseerd is op toestemming, dat de betrokkene het recht heeft die toestemming in te trekken (zie deel 4 van de serie voor meer informatie);
  • dat de betrokkene het recht heeft een klacht bij de Autoriteit Persoonsgegevens in te dienen;
  • of de verstrekking van gegevens een wettelijke verplichting is, een noodzakelijke voorwaarde om een overeenkomst te sluiten, of de betrokkene verplicht is gegevens te verstrekken en wat de mogelijke gevolgen zijn wanneer deze gegevens niet worden verstrekt;
  • het bestaan van geautomatiseerde besluitvorming (profiling), nuttige informatie over de onderliggende logica en de verwachte gevolgen daarvan; en
    als de verantwoordelijke de gegevens wil verwerken voor een ander doeleinde dan oorspronkelijk is gecommuniceerd, welk doel dit is.5

 
In het geval deze informatie niet van de betrokkene is verkregen (zoals bij elektronische gegevensuitwisseling, zie deel 5 van deze serie), moet andere informatie worden overlegd. Deze informatie moet binnen een redelijke termijn (uiterlijk één maand na verkrijging van de gegevens) aan de betrokkene worden verstrekt. Wanneer de persoonsgegevens worden gebruikt voor communicatie met de betrokkene, moet deze uiterlijk op het moment van het eerste contact met de betrokkene worden verstrekt. Indien de gegevens worden verstrekt aan een andere ontvanger, moet deze informatie uiterlijk op het tijdstip waarop de persoonsgegevens voor het eerst worden verstrekt, worden overlegd aan de betrokkene. Deze informatie moet minimaal bevatten:
de identiteit en contactgegevens van de verantwoordelijke en van de functionaris voor gegevensbescherming;

  • de verwerkingsdoeleinden van de verwerking;
  • de rechtsgrond van de verwerking (zie deel 4 van de serie voor meer informatie);
  • de categorieën van persoonsgegevens;
    de gerechtvaardigde belangen van de verantwoordelijke als de gegevens op grond van deze belangen zijn verkregen (voor zorginstellingen niet van toepassing, zie deel 4 van de serie voor meer informatie);
  • wanneer van toepassing, de categorieën van ontvangers van de persoonsgegevens;
  • of de verantwoordelijke het voornemen heeft de gegevens door te geven aan een derde land;
  • de periode gedurende welke de gegevens worden opgeslagen of de criteria om die termijn te bepalen;
  • dat de betrokkene het recht heeft om een verzoek tot inzage te doen, recht heeft van rectificatie, wissing en beperking, bezwaar en gegevensoverdraagbaarheid (zie deel 8 van de serie voor meer informatie);
  • als de verwerking gebaseerd is op toestemming, dat de betrokkene het recht heeft die toestemming in te trekken (zie deel 4 van de serie voor meer informatie);
  • dat de betrokkene het recht heeft een klacht bij de Autoriteit Persoonsgegevens in te dienen;
  • de bron van de gegevens;
  • het bestaan van geautomatiseerde besluitvorming (profiling), nuttige informatie over de onderliggende logica en de verwachte gevolgen daarvan; en
  • als de verantwoordelijke de gegevens wil verwerken voor een ander doeleinde dan oorspronkelijk is gecommuniceerd, welk doel dit is.6

In het geval het verstrekken van de bovenstaande informatie onevenredig veel inspanning zou vergen, zoals het geval kan zijn bij wetenschappelijk onderzoek, hoeft deze informatie niet te worden verstrekt

