12 Vragen en antwoorden over de AVG

Op 25 mei 2018 trad de Algemene Verordening Gegevensbescherming (AVG) in werking. De AVG regelt hoe u omgaat met persoonlijke gegevens en wat u doet om deze te beschermen. Fatou Tevette bespreekt in twaalf vragen en antwoorden de invoering van de AVG en gevolgen voor uw organisatie.

1. Wanneer is de Algemene Verordening Gegevensbescherming (AVG) van toepassing?

De AVG beoogt de grondrechten en fundamentele vrijheden van natuurlijke personen te beschermen en met name hun recht op bescherming van persoonsgegevens (artikel 1, lid 2 AVG). 
U moet zich houden aan de AVG, en dus ook de Uitvoeringswet AVG, indien u, als verwerkingsverantwoordelijke of verwerker, geheel of gedeeltelijk geautomatiseerde persoonsgegevens verwerkt, of persoonsgegevens die zijn opgenomen in een bestand, of daartoe bestemd zijn (artikel 2 AVG). Artikel 3 regelt voorts de territoriale werking van de AVG.

2. Wat zijn persoonsgegevens?

Artikel 4, lid 1 AVG geeft de volgende definitie van persoonsgegevens: 
“alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon”. 
Er is dus snel sprake van een persoonsgegeven. Aan te nemen is dat een natuurlijke persoon identificeerbaar is, zoals bedoeld in de AVG, als zijn/haar identiteit redelijkerwijs, zonder onevenredige inspanning, is vast te stellen. Anonieme gegevens vallen niet onder de reikwijdte van de AVG, pseudonieme gegevens wel.

3. Wanneer moeten wij betrokkenen informeren dat wij hun persoonsgegevens verwerken?

Als verwerkingsverantwoordelijke moet u op grond van artikel 12 AVG passende maatregelen nemen om de betrokkene te informeren over de gegevensverwerking in een ‘beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm’ en ‘in duidelijke en eenvoudige taal’. Aan de informatieplicht moet worden voldaan op het moment dat de persoonsgegevens worden verzameld, in het geval dat de persoonsgegevens rechtstreeks van de betrokkene worden verkregen (artikel 13 AVG). Als de persoonsgegevens niet direct van de betrokkene worden verkregen, moet u de betrokkene binnen een redelijke termijn informeren, in ieder geval niet langer dan na één maand na ontvangst van de persoonsgegevens. 
De betrokkene moet onder meer worden geïnformeerd over de identiteit en contactgegevens van u, de contactgegevens van de functionaris voor gegevensbescherming, de grondslag waarop de gegevensverwerking is gebaseerd, aan wie de persoonsgegevens worden verstrekt, de bewaartermijn van de persoonsgegevens, dan wel de criteria aan de hand waarvan de bewaartermijn wordt bepaald en de rechten die hij/zij heeft. Het moet, kort gezegd, voor betrokkenen helder zijn dat hun persoonsgegevens worden verwerkt, om welke redenen, door wie, hoe lang en welke mogelijkheden zij in dit kader hebben.
Informeren hoeft volgens de AVG niet (meer), indien de betrokkene al is geïnformeerd, het onmogelijk is of onevenredig veel inspanning zou vergen om de informatie te verstrekken, als informeren de doeleinden van de verwerking nagenoeg onmogelijk maakt, of als de verstrekking van de persoonsgegevens wettelijk is voorgeschreven. 
De Werkgroep van de Europese privacytoezichthouders (de artikel 29-werkgroep, ook wel WP29) heeft enkele ‘guidelines’, oftewel richtsnoeren en richtlijnen vastgesteld. In de guidelines over transparantie verduidelijkt de WP29 onder andere de plicht om betrokkenen te informeren en de uitzonderingen hierop.

4. Waarom moeten wij, als overheid, een functionaris voor de gegevensbescherming aanwijzen?

Overheidsinstanties en overheidsorganen zijn op grond van de AVG verplicht om een functionaris voor de gegevensbescherming aan te wijzen (artikel 37 AVG). 
De AVG vermeldt overigens niet wanneer sprake is van een ‘overheidsinstantie of overheidsorgaan’. In de guidelines over de functionaris voor de gegevensbescherming (FG), van de WP29, is vermeld dat de nationale wetgeving moet bepalen wat de definitie is van een overheidsinstantie of overheidsorgaan. Aan te nemen is dus dat bij publiekrecht ingestelde organen van rechtspersonen, alsmede andere personen en colleges met openbaar gezag bekleed, zoals bedoeld in artikel 1:1 Algemene wet bestuursrecht, er in ieder geval onder vallen. 
De WP29 vermeldt overigens in de guidelines dat overheidstaken ook uitgevoerd mogen worden door private rechtspersonen. In het geval dat privaatrechtelijke organisaties overheidstaken verrichten of openbaar gezag uitoefenen, raadt de WP29 het als ‘good practice’ aan om tevens een FG aan te wijzen.

