PrivacyBlox over de AVG [6/20]: hoe ver kun je gaan zonder toestemming onder de AVG?

08 February 2018 - ArnoudEngelfriet

De Algemene Verordening Gegevensbescherming of AVG (zeg maar de nieuwe Europese privacywet) stelt strenge regels aan de omgang met persoonsgegevens. Een belangrijke eis bij het voldoen aan die regels is een grondslag te hebben voor de verwerking. Toestemming, een wettelijke verplichting of een contractuele rechtvaardiging zijn grondslagen, maar wat nu als u die niet heeft? Dan rest u nog één mogelijkheid, en dat is aantonen dat u een eigen gerechtvaardigd belang heeft dat zwaarder weegt dan de privacy van de betrokken personen.

Een bekend voorbeeld van een eigen gerechtvaardigd belang is het cameratoezicht. Beveiligen van uw pand, goederen of mensen is immers een duidelijk en legitiem belang. Echter, het raakt ook de privacy van mensen die u filmt. Daarom is de kern van een beroep op deze grondslag een belangenafweging: waarom weegt uw belang zwaarder, en wat kunt u doen om de privacyzorgen tegemoet te komen?

Bij cameratoezicht kunt u bijvoorbeeld kiezen voor afschermen van de beelden voor alleen beveiligingspersoneel en Justitie, deze wekelijks bekijken en daarna wissen, en een duidelijk bordje ophangen zodat iedereen weet dat hij wordt gefilmd. Een andere optie om privacyzorgen te verminderen is een afmeld- oftewel opt-out-mogelijkheid: mensen kunnen dan op verzoek gevrijwaard blijven van deze verwerking. Bij cameratoezicht niet zo handig, maar bijvoorbeeld bij direct marketing voor de hand liggend.

Ook direct marketing, inclusief het maken van profielen, kan onder deze grondslag worden gerechtvaardigd. De AVG zegt namelijk expliciet dat dit in beginsel als legitiem belang te zien is. Maar vanwege de specifieke aard van deze activiteiten moet u wel goed stilstaan bij privacyzorgen. Mensen moeten inzicht kunnen krijgen in wat er gebeurt, inclusief eventuele geautomatiseerde beslissingen die u neemt met die profielen. Dit moet dus in de privacyverklaring (die in deel 9 van de serie aan bod komt) terug te lezen zijn.

Wanneer uw verwerking gebaseerd is op deze grondslag, moet de belangenafweging op papier zijn gezet. U documenteert dit in het verwerkingsregister, waarover volgende week meer. En let op: als mensen het hier niet mee eens zijn, kunnen zij bezwaar maken op grond van specifieke persoonlijke omstandigheden. U moet dan de belangenafweging herhalen met dit bezwaar in het achterhoofd, en zo mogelijk het bezwaar honoreren.

Wilt u concreet weten wat u precies moet doen onder de AVG? Teken dan nu in voor het handboek AVG Compliance in de praktijk dat in april 2018 verschijnt. Voor €39,95 krijgt u overzichtelijke adviezen en uitleg, met vele praktische voorbeelden, stappenplannen en standaardteksten. Een must voor iedere privacy professional.

De nieuwe Europese Algemene Verordening Gegevensbescherming is de opvolger van een Europese richtlijn uit 1995, die in Nederland omgezet werd in de Wet bescherming persoonsgegevens. Ook andere Europese landen hebben hun eigen privacywetgeving. Al deze wetgeving komt te vervallen; de AVG wordt vanaf 25 mei de énige privacywet, waar mensen zich direct op kunnen beroepen.

Inhoudelijk is de AVG vooral een kwestie van de touwtjes stevig aantrekken. De regels voor toestemming vragen voor verwerking van persoonsgegevens worden strenger, iedere verwerking moet op papier zijn uitgewerkt inclusief bewaartermijn en beveiligingskeuzes en er moet concreet beleid rond datalekken en security zijn. Dit alles op straffe van behoorlijk stevige boetes, waarover morgen meer.

Vaak wordt gezegd dat de AVG van alles en nog wat gaat verbieden. Niets is minder waar. De regels worden veel strenger, maar zijn vooral gericht op verantwoording afleggen. Toestemming vragen kan prima, maar kunt u bewijzen welke toestemming is gegeven, zijn mensen adequaat voorgelicht en kennen zij hun rechten? Gegevens tien jaar bewaren: oké, maar onderbouw eens waarom dat nodig is en niet een jaartje minder?

Een belangrijke vernieuwing zijn de verwerkingsregisters en datalekregisters. Deze registers maken deel uit van de verantwoordingsplicht die bedrijven en instellingen krijgen. In het verwerkingsregister moet ieder gebruik van persoonsgegevens zijn uitgewerkt (welke gegevens, waarom, hoe lang, hoe veilig), en het datalekregister moet inzicht bieden in dingen die misgingen (en hoe dat verbeterd gaat worden). Ook nieuw is de privacy impact assessmenteen risicoanalyse van potentieel gevaarlijke verwerkingen, inclusief stappenplan om de risico’s te borgen. 

Als ik de AVG in één zin moet samenvatten, dan is dat het een compliancewet is. Documenteer wat u doet, en leg daar verantwoording over af. Laat zien dat u netjes werkt en rechtvaardig waarom het gepast is wat u wilt doen. De vraag zou bij de AVG ook niet moeten zijn, mag dit of dat nog, maar hoe leg ik vast dat ik kan doen wat ik wil.

Wilt u concreet weten wat u precies moet doen onder de AVG? Teken dan nu in voor het handboek AVG Compliance in de praktijk dat in april 2018 verschijnt. Voor €39,95 krijgt u overzichtelijke adviezen en uitleg, met vele praktische voorbeelden, stappenplannen en standaardteksten. Een must voor iedere privacy professional.

terug naar het overzicht

Deel dit artikel met uw netwerk:
E-mailLinkedinFacebookTwitter

Gerelateerde artikelen
Gartner emerging tech hype cycle

De Gartner Hype Cycle is een handige manier om inzicht te krijgen in opkomende technologieën en trends. Elk jaar publiceert het onderzoeksbureau de ontwikkelingen: van nieuwe op de markt naar (te) hoge verwachtingen naar desillusie, […]

Meld je aan voor onze nieuwsbrief

Meer weten over Lynn?

Alles weten over de functionaliteiten van Lynn? Wil je weten op welke wijze Lynn binnen jouw organisatie kan worden toegepast? Onze legal tech specialisten denken graag vrijblijvend met je mee.