WAT ZIJN PERSOONSGEGEVENS EN BIJZONDERE PERSOONSGEGEVENS VOLGENS DE AVG?

Officiële definitie van persoonsgegevens: Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (de betrokkene). Als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.

Hele gevoelige gegevens zoals iemands ras, godsdienst, seksuele geaardheid, politieke opvatting, gezondheid (ook van familieleden), lidmaatschap van een vakbond, strafrechtelijk gedrag, genetische (DNA) en biometrische gegevens worden aangemerkt als bijzondere persoonsgegevens. Voor deze persoonsgegevens biedt de wet een hoge mate van bescherming.

De verwerking van bijzondere persoonsgegevens is verboden, tenzij sprake is van een wettelijke uitzondering. Een voorbeeld van een wettelijke uitzondering is uitdrukkelijke toestemming van de persoon wiens persoonsgegevens het betreft.

WANNEER MAG JE PERSOONSGEGEVENS VERWERKEN?

Persoonsgegevens mogen verwerkt worden mits dit op een rechtmatige wijze gedaan wordt. Een organisatie moet o.a. de juiste grondslag hebben voor de verwerking van persoonsgegevens.

Er dient ten minste aan één van de onderstaande voorwaarden voldaan te worden:

• De betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor één of meer specifieke doelen.
• De verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen. Denk aan een webwinkel die adresgegevens nodig heeft voor bezorging.
• De verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust. Denk aan de Belastingdienst.
• De verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen. Dit gaat om leven of dood situaties.
• De verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen. Denk aan handhaving, jeugdwet ed.
• De verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is. Dit punt geldt niet voor de verwerking door overheidsinstanties in het kader van de uitoefening van hun taken.

DE AVG DOCUMENTATIEPLICHT

Anders dan onder het Wbp regime het geval was hoef je vanaf 25 mei 2018 geen melding meer te maken aan de Autoriteit Persoonsgegevens (AP) in het geval je persoonsgegevens verwerkt.

In plaats daarvan dien jij als verantwoordelijke of als verwerker te voldoen aan de in de AVG opgenomen documentatieplicht. Je bent verplicht een register/documentatie bij te houden van alle verwerkingen die je binnen jouw organisatie (of elders bij een verwerker) uit laat voeren, zodat je op elk moment jouw verwerkingen van persoonsgegevens kunt verantwoorden. Anders gezegd: Je moet kunnen aantonen dat je, in overeenstemming met de bepalingen van de AVG, de juiste organisatorische en technische maatregelen hebt getroffen.

Je moet dus een privacy-administratie bij gaan houden om de AP op elk moment te kunnen voorzien van informatie over hoe jouw organisatie de verwerking van persoonsgegevens heeft geregeld en de veiligheid daarvan heeft geborgd. In het geval je dat niet kunt riskeer je een aanzienlijke boete.

AVG TOOLING

De AVG schrijft niet voor hoe je deze privacy administratie moet bijhouden maar wel wàt je moet registeren. Je hebt dus de mogelijkheid om dit bijvoorbeeld in Excel bij te houden maar ik adviseer je om gebruik te maken van speciaal ontwikkelde AVG tooling. Deze tooling helpt jouw organisatie niet alleen met het centraal administreren van alle gegevensverwerkingen, maar geeft tevens begeleiding en advies d.m.v interactieve vragenlijsten zonder dat je daarvoor een jurist hoeft in te schakelen. Ze worden namelijk continu juridisch bijgehouden. In de tool kunnen zelfs eenvoudig (sub-) verwerkersovereenkomsten gegenereerd worden o.b.v. voor jouw organisatie vooraf vastgestelde juridische templates. Zeer handig voor MKB bedrijven die juridische kosten willen beperken, maar ook geschikt voor grotere organisaties met veel medewerkers die hiermee te maken krijgen. Je kan zelfs een autorisatie/rechten structuur inrichten, risico-matrix rapportages genereren en het biedt audit trails.

Ik ben zelf zeer te spreken over de mogelijkheden met de tool PrivacyBlox. Zie voor meer informatie of het aanvragen van een demo: www.privacyblox.nl

DE DATA PROTECTION OFFICER

Deze Functionaris voor de Gegevensbescherming houdt toezicht op de toepassing en naleving van de AVG binnen een organisatie. De wettelijke taken en bevoegdheden van de DPO geven hem/haar een onafhankelijke positie in de organisatie. Het is mogelijk een externe medewerker als DPO aan te stellen. De DPO moet een natuurlijk persoon zijn. Niet iedere organisatie is verplicht een DPO aan te stellen. Onder de AVG zijn 3 typen organisaties verplicht een DPO aan te stellen:

1. Overheidsinstanties of – organen
2. Organisaties die voornamelijk bijzondere persoonsgegevens verwerken
3. Organisaties die hoofdzakelijk persoonsgegevens verwerken die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen.

Vooral voor de 3^e categorie is het wat lastiger te bepalen of jouw organisatie daartoe behoort. Voldoet jouw organisatie aan de onderstaande criteria? Dan is een DPO verplicht:

• Je organisatie verwerkt op grote schaal persoonsgegevens.

De AVG definieert vreemd genoeg niet duidelijk wat groot is. Ziekenhuizen, het OV, internationale fastfoodketens, verzekeraars, banken, zoekmachines, telecom- en internetproviders voldoen natuurlijk aan dit criterium. Ben je dat niet? Dan is van belang:

• Hoeveel (verschillende) gegevens je verwerkt per persoon
• De duur van de verwerking
• De geografische reikwijdte (lokaal of juist internationaal)

• Het monitoren van personen wordt stelselmatig en regelmatig Hieronder vallen alle vormen van volgen en profilering op het internet, bijvoorbeeld het tonen van advertenties op basis van internetgebruik. Andere voorbeelden zijn:
• Klantenkaart systemen
• Lokalisering met bijvoorbeeld mobiele apps
• Gezondheidswearables
• Slimme apparatuur zoals slimme thermostaten, smart cars, smart homes etc.
• Het verwerken van deze persoonsgegevens is noodzakelijk voor het uitvoeren van de kerntaak van jouw organisatie. Denk hierbij aan een bank die financiële diensten levert. Om die te kunnen aanbieden moet deze organisatie persoonsgegevens verwerken voor bijvoorbeeld administratieve en marketingdoeleinden. Ondersteunende functies, zoals de eigen personeelsadministratie en ICT-ondersteuning tellen niet mee voor het bepalen of een DPO verplicht is.

BRONNEN:

DDMA: www.ddma.nl
Autoriteit Persoonsgegevens: https://autoriteitpersoonsgegevens.nl
PrivacyBlox: www.privacyblox..nl