Avg uitgelegd: transparantie en het recht op informatie

AVG
Transparantie

In de serie Avg uitgelegd nemen we de belangrijkste begrippen uit de Avg onder de loep. Tip: is de Avg nog helemaal nieuw voor je? Begin dan bij 10 vragen en antwoorden over de Avg. In dit artikel gaan we in op transparantie en het recht op informatie.

Voor het laatst bijgewerkt in oktober 2020.

Wat is er nieuw aan het begrip transparantie?

Volgens de Avg moeten verwerkingen van persoonsgegevens voldoen aan bepaalde beginselen. Het eerste beginsel is: “persoonsgegevens moeten worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is”.

Deze opsomming is niet helemaal nieuw. Verwerkingen van persoonsgegevens moesten al “in overeenstemming met de wet” zijn. Dat is (ongeveer) hetzelfde als rechtmatig. Ook moesten verwerkingen van persoonsgegevens “behoorlijk en zorgvuldig” zijn. Nu lijkt het woord “zorgvuldig” te zijn vervangen door het woord “transparant”.

Nieuw is dus dat expliciet is opgenomen dat je persoonsgegevens moet verwerken op een manier die transparant is voor de betrokkene.

Wat betekent ’transparant voor de betrokkene’?

Een betrokkene is degene op wie de persoonsgegevens die worden verwerkt betrekking hebben. Het is de persoon over wie informatie wordt verwerkt.

Transparantie houdt in dat het voor de betrokkene duidelijk is dat zijn persoonsgegevens verzameld, gebruikt, geraadpleegd of op een andere manier verwerkt worden, waarom en door wie. Transparantie hangt dus nauw samen met het recht op informatie van de betrokkene.

Waarom is transparantie nu opeens zo belangrijk?

De Europese wetgever eist dat een bedrijf dat gegevens over iemand verzamelt daarmee een bepaalde verantwoordelijkheid op zich neemt en daarover verantwoording kan afleggen. Deze verantwoordingsplicht (accountability) is ook één van de nieuwe beginselen uit de Avg.

Verantwoording afleggen doe je bijvoorbeeld door het bijhouden van een administratie waarin het privacy-beleid en de daarbij gemaakte keuzes neergelegd zijn. In een later artikel in deze serie zal hierop in meer detail ingegaan worden. Transparantie hangt samen met de verantwoordingsplicht, in die zin dat je verantwoording moet kunnen afleggen aan de betrokkene door hem/haar informatie te verstrekken.

Transparantie bestond al onder de oude privacywet. Zo bestond er al een informatieplicht. Meestal wordt die verwoord in een privacystatement op de website van een bedrijf. In de Avg is die informatieplicht op een aantal punten aanzienlijk uitgebreid en nader gespecificeerd.

Wat betekent dit voor mijn bedrijf?

Het is aan jou de taak om klanten of anderen van wie je de persoonsgegevens verwerkt te laten begrijpen wat er met die gegevens gebeurt. Om dat te bereiken, moet je als bedrijf de betrokkenen in ieder geval het volgende laten weten:

  • Wie ben jij en hoe kan de betrokkene contact opnemen met jou en (indien van toepassing) jouw Functionaris voor de Gegevensbescherming (contactgegevens)?
  • Waarom verzamel je persoonsgegevens en waarom mag dat (doelomschrijving, rechtsgrond en onderbouwing daarvan)?
  • Aan wie ga jij de persoonsgegevens verder nog verstrekken?
  • Is de betrokkene verplicht om de gevraagde persoonsgegevens te verstrekken of niet? En wat zijn de gevolgen als hij/zij de persoonsgegevens niet verstrekt (noodzaak)?
  • Waar en hoe kan de betrokkene vragen om inzage, rectificatie of het wissen van persoonsgegevens (right to be forgotten), klachten indienen of bezwaar maken?
  • Hoe kan een betrokkene een verleende toestemming intrekken?
  • Hoe lang verwacht je de persoonsgegevens te gaan bewaren?
  • Als de persoonsgegevens buiten de EU verwerkt gaan worden, welke waarborgen zijn er dan getroffen dat de persoonsgegevens in dat derde land conform de Avg verwerkt worden? Indien persoonsgegevens bijvoorbeeld in Amerika verwerkt worden, zou dat kunnen door aan te geven dat de Amerikaanse onderneming zich heeft aangesloten bij Privacy Shield.
  • Doe je aan geautomatiseerde besluitvorming (bijvoorbeeld profiling)? En zo ja, welke logica wordt daarvoor gebruikt?

In heldere taal

Volgens de Avg moet de bovenstaande informatie bovendien in duidelijke eenvoudige taal en op een toegankelijke en begrijpelijke manier afgestemd zijn op de doelgroep. Verwerk je persoonsgegevens van kinderen, dan zal je dus nog eenvoudiger taal moeten gebruiken. Ook moedigt de Avg het gebruik van visualisatie (iconen) aan. Hoe die iconen er dan precies uit moeten zien, is nog niet duidelijk.

