De tien grootste misverstanden over de AVG

U hebt waarschijnlijk inmiddels wel gehoord van die nieuwe privacywet die sinds 25 mei van kracht is. Maar is alles wat u hoort of leest ook waar? De 10 grootste misverstanden en fake news op een rijtje:

  1. Het mag niet meer van de nieuwe privacyregels

Met stip op nummer 1: De bewering dat de regels nieuw zijn en dat nu opeens allerlei dingen niet meer mogen van de wet. Niets is minder waar. De meeste regels in de AVG, en zeker de regels die gaan over wat wel en niet mag met persoonsgegevens, zijn helemaal niet nieuw. Bijna al die regels stonden ook al in de vorige wet (de Wet bescherming persoonsgegevens uit 2000) en enkele regels stonden zelfs al in de wet van 1988 (de Wet persoonsregistraties). Grote kans dus dat als u denkt dat iets niet meer mag, u het vóór 25 mei ook al niet mocht. Alleen, u wist dat niet of het interesseerde u niet. Dit geldt trouwens ook voor de meeste rechten van betrokkenen, zoals het inzagerecht, en sommige wettelijke verplichtingen, zoals het sluiten van een verwerkersovereenkomst met een verwerker.

  1. Je kan extreem hoge boetes krijgen.

Ja, maar die worden niet zomaar opgelegd. De wet zegt dat een boete “afschrikwekkend” moet zijn (dus niet te laag zodat je het niet gauw nog een keer zult doen), maar ook dat een boete “proportioneel” moet zijn (dus niet te hoog; niet alleen moet de boete evenredig zijn aan de ernst van het begane feit, maar je mag er in principe ook niet financieel door in de problemen raken). Die miljoenenboetes in de wet zijn vooral bedoeld voor de hele grote bedrijven die als hun core business op grote schaal onze gegevens verwerken, zoals Facebook en Google. Bovendien is een boete ook niet de meest logische sanctie. Veel logischer is dat de toezichthouder, de Autoriteit Persoonsgegevens, een zogeheten ‘last onder dwangsom’ oplegt. Zo’n dwangsom hoef je niet te betalen als je netjes en binnen de gestelde termijn het bevel van de AP opvolgt. En last, but not least, de boete was onder de vorige wet ook al hoog: maximaal 830.000 euro per overtreding (nu 20 miljoen voor bij elkaar horende overtredingen) of 10% van de jaaromzet (nu 4%).

  1. Je hebt altijd toestemming nodig

Nee, er zijn zes gronden om persoonsgegevens te mogen verwerken. Slechts één daarvan is de toestemming van de betrokkene. Je hebt dus geen toestemming nodig in de andere vijf gevallen, te weten: 1) het aangaan of de uitvoering van een overeenkomst met de betrokkene (bijv. een koopovereenkomst, een arbeidsovereenkomst of een lidmaatschap), 2) de nakoming van je wettelijke verplichtingen (bijv. het bewaren van je administratie voor de belastingdienst of het nakomen van je verplichtingen onder de Arbowet), 3) het redden van iemands leven of beschermen van zijn/haar gezondheid (kortom, niemand hoeft dood te gaan van de privacywet), 4) het uitvoeren van een wettelijke taak door een overheidsinstantie, en 5) het behartigen van een gerechtvaardigd belang van jouw organisatie of van een ander aan wie je de gegevens verstrekt (denk bijv. aan beveiliging van je bedrijf met camera’s, marketing, intern beheer of een zakelijke overeenkomst met een derde). In de gevallen 4 en 5 moet er vooraf wel een belangenafweging gemaakt worden met de belangen van de betrokkene(n). Is de uitkomst daarvan in het voordeel van de betrokkene, dan zal je alsnog toestemming moeten vragen.  Wil je direct marketing doen per e-mail of cookies gebruiken op je website, dan heb je vaak ook toestemming nodig, maar dat was al jaren wettelijk verplicht en staat ook niet in de AVG, maar in de Telecommunicatiewet. Het feit dat je zoveel mailtjes daarover hebt gehad, had waarschijnlijk vooral te maken met twijfel of al die toestemmingen wel correct verkregen waren (en dus rechtsgeldig zijn) en verder vrij weinig met de AVG zelf. Overigens heb je bijna nooit toestemming nodig om gegevens te mogen verwerken, behalve als het wettelijk verplicht is (zoals bij e-mail marketing en cookies) of als je iets doet met gegevens wat iemand redelijkerwijs niet van jou hoeft te verwachten. In alle andere gevallen heb je waarschijnlijk genoeg aan een van de andere vijf grondslagen en hoef je dus geen toestemming te vragen. En onthoudt: als je toch toestemming vraagt ook al had je het niet nodig en iemand zegt “nee”, dan mag je geen gegevens verwerken, punt. Doe dus je huiswerk en vraag geen toestemming als het niet hoeft.

