Auteur: ibizz

16 januari 21 |

DPIA – weet wanneer dit verplicht is

Blog

Wanneer bepaalde typen en hoeveelheden persoonsgegevens verwerkt worden dient hiervoor een DPIA te worden uitgevoerd. Een DPIA wordt ook wel een gegevensbeschermingseffectbeoordeling genoemd. In een DPIA maak je een procesbeschrijving van welke verwerkingen je precies uitvoert en hoe je dit doet. Daarbij is het belangrijk om aan te tonen dat je de juiste passende technische en organisatorische maatregelen hebt genomen. Ook maak je hierin een risicoanalyse van het proces en benoem je eventuele risico`s voor betrokkenen. Zo maak je aantoonbaar dat je goed hebt nagedacht hierover.

Een DPIA voer je uit voordat je de verwerking start. Wanneer je dus al wel een verwerking bent gestart waarover je twijfelt of een DPIA verplicht is, is het aan te raden dit alsnog te doen. In de praktijk hebben veel organisaties die eigenlijk een DPIA zouden moeten uitvoeren dit niet gedaan. Jammer, want het maken van een DPIA is een handig instrument om vooraf eventuele risico`s in kaart te brengen en de juiste waarborgen te treffen.

De Nederlandse Autoriteit Persoonsgegevens heeft wel 17 soorten verwerkingen aangewezen waarvoor een DPIA sowieso verplicht is! Volgens de AVG ben je verplicht een DPIA uit te voeren wanneer je gegevensverwerking waarschijnlijk een hoog risico oplevert. Dit is al een stuk sneller dan je denkt. Zo ben je bijvoorbeeld verplicht een DPIA uit te voeren bij controle van werknemers- (denk hierbij aan cameratoezicht), wanneer je bijvoorbeeld werkt met zwarte lijsten, of wanneer je gezondheidsgegevens verwerkt.

Ook wanneer een DPIA niet verplicht is, is het goed een bedrijfsproces eens onder handen te nemen door een DPIA uit te voeren. Dit geeft een goed beeld hoe dit proces organisatorisch en privacy-technisch in elkaar zit binnen jouw organisatie. Zo kun je er vanuit gaan dat er goed over jouw proces is nagedacht en weet jou klant dat jij zijn gegevens serieus neemt.

Wanneer je benieuwd bent of een DPIA voor jou verplicht is,  je een bestaande DPIA wil laten controleren, of gewoon meer wilt weten over een DPIA, neem dan op. Dan vertellen wij je graag meer!

Meer artikelen
21 december 20 |

Privacyrechten – wat zijn rechten van betrokkenen

AVG

De personen van wie persoonsgegevens worden verwerkt hebben bepaalde rechten. Dit worden de rechten van betrokkenen genoemd. Het is belangrijk dat jouw organisatie deze rechten naleeft. Dit is niet alleen een wettelijke verplichting, maar als organisatie kan je op deze manier ook je klanten, medewerkers of leden extra vertrouwen geven.

In de praktijk zien wij dat het aantal verzoeken tot het uitvoeren van rechten exponentieel toeneemt. Mensen zijn zich steeds meer bewust van de gevaren van privacy-schending en weten steeds beter wat jij als organisatie wel en niet mag.

Het lastige voor organisaties is dat je niet in iedere situatie aan ieder recht invulling hoeft te geven. Dit heeft vaak te maken met de reden waarom persoonsgegevens worden verwerkt. Hoe is binnen jullie organisatie geregeld dat je altijd snel en goed kunt voldoen aan de verschillende rechten?

De specifieke rechten uitgelegd

Recht op inzage
Hiermee kun je een overzicht opvragen van de persoonsgegevens die van jou worden verwerkt.

Recht op vergetelheid
Dit kennen de meesten als het recht om je gegevens te laten wissen. Let op: je mag/hoeft vaak niet alle gegevens te wissen, bijvoorbeeld als je een wettelijke plicht om hebt de persoonsgegevens te bewaren.

