Privacyrecht

In ons digitale tijdperk worden persoonsgegevens continu verzameld en verwerkt. Van klantenbestanden en e-mailmarketing tot cameratoezicht en online cookies: privacywetgeving stelt strenge eisen aan hoe organisaties en bedrijven met deze gegevens moeten omgaan. In Europa is de Algemene Verordening Gegevensbescherming (AVG) van groot belang. Deze wet stelt dat persoonsgegevens rechtmatig, transparant en voor specifieke doeleinden mogen worden verwerkt. In geval van overtredingen kan de Autoriteit Persoonsgegevens (AP) forse boetes opleggen. Onze advocaten adviseren zowel bedrijven als particulieren zodat zij voldoen aan de privacywetgeving en hun gegevensverwerking juridisch op orde is.

Wat omvat het privacy recht?

Het privacy recht omvat alle regels rondom het verzamelen, opslaan en verwerken van persoonsgegevens. De kern hiervan ligt in de Algemene Verordening Gegevensverwerking (AVG) en aanvullende nationale wetten zoals de Uitvoeringswet AVG (UAVG).

Fundamentele principes van het privacy recht zijn onder andere rechtmatigheid, behoorlijkheid en transparantie. Organisaties moeten persoonsgegevens op een legitieme en transparante manier verwerken. Een ander principe is doelbinding. Persoonsgegevens mogen alleen worden verzameld en verwerkt voor een specifiek, gerechtvaardigd doel. Hierbij mogen ook enkel de gegevens worden verwerkt die noodzakelijk zijn voor dat specifieke doel.

Voorts is integriteit en vertrouwelijkheid van belang. Er moeten passende technische en organisatorische maatregelen worden getroffen door bedrijven en organisaties om de persoonsgegevens te beveiligen en niet langer te bewaren dan noodzakelijk. Daarom is het ook belangrijk dat bedrijven en organisaties kunnen aantonen dat zij aan de AVG voldoen.

Wanneer is de AVG van toepassing?

Het toepassingsbereik van de AVG is zeer ruim. De AVG is van toepassing indien er sprake is van de volgende elementen:

1. Er moet sprake zijn van een persoonsgegeven; 
2. Er moet sprake zijn van een verwerking van die persoonsgegevens en
3. De verwerking moet gedeeltelijk of geheel geautomatiseerd zijn of de gegevens moeten in een bestand zijn opgenomen.

Grondslagen voor verwerking van persoonsgegevens

Indien u persoonsgegevens verwerkt dient er op grond van de AVG ten minste één geldige grondslag te bestaan waarop u deze gegevensverweking baseert. Artikel 6 van de AVG bevat een limitatieve opsomming van de grondslagen van verwerking:

1. Toestemming 
2. Noodzakelijk voor de uitvoering van een overeenkomst 
3. Noodzakelijk om te voldoen aan wettelijke verplichting 
4. Noodzakelijk om de vitale belangen van de betrokkene te beschermen 
5. Noodzakelijk voor de vervulling van taak van algemeen belang  
   of openbaar gezag 
6. Noodzakelijk voor behartiging gerechtvaardigde belangen, behalve 
   wanneer de belangen of grondrechten en fundamentele vrijheden van  
   de betrokkene zwaarder wegen, met name als de betrokkene een kind is. 

Bij afwezigheid van een grondslag zoals hierboven genoemd, is de gegevensverwerking niet toegestaan.  

Betrokkene, verwerkingsverantwoordelijke en verwerker

In het privacy recht bestaan over het algemeen drie actoren: 

• Betrokkene 
• Verwerkingsverantwoordelijke 
• Verwerker 

Betrokkene

De betrokkene is de persoon op wie de persoonsgegevens betrekking hebben. Bij een klantenadministratie zijn dat bijvoorbeeld de klanten en bij een werknemersadministratie de werknemers.  

