Rollen:

De AVG beschrijft een aantal rollen. Het is handig om deze te kennen zodat je weet of jouw organisatie een verantwoordelijke of verwerker is. Beide kan natuurlijk ook.

• Verantwoordelijke: De persoon of organisatie die het doel en de middelen van de gegevensverwerking vaststelt
• Verwerker: Deze rol werd voorheen “de bewerker” genoemd. Dit is de persoon of organisatie die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt
• Betrokkene: Een geïdentificeerde of identificeerbare natuurlijke persoon van wie gegevens worden verwerkt

Verplichtingen van de verwerkingsverantwoordelijke:

Er zijn een aantal zaken waaraan de verwerkingsverantwoordelijke moet voldoen:

• Gegevensbeschermingsbeleid opstellen
• Passende technische en organisatorische maatregelen nemen
• Register van verwerkingsactiviteiten maken
• Gegegevensbescherming effect beoordeling
• Functionaris gegevensbescherming aanstellen. Of dit nodig is wordt in deel 3 beschreven
• Melding van eventuele inbreuk melden

Wanneer is een organisatie “verwerker”?

De verwerker is degene (veelal een toeleverancier of dienstverlener) die de persoonsgegevens verwerkt in opdracht van een verantwoordelijke (opdrachtgever/eigenaar van de data). Het in opdracht verwerken van persoonsgegevens impliceert dat de verwerker niet zelf het doel en de middelen voor de gegevensverwerking vaststelt. De verwerker handelt overeenkomstig de instructies van de verantwoordelijke en onder diens uitdrukkelijke verantwoordelijkheid. Als er een verwerker wordt ingeschakeld dient deze ook de juiste technische en organisatorische maatregelen te nemen. Wanneer een verwerker tevens de persoonsgegevens voor een eigen doeleinden verwerkt, is er voor dat deel sprake van medeverantwoordelijkheid.

Zoals uit artikel 28 lid 1 AVG blijkt, dient een verwerkingsverantwoordelijke er zeker van te zijn dat de verwerker afdoende garanties biedt zodat de bescherming van de rechten van de betrokkene wordt gewaarborgd. In art. 28 lid 3 AVG staan de eisen opgesomd die aan een verwerkingsovereenkomst worden gesteld. Binnen de AVG wordt aan de verwerker een grote verantwoordelijkheid toegekend. Dit uit zich onder meer in art. 28 lid 4 AVG. Wanneer je als verwerker een andere verwerker in dienst neemt (de sub-verwerker) en deze tekort schiet in de nakoming dan blijft de verwerker ten aanzien van de verwerkingsverantwoordelijke volledig aansprakelijk. Om die reden is het van groot belang dat de verwerker een sub-verwerkers overeenkomst opstelt om te waarborgen dat de sub-verwerker handelt volgens de AVG en de gemaakte afspraken van de verantwoordelijke.

Rechten van betrokkenen

Betrokkenen waarvan persoonsgegevens worden verwerkt hebben binnen de AVG diverse rechten. Dit zijn meer rechten dan zij hadden binnen de Wet Bescherming Persoonsgegevens:

• Recht op informatie (artikel 13 en 14 AVG)
• Recht van inzage (artikel 15 AVG )
• Recht op rectificatie (artikel 16 AVG)
• Recht op gegevenswissing / vergetelheid (artikel 17 AVG)
• Recht op beperking van de verwerking (artikel 18 AVG)
• Recht op overdraagbaarheid / dataportibiliteit (artikel 20 AVG)
• Recht van bezwaar (artikel 21 AVG)
• Recht niet te worden onderworpen aan geautomatiseerde individuele besluitvorming / profiling (artikel 22 AVG)

Wat moet u doen voor betrokkenen?

De rechten van de betrokken hebben vrij veel consequenties voor de Verantwoordelijke en Verwerkers van persoonsgegevens. Bent u bewust van het feit dat u vanalles moet doen om de betrokkenen te bedienen op een manier die aansluit bij de AVG:

• Communicatie:
  • Gebruik heldere taal in jouw communicatie
  • Vertel betrokkenen wie je bent en wanneer je om gegevens vraagt
  • Zeg waarom je hun gegevens verwerkt, hoe lang deze zullen worden bewaard en wie deze ontvangt
• Toestemming:
  • Zorg dat je ondubbelzinnige toestemming krijgt voor het verwerken van de gegevens
  • Verzamel je gegevens van kinderen voor social media? Controleer de leeftijdsgrens voor ouderlijke toestemming
• Toegang en overdraagbaarheid:
  • Mensen moeten toegang krijgen tot hun gegevens en deze aan een ander bedrijf kunnen geven
• Waarschuwingen:
  • Informeer mensen over inbreuken in verband met persoonsgegevens indien deze voor hen een risico vormen
• Het wissen van gegevens:
  • Geef mensen het recht om te worden vergeten (the right to be forgotten)
  • Wis hun persoonsgegevens wanneer ze daarom vragen, maar alleen indien het geen schending oplevert van de vrijheid van meningsuiting of de mogelijkheid om onderzoek te doen
• Profilering:
  • Indien je gebruik maakt van profilering voor het verwerken van aanvragen voor juridisch bindende overeenkomsten, zoals leningen, moet je:
    • Jouw klanten op de hoogte stellen
    • Ervoor zorgen dat een persoon, niet een apparaat, de procedure controleert indien de aanvraag wordt afgewezen
    • De aanvrager het recht geven om het besluit aan te vechten
  • Marketing:
    • Geef mensen het recht om zich af te melden voor direct marketing die gebruik maakt van hun gegevens
  • Bescherming van gevoelige gegevens:
    • Neem extra maatregelen bij informatie over gezondheid, ras, seksuele geaardheid, religie, politieke overtuiging of lidmaatschap van een vakbond
  • Gegevensdoorgifte buiten de EU
    • Maak juridische afspraken wanneer je gegevens doorgeeft aan landen die niet zijn goedgekeurd door de EU-autoriteiten.

De verwerkersovereenkomst:

Op grond van art. 28 AVG dient je binnen de verwerkingsovereenkomst tenminste de volgende zaken af te spreken:

• Het onderwerp en de duur van de verwerking
• Het doel en de aard van de verwerking
• Het soort persoonsgegevens waarop de verwerkingsovereenkomst betrekking heeft
• De categorieën van verwerking van de betreffende betrokkenen
• De omgang met de data bij beëindiging
• De rechten en verplichtingen van de verwerkingsverantwoordelijk
• De mogelijkheid voor de verwerkingsverantwoordelijke om te kunnen controleren of de verwerker zich houdt aan de gemaakte afspraken, bijvoorbeeld door het uitvoeren van audits

In tegenstelling van wat soms wordt gedacht, hoeft de verwerkingsovereenkomst geen losse overeenkomst te zijn: integendeel! Bij het sluiten van nieuwe overeenkomsten waarbij persoonsgegevens meespelen is het raadzaam om de verwerkingsovereenkomst een integraal onderdeel te maken van de overeenkomst.

Wil je de artikelen erop nalezen waarnaar verwezen is? Bekijk dan hier de definitieve versie van de Algemene Verordening Gegegevensbescherming van de Raad van de Europese Unie.

Bronnen:

• DDMA: ddma.nl
• Autoriteit Persoonsgegevens: https://autoriteitpersoonsgegevens.nl