Verwerking
Het begrip verwerking komt veel voor in de AVG. De definitie die de AVG hieraan geeft, is:
‘een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.’
Verwerking is dus een zeer ruim begrip. Daarvan is bijvoorbeeld sprake als persoonsgegevens worden bewaard of opgevraagd, maar ook als persoonsgegevens worden verzameld, gewijzigd, geraadpleegd, afgeschermd of gewist. Zelfs het meekijken, bijvoorbeeld met behulp van TeamViewer, valt al onder verwerking. Kortom, er is al heel snel sprake van verwerking.
Verwerking van persoonsgegevens moet behoorlijk en rechtmatig zijn. Daarnaast moet het voor de betrokkene transparant zijn dat er persoonsgegevens verzameld worden en wat er mee gebeurt. Ook moet duidelijk zijn met welk doel de gegevens worden verwerkt. En dan is ook nog van belang in welke rol de gegevens worden verwerkt. Hierin wordt onderscheid gemaakt tussen de verwerkingsverantwoordelijke en de verwerker. Wanneer de verwerkingsverantwoordelijke een verwerker heeft ingeschakeld is het verplicht om een schriftelijke verwerkersovereenkomst te sluiten.
Grondslag voor verwerking
Om rechtmatig gegevens te mogen verwerken moet de verwerking aan één of meer van de onderstaande grondslagen voldoen. De verwerking:
• is nodig om een overeenkomst met de betrokkene voor te bereiden of uit te voeren (arbeidsovereenkomst/bestelling bij een webwinkel)
• is nodig om aan een wettelijke verplichting te voldoen (registreren van BSN van werknemers door werkgevers)
• is voor betrokkene van levensbelang
• is nodig om een overheidstaak goed te kunnen vervullen (geldt ook voor niet overheidsinstanties die taken van algemeen belang uitvoeren, zoals De Nederlandsche Bank)
• is voor u van zodanig belang, dat dat zwaarder weegt dan de belangen van de betrokkene
• de betrokkene heeft toestemming gegeven voor de verwerking (het werken met toestemming als grondslag moet aan een groot aantal eisen voldoen)
Eisen aan toestemming
Het werken met toestemming voor gegevensverwerking moet aan een groot aantal eisen voldoen. De betrokkene moet duidelijk gemaakt worden waarvoor de toestemming wordt gevraagd en moet er direct op gewezen worden dat hij de toestemming altijd weer in mag trekken. Daarnaast moet specifiek omschreven worden waarvoor toestemming wordt gevraagd, dit mag niet vaag of algemeen van aard zijn. Het moet duidelijk zijn dat de betrokkene mag weigeren om toestemming te geven. Het is niet toegestaan om voor het aangaan van een overeenkomst toestemming te vragen terwijl de gegevensverwerking daarvoor niet nodig is. Het geven van toestemming moet altijd gebeuren door een actieve handeling van betrokkene, zoals het aanvinken van een vakje. Het werken met vooraf aangekruiste vakjes is dus niet toegestaan. Het verzoek tot toestemming moet kort en bondig zijn. Het intrekken van de toestemming moet net zo eenvoudig zijn voor de betrokkene als het verlenen ervan. Zodra de betrokkene daarom vraagt, moeten de eventueel opgeslagen gegevens direct verwijderd worden.
Kinderen jonger dan 16 jaar
Speciale aandacht is er voor het verlenen van toestemming als het gaat om kinderen jonger dan 16 jaar. Daarvoor is altijd toestemming van een ouder of verzorger nodig!
Op verzoek van de AP moet getoond kunnen worden dat de toestemming daadwerkelijk verleend is. Zorg daarom dat u de toestemmingverlening bewaart.
Doel
Het zal inmiddels duidelijk zijn dat persoonsgegevens niet zomaar mogen worden verwerkt. Er moet een duidelijk doel zijn waarvoor de gegevens verwerkt worden. Dit moet vooraf vastgelegd worden. Het doel moet concreet zijn, en het moet ook te rechtvaardigen zijn.
Gegevens die voor het beschreven doel verwerkt worden, mogen vervolgens ook voor een ander doel gebruikt worden, maar alleen als dit doel verenigbaar is met het oorspronkelijke doel. Hiervoor gelden de volgende criteria:
• samenhang tussen het oorspronkelijke en het nieuwe doel
• hoe men aan de gegevens van betrokkene is gekomen (beter rechtstreeks dan via een andere partij)
• de gevoeligheid van de gegevens; hoe gevoeliger des te kleiner de kans dat het verenigbaar is
• mogelijke gevolgen van het nieuwe doel voor de betrokkene; hoe positiever dit is des te groter de kans dat het verenigbaar is
• de aanwezigheid van passende waarborgen, zoals versleuteling of pseudonimisering
In de volgende gevallen is gebruik toegestaan ondanks dat het onverenigbaar is met het oorspronkelijke doel:
• wanneer de betrokkene hier toestemming voor gegeven heeft
• het verdere gebruik wettelijk geregeld is
• het verdere gebruik
• is voor archivering in het algemeen belang etc
Verwerkingenregister
Het bijhouden van een verwerkingenregister is in ieder geval verplicht voor organisaties die meer dan 250 personen in dienst hebben. Voor organisaties die minder dan 250 personen in dienst hebben, geldt deze verplichting alleen wanneer zij risicovolle verwerkingen uitvoeren (denk hierbij aan het opstellen van klantprofielen of het verwerken van grote hoeveelheden gegevens), bij het verwerken van gevoelige gegevens , of wanneer de verwerkingen structureel zijn. Aangezien dit laatste voor bijna alle organisaties (hoe klein ook) opgaat, komt het er in de praktijk op neer dat deze verplichting voor alle organisaties geldt. En zelfs al zou het voor uw organisatie niet gelden, verdient het toch aanbeveling om een dergelijk register op te stellen, omdat het een goed overzicht geeft van de verwerkingen die binnen uw organisatie plaatsvinden. Eigenlijk is dit het startpunt om aan de AVG te gaan voldoen. Veel van de informatie die in het verwerkingenregister wordt opgenomen, valt ook onder de informatieplicht en dient dus te worden opgenomen in de privacyverklaring.
De verplichting geldt voor zowel de verwerkingsverantwoordelijke als de verwerker. Wat in het register opgenomen moet worden, verschilt wel voor verwerkingsverantwoordelijke en verwerker.
Het register van de verwerkingsverantwoordelijke moet in ieder geval de volgende informatie bevatten:
• de naam en contactgegevens van verantwoordelijke (of diens vertegenwoordiger, wanneer de verantwoordelijke buiten de EU is gevestigd), en van de functionaris voor gegevensbescherming (indien aanwezig)
• de doeleinden waarvoor gegevens worden verwerkt
• de categorieën gegevens (zoals NAW-gegevens, contactgegevens, betaalgegevens)
• de categorieën betrokkenen (bijvoorbeeld: klanten, websitebezoekers, werknemers)
• de categorieën ontvangers (aan wie worden de gegevens verstrekt?)
• informatie over eventuele doorgifte van gegevens naar landen buiten de EU;
• de bewaartermijnen van de gegevens
• de manieren waarop gegevens zijn beveiligd (bijvoorbeeld: encryptie, logische toegangscontrole, pseudonimisering)
Bij de verwerker is het register georganiseerd per verantwoordelijke. Verwerkers registreren per verantwoordelijke voor wie zij werken de volgende gegevens:
• de naam en contactgegevens van de verwerker en de verantwoordelijke (of hun vertegenwoordigers) en (indien aanwezig) de functionaris voor gegevensbescherming
• de categorieën verwerkingen (dit komt overeen met de doeleinden uit het register van de verantwoordelijke)
• informatie over eventueel doorgifte van gegevens naar landen buiten de EU
• de manieren waarop gegevens zijn beveiligd
De vorm waarin het register is opgesteld is vrij. Het kan bijvoorbeeld makkelijk in een Excel-sheet verwerkt worden.
Een format voor een verwerkingenregister maakt onderdeel uit van het doehetzelf-pakket.