'Verwerkingsverantwoordelijke, bezint eer ge begint!'
Enandere opdrachten uit de beginselen van de AVG
En andere opdrachten uit de beginselen van de AVG
1. Inleiding
De telefoonprovider, de webshop, de dierenarts, de sportvereniging, de social media, de hulpdienst, de Kamer van Koophandel en de gemeente, ze doen het allemaal. Want wie bijvoorbeeld een personeelsadministratie, een klantenbestand, een patiëntenbestand, accounthouders, een ledenlijst of een register heeft, verwerkt persoonsgegevens. Ze verwerken een stukje van iemands privéleven en dat vraagt  – zéker in het digitale tijdperk – de nodige zorgvuldigheid.
     Het recht op privéleven wordt beschermd door art. 8 EVRM. Uit de jurisprudentie van het EHRM kan het fundamentele belang van de bescherming van persoonsgegevens worden afgeleid[1]. Meegaand in de vaart der volkeren ontstond voor het verwerkingsproces van persoonsgegevens behoefte aan een nadere explicitering, verruiming[2], nieuwe elementen en waarborgen. Het recht op bescherming van persoonsgegevens is als grondrecht neergelegd in art. 8 lid 1 van het Handvest van de grondrechten van de Europese Unie (het 'Handvest') en art. 16 lid 1 van het Verdrag betreffende de werking van de Europese Unie (VWEU). Dit specifieke grondrecht bestaat naast het algemene privacyrecht van art. 7 van het Handvest. Met het Verdrag van Lissabon heeft het Handvest de status van een verdrag gekregen (art. 6 lid 1 VEU).
     Kenmerkend voor grondrechten is dat het recht van de één, een plicht voor de ander impliceert: minimaal de plicht het grondrecht te respecteren[3]. Sinds 25 mei 2018 zijn de privacyrechten en - plichten in Europa versterkt en uitgebreid: personen van wie de gegevens worden verwerkt ('betrokkenen'), hebben meer rechten en verwerkingsverantwoordelijken hebben meer verantwoordelijkheden gekregen. Dit volgt uit de Algemene Verordening Gegevensbescherming (AVG)[4], in Nederland uitgewerkt in de Uitvoeringswet AVG.
     De rechten en plichten bouwen voort op de beginselen, opgenomen in artikel 5 AVG. Deze beginselen vinden hun oorsprong in de OESC Guideslines on the Protection of Privacy and Transborder Flows of Personal Data uit 1980. Zij zijn gericht aan de verwerkingsverantwoordelijke en dienen in gelijke mate in acht te worden genomen[5]. Maar welke opdrachten schuilen daarachter? In dit artikel geef ik een korte toelichting op de beginselen. Achtereenvolgens ga ik in op de beginselen van (a) rechtmatigheid, behoorlijkheid en transparantie, (b) doelbinding, (c) minimale gegevensverwerking, (d) juistheid, (e) opslagbeperking en (f) integriteit en vertrouwelijkheid. Tot slot behandel ik de verantwoordingsplicht.

2. De beginselen van rechtmatigheid, behoorlijkheid en transparantie
De beginselen van rechtmatigheid, behoorlijkheid en transparantie zijn gezamenlijk opgenomen in art. 5 lid 1 sub a AVG.
    
