Handreiking omgaan met de AVG voor deelnemers aan MijnStadMijnDorp. Auteur: Margreet Vink-Bos, Historisch Centrum Overijssel

  • nov 2019
  • Jeroen Padmos
  • ·
  • Aangepast 28 jun
  • 1
  • 209
Jeroen Padmos
Informatierecht
  • Alle leden mogen wijzigen

Inleiding

Sinds 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing, uitgevoerd door de Autoriteit Persoonsgegevens (AP). Dit betekent dat vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp) geldt niet meer. Beide gaan echter over het omgaan met bijzondere persoonsgegevens: ‘alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon’. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is. Gegevens van overleden personen of van organisaties zijn geen persoonsgegevens volgens de AVG’ (bron: www.autoriteitpersoonsgegevens.nl).

In dit document wordt een korte uitleg gegeven over de verordening, maar wordt vooral een handreiking geboden hoe kleine organisaties met de nieuwe verordening om kunnen gaan. Iedere organisatie is echter anders, dus een blauwdruk kan helaas niet gegeven worden. Toch zijn er ook een groot aantal overeenkomsten, en daar wordt in dit document bij stil gestaan. Kijk vooral ook eens in de bijlage bij deze handreiking.
Aan dit document kunnen geen rechten ontleend worden.

Wat is de AVG?

Er zijn een aantal verschillen tussen de AVG en de Wbp. In het kort:

De belangrijkste doelstelling van de AVG is dat de privacyrechten van mensen vergroot en versterkt worden. Daarom krijgen alle organisaties een grotere verantwoordelijkheid daarin. Kort gezegd: als iemand erom vraagt, moet een organisatie kunnen aangeven welke gegevens de organisatie van/over de persoon heeft. Deze gegevens moeten ook beschermd worden en daarvoor zijn er aanpassingen binnen de organisatie nodig. Er mogen gegevens bewaard worden, maar bij alles moet nagegaan worden waarom welke gegevens bewaard worden, en hoe lang.

Wanneer mag ik gegevens verwerken?

Aangetoond moet kunnen worden waarom verwerking van persoonlijke gegevens plaatsvindt. De AP kent zes grondslagen, waarbij aan minimaal één grondslag moet worden voldaan:

  • toestemming van de betrokken persoon

  • de gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst

  • de gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting

  • de gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen

  • de gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag

  • de gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen.

Wat betekent het voor mijn organisatie?

Hoe kan ervoor gezorgd worden dat een organisatie voldoet aan de AVG? Van alle organisaties wordt binnen deze wet een actieve houding verwacht: het is een inspanningswet. Door alles omtrent persoonsgegevens bij te houden en van tevoren vast te leggen waarom je welke gegevens nodig hebt, wordt men bewust van de privacy van anderen. Daarnaast moeten alle organisaties bijvoorbeeld ook zorgen dat alle banden die een organisatie heeft met andere organisaties ook aan de wet voldoen. Er wordt bijvoorbeeld een verwerkersovereenkomst afgesloten met bijvoorbeeld het ICT-bedrijf die de computers beheert. Hoe kan aan de AP worden aangetoond dat aan deze plichten voldaan is? Daarvoor kan het volgende ondernomen worden. Als aan al deze punten is, is de organisatie behoorlijk AVG-proof.

Verwerkingen persoonsgegevens

Verwerkingsverantwoordelijke en verwerker: een verwerkingsverantwoordelijke bepaalt volgens de AVG het doel en het middel van de verwerking (waarom en hoe).
Plichten verwerkingsverantwoordelijke

  • rechtmatig, behoorlijk en transparant werken

  • doelgebonden verwerken

  • slechts met minimaal noodzakelijke gegevens werken

  • juiste gegevens verwerken

  • (verwerkte) gegevens blijven beperkt opgeslagen

  • gegevens worden integer en vertrouwelijk behandeld en goed beveiligd.

Een verwerker is een externe partij (dus geen werknemer/vrijwilliger van de verantwoordelijke) die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.

Plichten verwerker:

  • handelt alleen in opdracht van de verwerkingsverantwoordelijke

  • houdt de verwerkte categorieën persoonsgegevens bij in een register

  • neemt beveiligingsmaatregelen passend bij de gegevensverwerking

  • vraagt verwerkingsverantwoordelijke toestemming voor subverwerkingen

  • meldt datalekken

  • verleent medewerking aan Autoriteit Persoonsgegevens

  • stelt een Functionaris Gegevensbescherming aan in het geval van overheids- of publieke organisaties, verwerken van grootschalige persoonsgegevens of bij observaties. Veel organisaties hebben beide rollen.

Verwerkingsregister: register met alle verwerkingen van persoonsgegevens.
Verwerkersovereenkomsten: opstellen van verwerkersovereenkomsten met verwerkers waarin alle plichten worden vastgelegd. De verwerkingsverantwoordelijke is aan zet.

Procedure grondslag toestemming: documenteren van de wijze waarop u toestemming vraagt en het bewijs dat de toestemming is gegeven.
Procedure grondslag gerechtvaardigd belang: documenteren van gerechtvaardigd belang.

Procesdocumenten: documenteren van de processen om de rechten van de betrokkenen te waarborgen.

