door: Arthur van der Hoeff & Maurits van Buren
Nieuwe Europese privacyregels brengen nieuwe verantwoordelijkheden met zich én vragen actie van alle organisaties die persoonsgegevens verwerken. Het privacyrecht omvat, kort gezegd, alle wetgeving met betrekking tot het recht op de bescherming van de persoonlijke levenssfeer. Mede als gevolg van belangrijke technologische ontwikkelingen de laatste jaren, worden momenteel op grote schaal persoonsgegevens verwerkt. Persoonsgegevens kunnen met behulp van internettoepassingen ook makkelijk worden doorgegeven aan organisaties in andere landen. In sommige gevallen vindt ook misbruik van persoonsgegevens plaats. Dat staat op gespannen voet met het (fundamentele) recht op bescherming van de persoonlijke levenssfeer. Mede om deze reden zijn de regels vanuit Europa over het verwerken van persoonsgegevens flink aangescherpt.
Vrijwel alle ondernemingen en organisaties verwerken in meer of mindere mate persoonsgegevens. Dit geldt ook binnen de sport. Denk bijvoorbeeld aan het aanleggen van een database met gegevens over leden, leveranciers en personeelsleden of het installeren van veiligheidscamera’s. Ook het koppelen van verschillende databases teneinde nieuwe informatie over individuele personen te verkrijgen, gebeurt regelmatig. Zo was eerder dit jaar in het nieuws dat de Belastingdienst rittenregistraties koppelde aan beelden van kentekencamera’s om privégebruik van (zakelijke) auto’s aan te tonen.
"De nieuwe regels hebben belangrijke gevolgen voor alle organisaties die persoonsgegevens verwerken"
Per 25 mei 2018 wordt de Nederlandse Wet bescherming persoonsgegevens (Wbp) vervangen door de Europese Algemene Verordening Gegevensbescherming (AVG). Daarnaast zal een Uitvoeringswet Algemene verordening gegevensbescherming (Uitvoeringswet) van kracht worden. Daarin wordt de AVG nader uitgewerkt. Deze nieuwe regels hebben belangrijke gevolgen voor alle organisaties die persoonsgegevens verwerken.
Forse boetes
Op grond van de AVG kan een schending van de privacyregels leiden tot forse boetes. Daarnaast kunnen privacyschendingen ook openbaar worden. Er speelt dus ook een aanzienlijk reputatierisico. Voor bestuurders en verantwoordelijken dus de hoogste tijd voor actie! Maar waar te beginnen?
Op het web zijn vele handboeken, cursussen, quickscans en privacy-compliance checks te vinden van tientallen aanbieders. Veelal goede en zinvolle informatie, vooral voor degenen die zich verder in dit onderwerp willen verdiepen en bekwamen. Maar het maakt nogal een verschil of uw organisatie op grote schaal persoonsgegevens verwerkt, inclusief bijzondere persoonsgegevens (zoals over ras, godsdienst, medische gegevens, strafrechtelijke gegevens, burgerservicenummer), of slechts een beperkte database bijhoudt met nauwelijks bijzondere zaken op privacygebied.
"Volg een beproefd actieplan met een eenvoudige systematiek waarmee u in korte tijd de belangrijkste zaken van de AVG in kaart kunt brengen"
Voor organisaties die slechts op beperkte schaal persoonsgegevens verwerken, kan het dan ook aan te bevelen zijn in eerste instantie op basis van een aantal standaardvragen en checklists te beoordelen of zij voldoen aan de nieuwe privacyregels, en zo nee, wat daaraan gedaan moet worden. In het licht daarvan kan het aan te raden zijn ook juridisch advies op maat in te winnen. Hieronder volgt een beproefd actieplan volgens een eenvoudige systematiek waarmee u in korte tijd de belangrijkste zaken van de AVG in kaart kunt brengen.
Stap 1: Registratie van verwerkingsactiviteiten m.b.t. persoonsgegevens
Op grond van de AVG moet iedere organisatie die persoonsgegevens verwerkt een (intern) register bijhouden van alle verwerkingen die onder haar verantwoordelijkheid plaatsvinden. Leg daarvoor vast welke persoonsgegevens worden verwerkt en onderscheid iedere verwerking op basis van het doel waarvoor deze plaatsvindt. Dit kan leiden tot een registratie van meerdere verwerkingen en dus meerdere registraties. Een voorbeeld van een set registraties kan zijn: 1. Ledenadministratie; 2. Personeelsadministratie; 3. Salarisadministratie; 4. Leveranciers; 5. Deelnemers toernooien; 6. Sponsors; 7. Loggegevens bezoekers website, etc.
Stap 2: Toevoegen van extra kenmerken aan de registraties
Voor elke registratie legt u – naast het doel en de categorieën van gegevens uit stap 1 – ook vast aan wie de persoonsgegevens worden verstrekt (zowel intern als extern) en hoe lang u de gegevens bewaart c.q. wanneer u deze vernietigt. Daarbij geldt dat u persoonsgegevens alleen zo lang mag bewaren als noodzakelijk is gelet op het doel waarvoor de persoonsgegevens worden verwerkt.
