Bewaren of niet?

Bewaren of niet?

Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (AVG) in werking en zal als een Europese superwet de privacy van miljoenen Europeanen gaan beschermen. De AVG stelt aan de verwerkingsverantwoordelijke (dit is degene die persoonsgegevens van een ander, de betrokkene, verwerkt) strenge eisen. Dit leidt niet alleen tot een kritische blik op de hoeveelheid verwerkte persoonsgegevens, maar ook op de duur van die verwerking.

Hoe lang mogen of moeten persoonsgegevens bewaard worden?

Een duidelijke en concrete bewaartermijn wordt in de AVG niet gegeven. Wel gelden voor bewaartermijnen de algemene beginselen van de AVG, zoals genoemd in artikel 5. Een daarvan betreft het vereiste van “dataminimalisatie”. De verwerkingsverantwoordelijke moet er naar streven zo weinig mogelijk persoonsgegevens te verwerken. Daarnaast  moeten ze voor een welbepaald doel worden verzameld  Dit is het vereiste van doelbinding. Dit betekent dat slechts die gegevens  verwerkt mogen worden die ook daadwerkelijk nodig zijn voor het doel waarvoor ze zijn verzameld. Op basis van deze begrippen moet de verwerking niet alleen worden beperkt met betrekking tot de hoeveelheid , maar ook met betrekking tot de duur van verwerking . Onder verwerken valt ook het bewaren.  Het streven hierbij is om verzamelde persoonsgegevens zo kort mogelijk te bewaren. Omdat de AVG geen bewaartermijnen geeft  zullen organisaties dus deels zelf moeten vaststellen hoe lang verzamelde persoonsgegevens mogen of moeten bewaard blijven. Deze open norm kan voor organisaties lastig toe te passen zijn.

Aanknopingspunten

De rechtmatigheid van de verwerking kan richting geven aan deze open norm. Artikel 6 van de AVG geeft de gronden voor een rechtmatige verwerking.  Drie veelvoorkomende zijn: toestemming betrokkene, uitvoering van een overeenkomst en het voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust.

In het eerste geval is de verwerking van persoonsgegevens gestart nadat de betrokkene daarvoor zijn toestemming heeft gegeven. Bijvoorbeeld om in een klantenbestand te worden opgenomen om zo de meest actuele aanbiedingen van bijvoorbeeld een webwinkel  per mail te ontvangen. Na intrekking van de toestemming zal de verwerkingsverantwoordelijke verplicht zijn de verwerking en bewaring van de betreffende  persoonsgegevens te staken. De betrokkene geeft immers te kennen geen prijs meer te stellen op het ontvangen van aanbiedingen. Met het intrekken van de toestemming vervalt het doel van de verwerking en daarmee de rechtmatigheid.

Een andere rechtmatige grond voor verwerking is de uitvoering van een overeenkomst. Bij een online aankoop is het noodzakelijk dat de webwinkel de NAW-gegevens verwerkt. Het doel van de verwerking is om het gekochte product op het juiste adres af te kunnen leveren. Met het afleveren van het product vervalt ook het doel van de verwerking van persoonsgegevens. Tenzij toestemming is gegeven de gegevens langer te gebruiken/bewaren. Bijvoorbeeld door het aanmaken van een account, waarin akkoord is gegeven voor langere verwerking/bewaring.

Bij toestemming wordt de verwerkingsverantwoordelijke verplicht de verwerking  van betreffende persoonsgegevens te staken na intrekking van de toestemming. Ook het uitvoeren van een overeenkomst kan een grond zijn de verwerking te staken. Anders is dit indien er op de verwerkingsverantwoordelijke met betrekking tot verwerking van bepaalde persoonsgegevens een  wettelijke bewaarplicht rust.

Een voorbeeld van zo’n wettelijke bewaarplicht is de verplichting voor de werkgever om bij aanvang van een dienstverband een kopie legitimatie van de werknemer te vragen en te bewaren. Dit dient tot 5 jaar na beëindiging  van het dienstverband bewaard te blijven. Hier zien we dat na het eindigen van een (arbeids)overeenkomst de gegevens toch langer bewaard dienen te blijven. Ook financiële dienstverleners hebben te maken met wettelijke bewaartermijn. Adviesdossiers moeten  volgens artikel 32A BGfo Wft (Besluit Gedragstoezicht financiële ondernemingen behorend bij Wet financieel toezicht) 5 jaar bewaard worden. Het adviesdossier bevat de voor het advies noodzakelijke persoonsgegevens, zoals doelstellingen, financiële positie en veel andere gegevens van de klant. Ook kunnen adviesdossiers gezondheidsgegevens bevatten. Bovenstaande voorbeelden zijn slechts een greep uit de vele op grond van enige wet verplichte bewaartermijnen.