Rechtmatigheid
Het beginsel van rechtmatigheid vereist dat (het doel van) de verwerking van persoonsgegevens te kunnen baseren op een deugdelijke rechtsgrondslag. De rechtmatigheidsgrondslagen zijn limitatief opgenomen in art. 6 lid 1 AVG[6]: persoonsgegevens mogen worden verwerkt (a) op basis toestemming[7], (b) voor de uitvoering van een overeenkomst, (c) om te voldoen aan wettelijke verplichtingen, (d) om de vitale belangen van te betrokkene of een ander te beschermen, (e) voor taken van algemeen belang of openbaar gezag en (f) indien er een gerechtvaardigd belang is.
     Voor de grondslagen b tot en met f is vereist dat de verwerking noodzakelijk is voor het daar genoemde doel. Voor de beantwoording van de noodzakelijkheidsvraag kan aansluiting worden gezocht bij het noodzakelijkheidstoets van  art. 8 EVRM. En moet dan worden beoordeeld of de inbreuk op het privéleven die de verwerking van gegevens maakt (1) proportioneel is en (2) voldoet aan de eis van subsidiariteit[8]. De proportionaliteitsvraag gaat over de effectiviteit en evenredigheid van de verwerking. De verwerking behoort op het doel te zijn afgestemd: enerzijds niet te ruim zodat onnodige gegevens zouden worden verwerkt, anderzijds moet het voldoende informatie bevatten om een goed beeld over een persoon te verkrijgen. Als het doel (waarschijnlijk) niet met de verwerking van de gegevens kan worden bereikt (effectiviteit), dan is deze verwerking niet snel proportioneel. Daarnaast moet het beoogde doel in verhouding staan tot de betreffende gegevensverwerking (evenredigheid). Voor de subsidiariteitsbeoordeling moet worden bepaald of het doel niet op een andere, minder ingrijpende wijze kan worden bereikt, wellicht door géén, minder of minder gevoelige persoonsgegevens te verwerken.
     Als de verwerking van persoonsgegevens op één van de grondslagen a t/m f kan worden gebaseerd, wordt het beginsel van rechtmatigheid in acht genomen. Maar voor een rechtmatige gegevensverwerking dienen ook de andere beginselen van art. 5 AVG te worden nageleefd[9].
    
Behoorlijkheid
Zo dient de verwerking ook 'behoorlijk' plaats te vinden. Dit begrip wordt vaak in één adem genoemd met 'transparantie'. De verwerkingsverantwoordelijke dient zijn personeel, klanten, patiënten, accounthouders, leden of geregistreerden openheid, maatwerk en waarborgen te bieden. De gegevensverzameling, het gebruik (ook door eventuele anderen), de raadpleging of andere verwerkingen en van de doeleinden daarvan dienen tijdig aan de betrokkene kenbaar te worden gemaakt[10]. Die kenbaarheid is mede van belang voor de mate van inbreuk op het privéleven, omdat de betrokkene dan op de verwerking kan reageren (al dan niet met een uiting van verzet[11]).
    
Transparantie
Het transparantiebeginsel stelt kwalitatieve en inhoudelijke eisen aan de informatie en communicatie. Het beginsel wordt uitgewerkt in artt. 12, 13 en 14 AVG. De verwerkingsverantwoordelijke dient in een beknopte, transparantie, begrijpelijk en gemakkelijk toegankelijke vorm informatie te gegeven over de gegevensverwerking. Daarbij moet duidelijke en eenvoudige taal worden gebruikt[12]. De persoon van wie de gegevens worden verwerkt, heeft het recht op inzage, rectificatie, verwijdering en overdraagbaarheid van die gegevens, alsmede het recht op beperking van en bezwaar te maken tegen die verwerking (artt. 15 t/m 22 AVG). De verwerkingsverantwoordelijke moet hem in de uitoefening van zijn rechten faciliteren. In art. 13 AVG is een informatieplicht neergelegd. Het artikel stelt inhoudelijke eisen aan de informatie die gegeven moet worden en bevat een opsomming van onderwerpen waarover de betrokkene op de hoogte moet worden gesteld. Zo moeten de identiteit van de verwerkingsverantwoordelijke, de contactgegevens van de eventuele functionaris voor gegevensbescherming en de doeleinden voor de verwerking aan de betrokkene bekend worden gemaakt.
     Ten behoeve van de effectiviteit van de informatieplicht en van de rechten van betrokkenen is bepaald dat de betrokkene over de verwerking moet worden geïnformeerd als gegevens niet rechtstreeks van hem afkomstig zijn (art. 14 AVG) en dat iemand van een verwerkingsverantwoordelijke mag vernemen of zijn persoonsgegevens worden verwerkt (art. 15 AVG).

