krachtig in de zaak

Privacy is hot. Net als de bescherming van persoonsgegevens. Nu hebben we de spelregels uit de Wet bescherming persoonsgegevens. Vanaf 25 mei 2018 is er de Algemene Verordening Gegevensbescherming (AVG). De eerste bijdrage was een inleiding waarbij het ging om de vraag wat nu persoonsgegevens zijn. In dit tweede deel gaat het over de vraag wanneer je persoonsgegevens van iemand mag verwerken is en hoe het zit met toestemming.

Er moet een reden zijn
Als je iets wilt doen dan heb je daar vaak een reden voor. Dat geldt niet alleen in het dagelijks leven, maar zeker ook bij het toepassen van wettelijke regels. Persoonsgegevens zijn vaak gevoelige gegevens. Je wilt niet zomaar dat iedereen allerlei informatie over je bewaart. In de AVG is daarom opgenomen in welke situaties de verwerking van persoonsgegevens rechtmatig is. Als bedrijf, werkgever, organisatie, kerk, sportclub of noem maar op heb je een grondslag nodig om persoonsgegevens te verwerken.
 
Toestemming van iemand – ondubbelzinnig?
De belangrijkste reden om persoonsgegevens te mogen verwerken is de toestemming van de persoon in kwestie. Wat zegt de AVG daar concreet over? Allereerst de definitie van wat toestemming nu precies is. Het moet dan gaan om een ‘vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt’. Daarnaast is het ook mogelijk om gegevens te verwerken als dit noodzakelijk is voor de uitvoering van een overeenkomst. Denk dan bijvoorbeeld aan de arbeidsovereenkomst en het verwerken van persoonsgegevens van een werknemer.
 
Toestemming – bewijs?
Verder moet de partij die persoonsgegevens verwerkt (een bedrijf, organisatie, kerk of sportclub) kunnen aantonen dat de betrokkene toestemming heeft gegeven. Maar ja, hoe doe je dat? In ieder geval blijkt duidelijk uit de definitie dat het ‘wie zwijgt stemt toe’ onvoldoende is. Je moet je werknemers of je (gemeente)leden vragen om toestemming. En dat verzoek moet begrijpelijk en gemakkelijk toegankelijk zijn en eenvoudig leesbaar.
 
Bijzondere soorten persoonsgegevens – verbod
We zagen al eerder wat de definitie van persoonsgegevens is. Alle informatie over een persoon. Denk aan informatie zoals lengte, gewicht, kleur ogen of leeftijd. Er is ook informatie over een persoon die wat gevoeliger ligt. Al kan het voor sommige mensen al gevoelig zijn als er wordt gevraagd naar hun gewicht. Voor die gevoelige soorten informatie is een speciaal artikel in de AVG opgenomen. Het is verboden om persoonsgegevens te verwerken waaruit ras, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen of het lidmaatschap van een vakbond blijken.
 
Uitzonderingen
Als er juridische regels zijn, zijn er ook uitzonderingen op die regels. Dat geldt ook hier voor het verbod om bijzondere soorten persoonsgegevens te verwerken. In de AVG staan een paar uitzonderingen. De twee belangrijkste uitzonderingen zijn deze:

• de persoon in kwestie heeft uitdrukkelijk toestemming gegeven om ook deze bijzondere persoonsgegevens te verwerken
• de verwerking wordt verricht door een stichting, vereniging of andere instantie die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is.

Voor die laatste categorie is nog belangrijk dat de verwerking wel past in de activiteiten van de organisatie en er passende waarborgen zijn. De verwerking moet uitsluitend betrekking hebben op de leden of de voormalige leden.
 
In de volgende bijdrage (deel 3) bespreken we de rechten van de persoon wiens persoonsgegevens worden verwerkt.
 
De volledige wettekst van de AVG kunt u hier lezen. Deze bijdrage ging met name over de artikelen 6, 7 en 9.