Recht op rectificatie
Kloppen de persoonsgegevens niet (meer) of zijn ze incompleet? Dan mag een betrokkene je verzoeken ze te wijzigen of aan te passen.

Recht op dataportabiliteit
Je hebt het recht jouw persoonsgegevens, in machine-leesbaar format (bv csv) op te vragen. Zo kun je ze doorgeven aan een andere organisatie. Dit geldt alleen voor digitale gegevens.

Recht op beperking van gegevensverwerking
Ben je van mening dat een organisatie teveel persoonsgegevens van jou verwerkt? Of voor teveel verschillende doelen? Dan kun je een verzoek doen om dit te minderen.

Rechten met betrekking tot geautomatiseerde besluitvorming
Je hebt het recht dat er een menselijke blik wordt geworpen op besluiten die door de organisatie over jou genomen worden. En dat een organisatie niet zomaar profielen opstelt over jou.

Recht op bezwaar te maken
Deze spreekt voor zich. Als jij in de privacyverklaring verwerkingen ziet waarmee je het oneens is, dan mag hiertegen bezwaar worden gemaakt.

Het belangrijkste recht

En tot slot, misschien wel de belangrijkste, het recht op duidelijke informatie.
Je moet heel duidelijk maken aan jouw klanten, leveranciers, medewerkers, etc. welke gegevens je precies van ze verwerkt en waarom. Dit mag niet zomaar een algemene opsomming zijn, maar moet per doel per type gegevens worden verteld. Hoe kun je anders als betrokkene weten welke rechten je wel of niet wilt uitvoeren. Hiervoor heb je als organisatie een privacyverklaring.

Helaas zien wij veel privacyverklaringen die niet “AVG-proof” zijn. Terwijl de wetgever en toezichthouder heel zwaar tillen aan duidelijke informatie. Hoe goed is jouw privacyverklaring?

Wist je dat:
Je met onze privacy software Complite automatisch een privacyverklaring kunt genereren wanneer het verwerkingsregister goed gevuld is?

Wil je hier meer over weten? Stuur ons een bericht!

Meer artikelen
04 december 20 |

Terrorismefinanciering? Ik? De Wwft in een notendop!

Blog

Je bent ondernemer en de bank belt. Ze willen je wat vragen stellen in verband met witwassen en terrorismefinanciering. Je schrikt je een hoedje. Je hebt namelijk niks te maken met witwassen of terrorisme! Toch is het niet gek dat de bank bepaalde vragen stelt. Dit heeft namelijk alles te maken met de Wwft.

Wat is de Wwft?

Wwft staat voor Wet ter voorkoming van witwassen en financieren van terrorisme. De overheid wil natuurlijk voorkomen dat het financiële stelsel wordt geschaad door criminele activiteiten. Daarom legt de wet verplichtingen op aan bepaalde instellingen.

Geldt dit ook voor mij?

Wil je weten of je zelf als ondernemer iets met de Wwft moet doen? De Wwft is onder andere op de volgende instellingen van toepassing (deze opsomming is niet limitatief, wil je weten of de Wwft op jou van toepassing is, neem gerust contact op ons op):

  • Banken en andere financiële ondernemingen;
  • Belastingadviseurs en accountants;
  • Advocaten en notarissen;
  • Makelaars;
  • Bemiddelaars in voertuigen, schepen, kunstvoorwerpen, antiquiteiten, edelstenen, edele metalen, sieraden en juwelen.

Het cliëntenonderzoek

Een onderdeel van de verplichtingen die op de instellingen wordt gelegd is het doen van cliëntenonderzoek. Instellingen die een transactie aangaan met een andere partij, moeten onderzoek doen naar deze andere partij. Dit bestaat uit het identificeren en verifiëren van de wederpartij (dit gaat om de natuurlijke persoon achter de onderneming, in het geval van rechtspersonen de uiteindelijk belanghebbende) en het doel en beoogde aard van de zakelijke relatie vaststellen.

