Wij krijgen regelmatig de vraag of een verwerker persoonsgegevens die verstrekt worden door de verwerkingsverantwoordelijke, mag gebruiken voor analyse en productontwikkeling. Deze doeleinden worden echter door de verwerker bepaald, en niet door de verwerkingsverantwoordelijke. Begin dit jaar heeft de Franse privacytoezichthouder, Commission nationale de l’informatique et des libertés (‘CNIL’) nieuwe richtlijnen gepubliceerd, precies over dit onderwerp. In deze blog lichten we dit toe.
Rolverdeling
Onder de Algemene verordening gegevensbescherming (‘AVG’) verwerkt de verwerker persoonsgegevens ten behoeve van de verwerkingsverantwoordelijke. De verwerker mag de persoonsgegevens die door de verwerkingsverantwoordelijke zijn verstrekt, dus niet voor eigen doeleinden gebruiken. De leverancier van een CRM-systeem mag de persoonsgegevens van klanten die de afnemer erin zet, dus bijvoorbeeld niet gebruiken om hen zelf een commercieel aanbod te doen.
De afgelopen jaren is de wens van verwerkers om deze persoonsgegevens toch voor eigen doeleinden te gebruiken, steeds groter geworden. SaaS-leveranciers analyseren bijvoorbeeld het gebruik van hun software, zodat ze deze kunnen verbeteren, door ontwikkelen en personaliseren. Denk vandaag de dag ook aan het trainen van artificial intelligence en machine learning algoritmes. De CNIL vond het daarom tijd om hier richtlijnen over te publiceren.
Nieuwe richtlijnen
De CNIL erkent dat het hergebruik van gegevens door verwerkers mogelijk is, zij het onder strenge voorwaarden:
1. de persoonsgegevens mogen niet zijn verzameld onder de grondslag ‘toestemming’; en
2. de verwerkingsverantwoordelijke moet toestemming aan de verwerker geven; en
3. het doeleinde is ‘verenigbaar’ met het doel waarvoor de gegevens zijn verzameld.
Enerzijds moet de verwerker ervoor zorgen dat de toestemmingsvraag overeenkomt met het gebruik van de gegevens, anderzijds moet de verwerkingsverantwoordelijke de toets van verenigbaarheid uitvoeren. Valt deze negatief uit, dan mag de verwerkingsverantwoordelijke ook geen toestemming verlenen. De CNIL benadrukt dat onder deze vereisten – daar is ‘ie weer – alle omstandigheden van het geval in overweging moeten worden genomen.
De toezichthouder noemt het voorbeeld van een cloud dienstverlener die persoonsgegevens wil hergebruiken voor het verbeteren van de dienst. Dit is toegestaan, mits de gegevens worden geanonimiseerd, als extra waarborg. Het is niet verenigbaar om de betreffende personen zelf een commercieel aanbod te doen.
Zodra de verwerker persoonsgegevens voor eigen doeleinden gebruikt, wordt de verwerker een verwerkingsverantwoordelijke. De nieuwe verwerkingsverantwoordelijke dient dus over een eigen wettelijke grondslag te beschikken, en zelf betrokkenen te informeren. Wordt de grondslag gerechtvaardigd belang gebruikt, dan moet betrokkenen het recht van bezwaar worden geboden, vóórdat de verwerking begint.
Ook voor Nederland?
Hoewel de richtlijnen door de Franse toezichthouder zijn opgesteld, zijn ze opgesteld binnen hetzelfde kader als waar we in Nederland mee werken. De AVG is namelijk in alle Europese lidstaten direct van toepassing. Het is dus waarschijnlijk dat de Nederlandse toezichthouder, de Autoriteit Persoonsgegevens, er eenzelfde visie op nahoudt.
Ook Nederlandse verwerkers doen er dus goed aan om het bovenstaande in overweging te nemen. Dit is dus een goed moment om de verwerkersovereenkomst er nog een keer bij te pakken en te controleren of en zo ja, wat precies is afgesproken over het gebruik van persoonsgegevens voor bijvoorbeeld analysedoeleinden of doorontwikkeling. Vraagt u zich af hoe dit het beste kan worden verwoorden in de verwerkersovereenkomst? Neem dan contact met ons op via info@ictrecht.nl.
Meer lezen over dit onderwerp? Lees verder:
