{{messages[0][0]}}

Privacy: een overzicht van de belangrijkste regels



Veel bedrijven halen hun inkomsten (gedeeltelijk) uit de handel in persoonlijke data. Die gegevens worden bijvoorbeeld verzameld door cookies en gegevens die klanten online invullen. Zodra je als bedrijf te maken krijgt met persoonsgegevens moet je je aan de privacywetgeving houden, ook als je de gegevens niet verkoopt. Als je deze regels overtreedt zijn de boetes hoog, dus het is belangrijk om goed op de hoogte te zijn van de regels. Voor de duidelijkheid staan hier de belangrijkste privacyregels, jouw verplichtingen en mogelijke risico’s op een rijtje.

 

De privacywetgeving is van toepassing op “de verwerking van persoonsgegevens”. Wat betekenen deze begrippen eigenlijk?

Er zijn twee soorten persoonsgegevens:

  1. Directe persoonsgegevens zijn gegevens die je direct en zonder inspanning kunt herleiden tot een persoon. Voorbeelden zijn: iemands naam, adres, telefoonnummer of e-mailadres.
  2. Indirecte persoonsgegevens zijn gegevens die je indirect kunt herleiden tot een persoon, bijvoorbeeld door meerdere gegevens met elkaar te combineren. Voorbeelden zijn: nummers die in een lijst gekoppeld zijn aan een naam (zoals kentekens), vingerafdrukken en DNA. Ook gegevens die je anoniem maakt kunnen dus persoonsgegevens zijn!

Sommige persoonsgegevens zijn een stuk gevoeliger dan andere. Denk bijvoorbeeld aan gegevens over iemands godsdienst, ras of gezondheid. Dit soort gegevens worden bijzondere persoonsgegevens genoemd. Doordat deze gegevens zo privacygevoelig zijn is het in beginsel verboden deze te verwerken. De uitzonderingen hierop zijn streng. Zo mogen gegevens over iemands gezondheid alleen verwerkt worden door in de wet bepaalde (zorg)instellingen, of wanneer de betrokken persoon daarvoor uitdrukkelijk toestemming heeft gegeven.

Van verwerking is al snel sprake. Verwerking is namelijk iedere handeling die je verricht met betrekking tot de persoonsgegevens. Hierbij kun je denken aan het verzamelen, opslaan, bewerken, gebruiken en wissen van de gegevens. Zodra je ook maar ‘iets’ doet met persoonsgegevens val je dus al onder de privacywetgeving.

Wanneer mag ik persoonsgegevens verwerken?

Je mag alleen persoonsgegevens verwerken op een grondslag die in de wet staat genoemd. De makkelijkste en meest veilige optie is om ondubbelzinnige toestemming te vragen aan je gebruikers. Dit kun je doen door gebruikers bij aanmelding een vakje te laten aanvinken waarbij staat “Ja, ik vind het goed dat mijn persoonsgegevens worden verwerkt om mij interessante aanbiedingen te doen, een nieuwsbrief te sturen of voor andere marketingdoeleinden.” en “Ja, ik heb de privacy policy gelezen en ben hiermee akkoord”. Het is belangrijk dat de gebruiker zelf uitdrukkelijk toestemming geeft voor de verwerking van de gegevens. Vink dus niet automatisch de hokjes aan voor toestemming van het verzamelen en delen van de gegevens, maar laat deze keuze over aan de gebruiker (“opt-in regime”). Als je dit niet doet, dan is de toestemming niet ondubbelzinnig en dus ook niet geldig.

Als je geen toestemming hebt van de betrokken personen, dan moet de verwerking een andere rechtvaardigingsgrond hebben. Bijvoorbeeld:

  • De verwerking van de gegevens is noodzakelijk om een overeenkomst met de betrokken persoon uit te voeren. Je moet bijvoorbeeld wel adresgegevens verwerken, anders kun je geen producten leveren en/of factureren.
  • Het feit dat de verwerking van de gegevens noodzakelijk is om een gerechtvaardigd belang van de verantwoordelijke te behartigen. Zo mag je bijvoorbeeld gegevens verzamelen die noodzakelijk zijn om je bedrijfsactiviteiten te verrichten, zoals het versturen van productinformatie of updates.

Oké, ik verwerk persoonsgegevens. Waar moet ik op letten?

Als je eenmaal weet dat je onder de privacywetgeving valt, moet je ook weten welke verplichtingen hierbij horen.

Doe een melding van de verwerking

De meeste verwerkingen van persoonsgegevens moet je melden bij de Autoriteit Persoonsgegevens. De Autoriteit Persoonsgegevens houdt alle meldingen bij en publiceert deze in een openbaar register, zodat het transparant is welke verwerkingen er plaatsvinden. Deze melding kun je hier doen.

Een aantal gegevensverwerkingen hoeven echter niet gemeld te worden. Dit zijn verwerkingen waarvan iedereen logischerwijs weet dat ze plaatsvinden en die de privacy van de betrokken personen waarschijnlijk niet aantasten. Aan wat voor verwerkingen moet je dan denken? Een paar voorbeelden:

  • Verwerking van gegevens met betrekking tot sollicitanten
  • Personeels- en salarisadministratie
  • Verwerking van gegevens met betrekking tot abonnementen
  • Verwerking van gegevens met betrekking tot debiteuren en crediteuren
  • Verwerking van gegevens met betrekking tot afnemers en leveranciers

Deze en meer uitzonderingen op de meldplicht staan opgesomd in het Vrijstellingsbesluit van de Wet bescherming persoonsgegevens (Wbp).

Informeer je gebruikers

Zorg dat je klanten en andere websitebezoekers weten welke persoonsgegevens je verwerkt en met welk doel je dit doet. Dit doe je met een privacy- en cookieverklaring. Deze verklaringen moet duidelijk en leesbaar zijn, en de gebruiker moet de privacy- en cookieverklaring kunnen opslaan om deze later nog eens terug te kunnen lezen.

 

 

Minimaliseer de data

Verzamel niet meer persoonsgegevens dan je daadwerkelijk nodig hebt om je producten of diensten te leveren (dataminimilisatie); vraag dus niet om iemands functie, geloofsovertuiging of burgerlijke staat, als je deze gegevens helemaal niet nodig hebt om je product of dienst te leveren. Je mag de gegevens ook niet langer bewaren dan noodzakelijk is voor de verwerking ervan.

Verder geldt dat de instellingen zo privacyvriendelijk mogelijk moeten zijn (Privacy by Default): maak alleen de invulvelden verplicht die noodzakelijk zijn voor registratie en maak alle overige velden optioneel. Zo bepaalt je klant zelf of er meer gegevens worden opgeslagen dan noodzakelijk (opt-in).

Beveilig de gegevens

De persoonsgegevens beveiligd worden tegen verlies, diefstal of toegang door onbevoegden. Het spreekt voor zich dat je technische beveiligingsmaatregelen moet nemen, zoals het gebruik maken van wachtwoorden en data-encryptie. Daarnaast moet je ook organisatorische maatregelen nemen om de gegevens te beveiligen. Hierbij kun je denken aan het beperken van de toegang tot de gegevens tot enkele werknemers of het laten tekenen van een geheimhoudingsovereenkomst door die werknemers die toegang hebben tot de privacygevoelige informatie.

Tijdens het ontwikkelen van je product moet je Privacy by Design toepassen. Dit houdt in dat je vanaf het begin al privacy verhogende maatregelen in de technologie embedden (Privacy Enhancing Technologies, ook wel PET). Zo voorkom je dat je je product – terwijl het eigenlijk al zo goed als ‘af’ was – opeens moet aanpassen omdat je niet aan de privacyregels voldoet. Het is tegen die tijd erg tijdrovend en kostbaar om het product nog aan te passen om wel aan alle regels te voldoen.

