Privacyrecht

Voor direct advies, neem vrijblijvend contact op via 071-887-79-61.

Privacy(recht) wordt steeds belangrijker. De la Parra Privacyrechtadvocaten adviseren op het gebied van privacy, de meldplicht datalekken, gegevensbescherming en de Autoriteit Persoonsgegevens.

 

Verschillende soorten persoonsgegevens

Er kan bij persoonsgegevens onderscheid gemaakt worden tussen directe, indirecte en bijzondere persoonsgegevens. Directe persoonsgegevens geven feitelijke informatie omtrent een persoon. Daarbij kan het gaan om zijn geslacht of woonadres. Indirecte persoonsgegevens betreffen gegevens die indirect iets zeggen over een bepaald persoon, zoals maatschappelijke status. Ten derde zijn er bijzondere persoonsgegevens. Daarbij gaat het om gegevens als godsdienst, ras of strafblad.

 

Verwerking

Iedere verwerking van persoonsgegevens moet volgens de wet voldoen aan strenge criteria. Van verwerking van persoonsgegevens is al sprake op het moment dat U “iets” met persoonsgegevens doet. Daarbij kan het bijvoorbeeld gaan om het verwerken van klantgegevens, het registreren van productiviteit van werknemers of het meten van energieverbruik. In beginsel mogen persoonsgegevens alleen verzameld worden indien U de betrokkene voorafgaand aan het verzamelen heeft geïnformeerd over uw identiteit en de doelstellingen van de verwerking. Dit is een informatieplicht.

Als U vervolgens overgaat tot verwerking, dan mag U dat alleen doen in overeenstemming met de doelstelling en slechts voor zover dat noodzakelijk is verder verwerken. Bovendien moet U een in de wet genoemde grondslag voor verwerking hebben. Als deze regel overtreden wordt, kan sprake zijn van onrechtmatig handelen. Mogelijk kan schadevergoeding gevorderd worden. Als de grondslag voor verwerking ontbreekt, moet toestemming aan de betrokkene worden gevraagd.

Verder mogen gegevens niet te lang bewaard worden en moeten zij goed beveiligd worden. Ook moet U erop toezien dat als U anderen inschakelt, zij zich ook aan deze regels houden. Met al deze regels moet binnen Uw organisatie bij het verwerken van persoonsgegevens rekening worden gehouden. Het College Bescherming Persoonsgegevens houdt toezicht op naleving van de regels. Als U de regels overtreedt, kan zij dwangsommen of boetes opleggen.

 

Verantwoording over gebruik persoonsgegevens

Een betrokkene heeft het recht zich tot de verantwoordelijke te wenden en hem te verzoeken om hem mede te delen of zijn persoonsgegevens worden verwerkt. Dit is het inzagerecht. Indien zulke gegevens worden verwerkt, moet de partij die de gegevens verwerkt onder meer een volledig overzicht daarvan geven in begrijpelijke vorm, een omschrijving van het doeleinde van de verwerking, categorieën van de gegevens waarop de verwerking betrekking heeft, alsmede beschikbare informatie over de herkomst van de gegevens.

 

Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens heeft een toezichthoudende taak en daarnaast mag zij sancties opleggen. Zij kan bestuurlijke boetes opleggen als er een privacyregel wordt overtreden. Daarnaast kan een bestuurlijke boete worden opgelegd bij schending van meer algemene verplichtingen die de wet stelt ten aanzien van het verwerken en het gebruiken van persoonsgegevens. Daarbij kan het onder meer gaan om:

• Op onzorgvuldige wijze verwerken van persoonsgegevens

• Het langer dan noodzakelijk bewaren van persoonsgegevens

• Misbruiken van gevoelige informatie over burgers, zoals hun levensovertuiging.

 

Meldplicht datalekken

In de Wbp is een meldplicht datalekken opgenomen. Het belangrijkste doel hiervan is het beter beschermen van persoonsgegevens. Een datalek houdt in dat persoonsgegevens bij derden terechtkomen die hier geen toegang toe zouden mogen hebben. Het gevolg van een dergelijke inbreuk is dat sprake is van diefstal of verlies of misbruik van persoonsgegevens. Bedrijven en overheden die persoonsgegevens verwerken zijn verplicht om inbreuken op de beveiliging te melden bij de Autoriteit Persoonsgegevens.