3. Het beginsel van doelbinding
In art. 5 lid 1 sub b AVG is het beginsel van doelbinding neergelegd. Hieruit volgt dat de persoonsgegevens alleen mogen worden verzameld en verwerkt voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Het uitgangspunt is dat de doeleinden uiterlijk op het moment van de gegevensverzameling aan de betrokkene worden gespecificeerd. Door de gegevensverwerking te koppelen aan een specifiek doel kan misbruik c.q. ongewenst gebruik bij bezit van persoonsgegevens worden tegengegaan.
     Hoewel het doel specifiek bepaald wordt, bestaat er wel ruimte voor flexibiliteit en efficiëntie. Een verwerking kan voor een nieuw, met het oorspronkelijke doel verenigbaar doel plaatsvinden, zonder inbreuk te maken op de doelbinding[14]. Dit beginsel is complementair aan het beginsel van rechtmatigheid waarbij eveneens de verenigbaarheid moet worden beoordeeld. Voor een nieuwe verwerking is geen afzonderlijke rechtsgrond is vereist, indien die verwerking verenigbaar is met het oorspronkelijke doel[15]. Bij bepaling van de verenigbaarheid dient rekening te worden gehouden met de factoren uit art. 6 lid 4 AVG: het verband tussen de doeleinden, de verhouding tussen verantwoordelijke en betrokkene, de aard van de persoonsgegevens, de mogelijke gevolgen voor betrokkene en het bestaan van passende waarborgen. Een verdere verwerking ter archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doelen wordt beschouwd als verenigbare rechtmatige verwerking[16].
     Verdere verwerking voor niet-verenigbare doelen is mogelijk op basis van toestemming of Unierechtelijke of lidstatelijke bepaling (art. 6 lid 4 AVG)[17].

4. Het beginsel van minimale gegevensverwerking (dataminimalisatie)
De verwerking van persoonsgegevens vraagt maatwerk. In art. 5 lid 1 sub c AVG is bepaald dat de persoonsgegevens toereikend en ter zake dienend moeten zijn en dat de verwerking beperkt behoort te blijven tot wat noodzakelijk is voor het doel. Dat is het beginsel van minimale gegevensverwerking. verwerking.
     In de praktijk betekent dit ten eerste dat de verwerkingsverantwoordelijke zich voorafgaan aan de gegevensverzameling via de noodzakelijkheidsvraag (par. 2) moet bezinnen over het al of niet gebruiken van een specifiek persoonsgegeven ('Heb ik de geboortedatum echt nodig?'). Overweging 39 AVG noemt in dit verband expliciet het subsidiariteitsbeginsel. Ten tweede moeten gegevens ook actief verwijderd worden als ze niet meer nodig zijn. Zo blijft de opslagperiode tot een minimum beperkt (hierover ook par. 6). De verwerkingsverantwoordelijke moet dus periodieke evaluaties in zijn planning opnemen[18].

5. Het beginsel van juistheid
Alleen op basis van juiste gegevens kan een goed beeld worden gevormd over de persoon. Art. 5 lid 1 sub d AVG bepaalt dat de persoonsgegevens juist moeten zijn en zo nodig dienen te worden geactualiseerd. Er moeten alle redelijke maatregelen worden genomen om de persoonsgegevens die – gelet op het verwerkingsdoel – onjuist zijn, onverwijld te wissen of te rectificeren[19]. Bij vermeende onjuistheid van zijn persoonsgegevens kan de betrokkene beperking van de verwerking20 verlangen, zodat de verwerkingsverantwoordelijke de juistheid ervan kan controleren (art. 18 lid 1 sub a AVG).
     Indien zijn persoonsgegevens onjuist zijn, heeft de betrokkene het recht op rectificatie daarvan (art. 16 AVG). De Memorie van Toelichting bij de Uitvoeringswet geeft aan dat het daarbij niet om een objectieve onjuistheid gaat, maar om de subjectieve wens van de betrokkene[21]. Ook kunnen de gegevens worden aangevuld op basis van een verklaring van de betrokkene (art. 16 AVG).
     Het recht om gegevens te wissen is uitgewerkt in art. 17 AVG. Dit artikel bouwt voort[22] op de uitspraak  Google/Costeja waarin het 'recht op vergetelheid' in zoekmachineresultaten is ontstaan[23]. Redenen om te wissen kunnen zijn dat de noodzakelijkheid is vervallen, een toestemming is ingetrokken of dat de verwerking dateert uit de kinderjaren van de betrokkene[24]. Onjuistheid van de gegevens speelt hierbij geen expliciete rol.

