A.7.8 De accountant en de Wet bescherming persoonsgegevens

A.7.8 De accountant en de Wet bescherming persoonsgegevens mr. dr. Elisabeth Thole en mr. Özer Zivali*

A.7.8.

1

Inleiding Bij de uitoefening van hun taken kunnen accountants allang niet meer om de privacyregelgeving heen. Momenteel is de privacyregelgeving, zowel op nationaal als op Europees niveau, behoorlijk in beweging. Door de snelle technologische vooruitgang, de exponentiële groei van data en de grote impact die het verwerken van persoonsgegevens voor individuen kan hebben, worden de privacyregels steeds strikter. In het licht daarvan zullen accountants, willen zij hun taken naar behoren kunnen uitvoeren, zich genoodzaakt zien om de ontwikkelingen rondom de privacyregelgeving goed te volgen. Wanneer we kijken naar de kerntaken die rusten op een accountant, dan komen de privacyregels in de eerste plaats om de hoek kijken bij de controlerende taak van de accountant. Hij heeft de verantwoordelijkheid om de naleving van weten regelgeving in aanmerking te nemen bij het controleren van de jaarrekening van een organisatie. Hij dient hiertoe voldoende inzicht te verkrijgen in mogelijke aanwijzingen van niet-naleving van weten regelgeving

* Elisabeth Thole en Özer Zivali zijn advocaten bij Van Doorne NV en maken deel uit van het Van Doorne Privacy Team. Dit hoofdstuk is afgesloten op 5 december 2015, en is deels gebaseerd op geüpdatete onderdelen uit het boek: Elisabeth Thole/Friederike van der Jagt/Herwin Roerdink, ‘50 vragen over privacy,’ Deventer: Kluwer 2010.

Leidraad voor de AA aﬂ. 103 - januari 2016

A.7.8 - 01

ADVIESPRAKTIJK

die van materieel belang (kunnen) zijn op de vaststelling van de jaarrekening.1 Niet-naleving van de steeds strengere privacyregelgeving kan leiden tot onderzoeken door de relevante toezichthouders, reputatieschade en teruglopende omzet, steeds hogere boetes en andere bestuurlijke sancties. Niet uitgesloten is ook de mogelijkheid van ontregeling van bedrijfsprocessen, al dan niet door claims en/of rechtszaken, en in het ergste geval zelfs het onderuit halen van het businessmodel van de onderneming. Het is evident dat een accountant er niet aan ontkomt om zich te verdiepen in de privacyrechtelijke status van de te onderzoeken onderneming. Het kan in voorkomend geval noodzakelijk zijn dat een voorziening, schuld of toelichting wordt opgenomen. In de tweede plaats heeft de accountant in zijn rol als adviseur te maken met de privacyregels. Ondernemers vragen bij compliance kwesties vaak hun accountant, omdat deze hun eerste aanspreekpunt is, om een eerste advies. Privacyaangelegenheden vormen daarop geen uitzondering. In het kader van zijn adviserende rol zal de accountant daarom ook op hoofdlijnen kennis moeten hebben van de privacyregelgeving. Met de toenemende gegevensverwerkingen neemt het risico op datalekken evenredig toe. Niet voor niets zegt men ook wel: het is niet zozeer de vraag óf een datalek zich kan voordoen, maar veeleer wanneer. Steeds vaker worden accountants daarom ook ingeschakeld bij het auditen van de naleving van de privacyregelgeving door een onderneming (in de preventieve sfeer), of indien het datalek zich eenmaal heeft voorgedaan als forensisch expert naar de oorzaak en reikwijdte van het datalek (repressieve sfeer). Sommige accountantskantoren bieden in dat kader ook wel Hacking as a Service (HaaS) aan om potentiële kwetsbaarheden voor hun klanten vroegtijdig op abonnementsbasis op te sporen en zo nodig ook te verhelpen. Ten slotte zullen accountants de persoonsgegevens die zij voor eigen doeleinden verwerken, zoals gegevens van hun werknemers of van de bezoekers van hun pand, uiteraard ook privacy compliant moeten verwerken. Om de accountant op weg te helpen in de wirwar van privacyregels, bevat dit hoofdstuk een overzicht van de belangrijkste priva-

1. Nadere voorschriften controle- en overige standaarden (NV COS), standaard 250, het in aanmerking nemen van weten regelgeving bij een controle van financiële overzichten.

A.7.8 - 02


DE ACCOUNTANT EN DE WET BESCHERMING PERSOONSGEGEVENS

cyverplichtingen zoals die naar huidig Nederlands recht gelden. We nemen daarbij de Wet bescherming persoonsgegevens (Wbp) als uitgangspunt. In dat kader zullen wij ook wat langer stilstaan bij de beveiligingsverplichtingen en de meldplicht datalekken, alsmede de uitbreiding van de bestuurlijke boetebevoegdheden van de Autoriteit Persoonsgegevens (per 1 januari 2016 de nieuwe naam van het College bescherming persoonsgegevens), omdat de accountant daarmee in het bijzonder te maken kan krijgen in zijn rol als dienstverlener, maar ook wanneer hij persoonsgegevens voor eigen doeleinden verwerkt.1 Bepaalde aspecten van de privacyverplichtingen zullen in dit hoofdstuk ook herhaald worden om verbanden te leggen tussen de verschillende verplichtingen en begrippen. Dit hoofdstuk bevat de belangrijkste handvatten voor de accountant bij zijn controlerende of adviserende rol, alsmede hoe hij zelf volgens het boekje de persoonsgegevens die hij voor zichzelf of voor zijn klanten onder zich heeft, kan/moet verwerken. Al naar gelang de sector en type verwerking kan ook andere bijzondere weten regelgeving relevant zijn in het kader van het verwerken van persoonsgegevens. Deze weten regelgeving valt buiten het bestek van dit hoofdstuk. Wat de voorstellen voor de Europese Algemene Verordening op het gebied van de bescherming van persoonsgegevens (AVGB) betreft, die naar verwachting in 2018 in werking treedt, zullen wij deze slechts kort behandelen. Deze AVGB zal rechtstreekse werking hebben binnen de Europese Unie (EU) en dient ter vervanging van de EU Privacy Richtlijn 95/46 (Richtlijn), waarop de Wbp gebaseerd is, en zal daarmee op termijn de Wbp vervangen.

A.7.8.

2

De Wet bescherming persoonsgegevens Bijna alle organisaties hebben in beginsel te maken met naleving van de privacyregelgeving, bijvoorbeeld omdat zij persoonsgege-

1. Wij zullen hierna het CBP eenduidig aanduiden als Autoriteit Persoonsgegevens, nu dat dit de nieuwe naam van de privacytoezichthouder is per 1 januari 2016. Dat zullen we ook doen als gaat het om richtsnoeren of andere documenten die door deze toezichthouder onder benaming van het CBP zijn ingevoerd. Overigens is dit de tweede keer dat de toezichthouder een nieuwe naam krijgt. Voordat de toezichthouder omgedoopt werd tot het CBP heette deze instantie de Registratiekamer.


A.7.8 - 03

ADVIESPRAKTIJK

vens van hun werknemers of klanten verwerken. Dit brengt mee dat naleving van privacyregelgeving mede door ontwikkelingen – zoals de invoering per 1 januari 2016 van de meldplicht datalekken en uitbreiding van de mogelijkheden van de Autoriteit Persoonsgegevens om hogere boetes op te leggen, en de gevorderde voorstellen op Europees niveau voor de invoering van de AVGB – ook materiëler wordt voor bijna alle organisaties. Op het verwerken van persoonsgegevens is vooral de Wbp van toepassing, hetgeen grotendeels een implementatie is van de Richtlijn. De Wbp is een algemene privacywet met een ruim toepassingsbereik. Deze wet bevat veel open normen en beginselen waaraan de verwerking van persoonsgegevens moet voldoen en is van toepassing op vrijwel iedere al dan niet geautomatiseerde verwerking van persoonsgegevens. Deze normen, beginselen en overige regels zien onder meer toe op wanneer en onder welke voorwaarden gegevens over personen verzameld, vastgesteld en gebruikt mogen worden, waaronder ook op de beveiliging van zodanige gegevens, informatieplichten, toestemmingsvereisten, meldplichten, doorgifte van persoonsgegevens naar andere landen buiten de Europese Economische Ruimte (EER) en waarborging van de rechten van betrokkenen.

Toepasselijkheid Wbp De Wbp is van toepassing op het verwerken van persoonsgegevens. ‘Verwerken’ en ‘persoonsgegevens’ zijn meteen twee kernbegrippen van de Wbp. Beide begrippen kennen een ruim toepassingsbereik. Een persoonsgegeven is elk gegeven betreffende een geidentificeerde of identificeerbare levende natuurlijke persoon, ook wel betrokkene genoemd (diegene op wie een persoonsgegeven betrekking heeft). Voorbeelden van persoonsgegevens zijn niet alleen NAW-gegevens, bankrekeningnummer of bijvoorbeeld het emailadres van een individu, maar kunnen bijvoorbeeld ook diens gegevens over zijn gezondheid, IP-adres en locatiegegevens zijn. Van verwerking van persoonsgegevens is ook al snel sprake. Het gaat om elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens. Diegene op wie de verplichtingen uit de Wbp rusten zodra persoonsgegevens worden verwerkt, is de verantwoordelijke. Deze kan bij het verwerken van persoonsgegevens een

A.7.8 - 04



derde inschakelen, de bewerker. De termen verantwoordelijke en bewerker zullen hieronder nog nader worden toegelicht.

Persoonsgegevens

-

Iemands adres, telefoonnummer, bankrekeningnummer, foto, salarisgegevens, BSN, paspoortnummer, ziekteverzuim, videobeelden, geluidsopnames, geloofsovertuiging, lidmaatschap van een vakvereniging of ras, IP-adres, maar ook andere gegevens, kunnen allemaal persoonsgegevens zijn. Een persoonsgegeven moet betrekking hebben op, en dus herleidbaar zijn tot, een betrokkene. De gegevens moeten een levende natuurlijke persoon direct dan wel indirect kunnen identificeren. De vraag of een gegeven als persoonsgegeven moet worden aangemerkt, hangt mede af van de specifieke context. Persoonsgegevens zijn daarmee ruim gedefinieerd. De Artikel 29-werkgroep – een samenwerking van Europese privacytoezichthouders opgericht op basis van artikel 29 van de Richtlijn, die de Europese Commissie adviseert over privacyaangelegenheden – heeft om te verduidelijken wat als persoonsgegeven moet worden aangemerkt in 2007 hierover een advies uitgebracht.1 De Nederlandse privacytoezichthouder, de Autoriteit Persoonsgegevens, volgt in de regel de adviezen van de Artikel 29 Werkgroep. In het advies uit 2007 over persoonsgegevens onderscheidt de Artikel 29 Werkgroep de volgende vier nauw met elkaar samenhangende elementen die van belang zijn voor het bepalen of een gegeven een persoonsgegeven is: Iedere informatie; Betreffende; Geïdentificeerd of identificeerbare; Natuurlijke persoon. Iedere informatie Accountants kunnen voor henzelf of namens hun klanten verschillende persoonsgegevens verwerken. Het begrip persoonsgegevens

1. Artikel 29-werkgroep, Advies 4/2007 over het begrip persoonsgegeven, WP 136, 20 juni 2007.


A.7.8 - 05

ADVIESPRAKTIJK

omvat alle soorten gegevens over een persoon. Niet alleen objectieve informatie over een persoon zoals naam, adres, geboortedatum kan een persoonsgegeven zijn, maar ook subjectieve informatie, zoals meningen en oordelen, ongeacht of ze waar zijn, vallen hieronder. De wetenschap dat iemand een dubieuze debiteur is, is bijvoorbeeld voor banken een belangrijk persoonsgegeven met betrekking tot de persoon waarover het gaat. Voor werkgevers zijn de beoordelingen van een werknemer weer een belangrijk persoonsgegeven met betrekking tot de betreffende werknemer. Een voorgeschreven medicijn kan een persoonsgegevens zijn met betrekking tot zowel een patiënt als een arts. Persoonsgegevens omvatten hiermee ook wat de inhoud van de informatie betreft elk soort informatie. Hiertoe behoort persoonlijke informatie die als gevoelig wordt beschouwd, maar ook meer algemene soorten van informatie. Persoonsgegevens kunnen informatie betreffen die betrekking heeft op iemands privéleven of familie- en gezinsleven in strikte zin, maar ook informatie over activiteiten die iemand onderneemt, bijvoorbeeld over iemands beroepsrelaties, activiteiten, interesses, voorkeuren, economisch of sociaal gedrag. Het gaat dus om informatie over personen, ongeacht de positie of de hoedanigheid van die personen (consument, patiënt, werknemer, klant, etc.). De vorm of medium waarin de informatie is opgenomen of wordt ontsloten, is niet van belang om als persoonsgegeven te worden aangemerkt. Informatie kan bijvoorbeeld alfanumeriek, grafisch, fotografisch of akoestisch worden geuit. Daarnaast kan informatie op papier, maar ook in binaire code in een computergeheugen worden opgeslagen. Ook geluids- en beeldgegevens kunnen als persoonsgegeven gelden indien zij informatie over een persoon verschaffen. Betreffende Een persoonsgegeven moet informatie zijn over een persoon. Het spreekt voor zich dat gegevens die in iemands personeelsdossier staan gegevens zijn betreffende die persoon als werknemer bij een onderneming. Ditzelfde geldt voor resultaten van een medisch onderzoek van een patiënt die in zijn patiëntendossier zijn opgenomen. Lastiger wordt het indien informatie in eerste instantie een voorwerp betreft, bijvoorbeeld een auto, woning, telefoon, navigatie-

A.7.8 - 06



systeem, of slimme thermostaat. Die voorwerpen zijn doorgaans iemands eigendom, staan onder het beheer van of oefenen invloed uit op een persoon, of staan in een bepaalde fysieke of geografische nabijheidsrelatie tot personen of andere voorwerpen. In dergelijke gevallen kan de informatie vaak indirect geacht worden die personen of voorwerpen te betreffen. Zo zal de registratie van kentekens van auto’s bij parkeerplaatsen of -garages bijvoorbeeld eveneens als persoonsgegeven moeten worden beschouwd. De auto behoort toe aan een eigenaar. Aan de hand van de kentekenregistratie kan niet alleen gecontroleerd worden of het parkeertarief is betaald, maar kan ook door de belastingdienst worden gebruikt om afgelegde ritten en de omvang van belastingverplichtingen te bepalen. Een slimme thermostaat geeft niet alleen een beter beeld van iemands verbruik, maar vaak ook een indringend beeld van zijn gewoonten, patronen en levensstijl. Ook GPS-gegevens van bijvoorbeeld taxichauffeurs kunnen gegevens zijn betreffende een persoon, aangezien de gegevens die door navigatiesystemen worden gegenereerd, kunnen worden gebruikt om die taxichauffeurs bijvoorbeeld op hun rijgedrag te beoordelen. Zo dienen locatiegegevens van iemands telefoon tevens als gegevens betreffende een persoon te worden beschouwd, waarbij zodanige locatiegegevens vaak als gevoelige persoonsgegevens worden gezien die een intiem beeld geven van de gewoonten, patronen en levensstijl van de individuele gebruiker.1 Geïdentificeerd of identificeerbaar Persoonsgegevens betreffen geïdentificeerde of identificeerbare natuurlijke personen. Een natuurlijke persoon kan als geïdentificeerd worden beschouwd als hij binnen een groep personen kan worden onderscheiden van andere leden van die groep. Een natuurlijke persoon is identificeerbaar als die persoon weliswaar nog niet is geïdentificeerd, maar wel geïdentificeerd kan worden. Directe of indirecte identificatie kan aan de hand van bijvoorbeeld een identificatienummer of van een of meer elementen die kenmerkend zijn

1. Zie ook het advies van de Artikel 29-werkgroep, advies 13/2011 over geolocatiediensten op slimme mobiele apparaten, WP185, 16 mei 2011.