Dat brengt met zich mee dat bijvoorbeeld personeelsdossiers van oud-werknemers of gegevens van oud-leden niet nog tientallen jaren mogen worden bewaard. Maar dat neemt niet weg dat in sommige gevallen een bewaarplicht kan gelden op grond van bijzondere (meestal fiscale) regelgeving. Deze plicht prevaleert dan. Verder kunt u – indien mogelijk – bij elke registratie aangeven welke beveiligingsmaatregelen u heeft getroffen. Denk bijvoorbeeld aan het versleuteld verzenden van gegevens aan derden.
"Op het moment dat u gegevens verkrijgt dan informeert u degene die de gegevens verstrekt direct over het gebruik van zijn gegevens"
Stap 3: Informeren van degene van wie u de gegevens verwerkt
De AVG schrijft daarnaast voor dat organisaties personen van wie de gegevens worden verwerkt, moeten informeren. Aan deze verplichting kunt u in de meeste gevallen voldoen door een goede privacyverklaring op te stellen en te publiceren.
Wat houdt deze informatieplicht precies in? Op het moment dat u gegevens verkrijgt (bijvoorbeeld via een formulier op uw website) dan informeert u degene die de gegevens verstrekt direct over het gebruik van zijn gegevens. Dit mag digitaal, maar moet in elk geval op een duidelijke en afzonderlijke manier. In de tekst staat in elk geval het doel waarvoor u de gegevens verwerkt, de bewaartermijn en aan wie u de gegevens verder verstrekt.
Verder moet u de betrokkene wijzen op zijn rechten. Zo heeft een betrokkene recht op inzage, rectificatie, beperking of wissing van de over hem verwerkte gegevens. Ook kan een betrokkene verzoeken zijn gegevens te laten overdragen naar een derde partij en kan hij bezwaar aantekenen. In de privacyverklaring vermeldt u ook hoe iemand bij u terecht kan om gebruik te maken van zijn rechten.
Ten slotte moet in de privacyverklaring ook staan dat een klacht kan worden ingediend bij de Autoriteit Persoonsgegevens. Als u gebruik maakt van zogenoemde automatische besluitvorming moet u dat ook melden. Daarvan is bijvoorbeeld sprake als een organisatie verzamelde persoonsgegevens gebruikt om bepaalde personen automatisch te profileren (bijv. hoog risico v. laag risico) en op basis daarvan wel of niet een aanbod doet.
"Het verdient aanbeveling om de verantwoordelijkheid voor het opstellen en uitvoeren van het privacybeleid toe te wijzen aan één van de functionarissen of bestuurders"
Stap 4: Toewijzen van de rol/portefeuille privacy
Het is van belang dat privacy binnen de organisatie wordt geborgd. Gelet op de wettelijke verplichtingen verdient het aanbeveling om dit mee te nemen in de planning en controlecyclus en de verantwoordelijkheid voor het opstellen en uitvoeren van het privacybeleid toe te wijzen aan één van de functionarissen of bestuurders. Vanuit deze rol kan dan ook worden voldaan aan de verplichting om zogenoemde ‘datalekken’ te melden bij de Autoriteit Persoonsgegevens en eventueel de betrokkenen als dat nodig is.
Stap 5: vervolgacties
Met stap 1 t/m 4 legt u een goede basis en toont u bovendien aan dat u de verantwoordelijkheid met betrekking tot privacy serieus neemt. Let op dat de Europese regels meer vragen dan alleen de registratie- en de informatieverplichting. De goede invulling van deze extra verplichtingen hangt af van de aard en grootte van uw organisatie, de gegevens die u verwerkt en de wijze waarop u dat doet.
Als u bijvoorbeeld gegevens vertrekt aan andere organisaties dan kan het nodig zijn een zogenoemde bewerkersovereenkomst te sluiten. Als u nieuwe technische toepassingen wenst te gebruiken om persoonsgegevens vast te leggen, dan is het van belang dat u van meet af aan rekening houdt met privacyaspecten. Dergelijke toepassingen zouden ‘by design’ rekening moeten houden met de geldende privacyrechten.
Verder is het bij het verwerken van bijzondere persoonsgegevens verplicht vooraf een privacy impact assessment te doen. Dergelijke situaties vragen vrijwel altijd om maatwerkoplossingen. Met het doorlopen van stap 1 t/m 4 hebt u daarvoor echter al een goed fundament gelegd.
Mr. Arthur van der Hoeff is voorzitter van de Nederlandse Stichting voor Vereniging en Recht. Bij dit nationaal kennisinstituut is een groot aantal branche- en verenigingsorganisaties aangesloten, zowel binnen als buiten de sport. Voor meer informatie: info@verenigingenrecht.nl of 010-458 8431.
Mr. Maurits van Buren is partner en advocaat bij Brantjes Advocaten te Amsterdam en gespecialiseerd in arbeids- en privacyrecht. Voor meer informatie: vanburen@brantjesadvocaten.nl of 020-420 2000.