6. Het beginsel van opslagbeperking
Het beginsel van opslagbeperking is opgenomen in art. 5 lid 1 sub e AVG. Dat beginsel wil zeggen dat persoonsgegevens niet langer worden bewaard dan noodzakelijk voor het verwerkingsdoel[25]. Ook hier moet de noodzakelijkheidsvraag (par. 2) worden beantwoord.
     Wanneer de gegevens niet langer noodzakelijk zijn, dan moeten zij worden vernietigd of gewist. De betrokkene kan hiervoor een beroep doen op art. 17 lid 1 sub a AVG, maar de verwerkingsverantwoordelijke dient in elk geval zelf termijnen vast te stellen voor het wissen van gegevens of voor een periodieke toetsing ervan[26]. Ook dient hij betrokken bij de verkrijging van persoonsgegevens te informeren over de (voorgenomen) opslagduur of daarvoor bepalende criteria (art. 13 lid 2 sub a AVG). Indien langere bewaring wenselijk is, is dat na anonimisering toegestaan.
     Voor langere bewaring verwijst art. 5 lid 1 sub e AVG ook naar de archiveringsdoelen opgenomen in art. 89 lid 1 AVG. Als technische en organisatorische maatregelen worden getroffen ter bescherming van de rechten en vrijheden van de betrokkene, mogen gegevens langer worden verwerkt voor archivering in het algemeen belang, voor wetenschappelijk of historisch onderzoek of statistische doelen. Ook hier past een subsidiariteitsbeoordeling en moet worden bezien of anonimisering of pseudonimisering het doel van de archivering in de weg zou liggen[27].

7. Het beginsel van integriteit en vertrouwelijkheid
Het in art. 5 lid 1 sub f AVG opgenomen beginsel van integriteit en vertrouwelijkheid impliceert de opdracht om persoonsgegevens op een passende manier te beveiligen met passende technische of organisatorische maatregelen. Hiermee moet doeltreffend aan de gegevensbeschermingsbeginselen worden voldaan (art. 25 lid 1 AVG). Wat 'passend' is, is niet uitdrukkelijk bepaald. Wel bevat art. 32 AVG een aantal aandachtspunten. Er moet rekening worden gehouden met de gevoeligheid van de gegevens en de risico's. Een en ander kan met een gegevensbeschermingseffectbeoordeling (art. 35 AVG) worden geïnventariseerd. Voor de beveiliging van bijvoorbeeld medische gegevens ligt de lat in elk geval hoger dan voor telefoonnummers. In alle gevallen moet ongeoorloofde of onrechtmatige verwerking, onopzettelijk verlies, vernietiging of beschadiging worden tegengegaan. De waarborging dient ook om ongeoorloofde toegang of het ongeoorloofde gebruik van persoonsgegevens en de apparatuur waarmee zij verwerkt worden, te voorkomen[28]. Ook is vereist dat er waarborgen in het verwerkingsproces worden ingebouwd (art. 25 lid 1 AVG).

8. Het sluitstuk
Een en ander leidt ertoe dat de verwerkingsverantwoordelijke het verwerkingsproces goed behoort voor te bereiden en zorgvuldige afwegingen dient te nemen. Hij is verantwoordelijk voor de naleving van deze beginselen. Het sluitstuk van deze beginselen is de verantwoordingsplicht (art. 5 lid 2 AVG) waarbij de verwerkingsverantwoordelijke moet kunnen aantonen dat zijn gegevensverwerking daaraan voldoet.
     In dat kader behoort hij onder meer (voor zover van toepassing) de gegevensverwerking te registreren (art. 30 AVG), mee te werken aan toezicht (art. 31 AVG), voorafgaand aan de gegevensverwerking een gegevensbeschermingseffectbeoordeling uit te voeren (art. 35 AVG) en zo nodig de Autoriteit Persoonsgegevens te raadplegen (art. 36 AVG). Tevens kan de verwerkingsverantwoordelijke aantonen dat hij aan zijn plichten uit de AVG voldoet door een functionaris gegevensbescherming aan te stellen (art. 37 AVG), bij het inrichten van verwerkingen rekening te houden met de beginselen van privacy by design en privacy by default (art. 25 AVG), passende beveiligingsmaatregelen te nemen, afgestemd op het veiligheidsniveau (art. 32 AVG), eventuele datalekken te melden (art. 33 AVG) en contractuele waarborgen te bieden indien andere personen bij de gegevensverwerking betrokken zijn (verwerkersovereenkomst, art. 28 AVG).
     Indien onvoldoende aan de verantwoordingsplicht kan worden voldaan, kan dat op diverse gebreken in de gegevensverwerking duiden, wellicht met negatieve gevolgen voor bijvoorbeeld personeel, klanten, patiënten, accounthouders, leden of geregistreerden. In het digitale tijdperk is het leed snel geleden.

