Advies

AVG dwingt tot focus op privacybeleid

In de groeiende data-economie dragen organisaties steeds meer maatschappelijke verantwoordelijkheid. Ze moeten de balans bewaken tussen privacybescherming van betrokkenen en het benutten van persoonsgegevens.

De inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG) op 25 mei 2018 stelt organisaties voor de complexe uitdaging om tijdig AVG-compliant te zijn. Tegelijkertijd biedt de nieuwe Europese privacywet kansen. Bijvoorbeeld op versnelde innovatie en verbeterde transparantie. Door te sturen op een ‘privacy mindset’ in de bedrijfsvoering en bij productontwikkeling, zijn die kansen te verzilveren.

 

Persoonsgegevens en privacy

De AVG, die internationaal bekendstaat als de General Data Protection Regulation (GDPR), dwingt organisaties tot focus op privacybeleid. De AVG versterkt de privacyrechten van mensen van wie gegevens worden verwerkt. En daarvan is al snel sprake. De AVG verbreedt namelijk de definitie van persoonsgegevens: ook gepseudonimiseerde gegevens vallen onder de nieuwe privacywet. Denk dan aan (versleutelde) persoonsgegevens die met aanvullende gegevens alsnog naar een identificeerbare natuurlijke persoon herleid kunnen worden. Zo vallen ook klantnummers, IP-adressen en gegevens waarop encryptie is toegepast onder de AVG.

 

Impact van de AVG

AVG-compliant worden behelst méér dan alleen een IT-project. Het heeft impact op verschillende organisatieonderdelen, zoals marketing, sales, customer service, finance en administratie. Medewerkers op deze afdelingen werken namelijk (vrijwel) allemaal met persoonsgegevens, direct of indirect. Compliant worden is daarnaast geen eenmalig project, maar vergt het optuigen van een continu en duurzaam proces. De AVG legt vast onder welke voorwaarden een organisatie persoonsgegevens mag verwerken. Deze regelgeving moet worden ingebed in de werkcultuur en in de dagelijkse werkzaamheden van iedereen die op enige manier werkt met gegevens van klanten, medewerkers of andere stakeholders. Ook heeft de AVG communicatieve implicaties. Organisaties dienen aantoonbaar te maken dat zij aan de regels voldoen. Registers dienen bijvoorbeeld op orde te zijn en naar betrokkenen dient ondubbelzinnig te worden aangegeven hoe er met hun persoonsgegevens wordt omgegaan. Dat vraagt om slimme en gerichte communicatie naar stakeholders. Een stevige opgave, waarbij eveneens veel medewerkers betrokken zijn.

"Compliant worden is daarnaast geen eenmalig project, maar vergt het optuigen van een continu en duurzaam proces."

Rens Bogers (BOOM)

Doel en grondslag

Organisaties mogen persoonsgegevens alleen verwerken voor een specifiek gedefinieerd doel en met een rechtmatige grondslag. Een e-mailmarketingcampagne mag dus alleen worden verstuurd naar een adressenbestand waarvan het doel en de rechtvaardiging duidelijk zijn geregistreerd. Bovendien gaat het principe ‘eens gegeven, altijd gegeven’, niet op. Gegevens moeten op verzoek kunnen worden aangepast of verwijderd, binnen een reactietijd van één maand. Daarbij wordt nogal eens vergeten dat de wetgeving ook serieuze impact heeft op de B2B-sector. De AVG gaat namelijk over gegevens van natuurlijke personen, zoals burgers of consumenten, maar ook over gegevens van contacten van rechtspersonen. Dus ook over de database met contactpersonen van klanten en leveranciers, die iedere organisatie in haar CRM-systeem heeft staan. In al die gevallen is een gerechtvaardigde grondslag vereist voor de verwerking van persoonsgegevens.

 

Zes grondslagen

Het is een veelgemaakte denkfout dat organisaties voor ál hun gegevensverwerkingen toestemming van de personen in kwestie nodig hebben. Dat is niet zo. Het gaat erom dat er een rechtsgeldige grondslag is voor de verwerking van persoonsgegevens. Toestemming is één van de in totaal zes mogelijke grondslagen:

  1. Toestemming van de persoon
  2. Vitaal belang voor de persoon
  3. Wettelijke verplichting voor de organisatie
  4. Noodzakelijk voor het uitvoeren van een overeenkomst
  5. Algemeen belang
  6. Gerechtvaardigd belang voor de organisatie

In bepaalde gevallen is toestemming zelfs géén rechtsgeldige grondslag, bijvoorbeeld wanneer er sprake is van een arbeidsrelatie. Het geven van toestemming dient namelijk altijd een vrije keuze te zijn. Bij een arbeidsrelatie tussen werkgever en werknemer is daarvan vrijwel nooit sprake. In dit geval is het beter om een overeenkomst of een gerechtvaardigd belang op te voeren als grondslag voor de gegevensverwerking.