  1. Je moet altijd toestemming hebben van de ouders voor de verwerking van gegevens over kinderen.

Onzin. De AVG en aanvullend de Uitvoeringswet AVG (UAVG) stellen alleen maar dat als je toestemming gebruikt als grondslag (zie hierboven punt 3), die toestemming door de ouders gegeven moet worden zolang het kind nog geen 16 is. In geval van de andere vijf grondslagen heb je geen toestemming nodig om gegevens over kinderen te mogen verwerken en hoeven de ouders dus ook geen toestemming te geven. Wel ligt bij de belangenafweging bij het gerechtvaardigd belang de lat hoger als de betrokkene een kind is, zodat je iets sneller toch om toestemming van de ouders moet vragen om de gegevens toch voor die gerechtvaardigde belangen te mogen verwerken (denk bijv. aan direct marketing aan kinderen).

  1. Je moet met iedere dienstverlener aan wie je persoonsgegevens verstrekt een verwerkersovereenkomst sluiten.

Nee. Niet iedere dienstverlener aan wie je persoonsgegevens verstrekt, is een verwerker. In de meeste gevallen is sprake van een zogeheten ‘derdenverstrekking’ van de ene verantwoordelijke aan de andere verantwoordelijke. Maar, ik hoor het u denken, wat nou als die andere partij een datalek heeft? Heel simpel: AVG-technisch is dat niet uw probleem. Misschien heeft u wel iets uit te leggen aan de betrokkenen, maar dat gaat meer over uw reputatie dan over uw juridische verantwoordelijkheden. Had u maar beter op moeten letten toen u met die partij in zee ging. In het beste geval is zo’n datalek reden om de samenwerking te beëindigen.

Hoe herken je nu een verwerker? Ook dat is niet heel ingewikkeld. Als de kernactiviteit van de dienstverlener is het namens u verwerken van uw persoonsgegevens, dan is de dienstverlener een verwerker. Denk bijvoorbeeld aan een ICT-hostingsbedrijf, een externe salarisadministrateur, of een beveiligingsbedrijf dat uw receptie runt en uw bewakingscamera’s in het oog houdt. Maar als de kernactiviteit van de dienstverlener niets met verwerking van uw persoonsgegevens te maken heeft, dan wel de gegevensverwerking slechts bijzaak is, dan is de dienstverlener geen verwerker en heeft u dus geen verwerkersovereenkomst nodig. Denk bijvoorbeeld aan een bloemist die in uw opdracht bloemen aflevert bij een jubilaris of een zieke, een arbodienst, een advocaat of accountant, een trainings- of congresbureau, een hotel voor uw heiweekend met uw personeel, of een leasemaatschappij. In al deze gevallen verstrekt u wel persoonsgegevens, vaak van uw medewerkers, aan deze partijen, maar zij zijn zelf verantwoordelijk voor de naleving van de AVG. Mocht u er behoefte aan hebben, dan zou u kunnen overwegen met zo’n partij een geheimhoudingsverplichting (NDA) overeen te komen, maar dat is alleen zinvol als zo’n afspraak toegevoegde waarde heeft (bedrijfsartsen en advocaten hebben bijvoorbeeld al een beroepsgeheimhoudingsplicht) en u ook iets te onderhandelen heeft (een vliegtuigmaatschappij waar u een ticket boekt voor uw personeel zal zo’n NDA waarschijnlijk niet accepteren).

