privacy-blogreeks-1-1200

In deze blogreeks over privacy ga ik in op de verschillende onderdelen van een goed privacy management framework. Uitgebreide juridische verhandelingen laat ik zoveel mogelijk achterwege. Graag geef ik je een aantal praktische handvaten om te komen tot een verantwoorde omgang met persoonsgegevens.

Het eerste deel ging over persoonsgegevens: Wat is nu eigenlijk een persoonsgegeven, en waarom zijn er specifieke regels bedacht voor die gegevens? In het tweede deel van de blogreeks werd de term verwerken uitgediept. Het vorige deel was een beschouwing over wanneer persoonsgegevens eigenlijk verwerkt mogen worden.

Dit is al weer het vijfde deel. We zijn gevorderd tot artikel 6 van de Algemene Verordening Gegevensbescherming (AVG), de rechtmatigheid van de verwerking. Wat er moet worden bepaald voor dat er sprake mag zijn van verzamelen en verwerken van persoonsgegevens. In de Wet Bescherming Persoonsgegevens is dit artikel 8, de grondslagen voor verwerking.

Rechtmatigheid van de verwerking

Zoals we in het vorige blog hebben gezien stelt de wetgever een flink aantal voorwaarden die moeten worden ingevuld voordat er begonnen kan worden met het verzamelen van persoonsgegevens. De wetgever heeft hiermee ook beoogd dat het invullen van het doel van verzamelen niet kan worden bepaald nadat je gegevens hebt ontvangen, maar al voordat je gegevens überhaupt gaat vragen. Je mag persoonsgegevens alleen ophalen/verzamelen/vragen als je hier juist doel voor hebt. In dit kader is overigens, het zou misschien in de toekomst ooit nog eens handig kunnen zijn, geen welbepaald en gerechtvaardigd doel.

Grondslagen voor verwerking

Als onze beoogde verwerking zowel behoorlijk als zorgvuldig is, het een welbepaald, uitdrukkelijk omschreven en gerechtvaardigd doel heeft, kunnen we verder met Artikel 6 van de AVG, de grondslagen voor verwerking. Voor ELKE verwerking van persoonsgegevens moeten we bepalen of er wel een grondslag is. Deze zes grondslagen zijn een afpel mechanisme. We beginnen bij grondslag 1, kan die niet worden gebruikt, dan grondslag 2, enzovoort. Als we aan geen van de zes voldoen is het jammer maar helaas. De persoonsgegevens mogen niet worden verwerkt. Maar eerst de zes opties die we hebben als grondslag, eerst kort de teksten uit de AVG, daarna ga ik ze stuk voor stuk behandelen:

Artikel 8, Lid 1 De verwerking is alleen rechtmatig indien en voor zover aan ten minste één van de onderstaande voorwaarden is voldaan:

  • Toestemming: De betrokkene (dit is degene op wie de gegevens betrekking hebben) heeft voor de verwerking zijn ondubbelzinnigetoestemming gegeven voor de verwerking van zijn gegevens voor één of meerdere doelen.
  • Uitvoering overeenkomst: De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of voor het nemen van precontractuele maatregelen naar aanleiding van een verzoek van de betrokkenen en die noodzakelijk zijn voor het sluiten van een overeenkomst.
  • Wettelijke verplichting: De gegevensverwerking is noodzakelijk om te voldoen aan een wettelijke verplichting van de verantwoordelijke.
  • Vitaal belang: De gegevensverwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen.
  • Algemeen belang: de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen.
  • Gerechtvaardigd belang: de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.

Het laatste punt (sub f.) is expliciet uitgesloten als grondslag voor overheidsorganen. De overheid mag dus geen beroep doen op een gerechtvaardigd belang.

In de AVG is gesteld dat voor de invulling van zowel de wettelijke verplichting als het algemeen belang door de lidstaten zelf nadere invulling gegeven moet worden. In Nederland zal dit komen in de uitvoeringswet en de daarbij behorende memorie van toelichting (artikel 6 lid 2 en 3).

Hiernaast gelden voor bijzondere persoonsgegevens nog flink aantal uitzonderingen (verboden) op het verwerken van bijzondere persoonsgegevens (artikel 16 t/m 24 WBP). Deze komen we later nog tegen.

