Blog overzicht

TransIP GDPR-checklist 2018

Op 25 mei 2018 is de nieuwe Europese privacywet – General Data Protection Regulation (GDPR) – in werking getreden. Iedereen die persoonsgegevens verwerkt, zal ongetwijfeld hebben gemerkt dat het niet altijd even makkelijk is om zich een weg te banen door de GDPR-jungle van honderden artikelen, whitepapers en video’s. Daarom hebben wij de website van de Autoriteit Persoonsgegevens (toezichthouder op de GDPR), de handleiding van het ministerie van Justitie en Veiligheid en de definitieve tekst van de GDPR eens goed doorgespit en de ultieme GDPR-checklist samengesteld. Doe nog één keer een laatste check om er zeker van te zijn dat je niets bent vergeten!

Uitgangspunten

Om deze GDPR-checklist niet nog langer te maken dan die al is, gaan we van de volgende punten uit:

  • Je weet wat de GDPR is en waarvoor deze privacywet dient.

  • Je verwerkt persoonsgegevens en de GDPR is op jou van toepassing.

  • Je weet dat de Autoriteit Persoonsgegevens toezicht houdt op de naleving van de GDPR in Nederland.

  • Je bevindt je in Nederland en verwerkt persoonsgegevens niet gezamenlijk met iemand anders.

  • Je bent bekend met de relaties tussen verwerkingsverantwoordelijke, (sub)verwerker en betrokkene (die we vanaf nu 'klant' gaan noemen).

  • Je bent een verwerkingsverantwoordelijke en geen verwerker. Verplichtingen van de verwerker zijn buiten beschouwing gelaten.

  • Deze GDPR-checklist is slechts een algemene leidraad en er kunnen geen rechten aan worden ontleend. Voor meer details over een specifiek onderwerp verwijzen we waar mogelijk naar speciale guidelines die deze onderwerpen verduidelijken.

Inhoudsopgave

Is handhaving door de Autoriteit Persoonsgegevens na 25 mei 2018 realistisch?

Onlangs is bekend geworden dat de Autoriteit Persoonsgegevens niet genoeg budget heeft om gelijk na 25 mei 2018 alle verzoeken met betrekking tot de GDPR te behandelen. Daarom komt de focus vooral te liggen bij grote organisaties en organisaties die bijzondere persoonsgegevens verwerken. Alhoewel het de bedoeling is dat iedereen vanaf 25 mei volledig aan de nieuwe wetgeving voldoet, kunnen we ons voorstellen dat kleinere bedrijven en zelfstandigen dit bericht als een opluchting zien.

Desalniettemin blijft het advies om niets uit te stellen en in ieder geval aan te tonen dat je serieus met de nieuwe privacywet bezig bent geweest. Ben je op het moment van controle dan nog net niet helemaal compliant, dan is de toezichthouder wellicht bereid ‘redelijk’ op te treden.

De basisbeginselen van de GDPR

De GDPR brengt veel verplichtingen voor de verwerkingsverantwoordelijke en rechten voor de klant met zich mee. Al deze verplichtingen en rechten zijn gebaseerd op een aantal beginselen die het hart van de GDPR vormen. Hou deze beginselen in het achterhoofd om beter te begrijpen waarom je tot bepaalde dingen verplicht bent of waarom klanten bepaalde rechten hebben. Hieronder vind je een overzicht van alle beginselen.

De verwerking van persoonsgegevens:

  • is rechtmatig, behoorlijk en transparant; (guideline beschikbaar) Je verwerkt persoonsgegevens op basis van een van de zes rechtsgrondslagen (die in checkpunt #1 aan bod komen) en doet dit op een eerlijke en transparante manier. Dit houdt in dat je tegenover klanten een informatieplicht hebt waarin je in begrijpelijke taal onder andere uitlegt dat je persoonsgegevens verzamelt, waarom je dit doet en hoe lang je dit doet. Deze informatieplicht komt tot uiting in je privacyverklaring, die aan het einde van deze checklist besproken wordt.  