Er zijn overigens ook dienstverleners die noch verantwoordelijke noch verwerker zijn voor uw gegevens. Zo zijn een postbedrijf en een telecombedrijf noch verantwoordelijke noch verwerker voor wat betreft de doorgifte van (de inhoud van) uw bericht. Zogeheten ‘mere conduit’ is namelijk geen ‘verwerking van persoonsgegevens’. En een uitzendbureau stuurt u wel een uitzendkracht die uw gegevens verwerkt, maar die verwerking wordt aan u als feitelijke werkgever van die uitzendkracht toegerekend en niet aan het uitzendbureau. Die laatste verwerkt uw gegevens dus niet en houdt ook geen toezicht op de verwerking van uw persoonsgegevens; dat doet u als feitelijke werkgever zelf. Ook met deze partijen hoeft u onder de AVG dus niets te regelen, en al helemaal geen verwerkersovereenkomst.

  1. De AVG is van toepassing op EU-burgers

Nee, de AVG is van toepassing op de verwerking van persoonsgegevens van bedrijven (en andere instanties) in het kader van de activiteiten van hun Europese vestigingen, ongeacht de nationaliteit of woonplaats van de betrokkene. Een bedrijf in Amsterdam dat alleen gegevens verwerkt van Amerikanen, moet zich toch gewoon aan de AVG houden. Dit misverstand is ook wijdverbreid buiten de EU. Veel Amerikaanse websites sluiten Europese gebruikers af vanwege de AVG. Maar een niet-Europees bedrijf hoeft zich pas aan de AVG te houden als het zich “richt” op mensen in de EU. De AVG is dus vaak niet van toepassing als je als Europeaan iets koopt in een Amerikaanse webshop of een Amerikaanse website bezoekt.

  1. Iedereen moet een privacy officer (FG, DPO) benoemen

Wederom nee. Een functionaris voor de gegevensbescherming (FG, of in het Engels DPO) is maar in enkele gevallen verplicht (bijvoorbeeld voor de overheid en voor bedrijven die als kernactiviteit grootschalig medische gegevens verwerken of het gedrag van mensen in kaart brengen). In alle andere gevallen is het benoemen van een FG vrijwillig. Zo’n FG moet overigens wel verstand van zaken hebben, dus je kan niet zomaar iedereen aanwijzen. En de FG is ook niet verantwoordelijk voor de naleving van de wet; dat is en blijft het management. Maar het is in een grotere organisatie vaak wel zinvol om iemand aan te wijzen die als eerste zijn of haar vinger opsteekt als er persoonsgegevens worden verwerkt en iets meer verstand heeft van de AVG dan de rest.

  1. Je moet persoonsgegevens verwijderen als iemand daar om vraagt.

Nee. Sterker nog, als je 100% compliant bent met de AVG, dan zou zo’n verzoek om ‘vergeten te worden’ meestal moeten falen. De belangrijkste reden om zo’n verzoek wel te honoreren, is als je de gegevens niet (meer) nodig hebt. Lees: je hebt te veel gegevens verzameld of de bewaartermijn is verstreken en je hebt de gegevens niet zelf al verwijderd. De betrokkene kan dan eisen dat je de gegevens alsnog verwijdert. Maar je hoeft dus geen gevolg te geven aan zo’n verzoek als je de gegevens nog steeds nodig hebt (bijv. als bewijs of omdat je de overeenkomst met de betrokkene anders niet kan nakomen) of als je de gegevens nog een tijdje moet bewaren van de wet (bijv. in je administratie ten behoeve van de belastingdienst). Probleem is natuurlijk dat veel organisaties nog op stapels persoonsgegevens zitten die ze allang hadden moeten weggooien en dus zullen we in de komende tijd nog veel terechte verwijderingsverzoeken zien.