Dat verifiëren is nog niet altijd even gemakkelijk. Een kopietje paspoort is natuurlijk zo gemaakt. Maar mag dat wel? Daar komt de AVG weer om te hoek kijken.

Melden van transacties

Een andere plicht die op instellingen wordt gelegd is het melden van verdachte transacties. Op de website van de Financial Intelligence Unit (www.fiu-nederland.nl) staan indicatoren waar je een ongebruikelijk transactie aan kunt herkennen. Voorbeelden hiervan zijn:

  • Uitgaande of ontvangen betalingen van grote cash bedragen;
  • Uitgaande of ontvangen betalingen afkomstig uit sanctielanden (voorbeelden: Rusland, Oekraïne, Iran en China).

Wat moet ik doen?

Naast privacy heeft ISPE ervaring met het implementeren en toetsen van de Wwft binnen organisaties. Wil je hier meer over weten, neem dan contact met ons op!

Meer artikelen
17 november 20 |

Social media & privacy

Blog

Quiz

Dit keer doen we het eens anders. We beginnen deze blog met een paar quizvragen:

Vraag 1: Vanaf welk moment begint Instagram met het opslaan van cameragegevens?

A. Vanaf het moment dat je een filmpje of foto maakt.
B. Vanaf het moment dat je een filmpje of foto op Instagram, in je Stories of via DM stuurt.
C. Vanaf het moment dat je de camera opent via de Instagram App.

Vraag 2: Welke foto’s of filmpjes verwerkt Snapchat?

A. De foto’s en filmpjes die je verstuurd via Snapchat of opslaat op Snapchat.
B. Alle foto’s en filmpjes die op je telefoon staan.


Vraag 3: Welke stellingen zijn waar en niet waar?

Stelling I: gepersonaliseerde advertenties op LinkedIn worden o.a. op basis van je salarisschaal aangeboden.
Stelling II: wanneer LinkedIn nieuwe persoonsgegevens van jou gaat verzamelen of de persoonsgegevens op een andere manier gaat verwerken, dan hoeft LinkedIn jou daarvan niet op de hoogte te stellen.

A. Beide stellingen zijn juist.
B. Stelling I is juist en stelling II is onjuist.
C. Stelling I is onjuist en stelling II is juist.
D. Beide stellingen zijn onjuist.

Verzamelwoede

Veel mensen maken gebruik van sociale media, waaronder ikzelf. Facebook, Instagram, Snapchat en LinkedIn, het staat allemaal op mijn telefoon. Heb ik ooit in de privacy statements van deze apps gekeken? Nee, om eerlijk te zijn niet. Het zijn ook ontzettend lange documenten. Toch is het interessant om ze eens door te lezen, zodat je op de hoogte bent van wat deze bedrijven doen met je persoonsgegevens.

Persoonsgegevens en met name ook de doorgifte van persoonsgegevens zijn een zeer belangrijk onderdeel van het verdienmodel van sociale media. Hoe meer informatie er over je beschikbaar is, hoe persoonlijker de advertenties kunnen zijn die jij op sociale media te zien krijgt. Er wordt dus een enorme hoeveelheid persoonsgegevens verwerkt. Je gaat je bij het doornemen van de privacy statements bijna afvragen welke gegevens er niet van je verzameld worden.

Lever je dan al je privacyrechten in op het moment dat je telefoon vol staat met sociale media apps?

Nee. Echter moet je soms wel even het privacy statement goed doorspitten om erachter te komen hoe je een beroep kunt doen op je rechten. Zo heb je een recht op inzage in de persoonsgegevens die van jou verwerkt worden en heb je het recht om bezwaar te maken tegen bepaalde verwerkingen zonder dat je gelijk je account hoeft te verwijderen.