  • gebeurt met een doel; Elke gegevensverwerking heeft een doel. Je kan dus niet zomaar persoonsgegevens verzamelen zonder achterliggende reden of voor een toekomstig doel. Je doel moet goed omschreven zijn en volgens de informatieplicht van tevoren gemeld worden aan de klant. Van doel wisselen op een later moment is slechts in beperkte gevallen mogelijk.  

  • gebeurt niet meer dan nodig is om het doel te vervullen; Vraag alleen de persoonsgegevens op die nodig zijn om je doel te vervullen. Heb je slechts een naam en e-mailadres nodig, vraag dan niet extra om een telefoonnummer met de reden omdat het misschien later van pas komt. Bedenk dus goed welke gegevens je echt nodig hebt. Dit proces wordt ook wel data-minimalisatie genoemd.  

  • berust op juistheid; Zorg ervoor dat je altijd over juiste persoonsgegevens beschikt en pas dit waar nodig aan. Hoe vaak je verzamelde persoonsgegevens moet actualiseren, zal afhangen van het soort gegevens en het doel waarvoor je ze gebruikt. Zo is het bijvoorbeeld niet verstandig om gegevens up-to-date te houden die gebruikt worden voor archiveringsdoeleinden.  

  • wordt niet langer gedaan dan waarvoor het nodig is; Het is niet toegestaan om persoonsgegevens langer te bewaren dan nodig is. Als je dit wel doet, loop je het risico dat je in strijd handelt met de twee hiervoor besproken beginselen; (te) oude gegevens hebben vaak het doel vervuld waarvoor ze verzameld zijn en de kans neemt toe dat er onjuistheden ontstaan. Pas wel op met het verwijderen van oude gegevens: misschien heb je ze nodig voor een ander doel, voor wettelijke verplichtingen of als bewijs in een dreigende rechtszaak.  

  • berust op integriteit en vertrouwelijkheid; Met persoonsgegevens moet natuurlijk zorgvuldig worden omgegaan. Daarom ben je verplicht passende beveiligingsmaatregelen te treffen om verlies en misbruik te voorkomen. Welke technische en organisatorische maatregelen je kan treffen, wordt besproken in checkpunt #3.  

  • moet worden verantwoord. Misschien wel de belangrijkste uit de rij: je moet kunnen aantonen dat je de bovenstaande beginselen netjes hebt nageleefd. Deze verantwoordingsplicht is bijna een wet op zich, vandaar dat we het apart behandelen in checkpunt #3 en #4.  

Genoeg achtergrondinformatie; tijd om checkboxen af te vinken!

GDPR-checklist #1: het verwerken van persoonsgegevens doe je altijd op basis van een rechtsgrondslag

Elke verwerking moet gebaseerd zijn op een rechtsgrondslag om als rechtmatig te worden aangemerkt. De GDPR kent meerdere grondslagen waarop je persoonsgegevens mag verwerken.

1a. Je hebt toestemming gekregen om persoonsgegevens van de klant te verwerken (guideline beschikbaar)

Om van echte toestemming te kunnen spreken, moet die wel vrijelijk gegeven zijn. Als een klant geen gebruik kan maken van een dienst zonder eerst zijn persoonsgegevens te delen, is het verkrijgen van toestemming niet op een vrije manier gebeurd. 

Daarnaast moet de toestemming ondubbelzinnig zijn gegeven. Er moet dus een bepaalde actie plaatsvinden die toestemming inhoudt, zoals het zeggen dat je toestemming geeft of het drukken op een knop. Ervan uitgaan dat iemand toestemming geeft als hij verder gaat met browsen op je website is dus niet voldoende.

