1. Business Ethics & Legal
De uitwisseling van gegevens in het
publieke domein
en de impact van de AVG en UAVG na 25 mei 2018 in algemene zin
Kim de Bonth
21 juni 2018
2. Programma
• Inleiding
• Stand van zaken
• Zwarte lijsten
• Toestemming
• Uitwisselen van gegevens
(verwerkersovereenkomsten)
• Conclusie
3. Inleiding
• Voor 25 mei 2018: de AVG leek wel de
nieuwe millenniumbug
• Recent: onrust bij Autoriteit
Persoonsgegevens
• Handhaving nu nog tijdelijk soepel?
4. Stand van zaken (i)
• Sinds 25 mei 2018: AVG
• Sinds 25 mei 2018 ook: UAVG
• Wbp weer terug voor zover het gaat om
bijzondere persoonsgegevens
• BSN houdt speciale status
• Speciale uitzondering voor biometrische
gegevens: verwerking is toegestaan voor
authenticatie of beveiligingsdoeleinden
5. Stand van zaken (ii)
• AVG (zeker samen met UAVG) wijkt minder af van
Wbp dan vaak gedacht
• Wat is gebleven:
• Proportionaliteit (staat doel verwerking in verhouding tot
inbreuk op privacy; incl. bewaartermijn)
• Subsidiariteit (kan het doel niet op een andere wijze
worden bereikt?)
6. Stand van zaken (iii)
• Doelbinding
• persoonsgegevens alleen verzamelen voor uitdrukkelijk
bepaald doel
• niet méér gegevens verzamelen dan nodig voor doel
• gegevens alleen verder gebruiken voor niet-
onverenigbaar doel
• Op proportionaliteit, subsidiariteit en doelbinding liep
het voor de gemeenten Zaanstad en Nijmegen begin dit
jaar mis met de Zelfredzaamheidsmatrix (AP: “onder de
AVG was dit niet anders geweest”)
7. Stand van zaken (iv)
• Nog steeds dezelfde 6 grondslagen voor
verwerking:
• Toestemming
• Uitvoering overeenkomst
• Wettelijke verplichting
• Vitaal belang
• Uitvoeren publiekrechtelijke taak
• Gerechtvaardigd belang
• Bijzondere persoonsgegevens: uitgangspunt is
nog steeds: verwerking is nog steeds verboden,
tenzij er een wettelijke bepaling is die zegt dat het
mag (naast een grondslag)
8. Stand van zaken (v)
• Startpunt compliance AVG:
• Registers van verwerkingen (als
verantwoordelijke en als verwerker)
• Moet er een FG worden benoemd? Vastleggen
en verantwoorden
• Privacy statements updaten, inclusief inregelen
rechten van betrokkenen (inzage, correctie)
• Verwerkersovereenkomsten sluiten
• PIA’s uitvoeren
9. Stand van zaken (vi)
• In 2019: e-Privacy Verordening (spam en cookies)
• Nog geen definitieve tekst
• Ook een verordening, geen richtlijn
• Versimpeling cookieregels:
• Geen toestemming nodig voor privacy-vriendelijke cookies,
zoals analytische cookies die aantal bezoekers bijhouden
• Toestemming voor andere cookies via browserinstellingen
• Geïnformeerde toestemming voor tracking cookies
10. Zwarte lijsten (i)
• Vaak strafrechtelijke gegevens of
gegevens over ongewenst gedrag, zoals
fraude of huurdersoverlast
• Voor intern gebruik:
• Gerechtvaardigd belang: wangedrag, fraude
bestrijden
• Noodzakelijk: kan het niet anders?
• Zwaarwegend belang: bedrijfsbelang weegt
zwaarder dan privacy; letten op ernst gedraging
en gevolgen aanwezigheid op lijst
11. Zwarte lijsten (ii)
• Delen met derden:
• Vergunning nodig van de AP (vergunning van
vóór 25 mei wordt automatisch omgezet in
AVG-vergunning)
• Checklist zwarte lijst van AP, o.a:
• doel van de lijst
• criteria (welke gedragingen)
• hoe essentieel is voorziening voor betrokkene
• waarborgen tegen overmatige verzameling
gegevens
• hoe wordt betrokkene geïnformeerd
• wanneer wordt betrokkene verwijderd
• periodieke evaluatie/audit na 5 jaar
12. Zwarte lijsten (iii)
• Lijst komt in openbaar register
• Goedgekeurde modelprotocollen voor
detailhandel en horeca: verkorte procedure om
deel te nemen aan lijsten
• Aansluiten bij goegekeurde lijsten is mogelijk
13. Zwarte lijsten (iv)
• Rechten van betrokkenen gelden ook bij
zwarte lijsten
• Informeren over aanwezigheid op zwarte lijst,
tenzij betrokkene al weet dat organisatie
gegevens verwerkt of indien noodzakelijk voor
opsporing
• Inzage/correctie-rechten
• Opnemen in privacy statement
14. Zwarte lijsten (v)
• Let op: sinds de AVG moet er een PIA
worden uitgevoerd voordat een zwarte lijst
wordt gebruikt (recente publicatie lijst met
verplichte PIA’s van AP)
15. Toestemming (i)
• Toestemming is één van de 6 AVG-
grondslagen voor verwerking
• Toestemming is vaak de meest lastige
grondslag
• In het social domein of andere
afhankelijkheidsrelaties (werknemers!)