5. Moeten wij met elke leverancier en/of samenwerkingspartner een verwerkersovereenkomst sluiten?

Nee, want niet elke leverancier en/of samenwerkingspartner zal kunnen worden gekwalificeerd als ‘verwerker’ in de zin van de AVG. 
Op grond van artikel 4, lid 8 AVG is een verwerker ‘een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke de persoonsgegevens verwerkt’.
De AVG verplicht de verwerkersverantwoordelijke om met elke verwerker een verwerkersovereenkomst te sluiten. De essentiële vraag is dus steeds of de betreffende leverancier en/of samenwerkingspartner ten aanzien van de concrete gegevensverwerking is aan te merken als een verwerker ten opzichte van de verwerkingsverantwoordelijke. Als dat het geval is, dan is een verwerkersovereenkomst, of andere rechtshandeling, aan de orde, om deze relatie te regelen. De overeenkomst, of andere rechtshandeling, kan schriftelijk of elektronisch worden aangegaan. 
De WP29 heeft enkele jaren geleden een advies geschreven over de begrippen verwerkingsverantwoordelijke (‘voor de verwerking verantwoordelijke’) en de verwerker, die nog steeds relevant is te achten. De WP29 erkent echter ook dat de praktijk (soms) weerbarstig is.

6. Wat moeten wij regelen in een verwerkersovereenkomst?

Op grond van (artikel 28 van de) AVG moeten in de verwerkersovereenkomst, of andere rechtshandeling, in ieder geval de volgende onderwerpen worden geregeld:

• Onderwerp, duur, aard en doel verwerking, soort persoonsgegevens, categorieën betrokkenen en rechten en plichten verwerkingsverantwoordelijke
• Uitsluitend verwerken o.b.v. schriftelijke instructies
• Geheimhouding
• Passende beveiligingsmaatregelen
• Toestemming in geval van sub-verwerker
• Bijstand verlenen bij de genoemde verplichtingen van de verwerkingsverantwoordelijke
• Bijstand verlenen inzake verzoeken gebaseerd op de rechten van betrokkenen
• Afspraken over einde verwerking
• Audits mogelijk maken
• Meewerken aan/bij PIA
• Afspraken over datalekken.

7. Hoe lang mogen wij persoonsgegeven bewaren?

Persoonsgegevens mogen worden bewaard, zolang dit noodzakelijk is, gezien het doel waarvoor de persoonsgegevens (moeten) worden verwerkt. De AVG zelf geeft geen harde of altijd geldende termijnen. Sommige bewaartermijnen volgen uit de (overige) wet en regelgeving die van toepassing is, denk aan fiscale termijnen. 
Uit de AVG vloeit voort dat ervoor moet worden gezorgd dat de opslagperiode van de persoonsgegevens tot een strikt minimum wordt beperkt. Om ervoor te zorgen dat persoonsgegevens niet langer worden bewaard dan noodzakelijk is, dient de verwerkingsverantwoordelijke termijnen vast te stellen voor het wissen van gegevens of het periodiek toetsen ervan. 
Het verwerkingenregister ingevolge artikel 30 AVG moet, zo mogelijk, ook de bewaartermijnen bevatten. De AVG bepaalt namelijk dat, indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist moeten zijn vermeld (zie artikel 30, lid 1, aanhef en onder f AVG).