Tot slot moet je bij het vragen van toestemming specifiek zijn en de klant voldoende informeren. Wie ben je, welke persoonsgegevens verzamel je en voor welk(e) specifiek(e) doel(en) doe je dit? Let hierbij goed op dat het onderscheid tussen verschillende doelen duidelijk naar voren komt. Het verwijzen naar je privacyverklaring voor extra informatie is daarnaast geen verkeerd idee.

Vergeet ook niet te vermelden dat de klant altijd het recht heeft om zijn toestemming weer in te trekken. Vanaf dat moment moet je dan ook echt stoppen met het verwerken van persoonsgegevens. Het intrekken van toestemming moet overigens net zo makkelijk zijn als het geven ervan.

Maar dan ben je er nog niet!

De bewijslast dat er toestemming is gegeven ligt bij jou. Het verkrijgen van toestemming moet je dus ook echt aantonen per specifieke klant.

Wanneer je toestemming vraagt voor online diensten zoals websites, webshops of social media, hou er dan rekening mee dat kinderen onder de 16 jaar toestemming via hun ouders moeten geven. Je moet redelijke inspanningen leveren om dit te controleren, waarbij je rekening mag houden met de technologieën die je tot je beschikking hebt. Er kan niet van de bakker om de hoek worden gevraagd dat hij dit even goed controleert als een multinational.

Als je de bovenstaande stappen netjes hebt uitgevoerd, maar geen toestemming van de klant krijgt om zijn persoonsgegevens te verwerken, dan leiden er nog meer wegen naar Rome. Dit zijn de vijf zogenaamde ‘noodzakelijkheidsgrondslagen’. Het verwerken van persoonsgegevens is dan zelfs zonder toestemming toegestaan, zolang het maar noodzakelijk is om de genoemde doelen te vervullen. Hieronder bespreken we drie van deze grondslagen waar je in de praktijk mee te maken kan krijgen.

1b. Je verwerkt persoonsgegevens omdat ze noodzakelijk zijn voor het uitvoeren van een overeenkomst tussen jou en de klant

Na het kopen van een product, heb je bijvoorbeeld de adresgegevens van een klant nodig om het product op te sturen. Voor het gebruiken van deze adresgegevens heb je geen toestemming nodig, aangezien ze noodzakelijk zijn om de overeenkomst af te ronden.

Hou er wel rekening mee dat de overeenkomst zelf niet gericht mag zijn op het enkel verzamelen van persoonsgegevens, maar een ander doel moet dienen. Ook mag je de verkregen persoonsgegevens niet voor andere doelen gaan gebruiken (denk aan het analyseren van koopgedrag), tenzij je hiervoor apart toestemming krijgt.

1c. Je verwerkt persoonsgegevens omdat ze noodzakelijk zijn voor het vervullen van een gerechtvaardigd belang

De betekenis van een gerechtvaardigd belang wordt niet precies omschreven, waardoor je ruimte hebt om dit zelf in te vullen. Zo kan het noodzakelijk voor je zijn om bepaalde persoonsgegevens te verzamelen om fraude op te sporen en te voorkomen. Zelfs marketingactiviteiten zoals het versturen van reclame kunnen een gerechtvaardigd belang voor je inhouden, waardoor toestemming van de klant niet vereist is.

Of een beroep op deze rechtsgrondslag ook echt slaagt, hangt af van de vraag of de belangen, rechten en vrijheden van de klant eigenlijk niet zwaarder wegen. Je zal dus altijd een afweging moeten maken tussen jouw belang en die van een ander, en je verwerking van persoonsgegevens moeten verantwoorden. De afweging die je hebt gemaakt, dien je vervolgens duidelijk te communiceren via bijvoorbeeld je privacyverklaring. Zo kan de klant je gerechtvaardigde belang beter begrijpen en hier eventueel bezwaar tegen maken.

1d. Je verwerkt persoonsgegevens omdat ze noodzakelijk zijn om aan een Nederlandse of Europese wettelijke verplichting te voldoen

Als werkgever ben je bijvoorbeeld wettelijk verplicht om bepaalde persoonsgegevens van je werknemers op te nemen in je loonadministratie.