 

25 mei 2018: wijzigingen in het privacyrecht

Op 25 mei 2018 zal de Algemene Verordening Gegevensbescherming (AVG) van kracht worden. De AVG zal op deze datum direct van toepassing zijn. Deze verordening wordt ook wel de ‘Europese Privacywet’ genoemd en zal gelden binnen de gehele Europese Unie. In de verschillende Europese landen gaan dus dezelfde verplichtingen gelden. Deze verordening vervangt de Wet bescherming persoonsgegevens. In de nieuwe verordening staan meer rechten voor burgers en tegelijkertijd verdergaande verplichtingen voor financiële instellingen. Bovendien worden de mogelijkheden voor het opleggen van boetes en aansprakelijkstelling verruimd.

De inwerkingtreding van de AVG heeft ook gevolgen voor Uw organisatie. Hieronder wordt een aantal van de belangrijkste bepalingen en verplichtingen besproken.

 

Werkingssfeer

De AVG geldt bij het verwerken van persoonsgegevens van mensen uit de Europese Economische Ruimte (EU + Liechtenstein, Noorwegen en IJsland). De AVG gaat niet over het verwerken van gegevens over rechtspersonen. Gegevens over personen die zakelijk handelen, zoals ondernemers en eenmanszaken, zijn wél persoonsgegevens. De AVG is van toepassing op het verwerken van persoonsgegevens door bedrijven die in de EU gevestigd zijn of een vestiging in de EU hebben.

 

Verwerking van persoonsgegevens

Het criterium voor bescherming van persoonsgegevens is: iedere geautomatiseerde verwerking valt onder de werkingssfeer van de AVG, en de niet-geautomatiseerde verwerking alleen wanneer sprake is van een bestand. Verwerking is iedere handeling die betrekking heeft op persoonsgegevens. Persoonsgegevens betreffen alle informatie over de betrokkene (geïdentificeerde of identificeerbare natuurlijke persoon). Als identificeerbaar wordt beschouwd: een natuurlijke persoon, die direct of indirect geïdentificeerd kan worden.

 

Verwerking van bijzondere persoonsgegevens

Verwerking van persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid zijn verboden.

 

Verwerking persoonsgegevens betreffende strafrechtelijke veroordelingen

Persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen mogen alleen worden verwerkt onder toezicht van de overheid of indien de verwerking is toegestaan bij Unierechtelijke of lidstaatrechtelijke bepalingen die passende waarborgen voor de rechten en vrijheden van de betrokkenen bieden.

 

Profileren

Een belangrijke techniek die door bedrijven en overheden wordt gebruikt, is profileren. Hierbij wordt geautomatiseerd een beeld over persoonlijke aspecten van een persoon opgebouwd. Er kan bijvoorbeeld bijgehouden worden welke pagina´s iemand gedurende een bepaalde periode bezoekt of wat iemands betaalgedrag is. Als met profilering gewerkt wordt in combinatie met geautomatiseerde besluitvorming, dan moet de persoon in kwestie daarover, al dan niet op verzoek, actief geïnformeerd worden.

Betrokkene kan bezwaar maken tegen profilering als dat plaatsvindt in het kader van een overheidstaak of op grond van een gerechtvaardigd belang. Als het profileren het doel van direct marketing heeft, moet het bij bezwaar altijd gestaakt worden. Als profilering gebaseerd is op toestemming, is bezwaar niet mogelijk. De betrokkene kan toestemming wel intrekken.

 

Verwerker

Een verwerker is een natuurlijke persoon, rechtspersoon, overheidsinstantie, een dienst of een ander orgaan die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.

 

Inbreuk of datalek

Van een inbreuk in verband met persoonsgegevens of datalek is sprake bij iedere inbreuk op de beveiliging van persoonsgegevens, die tot een ongeoorloofde verwerking daarvan leidt. Datalekken moeten altijd bij de toezichthouder worden gemeld en vaak ook bij de betrokken personen.

 

Eisen voor het verwerken van persoonsgegevens

Er gelden verschillende eisen voor het verwerken van persoonsgegevens. Het gaat hierbij om de volgende eisen:

• Persoonsgegevens moeten verwerkt worden op een manier die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is

• Persoonsgegevens moeten voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden verzameld worden

• Er mogen niet meer persoonsgegevens verwerkt worden dan strikt noodzakelijk is voor het doel

• De gegevens die verwerkt worden moeten juist en actueel zijn

• Persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk is voor de verwerking

• Ongeoorloofde toegang tot of het ongeoorloofde gebruik van persoonsgegevens moet worden voorkomen.