Conclusie

De AVG heeft zonder concrete bewaartermijnen door het vereiste van dataminimalisatie en doelbinding  toch veel invloed op de duur van bewaring van persoonsgegevens. Anderzijds moet ook rekening worden gehouden met wettelijke bewaartermijnen. Eigenlijk zou elk stukje persoonsgegeven individueel beoordeeld moeten worden waarna er een bewaartermijn kan worden vastgesteld. Belangrijk is  om te bepalen welke gegevens hoelang bewaard moeten of mogen blijven. Dit om zowel aan wettelijke bewaartermijnen te voldoen en tegelijkertijd  de uitgangspunten van de AVG in de praktijk te brengen.

 

21 juli 2017 door Arjan Brookman

Wordt uw privacy ook geschonden of staat u ten onrechte op een zwarte lijst?

Wordt uw privacy ook geschonden of staat u ten onrechte op een zwarte lijst?

Hoewel het “Recht om vergeten te worden” onder de Algemene Verordening Gegevensbescherming een nieuwe dimensie krijgt, bestaat dit recht al langer. De betekenis is weliswaar anders, maar zeker niet onbelangrijker. Het recht om vergeten te worden is voor het eerst actueel geworden in het Costeja-arrest. Hierin spande een spanjaard een zaak aan tegen Google, omdat een zoekopdracht naar zijn naam informatie opleverde over zaken die zich 15 jaar geleden hadden voorgedaan. Hij klaagde er over dat deze informatie nog steeds schadelijk voor hem was. Hierop werd het Google verboden deze zoekresultaten nog langer te tonen.

Steeds vaker gebruiken we het Internet om personen  te zoeken, recensies te lezen en reacties te geven.  Nieuw opgedane contacten zullen u al snel even “Googelen”. Ook potentiele klanten zullen  gegeven recensies of reacties van anderen lezen. Niks mis mee op het eerste gezicht, maar wat als deze informatie (ten onrechte) afbreuk doet aan het imago van een persoon of organisatie? Hier komen we op het snijpunt van het recht op vrijheid van meningsuiting en het recht op een persoonlijke levenssfeer (Art. 10 EVRM versus Art. 8 EVRM). Beide rechten moeten in principe gewaarborgd worden. Maar wat als het evenwicht tussen deze twee zoek is en iemand vindt dat zijn recht op een persoonlijke levenssfeer wordt geschonden? Er zijn twee mogelijkheden om hier iets tegen te doen.

De eerste mogelijkheid is bijvoorbeeld  Google als zoekmachine te verzoeken  de ongewenste zoekresultaten niet meer te tonen.  Om een succesvol beroep te doen op “het recht om vergeten te worden” is het belangrijk dat de weergegeven resultaten ontoereikend, buitensporig of irrelevant zijn. Om dit te bepalen dient dat de aard van de informatie, het publiek belang en rol van de persoon in kwestie beoordeeld te worden. Iemand die een publieke rol vervult zal minder snel een beroep kunnen doen op de bescherming van de persoonlijke levenssfeer. Hij of zij zal meer moeten dulden. Ook de aard van de informatie is belangrijk. Betreft het hier privé-informatie of gaat het om informatie uit hoofde van iemands functie? Het verbergen van zoekresultaten door zoekmachines is de eenvoudigste stap voor iemand om zich te weren tegen een ongewenste inbreuk op zijn privacy.

De tweede mogelijkheid is een stuk lastiger. Dan moet de daadwerkelijke  informatie, waarnaar verwezen wordt door de zoekmachine, worden verwijderd.  Als het belastende artikel  uit het online krantenarchief is verwijderd valt er ook niets meer weer te geven . Om dit te bereiken zal er aan hoge eisen moeten worden voldaan, want het is in principe niet de bedoeling dat bijvoorbeeld kranten de geschiedenis herschrijven. Het laten verwijderen van een nieuwsartikel uit een online-krantenarchief zal dan ook niet snel door de rechter worden toegekend.