AHV

Dit artikel is auteursrechterlijk beschermd en kan worden geraadpleegd op
w w w . l e g a l a n c e . n l

[1] O.a. EHRM 25 februari 1997, 22009/92 (Z/Finland); EHRM 4 december 2008, 30562/04 en 3056/04 (S. & Marper/Verenigd Koninkrijk).
[2] O.a. P. de Hert & S. Gutwirth, 'Dataprotection in the case Law of Strasbourg and Luxemburg; Constitutionalisation in Action' in: S. Gurtwirth, Y. Poullet, P. de Hert, S. Nouwt en C. de Terwangne, Reinventing data protection?, Berlijn: Springer 2009, p. 3.
[3] A.J. Nieuwenhuis & A.W. Hins, Hoofdstukken Grondrechten, Nijmegen: Ars Aequi Libri 2011, p. 169.
[4] Verordening van het Europese Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG, PbEU 2016, L 119; General Data Protection Regulation (GDPR).
[5] Uitzonderingen en beperkingen zijn slechts toegestaan voor zover dit in de AVG is bepaald, zij het via rechtstreekse werking dan wel een uitwerkingsplicht door de lidstaat (Kamerstukken II 2017/18, 34851, 3, p. 32).
[6] Kamerstukken II 2017/18, 34851, 3, p. 34.
[7] De toestemming is verder uitgewerkt in art. 7 e.v. AVG en art. 8 UAVG.
[8] O.a. uitgewerkt in EHRM 7 december 1976, 5493/72 (Handyside).
[9] Kamerstukken II 2017/18, 34851, 3, p. 34.
[10] Overweging 39 en 60 AVG.
[11] Vergelijk EHRM 18 mei 2010, 26839/05 (Kennedy/Verenigd Koninkrijk).
[12] Ook Overweging 39 AVG.
[13] Overweging 61 AVG.
[14] Kamerstukken II 2017/18, 34851, 3, p. 37.
[15] Overweging 50 AVG; Kamerstukken II 2017/18, 34851, 3, p. 33 en 38.
[16] Overweging 50 AVG.
[17] Overweging 50 AVG; Kamerstukken II 2017/18, 34851, 3, p. 37. De term Unierecht moet ruim worden uitgelegd: alle maatregelen die verband houden met het EU-recht vallen daaronder (HvJ EU 26 februari 2013, C-617/10 (Akerberg Franssen)).
[18] Overweging 39 AVG.
[19] Overweging 39 AVG.
[20] Bij 'beperken van de verwerking' gaat het om het markeren van opgeslagen persoonsgegevens met als doel de verwerking ervan in de toekomst te beperken (art. 4 onder 3 AVG).
[21] Kamerstukken II 2017/18, 34851, 3, p. 62.
[22] Kamerstukken II 2017/18, 34851, 3, p. 62.
[23] Als gevolg van die uitspraak is de exploitant van een zoekmachine verantwoordelijk voor de door hem verrichte verwerking van persoonsgegevens die worden weergegeven op door derden gepubliceerde webpagina's en kan een betrokkene – onder voorwaarden – zoekresultaten met zijn naam laten verwijderen (HvJEU 13 mei 2014, C-131/12, ECLI:EU:C:2014:317 (Google/Costeja)).
[24] Overweging 65 AVG.
[25] Vergelijk EHRM 4 december 2008, 30562/04 en 3056/04 (S. & Marper/Verenigd Koninkrijk), par. 67.
[26] Overweging 39 AVG.
[27] Overweging 156 AVG.
[28] Overweging 39 AVG.

Januari 2019

Disclaimer
De artikelen en blogposts van Legalance bieden algemene informatie en zijn nietbedoeld als advies. Er is niet beoogd volledigheid over een bepaald leerstuk nate streven. Ook kan de informatie verouderd, onvolledig en/of onjuist zijn doorwijzigingen in wet- en regelgeving, nieuwe rechtspraak of andere ontwikkelingen.Aan de hier aangeboden informatie kunnen dan ook geen rechten worden ontleend.De auteur daarvan kan niet aansprakelijk worden gehouden voor de gevolgen vanhet gebruik, op welke wijze dan ook, van deze informatie. De tekst-editor veroorzaakttaal- en opmaakfouten in de weergave.