Ook als ondernemer kan je prima gebruik maken van (sommige) sociale media, zolang je je er bewust van bent welke persoonsgegevens jouw onderneming via sociale media deelt. Tijdens onze quick scan zullen wij sociale media gebruik altijd even meenemen. Wil jij er ook op een snelle en laagdrempelige manier achter komen hoe het binnen jouw onderneming met privacy staat? Neem dan contact met ons op en wij informeren je graag over onze quick scan.

Meer artikelen
10 november 20 |

Goliath tegen Goliath

Blog

Je hebt het misschien al op het nieuws voorbij zien of horen komen: Apple en Facebook liggen met elkaar overhoop en dit heeft iets te maken met de verwerking van persoonsgegevens. Wat is hier nu precies aan de hand en wat zijn de standpunten van Apple en Facebook?

Waar gaat het conflict over?

Op 26 april 2021 heeft Apple het IOS 14.5 besturingssysteem gelanceerd. Een van de belangrijkste updates in het nieuwe besturingssysteem is dat bij het openen van apps, zoals Facebook, een pop-up in beeld komt waarin de gebruiker toestemming moet geven aan de app voor het volgen van de activiteiten van de gebruiker op het gehele apparaat. Dit wordt “tracking” genoemd en houdt in dat bijvoorbeeld Facebook niet alleen bij mag houden wat je binnen de Facebook-app doet, maar ook toegang heeft tot je activiteiten op andere apps en websites.

Waarom wil Facebook al deze informatie? Bedrijven betalen Facebook om advertenties op Facebook te plaatsen. Het liefst willen bedrijven dat deze advertenties zo persoonlijk mogelijk zijn. Heb jij gegoogeld op “vakantie Griekenland” dan willen reisorganisaties hun beste aanbiedingen op jouw Facebookpagina krijgen, zodat jij je vakantie bij de betreffende reisorganisatie boekt

Maar dit is toch niks nieuws?

Iedereen die gebruik maakt van sociale media en zoekmachines is bekend met dit fenomeen. En het is niet zo dat Facebook en andere apps in het geheel geen toestemming vragen voor “tracking”. Echter is dit een onderdeel van het gegevensbeschermingsbeleid waarop je akkoord moet geven bij het installeren van de app. Daarna verdwijnen je cookie- en advertentievoorkeuren ergens in je Facebookinstellingen

Waarom is Facebook dan boos?

Een pop-up bij het openen van de app met daarin een specifieke toestemming voor “tracking” met als doel het bieden van persoonlijke advertenties is meer in-your-face dan de manier waarop nu toestemming wordt gevraagd. Facebook vreest dat veel gebruikers nu “NEE” zeggen en dat zij hierdoor veel inkomsten gaan verliezen. Facebook vindt dat Apple gebruik maakt van haar machtspositie door deze specifieke toestemming te vragen en dat kleine ondernemingen hierdoor geraakt worden, omdat de mogelijkheden om via Facebook te adverteren beperkt worden. Apple CEO Tim Cook heeft zich uitgesproken tegen de verregaande gegevensverwerking door bedrijven als Facebook en pleit voor meer transparantie. De strijd tussen deze tech-reuzen wordt ongetwijfeld vervolgd…

Bent u een kleine ondernemer en lijkt dit een ver-van-uw-bed-show? Dat hoeft het niet te zijn. Wanneer u een bedrijf heeft met een eigen website, dan zal u ongetwijfeld te maken hebben met cookies? Wilt u een cookie-statement opstellen of deze laten checken? Wij nemen uw zorgen weg!

Meer artikelen
19 oktober 20 |

Anoniem? Vaak toch niet?

AVG

Achtergrond

In de AVG wordt gesproken over geanonimiseerde en gepseudonimiseerde persoonsgegevens. Dit zijn manieren om de verwerking van persoonsgegevens minder ingrijpend te laten zijn (gepseudonimiseerd) of gegevens zelfs niet onder het begrip persoonsgegevens te laten vallen (geanonimiseerd). Maar wanneer is er nu sprake van welke variant?