  1. Je moet een datalek binnen 72 uur na ontdekking melden bij de AP

Ja en nee. Je moet een beveiligingsincident zo spoedig mogelijk, en als het even kan binnen 72 uur, nadat je hebt vastgesteld dat dat incident kwalificeert als een datalek in de zin van de definitie is de wet, melden bij de AP. De wet kwalificeert een datalek als “een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens”. Je mag best even de tijd nemen (niet lang) om vast te stellen of het incident ook dergelijke gevolgen heeft gehad. Anders dan in de oude wet is het onder de AVG niet van belang of je redelijkerwijs een datalek niet kan uitsluiten. De wet is soepeler op dit punt. Kom je na een (voorlopig) onderzoek niet “redelijkerwijs tot de overtuiging” dat er sprake is van een datalek, dan is het incident dus geen datalek in de zin van de AVG. Overigens hoef je niet elk datalek te melden bij de AP. Alleen de datalekken die een risico opleveren voor de betrokkene(n) of zijn/haar omgeving worden gemeld. Zogeheten ‘bagatelzaken’ hoef je dus niet te melden, alleen intern te registreren. En als het risico waarschijnlijk hoog is, dan moet het ook worden gemeld aan de betrokkene. Maar bij dat laatste geldt: luister eerst naar je crisiscommunicatiespecialisten en dan pas naar je juristen. Het laatste wat je moet doen is de indruk wekken dat je een datalek onder de pet hebt willen houden. Mocht je langer dan 72 uur nodig hebben om vast te stellen dat er sprake is van meer dan een verwaarloosbaar risico voor de betrokken personen, dan is er geen man overboord. Je moet wel kunnen uitleggen aan de AP waarom het niet binnen 72 uur gelukt is.

Een andere veelgemaakte fout is dat mensen denken dat de tijd die een verwerker nodig heeft om een datalek bij jou als verantwoordelijke te melden, af gaat van jouw 72 uur om een datalek bij de AP te melden. Ook dat is niet waar. Een verwerker moet een datalek “onverwijld” melden bij de verantwoordelijke. Die mag dan een (voorlopig) onderzoek doen of er inderdaad sprake is van een datalek. Pas als het antwoord op die vraag bevestigend is, begint de 72 uur pas te lopen. Maar niet te lang wachten met je onderzoek, anders loop je het risico alsnog een boete te krijgen. Niet voor het te laat melden (art. 33/34 AVG), naar voor het niet op orde hebben van “passende beveiliging” (art. 32) waartoe ook het gezwind onderzoeken van beveiligingsincidenten behoort.

  1. Je kan als bestuurder/directeur persoonlijk een boete krijgen.

Ja, in theorie wel. Maar dat staat niet in de AVG of de UAVG, maar volgt uit 100 jaar oude jurisprudentie van de Hoge Raad over het vervolgen van “feitelijk leidinggevenden” voor overtredingen van de wet. Als een directeur dus opdracht geeft om de AVG te overtreden dan zou hij/zij in theorie als “medepleger” kunnen worden beschouwd en zelf ook een boete kunnen krijgen. Zo’n boete is echter hoogst onwaarschijnlijk. Maar het blijft een goed argument om tegenstribbelende of inactieve bestuurders tot de juiste actie te bewegen.