werkt toestemming meestal niet als
grondslag (“onvrij”)
• Toestemming kan worden ingetrokken
16. Toestemming (ii)
• Rapport AP 2016: rol van toestemming in
het sociaal domein
• Gemeenten vermijden ten onrechte vraag of er
een grondslag is door toestemming te vragen
• Taken gemeenten in Jeugdwet, Wmo
2015, Participatiewet, Wet gemeentelijke
schulhulpverlening, wet passend onderwijs
• Geen overkoepelende wettelijke regeling
voor integrale aanpak van problemen
17. Toestemming (iii)
• Andere grondslagen in het sociaal domein:
• Nakoming wettelijke verplichting; o.a.
dossierplicht Jeugdwet
• Uitvoering publiekrechtelijke taak; o.a. in kader
van beslissing aanvraag maatwerkvoorziening
• Uitvoeren overeenkomst; o.a. bij vrijwillige
hulpverlening; geneeskundige
behandelingsovereenkomst
• Vrijwaring vitaal belang betrokkene; o.a. bij
onvrijwillige hulpverlening: zeer beperkt
uitleggen
18. Toestemming (iv)
• Beroepsgeheim: moet ook doorbroken
kunnen worden (niet automatisch als er
een grondslag is)
• Integrale aanpak: vaak resteert toch echt
alleen toestemming
• Wees dan transparent: leg in beleid de
grondslagen vast, motiveer waarom
toestemming resteert, informeer betrokkenen
uitgebreid en in begrijpelijke taal
19. Toestemming (v)
• Géén impliciete toestemming (“ik ben er mee
bekend dat mijn persoonsgegevens worden
gebruikt” / “als u het aanvraagformulier
ondertekent, verleent u toestemming voor
verwerken persoonsgegevens”)
• Gebruik modelformulier verlenen toestemming
Autoriteit Persoonsgegevens (bij rapport uit
2016)
20. Uitwisseling van gegevens: verwerkers-
en andere overeenkomsten (i)
• Er worden véél “verwerkers-
overeenkomsten” ten onrechte gesloten
• Verwerker: daaraan worden
bedrijfsprocessen uitbesteed;
verantwoordelijke heeft instructie-recht
• IT-diensten in de cloud
• Externe salarisadministratie
• Verantwoordelijke bepaalt het doel en de
middelen van de verwerking (waarom en hoe)
21. Uitwisseling van gegevens: verwerkers-
en andere overeenkomsten (ii)
• Inhoud verwerkersovereenkomst: voor een
deel vastgesteld door AVG, maar ruimte
voor onderhandeling, o.a. over
aansprakelijkheid
• Branchemodellen staan vaak lijnrecht
tegenover elkaar
• Kan ook in de vorm van “algemene
voorwaarden” (vb Google Analytics,
Microsoft)
22. Uitwisseling van gegevens: verwerkers-
en andere overeenkomsten (iii)
• Onderscheid tussen verantwoordelijke en
verwerker is vaak lastig te maken
• Vaak is er sprake van “doorgifte”: de
ontvangende partij verwerkt voor eigen
doelen
• Leasemaatschappij of pensioenfonds krijgt
gegevens van werknemers, onderhoudsbedrijf
krijgt adressen van een woningcorporatie
• Postie van een Arbo-dienst?
23. Uitwisseling van gegevens: verwerkers-
en andere overeenkomsten (iv)
• Doorgifte: de dienstverlening ziet primair op iets
anders dan de verwerking van
persoonsgegevens
• Bij doorgifte géén verwerkersovereenkomst
sluiten
• Wel een overeenkomst sluiten met afspraken
over beveiligde doorgifte, transparantie (wie
informeert de betrokkenen, waar kunnen
betrokkenen correctieverzoek indienen) én over
aansprakelijkheid
24. Uitwisseling van gegevens: verwerkers- en
andere overeenkomsten (v)
• Nog een variant: gezamenlijke
verantwoordelijkheid
• Bijvoorbeeld twee partijen die samen doel en
middelen vaststellen, bijvoorbeeld partijen in een
Zorg- en Veiligheidshuis, of camera’s op een
bedrijventerrein die gezamenlijk worden gebruikt
• Intensievere samenwerking dan doorgifte
• AVG: “regeling” tussen partijen verplicht:
convenant
• NB: ook hier weer is een PIA verplicht
25. Conclusie
• AVG brengt zeker nieuws ten opzichte van
Wbp, maar m.n. door UAVG blijft ook veel
hetzelfde
• Zwarte lijsten: toegestaan, ook delen met
derden, maar let op alle waarborgen
• Toestemming: vermijden als dat kan
• Verwerkersovereenkomsten: niet
klakkeloos ondertekenen/aanbieden, soms
is er een andere relatie