De verwerking is alleen rechtmatig indien aan één van deze voorwaarden is voldaan:

• De betrokkene heeft toestemming gegeven voor werking van persoonsgegevens voor een of meer specifieke doeleinden

• De verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokken partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen

• De verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die rust op de verwerkingsverantwoordelijke

• De verwerking is noodzakelijk om vitale belangen van de betrokkene of een andere natuurlijke persoon te beschermen

• De verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van uitoefening van openbaar gezag dat is opgedragen aan de verwerkingsverantwoordelijke

• De verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde.

 

Toestemming

Wanneer de verwerking op toestemming berust, moet de verwerkingsverantwoordelijke kunnen aantonen dat de betrokkene toestemming gegeven heeft voor de verwerking van zijn persoonsgegevens. De betrokkene heeft steeds het recht zijn toestemming in te trekken.

 

Rechten van de betrokkene

De betrokkene heeft verschillende rechten.

Ten eerste is er het transparantiebeginsel: dit beginsel vereist dat betrokkenen kunnen achterhalen dat hun persoonsgegevens worden verwerkt en waarom. Dit wordt in twee informatieplichten uitgewerkt:

• Informatie bij verkrijging bij de betrokkene. Het gaat erom dat de persoonsgegevens direct bij de persoon zelf worden verzameld. In dat geval verstrekt de verwerkingsverantwoordelijke de betrokkene bij de verkrijging van de persoonsgegevens daarover informatie. Daarnaast moet de verwerkingsverantwoordelijke de betrokkene bij de verkrijging van persoonsgegevens aanvullende informatie verstrekken om een behoorlijke en transparante verwerking te waarborgen. Als de verwerkingsverantwoordelijke voornemens is de persoonsgegevens verder te verwerken voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld, verstrekt de verwerkingsverantwoordelijke de betrokkene vóór die verdere verwerking informatie over dat andere doel.

• Wanneer de persoonsgegevens niet van de betrokkene zijn verkregen, moet de verwerkingsverantwoordelijke de betrokkene informatie verstrekken. Daarnaast moet de verwerkingsverantwoordelijke de betrokkene bij de verkrijging van persoonsgegevens de volgende aanvullende informatie verstrekken om een behoorlijke en transparantie verwerking te waarborgen.

Andere rechten zijn:

Recht op inzage: betrokkene heeft recht om van de verwerkingsverantwoordelijke te horen of zijn persoonsgegevens worden verwerkt. Als dat het geval is, heeft hij recht inzage te verkrijgen van die persoonsgegevens

Recht op rectificatie: betrokkene heeft het recht om van de verwerkingsverantwoordelijke onverwijld rectificatie te krijgen van onjuiste persoonsgegevens die hem betreffen

Recht op vergetelheid: betrokkene heeft er recht op dat de verwerkingsverantwoordelijke zonder onredelijke vertraging persoonsgegevens over hem wist in bepaalde gevallen. Bijvoorbeeld indien persoonsgegevens onrechtmatig zijn verwerkt. Dit wordt ook wel het recht op vergetelheid genoemd

Beperking van de verwerking: betrokkene heeft het recht van de verwerkingsverantwoordelijke de beperking van de verwerking te verkrijgen indien een van de volgende elementen van toepassing is

Recht op overdraagbaarheid van gegevens: de betrokkene kan een kopie van zijn persoonsgegevens eisen die bruikbaar is bij een andere dienstverlener

Recht op bezwaar: in bepaalde gevallen heeft de betrokkene recht op bezwaar.

 

Verplichtingen verwerkingsverantwoordelijke

De verwerkingsverantwoordelijke heeft verschillende verplichtingen. Zo moet hij:

• Passende en effectieve maatregelen nemen om te zorgen dat naleving van de AVG geborgd is. Dit is de algemene verplichting tot beveiliging van persoonsgegevens. Hij moet kunnen aantonen dat zijn verwerkingsactiviteiten binnen de AVG passen

• Verwerkingen in te richten op een manier zodat rekening wordt gehouden met privacy by design en privacy by default

• Een register bijhouden van verwerkingsactiviteiten die onder zijn verantwoordelijkheid plaatsgevonden hebben. Hierin moeten allerlei gegevens worden opgenomen, zoals verwerkingsdoeleinden en een beschrijving van categorieën betrokkenen

• Als een toezichthouder daarom verzoekt, meewerken

• De toezichthouder informeren over inbreuken op de beveiliging, en in bepaalde gevallen, ook betrokkenen

• De risico’s van gegevensverwerking beoordelen. Als verwerking een hoog risico oplevert, ondanks maatregelen, moet hij voorafgaande toestemming vragen aan de toezichthouder

• Een functionaris voor gegevensbescherming aan te wijzen. De functionaris moet tijdig betrokken worden bij organisatieleer aangelegenheden waar persoonsgegevens betrokken zijn.