9 reacties

  1. Michiel Benda schreef:

    Een goede samenvatting van een aantal heel bekende misverstanden. Dank hiervoor en voor de aanvullende inzichten die je me wederom geeft in je artikelen. In deze zijn er wel een aantal dingen die me verbaasden, maar wellicht zie ik ze niet goed. Ik heb wat opmerkingen bij je 10 punten gemaakt. ie het vooral niet als kritiek (ik zou niet durven), maar ik hoop dat je tijd hebt om mijn misverstanden verder uit de lucht te halen.

    1. Mooi gesteld. Ik denk dat voor veel bedrijven nu geldt dat de risico’s om de AVG niet op te volgen te groot zijn en dus dat men maatregelen gaat nemen. Het is aan de AP om dat gevoel in stand te houden, anders vervalt de opvolging van de AVG snel terug naar de compliance van de WBP.
    2. Ik weet dat de WBP zich richt op het wetboek van strafrecht. Dit zie ik echter niet terug in de AVG en ook niet in de uitvoeringswet. De draagbaarheid komt uit het wetboek van strafrecht en dat zie ik dus niet terug. Bovendien is de bepaling gericht op de enterprise en niet alleen op de rechtspersoon, zoals dat in mijn beleving wel is in de WBP. De boete is dus wel degelijk groter en kan dus grote consequenties hebben voor de organisatie. Dit is volgens mij een belangrijke reden waarom er zo bar weinig bedrijven invulling geven aan AVG artikel 27 – het risico is veel te groot dat de organisatie klapt.
    3. Echt goed verwoord. Ik probeer dit aan veel klanten uit te leggen. Helaas merk ik dan dat ik idd vaak te laat ben en dat de toestemmingsverzoeken er al uit gegaan zijn. Zonde!
    4. Ik doe weinig met gegevens van kinderen. Zo had ik ‘m nog neit bekeken, maar dit is heel logisch idd. Dank voor het inzicht.
    5. Dit is wel de meeste heftige discussie die ik steeds tegenkom. In je eerste paragraaf snijd je echter precies het probleem aan dat ik zie: reputatie schade. Dat is een belangrijke reden om toch eisen te stellen aan de dienstverlener waarmee je werkt, ongeacht of dat nu een verwerker is of een verwerkingsverantwoordelijke. Mijns inziens is dit een zwakke plek in de AVG. Ik had liever gezien dat men verplicht had afspraken te maken over het uitbesteden van verantwoordelijkheden rondom de persoonsgegevens, ongeacht of die rechtspersoon nu processor of (joint) controller is.
    6. Ik ben verbaasd over hoe je de toepassing ziet. Als ik de uitvoeringswet, artikel 4, lid 2a bekijk, geven ze juist het voorbeeld van de verkoop van producten en diensten aan NL burgers door bedrijven in het buitenland. Hoe interpreteer jij dit?
    7. Duidelijke samenvatting. Gelukkig zie ik deze niet zo vaak. Ik merk meer dat men wel een DPO nodig heeft (door structurele verwerking van medische gegevens bijvoorbeeld) zonder dat dit erkent wordt.
    8. Ik snap wat je zegt, maar vind het wel iets te kort door de bocht. Er zijn bedrijven die wel degelijk gegevens bezitten die vanuit de bedrijfsvoering als “nodig” gezien worden (e.g. verwerking van big data, sociale media functionaliteiten bij bedrijven, e.d.) Bovendien zullen er niet veel bedrijven zijn die in hun dagelijkse backups geen persoonsgegevens hebben die wellicht niet meer noodzakelijk zijn, maar waarvan het technisch gezien niet haalbaar is om ze van de backup te verwijderen. Ik heb bij de AP al gezien dat ze dit probleem erkennen en een alternatieve oplossing (namelijk erop toezien dat de data die vergeten moet zijn niet meer terug komt in de productieomgeving).
    9. Ik begreep uit wp250 dat de controller bewust is zodra de processor bewust is van een mogelijk datalek. Dit impliceert mijns inziens dat de klok begint te tellen zodra de processor bewust is van het mogelijke datalek. Dit is overigens iets waar ik altijd anders tegenaan heb gekeken dan wat je beschrijft. De richtlijn specificeert ook dat het gaat om de kans inschatting dat er een risico op datalekken van persoonsgegevens is. Je mag dus niet wachten tot je zeker bent, maar moet een schatting maken of dit het geval is. Die harde lijn van 72 uur maakt het inderdaad spannend vor iedereen, maar over het algemeen lijkt het me niet moeilijk te verantwoorden aan de AP als het iets langer duurt. Ik heb nog niet gezien dat ze daar op straffen. Jij wel?
    10. Mooi samengevat. Het argument helpt zeker om de tone at the top te beinvloeden.