Functionaris voor gegevensbescherming

In bepaalde gevallen is het aanstellen van een functionaris voor gegevensbescherming (FG) verplicht. In het geval op grote schaal persoonsgegevens worden verwerkt of als er veel bijzondere persoonsgegevens worden verwerkt, is dit verplicht.7 De FG moet een natuurlijk persoon zijn, maar hoeft niet in loondienst te zijn. De FG dient te worden aangewezen op grond van zijn professionele kwaliteiten. Deskundigheid op het gebied van wetgeving en privacy is vereist. De contactgegevens van de FG moeten worden gemeld aan de Autoriteit Persoonsgegevens.
De FG moet naar behoren en tijdig betrokken worden bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens.8 Hij moet zijn taak onafhankelijk kunnen uitvoeren. Geadviseerd wordt om een overeenkomst met de FG te sluiten om dit te waarborgen. Hierdoor geniet de FG dezelfde soort bescherming als bijvoorbeeld een lid van de Ondernemingsraad.
Omdat een FG onafhankelijk zijn werk moet kunnen uitvoeren, mag er geen sprake zijn van een belangenconflict. Een FG mag dan ook geen positie in het management (zoals bestuursvoorzitter, operationeel directeur of hoofd ict-afdeling) hebben.9 Ook leidende rollen in lagere posities kunnen leiden tot een belangenconflict.

Privacy impact assessment

In het geval een verantwoordelijke nieuwe gegevens gaat verwerken of de aard van de verwerking wijzigt, dan kan de verantwoordelijke verplicht zijn om een gegevensbeschermingseffectbeoordeling (privacy impact assessment; PIA) uit te voeren.10 Voor verwerking waarbij nieuwe technologieën worden gebruikt of de aard, omvang, context en doeleinden van die verwerking waarschijnlijk een hoog risico inhouden voor de rechten en vrijheden van de betrokkene, is de verantwoordelijke verplicht een PIA uit te voeren voordat de gegevens worden verwerkt.
Voor het soort verwerking kan worden gedacht aan systematische beoordeling van betrokkene op grond van profiling (het maken van geautomatiseerde beslissingen), grootschalige verwerking van bijzondere persoonsgegevens (zoals medische gegevens) of stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten. De PIA moet het effect van de verwerking beoordelen. De PIA dient in samenwerking met de functionaris voor gegevensbescherming te worden gehouden.
De PIA moet tenminste bevatten:

  • een systematische beschrijving van de beoogde verwerkingen en de verwerkingsdoeleinden, waaronder de gerechtvaardigde belangen die door de verantwoordelijke worden behartigd;
  • een beoordeling van de noodzaak en de evenredigheid van de verwerkingen met betrekking tot de doeleinden;
  • een beoordeling van de risico’s voor de rechten en vrijheden van betrokkenen; en
  • de beoogde maatregelen om de risico’s aan te pakken, waaronder waarborgen, veiligheidsmaatregelen en mechanismen om de bescherming van persoonsgegevens te garanderen en om aan te tonen dat aan deze verordening is voldaan, met inachtneming van de rechten en gerechtvaardigde belangen van de betrokkenen en andere personen in kwestie.

Als uit de PIA blijkt dat er sprake is van een hoog risico en die risico’s kunnen niet worden beperkt, dient de verantwoordelijke voor de verwerking de Autoriteit Persoonsgegevens te raadplegen.11 In veel gevallen zal de verwerker een grote rol spelen bij de PIA. De verwerker is dan ook verplicht om mee te werken aan de PIA van een verantwoordelijke.

Conclusie

In de voorgaande delen van deze serie is stilgestaan bij verschillende aspecten van het privacyrecht. Niet alleen de AVG is behandeld, maar ook andere relevante regelgeving. Geconcludeerd kan worden dat de AVG inhoudelijk niet veel wijzigingen met zich meebrengt. Er zal echter wel een grotere administratieve last worden geïntroduceerd ten behoeve van de transparantie over de verwerking van persoonsgegevens.

  1. Artikel 24 lid 2 AVG.
  2. Artikel 29 Werkgroep “Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is likely to result in a high risk for the purposes of Regulation 2016/679”.
  3. Artikel 30 AVG.
  4. Artikel 12 lid 1 en artikel 12 lid 5 AVG.
  5. Artikel 13 AVG.
  6. Artikel 14 AVG.
  7. Artikel 37 AVG.
  8. Artikel 38 AVG.
  9. Artikel 29 werkgroep advies 2016-51 “Richtlijnen voor functionarissen voor de gegevensbescherming (FG’s)”, p. 15 – 16.
  10. Artikel 35 AVG.
  11. Artikel 36 AVG.