A.7.8 - 07

ADVIESPRAKTIJK

voor de fysieke, fysiologische, mentale, economische, culturele of sociale identiteit van een bepaalde persoon. Een persoon kan ofwel direct geïdentificeerd worden aan de hand van een naam, ofwel indirect aan de hand van een telefoonnummer, e-mailadres, IP-adres, een BSN- of soortgelijk nummer, een paspoort dan wel met behulp van een aantal significante criteria, aan de hand waarvan zijn of haar identiteit binnen een groep kan worden vastgesteld (leeftijd, functie, adres enz.). De mate waarin een identificatiemiddel voldoende is om identificatie tot stand te brengen, is afhankelijk van de context van het geval. Zo is een veel voorkomende familienaam, zoals De Vries of Jansen, mogelijk niet voldoende om iemand te identificeren – dat wil zeggen hem te onderscheiden – onder de gehele bevolking van een land, terwijl die naam doorgaans wel voldoende is voor de identificatie van bijvoorbeeld een bepaalde werknemer op een afdeling. Bij indirect identificeerbare personen gaat het doorgaans om een klein of groot aantal combinaties van verschillende gegevens. Om te bepalen of een persoon identificeerbaar is, moet worden gekeken naar alle middelen waarvan mag worden aangenomen dat zij redelijkerwijs door degene die voor de verwerking verantwoordelijk is, dan wel door enig ander persoon in te zetten zijn om genoemde persoon te identificeren. Slechts de theoretische mogelijkheid om iemand te onderscheiden is niet genoeg om die persoon als identificeerbaar te beschouwen. De over hem bekende informatie is dan niet aan te merken als persoonsgegeven. Periodiek zal het risico op identificatie wel opnieuw moeten worden beoordeeld, zodat tijdig rekening kan worden gehouden met de ontwikkeling van beschikbare middelen die in te zetten zijn om een persoon te identificeren.1 Gepseudonimiseerde gegevens kunnen ook worden beschouwd als informatie over indirect identificeerbare personen, en dus als persoonsgegeven.2 Pseudonimisering wordt toegepast als beveiligingsmaatregel om de identiteit van een persoon te verhullen door de koppelbaarheid van de gegevens aan de originele identiteit te beperken. Hierdoor wordt de privacy impact van de verwerking voor de betrokkenen beperkt. Bij gepseudonimiseerde gegevens

1. Artikel 29-werkgroep, Advies 5/2014 over anonimiseringstechnieken, WP 216, 10 april 2014. 2. Artikel 29-werkgroep, Advies 4/2007 over het begrip persoonsgegeven, WP 136, 20 juni 2007.

A.7.8 - 08



is nog steeds sprake van herleidbaarheid tot individuen, waardoor gepseudonimiseerde gegevens niet gelijk te stellen zijn met anonieme gegevens. Zowel de Artikel 29 -werkgroep als de Autoriteit Persoonsgegevens is zelfs van oordeel dat zolang een persoon op individueel niveau eruit te selecteren is, zonder dat de naam bekend is, hetgeen vaak het geval is bij gepseudonimiseerde gegevens, er sprake kan zijn van persoonsgegevens, met name als personen ook geprofileerd en anders kunnen worden behandeld.1 Van persoonsgegevens is geen sprake meer indien de gegevens zodanig effectief zijn geanonimiseerd dat deze gegevens niet meer geïndividualiseerd kunnen worden en niet meer herleidbaar zijn tot een individu, waarbij rekening moet worden gehouden met alle middelen die redelijkerwijs door de verantwoordelijke dan wel door derden in te zetten zijn om de betrokkene te identificeren en de ontwikkeling van deze middelen.2 Natuurlijk persoon De Wbp ziet op natuurlijke levende personen. Informatie over overleden personen wordt in beginsel dus niet beschouwd als persoonsgegevens in de zin van de Wbp. Informatie over overleden personen kan afhankelijk van de context toch van belang zijn voor het begrip persoonsgegeven. Informatie over een overledene kan betrekking hebben op levende personen, bijvoorbeeld in geval van erfenissen of erfelijke eigenschappen. Daarnaast kan informatie over een ongeboren kind worden aangemerkt als persoonsgegeven.

Verwerken Van het verwerken van persoonsgegevens is snel sprake. Elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens is een verwerking. De Wbp bepaalt dat hieronder in ieder geval valt het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, samenbrengen, ter

1. Zie bijvoorbeeld Artikel 29-werkgroep, Advies 4/2007 over het begrip persoonsgegeven, WP 136, 20 juni 2007. 2. Artikel 29-werkgroep, Advies 5/2014 over anonimiseringstechnieken, WP 216, 10 april 2014.


A.7.8 - 09

ADVIESPRAKTIJK

beschikking stellen en het afschermen van persoonsgegevens. Zelfs het uitwissen, vernietigen of anonimisering van persoonsgegevens is een verwerkingshandeling. Dit betekent dat indien door een technische fout of cyberaanval een database met persoonsgegevens definitief wordt verwijderd, er sprake is van verwerken van persoonsgegevens. Alleen de enkele transmissie van gegevens, bijvoorbeeld door een telecomprovider, zonder hier enige invloed op uit te kunnen oefenen, is geen verwerken van persoonsgegevens.

Geautomatiseerde en de niet-geautomatiseerde verwerking De Wbp is van toepassing op enerzijds de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, en anderzijds de niet geautomatiseerde verwerking van persoonsgegevens. In het tweede geval moeten de gegevens in een bestand zijn opgenomen of bestemd zijn om daarin te worden opgenomen. Informatie- en communicatietechnologie maakt het steeds eenvoudiger om persoonsgegevens te verwerken. Dit is de reden dat de Wbp zich vooral richt op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens. Men kan hierbij bijvoorbeeld denken aan het gebruik van e-mail-adressen voor nieuwsbrieven, maar ook aan de geautomatiseerde personeels- of klantenadministratie. Het Hof van Justitie van de EU heeft eerder geoordeeld dat het plaatsen van persoonsgegevens op een internetpagina een verwerking is.1 Ook oordeelde het Hof dat bij het geautomatiseerd op het internet zoeken en indexeren van gepubliceerde informatie door een zoekmachine, gegevens worden verzameld, vastgelegd en bewaard op servers, die op een geordende wijze worden verstrekt aan gebruikers in de vorm van zoekresultaten. Deze handelingen kwalificeerden daardoor als het verwerken van persoonsgegevens.2 Naast de (geheel of gedeeltelijke) geautomatiseerde verwerking is de Wbp tevens van toepassing op handmatig verzamelde gegevens. Zoals gezegd, geldt hierbij als extra eis dat deze gegevens moeten zijn opgenomen of bestemd zijn opgenomen te worden in een bestand. Onder een bestand moet hier worden verstaan: elk gestruc-

1. HvJ EU, C-101/01, 6 november 2013, EU:C:2003:596 (Lindqvist). 2. HvJ EU, C-131/12, Google Spain SL en Google Inc. tegen AEPD en Mario Costeja González, 13 mei 2014, ECLI:EU:C:2014:317 (Google Spain).

A.7.8 - 10



tureerd geheel van persoonsgegevens dat volgens bepaalde criteria toegankelijk is en dat betrekking heeft op verschillende personen. Een voorbeeld kan een dossierverzameling zijn, maar alleen voor zover deze op een bepaalde manier logisch gerangschikt is, bijvoorbeeld door daarbij een (elektronisch) bestand met een verwijsfunctie naar de dossiers te hanteren. Het enkele feit dat een dossier bijvoorbeeld chronologisch is geordend, kan echter niet meteen tot de conclusie leiden dat er sprake is van een gestructureerd geheel van persoonsgegevens dat volgens bepaalde criteria toegankelijk is.1 Verder geldt dat het bestand betrekking moet hebben op verschillende personen. Als er slechts gegevens over één persoon handmatig worden verwerkt, is er geen sprake van een bestand.

Verantwoordelijke en bewerker De belangrijkste verplichtingen uit de Wbp rusten op de verantwoordelijke. Het is daarom van belang dat wordt vastgesteld wie de verantwoordelijke is. Volgens de Wbp is de verantwoordelijke de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, al dan niet te samen met anderen, het doel en de middelen voor de verwerking vaststelt. De verantwoordelijke bepaalt het ‘hoe’ en ‘waarom’ van de verwerking van persoonsgegevens. Met andere woorden: het initiatief voor de verwerking ligt bij de verantwoordelijke. Uit de wetsgeschiedenis blijkt dat gekozen is voor een formeel-juridische benadering van het begrip verantwoordelijke. Voor de vaststelling wie de verantwoordelijke is van een bepaalde verwerking zal onder andere gekeken moeten worden naar het civielrechtelijke personen- en organisatierecht. Ook kan er een expliciete wettelijke basis bestaan op grond waarvan een partij als verantwoordelijke wordt aangewezen, of op basis waarvan het voor de hand ligt dat deze partij de verantwoordelijke is. Naar het oordeel van de Autoriteit Persoonsgegevens en de Artikel 29-werkgroep spelen naast de formeel-juridische aanknopingspunten, ook de concrete feitelijke

1. Hoge Raad, 3 juni 2005, ECLI:NL:PHR:2005:AT1093 (X/Stichting Sint Jans Gasthuis).


A.7.8 - 11

ADVIESPRAKTIJK

-

omstandigheden en rolverdeling tussen partijen steeds een belangrijke rol.1 Anders dan een verantwoordelijke, verwerkt de bewerker uitsluitend ten behoeve van en in opdracht van de verantwoordelijke gegevens en neemt de bewerker geen beslissingen over het gebruik van de gegevens. De bewerker mag uitsluitend in opdracht en volgens de instructies van de verantwoordelijke handelen bij het verwerken van persoonsgegevens. Zodra een bewerker de gegevens ook voor eigen doeleinden gaat verwerken, kan hij ook (mede) verantwoordelijke worden. Deze rol kan hij innemen naast zijn rol als bewerker, zodat hij niet alleen bewerker is, maar ook verantwoordelijke. De vraag of een partij kwalificeert als bewerker is niet alleen afhankelijk van hetgeen partijen afspreken, maar ook steeds van de concrete feitelijke omstandigheden, zoals de werkzaamheden die de bewerker verricht ten behoeve van een of meer verantwoordelijke(n).2 In de praktijk is het soms lastig om vast te stellen wie als verantwoordelijke en/of bewerker moet worden aangemerkt. Zo is het mogelijk dat er niet één verantwoordelijke is voor de verwerking, maar dat meerdere entiteiten verantwoordelijken zijn. Met name kan worden gedacht aan een concern bestaande uit verschillende entiteiten, die bijvoorbeeld een geïntegreerd centraal bestand gebruiken. De volgende drie vormen van verantwoordelijkheid kunnen daarbij worden onderscheiden: Gemeenschappelijke verantwoordelijke: hier is sprake van indien verschillende entiteiten deelnemen aan de verwerking en zij één verantwoordelijke aanwijzen (dus op basis van een formeel-juridische regeling). Deze aangewezen gemeenschappelijke verantwoordelijke zal extern (richting toezichthouder en de betrokkenen) optreden als gemeenschappelijke verantwoordelijke en zal aansprakelijk zijn voor de verwerking als geheel. De afzonderlijke entiteiten blijven intern echter verantwoordelijk voor de door hen aangeleverde gegevens of verwerkingen. De gemeenschappelijke verantwoordelijke is voor de inhoud van deze aangeleverde gegevens alleen verant-

1. Artikel 29-werkgroep, Advies 1/2010 over de begrippen ‘voor de verwerking verantwoordelijke’ en ‘verwerker’, WP 169, 16 februari 2010. 2. Artikel 29-werkgroep, Advies 1/2010 over de begrippen ‘voor de verwerking verantwoordelijke’ en ‘verwerker’, WP 169, 16 februari 2010.