    Een heel verhaal. Dank nogmaals voor je inzichten. Ze zijn zoals altijd zeer waardevol.

  2. Guus schreef:

    Graag meer van dit soort realistische beschouwingen over de AVG, er wordt al veel te veel onzin rondgebazuind.

  3. Hans van Breukelen schreef:

    Dank je wel Jeroen.
    Helder verhaal !
    Dit zijn inderdaad een aantal van de meest hardnekkige misverstanden waar je in de praktijk tegenaan loopt.

  4. Maarten schreef:

    Goed verhaal! Ben benieuwd naar bronnen die eea tav van 5. bevestigen, bij voorkeur in Engelse taal om ook anderstaligen te overtuigen. Heb je daar wellicht iets voor?

  5. Jeroen Terstegge schreef:

    Maarten, dit is al 23 jaar de uitleg die eraan gegeven wordt. Zie ook de Handleiding AVG van het Ministerie van Justitie, pag. 33. https://www.rijksoverheid.nl/binaries/rijksoverheid/documenten/rapporten/2018/01/22/handleiding-algemene-verordening-gegevensbescherming/Handleiding+Algemene+verordening+gegevensbescherming.pdf
    Verder uiteraard de opinie WP169 van de Artikel 29 Werkgroep.

  6. Jeroen Terstege schreef:

    Michiel,
    Ad 2) De draagbaarheid is ook een beginsel in ons bestuursrecht. Een AVG-boete is in NL immers een bestuurlijke boete als bedoeld in Titel 5.4 Algemene wet bestuursrecht, meer in het bijzonder art. 5:46. Verder geldt dat de boete gericht is op herstel van compliance (zie ook WP253. Een boete die niet gedragen kan worden of een boete die zo hoog is dat er geen geld meer over is om aanpassingen door te voeren, is daar dus mee in strijd.
    Ad 5) Vaak heb je bij derdenverstrekkingen tussen controllers niets te onderhandelen vanwege algemene voorwaarden aan de zijde van de aanbieder. Je kan je proberen in te dekken, maar dat ik een puur civiele aansprakelijkheidskwestie, waar de AVG buiten staat. Vaak heb je ook te maken met de verzekeringsvoorwaarden van de dienstverlener. Ik zou me er niet al te druk om maken vanuit gegevensbeschermingsopzicht. Kijk maar hoever je komt met de aansprakelijkheidsclausule. Overigens is het volkomen terecht dat de AVG hierover zwijgt. Maar onduidelijk is het wel als mensen niet voldoende op de hoogte zijn van de AVG en haar achtergronden. Consequentie van die onduidelijkheid is dat veel partijen elkaar bij het zakendoen in de weg zitten. Mijn advies: ga gewoon met elkaar in zee, meestal loopt het goed. Leer af om je overal tegen in te dekken. En als je schade lijdt, heb je 2000 jaar aan civiel recht tot je beschikking om die schade te verhalen.
    Ad 6) Art. 4 UAVG is op dit punt een kopie van art. 3 AVG. Het gaat over het aanbieden van goederen en diensten (zie Alpenhof-arrest van Europees Hof en de woorden “klaarblijkelijk voornemens” in overweging 23 AVG).
    Ad 8) Wat nodig is volgt uit het doel van de verwerking, zoals vastgelegd in het verwerkingsregister en de privacyverklaring. Maar uiteindelijk is het altijd een beoordeling van een concrete casus. Maar als een organisatie kan uitleggen waarom de gegevens nodig zijn, dan hoeven ze dus niet verwijderd te worden.
    Ad 9) Let op dat je steeds de laatste versie van een opinie leest. De EDPB publiceert een opinie ter consultatie en publiceert de definitieve versie als Rev01. Dit is ook gebeurt met WP250rev01, waarin juist het punt van de 72 uur in geval van een datalek bij een verwerker -terecht- gewijzigd is conform wat ik schreef.