Datalekken

Procedures omgang datalekken: documenteren van de procedure omtrent datalekken. Na kennisneming van het datalek moet binnen 72 uur melding gemaakt worden aan AP, bij hoog risico voor de betrokkene, ook melden aan de betrokkene.
Datalekkenregister: bijhouden van datalekken die zich hebben voorgedaan in een datalekkenregister (feiten en gegevens over de aard; categorieën persoonsgegevens; aantal betrokkenen, gevolgen; genomen maatregelen; melding aan AP; melding aan betrokkenen).

Privacy

Gegevensbeschermingsbeleid/Privacybeleid: opstellen van een passend gegevensbeschermingbeleid met daarin categorieën persoonsgegevens voor verwerking; doeleinden van de verwerking; bewijslast te voldoen aan de beginselen van verwerking van persoonsgegevens (bijv. dataminimalisatie); rechten van de betrokkenen en hoe zij die rechten kunnen uitoefenen; de genomen organisatorische en technische maatregelen om de persoonsgegevens te beveiligen; bewaartermijn van persoonsgegevens.

Privacy statement: vastleggen van informatievoorzieningen aan de betrokkenen, deze ook publiceren op de website (eventueel met bijbehorende privacybeleid en -reglement).

Gegevensbescherming

Privacy by design: privacy onder de aandacht vanaf de ontwerpfase tot de afrondingsfase van een project.
Privacy by default: technische en organisatorische maatregelen waarbij standaard alleen noodzakelijke persoonsgegevens worden verwerkt (bijvoorbeeld bij het aanmelden op een website het vakje ‘ja, ik wil aanbiedingen ontvangen’ standaard uit te zetten).

Gegevensbeschermingseffectbeoordelingen: documenteren van beoordelingen van de risico’s op gegevensbescherming bij nieuwe verwerkingen met hoge risico’s, ook wel Data Privacy Impact Assessment (DPIA) genoemd. Een dergelijke beoordeling geeft inzicht in de impact en risico’s van het beoogde project op de privacy van de betrokkene.

Functionaris Gegevensbescherming (FG): De FG houdt toezicht op de naleving van de AVG binnen de organisatie. De FG is verplicht in geval van overheid, verwerking bijzondere persoonsgegevens en bij observatie (bijvoorbeeld cameratoezicht). Wanneer onduidelijk is of u verplicht bent om een FG aan te stellen, moet u goed kunnen onderbouwen waarom u ervoor gekozen hebt om dat wel of niet te doen.

Betrokkene

Informatieplicht: de verwerkingsverantwoordelijke moet de betrokkene informeren over hoe hij omgaat met de verzamelde persoonsgegevens. De privacyverklaring, - beleid, en – reglement moeten op de website gepubliceerd en voor de betrokkene terug te vinden zijn.

Recht op gegevenswissing en dataportabiliteit: organisaties moeten persoonsgegevens op verzoek verstrekken aan betrokkene, en op verzoek gegevens verwijderen.

Een organisatie hoeft niet direct aan al deze eisen te voldoen. Het is echter wel van belang dat er binnen de organisatie gewerkt wordt aan het belang van privacy en dat dit aangetoond kan worden.

Welke documenten moet mijn organisatie hebben?

Een aantal documenten kunnen binnen de organisatie binnen het kader van de AVG niet ontbreken.

  • Verwerkingsregister: hierin staan alle activiteiten vermeld die een organisatie verricht met betrekking tot persoonsgegevens. Ook staat hierin welke gegevens dat dan zijn, waarom ze nodig zijn, en hoe lang ze bewaard worden als ze niet meer nodig zijn.

  • Datalekkenregister.

  • Gegevensbeschermingsbeleid/Privacybeleid.

  • Gegevensbeschermingseffectbeoordelingen (DPIA).

  • Privacy statement.

  • Procedure grondslag gerechtvaardigd belang (alleen van toepassing bij hantering grondslag).

  • Procedure grondslag toestemming (alleen van toepassing bij hantering grondslag).

  • Procedures omgang datalekken.

  • Procesdocumenten.

  • Verwerkersovereenkomsten.

Omgaan met (publicatie van) bronnen

Wat betekent de AVG voor de publicatie van het bronmateriaal? Er zit een verschil tussen beeldmateriaal van personen en persoonsgegevens.
Het maken van foto- en videobeelden met herkenbaar in beeld gebrachte personen is een verwerking van persoonsgegevens en mag in principe niet verwerkt worden op basis van de AVG. Dit is echter niet van toepassing tenzij aan voorwaarden voldaan wordt. In dit geval is de verwerking noodzakelijk met het oog op archivering in algemeen belang, wetenschappelijk en historisch onderzoek (behoud en presentatie van het cultureel erfgoed). Beeldmateriaal in de huidige databases op MijnStadMijnDorp is zo omvangrijk, dat het een onevenredige inspanning zou betekenen om met terugwerkende kracht uitdrukkelijke toestemming te vragen aan betrokkenen en hun databases daarop aan te passen (let op: hierbij gaat het niet over het auteursrecht).

Vraag toestemming bij het ontvangen van nieuw beeldmateriaal. Wanneer iemand bezwaar maakt tegen het huidige gepubliceerde beeldmateriaal, onderneem dan actie door bijvoorbeeld de naam en/of andere gegevens te verwijderen of te anonimiseren. In een persoonlijke administratie kan de naam bewaard blijven (historisch onderzoek).
Ga nieuw beeldmateriaal pseudonimiseren (ontkoppel de naam en adres, etc. van de foto zelf, eventueel anonimiseren in bepaalde gevallen).