Privacy komt veel in het nieuws. De nieuwsberichten over datalekken, zaken die niet meer zijn toegestaan ‘vanwege privacy’ of onderzoeken vanuit de toezichthouder zijn bijna aan de orde van de dag. Dit zorgt ervoor dat veel bedrijven een negatieve kijk krijgen op de Algemene verordening gegevensbescherming (AVG). Onnodig, vinden wij. In deze blog nemen wij jullie mee in deze reactie op de AVG, die wij ook wel ‘privacy kramp’ noemen.
Rechtmatige omgang met persoonsgegevens
De AVG, in de volksmond: de privacywet, gaat over een rechtmatige omgang met persoonsgegevens. Deze Europese verordening bevat een aantal belangrijke bepalingen die deze rechtmatige omgang met persoonsgegevens bevorderen. In deze blog behandelen wij een paar belangrijke aandachtspunten, de reactie(s) van de Europese toezichthouder(s), maar ook hoe organisaties hier eigenlijk mee om hóren te gaan.
Grondslag en doelbinding
Een organisatie mag persoonsgegevens enkel verwerken voor een gerechtvaardigd doel. Dit doel moet (vooraf) duidelijk zijn en wanneer persoonsgegevens voor een bepaald doel zijn verkregen, moet de daadwerkelijke verwerking verenigbaar zijn met dat doel. Zo werd door de Belgische toezichthouder bijvoorbeeld een boete opgelegd omdat gegevens die werden verkregen in het kader van een bouwkundig project, werden hergebruikt voor verkiezingsdoeleinden. Naast een welbepaald doel, dient een organisatie voor alle verwerkingen een rechtmatige grondslag te hebben. Het verwerken van persoonsgegevens betekent namelijk dat er een inbreuk wordt gemaakt op de privacy van de betrokkenen. Dat mag alleen wanneer de organisatie zónder deze gegevens haar doel niet kan bereiken. Dat betekent dat een organisatie zich op een van de zes grondslagen moet kunnen beroepen. Anders is de verwerking onrechtmatig. In Oostenrijk is er bijvoorbeeld een boete opgelegd vanwege het toepassen van cameratoezicht zonder passende grondslag.
De grondslag en het welbepaalde doel waar de gegevens voor gebruikt gaan worden, dienen voorafgaand aan de verwerking al duidelijk te zijn. Wanneer organisaties vooraf tijd reserveren om hierover na te denken, voorkomen zij angst en boetes voor een onrechtmatige verwerking. Dit gold ook voor de Nederlandse banken: De APheeft in juli van dit jaar per brief aan de Nederlandse Vereniging van Banken de banken opgeroepen om hun voornemens voor gepersonaliseerde reclame te heroverwegen. De verdere verwerking van transactiegegevens voor direct marketing-doeleinden zonder toestemming is waarschijnlijk onverenigbaar met het doel – namelijk: afhandeling transacties – waarvoor de gegevens oorspronkelijk zijn verzameld én daardoor dus onrechtmatig.
Informeren
Voor betrokkenen moet het duidelijk zijn waarom en op welke manier hun persoonsgegevens worden verwerkt. Dit betekent dat zij moeten worden geïnformeerd via bijvoorbeeld een privacyverklaring. Een privacyverklaring moet in begrijpelijke taal duidelijk maken wat een organisatie doet met persoonsgegevens, zodat betrokkenen zelf kunnen beslissen of zij hun persoonsgegevens wel willen delen. De toezichthouders van Polen en Frankrijk hebben al boetes opgelegd voor het niet voldoen aan deze verplichting. Een opvallende (én krampachtige) reactie van organisaties is de lange en onbegrijpelijke privacyverklaring. Dergelijke boetes zijn echter gemakkelijk(er) te voorkomen: door transparant te zijn richting betrokkenen over wat je precies doet met welke gegevens, voorkom je niet enkel een boete, maar zorg je ook voor een eerlijke en open houding. Betrokkenen zijn zich bovendien steeds meer bewust van hun rechten en willen dan ook graag weten wat een bedrijf precies doet met hun persoonsgegevens en met welke derden deze gegevens worden gedeeld.
Uiteenlopende verplichtingen
Naast het hebben van een grondslag, een doeleinde én natuurlijk het infomeren daarover, is er nog een aantal andere zaken waar organisaties rekening mee moeten houden. Organisaties mogen bijvoorbeeld niet méér gegevens verwerken dan zij nodig hebben voor het doel en zij moeten zorgen voor passende beveiliging. Het maken van passende afspraken over de omgang met persoonsgegevens met derde partijen is daarbij van groot belang. Dit brengt met zich mee dat er soms ten onrechte met verwerkersovereenkomsten wordt gesmeten, aldus collega Arnoud Engelfriet. Ook ten aanzien van de website dient een organisatie aan bepaalde verplichtingen te voldoen. Zo werd vorige week duidelijk dat de AP aan het handhaven is op het gebruik van cookies. Veel organisaties maken namelijk nog gebruik van irritante cookiebanners (of zelfs nog steeds -walls).
De krampachtige reactie
Een veelgehoorde kreet is: ‘dat mag niet meer, vanwege de privacy’. Enerzijds klopt het dat niet alles meer mag: er zijn natuurlijk ook niet voor niets binnen één jaar ruim 144.000 privacy klachten binnengekomen bij de verschillende toezichthouders in Europa. Anderzijds is de AVG niet in het leven geroepen om alles te verbieden. De AVG is er om onrechtmatige verwerkingen te voorkomen en hiermee betrokkenen te beschermen. Eigenlijk mag heel veel nog, maar dwingt de AVG organisaties om goed na te denken over wat zij (willen gaan) doen met persoonsgegevens. Een goede overweging en vastlegging daarvan zal met zich meebrengen dat organisaties zelf tot bepaalde inzichten komen over de rechtmatigheid van hun verwerkingen. We dienen ook niet te vergeten dat de AVG een voorganger heeft, de Wet bescherming persoonsgegevens (Wbp), welke al uitging van dezelfde basisprincipes. Een groot aantal regels bestond dus al, maar sommige organisaties waren zich daar nog niet van bewust. Een te strenge interpretatie in reactie op de boetes en klachten is natuurlijk begrijpelijk. Dit is echter niet te bedoeling en zorgt voor een averechts effect: privacy is een grondrecht, maar dit grondrecht is er niet om de dagelijkse praktijk moeilijk of onwerkbaar te maken.
Twijfelt u of uw organisatie op de juiste manier met persoonsgegevens omgaat? Neem dan contact op met één van onze privacy specialisten via info@ictrecht.nl.