  7. P. Broekhuizen schreef:

    Dank voor de zeer goede toelichting. Hoe moeten we in de sportwereld in dit kader omgaan met het publiceren van uitslagen, persoonlijke records, ranglijsten en statistiek? Ook de geboortedatum publiceren is in discussie, maar die is in openbaarheid nodig om te kunnen zien of iemand bij de jeugd in een bepaalde leeftijd categorie thuis hoort. Ook blijft er niets van ranglijsten over als je daar mensen in hebt staan waarvan de resultaten niet gepubliceerd mogen worden.

  8. Jeroen Terstegge schreef:

    Geachte heer/mevrouw Broekhuizen,
    Voor publicatie van persoonsgegevens gelden een aantal spelregels:

    Is de mededeling nodig voor een belang van de club of een derde? Zo ja, is dat belang legitiem (dwz niet verboden in de zin van smaad of andere dingen die niet mogen van de wet)? En indien legitiem, zijn er belangen van de betrokkene die zich tegen publicatie verzetten? Denk bijv. privacy, reputatie, non-discriminatie, financiėle belangen, etc). Zo ja, dan moet u voor publicatie de belangen afwegen, waarbij u met het volgende rekening moet houden: a) worden de gegevens gepubliceerd in een context waarin de betrokkene verbaasd staat te kijken dat de gegevens zijn gepubliceerd? b) is de aard van de gegevens gevoelig (bijv. van medische aard of stignatiserend)? c) worden de gegevens in de volle openbaarheid gepubliceerd (bijv. op de website gezet) of worden ze enigszins afgeschermd (bijv. in het ledendeel van de website)? De AVG eist namelijk dat u de gegevens niet verder verspreid dan nodig (privacy by default). d) heeft de publicatie potentieel negatieve gevolgen voor de betrokkene?, en e) kunt u maatregelen nemen om de impact op de betrokkene te verzachten (bijv. iemand in de gelegenheid stellen on bezwaar te maken tegen de publicatie). Slaat deze belangenafweging, mede gelet op de genomen maatregelen, in het voordeel van de club uit, dan mag u de gegevens publiceren. Zo nee, dan moet u toestemming vragen. En is de betrokkene een kind onder de 16, dan moeten de ouders dus die toestemming geven (eentje is genoeg). In het algemeen zal gelden dat publicatie binnen de vereniging,, zoals in clubblaadjes, prikborden in het clubgebouw en het afgesloten ledendeel van de website, geen probleem zal zijn.

    NB. Dient de publicatie een journalistiek doeleinde, zoals een verslag voor derden die er niet bij waren in het clubblad of in een persbericht, dan zijn de meeste regels van de AVG niet van toepassing. Wel moet het behoorlijk, proportioneel en rechtmatig zijn. En bijzondere gegevens zoals pasfoto’s en medische gegevens mag je alleen zonder toestemming publiceren als deze gegevens noodzakelijk zijn voor de boodschap. Ook heb je in dat geval geen toestemming van de ouders nodig als je gegevens van kinderen publiceert. Je mag ook voor journalistieke doeleinden dus niet zomaar alles publiceren.
    2) Voor alle andere vormen van publicatie (zeg maar openbaar toegankelijke mededelingen) is het afwegingskader als volgt:

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *