De Avg uitgelegd: transparantie en het recht op informatie
In de serie Avg uitgelegd nemen we de belangrijkste begrippen uit de Avg onder de loep. Tip: wil je de basis nog eens doornemen? Begin dan bij het artikel 10 vragen en antwoorden over de Avg. In onderstaand artikel gaan we in op het belang van transparantie en hoe dit samenhangt met het recht op informatie.
Transparantie in de Avg
Volgens de Avg moeten verwerkingen van persoonsgegevens voldoen aan bepaalde beginselen. Het eerste beginsel is:
“Persoonsgegevens moeten worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is”.
Wat betekent ‘transparant voor de betrokkene’?
Een betrokkene is degene op wie de persoonsgegevens die worden verwerkt betrekking hebben. Het is de persoon over wie informatie wordt verwerkt.
Transparantie houdt in dat het voor de betrokkene duidelijk is dát zijn persoonsgegevens worden verzameld, gebruikt, geraadpleegd of op een andere manier verwerkt worden, waarom en door wie. Transparantie hangt dus nauw samen met het recht op informatie van de betrokkene. Dat recht op informatie staat ook in de Avg en is waarom je bijvoorbeeld een privacy statement moet hebben.
Waarom is transparantie zo belangrijk?
De Europese wetgever eist dat een bedrijf dat gegevens over iemand verzamelt, daarmee een bepaalde verantwoordelijkheid op zich neemt en daarover verantwoording kan afleggen. Deze verantwoordingsplicht (accountability) is ook één van de beginselen uit de Avg.
Verantwoording afleggen doe je bijvoorbeeld door het bijhouden van een administratie waarin het privacybeleid en de daarbij gemaakte keuzes neergelegd zijn. Transparantie hangt samen met de verantwoordingsplicht, in die zin dat je verantwoording moet kunnen afleggen aan de betrokkene door diegene informatie te verstrekken.
Transparantie bestond al onder de oude privacywet. Zo bestond er al een informatieplicht. Meestal wordt die verwoord in een privacy statement op de website van een bedrijf. In de Avg is die informatieplicht op een aantal punten aanzienlijk uitgebreid en nader gespecificeerd.
Wat betekent dit voor mijn bedrijf?
Aan jou de taak om klanten of anderen van wie je de persoonsgegevens verwerkt te laten begrijpen wat er met die gegevens gebeurt. Om dat te bereiken, moet je als bedrijf de betrokkenen in ieder geval het volgende laten weten:
- Wie ben jij en hoe kan de betrokkene contact met jou en (indien van toepassing) jouw Functionaris voor de Gegevensbescherming (contactgegevens) opnemen?
- Waarom verzamel je persoonsgegevens en waarom mag dat (doelomschrijving, rechtsgrond en onderbouwing daarvan)?
- Aan wie ga jij de persoonsgegevens verder nog verstrekken?
- Is de betrokkene verplicht om de gevraagde persoonsgegevens te verstrekken of niet? En wat zijn de gevolgen als hij/zij de persoonsgegevens niet verstrekt (noodzaak)?
- Waar en hoe kan de betrokkene vragen om inzage, rectificatie of het wissen van persoonsgegevens (right to be forgotten), klachten indienen of bezwaar maken?
- Hoe kan een betrokkene een verleende toestemming intrekken?
- Hoe lang verwacht je de persoonsgegevens te gaan bewaren?
- Als de persoonsgegevens buiten de EU verwerkt gaan worden, welke waarborgen zijn er dan getroffen dat de persoonsgegevens in dat derde land volgens de Avg verwerkt worden?
- Doe je aan geautomatiseerde besluitvorming (bijvoorbeeld profiling)? En zo ja, welke logica wordt daarvoor gebruikt?
In heldere taal
Volgens de Avg moet de bovenstaande informatie bovendien in duidelijke eenvoudige taal en op een toegankelijke en begrijpelijke manier afgestemd zijn op de doelgroep. Verwerk je persoonsgegevens van kinderen, dan zal je dus nog eenvoudigere taal moeten gebruiken. Ook wordt door de Avg het gebruik van visualisatie (iconen) aangemoedigd. Hoe die iconen er dan precies uit moeten zien is nog niet duidelijk.