 

In de praktijk

Van de zes mogelijke grondslagen zijn er in de praktijk vaak maar een paar relevant. Verwerkingen van gegevens op basis van een vitaal belang komen weinig voor, zoals bij een levensbedreigende situatie voor de persoon in kwestie. Organisaties met een zware maatschappelijke of publiekrechtelijke taak kunnen zich op de grondslag ‘algemeen belang’ beroepen. Denk bijvoorbeeld aan verwerkingen van persoonsgegevens door gemeenten of politie.

Ook gegevensverwerkingen vanuit een wettelijke verplichting of overeenkomst betreffen veelal afgebakende situaties. Dit zijn verwerkingen die nodig zijn om afspraken die contractueel zijn vastgelegd, te kunnen nakomen. Een eenvoudig voorbeeld: om producten fysiek te kunnen leveren, is verwerking van adresgegevens noodzakelijk. Let er wel op dat aanvullende gegevensverwerkingen níet onder deze zelfde grondslag mogen worden uitgevoerd. Voor analyses van koopgedrag die als doel hebben om gerichte aanbiedingen te kunnen doen, bijvoorbeeld een andere grondslag worden opgevoerd.

Veel organisaties zullen een groot deel van de verwerkingen die zij uitvoeren, moeten legitimeren op basis van de grondslagen ‘gerechtvaardigd belang’ of ‘toestemming’. Een zorgvuldige afweging is hier noodzakelijk, omdat het niet is toegestaan om achteraf nog van grondslag te wisselen.

 

Wel of geen toestemming als grondslag?

Het verschil tussen de grondslagen ‘gerechtvaardigd belang’ en ‘toestemming’ is wíe de afweging maakt tussen het belang van de persoon en het belang van de organisatie. Bij toestemming is het aan de betreffende persoon om zijn of haar eigen belang af te wegen en wel of geen akkoord te geven voor gegevensverwerking; bij een gerechtvaardigd belang is het de organisatie die deze afweging maakt én moet verantwoorden.

Wat veel organisaties onvoldoende beseffen, is dat een aantoonbaar marketingbelang prima is aan te voeren als een gerechtvaardigd belang. Dat biedt ruimte en mogelijkheden voor direct marketing, mits de grondslag en het doel goed zijn vastgelegd. Het gerechtvaardigd belang als grondslag heeft bovendien voordelen bij verwerkingen die cruciaal zijn voor de bedrijfscontinuïteit. Deze verwerkingen zijn bij voorkeur niet op basis van toestemming gebaseerd, omdat die toestemming zonder opgaaf van redenen mag worden ingetrokken.

Soms is het echter juist wél slim om te kiezen voor toestemming. Bij persoonsgegevens die niet van wezenlijk belang zijn voor het bedrijfsresultaat, is toestemming immers de grondslag die de minste discussie oproept. Organisaties hoeven zich geen zorgen te maken over verantwoording naar de toezichthouder wanneer zij de toestemming registreren en kunnen aantonen. Daarnaast gaat het verkrijgen van toestemming samen met goed verwachtingsmanagement. Bij gegevensverwerkingen die een persoon niet verwacht, is het vragen van toestemming waarschijnlijk zelfs de enige mogelijkheid. Bovendien is het voor organisaties een extra kans om open en eerlijk met hun stakeholders te communiceren en zo te werken aan waardevolle, duurzame (klant)relaties.

 

Dataminimalisatie

Een belangrijk uitgangspunt in de AVG is het principe van dataminimalisatie. Simpel gesteld worden organisaties verplicht om alleen gegevens te verwerken die noodzakelijk zijn voor het vastgelegde doel. Dataminimalisatie en doelbinding vormen daarom twee belangrijke begrippen op het vlak van AVG-compliancy.

Binnen de privacywet wordt in dit kader ook wel gesproken over privacy by design en privacy by default. Privacy by design houdt in dat de bescherming van persoonsgegevens al centraal staat tijdens het ontwikkelen van systemen en optuigen van processen. Bovendien is het in het belang van de organisatie zelf: het is de meest kostenefficiënte manier om te voldoen aan de vereisten van de AVG. Noodzakelijke aanpassingen achteraf zijn veelal kostbaarder en tijdrovender dan een integrale aanpak. Het uitvoeren van een Data Privacy Impact Assessment (DPIA) kan hierbij van waarde zijn en is bij grote privacyrisico’s verplicht. Door middel van een DPIA worden deze risico’s op gestructureerde wijze in kaart gebracht en worden tijdig tegenmaatregelen geformuleerd. Privacy by default heeft betrekking op de standaardinstellingen: deze dienen volgens de AVG zo privacy-vriendelijk mogelijk te zijn.