Om dat te bepalen gaan we eerst kijken naar de definities die in de AVG staan. De definitie van “pseudonimisering” is de volgende: “het verwerken van persoonsgegevens op zodanige wijze dat persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld.”

Het begrip “anonimisering” staat niet als dusdanig in de AVG maar anonieme gegevens worden wel genoemd als zijnde gegevens die geen betrekking hebben op een geïdentificeerd of identificeerbare natuurlijke persoon. Het zijn simpelweg geen persoonsgegevens.

Ik kan mij voorstellen dat…

…wanneer je dit leest het nog een beetje abracadabra klinkt. Vandaar iets meer uitleg:

  • Bij gepseudonimiseerde persoonsgegevens kan het bijvoorbeeld zijn dat de persoonskenmerken in de gegevens onleesbaar worden gemaakt. De persoonskenmerken kunnen vervolgens versleuteld worden opgeslagen en enkel toegankelijk worden gemaakt voor bepaalde personen.
  • Voorbeelden van geanonimiseerde gegevens zijn persoonsgegevens die willekeurig worden omgezet in andere data of wanneer bepaalde delen van persoonsgegevens worden verwijderd waardoor ze niet meer herleidbaar zijn. Bij anonimisering is het belangrijk dat het proces niet teruggedraaid kan worden. Gegevens die anoniem gemaakt zijn, blijven anoniem.

Let wel op: de Autoriteit Persoonsgegevens is streng op het gebied van geanonimiseerde gegevens

Gegevens krijgen niet zomaar het stempel “anoniem”. Een recentelijk voorbeeld is het delen van locatiegegevens door telecombedrijven aan de overheid met betrekking tot het bestrijden van Covid-19. De Autoriteit Persoonsgegevens heeft in dit kader zich uitgesproken dat deze locatiegegevens nooit anoniem kunnen zijn. Wie weet waar iemand woont of werkt en die gegevens combineert met de “geanonimiseerde” locatiegegevens kan deze gegevens altijd herleiden naar een natuurlijke persoon. De lat voor anonieme gegevens ligt erg hoog, waardoor de AVG vaker op de door jou verwekte gegevens van toepassing is, dan je misschien denkt.

Geanonimiseerde en gepseudonimiseerde persoonsgegevens zijn een ingewikkeld onderwerp…

…maar kunnen wel een belangrijk onderdeel zijn van de technische maatregelen die je moet nemen in het kader van de AVG. Heb je vragen over door jou genomen maatregelen of over andere ingewikkelde onderwerpen in de AVG? Neem contact met ons op!

Meer artikelen
04 oktober 20 |

Verwerkingsverantwoordelijke of verwerker?

AVG

Zoek de verschillen

Wie weleens met de AVG te maken heeft gehad, zal ongetwijfeld gehoord hebben van de begrippen “verwerkingsverantwoordelijke” en “verwerker”. Maar wat houden deze begrippen nu daadwerkelijk in? En wat is het onderscheid?

De verwerkingsverantwoordelijke is een natuurlijke of rechtspersoon (of overheidsinstantie, een dienst of een ander orgaan) die samen met anderen, het doel en de middelen voor de verwerking van persoonsgegevens vaststelt.

De verwerker is dan juist de partij die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.

Voorbeeld

Dit is het makkelijkste uit te leggen met een voorbeeldje: bedrijf X beslist dat een nieuwsbrief moet worden verspreid onder hun klanten. Hiervoor geeft zij een lijst met e-mailadressen aan bedrijf Y dat de nieuwsbrieven vervolgens daadwerkelijk gaat versturen. Bedrijf X bepaalt in dit geval welke persoonsgegevens er worden verwerkt en het doel van de verwerking; namelijk e-mailadressen om een nieuwsbrief te verzenden. Bedrijf X moet er dan ook zorg voor dragen dat de gegevens op basis van de juiste grondslag zijn verzameld en worden verwerkt, bijvoorbeeld dat de klanten hier toestemming voor hebben gegeven. Bedrijf X is dus de verwerkingsverantwoordelijke en bedrijf Y de verwerker.