GDPR-checklist #2: je past op met het verwerken van bijzondere persoonsgegevens

Het zal in de praktijk niet vaak voorkomen, maar wees erop bedacht dat het verwerken van bijzondere persoonsgegevens in principe verboden is, tenzij hiervoor uitdrukkelijk toestemming is gegeven of een van de uitzonderingen geldt. Heb je een uitzondering te pakken? Vergeet dan niet dat je alsnog een rechtsgrondslag nodig hebt voordat je met de verwerking kan beginnen.

Er moet een lichtje gaan branden zodra je met de volgende persoonsgegevens aan de haal gaat:

  • ras of etnische afkomst;

  • politieke opvattingen;

  • religieuze of levensbeschouwelijke overtuigingen;

  • lidmaatschap van een vakbond;

  • genetische gegevens zoals DNA-gegevens;

  • biometrische gegevens met het oog;

  • gezondheidsgegevens;

  • gegevens over iemands seksuele gedrag of geaardheid;

  • persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten;

  • persoonsgegevens met betrekking tot het recht op vrijheid van meningsuiting en informatie, bedoeld voor journalistieke, artistieke of literaire uitingen;

  • persoonsgegevens in officiële documenten die openbaar worden gemaakt aan het publiek;

  • nationaal identificatienummer;

  • persoonsgegevens in het kader van een arbeidsverhouding;

  • persoonsgegevens in het kader van wetenschappelijk en historisch onderzoek, statistiek en archivering in het algemeen belang;

  • persoonsgegevens verzameld door kerken en religieuze instellingen;

  • persoonsgegevens in openbare registers.

GDPR-checklist 3: je hebt maatregelen genomen om aan de beginselen en verplichtingen uit de GDPR te voldoen 

Als verwerkingsverantwoordelijke dien je enkele maatregelen te nemen om aan de GDRP te voldoen. Deze worden hieronder allemaal besproken.

3a. Je hebt (als dit nodig is) een functionaris voor gegevensbescherming aangewezen (guideline beschikbaar)

Deze persoon is het aanspreekpunt voor privacygerelateerde vragen en brengt onder andere advies uit over en houdt toezicht op de naleving van de GDPR. Alhoewel je altijd een functionaris mag aanwijzen, is dit slechts verplicht in drie gevallen:

  • Je bent een overheidsinstantie.

  • Het is de hoofdtaak van je organisatie om persoonsgegevens te verzamelen die regelmatige en grootschalige observatie van klanten vereist. Denk bijvoorbeeld aan het constant bijhouden van reisgegevens door een vervoersorganisatie.

  • Je verwerkt op grote schaal de in checkpunt #2 besproken bijzondere persoonsgegevens.

3b. Indien nodig, heb je een gegevensbeschermingsbeoordeling uitgevoerd (guideline beschikbaar)

Wanneer het verwerken van bepaalde persoonsgegevens een hoog risico voor de rechten en vrijheden van een klant met zich meebrengt, ben je verplicht een onderzoek uit te voeren. Dit is bijvoorbeeld het geval wanneer je grootschalig mensen in de gaten houdt via een camera, automatisch diensten weigert op grond van persoonsgegevens of grootschalig bijzondere persoonsgegevens verwerkt.

Uit het onderzoek moet blijken of de belangen van een klant voldoende beschermd zijn tijdens het verwerken van zijn persoonsgegevens. Zo niet, neem dan risicobeperkende maatregelen.

3c. Indien nodig, heb je voorafgaande raadpleging aangevraagd

Als het nemen van risicobeperkende maatregelen na een negatieve gegevensbeschermingsbeoordeling niet lukt, dan ben je verplicht advies te vragen aan de Autoriteit Persoonsgegevens. Zonder hun oordeel mag je niet beginnen met het verwerken van persoonsgegevens die een hoog risico met zich meebrengen.

