Europese Privacyverordening, wat moet je ermee? Stap 2: gewenste situatie

Europese Privacyverordening, wat moet je ermee? Stap 2: gewenste situatie

In dit blog beschrijf ik de tweede stap uit het privacy stappenplan, namelijk het vaststellen van de gewenste situatie. Nadat je hebt geïnventariseerd welke gegevens binnen jouw bedrijf verwerkt worden en hoe (zie mijn vorige blog “Europese Privacyverordening, wat moet je ermee? Stap 1: inventarisatie“), moet je jezelf afvragen of de huidige situatie binnen jouw bedrijf aansluit bij de gewenste situatie. Deze gewenste situatie moet worden vastgesteld aan de hand van de privacywetgeving. Indien de gewenste situatie (op onderdelen) afwijkt van de feitelijke situatie, weet je op welke onderdelen je nog maatregelen moet nemen.

Doel van de verwerking

Bij stap 1, de inventarisatie van de verwerkingen van persoonsgegevens binnen een bedrijf, komt vaak naar voren dat er meer gegevens verwerkt worden dan eerst werd ingeschat. Ook blijkt vaak, dat een deel van de gegevens helemaal niet noodzakelijk zijn. Het is daarom van belang om je ten eerste af te vragen, met welk doel de gegevens verwerkt worden.

Bovendien is in de privacywetgeving een beperkt aantal doelen opgenomen, waarvoor een verantwoordelijke persoonsgegevens mag (laten) verwerken. Indien jouw doel daar niet tussen staat, is de verwerking van de persoonsgegevens überhaupt niet toegestaan.

De mogelijke doelen zijn:

  1. noodzakelijk voor de uitvoering van een overeenkomst waarbij de betreffende persoon partij is (bijvoorbeeld: voor de uitvoering van een arbeidsovereenkomst is het noodzakelijk om een bankrekeningnummer van jouw werknemer te hebben, zodat je zijn salaris kunt overmaken);
  2. noodzakelijk om te voldoen aan een wettelijke verplichting
    (bijvoorbeeld: je bent als werkgever verplicht om gegevens van werknemers af te geven aan de belastingdienst);
  3. noodzakelijk om de vitale belangen van de betreffende of een andere persoon te beschermen (bijvoorbeeld: de verwerking van medische gegevens bij een ongeluk);
  4. noodzakelijk voor de vervulling van een taak van algemeen belang of in het kader van de uitoefening van het openbaar gezag
    (bijvoorbeeld: gegevensverwerking door de politie);
  5. noodzakelijk voor behartiging van jouw gerechtvaardigde belangen of die van een derde, tenzij belangen van de betreffende persoon zwaarder wegen
    (bijvoorbeeld: het beheren van een archief van kranten geldt in principe als een gerechtvaardigd belang, maar er zal altijd een belangenafweging moeten plaatsvinden);
  6. de betreffende persoon heeft toestemming gegeven voor de verwerking van zijn gegevens voor een specifiek doel
    (bijvoorbeeld: een consument vinkt op een webshop aan dat hij graag de nieuwsbrief wil ontvangen, en verstrekt in dat kader zijn e-mailadres).

Het komt er kort gezegd op neer dat indien jouw doel bij de verwerking van gegevens niet onder doel 1 t/m 5 valt, je dan toestemming moet vragen bij de betreffende persoon (doel 6).

Als je slechts verwerker bent en geen verantwoordelijke, is het niet aan jou om het (gerechtvaardigde) doel van de verwerking vast te stellen, dit is een taak van de verantwoordelijke. Het is verstandig om dit (en andere afspraken) vast te leggen in een verwerkersovereenkomst (stap 7).

Principes privacywetgeving

Zodra blijkt dat de gegevens voor een gerechtvaardigd doel worden verwerkt, moet je beoordelen of ze op de gewenste manier verwerkt worden. De privacywetgeving gaat uit van een aantal principes, het is handig om deze principes in gedachten te houden bij het vaststellen van de gewenste situatie binnen jouw bedrijf:

  • Transparantie: zorg ervoor dat je kunt laten zien welke gegevens je verwerkt en hoe, en dat je aan de privacywetgeving voldoet;
  • Doelbeperking: je mag persoonsgegevens alleen verwerken voor het gerechtvaardigde doel waarmee je ze hebt verzameld, en niet voor andere doeleinden;
  • Juistheid: zorg ervoor dat de gegevens die je verwerkt juist zijn, en juist blijven;
  • Gegevensbeperking: verzamel niet meer gegevens dan nodig, en niet langer dan nodig;
  • Bescherming: zorg ervoor dat de gegevens voldoende beschermd worden.

Met de inventarisatie van alle verwerkingen van persoonsgegevens in de hand, kun je per gegevensverwerking nalopen of deze aan de hiervoor beschreven principes voldoet. Zo niet, dan kun je eventueel tot maatregelen overgaan.

Lijst met maatregelen

Als je hebt vastgesteld waar de verschillen zitten tussen de feitelijke situatie binnen jouw bedrijf en de gewenste situatie, kun je een lijst met eventueel te nemen maatregelen formuleren. Deze maatregelen kunnen bijvoorbeeld bestaan uit het opschonen van een archief, het invoeren van een wachtwoordbeleid, of het simpelweg opvragen van minder gegevens. Of je deze maatregelen ook daadwerkelijk gaat doorvoeren, zal afhangen van de kosten (tijd/geld/energie) ten opzichte van de opbrengst (verkleining risico). In het kader van transparantie is het van belang om deze afweging vast te leggen, zodat je kunt laten zien dat je er in ieder geval goed over hebt nagedacht.

Tot slot

Vind je het lastig om binnen jouw bedrijf vast te stellen wat de gewenste situatie is en welke maatregelen nodig zijn, of heb je hier simpelweg geen tijd voor? Overweeg dan eens onze privacy scan, die we samen met ICT-specialist Harbers ICT hebben ontwikkeld. Met behulp van deze scan onderzoeken wij welke maatregelen binnen jouw bedrijf noodzakelijk en/of gewenst zijn, en vatten dit voor je samen in een praktisch rapport. Een goede start voor ieder bedrijf om “privacyproof” te worden.

Indien je meer informatie wenst over deze privacy scan en/of over privacy in het algemeen, kom dan naar onze bijeenkomst over privacy op donderdag 22 maart a.s. te Lichtenvoorde. Samen met Harbers ICT praten wij je bij over de juridische en praktische aandachtspunten op het gebied van privacy. Graag tot dan!

Auteur

Sanne Freriks

Jurist BonsenReuling
Als jurist bij BonsenReuling houd ik mij, naast de algemene MKB-adviespraktijk, graag bezig met juridische vraagstukken op het gebied van online ondernemen. Dit varieert van vraagstukken inzake privacyrecht tot vraagstukken met betrekking tot intellectueel eigendomsrecht, telecommunicatierecht en algemeen contractenrecht. Ik streef ernaar ondernemers op een praktische manier juridisch te ontzorgen, zodat zij zich zo veel mogelijk kunnen bezighouden met waar ze goed in zijn.

Daarnaast maak ik deel uit van het kernteam van juristenindezorg.nl, met welk team we zorginstellingen ontzorgen op het gebied van HR en P&O. Dit doen we op onze eigen praktische wijze, met kennis van zowel juridische, fiscale, bedrijfseconomische als pensioentechnische aspecten.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *