Afl. 7 Stem privacy verklaringen af op de doelgroep(en)

De komende tijd bespreekt Broeseliske Van Vlijmen Advocaten een aantal onderwerpen die voor elke ondernemer die persoonsgegevens verwerkt – en wie doet dat niet? – belangrijk zijn. Als handvat dient de brochure van het Ministerie van Justitie van april 2017, de link vindt u onderaan dit artikel. Vanaf 25 mei 2018 moet elke organisatie die persoonsgegevens verwerkt voldoen aan de Algemene Verordening Gegevensbescherming (AVG en in het Engels General Data Protection Regulation: GDPR).

Aflevering 7, 8 november 2017

De AVG verscherpt de informatieplichten van de verwerkingsverantwoordelijke jegens betrokkenen. De AVG verlangt communicatie met de betrokkenen over de verwerking in beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm én in duidelijke en eenvoudige taal. Zeker als de informatie specifiek voor een kind bestemd is, dan moet het nog eenvoudiger.

De informatie moet schriftelijk of met andere middelen, zoals elektronische, worden verstrekt. Als de betrokkene dat vraagt, kan de informatie mondeling worden meegedeeld. Echter, dat mag alleen als de identiteit van de betrokkene vast staat.

Welke informatie moet precies worden verstrekt?

a. De identiteit van de verwerkingsverantwoordelijke en hoe met hem contact kan worden opgenomen. Als er een Functionaris voor    Gegevensbescherming (FG of in het Engels DPO: Data Protection Officer) is aangesteld, de contactgegevens van die FG.
b. De verwerkingsdoeleinden van de persoonsgegevens en de rechtsgrond, ofwel waarom de persoonsgegevens worden verwerkt en waarom dat mag.
c. Als de verwerking niet op – bijvoorbeeld – toestemming van de betrokkene is gebaseerd maar op een gerechtvaardigd belang (art. 6 lid 1 sub f): wat het  gerechtvaardigd belang is.
d. Als de persoonsgegevens aan derden worden verstrekt: aan welke derden die gegevens worden verstrekt.
e. Als er een wettelijke of contractuele verplichting of noodzaak is om persoonsgegevens te verstrekken, uitleg over de gevolgen voor de betrokkene als dat niet gebeurt.
f. Hoe de betrokkene kan vragen om inzage, rectificatie of het wissen van persoonsgegevens (right to be forgotten). En dat hij/zij klachten kan indienen bij de Autoriteit Persoonsgegevens of bezwaar kan maken tegen de verwerking.
g. Als de verwerking op toestemming is gebaseerd, wordt uitgelegd dat de betrokkene die toestemming te allen tijde kan intrekken (zonder terugwerkende kracht).
h. Hoe lang persoonsgegevens worden bewaard.
i. Welke waarborgen er zijn getroffen als persoonsgegevens buiten de EU verwerkt zullen worden.
j. Als er sprake is van geautomatiseerde besluitvorming waaronder profilering, moet er nuttige informatie over logica worden gegeven en het belang en gevolgen ervan voor betrokkenen.
k. Als de persoonsgegevens niet van de betrokkene zijn verkregen, wordt de betrokkene ook geïnformeerd over de betrokken categorieën van persoonsgegevens en de bron waar de persoonsgegevens vandaan komen.

De informatie moet bij de verkrijging van de persoonsgegevens worden verstrekt. Als de gegevens niet door de betrokkene zijn verstrekt, moet dit uiterlijk binnen een maand na de verkrijging. Worden ze echter gebruikt voor communicatie met de betrokkene dan uiterlijk bij het 1e contact met de betrokkene. Als verstrekking van de gegevens aan een derde wordt overwogen, uiterlijk op het tijdstip waarop de persoonsgegevens voor het eerst worden verstrekt.

Kortom, er moet nogal wat informatie worden verstrekt. Het zal vaak een behoorlijke klus worden om dat én beknopt én volledig én in heldere taal te doen. Broeseliske Van Vlijmen Advocaten kan helpen.