3d. Je voldoet aan de beginselen van ‘Privacy by Design en Privacy by Default’

Deze termen houden in dat je bij het ontwikkelen van een nieuw beleid of product in de beginfase al rekening houdt met de privacy van klanten en hun gegevensbescherming. Dit doe je door interne processen hierop af te stemmen en technische maatregelen te nemen. Vraag bijvoorbeeld zo min mogelijk persoonsgegevens tijdens een aanmelding voor je nieuwsbrief en vul optionele vinkjes niet vooraf in. Geef daarnaast genoeg informatie over de verwerking van persoonsgegevens tijdens het bestelproces en doe al het overige wat tijdens de ontwerpfase redelijkerwijs mogelijk is, om latere privacyinbreuk te vermijden. Voorkomen is tenslotte beter dan genezen.

Het ministerie van Justitie en Veiligheid adviseert om de volgende ontwerpstrategieën aan te houden:

3e. Je hebt passende beveiligingsmaatregelen getroffen om misbruik van persoonsgegevens te voorkomen

Met passende beveiligingsmaatregelen worden zowel organisatorische als technische maatregelen bedoeld. Zo kan je de toegang tot persoonsgegevens beperken tot een selecte groep medewerkers binnen je organisatie en een geheimhoudingsplicht introduceren. Technisch gezien is het verstandig om aan de slag te gaan met encryptie, pseudonimisering, het opkrikken van je cyberbeveiliging en het herzien van je back-upprocedures. Hoever je hierin moet gaan, zal onder andere afhangen van het soort persoonsgegevens dat je verwerkt. Gevoelige gegevens vragen nou eenmaal om extra goede beveiliging. Vergeet ten slotte niet regelmatig je beveiliging te herzien. Cybercriminaliteit neemt constant nieuwe vormen aan.

3f. Je hebt procedures klaarstaan voor het geval er een datalek heeft plaatsgevonden (guideline beschikbaar)

Wanneer er inbreuk is gemaakt op persoonsgegevens en dit een risico inhoudt voor de rechten en vrijheden van klanten, ben je verplicht dit te melden aan de Autoriteit Persoonsgegevens en in sommige gevallen zelfs aan de getroffen klanten. De Autoriteit Persoonsgegevens moet in principe 72 uur na het ontdekken van een datalek ingelicht worden.

3g. Indien je gebruikmaakt van een verwerker, heb je een verwerkersovereenkomst gesloten

Wanneer je verzamelde persoonsgegevens laat verwerken door een andere partij, moeten hierover duidelijke afspraken gemaakt worden in een verwerkersovereenkomst. Als verwerkingsverantwoordelijke ben je verplicht om zelf voor deze overeenkomst te zorgen. Veel grote verwerkers hebben meestal een verwerkersovereenkomst voor je klaarstaan, maar let dan wel goed op waarmee je akkoord gaat.

3h. Je hebt procedures klaarstaan om medewerking te verlenen aan de Autoriteit Persoonsgegevens

Je bent verplicht openheid van zaken te geven wanneer de Autoriteit Persoonsgegevens hierom vraagt. Zorg er daarom voor dat je de in het volgende checkpunt genoemde documenten klaar hebt staan wanneer deze situatie zich voordoet.

Naast alle bovengenoemde maatregelen is het mogelijk om nog extra maatregelen te treffen om aan de GDPR te voldoen. Deze maatregelen zijn niet verplicht, maar tonen wel een gebaar van goede wil aan:

  • Het aansluiten bij een gedragscode die ziet op de verwerking van persoonsgegevens.

  • Het behalen van een (privacy)certificaat.

  • Het invoeren van een specifiek ICT-beveiligingsbeleid.

  • Het opstellen van een speciaal privacy-jaarverslag.