Het is wel belangrijk om te vermelden dat bedrijf Y de persoonsgegevens enkel verwerkt op basis van de instructie van bedrijf X. Wanneer bedrijf Y de persoonsgegevens daarnaast voor andere, door zichzelf vastgestelde, doeleinden gaat verwerken, dan wordt bedrijf Y ook verwerkingsverantwoordelijke. Dit is bijvoorbeeld het geval als bedrijf Y de mailadressen weer doorverkoopt aan een andere partij (even los van de vraag of dit is toegestaan!).

En nu?

De verwerkingsverantwoordelijke en de verwerker moeten de verwerking van persoonsgegevens regelen in een overeenkomst: de verwerkersovereenkomst. De verwerker moet passende technische en organisatorische maatregelen nemen om de gegevens te beschermen, maar de verwerkingsverantwoordelijke moet wel checken of de genomen maatregelen inderdaad voldoende zijn. Dat laatste gebeurt in de praktijk zelden en veel verwerkingsverantwoordelijken zijn niet van deze verplichting op de hoogte!

Is dan de oplossing om overal maar verwerkersovereenkomsten voor te tekenen? Gewoon voor de zekerheid? Nee, absoluut niet! Er zijn vele redenen om hier erg kritisch naar te kijken. Teken dus niet zomaar iedere verwerkersovereenkomst en laat ze ook niet te pas en te onpas tekenen door leveranciers.

Houdt u zich bezig met het verwerken van persoonsgegevens en bent u benieuwd welke rol u vervult? Of vraagt u zich af of u een verwerkersovereenkomst moet opstellen of tekenen? En hoe de technische en organisatorische maatregelen van de verwerker gecontroleerd kunnen worden? Neem gerust contact met ons op!

Meer artikelen
29 september 20 |

Accountability – toon het aan!

Blog

Wat is er nieuw?

De Algemene Verordening Gegevensbescherming is ingegaan op 25 mei 2018. Een van de grootste verschillen tussen deze wetgeving en haar voorganger: de Databeschermingsrichtlijn die in Nederland geïmplementeerd was door middel van de Wet Bescherming Persoonsgegevens, is dat het accountability principe is geïntroduceerd.

Het accountability principe wordt in het Nederlands vertaald als het verantwoordingsbeginsel of de verantwoordingsplicht. Het houdt in dat de verwerkingsverantwoordelijke in algemene zin moet kunnen aantonen dat hij voldoet aan de verplichtingen die voortvloeien uit de AVG. De verwerkingsverantwoordelijke is de natuurlijke persoon of rechtspersoon die het doel en de middelen voor de verwerking van persoonsgegevens vaststelt.

Daarnaast moet de verwerkingsverantwoordelijke kunnen aantonen dat de maatregelen die genomen zijn om persoonsgegevens te beschermen effectief zijn. De verantwoording moet kunnen worden afgelegd aan de Autoriteit Persoonsgegevens maar ook aan andere derde partijen.

Hoe werkt dit nu in de praktijk?

Om aan het accountability principe te kunnen voldoen, moet een bedrijf een actief beleid voeren op het gebied van gegevensbescherming. Een onderdeel daarvan is het treffen van passende technische en organisatorische maatregelen om gegevens te beschermen. Deze maatregelen kunnen dan vervolgens op worden genomen in het verwerkingsregister en in het privacybeleid, maar zullen ook op de werkvloer daadwerkelijk moeten worden nageleefd.

