Categorie: Achtergrond

Een blik op het gerechtvaardigd belang

Auteur: Maurice Reedijk

Zoals je ondertussen misschien wel weet onderscheidt de AVG zes verschillende rechtvaardigingsgronden voor de verwerking van persoonsgegevens, oftewel er zijn zes mogelijke voorwaarden die toelaten dat je persoonsgegevens mag verwerken. De laatste grondslag, het gerechtvaardigd belang (artikel 6f AVG) is in mijn ogen het meest interessant. Helaas is deze grondslag in het algemeen niet bruikbaar voor overheden, die zullen zich moeten beroepen op een wettelijke verplichting of een publieke taak. De hamvraag: hoe werkt dat gerechtvaardigd belang nou eigenlijk?

 

Vorig jaar was ik aanwezig bij het IAPP Europe Data Protection Congress in Brussel en heb daar meerdere workshops bijgewoond. De workshop over het bepalen van een gerechtvaardigd belang was daarbij met uitstek het populairst. Het werd al snel pijnlijk duidelijk dat men eigenlijk geen idee heeft over hoe het gerechtvaardigd belang toegepast moet worden. En dat is gek, want voor commerciële bedrijven is dat misschien wel de belangrijkste grondslag voor de verwerking van persoonsgegevens. Veel mensen zijn van mening dat toestemming het meest voor de hand liggend is voor bedrijven, maar mijn collega Karen Siemers heeft in haar blog haarfijn uitgelegd waarom dat toch echt een illusie is (klik hier).

Lees verder

AVG en volmacht

Auteur: Jeroen Terstegge

Onlangs kreeg ik de vraag voorgelegd of een belastingadviseur aan een betrokkene een volmacht kan vragen voor het gebruik van zijn of haar Burgerservicenummer (BSN) ten behoeve van diens belastingaangifte. Een betrokkene kan immers op grond van de UAVG geen toestemming geven voor de verwerking van het BSN door de belastingadviseur. De vraag lag voor of het werken met een volmacht een juridisch toegestaan alternatief was. Mijn antwoord was: ja. Sterker nog, het is naar mijn mening de enige mogelijkheid voor een belastingadviseur om het BSN te mogen verwerken. Art. 46 UAVG schrijft immers voor dat het BSN “slechts (wordt) gebruikt ter uitvoering van de [belastingwetgeving])”. Omdat dat precies het doel van de volmacht is, valt de verwerking door de financieel adviseur dus binnen de toegestane doeleinden van art. 46 UAVG. Omgekeerd: zonder de volmacht is de verwerking van het BSN door belastingadviseurs juist verboden, omdat het BSN dan niet gebruikt wordt voor de uitvoering van de belastingwetgeving. De rechtshandeling waar de volmacht op ziet, is immers het doen van aangifte en dat is hier de “uitvoering” als bedoeld in art. 46 UAVG.  

De relatie tussen de AVG/UAVG en de volmacht (Titel 3 Boek 3 Burgerlijk Wetboek) is voor velen ondoorzichtig. Met enige regelmaat zien we ook dat -soms ten onrechtmatig- toestemming gevraagd wordt waar beter een volmacht had kunnen worden afgegeven of waar ondanks de volmacht alsnog om toestemming van de betrokkene wordt gevraagd. We zetten even een paar belangrijke zaken rondom volmacht en de AVG/UAVG hieronder op een rijtje: Lees verder

De tien grootste misverstanden over de AVG

U hebt waarschijnlijk inmiddels wel gehoord van die nieuwe privacywet die sinds 25 mei van kracht is. Maar is alles wat u hoort of leest ook waar? De 10 grootste misverstanden en fake news op een rijtje:

  1. Het mag niet meer van de nieuwe privacyregels

Met stip op nummer 1: De bewering dat de regels nieuw zijn en dat nu opeens allerlei dingen niet meer mogen van de wet. Niets is minder waar. De meeste regels in de AVG, en zeker de regels die gaan over wat wel en niet mag met persoonsgegevens, zijn helemaal niet nieuw. Bijna al die regels stonden ook al in de vorige wet (de Wet bescherming persoonsgegevens uit 2000) en enkele regels stonden zelfs al in de wet van 1988 (de Wet persoonsregistraties). Grote kans dus dat als u denkt dat iets niet meer mag, u het vóór 25 mei ook al niet mocht. Alleen, u wist dat niet of het interesseerde u niet. Dit geldt trouwens ook voor de meeste rechten van betrokkenen, zoals het inzagerecht, en sommige wettelijke verplichtingen, zoals het sluiten van een verwerkersovereenkomst met een verwerker. Lees verder

Blogserie Wat maakt een goede FG? – De juiste persoon in de juiste setting

FG’s spelen een belangrijke rol bij de bescherming van persoonsgegevens. Essentieel is dat die rol goed wordt ingevuld. Maar wat maakt een goede FG? In deze blog wordt ingegaan op de functie van de FG, zijn profiel en zijn missie. Tien praktische vragen helpen bepalen of de setting waarbinnen een FG moet werken klopt. FG-schap mag best een uitdaging zijn, maar nooit een onmogelijke opdracht.