Wat moet ik doen met persoonsgegevens die ik niet rechtstreeks heb ontvangen?
Krijg je de persoonsgegevens niet rechtstreeks van de persoon die het betreft, dan zal je bovenstaande informatie alsnog aan de persoon moeten geven. Daar mag je niet te lang mee wachten (uiterlijk een maand). En korter als je eerder gebruik maakt van de persoonsgegevens voor het opnemen van contact met de betrokkene of de persoonsgegevens aan een ander doorgeeft. Dan moet je de informatie op dat moment geven. Omdat de persoon zelf de persoonsgegevens niet heeft verstrekt, moet je bovendien uitleggen om welke soort persoonsgegevens het gaat (welke categorieën van persoonsgegevens?) en hoe je eraan komt (wat is je bron?).
Wanneer hoef ik deze informatie niet te verstrekken?
De informatie hoeft niet verstrekt te worden als de betrokkene al over de informatie beschikt, het onmogelijk is of onevenredig veel inspanning zou vergen om de informatie te verstrekken, als informeren de doeleinden van de verwerking vrijwel onmogelijk maakt of als de verstrekking van de persoonsgegevens wettelijk is voorgeschreven.
Wat kan ik doen om transparant te zijn?
- Al met al is de informatieplicht in de Avg behoorlijk uitgebreid. Bedrijven kunnen deze transparantie geven in een privacy verklaring. Die kun je op je website plaatsen, in een pop-up bij een app of voegen bij andere documentatie die de betrokkenen al ontvangen. Let er wel op dat deze informatie verstrekt moet worden op het moment dat je de persoonsgegevens van een persoon krijgt. Een privacy statement moet dus niet achteraf toegestuurd worden, maar direct beschikbaar zijn voor de betrokkene.
- Een privacy verklaring kun je zelf opstellen. Daarbij kun je bijvoorbeeld gebruik maken van ons voorbeeld.
Wat moet er in een privacy statement staan?
In het kort de informatie die in een privacy statement moet staan:
- Naam en contactgegevens van de (vertegenwoordiger en de) verwerkingsverantwoordelijke;
- Contactgegevens van de Functionaris voor de Gegevensbescherming (indien van toepassing);
- Doel en rechtsgrond (zie de opsomming in artikel 6 Avg) van de verwerking van de persoonsgegevens;
- De gerechtvaardigde belangen van de verwerkingsverantwoordelijke (of derde) als dit de rechtsgrond van verwerking van de persoonsgegevens is;
- Eventuele ontvangers of categorieën van ontvangers van de persoonsgegevens bij doorgifte;
- Als doorgifte van persoonsgegevens plaatsvindt naar buiten de EU: welke passende waarborgen zijn genomen om de privacy in dat land te waarborgen;
- De bewaartermijn (en de criteria ter bepaling van de termijn);
- De betrokkene erop wijzen dat hij/zij recht heeft op: Inzage, wissen (right to be forgotten) en rectificatie van de persoonsgegevens of beperking van de verwerking ervan;
- Bezwaar maken tegen verwerking;
- Dataportabiliteit (het recht om je persoonsgegevens te kunnen meenemen);
- Het intrekken van eerder gegeven toestemming;
- Klacht indienen bij de Autoriteit Persoonsgegevens;
- Bestaan van geautomatiseerde besluitvorming (inclusief profiling) en nuttige informatie over logica, belang en gevolgen daarvan voor de betrokkene.
Meer informatie en vragen
Wil je meer informatie over de achtergrond van de Avg? Kijk dan in onze kennisbank. Heb je specifieke vragen over dit onderwerp, neem dan contact op met een van onze juristen.
Gerelateerde artikelen
Voldoe aan de AVG met onze Privacy Academy
3 gevaarlijke mythes over privacy en hoe je ze effectief ontkracht