8. Moeten wij van elke betrokkene van wie wij persoonsgegevens verwerken toestemming gaan vragen?

Nee, toestemming is niet altijd nodig voor het verwerken van persoonsgegevens. Wat belangrijk is, is dat de verwerking van persoonsgegevens steeds rechtmatig, behoorlijk en transparant gebeurt. Dit betekent onder andere dat er een grondslag moet zijn om persoonsgegevens te verwerken (artikel 6 AVG). Eén van de grondslagen volgens de AVG om persoonsgegevens te mogen verwerken, is toestemming van de betrokkene. Andere grondslagen zijn bijvoorbeeld het voldoen aan een wettelijke verplichting, een publiekrechtelijke taak of de uitvoering van een overeenkomst. 
In sommige situaties kan het zelfs de vraag zijn, of toestemming wel een grondslag kan vormen voor gegevensverwerking. Gewezen wordt bijvoorbeeld op de ‘Beleidsregels verwerking persoonsgegevens gezondheid zieke werknemers’ uit 2016, waarin de Autoriteit Persoonsgegevens het volgende vermeldt:
“Met het gebruik van toestemming als grondslag voor gegevensverwerking dient in een arbeidsrelatie bijzonder terughoudend te worden omgegaan. Gelet op de gezagsverhouding valt niet uit te sluiten dat een werknemer onder druk van de relatie waarin hij staat tot de werkgever zich gedwongen voelt toestemming te verlenen, zodat geen sprake is van een vrije wilsuiting. Er zal daarom in de relatie werkgever-werknemer niet snel sprake zijn van een toestemming die in vrijheid is geuit.”
De WP29 heeft in de guidelines over toestemming nader uiteen gezet wanneer en hoe de toestemming rechtsgeldig kan worden verkregen. Uit deze guidelines volgt eveneens dat, heel kort gezegd, in de arbeidsrelatie voorzichtigheid geboden is ten aanzien van de toestemming als grondslag voor de gegevensverwerking. Ditzelfde geldt volgens de WP29 als de verwerkingsverantwoordelijke een overheidsinstantie of overheidsorgaan is, vanwege de ‘imbalance of power’.

9. Is een verwerkingenregister altijd verplicht?

Volgens de AVG niet. Ondernemingen of organisaties die minder dan 250 personen in dienst hebben zijn vrijgesteld van deze verplichting, tenzij het waarschijnlijk is dat de verwerkingen die zij verrichten een risico inhouden voor de rechten en vrijheden van de betrokkenen, de verwerking niet incidenteel is, of de verwerking bijzondere categorieën van gegevens of strafrechtelijke gegevens betreft. De verantwoordelijke Minister legt de Europese regelgeving zo uit dat ‘zolang en zodra er sprake is van systematische gegevensverwerking’ dit goed geregistreerd moet worden, ook beneden de 250 medewerkers.

10. Moeten wij onze personeelsdossiers opschonen?

Het is aan te raden om de verwerkingen van persoonsgegevens in kaart te brengen en te hebben. Als een verwerkingenregister verplicht is, is dat sowieso te verwachten. Hier hoort ook bij het controleren of de verwerkingen in de praktijk voldoen aan de AVG. Zo niet, is het nodig om aanpassingen te maken en dossiers op te schonen, ook personeelsdossiers, om te voldoen aan de AVG. De AVG bedoelt, kort gezegd, een maximale privacybescherming te realiseren.

11. Waarom is er een Uitvoeringswet AVG en wat regelt deze wet?

De AVG geeft op sommige onderdelen de ruimte, of verplichting, om dit nationaal te regelen. Daar is de Uitvoeringswet AVG voor bedoeld. Deze is op 15 mei 2018 aangenomen door de Eerste Kamer. De wetgever heeft ervoor gekozen om, waar ruimte is voor nationale invulling, het voorheen geldende wettelijke kader (de Wet bescherming persoonsgegevens) zoveel als mogelijk integraal over te nemen. De Uitvoeringswet AVG regelt onder meer de oprichting en inrichting van de Autoriteit Persoonsgegevens, de taken en bevoegdheden van de Autoriteit Persoonsgegevens, het toepassingsbereik van de AVG, de uitzonderingen op de rechten van betrokkenen (denk aan de uitzonderingen inzake de archivering in algemeen belang) en het gebruik van bijzondere categorieën van persoonsgegevens (denk aan het verwerken van het nationaal identificatienummer).

12. Hoe kan Capra ons helpen?

Capra adviseert al jaren over allerlei privacy vraagstukken en staat klanten hierin bij, denk aan de rol van de OR bij bijvoorbeeld regelingen over personeelsvolgsystemen of andere privacyrechtelijke besluiten, gegevensuitwisselingen in samenwerkingsverbanden, waaronder bijvoorbeeld de overdracht van (personeels)dossiers, het controleren en redigeren van verwerkersovereenkomsten, adviseren over/bij het controleren of opschonen van (personeels)dossiers – al dan niet in combinatie met de check op personeelsdossiers in verband met de Wnra –, adviseren inzake beslissingen op verzoeken van betrokkenen et cetera. Daarnaast verzorgt Capra regelmatig workshops en cursussen over de AVG, ook incompany, denk aan de Masterclass AVG. Als u vragen heeft, of bijstand en advies wenst, neemt u vooral contact met ons op.

Meer informatie

Heeft u vragen over de Algemene Verordening Gegevensbescherming en de gevolgen daarvan voor uw organisatie? Neem dan contact op met Fatou Tevette.