Een functionaris voor gegevensbescherming (data protection officer) is wettelijk toezichthouder. Je meerwaarde is dat je jouw organisatie als geen ander weet te helpen om privacywetgeving na te leven, vanwege je wetsexpertise en kennis van de praktijk en omdat je het dichtst bij het vuur zit. Dit is sinds de jaren ’90 de kerngedachte achter de FG. Vandaar dat de FG-functie in de Wet Bescherming Persoonsgegevens was opgenomen en nu ook in de Algemene Verordening Gegevensbescherming is teruggekeerd.

Benieuwd naar het hele artikel, inclusief een praktische setting-check? Lees hier de blog als PDF.

Heeft u nog vragen over het FG-schap? U kunt in het onderstaande formulier uw reactie achterlaten. Wilt u geen blog meer missen? Abonneer u dan op de PMP-nieuwsbrief of volg Privacy Management Partners op Twitter of LinkedIn.

Baas over eigen zorgdata in een digitaal landschap

Informatie- en communicatietechnologie biedt zowel burgers als bedrijven en overheden enorme kansen. Dit geldt ook in de gezondheidszorg. Welke beren op de weg kunnen we verwachten? Wat betekent dit voor het recht van de zorgconsument op de informationele zelfbeschikking? Biedt de privacywetgeving op dit moment voldoende bescherming voor de zorgconsument? Hieronder wordt ingegaan op deze vragen.

Lees verder

Medeverantwoordelijkheid in het geval van een fanpagina

Ben je als beheerder van een fanpagina op Facebook medeverantwoordelijk voor de verwerking van persoonsgegevens via die pagina? Dit was recentelijk de centrale vraag die het Europese Hof van Justitie (HvJ EU) kreeg voorgelegd. Het antwoord op deze vraag lijkt ogenschijnlijk eenvoudig: nee. Immers, als beheerder maak je gebruik van een platform dat door Facebook wordt aangeboden. Facebook bepaalt voor welk doel en op welke wijze zij persoonsgegevens van de bezoekers op jouw fanpagina verwerkt. Dan is Facebook toch de verantwoordelijke? Het HvJ EU ziet dat bij bepaalde omstandigheden anders…

Facebook biedt allerlei diensten aan die kosteloos gebruikt kunnen worden. Een van die mogelijkheden is het aanmaken van een (fan)pagina. Bedrijven gebruiken het bijvoorbeeld om hun merk of product te promoten terwijl fans het gebruiken om samen te praten over hun favoriete band. De beheerder van de pagina moet een specifieke overeenkomst met Facebook sluiten en instemmen met de gebruikersvoorwaarden.

Lees verder

Aandachtspunten bij eHealth voor zorgaanbieders

Zorg staat (weer) op de agenda van de Autoriteit Persoonsgegevens dit jaar. Vorig jaar was AP al bezig met gezondheidsgegevens in commerciële context. Dit jaar spreekt de AP in het toezichtskader[1] over risicogericht toezicht op zorginstellingen. Speciale aandacht gaat zoals vanouds uit naar de beveiliging van medische gegevens. Ook focust de AP zich extra op de juiste grondslag met name bij uitwisselingen van medische gegevens. Tot zover geen spannende ontwikkelingen waar organisaties niet reeds waakzaam voor zijn in praktijk. Er zijn meer enerverende uitdagingen waar in deze blog een achtergrond voor wordt geschetst: eHealth. 

 

Lees verder

Zwarte doos in de auto langs de AVG

Een zwarte doos in de auto wordt al gebruikt door de politie bij verkeersongevallen. Verzekeraars willen ook toegang tot die gegevens om bijvoorbeeld fraude terug te dringen. Hoe verhoudt zich dat tot de Algemene Verordening Gegevensbescherming (AVG)?

 

Event Datarecorder (EDR)

Verzekeraars vinden dat alle auto’s moeten worden uitgerust met een ‘zwarte doos’, hoorden we in het nieuws afgelopen maand. Deze event datarecorder (EDR) registreert de laatste secondes voor en na een ongeluk. Niet alleen dat, ook wordt vastgelegd hoe hard er wordt gereden, hoe lang de remweg was en of de bestuurder een gordel droeg. Hiernaast kan het gedrag van de bestuurder worden geregistreerd, bijvoorbeeld of hij aan het bellen was tijdens een aanrijding. Bij nieuwe auto’s kun je zo’n chip vaak onder de motorkap vinden. De gegevens worden opgeslagen zodra de airbag of de gordel worden geactiveerd.

Lees verder

Profilering en geautomatiseerde individuele besluitvorming: aandachtspunten uit de WP29 Richtlijn

Terwijl Cambridge Analytica, Facebook en de sleepnetwet genoeg media aandacht krijgen moet compliance met de AVG ondertussen ook nog worden geregeld. De Artikel 29 Werkgroep heeft de richtlijnen over het verwerken van persoonsgegevens in de context van profilering en geautomatiseerde individuele besluitvorming inmiddels aangepast, definitief gemaakt en staan ze klaar om te worden toegepast. In deze blog komen enkele opvallende punten uit de richtlijn aan bod.

Lees verder