Privacy; het wordt steeds meer een dingetje!

25 mei 2018 is een datum die vast nog niet in uw agenda staat met de aantekening: Europese privacyverordening treedt in werking. Al dat privacy-gedoe! U heeft wel wat anders aan uw hoofd. Totdat u ineens met de keerzijde van onrechtmatige gegevensverwerking wordt geconfronteerd. Dan wordt privacy pas echt een dingetje.

Algemene Verordening Persoonsgegevens (AVG) vervangt Wet bescherming persoonsgegevens (Wbp)

De Europese Privacyverordening gaat binnenkort de huidige Wet bescherming persoonsgegevens (Wbp) vervangen. Kort samengevat wordt in de privacywetgeving geregeld dat verwerking van persoonsgegevens alleen onder voorwaarden mag. Een van die voorwaarden is dat altijd sprake moet zijn van een grondslag (kapstok). Een voorbeeld is de werkgever die het BSN-nummer van een werknemer registreert en opneemt in de administratie. Dat is een werkgever als inhoudingsplichtige voor de loonbelasting namelijk wettelijk verplicht.

Wat mij opvalt in recente rechtspraak en de nieuwe privacywetgeving is dat het begrip persoonsgegeven steeds verder wordt opgerekt.

Naast de wettelijke plicht zijn er nog andere kapstokken waaraan de gegevensverwerking kan worden ‘gehangen’. Als het bijvoorbeeld noodzakelijk is voor het uitvoeren van een overeenkomst, een publieke taak of bijvoorbeeld een gerechtvaardigd belang dient. Als iemand toestemming geeft voor gegevensverwerking is daarmee ook een kapstok voor gegevensverwerking gevonden, maar daar zitten wel haken en ogen aan. Toestemming kan bijvoorbeeld altijd weer worden ingetrokken. Verder moet de toestemming uitdrukkelijk worden gegeven. Mededelingen als ‘wie zwijgt, stemt toe’ passen daar niet bij. U moet echt actief toestemming geven: ja, ik zet het vinkje aan voor deze gegevensverwerking.

De Europese privacyverordening regelt straks dat vooraf moet zijn medegedeeld dat een gegeven toestemming altijd weer kan worden ingetrokken. Dit betekent dat wanneer een werknemer, cliënt of klant al toestemming heeft gegeven voor de verwerking van (bijzondere) persoonsgegevens, maar hem of haar niet vooraf is medegedeeld dat deze toestemming altijd weer kan worden ingetrokken, dit dus opnieuw moet gebeuren. Alles met als doel om gegevensverwerking zo transparant mogelijk te laten zijn.

Verantwoordingsplicht is nieuw uitgangsput van privacywetgeving

Nieuw is ook de verantwoordingsplicht (accountability). Bedrijven en instellingen moeten vooraf inzichtelijk maken hoe het omgaat met verwerking van persoonsgegevens. Welke kapstok wordt gebruikt? Welk doel heeft de gegevensverwerking? Hoelang worden gegevens bewaard? Met welke derde worden gegevens uitgewisseld? Kortom, een uitgebreide verantwoordingsplicht. Dit betekent dat een serieus schriftelijk privacybeleid – ook vanwege de al bestaande meldplicht datalekken en de boetes niet de Autoriteit Persoonsgegevens kan opleggen - niet meer valt weg te denken.

Wat mij opvalt in recente rechtspraak en de nieuwe privacywetgeving is dat het begrip persoonsgegeven steeds verder wordt opgerekt. Zo ver dat er eigenlijk geen gegeven meer is, dat in een bepaalde context niet heeft te gelden als een persoonsgegeven. Een foto van een persoon is een rasgegeven; met een beetje moeite kan men het ras van de persoon op de foto bepalen. Een IP-adres heeft volgens de Autoriteit Persoonsgegevens ook te gelden als een persoonsgegeven; bij de provider zou de naam van de houder van het IP-adres achterhaald kunnen worden. Strikt genomen is een glas met uw vingerafdruk erop ook een persoonsgegeven! Met de juiste technologie valt u met uw vingerafdruk toch te identificeren als persoon. Dit betekent dat zelfs de afwasser van dat glas met uw vingerafdruk erop ook bezig is met de verwerking van persoonsgegevens. Dat wil vanzelf niet zeggen dat deze verwerking van persoonsgegevens een inbreuk is op de privacy. Wel laat dit zien dat er al vrij snel (bijzondere) persoonsgegevens worden verwerkt. Er moet dus ook niet te snel worden gedacht dat u niet bezig bent met de verwerking van persoonsgegevens.

Op 28 november organiseerde BVD advocaten een themabijeenkomst 'Privacy in de sector Zorg en Welzijn. - Deze column is ook gepubliceerd in de Barneveldse Krant.