Toestemming

De eerste grondslag, we verwerken alleen persoonsgegevens na toestemming van de betrokkene. Deze grondslag lijkt ideaal voor elke situatie, immers, je vraagt gewoon of het mag, als er dan geen nee wordt gezegd…. Maar helaas, zo makkelijk is het niet. De toestemming betreft een vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt; In de woorden ondubbelzinnige toestemming zitten best veel besloten, wat ook is uitgelegd zowel in Jurisprudentie als in de memorie van toelichting. Een paar korte voorbeelden. Er moet echt toestemming worden gegeven door een betrokkene. In de krant melden dat er camera opnames worden gemaakt op de snelweg, en dat als je van de snelweg gebruik maakt je toestemming geeft voor het verwerken van je gegevens mag niet. De betrokkene heeft hierbij niet ondubbelzinnig toestemming gegeven. Er staat nergens een vinkje dat de weggebruiker een geïnformeerde toestemming heeft gegeven. De ANPR-systemen (Automatic Number Plate Recognition) op onze wegen maken gebruik van een andere grondslag. Maar ook het gebruik van wifi-trackers, Bluetooth beacons, etc. kunnen geen gebruik maken van deze grondslag. Het simpele feit dat ik ergens ben, geeft niet aan dat ik toestemming heb gegeven voor de verwerking van mijn gegevens. Nog een uitzondering komt uit het Burgerlijk wetboek, een toestemming is niet geldig (nietig) als deze rechtstreeks voortkomt uit een afhankelijkheidsrelatie. In gewone-mensentaal betekent dit dat er op geen enkele wijze bijvoorbeeld een hiërarchische of machtsverhouding mag zijn tussen de betrokkene en diegene die toestemming vraagt. Dit maakt dit artikel gelijk onbruikbaar voor alle verwerkingen door de overheid, hierbij is de verhouding tussen de grote overheid, en de burger niet in balans. Voor een relatie werknemer/werkgever is de hiërarchische verhouding belemmerend, ook hier kan (misschien) niet in alle vrijheid toestemming worden gegeven. Dit maakt overigens een smoelenboek, waarin naast zakelijke gegevens ook foto’s en privégegevens worden vermeld gelijk een bijzondere. Dat is te bestempelen als een verwerking, maar er mag geen toestemming voor worden gevraagd zoals ‘Vind je het goed als wij je foto opnemen in het smoelenboek: ja/nee? De weg hierom heen is geen toestemming vragen, maar de keuze voor aanleveren bij de werknemer te laten liggen. Dus alleen de mogelijkheid te bieden dat, als de werknemer een foto en zijn privécontactgegevens aanlevert, deze worden opgenomen. Hierbij mag dus geen enkele vorm van dwang worden uitgeoefend door de werkgever. Zelfs een mailtje als, volgens ons heb jij je foto voor het smoelenboek nog niet aangeleverd, mag niet. Ook moet tussen het uitblijven van toestemming en het wel geven van toestemming een goede verhouding bestaan. Wat dit wil zeggen is dat het niet zo mag zijn, dat het uitblijven van toestemming een grote inbreuk maakt op de betrokkene (als ik geen toestemming geef voor het verwerken, kan ik geen eten meer kopen). Bij TomTom blijft mijn navigatiesysteem gewoon werken, en bij geen toestemming geven aan facebook kan je nog steeds gebruik maken van internet.

Wanneer mogen we de toestemming dan wel gebruiken, bij heel veel diensten die wij gebruiken. Dankzij onze toestemming kan bijvoorbeeld Facebook gegevens van ons verzamelen, kan TomTom een overzicht maken van de drukte op de wegen. Overigens moet volgens de regels van de AVG ook de tekst van de toestemmingsformulieren aan eisen van leesbaarheid en duidelijkheid voldoen. Dus niet meer op pagina 321 een kort statement, maar op de eerste pagina, in klare taal wat er wordt verzameld, waarvoor dit wordt verzameld en wat je rechten zoals inzage, vernietiging, etc. zijn. De privacy statement van TomTom is wat dat betreft voor mij een voorbeeld. Kort, bondig, en duidelijk. Het is ook zo dat een betrokkene “te allen tijde” de toestemming in moet kunnen trekken. Het verwerken van de bij die toestemming behorende gegevens, moet dan ook gestopt worden. Het kan niet zo zijn dat er dan ineens een andere verwerkingsgrondslag mag gaan gelden.

Samenvattend, toestemming kan mits voldaan wordt aan deze drie zaken;

  1. De betrokkene moet zijn wil in vrijheid hebben geuit.
  2. De toestemming van de betrokkene moet gericht zijn op bepaalde gegevensverwerking(en).
  3. De toestemming moet ondubbelzinnig zijn.

In de AVG is dit ook uitgewerkt in Artikel 7, voorwaarden voor toestemming, en specifiek voor kinderen in artikel 8.

Uitvoering overeenkomst

Deze grondslag is eigenlijk altijd het logische gevolg of de logische voorwaarden voor iets anders. Als we een maaltijd willen bestellen bij Thuisbezorgd, is het best handig als Thuisbezorgd onze naam en adres mag verwerken. Dit kan dus ook op basis van deze grondslag. Er is een overeenkomst tussen de verwerker en de betrokkene en voor deze overeenkomst is het verwerken van een aantal persoonsgegevens onontbeerlijk. Er is in de toelichting wel een uitzondering opgenomen, de overeenkomst moet zelf niet gericht zijn op het verwerken van persoonsgegevens. De overeenkomst moet dus een ander doel hebben (in mooie taal, gegevensverwerking is hier dus accessoir). Nog een voorbeeld: Een bank moet als we een hypotheek willen afsluiten gegevens van ons hebben. Hierin zitten een aantal gegevens die een groot risico hebben als ze foutief worden behandeld (financiële gegevens, BSN nummer). We geven dit aan de bank zonder dat we daar een hypotheek hebben, maar wel om bij de bank een overeenkomst te sluiten. Het is dus voor dat er daadwerkelijk een overeenkomst is al nodig om gegevens te verwerken. Als laatste voorbeeld: Het kan ook zijn dat er geen direct contract is met de verwerker, maar dat deze wel in het kader van het contract tussen betrokkene en verantwoordelijke gegevens moet verzamelen die nodig zijn voor het uitvoeren van het contract. Een overeenkomst kan trouwens ook en andere vorm hebben. Wij hebben met onze huisarts een overeenkomst tot het doen van medische handelingen. De huisarts hoeft dus niet elke keer opnieuw te vragen of hij onze gegevens mag verwerken.

Wettelijke verplichting

Onder de grondslag wettelijke verplichting vallen die verwerkingen waarvoor geldt dat het niet mogelijk is een wettelijke plicht uit te voeren is zonder de verwerking van persoonsgegevens. Het moet wel zo zijn dat tussen het persoonsgegeven en de wettelijke plicht een direct verband is. Een voorbeeld hierbij is onze gegevens in de HR-administratie van onze werkgever. Er zijn gegevens nodig voor wettelijke verplichtingen zoals het betalen van belasting en premies. Maar ook een kopie van een identiteitskaart in het kader van de identificatieplicht. Het moet overigens ook de directe wettelijke plicht van de verantwoordelijke zijn. De rechter heeft nog niet zo lang geleden beoordeeld dat de belastingdienst niet aan woningcorporaties mocht doorgeven wat het inkomen van haar huurders is. Terwijl de woningcorporatie wel een wettelijke plicht heeft de huren te laten afhangen van deze inkomsten. De belastingdienst heeft die gegevens vanuit een andere wettelijke plicht verzameld (het kunnen opleggen van allerlei belastingen). Dit wordt overigens ook wel eens de ‘functie creep’ genoemd. Als we gegevens eenmaal hebben, laten we ze dan ook voor andere doeleinden inzetten.

Vitaal belang

Een gegevensverwerking is gerechtvaardigd indien deze noodzakelijk is ter bestrijding van een ernstig gevaar voor de gezondheid van de betrokkene of een andere persoon. Het zou een beetje lastig zijn voor een eerste hulp arts om eerst een behandelovereenkomst te sluiten voordat er medische gegevens worden verwerkt. Ik zou het ook fijn vinden als de arts dan eerst behandelt. Deze grondslag is alleen bedoeld om de fysieke integriteit of leven van de betrokkenen te waarborgen. Dit kunnen naast de belangen van de direct betrokkene ook nog zaken als het monitoren van een epidemie en de verspreiding daarvan of in humanitaire noodsituaties, met name bij natuurrampen of door de mens veroorzaakte rampen zijn. Je ziet al dat er slechts door een beperkt aantal processen een beroep op deze rechtvaardiging kan plaatsvinden.

Algemeen Belang

Onder de WBP was deze rechtvaardiging ruimer toegespitst op de vervulling van een publiekrechtelijke taak. Hierdoor is deze rechtvaardiging regelmatig als losstaand gebruikt. In de AVG moet er ook voor het verwerkingen vanuit deze grondslag ergens een wettelijk doel bestaan. Hierdoor valt binnen de AVG deze bepaling als zelfstandige rechtsgrondslag weg, en mag dus niet meer gebruikt worden. Er zal dus moeten worden gezocht naar een grondslag vanuit specifieke wettelijke bepaling. Hiermee wordt enerzijds gegarandeerd dat persoonsgegevens slechts kunnen worden verwerkt met het oog op een vooraf vastgelegde wettelijke taak. De overheid kan natuurlijk wel specifieke wettelijke bepalingen opstellen waarmee dit artikel ook enige flexibiliteit geeft. Het verschil tussen deze rechtvaardiging en de wettelijke verplichting zitten vooral in de (on)mogelijkheid om bij een wettelijke verplichting als betrokkene bezwaar te maken tegen verwerking.