A.7.8 - 12



-

-

woordelijk voor zover hij (of naar de mate waarin hij) juridische zeggenschap heeft over dat deel van de gegevens. Gedifferentieerde verantwoordelijkheid: er is sprake van verschillende verwerkingen die geïntegreerd kunnen zijn, zonder dat er een gemeenschappelijke verantwoordelijk wordt aangewezen, maar onderscheid moet worden gemaakt tussen de verschillende verwerkingshandelingen. Dit brengt mee dat iedere verantwoordelijke dan verantwoordelijk is voor de door hem uitgevoerde verwerking. De betrokkene kan in beginsel alleen de relevante verantwoordelijke aanspreken. Gezamenlijke verantwoordelijkheid: er is sprake van verschillende verwerkingen die geïntegreerd zijn, zonder dat er een gemeenschappelijke verantwoordelijke wordt aangewezen. In dat geval spreekt men over gezamenlijke verantwoordelijkheid. Dit brengt mee dat iedere verantwoordelijke aansprakelijk is voor het geheel van de verwerkingen. De aansprakelijkheid van de verschillende verantwoordelijken is dan gerelateerd aan de omvang van de verantwoordelijkheid. De betrokkene kan bij iedere verantwoordelijke zijn rechten uitoefenen en de toezichthouder elk entiteit op haar eigen verantwoordelijkheid aanspreken. Afhankelijk van de vraag wie als verantwoordelijke wordt aangemerkt of aangewezen, is dus sprake van hoofdelijke of gedeeltelijke aansprakelijkheid voor de verwerking. Binnen een groep van vennootschappen geldt dat een concern als zodanig geen verantwoordelijke kan zijn in de zin van de Wbp. De wetgever ziet de entiteiten binnen een groep als vreemden van elkaar en stelt dat een verantwoordelijke in beginsel bestaat uit één vennootschap. Wel kan de verantwoordelijkheid voor een verwerking worden gedeeld. In concernverhoudingen kan het lastig zijn te bepalen wie als verantwoordelijke moet worden aangemerkt, aangezien er vaak feitelijk meerdere rechtspersonen zullen zijn die het doel en de middelen kunnen bepalen. Zo kan een concern afzonderlijke internationaal opererende HR-afdelingen hebben die HR-systemen met elkaar delen. Bepaalde concernvennootschappen kunnen zich ook richten op interne dienstververlening, zoals het leveren van ICT-systemen, software en databases aan de verschillende groepsmaatschappijen. Het kan ook zo zijn dat een moedermaatschappij de verwerkingen van alle dochtermaatschappijen uitbesteedt aan een derde. Ook kan sprake zijn


A.7.8 - 13

ADVIESPRAKTIJK

van een internationale dimensie als de entiteiten en/of betrokken derden zich in verschillende landen bevinden. Verder kunnen veranderingen in het concernstructuur tevens privacyrechtelijke gevolgen hebben. Per geval zal daarom moeten worden beoordeeld wie als de verantwoordelijke van de verwerking moet worden aangemerkt. Om te beoordelen wie als verantwoordelijke kwalificeert binnen een concern, moet worden gekeken naar de entiteit onder wiens bevoegdheid de operationele verwerking plaatsvindt. Om binnen een concern te komen tot duidelijkheid ten aanzien van de vraag wie de verantwoordelijke is, en derhalve ook aan de betrokkenen duidelijkheid te verschaffen bij welke entiteit zij hun rechten kunnen inroepen, kan het makkelijker zijn om in de statuten van de bij het concern betrokken rechtspersonen één van de rechtspersonen als verantwoordelijke aan te merken. Daarnaast (of in plaats daarvan) kan ervoor worden gekozen om tussen de verschillende vennootschappen binnen een groep een overeenkomst te sluiten waarin wordt vastgelegd wie binnen een concern bevoegd is het doel van en de middelen voor de gegevensverwerking te bepalen. Deze in de statuten of bij overeenkomst aangewezen vennootschap (dit zal in de regel de moedermaatschappij zijn) wordt dan als de verantwoordelijke binnen het concern aangemerkt. De regeling moet wel voldoende aansluiten bij de concrete omstandigheden, waarbij de verantwoordelijkheid wordt neergelegd bij de entiteit die ook daadwerkelijk enige vorm van zeggenschap heeft over de verwerkingen. Overigens laat dit onverlet dat voor internationale doorgiften van persoonsgegevens, ook binnen het concern, additionele voorwaarden gelden waaraan moet worden voldaan (zie verder paragraaf 10). Verder kan nog steeds de privacyregelgeving van een andere EU lidstaat (mede) van toepassing zijn wanneer een concern meerdere vestigingen heeft in de EU en kan een andere EU privacytoezichthouder (mede) bevoegd zijn.

Territoriale reikwijdte en uitzonderingen Wbp De Wbp is van toepassing op het verwerken van persoonsgegevens in het kader van activiteiten van een vestiging van een ver-

A.7.8 - 14



antwoordelijke in Nederland.1 De Wbp is ook van toepassing op het verwerken van persoonsgegevens door of ten behoeve van een verantwoordelijke die geen vestiging heeft in de EU waarbij gebruik wordt gemaakt van al dan niet geautomatiseerde middelen die zich in Nederland bevinden, tenzij deze middelen slechts worden gebruikt voor de doorvoer van persoonsgegevens.2 Dergelijke verantwoordelijken die geen vestiging hebben in de EU mogen geen persoonsgegevens verwerken, tenzij zij in Nederland een persoon of instantie aanwijzen die namens hen handelen. De Wbp heeft, zoals gezegd, een ruim toepassingsgebied, maar kent ook uitzonderingen voor situaties waarin de Wbp niet of slechts gedeeltelijk van toepassing is. Verwerkingshandeling ten behoeve van activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden, zoals het bijhouden van een persoonlijke verjaardagskalender, vallen bijvoorbeeld buiten de reikwijdte van de Wbp.3

A.7.8.

3

Beginselen Wbp Uit de Wbp volgen algemene beginselen met betrekking tot de verwerking van persoonsgegevens. De verantwoordelijke is gebonden aan deze algemene beginselen en moet waarborgen dat de verwerking van persoonsgegevens behoorlijk, zorgvuldig en in overeenstemming is met de Wbp en andere relevante wetten. Dit betekent dat bij iedere verwerkingshandeling en beslissing over de inrichting en uitvoering van de gegevensverwerkingen steeds voldaan moet zijn aan deze algemene beginselen. De volgende beginselen zullen achtereenvolgens worden behandeld:

1. De begrippen ‘vestiging’ en het ‘verwerken van persoonsgegevens in het kader van een vestiging’ moeten ruim worden uitgelegd. Zie HvJ EU, C-131/12, Google Spain SL en Google Inc. tegen AEPD en Mario Costeja González, 13 mei 2014, ECLI:EU:C:2014:317 (Google Spain); en HvJ EU, C-230/14, Weltimmo s.r.o. tegen Nemzeti Adatvédelmi és Információszabadság Hatóság, 1 oktober 2015, ECLI:EU:C:2015:639 (Weltimmo). 2. Landen die tot de EER behoren hebben zich verbonden aan het implementeren van de Richtlijn, waarop de Wbp is gebaseerd, hetgeen tot gevolg heeft dat persoonsgegevens moeten kunnen worden doorgegeven binnen de gehele EER. Voor de territoriale toepasselijkheid van de Wbp blijft echter het grondgebied van de EU het aanknopingspunt. 3. De uitzonderingen zijn in artikel 2 leden 2 en 3, alsmede in artikel 3 van de Wbp opgesomd.


A.7.8 - 15

ADVIESPRAKTIJK

-

Doelbinding; Dataminimalisatie; Proportionaliteit en subsidiariteit; en Beperkte bewaartermijn.

Doelbinding

-

Persoonsgegevens mogen slechts voor welbepaalde, uitdrukkelijk omschreven doeleinden verzameld en verder verwerkt worden. Zonder precieze, ondubbelzinnige en duidelijke doelomschrijving mogen persoonsgegevens niet worden verwerkt. Het doeleinde dient voorafgaand aan de verzameling te zijn bepaald, en mag dus niet pas tijdens de verzameling worden vastgesteld. De doelomschrijving dient ook duidelijk te zijn. Het mag niet zo zijn dat de doelomschrijving zodanig ruim of vaag is dat het geen kader biedt waaraan getoetst kan worden of de gegevens wel nodig zijn voor het bereiken van dat doeleinde. Het doeleinde van de gegevensverwerking dient tevens uitdrukkelijk omschreven te zijn, onder andere in het privacy statement dat de verantwoordelijke hanteert. Voorbeelden van doeleinden zijn uitvoering van de arbeidsovereenkomst (zoals salarisuitbetaling), het bijhouden van het aankoopgedrag voor het opstellen van profielen om aan de hand daarvan gerichte commerciële aanbiedingen te kunnen doen, afhandeling van klachten, of de beveiliging van een beveiligde website. Het beginsel van doelbinding betekent dat persoonsgegevens in principe niet voor een doeleinde mogen worden verwerkt dat onverenigbaar is met het doeleinde waarvoor de persoonsgegevens oorspronkelijk zijn verkregen. Het beperkt hiermee hoe de verantwoordelijke de gegevens mag gebruiken. Daarmee is doelbinding vooral ook bij big data initiatieven een belangrijke voorwaarde waarmee rekening moet worden gehouden. Bij de afweging of sprake is van verenigbaar gebruik dienen de volgende factoren in onderling verband te worden afgewogen: De verwantschap tussen het doeleinde van de beoogde verwerking en het doeleinde waarvoor de gegevens zijn verkregen; De aard van de betreffende gegevens; De gevolgen van de beoogde verwerking voor de betrokkene; en

A.7.8 - 16



-

De wijze waarop de gegevens zijn verkregen en de mate waarin jegens de betrokkene wordt voorzien in passende waarborgen. De Artikel 29-werkgroep heeft in opinie 03/2013 over doelbinding getracht om te verduidelijken hoe deze verschillende factoren moeten worden afgewogen in het kader van de verenigbaarheidstoets, inclusief voorbeelden van waarborgen die kunnen worden getroffen door de verantwoordelijke om een verdere verwerking toch als verenigbaar te laten kwalificeren.1 De verenigbaarheid dient steeds per geval te worden beoordeeld. Mocht blijken dat er sprake is van een verwerking die onverenigbaar is met de doeleinden waarvoor de gegevens werden verkregen, dan zal de verantwoordelijke opnieuw moeten nagaan wat de rechtvaardigingsgrond zal zijn voor deze verdere verwerking en zal daarbij moeten toetsen of dit rechtvaardigingsgrond, zoals het verkrijgen van toestemming, de initiële onverenigbaarheid voldoende compenseert (zie verder over de rechtvaardigingsgronden paragraaf 4). Een beroep op een nieuw rechtvaardigingsgrondslag bij onverenigbaarheid kan dus een onverenigbare verdere verwerking niet als zodanig meteen legitimeren. Ook zal opnieuw moeten worden beoordeeld hoe de verantwoordelijke aan de overige verplichtingen van de Wbp moet voldoen in het kader van de verdere verwerking.

Dataminimalisatie Het beginsel van dataminimalisatie houdt in dat niet meer persoonsgegevens mogen worden verwerkt dan strikt noodzakelijk voor het bereiken van de legitieme doeleinden. Op grond van de Wbp moet de gegevensverwerking toereikend, ter zake dienend en niet bovenmatig zijn, gelet op de doeleinden waarvoor de persoonsgegevens zijn verzameld of vervolgens worden verwerkt. De verantwoordelijke moet tevens de nodige maatregelen treffen om te waarborgen dat persoonsgegevens, gelet op de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, juist en nauwkeurig zijn. Bovenmatig veel gegevens mogen op grond van het voorgaande dus niet worden verwerkt. Alleen die gegevens mogen worden verwerkt die strikt noodzakelijk zijn voor het bereiken van het relevante le-

1. Artikel 29-werkgroep, Opinion 03/2013 on purpose limitation, WP 203, 2 april 2013.


A.7.8 - 17

ADVIESPRAKTIJK

gitieme doeleinde door personen die toegang moeten hebben tot deze gegevens in het kader van hun relevante taak met betrekking tot het betreffende legitieme doeleinde. Zo is het niet noodzakelijk om bij een due diligence het gehele personeelsbestand aan potentiele kopers te verstrekken. De verantwoordelijke moet daarom volstaan met het verstrekken van gegevens die niet herleidbaar zijn tot werknemers, zoals aantallen, aantal en soort arbeidsgeschillen en ziekteverzuimpercentages. Anderzijds mogen ook niet te weinig of verouderde gegevens worden verwerkt, gelet op de legitieme doeleinden, waardoor een onjuist beeld van de betrokkene zou kunnen ontstaan.

Proportionaliteit en subsidiariteit Bij iedere verwerking moet de verantwoordelijke ook de beginselen van proportionaliteit en subsidiariteit in acht nemen, ook indien een rechtvaardigingsgrond aanwezig is. Het beginsel van proportionaliteit houdt in dat de inbreuk op de belangen van betrokkenen niet onevenredig mag zijn in verhouding tot de met de verwerking te dienen legitieme doeleinden. Een bank die bijvoorbeeld een BKRregistratie wil opnemen ten aanzien van een wanbetaler zal steeds moeten beoordelen of de registratie zorgvuldig is jegens de betrokkene en of de registratie onevenredig is in verhouding tot het daarmee te dienen doeleinde, bijvoorbeeld als gevolg van de geringe hoogte van de betalingsachterstand en het historisch betaalgedrag van betrokkene.1 Subsidiariteit houdt in dat altijd voor het minst ingrijpende alternatief moet worden gekozen dat voorhanden is om hetzelfde doeleinde te bereiken. Indien een privacyvriendelijk alternatief beschikbaar is om het betreffende legitieme doeleinde te bereiken, dan moet de verantwoordelijke dus dit alternatief kiezen. Zo zal een werkgever slechts in zeer beperkte gevallen bij ernstige fraude of diefstal gebruik mogen maken van heimelijk cameratoezicht, wanneer andere alternatieven onvoldoende zijn gebleken. Heimelijk cameratoezicht door een werkgever voor trainingsdoeleinden van verkoopmedewerkers zal de subsidiariteitstoets niet doorstaan, om-

1. HR 9 september 2011, ECLI:NL:HR:2011:BQ8097 (BKR-Registratie).

A.7.8 - 18



dat dit een ernstige inbreuk op de privacy van de werknemer vormt en de trainingsdoeleinden ook met minder ingrijpende alternatieven kunnen worden bereikt.

Beperkte bewaartermijn Om te voorkomen dat persoonsgegevens voor onbepaalde tijd worden bewaard, stelt de Wbp in artikel 10 een open norm voor de bewaartermijn voor persoonsgegevens. Persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk is voor het bereiken van de legitieme doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt. Dit leidt tot maximale bewaartermijnen. De verantwoordelijke zal zich steeds moeten afvragen hoe lang het noodzakelijk is om de persoonsgegevens te bewaren, in het licht van de doeleinden waarvoor ze werden verkregen. Voorstelbaar is dat persoonsgegevens die zijn verzameld voor het eenmalig toesturen van een uitnodiging voor een seminar, moeten worden verwijderd nadat de uitnodiging, of eventueel een rappel is verstuurd, maar ten minste nadat het seminar en de evaluatie daarvan is beëindigd. Per geval moet de verantwoordelijke afwegen welke bewaartermijn moet worden gehanteerd, waarna de gegevens definitief moeten worden verwijderd, tenzij een uitzondering geldt of het noodzakelijk is om de gegevens te bewaren om te kunnen voldoen aan een specifieke wettelijke minimale bewaartermijn (bijvoorbeeld de minimale bewaartermijn van 7 jaar met betrekking tot de administratieplicht op grond van artikel 52 Algemene wet inzake rijksbelastingen). Het Vrijstellingsbesluit Wbp bevat richtlijnen voor de maximale bewaartermijn voor verschillende soorten verwerkingen.1 Dit besluit bevat een aantal specifieke verwerkingen die onder omstandigheden vrijgesteld zijn van de meldplicht bij de Autoriteit Persoonsgegevens of door de verantwoordelijke aangestelde Functionaris voor Gegevensbescherming. De voorwaarden om in aanmerking te komen voor de vrijstelling van de meldplicht betreffen ook specifieke bewaartermijnen. Wil een verantwoordelijke de persoonsge-

1. Vrijstellingsbesluit Wbp, houdende aanwijzing van verwerkingen van persoonsgegevens die zijn vrijgesteld van de melding bedoeld in artikel 27 van de Wet bescherming persoonsgegevens, (Stb. 2001, 250).


A.7.8 - 19

ADVIESPRAKTIJK

gevens langer bewaren dan de in het Vrijstellingsbesluit genoemde bewaartermijnen, dan zal hij alsnog de verwerking moeten melden bij de Autoriteit Persoonsgegevens of een door hem aangestelde Functionaris voor Gegevensbescherming. Overigens betekent dit niet dat indien de verantwoordelijke tot een dergelijke melding is overgegaan hem dit een vrijbrief verschaft om de gegevens langer te bewaren dan dat noodzakelijk is voor het bereiken van de legitieme doeleinden.

A.7.8.

4

Rechtvaardigingsgronden

1.

Persoonsgegevens mogen alleen worden verwerkt als er een legitiem doeleinde aanwezig is die gebaseerd kan worden op een rechtvaardigingsgrondslag. De Wbp kent de volgende zes rechtvaardigingsgrondslagen: Ondubbelzinnige toestemming: de betrokkene heeft voor de verwerking zijn ondubbelzinnige toestemming verleend. Toestemming wordt gedefinieerd als elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat zijn persoonsgegevens worden verwerkt. Uit deze definitie blijkt onder meer dat er voor het geven van toestemming geen vormvereisten gelden, maar dat deze op elke manier kan worden gegeven. Voor het verkrijgen van een geldige, op informatie berustende toestemming, is het wel noodzakelijk dat de verantwoordelijke voorafgaand aan het vragen van toestemming de betrokkene voldoende specifiek informeert over alle relevante omstandigheden. Een veel gebruikte methode voor het verkrijgen van toestemming ten behoeve van direct marketing doeleinden is het aanvinken van een vakje op een website. De toestemming moet ondubbelzinnig worden gegeven. Dit houdt in dat de betrokkene moet weten waarvoor hij zijn toestemming geeft en dat hij de toestemming uit zichzelf moet geven. Bij een vooraf aangevinkt vakje op een website, of indien de toestemming is opgenomen in algemene voorwaarden, is er geen sprake van een ondubbelzinnig gegeven toestemming. De doeleinden zullen ook voldoende duidelijk moeten worden gespecificeerd. Algemene omschrijvingen zijn onvoldoende. De toestemming moet ook specifiek zijn. Indien de verantwoordelijke de gegevens voor verschillende doeleinden wil gebruiken (bijvoorbeeld voor gepersonaliseerde aanbiedingen op basis van

A.7.8 - 20



2.

het koopgedrag van betrokkenen en doorgeven van deze gegevens aan derden voor aanbieden door deze derden), kan het noodzakelijk zijn om deze doeleinden separaat te specificeren en per doeleinde toestemming te vragen.1 De verschillende doeleinden waarvoor de verantwoordelijke toestemming van de betrokkene vraagt, kunnen dus niet zonder meer op een hoop worden gegooid. Indien sprake is van een persoon die jonger is dan zestien jaar, dient toestemming verkregen te worden van de wettelijke vertegenwoordiger van die persoon. Als er sprake is van een betrokkene die onder curatele is gesteld, geldt ook dat de toestemming verkregen moet zijn van diens wettelijke vertegenwoordiger. Toestemming wordt meestal op het eerste gezicht als de meest duidelijke grond voor het verwerken van persoonsgegevens beschouwd. Toch zal in sommige gevallen een door de betrokkene gegeven toestemming niet altijd bruikbaar of gewenst zijn. Te denken valt aan een toestemming gevraagd in een werkgever-werknemer relatie. Aangezien een werknemer veelal geen mogelijkheid heeft om zijn toestemming te weigeren, zal deze toestemming geen vrijwillige zijn, waardoor de werkgever geen beroep kan doen op deze rechtvaardigingsgrond. Ook kan het voorkomen dat, indien toestemming wordt gevraagd om persoonsgegevens te mogen verwerken, een aantal betrokkenen geen toestemming daarvoor geeft. Indien geen toestemming wordt gegeven, mogen de betreffende persoonsgegevens niet worden verwerkt. Ook mag in dat geval geen aansluiting worden gezocht bij een andere rechtvaardigingsgrond. Daarnaast kan een eenmaal gegeven toestemming te allen tijde weer worden ingetrokken. Als de toestemming eenmaal is ingetrokken bestaat er daarna geen grond meer voor de verwerking van persoonsgegevens. De verwerking zal dan gestaakt moeten worden en de gegevens verwijderd. Uit het voorgaande blijkt dan dat deze rechtvaardigingsgrond niet in alle gevallen een goed uitgangspunt biedt voor de verwerking van persoonsgegevens. Uitvoering overeenkomst: de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of voor het nemen van precontractuele maatregelen naar aanleiding

1. Het beginsel van gedifferentieerdheid of granularity van toestemming, zoals dit wordt genoemd door de Artikel 29-werkgroep in Advies 15/2011 over de definitie van ‘toestemming’, WP 187, 13 juli 2011.


A.7.8 - 21

ADVIESPRAKTIJK

3.

van een verzoek van de betrokkene en die noodzakelijk zijn voor het sluiten van een overeenkomst. Om een beroep te kunnen doen op deze rechtvaardigingsgrond moet de betrokkene partij zijn bij de desbetreffende overeenkomst. Ook kan het zijn dat een vertegenwoordiger namens de betrokkene partij is bij een overeenkomst. In de onderhandelingsfase, de precontractuele fase, kan deze verwerkingsgrond ook een rol spelen. Voorbeelden van verwerkingen die noodzakelijk zijn voor de uitvoering van een overeenkomst, zijn de bezorging van een online besteld product of de verwerking van salarisgegevens in het kader van een arbeidsovereenkomst. Het verwerken van klantgegevens voor marketing doeleinden zal echter meestal niet te rechtvaardigen zijn met een beroep op de contractuele grondslag. Dit zal alleen toegestaan zijn als het noodzakelijk is om de overeenkomst uit te kunnen voeren. Bovendien moet de klant kunnen overzien met welke verwerkingen hij rekening moet houden. De verantwoordelijke kan door de verwerking in de overeenkomst op te nemen dus niet zonder meer een beroep doen op deze rechtvaardigingsgrondslag en daarmee een vrijbrief krijgen voor het verwerken van de persoonsgegevens. De rechtvaardigingsgrondslag dient beperkt uitgelegd te worden. De verwerking van persoonsgegevens moet een noodzakelijk gevolg zijn van de dienstverlening of prestatie onder de overeenkomst, zonder welke persoonsgegevens het niet goed denkbaar is dat de overeenkomst uit te voeren is. Wettelijke verplichting: de verwerking is noodzakelijk om een wettelijke verplichting na te komen waaraan de verantwoordelijke is onderworpen. Op basis van deze rechtvaardigingsgrond mag de verantwoordelijke persoonsgegevens verwerken indien dit noodzakelijk is voor de uitvoering van een wettelijke verplichting. Dit is het geval indien zonder de verwerking van de persoonsgegevens het uitvoeren van de wettelijke verplichting redelijkerwijs niet goed mogelijk is. De verantwoordelijke mag dan alleen die persoonsgegevens verwerken die noodzakelijk zijn om aan de betreffende verplichting te kunnen voldoen. De term wettelijke verplichting heeft betrekking op elke verplichting tot verwerking die krachtens een algemeen verbindend voorschrift wordt opgelegd. De in de wet neergelegde verplichting hoeft niet specifiek een opdracht tot verwerking van gegevens te bevatten. Een werkgever dient bijvoorbeeld in bepaalde gevallen persoonsgegevens van zijn werknemers aan de belastingdienst te

A.7.8 - 22



4.

5.

6.

verstrekken ter uitvoering van de belastingheffing. Tegelijkertijd kan het niet zo zijn dat elke verwerking geoorloofd is op grond van het uitvoeren van een wettelijke taak. Zo mogen bijvoorbeeld niet meer gegevens worden verwerkt dan noodzakelijk is voor het uitvoeren van de specifieke wettelijke plicht. Hier dient dan ook een belangenafweging te worden gemaakt tussen de wettelijke verplichting en de aard van de betrokken gegevens. Op deze rechtvaardigingsgrond kan bovendien alleen een beroep worden gedaan door een verantwoordelijke die onderworpen is aan de nakoming van de wettelijke verplichting. Vitaal belang: de verwerking is noodzakelijk ter vrijwaring van een vitaal belang van de betrokkene. Van een vitaal belang wordt bijvoorbeeld gesproken indien een ernstig gevaar voor de gezondheid van de betrokkene moet worden bestreden. De toepassing van deze rechtvaardigingsgrond is zeer beperkt en ziet alleen op de situatie van een dringende (medische) noodzaak. Hierbij kan worden gedacht aan levensbedreigende situaties waarin per direct bepaalde persoonsgegevens nodig zijn. Publiekrechtelijke taak: de gegevensverwerking is noodzakelijk voor de goede vervulling van een publiekrechtelijke taak door het desbetreffende bestuursorgaan dan wel het bestuursorgaan waaraan de gegevens worden verstrekt. Een taak is publiekrechtelijk indien deze is gebaseerd op een speciaal voor het openbaar bestuur bij of krachtens de wet geschapen grondslag. Niet alle verwerkingen die worden verricht door bestuursorganen vallen onder de reikwijdte van deze rechtvaardigingsgrond. Soms verrichten bestuursorganen activiteiten die ook door bedrijven of particulieren worden verricht, bijvoorbeeld de verkoop van onroerend goed. De verwerking moet noodzakelijk zijn voor de vervulling van de betrokken taak van het bestuursorgaan. Gerechtvaardigd belang: de verwerking is noodzakelijk voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke of van een derde aan wie de gegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert. Deze rechtvaardigingsgrond is een vangnetbepaling en algemener van aard dan de andere hierboven genoemde rechtvaardigingsgronden. Om een beroep te doen op deze verwerkingsgrond dient de


A.7.8 - 23

ADVIESPRAKTIJK

verantwoordelijke een gerechtvaardigd belang te hebben. Ook kan een derde een gerechtvaardigd belang hebben, bijvoorbeeld een met de verantwoordelijke gelieerde entiteit. Een gerechtvaardigd belang wordt aanwezig geacht in het geval de betreffende verwerking dient om de reguliere bedrijfsactiviteiten te kunnen verrichten. Wel dient altijd een belangenafweging te worden gemaakt tussen enerzijds de belangen van de betrokkene en de belangen van de verantwoordelijke of de derde. De beginselen van proportionaliteit en subsidiariteit spelen bij de belangenafweging ook een belangrijke rol. Deze belangenafweging zal in ieder geval meebrengen dat de verantwoordelijke de nodige privacy beschermende maatregelen moet nemen om de privacybelangen van betrokkenen te beschermen en een beroep te kunnen doen op dit rechtvaardigingsgrond. Binnen de belangenafweging speelt de gevoeligheid van de gegevens ook een belangrijke rol. Hoe gevoeliger de gegevens, hoe meer gewicht de privacybelangen van de betrokkenen hebben, en hoe meer maatregelen moeten worden getroffen of hoe eerder de verwerking niet is toegestaan.1 De verantwoordelijke zal periodiek deze belangenafweging moeten re-evalueren, rekening houdend met nieuwe omstandigheden en technische ontwikkelingen, om te voorkomen dat persoonsgegevens verwerkt worden terwijl de belangenafweging inmiddels in het voordeel van de betrokkene valt, bijvoorbeeld omdat inmiddels aanvullende waarborgen moeten worden geïmplementeerd.

A.7.8.

5

Het verwerken van bijzondere persoonsgegevens De Wbp bevat striktere regels voor het verwerken van bijzondere persoonsgegevens. Bijzondere persoonsgegevens zijn gegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, lidmaatschap van een vakvereniging, strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag waarvoor een verbod is opgelegd. Het is in beginsel verboden om bijzondere persoons-

1. Zie voor voorbeelden en meer informatie over de belangenafweging en onder andere een beknopte gids voor de uitvoering van de belangenafweging: Artikel 29-werkgroep, Advies 06/2014 over het begrip ‘gerechtvaardigd belang van de voor de gegevensverwerking verantwoordelijke’ in artikel 7 van Richtlijn 95/46/EG, WP 217, 9 april 2014.

A.7.8 - 24



gegevens te verwerken (artikel 16 Wbp), tenzij een specifieke of een van de algemene uitzonderingen op dit verbod van toepassing zijn. Achtergrond van dit verbod is dat bijzondere persoonsgegevens vaak gevoelige informatie over een persoon geeft. De kans dat door het verwerken van deze gegevens een ernstige inbreuk op de privacy van betrokkenen wordt gemaakt is dan aanzienlijker dan bij overige persoonsgegevens. Er kan sprake zijn van zowel directe als indirecte bijzondere persoonsgegevens. Voorbeelden van directe bijzondere persoonsgegevens zijn het verwerken of iemand katholiek, protestants, joods, of moslim is (gegevens betreffende iemands godsdienst), het verwerken van iemands lichamelijke of verstandelijke beperkingen, of het verwerken van iemands etniciteit. Indirecte bijzondere persoonsgegevens hebben daarentegen als zodanig niet direct betrekking op een bijzonder kenmerk, maar het bijzondere kenmerk kan daaruit wel worden afgeleid. Uit het feit dat iemand voor medische hulp een ziekenhuis heeft bezocht kan bijvoorbeeld informatie worden afgeleid over iemands gezondheid, wat een bijzonder persoonsgegeven is.1 Zo wordt een foto van iemand ook beschouwd als een bijzonder persoonsgegevens, omdat uit de foto informatie is af te leiden over het ras van de betrokkene.2 Artikelen 17 tot en met 22 van de Wbp bevatten specifieke uitzonderingen waarin het verwerken van bijzondere persoonsgegevens is toegestaan. Hierbij is per categorie bijzonder persoonsgegeven limitatief vastgesteld in welke specifieke situaties en onder welke voorwaarden de verwerking mag plaatsvinden. Een voorbeeld van een specifieke uitzondering is dat werkgevers gezondheidsgegevens van werknemers mogen verwerken voor zover dat strikt noodzakelijk is voor een goede uitvoering van wettelijke voorschriften, pensioenregelingen of collectieve arbeidsovereenkomsten die voorzien in aanspraken die afhankelijk zijn van de gezondheidstoestand van de werknemer, of de re-integratie of begeleiding van werknemers (artikel 21(1)(f) Wbp). Werkgevers mogen op grond hiervan bijvoorbeeld het plan van aanpak in het kader van re-integratie van de werknemer of de noodzakelijke aanpassingen aan de werkplek van de werknemer veroorzaakt door een lichamelijke beperking

1. Zie HR 3 maart 2009, ECLI:NL:HR:2009:BG9218. 2. Zie HR 23 maart 2010, ECLI:NL:HR:2010:BK6331.


A.7.8 - 25

ADVIESPRAKTIJK

verwerken. Het is echter niet noodzakelijk dat de werkgever medische gegevens verwerkt, en bijvoorbeeld de ziekte van de werknemer vraagt en verwerkt bij de ziekmelding door de werknemer. De werkgever mag deze gegevens daarom in beginsel niet verwerken, en de arboarts zal de gegevens waarover de werkgever wel mag beschikken en de overige medische gegevens strikt van elkaar moeten scheiden.1 De Wbp bevat hiernaast in artikel 23 een algemene uitzondering die van toepassing is op alle categorieën bijzondere persoonsgegevens. Een belangrijke algemene uitzondering is dat bijzondere persoonsgegevens mogen worden verwerkt op grond van de uitdrukkelijke toestemming van de betrokkene. Dit betekent dat de betrokkene expliciet zijn wil moet hebben geuit en tot uitdrukking hebben gebracht dat hij toestemming verleent voor de verwerking. Hiermee gaat deze algemene uitzondering op het verbod om bijzondere persoonsgegevens te verwerken een stap verder dan de rechtvaardigingsgrond ondubbelzinnige toestemming. Indien de verantwoordelijke een beroep kan doen op een uitzondering, blijven de overige bepalingen van de Wbp van toepassing. Ook bij een geldig beroep op een uitzondering moet de verantwoordelijke dus aan de overige vereisten van de Wbp, waaronder ook de vereisten van doelbinding, proportionaliteit, subsidiariteit, data minimalisatie, bewaartermijnen en rechtvaardigingsgronden, blijven voldoen. De Wbp bevat ook een specifieke regeling voor het verwerken van bepaalde persoonsnummers. Uit Artikel 24 Wbp volgt dat een nummer dat ter identificatie van een persoon bij wet is voorgeschreven, zoals een BSN, slechts mag worden gebruikt ter uitvoering van de betreffende wet dan wel voor doeleinden die bij de wet zijn bepaald. Een dergelijk nummer mag dus in beginsel niet voor doeleinden verwerkt worden die onverenigbaar zijn met de wettelijk bepaalde doeleinden. Zo is een werkgever verplicht om het BSN van werknemers te verwerken om te voldoen aan zijn wettelijke

1. De privacytoezichthouder heeft in 2008 een achtergrondstudie gepubliceerd over hoe werkgevers moeten omgaan met gegevens betreffende een zieke werknemer: De zieke werknemer en privacy, regels voor de verwerking van persoonsgegevens van zieke werknemers, 2e herziene druk, februari 2008. In 2014 heeft de privacytoezichthouder ook het volgende rapport gepubliceerd: Do’s and Don’ts voor werkgevers. Zie voor meer informatie: www.cbpweb.nl/ziekte.

A.7.8 - 26



administratieplicht. De werkgever mag het BSN van werknemers echter niet voor andere doeleinden gebruiken, zoals door het BSN op een toegangspas op te nemen of het BSN te gebruiken als inlogcode of identificatiemiddel in het HRM-systeem.

A.7.8.

6

Beveiliging van persoonsgegevens en meldplicht datalekken De verantwoordelijke is verplicht om persoonsgegevens voldoende te beveiligen. Artikel 13 Wbp bevat de algemene beveiligingsverplichting, en bepaalt dat de verantwoordelijke passende technische en organisatorische maatregelen ten uitvoer moet leggen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Bij het vaststellen van het adequate beveiligingsniveau en de beveiligingsmaatregelen die geïmplementeerd moeten worden gelet op de risico’s van de verwerking en de aard van de persoonsgegevens, dient de verantwoordelijke rekening te houden met de stand van de techniek en de kosten van de tenuitvoerlegging. Ook geldt hoe gevoeliger de gegevens zijn, en hoe groter de kans op een inbreuk op de privacybelangen van de betrokkenen is, hoe zwaarder de te nemen beveiligingsmaatregelen zullen moeten zijn. De Autoriteit Persoonsgegevens (of eigenlijk toen nog het CBP) heeft in 2013 Richtsnoeren voor de beveiliging van persoonsgegevens gepubliceerd.1 Deze Richtsnoeren leggen uit hoe de privacytoezichthouder de beveiligingsnorm toepast en tevens welke afspraken de verantwoordelijke moet maken met een bewerker die gegevens ten behoeve van hem zal verwerken. De privacytoezichthouder verwijst in de richtsnoeren ook naar technologisch neutrale informatiebeveiligingsnormen, zoals NEN-ISO/IEC 27002:2007 en specifiek voor de zorg NEN 7510, die gehanteerd kunnen worden. De privacytoezichthouder onderstreept ook het belang van encryptie (versleuteling), hashing (het omzetten van gegevens in een al dan niet onomkeerbare unieke code), pseudonimisering en anonimisering als beveiligingsmaatregelen. Gezondheidsgegevens zullen vanwege de gevoeligheid van deze gegevens bijvoorbeeld

1. Autoriteit Persoonsgegevens, Richtsnoeren beveiliging persoonsgegevens, februari 2013.


A.7.8 - 27

ADVIESPRAKTIJK

niet over onversleutelde verbindingen verstuurd mogen worden en voor toegang tot de gegevens zal al snel tweefactorauthenticatie moeten worden gebruikt. Ook kan het nodig zijn dat gezondheidsgegevens in een vroeg stadium worden gepseudonimiseerd, zodat deze niet meer makkelijk te herleiden zijn tot de betrokkenen, of geanonimiseerd. De verantwoordelijke zal de beveiliging tevens periodiek moeten re-evalueren, rekening houdend met ontwikkelingen.

Meldplicht datalekken Het implementeren van een adequate beveiliging en beveiligingsbeleid wordt steeds materiëler voor ondernemingen. Niet alleen neemt het risico op datalekken evenredig toe door de toenemende verwerkingen en cybercriminaliteit, ook de gevolgen van een datalek worden steeds groter door veranderende regelgeving en verhoogde sancties. De kans dat een betrokkene aanzienlijke schade leidt door een datalek en dat een organisatie als gevolg hiervan te maken krijgt met schadeclaims neemt eveneens toe. Sinds 1 januari 2016 bevat de Wbp een expliciete meldplicht voor datalekken. Het niet naleven van de meldplicht door de verantwoordelijke kan worden bestraft met een fikse boete. (zie verder paragraaf 12). Deze boetes die ook per 1 januari 2016 van kracht zijn geworden, zullen overigens eveneens van toepassing zijn op het niet of onvoldoende naleven van de bestaande algemene beveiligingsverplichting (en bij niet naleving van andere belangrijke verplichtingen uit de Wbp). Vrijwel iedere organisatie kan als verantwoordelijke te maken hebben met een datalek van persoonsgegevens waarop de meldplicht van toepassing is. Een datalek betreft immers iedere inbreuk op de beveiliging van persoonsgegevens (zoals bedoeld in artikel 13 Wbp). Het kan hierbij zowel gaan om verlies van persoonsgegevens, maar ook iedere andere onrechtmatige verwerking van persoonsgegevens, zoals ongeautoriseerde toegang of de vernietiging van de gegevens. Een verloren al dan niet beveiligde USB-stick, inbraak in databestanden door een hacker, of het per ongeluk verwijderen van persoonsgegevens kunnen voorbeelden van datalekken zijn. De verantwoordelijke moet een datalek (inbreuk op de beveiliging) onverwijld (dat wil zeggen binnen 72 uur) bij de Autoriteit Per-

A.7.8 - 28



soonsgegevens melden als dit leidt tot ernstige nadelige gevolgen of aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Indien die inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de betrokkenen, moet de inbreuk onverwijld bij de betrokkenen worden gemeld. De verantwoordelijke hoeft een datalek niet aan de betrokkene (maar nog wel aan de Autoriteit Persoonsgegevens, als de drempel daarvoor wordt gehaald) te melden indien passende technische beschermingsmaatregelen zijn genomen waardoor de persoonsgegevens die het betreft onbegrijpelijk of ontoegankelijk zijn voor eenieder die geen recht heeft op kennisname van de gegevens. Melding aan de betrokkenen kan ook (tijdelijk) buiten toepassing worden gelaten, voor zover dit noodzakelijk is in het belang van één van de uitzonderingsgronden van artikel 43 Wbp, zoals de voorkoming, opsporing en vervolging van strafbare feiten, of de bescherming van de betrokkenen of van de rechten en vrijheden van anderen. De melding aan de Autoriteit Persoonsgegevens en aan de betrokkenen moet in ieder geval de aard van de inbreuk, de instanties waar meer informatie over de inbreuk kan worden verkregen en de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken omvatten. Bij de melding aan de Autoriteit Persoonsgegevens moet tevens een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens en de maatregelen die de verantwoordelijke heeft getroffen of voorstelt te treffen om deze gevolgen te verhelpen bevatten. De melding aan de betrokkene moet verder op zodanige wijze worden gedaan dat, rekening houdend met de aard van de inbreuk, de geconstateerde en de feitelijke gevolgen daarvan voor de verwerking van persoonsgegevens, de kring van betrokkenen en de kosten van tenuitvoerlegging, een behoorlijke en zorgvuldige informatievoorziening aan de betrokkenen is gewaarborgd. De verantwoordelijke zal hiernaast ook zelf een overzicht moeten bijhouden van datalekken die hebben plaatsgevonden met (een aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens, dus van de inbreuken die aan de Autoriteit Persoonsgegevens moeten worden gemeld. Het overzicht bevat in ieder geval feiten en gegevens omtrent de aard van de inbreuk en de tekst van de melding aan de betrokkenen.


A.7.8 - 29

ADVIESPRAKTIJK

De Autoriteit Persoonsgegevens heeft in december 2015 richtsnoeren gepubliceerd om te verduidelijken welke datalekken op welke wijze moeten worden gemeld. De Autoriteit Persoonsgegevens heeft ook een formulier op haar website gepubliceerd waarmee het datalek kan worden gemeld. Met het oog op het toenemende belang van adequate beveiliging, mede ook door de invoering van de meldplicht datalekken en verhoogde sancties, zullen organisaties goed voorbereid moeten zijn op datalekken en het bewustzijn voor de risico’s moeten verhogen. Bij uitstek kan de accountant hierbij organisaties, zowel in de preventieve als de repressieve sfeer, ondersteunen, bijvoorbeeld door het uitvoeren van penetratietesten, advisering over technische en organisatorische aanpassingen voor het verbeteren van de beveiliging, en forensisch onderzoek (al dan niet in opdracht van een advocaat) naar de oorzaak en reikwijdte van een datalek, inclusief de mogelijke financiële impact daarvan. Van belang kan ook zijn dat de organisatie een verzekering afsluit voor datalekken die past bij het risicoprofiel in het kader van de aard van de verwerkingen en de kans op een datalek. Hiermee kan de schade die uit datalekken kan voortvloeien, en daarmee ook de voorzieningen en schulden in de jaarrekening, worden beperkt voor zover de dekking passend is en de organisatie de privacyverplichtingen voldoende naleeft. Om de schade te beperken, en tijdig te kunnen voldoen aan de meldplicht, zullen organisaties ook voldoende voorbereidingen moeten treffen.

A.7.8.

7

Informatieplicht Op de verantwoordelijke rust de verplichting om op eigen initiatief de betrokkene te informeren over de verwerking van zijn persoonsgegeven (artikelen 33 en 34 Wbp). Door het verschaffen van de informatie dient de transparantie te worden gewaarborgd. De betrokkene is daardoor in staat te volgen hoe gegevens over hem worden verwerkt en kan op basis hiervan zijn rechten inroepen of besluiten geen gebruik (meer) te maken van de diensten van de organisatie. Aan de informatieplicht kan door middel van een privacystatement worden voldaan, wat in de praktijk ook diverse andere benamingen zoals privacyverklaring, privacybeleid of privacy policy kent.

A.7.8 - 30



De omvang van de informatieplicht hangt af van wat nodig is om een rechtvaardige verwerking te waarborgen. In het licht van de sterk toegenomen mogelijkheden tot verzamelen van persoonsgegevens bestaat al in een vroeg stadium behoefte aan transparantie. Onderscheid wordt gemaakt tussen twee wijzen waarop persoonsgegevens kunnen worden verkregen: rechtstreeks van de betrokkene of anderszins. Indien persoonsgegevens worden verkregen bij de betrokkene zelf, dient de verantwoordelijke vóór het moment van de verkrijging de betrokkene te informeren. Ten minste de identiteit van de verantwoordelijke en de doeleinden van de verwerking waarvoor de persoonsgegevens bestemd zijn dienen te worden verstrekt. Tevens dient de verantwoordelijke nadere informatie te verstrekken voor zover dat, gelet op de aard van de gegevens, de omstandigheden waaronder zij worden verkregen of het gebruik dat ervan wordt gemaakt, nodig is om tegenover de betrokkene een behoorlijke en zorgvuldige verwerking te waarborgen. Indien persoonsgegevens worden verkregen op een andere manier, bijvoorbeeld door aankoop van een adressenbestand bij een derde of via een internet-search, dient de verantwoordelijke de betrokkene te informeren op het moment van vastlegging van de persoonsgegevens van de betrokkene of, wanneer de gegevens bestemd zijn om te worden verstrekt aan een derde, uiterlijk op het moment van de eerste verwerking. Als invulling van het vereiste om alle informatie te verstrekken die nodig is om een behoorlijke en zorgvuldige verwerking te waarborgen, zijn de Autoriteit Persoonsgegevens en de Artikel 29-werkgroep van oordeel dat verantwoordelijken via een gelaagd model betrokkenen specifiek over alle relevante verwerkingen moeten informeren.1 Dit betekent dat in een eerste beknopte laag over de wezenlijke aspecten van de verwerkingen, zoals de doeleinden,

1. Zie bijvoorbeeld Artikel 29-werkgroep, Advies 10/2004 over meer geharmoniseerde bepalingen inzake informatieverstrekking, WP 100, 25 november 2004; Artikel 29-werkgroep, Advies 02/2013 over apps op intelligente apparaten, WP 202, 27 februari 2013; Artikel 29-werkgroep, Opinion 03/2013 on purpose limitation, WP 203, 2 april 2013; Artikel 29-werkgroep, Advies 15/2011 over de definitie van ‘toestemming’, WP 187, 13 juli 2011; Artikel 29-werkgroep, Opinion 8/2014 on the recent developments on the Internet of Things, WP 223, 16 september 2014; Artikel 29-werkgroep, Advies 13/2011 over de geolocatiediensten op slimme mobiele apparaten, WP185, 16 mei 2011.


A.7.8 - 31

ADVIESPRAKTIJK

moet worden geïnformeerd. In de tweede laag dient de verantwoordelijke daarna per gedifferentieerde doeleinde uit te leggen wat het doeleinde inhoudt, hoe de verwerking plaatsvindt, welke gegevens voor het betreffende doeleinde worden verwerkt en hoe lang de gegevens voor dat doeleinde worden bewaard. De verantwoordelijke zal ook moeten informeren over de (categorieën) ontvangers van de gegevens, de keuzes die de betrokkene heeft, de rechten van de betrokkene, welke doorgiften plaatsvinden naar derde landen, en de contactgegevens voor de betrokkene om zijn rechten in te kunnen roepen. De meest voor de hand liggende manier om het privacystatement online toe te passen is door een duidelijke verwijzing naar het privacystatement op te nemen op iedere webpagina. Ook dient het privacystatement, of ten minste een link daar naartoe, worden opgenomen op de pagina waar daadwerkelijk gegevens worden verwerkt. Dit is bijvoorbeeld de pagina waar persoonsgegevens moeten worden ingevuld voor het aanvragen van een e-mail nieuwsbrief of voor de koop van een product. Overigens hoeft een verantwoordelijke geen informatie te verstrekken over de verwerking als de betrokkene op de hoogte is van de informatie over de verwerking of indien de verantwoordelijke naar aanleiding van bepaalde gedragingen of verklaringen van de betrokkene mag veronderstellen dat de betrokkene op de hoogte is. Zo zullen betrokkenen indien zij met een creditcard betalen, weten dat in dat geval persoonsgegevens worden verwerkt. Nadere informatie daarover – voor zover geen andere verwerkingen plaatsvinden dan noodzakelijk voor het uitvoeren van de betaling – kan dan achterwege blijven. Daarnaast bevat artikel 43 Wbp uitzonderingen voor specifieke omstandigheden waarin onder andere de informatieplicht buiten toepassing kan worden gelaten.

A.7.8.

8

Bewerkersovereenkomst Indien de verantwoordelijke een bewerker inschakelt die ten behoeve van hem persoonsgegevens verwerkt, dient hij een bewerkersovereenkomst te sluiten met de bewerker die specifiek de verwerking tot onderwerp heeft. De verantwoordelijke is aansprakelijk voor de verwerking van persoonsgegevens door de ingeschakelde bewerker, en moet ervoor zorgen dat de bewerker de gegevens vol-

A.7.8 - 32



gens zijn instructies verwerkt en voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen. De verantwoordelijke moet er tevens op toe zien dat de bewerker die beveiligingsmaatregelen naleeft. Gelet op deze verantwoordelijkheden, is het nog belangrijker voor de verantwoordelijke dat duidelijke afspraken worden gemaakt in de bewerkersovereenkomst om de juiste verwerking door de bewerker en het toezicht hierop door de verantwoordelijke voldoende te kunnen afdwingen. Voor invulling van de afspraken die in de bewerkersovereenkomst moeten worden opgenomen, zal de verantwoordelijke moeten voldoen aan de vereisten die de Autoriteit Persoonsgegevens daaraan in de Richtsnoeren stelt.1 Als gevolg van een wijziging van de Wbp met de invoering van de meldplicht datalekken, zal per 1 januari 2016 tevens de expliciete verplichting bestaan voor de verantwoordelijke om de bewerker te verplichten voldoende waarborgen te treffen ten aanzien van de inbreuk op de beveiliging die leidt tot (een aanzienlijke kans) op ernstige nadelige gevolgen voor de bescherming van de persoonsgegevens. De verantwoordelijke moet er eveneens voor zorgen dat de bewerker de meldplichten voor datalekken nakomt die op de verantwoordelijke rusten. Dit betekent dat er een expliciete plicht zal komen te rusten op de verantwoordelijke om in de bewerkersovereenkomst af te dwingen dat de bewerker datalekken meteen doorgeeft, zodat de verantwoordelijke zijn eventuele meldplicht tegenover de Autoriteit Persoonsgegevens en betrokkenen kan naleven. Naast het feit dat de bewerker de instructies van de verantwoordelijke moet opvolgen en de afspraken in de bewerkersovereenkomst moet nakomen, heeft de bewerker ook zelf een zekere zelfstandige verantwoordelijkheid om persoonsgegevens die hij ten behoeve van verantwoordelijken verwerkt voldoende te beveiligen. De Autoriteit Persoonsgegevens oordeelde bijvoorbeeld dat een aanbieder van een verzuimregistratiesysteem voor werkgevers en arbodiensten in zijn rol als bewerker een actieve verantwoordelijkheid had ten aanzien van het voldoende beveiligen van de verwerking van

1. Autoriteit Persoonsgegevens, Richtsnoeren beveiliging persoonsgegevens, februari 2013.


A.7.8 - 33

ADVIESPRAKTIJK

persoonsgegevens.1 Deze aansprakelijkheid van de bewerker ontslaat de verantwoordelijke overigens niet van zijn verplichtingen uit de Wbp, waaronder het waarborgen van een zorgvuldige verwerking door de ingeschakelde bewerker.

A.7.8.

9

Meldplicht gegevensverwerking De verantwoordelijke moet iedere gehele of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens voor (samenhangende) doeleinden in beginsel melden bij de Autoriteit Persoonsgegevens of bij zijn interne Functionaris Gegevensbescherming (FG). Een melding kan bij de Autoriteit Persoonsgegevens worden ingediend middels het daarvoor bestemde Wbp meldingsformulier of Wbp meldingsprogramma. De verantwoordelijke mag niet beginnen met de verwerking voordat deze is gemeld en, voor zover bij de Autoriteit Persoonsgegevens moet worden gemeld, daarvoor een ontvangstbevestiging en meldingsnummer van de Autoriteit Persoonsgegevens is ontvangen. De melding kan alleen achterwege blijven indien op grond van het Vrijstellingsbesluit de melding niet hoeft te worden verricht. Door het doen van een melding wordt transparantie van de gegevensverwerking bewerkstelligd. De meldingen zijn in te zien via een online register die door de Autoriteit Persoonsgegevens wordt beheerd, zodat elke betrokkene onder meer kan achterhalen of, en zo ja, welke persoonsgegevens van hem worden verwerkt en aan wie de gegevens worden verstrekt. Het Vrijstellingsbesluit bevat een groot aantal vaak voorkomende verwerkingen die uitgezonderd zijn van de meldplicht. Om in aanmerking te komen voor een uitzondering moet de verwerking wel voldoen aan de specifieke voorwaarden die daaraan worden gesteld in het Vrijstellingsbesluit, zoals de categorieën van gegevens die verwerkt mogen worden, de bewaartermijn, en de categorieën van ontvangers die toegang mogen hebben tot de gegevens. Wanneer de verwerking niet voldoet aan de voorwaarden die het Vrijstellingsbesluit daaraan stelt, moet de verwerking alsnog worden gemeld. Specifiek ten aanzien van de verwerking van persoons-

1. Autoriteit Persoonsgegevens, Rapport definitieve bevindingen, Onderzoek naar de beveiliging van Humannet Starter en Humannet Verzuim door VCD Humannet B.V., z2012-00288, december 2014.

A.7.8 - 34



gegevens door accountants is van belang dat ten aanzien van de verwerkingen die zijn opgenomen in het Vrijstellingsbesluit vaak voorzien is in de mogelijkheid om de gegevens te verwerken ten behoeve van de accountantscontrole. Zo zijn bijvoorbeeld de uitzonderingen van artikel 7 en 8 van het Vrijstellingsbesluit op de meldplicht – voor verwerkingen in het kader van de personeelsadministratie en salarisadministratie – ook van toepassing voor de verwerkingen ten behoeve van het uitoefenen van de accountantscontrole. Artikel 15 van het Vrijstellingsbesluit bevat verder een specifieke uitzondering op de meldplicht ten behoeve van de verwerking van bepaalde persoonsgegevens voor financiële dienstverlening en advisering aan cliënten van financiële dienstverleners, zoals (register)accountants, waaronder ook voor het uitoefenen van accountantscontrole. In concernverband kan één van de verantwoordelijken mede namens de andere verantwoordelijke entiteiten die deel uitmaken van dezelfde groep als bedoeld in artikel 2:24b BW een melding indienen wanneer de verwerking betrekking heeft op meer dan één verantwoordelijke.1 De doeleinden van de verwerking moeten dan wel rechtstreeks ten dienste staan van de groep. Indien de verantwoordelijke verzuimt een melding te verrichten, terwijl hij daartoe wel verplicht is, een onvolledige of onjuiste melding heeft verricht, of deze niet tijdig een wijziging heeft gemeld, kon de Autoriteit Persoonsgegevens de verantwoordelijke tot 1 januari 2016 een boete van maximaal EUR 4.500 opleggen per overtreding. Deze boete en de strafrechtelijke sanctie op niet-naleving van de meldplicht komt per 1 januari 2016 te vervallen door wijziging van artikelen 66 en 75 Wbp. Wijzigingen in de naam of het adres van de verantwoordelijke dienen binnen één week te worden gemeld. Overige wijzigingen dienen binnen één jaar na de voorafgaande melding te worden gemeld. Zolang wijzigingen nog niet worden doorgevoerd, dient een verantwoordelijke deze wijzigingen zelf vast te leggen en te bewaren.

1. Zie Meldingsbesluit Wbp, Besluit houdende nadere regels over de wijze waarop de melding, bedoeld in artikel 27 of 28 van de Wet bescherming persoonsgegevens, dient te geschieden (Meldingsbesluit Wbp), Stb. 2001, 244.


A.7.8 - 35

ADVIESPRAKTIJK

Melding bij de FG De verwerking kan, zoals gezegd, in plaats van bij de Autoriteit Persoonsgegevens, ook bij een door de verantwoordelijke zelf aan te stellen FG, niet te verwarren met een privacyfunctionaris, worden ingediend. Een FG fungeert als een interne toezichthouder en moet aan een door de Wbp gesteld profiel voldoen. Het melden van het verwerken van persoonsgegevens bij de FG geschiedt min of meer op vergelijkbare wijze als een melding rechtstreeks bij de Autoriteit Persoonsgegevens. Voor de FG is er een speciaal online Wbp-meldingsprogramma beschikbaar. Overigens kan een verwerking alleen bij een FG worden gemeld als die verwerking niet is onderworpen aan een voorafgaand onderzoek. Indien de FG niet langer in functie is, en deze functie wordt niet opgevolgd door een andere persoon, dan dient de verwerking alsnog bij de Autoriteit Persoonsgegevens te worden gemeld.

Het voorafgaand onderzoek

-

-

In bepaalde gevallen kan niet met de verwerking van de gegevens worden begonnen, dan nadat de Autoriteit Persoonsgegevens een voorafgaand onderzoek heeft verricht. Als de verwerking onderworpen is aan voorafgaand onderzoek, komt de verantwoordelijke niet in aanmerking voor een vrijstelling van de meldplicht. Zelfs indien een FG is aangesteld voor de desbetreffende organisatie, mag in dat geval de verwerking niet alleen worden gemeld bij de FG, maar dient de melding in ieder geval bij de Autoriteit Persoonsgegevens plaats te vinden. Een voorafgaand onderzoek dient te worden aangevraagd bij het indienen van een melding van een verwerking waarvoor voorafgaand onderzoek noodzakelijk is. In het meldingsformulier kan ten behoeve hiervan aangegeven worden of er verzocht wordt om een voorafgaand onderzoek, hetgeen de volgende risicosituaties betreft: De verantwoordelijke maakt gebruik van een persoonsnummer voor een ander doeleinde dan waarvoor dit nummer eigenlijk bestemd is; De verantwoordelijke legt gegevens vast op grond van eigen waarneming zonder de betrokkene hierover te informeren; of

A.7.8 - 36



-

A.7.8.

10

De verantwoordelijke zal voor derden gegevens over onrechtmatig of hinderlijk gedrag verwerken zonder een vergunning op grond van de Wet particuliere beveiligingsorganisaties en recherchebureaus.1 Zodra is verzocht om een voorafgaand onderzoek, verricht de Autoriteit Persoonsgegevens eerst een vooronderzoek.2 Binnen vier weken na ontvangst van de melding dient de Autoriteit Persoonsgegevens dit vooronderzoek af te sluiten en kenbaar te maken of hij zal overgaan tot een voorafgaand onderzoek. Met het voorafgaand onderzoek zelf zijn maximaal twintig weken gemoeid. Een verantwoordelijke dient de verwerking uit te stellen totdat de gehele procedure is afgerond dan wel hij op basis van het vooronderzoek heeft vernomen dat er geen nader onderzoek volgt. Tijdens het voorafgaand onderzoek wordt aan de verantwoordelijke de mogelijkheid geboden schriftelijk te reageren op de voorlopige uitkomst van het onderzoek. Op basis van deze reactie kan de Autoriteit Persoonsgegevens ervoor kiezen om zijn besluit aan te passen. Vervolgens wordt het ontwerpbesluit ter inzage gelegd en volgt er een aankondiging hiervan in de Staatscourant. Belanghebbenden kunnen daarna gedurende zes weken op het ontwerpbesluit reageren, en de verantwoordelijke kan op zijn beurt daarop weer reageren. Vervolgens neemt de Autoriteit Persoonsgegevens zijn definitieve besluit dat eveneens ter inzage gelegd, met kennisgeving in de Staatscourant.

Doorgifte van persoonsgegevens naar derde landen Het is tegenwoordig bijna ondenkbaar dat internationaal opererende organisaties niet op grote schaal gegevens uitwisselen met buitenlandse vestigingen, leveranciers of klanten. Dergelijke multinationals maken in de regel ook gebruik van centrale wereldwijd toegankelijke databases, bijvoorbeeld voor het beheren van werknemersgegevens voor alle entiteiten die tot de groep horen. Naast internationaal opererende organisaties, geven ook organisaties die in beginsel nationaal opereren steeds op grotere schaal gegevens

1. Zie ook NBA, Praktijkhandreiking 1112 inzake persoonsgerichte onderzoeken voor Accountants-Administratieconsulenten/registeraccountants. 2. De Autoriteit Persoonsgegevens kan tevens uit eigen beweging een (voorafgaand) onderzoek starten indien geen voorafgaand onderzoek is aangevraagd bij de melding.


A.7.8 - 37

ADVIESPRAKTIJK

-

-

door naar andere landen, zoals door gebruik van clouddiensten. Binnen de EU is de doorgifte van persoonsgegeven toegestaan. Voor de doorgifte van persoonsgegevens naar derde landen (landen die niet tot de EU behoren) gelden strikte voorwaarden. Als hoofdregel mogen persoonsgegevens alleen worden doorgegeven naar landen met een passend beschermingsniveau voor de bescherming van persoonsgegevens. Dit is het geval voor landen die tot de EER behoren. Een passend beschermingsniveau wordt ook geacht aanwezig te zijn als het een doorgifte betreft: Naar een land dat krachtens een besluit van de Europese Commissie, die bindend zijn voor alle EU lidstaten, een passend beschermingsniveau heeft, en deze doorgifte voldoet aan de voorwaarden neergelegd in dat besluit;1 Van zogeheten Passenger Name Records en Data and Terrorist Finance Tracking Programme naar landen die zijn aangewezen door de Europese Commissie. De doorgifte naar een entiteit in de VS kon ook gelegitimeerd worden indien deze entiteit zich had aangesloten bij de Safe Harbor principles en de doorgifte daarbij voldeed aan de beperkingen die volgden uit de Safe Harbor zelf-certificering van de betreffende entiteit. Op 6 oktober 2015 heeft het Hof van Justitie EU echter in het Schrems arrest de VS-EU Safe Harbor Framework ongeldig verklaard. Als gevolg hiervan zijn in ieder geval doorgiften van persoonsgegevens naar de VS die gebaseerd zijn op Safe Harbor in strijd met EU privacyregelgeving, zolang hiervoor geen alternatieve overeenkomst is gesloten tussen de EU en de VS.2

1. De besluiten van de Europese Commissie zijn te vinden op de website van de Europese Commissie: . 2. HvJ EU, C-362/14, Maximillian Schrems/Data Protection Commission, 6 oktober 2015, ECLI:EU:C:2015:650 (Schrems). De Europese Commissie heeft naar aanleiding hiervan haar onderhandelingen met de VS over een Safe Harbor 2.0 geïntensiveerd. Verder zijn de doorgifte van persoonsgegevens naar de VS – maar ook naar andere derde landen – op basis van alternatieve instrumenten of uitzonderingen als gevolg van dit arrest ter discussie gesteld door Europese privacytoezichthouders. De Europese Commissie heeft een leidraad gepubliceerd voor hoe bedrijven om kunnen gaan met data doorgiften Commission issues guidance on transatlantic data transfers and urges the swift establishment of a new framework following the ruling in the Schrems case, http://europa.eu/rapid/press-release_IP-15-6015_en.htm; Zie ook het artikel van Elisabeth Thole en Özer Zivali, ‘How to advise your clients after the CJEU Safe Harbor Case?’, in: Juriste Internationale, alsmede hun publicatie hierover in Tijdschrift voor Internetrecht (beide bijdragen verschijnen binnenkort).