Wilt u hulp met het realiseren van een actief privacybeleid voor uw bedrijf? Schroom niet om contact met ons op te nemen!

Meer artikelen
10 augustus 20 |

Juridische grondslagen

AVG

vorige week legden we kort uit waar je bij het vragen om toestemming allemaal aan moet denken.maar eigenlijk sloegen we daarbij een stapje over, namelijk de “juridische grondslagen” die de wet noemt.

Wanneer mag je persoonsgegevens verwerken

Vorige week legden we kort uit waar je bij het vragen om toestemming allemaal aan moet denken.Maar eigenlijk sloegen we daarbij een stapje over, namelijk de “juridische grondslagen” die de wet noemt.

Jurdische wat? Dat klinkt saai

Geen zorgen. We houden het kort. Dat je niet zomaar persoonsgegevens mag verwerken, dat is bij de meesten wel bekend. Maar wanneer mag het dan wel?

Daarvoor geeft de AVG in totaal zes opties. Kun je de verwerking niet in één van deze zes categorieën kwijt? Dan houdt het daar helaas op en mag je de persoonsgegevens niet (op die manier) verwerken.

Wie van de zes

De mogelijkheden die de AVG geeft, lichten we hieronder toe. Dit is in willekeurige volgorde! Er is niet een ‘betere‘ of ‘slechtere‘ grondslag, alleen een ‘juiste’.

  • Toestemming: Deze is wel bekend en dus vorige week in dit blog uitgelegd.
  • Wettelijke verplichting: Denk hierbij aan de verplichting om een financiële administratie bij te houden.
  • Uitvoeren van een overeenkomst: Je bestelt iets bij een webshop, dan heeft die webshop wel je adres nodig om het pakketje naar je toe te kunnen sturen.
  • Bescherming van vitale belangen: Niet de leukste voorbeelden om te geven, maar hier gaat het om situaties waarin acuut gevaar dreigt en de persoon zelf niet in staat is om toestemming te geven. Stel: iemand is betrokken bij een ongeluk, is bewusteloos en er moet gecontroleerd worden welke bloedgroep iemand heeft.
  • Algemeen belang en uitvoeren van openbaar gezag: De politieagent die een proces-verbaal opmaakt, de gemeentelijke basisadministratie, flitspalen langs de provinciale weg. Ga zo maar door.
  • Gerechtvaardigd belang: De categorie waarover vaak de meeste discussie bestaat. Maar ook één die kansen biedt. Je mag namelijk ook persoonsgegevens verwerken als je daar een ‘goede en legitieme reden‘ voor hebt. Je moet daarbij wel de afweging maken of jouw reden zwaarder weegt dan de inbreuk die je daardoor maakt op iemands privacy. Bijvoorbeeld camera-toezicht bij een bedrijfspand. Dat mag, maar niet zomaar en overal. Wel bij de serverruimte, niet op de toiletten. Meestal dan. We zullen hier binnenkort in een apart blog wat meer voorbeelden van geven.

Welke moet ik nu kiezen?

Dat is niet zo eenvoudig als het misschien lijkt. Je moet namelijk wel logisch en consistent zijn in je keuze. Je mag bijvoorbeeld niet om toestemming vragen als je eigenlijk verwerkt vanuit een wettelijke verplichting. Dat ziet de AVG als “niet eerlijk“.

Waarom niet? Omdat je toestemming in kan trekken. Dus als in dat geval de persoon die toestemming heeft gegeven die toestemming intrekt, dan moet je toch doorgaan met het verwerken van de persoonsgegevens. Je hebt namelijk een wettelijke plicht daartoe. Maar door het vragen om toestemming wek je de indruk dat de ander een keuze heeft.

En nu?

We begrijpen dat het lastig is om te bepalen voor welke grondslag je in welk geval moet kiezen. Wij helpen je daar graag bij. Neem contact met ons op om hier een vrijblijvend over te sparren

Meer artikelen