 

Klachten en sancties

• Betrokkene heeft het recht een klacht in te dienen bij een toezichthoudende autoriteit

• Besluiten van toezichthouders kunnen getoetst worden door een onafhankelijke rechter

• Als een verplichting uit de AVG niet wordt nagekomen, levert dan een onrechtmatige daad op jegens de betrokkene. Dit geldt voor de verwerkingsverantwoordelijke, maar ook voor de verwerker. De schade die daadwerkelijk geleden is, kan worden verhaald

• Er kunnen administratieve geldboeten of andere sancties worden opgelegd.

 

Opdrachtgevers

De la Parra Advocaten adviseren en procederen op het gebied van privacyrecht aan zowel ondernemers (hoofdzakelijk MKB) als particulieren. De ervaring van De la Parra Advocaten op dit gebied kan U goed van pas komen, omdat elke organisatie persoonsgegevens verwerkt. Persoonsgegevens kunnen op een gemakkelijke manier gevonden en verspreid worden. Daarom is het belangrijk dat wanneer dit gebeurt, dat zo snel mogelijk wordt ingegrepen en een advocaat wordt ingeschakeld.

De la Parra Advocaten heeft ruime ervaring op het gebied van privacyrecht. Zoekt U een privacyrechtadvocaat? Neem dan vrijblijvend contact op met De la Parra Privacyrechtadvocaten.

De la Parra Privacyrechtadvocaten kunnen U adviseren op onder meer de volgende gebieden:

• Toetsen of en in hoeverre Uw organisatie de privacyregels naleeft en op basis daarvan adviseren

• Adviseren over het opstellen van privacybeleid binnen uw organisatie

• Het maken van privacyrechtelijke afspraken met andere partijen

• Het verlenen van juridische bijstand in privacygeschillen, bijvoorbeeld tegen degene van wie U gegevens verwerkt, zoals een personeelslid

• Het verlenen van juridische bijstand in procedures tegen het College Bescherming Persoonsgegevens, dat als toezichthouder handhavend optreedt

• Als er zonder uw toestemming gebruik is gemaakt van persoons- of andere gegevens

• Wat U moet doen als U te maken krijgt met een datalek of andere manieren van misbruik van Uw privacy.

 
Voor direct advies, neem vrijblijvend contact op via 071-887-79-61.

 

DISCLAIMER
Via de website van De la Parra Advocaten wordt algemene informatie verstrekt over De la Parra Advocaten en/of juridische of andere onderwerpen. Voor zover het juridische onderwerpen betreft, is niet beoogd om juridisch advies voor concrete situaties te verlenen. De informatie op de website van De la Parra Advocaten wordt door ons kantoor met zorg samengesteld, maar voor de juistheid en volledigheid daarvan kan niet ingestaan worden. De la Parra Advocaten aanvaardt geen enkele aansprakelijkheid voor de onjuistheid en onvolledigheid van de op de website en anderszins aangeboden informatie. Verwijzingen via De la Parra Advocaten naar externe bronnen en websites, die niet door De la Parra Advocaten worden onderhouden, zijn louter opgenomen om de bezoeker van de website te informeren. Hoewel De la Parra Advocaten zeer selectief te werk gaat ten aanzien van de externe bronnen waarnaar wordt verwezen, kan het kantoor niet instaan voor de inhoud en de werking daarvan. Hetzelfde geldt voor de kwaliteit van eventuele producten en/of diensten die daarop aangeboden worden. Het is de bezoeker van de website van De la Parra Advocaten niet toegestaan deze informatie te vermenigvuldigen, te distribueren, te verspreiden of tegen vergoeding beschikbaar te stellen aan derden, zonder uitdrukkelijke, schriftelijke toestemming van De la Parra Advocaten.