Gerechtvaardigd belang

De laatste rechtvaardig komt voort uit de belangen van de verantwoordelijke voor de gegevens verwerking. Deze verantwoording mag niet gebruikt worden door overheidsinstanties in het uitoefenen van hun taak. Daar hebben we de onderdelen c .en e. voor. Het mag wel als het niet om directe overheidstaken gaat. Een voorbeeld hierbij is het belang wat een organisatie (overheid of andere) kan hebben bij het registreren van bezoekers aan een gebouw. Zo’n registratie zou vanuit een gerechtvaardigd belang van de verantwoordelijke logisch kunnen zijn, en heeft niet direct betrekking op een overheidstaak. Dus als er zwaarwegende belangen zijn, waarbij het niet mogelijk is om vanuit een van de vorige rechtvaardigingen het verwerken van persoonsgegevens een juiste basis te geven, kan misschien hieruit alsnog een verantwoording gevonden worden. Je merkt al aan mijn “misschien” dat er wel een behoorlijke plicht op de verantwoordelijke ligt om aan te tonen dat de verwerking niet indruist tegen de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene. Een principe wat hier ook bij hoort is de bepaling van “reasonable expectancy of privacy”. Is het voor een betrokkene logisch dat zijn gegevens verzameld en verwerkt worden. In de toelichting bij de AVG staan een aantal voorbeelden, het verwerken van gegevens ten behoeve van direct marketing, het doorsturen van personeelsgegevens binnen tussen onderdelen van hetzelfde concern, en het verwerken van gegevens (inlognamen/wachtwoorden) ten behoeve van netwerkbeveiliging gelden als gerechtvaardigde belangen.

In de WBP hebben we naast deze grondslagen ook nog een artikel over doelbinding. Met Doelbinding wordt aangegeven dat we persoonsgegevens alleen moeten verwerken met voor een van te voren bepaald doel. Het voor andere doelen gebruiken van verzamelde gegevens zou “met grote terughoudendheid moeten plaatsvinden. In de WBP beschrijft het artikel 9 deze doelbinding. Dit is in de AVG verplaatst naar de artikelen 5 en 6. Ter herinnering, in artikel 5 staat: Persoonsgegevens moeten voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt; de verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden wordt overeenkomstig artikel 89, lid 1, niet als onverenigbaar met de oorspronkelijke doeleinden beschouwd („doelbinding”);

In artikel 6 lid 4 geeft de AVG ook nog aan, dat een verwerking van gegevens met een ander doel dan dat waarvoor ze verzameld zijn (voor zover dit nieuwe doel niet voortkomt uit wettelijke bepalingen), niet zonder een nieuwe grondslag is toegestaan als beide verwerkingen niet met elkaar verenigbaar zijn. Er moet weer rekening worden gehouden met de verbanden tussen de doeleinden van de originele verzameling, en de nieuwe verwerking, het kader waarin de gegevens zijn verzameld (ook wat de verhouding tussen de betrokkenen en de voor de verwerking verantwoordelijke is, over wat voor persoonsgegevens het gaat. Als het gaat over bijzondere persoonsgegevens kan er een hoger belang aan veringbaarheid worden gegeven dan als het gaat om niet gegevens met een lager risico voor de betrokkenen, de gevolgen die een andere verwerking heeft voor de betrokkenen en als laatste de mogelijkheid van “passende” waarborgen. Denk in dat laatste geval bijvoorbeeld aan versleuteling of pseudonimisering.

Ook hier gaat het dus weer om het vaststellen van proportionaliteit en subsidiariteit van de nieuwe verwerking. Het afwegen van de belangen van de betrokkene, en de beoordeling of het voldoet aan het principe van “reasonable expectancy of privacy”.

Een voorbeeld van ongewenste verdere verwerking zou zijn als een ziekenhuis vanuit een eigen commercieel belang haar patiënten lijst inclusief de medische gegevens zou verkopen aan een leverancier van niet medische hulpmiddelen, of nog erger, aan een social network om geautomatiseerd leden te kunnen toevoegen. Ook andersom zou trouwens niet kunnen, Facebook die op basis van ons gedrag op haar dienst risicogegevens verkoopt aan verzekeraars. Bij dit laatste voorbeeld komt nog een heel andere artikel om de hoek kijken, en dat is „profilering” omschreven als elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, met name met de bedoeling zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen.

In de AVG is hiervoor in artikel 22 opgenomen dat wij het recht hebben niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking, waaronder profilering, gebaseerd besluit. Maar daar weer meer over in een volgend blog.

De volgende keer

Stap ik weer even weg van de wetteksten en ga ik wat dieper in op wat er binnen organisaties moet worden geregeld om aan de artikelen tot nu toe te gaan voldoen. Ik pak hier onder andere de rol van de Functionaris gegevensbescherming bij, de gegevensbeschermingeffectrapportage, risico analyse, registervorming in op.

Jacques Eding 

Heeft u een vraag?

Neem contact op