GDPR-checklist #4: je kan aantonen dat je aan de beginselen en verplichtingen uit de GDPR voldoet 

Naast het nemen van maatregelen is het ook zaak de wereld te tonen dat je daadwerkelijk aan de GDPR voldoet. Dit gebeurt aan de hand van een aantal documenten.

4a. Indien nodig, hou je een register van verwerkingsactiviteiten bij

In dit register som je de belangrijkste informatie op met betrekking tot je verwerking van persoonsgegevens. Het bijhouden van een register is alleen verplicht als je onderneming meer dan 250 medewerkers heeft, of in een van de volgende drie gevallen:

  • Gegevensverwerking brengt een hoog risico met zich mee (dit blijkt uit de gegevensbeschermingsbeoordeling).

  • Je verwerkt bijzondere persoonsgegevens, zoals besproken in checkpunt #2.

  • Je verwerkt persoonsgegevens niet incidenteel.

In de praktijk zal je bijna altijd regelmatig persoonsgegevens verwerken (dus niet incidenteel) en daarom een register van verwerkingsactiviteiten moeten opzetten. Zelfs als je minder dan 250 medewerkers hebt. In het register neem je het volgende op:

  • De naam en contactgegevens van jezelf en indien je die hebt, de functionaris voor gegevensbescherming of andere partijen met wie je samen persoonsgegevens verwerkt.

  • De doelen waarvoor je persoonsgegevens verwerkt.

  • De categorieën klanten en persoonsgegevens waarmee je te maken hebt. Denk bij categorieën aan klanten, leveranciers, medewerkers, etc.

  • De categorieën ontvangers met wie je persoonsgegevens deelt. Denk bij categorieën aan IT-dienstverleners, marketingorganisaties, pensioenmaatschappijen, etc.

  • De doorgiften van persoonsgegevens aan een ander land of internationale organisatie, inclusief de documenten waarin passende waarborgen zijn genomen om misbruik te voorkomen.

  • Wanneer persoonsgegevens weer worden gewist.

  • Een algemene beschrijving van je beveiligingsmaatregelen, zoals besproken in checkpunt #3.

4b. Indien nodig, beschik je over een gegevensbeschermingsbeleid (privacybeleid)

In dit beleid bespreek je onder andere de passende beschermingsmaatregelen die je hebt getroffen en andere maatregelen uit checkpunt #3. Een privacybeleid is alleen verplicht als dit in verhouding staat tot je verwerkingsactiviteiten. Toch is het handig om er vrijwillig een op te stellen en zo makkelijker te zien of je voldoende maatregelen hebt getroffen om persoonsgegevens te beschermen.

In het privacybeleid regel je in ieder geval de volgende punten:

  • De categorieën persoonsgegevens die je verwerkt, met welk doel je dit doet en op grond van welke rechtsgrondslagen dit gebeurt. Denk bij categorieën bijvoorbeeld aan adresgegevens, betaalgegevens, identificatiegegevens en de in checkpunt #2 besproken bijzondere gegevens.

  • Hoe je in de praktijk voldoet aan de beginselen van de GDPR, zoals besproken aan het begin van deze checklist.

  • Welke rechten klanten hebben en hoe ze deze rechten in de praktijk kunnen uitoefenen.

  • Welke passende beveiligingsmaatregelen je hebt getroffen, zoals besproken in checkpunt #3.

  • Wat de bewaartermijn is van je verzamelde persoonsgegevens.

Het privacybeleid is overigens iets anders dan de privacyverklaring, die later in deze GDPR-checklist aan bod komt. De privacyverklaring is een middel om aan het transparantiebeginsel te voldoen en klanten netjes te informeren over je gegevensverwerkingen. Het privacybeleid is een middel om aan te tonen dat je aan de verplichtingen uit de GDPR voldoet. 

4c. Je beschikt over documentatie van je gegevensbeschermingsbeoordelingen

Hierin beschrijf je de resultaten van je onderzoek, in het geval je er een hebt uitgevoerd.