Een datalek! Wat nu?

Als er een inbreuk is op de beveiligingsmaatregelen, dan is er sprake van een datalek. Denk bijvoorbeeld aan een hack van het systeem, het kwijtraken van de gegevens of zelfs diefstal van het device waarop de gegevens staan opgeslagen. In geval van een datalek zijn er aantal dingen die je moet doen:

  • Meld de datalek zo snel mogelijk bij de Autoriteit Persoonsgegevens. Dit moet je zo snel mogelijk doen, en uiterlijk binnen 72 uur. De melding kun je hier doen. Later kun je deze melding nog aanvullen of intrekken, mocht dat nodig zijn.
  • Als de datalek waarschijnlijk ongunstige gevolgen heeft voor de privacy van de betrokken personen, dan moet je de lek ook aan hen melden. Ook hier geldt dat dit zo snel mogelijk moet gebeuren, uiterlijk binnen 72 uur.

Kan ik de verwerking ook uitbesteden?

Je kunt de verwerking van de persoonsgegevens (gedeeltelijk) uitbesteden aan een andere partij. Als je dit doet dan moet je met die andere partij een bewerkersovereenkomst sluiten. Opslag valt ook onder verwerking, dus als je de gegevens op een externe server bewaart moet je ook een bewerkersovereenkomst sluiten! In deze overeenkomst moet onder andere staan dat ook de bewerker zich aan alle wettelijke privacyregels zal houden. Maak ook goede afspraken over de beveiligingsmaatregelen die de bewerker neemt, want als er iets misgaat ben jij degene die risico loopt op een sanctie.

Welke sancties zijn er dan?

Als je je niet aan de privacyregels houdt kan dit vervelende gevolgen hebben. Niet alleen voor de betrokken personen, maar ook voor jou. De Autoriteit Persoonsgegevens kan namelijk sancties opleggen, zoals bestuursdwang of een (hoge!) boete.

Bestuursdwang

De Autoriteit Persoonsgegevens is bevoegd om een last onder bestuursdwang op te leggen. Dit houdt in dat jou verplicht wordt om maatregelen te nemen om een einde te maken aan de onrechtmatige situatie. Doe je dit niet, dan doet de Autoriteit Persoonsgegevens het zelf (maar: de kosten zijn voor jou). Je kunt hierbij denken aan een verplichting om de gegevens af te schermen, te verwijderen of zelfs te vernietigen.

Boetes

De boetes op overtreding van de privacywetgeving enorm verhoogd. Vroeger stond het bedrag nog op €4500, maar tegenwoordig kan dit bedrag oplopen tot wel €820.000. Zo’n rekening wil je natuurlijk niet krijgen!

Gelukkig maar dat de Autoriteit Persoonsgegevens de boete meestal niet meteen oplegt: ze zullen eerst een (bindende) waarschuwing geven. Pas na die waarschuwing wel echt je fouten aan, anders krijg je de boete alsnog. Als je opzettelijk de wet hebt overtreden of er sprake is van ernstig verwijtbare nalatigheid, dan wordt de boete direct opgelegd.

Hulp nodig?

Bij vragen over het opstellen van de nodige documenten kun je altijd contact met ons opnemen.

Bootcamp!

Samen met mr. Laura van Gijn, advocaat bij De Roos Advocatuur, bieden wij 5 exclusieve Privacy Bootcamps aan voor €99,- ex btw (i.p.v. €250,- ex btw). Tijdens een bootcamp kun je al je vragen stellen en je privacydocumenten laten controleren.

Je kunt natuurlijk zelf de agenda bepalen van de bootcamp! Stel bijvoorbeeld vragen over:

  • Je bewerkersovereenkomst
  • Je actieplan bij datalekken
  • Je privacy policy

MEER BERICHTEN