Wat moet ik doen met persoonsgegevens die ik niet rechtstreeks heb ontvangen?

Krijg je de persoonsgegevens niet rechtstreeks van de persoon die het betreft, dan zal je bovenstaande informatie alsnog aan de persoon moeten geven en daar mag je niet te lang mee wachten. Uiterlijk een maand om precies te zijn. En korter als je eerder gebruik maakt van de persoonsgegevens voor het opnemen van contact met de betrokkene of de persoonsgegevens aan een ander doorgeeft. Dan moet je de informatie op dat moment geven. Omdat de persoon zelf de persoonsgegevens niet heeft verstrekt, moet je bovendien uitleggen om welke soort persoonsgegevens het gaat (welke categorieën van persoonsgegevens?) en hoe je eraan komt (wat is je bron?).

Wanneer hoef ik deze informatie niet te verstrekken?

De informatie hoef je niet te verstrekken als de betrokkene al over de informatie beschikt, het onmogelijk is of onevenredig veel inspanning zou vergen om de informatie te verstrekken, als informeren de doeleinden van de verwerking vrijwel onmogelijk maakt of als de verstrekking van de persoonsgegevens wettelijk is voorgeschreven.

Wat kan ik doen om transparant te zijn?

Al met al is de informatieplicht in de Avg behoorlijk uitgebreid. Bedrijven kunnen deze transparantie geven in een privacyverklaring. Die kun je op je website plaatsen, in een pop-up bij een app of voegen bij andere documentatie die de betrokkenen al ontvangen. Let er wel op dat deze informatie verstrekt moet worden op het moment dat je de persoonsgegevens van een persoon krijgt. Een privacystatement moet je dus niet achteraf toesturen, maar direct beschikbaar maken voor de betrokkene.

Een privacyverklaring kun je zelf opstellen of laten opstellen door bijvoorbeeld de juristen van NLdigital. Daarnaast zijn er online verschillende tools beschikbaar. Zo zou je voor een privacyverklaring voor je website gebruik kunnen maken van een privacyverklaring generator. Er zijn op internet gratis privacystatement-generatoren te vinden die je helpen een begin te maken met je privacystatement, bijvoorbeeld op veiliginternetten.nl. Uiteraard moet je de uitkomst zelf altijd controleren, verbeteren en aanvullen waar nodig. Deze generatoren maken aan de hand van enkele vragen een standaard privacy-verklaring die bezoekers van jouw website inzicht geeft in hoe jouw bedrijf met persoonsgegevens omgaat.

Wat moet er in een privacystatement?

In het kort de informatie die in een privacystatement moet staan:

  • Naam en contactgegevens van de (vertegenwoordiger en de) verwerkingsverantwoordelijke
  • Contactgegevens van de Functionaris voor de Gegevensbescherming (indien van toepassing)
  • Doel en rechtsgrond (zie de opsomming in artikel 6 Avg) van de verwerking van de persoonsgegevens
  • De gerechtvaardigde belangen van de verwerkingsverantwoordelijke (of derde) indien dit de rechtsgrond van verwerking van de persoonsgegevens is
  • Eventuele ontvangers of categorieën van ontvangers van de persoonsgegevens bij doorgifte
  • Als doorgifte van persoonsgegevens plaatsvindt naar buiten de EU: welke passende waarborgen zijn genomen om de privacy in dat land te waarborgen
  • De bewaartermijn (en de criteria ter bepaling van de termijn)
  • De betrokkene erop wijzen dat hij/zij recht heeft op:
    • Inzage, wissen (right to be forgotten) en rectificatie van de persoonsgegevens of beperking van de verwerking ervan
    • Bezwaar maken tegen verwerking
    • Dataportabiliteit (het recht om je persoonsgegevens te kunnen meenemen)
    • Het intrekken van eerder gegeven toestemming
    • Klacht indienen bij de Autoriteit Persoonsgegevens
  • Bestaan van geautomatiseerde besluitvorming (inclusief profiling) en nuttige informatie over logica, belang en gevolgen daarvan voor de betrokkene.

Wat als ik nog vragen heb?

Met onze Data Pro Dienstverlening geven onze juristen onder meer advies en ondersteuning bij vraagstukken op het gebied van privacy. NLdigital organiseert ook verschillende workshops en bijeenkomsten. Leden van NLdigital kunnen kosteloos deelnemen. Ben je nog geen lid en wil je ook profiteren van deze en vele andere mogelijkheden van het lidmaatschap? Bekijk de voordelen.

Meer lezen over de Avg?

We hebben binnen onze kennisbank diverse artikelen over de Avg.

Lees meer