Een betrokkenen heeft een aantal privacy rechten:

• Informatieplicht (artikel 13 en 14 AVG) 
• Recht op inzage (artikel 15 AVG) 
• Recht op rectificatie (artikel 16 AVG) 
• Recht op gegevenswissing (artikel 17 AVG) 
• Recht op beperking (artikel 18 AVG) 
• Recht op overdraagbaarheid (artikel 20 AVG) 
• Recht van bezwaar (artikel 21 AVG) 
• Verbod geautomatiseerde besluiten (artikel 22 AVG) 

Verwerkingsverantwoordelijke

De verwerkingsverantwoordelijke is een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. De verwerkingsverantwoordelijke moet zorgdragen dat de gegevensverwerking voldoet aan de normen van de AVG.

Verwerker

De verwerker is een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt. Van belang hierbij is dat dat alleen gebeurd als er sprake is van een verantwoordelijke die ervoor heeft gekozen om de gegevensverwerking feitelijk uit te besteden aan een derde. Die derde is dan de verwerker. Een verwerker is er dus alleen als de verantwoordelijke voor de uitbesteding heeft gekozen.  

Verwerkers moeten onderscheiden worden van medewerkers van de verantwoordelijke. Deze staan onder rechtstreeks gezag van de verantwoordelijke en zijn interne personen. Bij een verwerker is er sprake van een externe persoon die niet onder een gezag relatie staat.

DPIA

Op grond van de AVG moet een verwerkingsverantwoordelijke voorafgaand aan een verwerking van persoonsgegevens een beoordeling opmaken van het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens. Dit wordt ook wel een gegevensbeschermings- effectbeoordeling (DPIA) genoemd. Dit is in het bijzonder van belang in geval bij een verwerking nieuwe technologieën worden gebruikt of in geval een verwerking gelet op de aard, de omvang, de context en de doeleinden daarvan, waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen.  

Een DPIA wordt onder andere gebruikt in de volgende situaties: 

• Een systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen, die is gebaseerd op geautomatiseerde verwerking, waaronder profilering, en waarop besluiten worden gebaseerd waaraan voor de natuurlijke persoon rechtsgevolgen zijn verbonden of die de natuurlijke persoon op vergelijkbare wijze wezenlijk treffen; 
• Grootschalige verwerking van bijzondere categorieën van persoonsgegevens als bedoeld in artikel 9 lid 1 AVG (bijvoorbeeld biometrische toegangscontroles) of van gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10 AVG (bijvoorbeeld waarschuwingsregisters, zwarte lijsten);
• Stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten (bijvoorbeeld camerabewaking).

Indien u geen DPIA heeft laten uitvoeren terwijl u hier wel toe verplicht was, kan dit grote gevolgen hebben. Het is daarom van belang dat u zich altijd laat adviseren door specialist.

Waarmee kunnen wij u helpen?

In de volgende gevallen zou u ons eventueel kunnen inschakelen:

• Beoordelen of uw organisatie aan de AVG voldoet en welke juridische aanpassingen u nog zou moeten verwerken;
• Het opstellen van overeenkomsten met betrekking tot de verwerking van persoonsgegevens;
• Het uitvoeren van een DPIA om privacy risico’s te identificeren;
• Het opstellen van een privacy beleid dat voldoet aan de wettelijke vereisten;
• Adviseren over de juiste implementatie van cookiebanners;
• Bijstand in geschillen over inzage- en verwijderingsverzoeken;
• Bijstand in geschillen ten aanzien van (onrechtmatige) verwerking van persoonsgegevens;
• Overige privacy gerelateerde vragen.

Het lastige van privacywetgeving is dat de normen vrij open zijn. Het doel en de omvang van de verwerking van de persoonsgegevens maakt al een groot verschil voor de vraag wat wel of juist niet toegestaan is. Onze advocaat Daniek Blom is gespecialiseerd in privacy gerelateerde kwesties en kan u adviseren zodat uw bedrijf of organisatie voldoet aan de huidige wetgeving en uw rechten gewaarborgd zijn. Op die manier voorkomt u hoge boetes, eventuele reputatieschade of schadeclaims.

Neem vrijblijvend contact met ons op via het onderstaande formulier of bel ons op: 020 – 623 45 77.