A.7.8 - 38



-

-

-

De doorgifte van persoonsgegevens naar een land dat geen passend beschermingsniveau heeft, kan plaatsvinden indien: Modelcontracten worden gesloten met ontvangers van persoonsgegevens die zich in derde landen bevinden. Deze modelcontracten moeten gebaseerd zijn op de relevante Standard Contractual Clauses (SCC) for the transfer of personal data to third countries, zoals goedgekeurd door de Europese Commissie.1 Indien deze SCC in ongewijzigde vorm zijn afgesloten, is het niet meer noodzakelijk om een vergunning aan te vragen voor de doorgifte. Wanneer echter wordt afgeweken van de SCC, moet voor de doorgifte naar een derde land zonder passend beschermingsniveau alsnog een vergunning worden aangevraagd bij en verleend door de Minister van Veiligheid en Justitie; of Binding Corporate Rules (BCR) voor verantwoordelijken of bewerkers zijn goedgekeurd door de bevoegde instanties en deze van toepassing zijn op de doorgifte van persoonsgegevens binnen het concern. BCR legitimeren dus alleen de doorgifte van persoonsgegevens binnen een groep van ondernemingen onderling en niet doorgiften naar partijen buiten de groep.2 Indien geen van de situaties hierboven van toepassing is, kunnen persoonsgegevens alleen worden doorgegeven als een beroep kan worden gedaan op één van de volgende uitzonderingen die strikt moeten worden uitgelegd: De betrokkene zijn ondubbelzinnige toestemming heeft gegeven voor de doorgifte; De doorgifte noodzakelijk is voor de uitvoering van een overeenkomst tussen de betrokkene en de verantwoordelijke, of voor het nemen van precontractuele maatregelen naar aanleiding van een verzoek van de betrokkene en die noodzakelijk zijn voor het sluiten van een overeenkomst;

1. De modelcontracten van de Europese Commissie(Standard Contractual Clauses) voor uitwisseling van gegevens van verantwoordelijke naar verantwoordelijke, en van verantwoordelijke naar bewerker zijn te vinden op de website van de Europese Commissie: . 2. De Artikel 29-werkgroep heeft diverse adviezen en aanbevelingen gepubliceerd betreffende de inhoudelijk eisen voor BCR en de goedkeuringsprocedures, die door veel EU lidstaten worden gevolgd. Deze zijn te vinden op de website: http://ec.europa. eu/justice/data-protection/document/international-transfers/binding-corporate-rules/ index_en.htm>.


A.7.8 - 39

ADVIESPRAKTIJK

-

-

-

A.7.8.

11

De doorgifte noodzakelijk is voor de sluiting of uitvoering van een in het belang van de betrokkene tussen de verantwoordelijke en een derde gesloten of te sluiten overeenkomst; De doorgifte noodzakelijk is vanwege een zwaarwegend algemeen belang, of voor de vaststelling, de uitvoering of de verdediging in rechte van enig recht; of de doorgifte noodzakelijk is ter vrijwaring van een vitaal belang van de betrokkene. Wanneer sprake is van doorgifte van persoonsgegevens naar een derde land en geen van de bovenstaande situaties of uitzondering van toepassing zijn, is die doorgifte dus in strijd met de Wbp.

Waarborgen rechten betrokkenen De Wbp kent verschillende rechten toe aan betrokkenen die de door verantwoordelijke moeten worden gewaarborgd, zoals het recht op inzage, correctie, en verzet (artikelen 35, 36, 40 en 41 Wbp). Middels deze rechten kan meer transparantie worden gecreëerd ten aanzien van de verwerking van persoonsgegevens en wordt gewaarborgd dat betrokkenen de verwerkingen kunnen controleren, en kunnen laten corrigeren of beëindigen.

Inzagerecht Het inzagerecht houdt in dat een betrokkene zich met redelijke tussenpozen kan wenden tot een verantwoordelijke met het verzoek om aan hem mede te delen of er persoonsgegevens van hem worden verwerkt en zo ja, welke gegevens. De verantwoordelijke dient na een inzageverzoek binnen vier weken aan de betrokkene schriftelijk mede te delen of gegevens over hem worden verwerkt. Als er inderdaad gegevens worden verwerkt over de betrokkene, dient de verantwoordelijke een volledig overzicht te verschaffen van de verwerkte gegevens. Dit overzicht moet in een voor de betrokkene begrijpelijke vorm worden verstrekt. De bedoelde mededeling bevat naast een overzicht van de door de verantwoordelijke verwerkte persoonsgegevens ook een omschrijving van het doel of de doeleinden van de verwerking, de categorieën van gegevens waarop de verwerking betrekking heeft en de ontvangers of categorieën van ontvangers en de

A.7.8 - 40



eventueel beschikbare informatie over de herkomst van de gegevens. De betrokkene kan tevens verzoeken de logica die ten grondslag ligt aan de geautomatiseerde verwerking van hem betreffende gegevens uiteen te zetten. Voor de verstrekking van het overzicht mag de verantwoordelijke aan de betrokkene een kleine vergoeding vragen in lijn met het Besluit kostenvergoeding rechten betrokkene Wbp. Om te voorkomen dat door een onbevoegde een inzageverzoek wordt gedaan, bijvoorbeeld doordat iemand zich aan de telefoon voordoet als iemand anders, zal de verantwoordelijke altijd zorg moeten dragen voor een deugdelijke vaststelling van de identiteit van de verzoeker. Verder hoeft de verantwoordelijke niet te voldoen aan het inzageverzoek als één van de uitzonderingen van artikel 43 Wbp van toepassing is. Dit is bijvoorbeeld het geval als het buiten toepassing laten van het verzoek noodzakelijk is in het belang van de veiligheid van de staat, de voorkoming, opsporing en vervolging van strafbare feiten, of de bescherming van de betrokkene of van de rechten en vrijheden van anderen.

Correctierecht Indien blijkt dat de verwerkte persoonsgegevens van een bepaalde betrokkene gecorrigeerd moeten worden, kan de betrokkene te allen tijde de verantwoordelijke verzoeken om deze gegevens te verbeteren, aan te vullen, te verwijderen of af te schermen. Dit is mogelijk indien de gegevens feitelijk onjuist zijn, voor het doel of de doeleinden van de verwerking onvolledig of niet ter zake dienend zijn dan wel anderszins in strijd zijn met een wettelijk voorschrift.1 In het verzoek dat de betrokkene doet, dient hij de aan te brengen wijzigingen aan te geven. Aan het verzoek zijn geen vormvoorschriften verbonden. Nadat een betrokkene een dergelijk verzoek heeft gedaan en nadat de verantwoordelijke het verzoek heeft ontvangen, heeft de verantwoordelijke vier weken de tijd om de betrokkene te berichten of hij voldoet aan het ingediende verzoek. Dit bericht dient schrifte-

1. Zie ook het recht om vergeten te worden in HvJ EU, C-131/12, Google Spain SL en Google Inc. tegen AEPD en Mario Costeja González, 13 mei 2014, ECLI:EU:C:2014:317 (Google Spain).


A.7.8 - 41

ADVIESPRAKTIJK

lijk door de verantwoordelijke te worden gedaan. Indien de verantwoordelijke besluit om niet te voldoen aan het verzoek van de betrokkene om de gegevens te corrigeren, dan zal hij deze weigering voldoende moeten motiveren. Hierdoor wordt de betrokkene in staat gesteld om (rechts)maatregelen te treffen tegen de weigering. Indien de verantwoordelijke wel ingaat op het correctieverzoek, zal hij de verbetering, aanvulling, verwijdering of afscherming van de persoonsgegevens zo spoedig mogelijk moeten uitvoeren. Ook bij het correctierecht geldt, evenals bij het inzagerecht, dat de verantwoordelijke altijd zorg dient te dragen voor een deugdelijke vaststelling van de identiteit van de verzoeker. Nadat een verantwoordelijke op verzoek van een betrokkene persoonsgegevens heeft verbeterd, aangevuld, verwijderd of afgeschermd, is de verantwoordelijke verplicht de derden aan wie deze persoonsgegevens in het verleden zijn verstrekt hiervan op de hoogte te stellen. Hierdoor hoeft een betrokkene niet eerst zelfstandig te achterhalen aan wie de verantwoordelijke allemaal zijn persoonsgegevens heeft verstrekt en bij de ontvangers opnieuw zelfstandig eenzelfde verzoek te doen. De verantwoordelijke hoeft de derden niet op de hoogte te stellen van het door de betrokkene ingediende correctieverzoek indien dit onmogelijk blijkt of een onevenredige inspanning kost. Een verantwoordelijke moet wel met goede argumenten komen om dergelijke verzoeken te weigeren omdat dit een onevenredige inspanning zou kosten.

Recht van verzet Naast de rechten van inzage en correctie, heeft de betrokkene ook het recht van verzet. De Wbp kent zowel een relatief recht van verzet (in relatie met bepaalde rechtvaardigingsgronden), als een absoluut recht van verzet (in relatie met de verwerking van persoonsgegevens voor direct marketing). Het relatief recht van verzet is opgenomen in artikel 40 Wbp, en het absoluut recht van verzet in artikel 41 Wbp. Relatief verzet Het relatief recht van verzet ziet op gevallen waarin een verantwoordelijke rechtmatig persoonsgegevens verwerkt. In dat geval

A.7.8 - 42



zijn er twee situaties waarin een betrokkene van de verantwoordelijke kan verlangen dat hij zijn persoonsgegevens niet (langer) verwerkt. Deze situaties zijn afhankelijk van de door de verantwoordelijke ingeroepen rechtvaardigingsgronden voor de verwerking. Alleen als er sprake is van een verwerking op grond van de rechtvaardigingsgronden publiekrechtelijke taak of gerechtvaardigde belang kan een betrokkene zich verzetten tegen de verwerking van zijn persoonsgegevens. Het is mogelijk dat er bijzondere persoonlijke omstandigheden aanwezig zijn bij de betrokkene, waardoor de verdere verwerking van zijn persoonsgegevens niet langer gerechtvaardigd is. In dat geval had de verantwoordelijke een andere afweging moeten maken onder de rechtvaardigingsgrond en prevaleert het belang van de betrokkene. Onder die omstandigheden kan een betrokkene verzet aantekenen bij de verantwoordelijke tegen de verwerking. Veelal zal de verantwoordelijke niet bekend zijn met de bijzondere persoonlijke omstandigheden en had de verantwoordelijke ook niet bekend kunnen zijn met deze omstandigheden. Door het inroepen van het recht van verzet zal de verantwoordelijke opnieuw een belangenafweging moeten maken en binnen vier weken na ontvangst van het verzet moeten beoordelen of het verzet gerechtvaardigd is. Indien dit het geval is, zal de verantwoordelijke direct de betreffende verwerking van persoonsgegevens moeten beëindigen. Absoluut verzet De Wbp voorziet ten aanzien van de verwerking voor direct marketing doeleinden in een absoluut recht van verzet voor betrokkenen (Artikel 41 Wbp). Indien persoonsgegevens worden gebruikt in verband met de totstandbrenging of instandhouding van een directe relatie tussen de verantwoordelijke of een derde en de betrokkene met het oog op werving voor commerciële of charitatieve doelen, kan de betrokkene daartegen bij de verantwoordelijke te allen tijde kosteloos verzet aantekenen. Door het inroepen van het absoluut recht van verzet kan een betrokkene in één keer bewerkstelligen dat een verantwoordelijke hem niet meer benadert voor direct marketingdoeleinden. Dat het recht van verzet uit artikel 41 van de Wbp absoluut is, betekent dat er na het inroepen daarvan geen mogelijkheid voor de


A.7.8 - 43

ADVIESPRAKTIJK

verantwoordelijke is om een nieuwe belangenafweging te maken. De verantwoordelijke dient dan ook maatregelen te treffen om deze vorm van verwerking van persoonsgegevens van de betrokkene die het recht van verzet inroept, terstond te beëindigen.

A.7.8.

12

Toezicht en sancties: verruiming boete bevoegdheden Autoriteit Persoonsgegevens De Autoriteit Persoonsgegevens houdt toezicht op naleving van de Wbp en kan handhavend optreden. De naam van de toezichthouder is per 1 januari 2016 gewijzigd van het College Bescherming persoonsgegevens in Autoriteit Persoonsgegevens. De Autoriteit Persoonsgegevens heeft de bevoegdheid om ambtshalve of op verzoek van een belanghebbende een onderzoek in te stellen naar de verwerking van persoonsgegevens. Organisaties die onderwerp zijn van dergelijke onderzoeken moeten alle noodzakelijke informatie verstrekken op vordering van de Autoriteit Persoonsgegevens en hebben een medewerkingsplicht. De Autoriteit Persoonsgegevens publiceert gewoonlijk de resultaten van het onderzoek, zoals beschreven in het rapport van definitieve bevindingen. Voordat de definitieve bevindingen worden gepubliceerd, is er nog een mogelijkheid om te reageren op de voorlopige bevindingen en kan een voorlopige voorziening worden gevraagd bij de rechter om publicatie te voorkomen. Daarnaast is de Autoriteit Persoonsgegevens bevoegd bestuursdwang toe te passen, of een last onder dwangsom of een boete op te leggen indien in strijd wordt gehandeld met (specifieke bepalingen van) de Wbp.1

Bestuursdwang/last onder dwangsom De Autoriteit Persoonsgegevens is bevoegd bestuursdwang toe te passen indien naar het oordeel van de Autoriteit Persoonsgegevens

1. Zie voor een nadere invulling van hoe de Autoriteit Persoonsgegevens gebruik maakt van haar bevoegdheden: Beleidsregels handhaving door het CBP, Staatscourant, 17 januari 2011, nr. 1916. De Autoriteit Persoonsgegevens werkt aan nieuwe boetebeleidsregels die per 1 januari 2016 in werking treden, wanneer ook de verruimde boetebevoegdheden van kracht worden.