Het verwijderen van originele nieuwsberichten zal dus in de praktijk niet snel slagen, maar het niet meer weergeven van een zoekresultaat door Google zal het betreffende bericht  een stuk minder gemakkelijk vindbaar maken!  Wordt uw privacy ook geschonden of staat u bijvoorbeeld  ten onrechte op een zwarte lijst? Dan kunt u contact opnemen met ons kantoor om te bepalen wat in uw geval de mogelijkheden zijn.

20 februari 2017 door Arjan Brookman

Algemene Verordening Gegevensbescherming

Algemene Verordening Gegevensbescherming

Op 25 mei 2018 wordt de Wet bescherming persoonsgegevens (Wbp) vervangen door de Algemene Verordening Gegevensbescherming (AVG). Anders dan de privacyrichtlijn van 1995 is deze verordening rechtstreeks en direct toepasbaar in alle lidstaten van de Europese Unie zonder omgezet hoeven te worden in nationale regelgeving. De ruimte voor een nationale interpretatie komt hiermee dan ook te vervallen. Vanaf 25 mei 2018 moeten alle organisaties, die persoonsgegevens verwerken, voldoen aan deze verordening. Veel van deze vereisten golden ook al onder de werking van de Wbp. Toch is de verordening op een aantal punten aangescherpt en is de boetebevoegdheid toegenomen.
Voor organisaties die persoonsgegevens verwerken (verwerkingsverantwoordelijke), neemt de verantwoordelijkheid toe. De verplichting, zoals die binnen de Wbp bestond om de verwerking van persoonsgegevens te melden vervalt met de komst van de AVG. Hiervoor in de plaats komen een reeks van nieuwe verplichtingen voor de verwerkingsverantwoordelijke. Daarnaast worden de rechten van personen waarvan de persoonsgegevens worden verwerkt (betrokkene) versterkt. Deze nieuwe verplichtingen en rechten leggen een grote druk bij de verwerkingsverantwoordelijke en maken het noodzakelijk om actie te ondernemen.

Wat zijn persoonsgegevens?
Een persoonsgegeven is elk gegeven over een geïdentificeerd of identificeerbaar natuurlijke persoon. Bijvoorbeeld naam, adres, telefoonnummer etc.

Wat wordt verstaan onder verwerking?
Dit is een bewerking of een reeks aan bewerkingen met betrekking tot persoonsgegevens, al dan niet geautomatiseerd, zoals het verzamelen, vastleggen, bijwerken, wijzigen, verspreiden en gebruiken.

Wat zijn de eisen voor de verwerkingsverantwoordelijke onder de AVG?
In het algemeen zal de rol van de verwerkingsverantwoordelijke onder de AVG actiever worden. Er moet actief worden gezocht naar manieren om de verwerking van persoonsgegevens zo weinig mogelijk belastend te laten zijn voor de betrokkene. Volgens artikel 25 AVG treft de verwerkingsverantwoordelijke zowel bij de bepaling van de verwerkingsmiddelen als bij de verwerking zelf, passende technische en organisatorische maatregelen, die zijn opgesteld met als doel de gegevensbeschermingsbeginselen op een doeltreffende manier uit te voeren en de nodige waarborgen in de verwerking in te bouwen ter naleving van de voorschriften van deze verordening en ter bescherming van de rechten van de betrokkenen. Wat betekent dit in de praktijk?

In de praktijk

Privacy by design en privacy by default
Een belangrijke voorwaarde om de voldoen aan de AVG is dat er tijdens de ontwikkeling van producten en diensten (zoals informatiesystemen) ten eerste aandacht besteed wordt aan privacy-verhogende maatregelen.(privacy by design) Wordt er bijvoorbeeld onderscheid gemaakt tussen de bevoegdheden van de verschillende gebruikers? Kan er gemonitord worden wie, wanneer, welke gegevens heeft geraadpleegd? Ook betekent het dat er zo weinig mogelijk gegevens moeten worden verwerkt. De verzamelde gegevens dienen toereikend en ter zake dienend te zijn en beperkt te blijven tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt. Dit is het vereiste van dataminimalisatie. Dit betekent voor organisaties dat ze goed na moeten denken over de noodzaak van de hoeveelheid en het soort gegevens dat zij verzamelen. Een manier om de privacy van betrokkenen te vergroten is het pseudonimiseren. Bij pseudonimisering worden persoonsgegevens onherkenbaar gemaakt met de mogelijkheid deze later weer te kunnen koppelen aan een persoon. Anders is dit bij anonimisering. Hier worden persoonsgegevens onherkenbaar gemaakt zonder de mogelijkheid deze later weer te kunnen koppelen aan een persoon.
Omdat een van de eisen van de AVG is dat er zo weinig mogelijk persoonsgegevens worden verwerkt is de verwerkingsverantwoordelijke verplicht de standaardinstellingen van een bepaalde toepassing zo te bepalen dat alleen die persoonsgegevens worden vastgelegd die noodzakelijk zijn (privacy by default) .