A.7.8 - 44



in strijd wordt gehandeld met verplichtingen uit de Wbp. In plaats daarvan kan de Autoriteit Persoonsgegevens ook een last onder dwangsom opleggen. Indien degene die een last onder dwangsom is opgelegd niet overgaat tot beëindiging van de schendingen, is hij dwangsommen verschuldigd totdat voldaan wordt aan de last. De Autoriteit Persoonsgegevens mag zelf de hoogte van de dwangsom vaststellen. Dit kan zowel een bedrag ineens zijn, een bedrag per tijdseenheid waarin de ‘last’ niet is uitgevoerd of een bedrag per overtreding van de last. Er wordt altijd een maximum aan dwangsommen vastgesteld. Indien de Autoriteit Persoonsgegevens een dwangsom overweegt, zal de verantwoordelijke eerst een termijn krijgen waarbinnen hij de overtreding ongedaan kan maken. Op het moment dat de verantwoordelijke niet overgaat tot beëindiging van de overtreding, zal de Autoriteit Persoonsgegevens de verantwoordelijke horen. Het opleggen van een dwangsom wordt opgenomen in een besluit waartegen bezwaar en beroep openstaat. Indien een verantwoordelijke het oneens is met deze beslissing, kan hij hiertegen dus bezwaar en vervolgens beroep aantekenen. Ook de belanghebbende kan tegen een afwijzing van zijn verzoek tot bestuursdwang bezwaar aantekenen.

Bestuurlijke boete en verruiming boetebevoegdheid Naast het toepassen van bestuursdwang (en dus ook het opleggen van een last onder dwangsom) kon de Autoriteit Persoonsgegevens in slechts beperkte gevallen overgaan tot het opleggen van een bestuurlijke boete. Gelijktijdig met de invoering van de meldplicht datalekken zijn per 1 januari 2016 echter ook de gevallen waarin de Autoriteit Persoonsgegevens een boete kan opleggen en de maximale hoogte van deze boetes sterk worden verruimd door wijziging van artikel 66 Wbp.1 Voor overtredingen van diverse belangrijke verplichtingen uit de Wbp kan de Autoriteit Persoonsgegevens vanaf 1 januari 2016 een boete van ten hoogste het bedrag van de geldboete van de zesde

1. Op 7 januari 2016 heeft de Autoriteit Persoonsgegevens haar boetebeleidsregels voor het opleggen van bestuurlijke boetes gepubliceerd.


A.7.8 - 45

ADVIESPRAKTIJK

categorie van artikel 23 lid 4 Sr opleggen (per 1 januari 2016 is dit vastgesteld op EUR 820.000 en kan dus door wijziging hoger worden), of in geval van een rechtspersoon, 10% van de omzet uit het voorafgaande jaar indien de Autoriteit Persoonsgegevens meent dat dit passend is. Hieronder vallen onder andere de overtreding van de vereisten van doelbinding, verwerking op basis van een geldig rechtvaardigingsgrond, bewaartermijnen, dataminimalisatie, beveiligingsplicht, verbod verwerken bijzondere persoonsgegevens, informatieplichten, meldplicht datalekken, waarborging van de rechten van betrokkenen, doorgifte naar derde landen, of de medewerkingsplicht. De Autoriteit Persoonsgegevens kan deze boete pas opleggen nadat een bindende aanwijzing is gegeven. Een bindende aanwijzing is niet nodig indien de overtreding opzettelijk is gepleegd of het gevolg is van ernstig verwijtbare nalatigheid. Per 1 januari 2016 kan de Autoriteit Persoonsgegevens daarnaast een boete van ten hoogste het bedrag van de geldboete van de vierde categorie van artikel 23 lid 4 Sr opleggen (per 1 januari 2014: EUR 20.250) voor overtredingen van artikelen 4, derde lid, of 78, tweede lid, aanhef en onder a Wbp. Naast toezicht en handhaving door de Autoriteit Persoonsgegevens, kan ook op andere wijzen opgetreden worden tegen schendingen van de Wbp. De betrokkene kan bijvoorbeeld de verantwoordelijke aansprakelijk stellen voor de schade die hij lijdt doordat in strijd met de voorschriften van de Wbp is gehandeld. Indien er sprake is van nadeel dat niet uit vermogensschade bestaat (de schade is niet in geld uit te drukken), dan heeft de benadeelde recht op een naar billijkheid vast te stellen schadevergoeding. Voor toewijzing van een schadeclaim dient de aansprakelijkheid aan de verantwoordelijke te kunnen worden toegerekend. De kans op schadeclaims zal met name groter zijn bij datalekken, vooral wanneer de kans bestaat op identiteitsfraude, oplichting of ander misbruik van de verloren gegevens.

A.7.8.

13

De AVGB De Europese Commissie heeft in 2012 een voorstel ingediend voor de AVGB. De AVGB zal rechtstreekse werking hebben binnen de Europese Unie en vervangt de EU Privacyrichtlijn 95/46, die de basis vormt voor de nationale EU privacyregelgeving. Dit brengt

A.7.8 - 46



mee dat de AVGB op termijn in Nederland de Wbp zal gaan vervangen. Na een aantal jaar onderhandelen, bevindt het voorstel voor de AVGB zich inmiddels in een vergevorderd stadium. In 2014 heeft het Europees Parlement een groot aantal amendementen geïntroduceerd, waarna de Raad van de EU op 15 juni 2015, op zijn beurt een sterk gewijzigde versie heeft gepubliceerd. De verschillende voorstellen hebben veel kritiek gekregen. De versie van de Raad is met name bekritiseerd door het Europees Parlement, de Artikel 29-werkgroep en de European Data Protection Supervisor (EDPS), omdat het beschermingsniveau in bepaalde gevallen onder die van de Richtlijn zou komen. De definitieve tekst is onderhandeld door de Europese Commissie, Europees Parlement en de Raad op 15 december 2015. Naar verwachting zal de AVGB begin 2016 formeel worden aangenomen, wanneer Nederland het voorzitterschap van de EU op zich heeft genomen. Na een overgangsperiode van twee jaar zal de AVGB dan in 2018 van kracht worden in de EU, en daarmee ondermeer de Wbp vervangen. De AVGB zal naar verwachting een aantal belangrijke veranderingen en zwaardere privacyverplichtingen meebrengen, waaronder aanzienlijk hogere boetemogelijkheden oplopend tot 20 miljoen Euro of 4% van de wereldwijde jaaromzet van een onderneming. Het is voor organisaties daarom raadzaam in een zo vroeg mogelijk stadium te beginnen met voorbereidingen op het van kracht worden van de AVGB. De AVGB zal in plaats van een meldplicht voor de verwerking van persoonsgegevens waarschijnlijk algemene en specifieke documentatieplichten voor zowel verantwoordelijken als bewerkers introduceren. Verantwoordelijken en bewerkers zullen schriftelijke documentatie van alle verwerkingen van persoonsgegevens moeten bewaren. Dit zal een zware administratieve last zijn voor organisaties en ook veel voorbereiding vergen. Ook zal deze documentatie op verzoek van de toezichthouder waarschijnlijk ter beschikking moeten worden gesteld. Hierdoor kunnen toezichthouders gemakkelijker nagaan of de verwerkingen voldoende zijn gedocumenteerd en compliant zijn met de toepasselijke privacyverplichtingen. Ook zal het uitvoeren van Privacy Impact Assessments verplicht worden voorafgaand aan een nieuwe verwerking wanneer de verwerking, gelet op de aard daarvan, zal leiden tot een hoog risico voor betrokkenen. Privacy Impact Assessments worden als be-


A.7.8 - 47

ADVIESPRAKTIJK

langrijk middel gezien om inzicht te verkrijgen op de impact van de voorgenomen verwerking. Hierdoor kan worden gewaarborgd dat de verwerking voldoet aan de privacyregelgeving en dat alle noodzakelijke maatregelen worden geïmplementeerd. Een ander mogelijke verplichting is het aanstellen van een FG. Volgens het voorstel uit 2012 van de Europese Commissie zouden organisaties met meer dan 250 werknemers een FG moeten aanstellen. Het Europees Parlement heeft in 2014 voorgesteld om het aanstellen van een FG al verplicht te stellen indien persoonsgegevens van meer dan 5.000 betrokkenen worden verwerkt, wat voor veel organisaties al snel het geval zal zijn. In de versie van 15 december 2015 wordt het aanstellen van een FG verplicht voor publieke organisaties en organisaties die veel privacygevoelige persoonsgegevens verwerken. Een belangrijk aspect uit de AVGB is het zogenaamde one-stopshop-beginsel. De one-stop-shop is bedoeld om ervoor te zorgen dat organisaties binnen Europa alleen nog te maken hebben met één privacytoezichthouder als aanspreekpunt bij grensoverschrijdende verwerkingen. De one-stop-shop is echter gelijk ook één van de meest controversiële onderwerpen, waarvoor sterk verschillende voorstellen zijn gedaan. In de versie van december 2015 is de tekst, op verzoek van meerdere lidstaten, dusdanig gewijzigd dat het onestop-shop-beginsel sterk is afgezwakt. Verder zal de AVGB een meldplicht voor datalekken introduceren. Deze meldplicht is goed vergelijkbaar met de meldplicht datalekken die per 1 januari 2016 in Nederland geldt. Door de Nederlandse overheid is aansluiting gezocht bij eerdere voorstellen voor de AVGB. De gevallen waarin een datalek precies moeten worden gemeld zullen tevens uit de definitieve tekst van de AVGB moeten blijken. Een ander significant aspect is dat de toezichthouders hogere boetes kunnen opleggen voor overtredingen van de privacyverplichtingen. In het voorstel Europese Commissie werd onderscheid gemaakt tussen drie verschillende categorieën van overtredingen. Hoe erger de overtreding van een betreffende bepaling was gecategoriseerd, hoe hoger de maximale boete kon zijn. De maximale boete voor de zwaarste categorie was EUR 1 miljoen of 2% van het wereldwijde jaaromzet. In het voorstel van het Europees Parlement werd dit onderscheid in categorieën niet meer gemaakt en werd de maximale boete flink verhoogd tot EUR 100 miljoen of 5% van het wereld-

A.7.8 - 48



wijde jaaromzet van een onderneming. De Raad is in zijn versie teruggekeerd naar het onderscheid van verschillende categorieën en de maximale boete in de zwaarste categorie van EUR 1 miljoen of 2% van het wereldwijde jaaromzet van een onderneming. Volgens de tekst van 15 december 2015, zal de maximale boete EUR 20 miljoen of 4% van het wereldwijde jaaromzet van een onderneming te gaan worden. Deze substantiële boetebevoegdheden zullen er mede voor zorgen dat naleving van privacyverplichtingen een belangrijk punt van aandacht zal (moeten) worden voor organisaties.

A.7.8.

14

Slot Om de jaarrekening vrij te kunnen gegeven, zal de controlerende accountant moeten onderzoeken of er geen aanwijzingen zijn van afwijkingen die van materieel belang zijn als gevolg van overtredingen van weten regelgeving, waaronder dus ook de Wbp (of in de toekomst de AVGB). Hiervoor zal de accountant inzicht moeten verkrijgen in de verwerking van persoonsgegeven door de betreffende organisatie, de toepasselijke vereisten van de Wbp, en de wijze waarop deze vereisten worden nageleefd. De accountant kan er niet meer omheen om voor het verkrijgen van inzicht inlichtingen te vragen die kunnen wijzen op een niet-naleving van de Wbp die van materieel belang kan zijn op de jaarrekening, bijvoorbeeld door te vragen of er een intern privacy- en beveiligingsbeleid wordt gehanteerd, het opvragen van privacy- of beveiligingsaudits voor zover die hebben plaatsgevonden, navraag te doen of datalekken hebben voorgedaan, contact is geweest met de toezichthouder, betrokkenen hun rechten hebben ingeroepen of claims hebben ingediend, of procedures zijn geweest of te verwachten zijn. Indien (potentiële) overtredingen van de Wbp worden geconstateerd, kan dat er mogelijk toe leiden dat een voorziening, schuld of toelichting dient te worden opgenomen. Vooral als een overtreding waarschijnlijk tot handhavend optreden of oplegging van substantiële sancties door de toezichthouder, of tot schadeclaims van betrokkenen of klanten (bijvoorbeeld afnemers van een bewerker) zal leiden, kan een voorziening en vermelding in de toelichting noodzakelijk zijn. Het kan ook voorkomen dat een organisatie substantiele investeringen moet doen om compliant te worden met de Wbp, bijvoorbeeld om een passend beveiligingsniveau te behalen en een


A.7.8 - 49

ADVIESPRAKTIJK

datalek te verhelpen. De accountant dient er met name op bedacht te zijn dat het opnemen van een voorziening, schuld op toelichting noodzakelijk kan zijn wanneer sprake is van risicovolle verwerkingen, aangezien een overtreding van de Wbp in dergelijke gevallen sneller van materieel belang zal zijn. Voorbeelden van een aantal risicovolle verwerkingen zijn de verwerking van gevoelige gegevens (waaronder niet alleen bijzondere persoonsgegevens zoals gezondheidsgegevens, maar ook locatiegegevens of financiële gegevens), profilering van betrokkenen (bijvoorbeeld het bijhouden van het individueel kijkgedrag van betrokkenen en op basis hiervan gerichte aanbiedingen doen), monitoring van werknemers, of het verwerken van gegevens waarvan verlies tot identiteitsfraude kan leiden (zoals BSN of paspoortgegevens). Ook de kans op datalekken (bijvoorbeeld door een cyberaanval) en het risico die de organisatie daarbij loopt zal voldoende duidelijk moeten zijn. Door ontwikkelingen is immers de beveiligingsvereiste en meldplicht van datalekken erg belangrijk geworden. Wanneer er onvoldoende beveiliging is binnen een organisatie volgens de Wbp, zal deze organisatie een aanzienlijk risico lopen op enig moment hier negatieve gevolgen van te ondervinden. Indien de organisatie tevens gegevens verwerkt die interessant zijn voor cybercriminelen, zal de kans op verwezenlijking van dit risico alleen maar groter worden. Voor zover een organisatie bijzondere risico’s loopt (bijvoorbeeld omdat het frequent te maken heeft met al dan niet succesvolle cyberaanvallen door de gevoelige activiteiten van de organisatie of anderszins een hoog risicoprofiel heeft), kan het ook noodzakelijk zijn om een toelichting op te nemen over deze bijzondere privacy risico’s. Voor het beperken van schade die uit een datalek kan voortvloeien, zal het in ieder geval noodzakelijk zijn dat een organisatie daarop voldoende voorbereid is.

A.7.8 - 50


A.7.8 De accountant en de Wet bescherming persoonsgegevens

Recommend Documents