Toestemming van betrokkene
In veel gevallen is toestemming van de betrokkene vereist. De verwerkingsverantwoordelijke moet kunnen aantonen dat er toestemming is verleend. Toestemming moet worden gegeven door een actieve handeling van de betrokkene en deze moet goed geïnformeerd instemmen met de verwerking van zijn of haar persoonsgegevens. Stilzitten of het gebruik van al aangevinkte vakjes mag niet meer gelden als toestemming.

Bewerkersovereenkomsten
Wordt de verwerking van persoonsgegevens uitbesteed aan een derde dan is het noodzakelijk dat de verwerkingsverantwoordelijke nagaat of de verwerker aan de eisen van de AVG voldoet dat. Wellicht dat de bewerkersovereenkomst moet worden aangepast aan de eisen van AVG. De verwerking verantwoordelijke blijft ook na inschakeling van een bewerker verantwoordelijk.

Het recht om vergeten te worden
Nieuw is het recht om vergeten te worden. Dit recht is in lijn met het doel om de gegevensverwerking zo weinig mogelijk belastend te laten zijn voor betrokkene. Volgens artikel 17 van de AVG heeft de betrokkene in een zestal gevallen recht op wissing van zijn of haar gegevens. De twee belangrijkste en meest voorkomende zijn waarschijnlijk:
1 De persoonsgegevens zijn niet langer nodig voor het doel waarvoor ze verzameld zijn.
2 De betrokkene maakt bezwaar tegen de verwerking en er zijn geen prevalerende dwingende gerechtvaardigde gronden voor verwerking.
Belangrijk bij het recht om vergeten te worden is het wissen van gegevens die door de verantwoordelijke openbaar zijn gemaakt. Dit betekent dat de verantwoordelijke alle nodige en redelijke maatregelen moet nemen om ieder koppeling naar een kopie of reproductie van de persoonsgegevens moet wissen.

Dataportabiliteit
Ook nieuw onder de AVG is het recht op overdraagbaarheid van gegevens. De betrokken heeft het recht de gegevens die hij of zij aan de ene verwerker heeft verstrekt over te dragen naar een andere verwerkers. Hij heeft het recht zijn persoonsgegevens op een gestructureerde, gangbare en machine leesbare vorm te verkrijgen en ook het recht deze gegevens aan een andere verwerker te verstrekken.

Register
Onder de AVG is iedere verwerker verplicht een register aan te leggen met betrekking tot het verwerken van persoonsgegevens met daarin onder andere informatie omtrent de verwerkingsdoeleinden, categorieën van gegevens , beschrijving van organisatorische en technische beveiligingsmaatregelen etc. ook zal hierin de bewaartermijn van de gegevens worden vastgelegd.

Boetebedragen
De boetebedragen die de Autoriteit Persoonsgegevens (AP)kan opleggen voor het overtreden van AVG kunnen oplopen tot EUR 20.000.000,- of 4% van de totale wereldwijde jaaromzet. Voorwaarde voor de hoogte van de boete is dat deze doeltreffend , evenredig en afschrikkend is. Dit betekent dus dat de AP niet terughoudend zal zijn met het opleggen ervan.

Conclusie
Dat er heel wat gaat veranderen is duidelijk. De rechten voor betrokkene worden uitgebreid evenals de verplichtingen van de verwerkingsverantwoordelijke. Organisaties en ondernemingen zullen alles voor 25 mei volgend jaar in orde moeten hebben. Niet alleen de dreiging van de hoge boetebedragen , maar ook de eventuele negatieve publiciteit vanwege het niet voldoen aan de verordening zal verwerkers van persoonsgegevens ertoe dwingen de zaken op orde te krijgen.

 

31 januari 2017 door Arjan Brookman