4d. Je beschikt over documentatie over passende waarborgen die zijn getroffen wanneer je persoonsgegevens overdraagt naar partijen buiten de Europese Unie

Meer informatie over deze passende waarborgen vind je in checkpunt #6.

4e. Wanneer je toestemming vraagt om persoonsgegevens te verwerken, heb je vastgelegd hoe je dit precies doet

Deze documentatie kan ook een rol spelen om te bewijzen dat toestemming daadwerkelijk is gegeven.

4f. Je beschikt over bewijs dat toestemming daadwerkelijk is gegeven in het geval je hierom vraagt

Dit zal je moeten bewijzen per klant.

4g. Als je persoonsgegevens verzamelt op grond van een gerechtvaardigd belang, heb je vastgelegd welk belang dit precies is (dit kan eventueel via je privacyverklaring)

4h. Je hebt gedocumenteerd welke rechten klanten hebben en hoe ze deze in de praktijk kunnen uitoefenen (dit kan eventueel via je privacyverklaring)

4i. Je hebt een overzicht met alle verwerkersovereenkomsten die je hebt gesloten

4j. Je beschikt over documentatie over de wijze hoe je met datalekken omgaat (dit kan eventueel via het privacybeleid)

4k. Je hebt gedocumenteerd welke datalekken hebben plaatsgevonden

Benoem ook wat de gevolgen waren en welke corrigerende maatregelen je hebt getroffen.

4l. Je hebt gedocumenteerd hoe je aan de beginselen van Privacy by Design en Privacy by Default voldoet (dit kan eventueel via het privacybeleid)

GDPR-checklist #5: je bent voorbereid op verzoeken omtrent (nieuwe) privacyrechten

Dankzij de GDPR blijven bestaande rechten uit de huidige privacywet gelden, en krijgen klanten er twee nieuwe rechten bij: het recht om vergeten te worden en het recht op overdraagbaarheid van gegevens. Je bent in principe altijd verplicht om uitgeoefende rechten van klanten in behandeling te nemen, hier binnen één maand kosteloos aan te voldoen en de klant hiervan op de hoogte te houden. Daarnaast ben je verplicht om het doen van een verzoek voor de klant te vereenvoudigen, door bijvoorbeeld op je website een standaardformulier aan te bieden.

Wanneer een klant een ongegrond of buitensporig verzoek aanvraagt, mag je dit verzoek weigeren. Ook dan ben je verplicht dit binnen één maand te melden en de klant te wijzen op de klachtenprocedure bij de Autoriteit Persoonsgegevens. De GDPR biedt in artikel 23 nog enkele andere situaties waarin je een verzoek mag weigeren.

Daarnaast is het belangrijk dat niet alleen jij, maar ook je (support)medewerkers van de verschillende privacyrechten op de hoogte zijn en van de wijze hoe ze op verschillende verzoeken van klanten moeten reageren.

Vergeet ten slotte niet te controleren dat de klant die een recht uitoefent ook echt de persoon is die hij zegt te zijn.

Met dit in het achterhoofd, is het tijd om in te gaan op de verschillende privacyrechten die je kan verwachten.

5a. Je weet te voldoen aan een verzoek betreffende het recht op inzage

Elke klant heeft het recht zijn persoonsgegevens die je van hem hebt verzameld in te zien. Dit kan bijvoorbeeld door een kopie te verstrekken of de gegevens beschikbaar te maken in een online account. Het soort gegevens dat je moet verstrekken sluit aan bij de later te bespreken privacyverklaring, maar dan op individueel niveau. Oftewel: welke gegevens verzamel je van de desbetreffende klant, met wel doel gebeurt dit, enzovoorts.

5b. Je weet te voldoen aan een verzoek betreffende het recht op rectificatie

Op grond van de basisbeginselen van de GDPR ben je verplicht al je gegevens accuraat te houden. Naast deze verplichting heeft een klant ook het recht om je te wijzen op foute of incomplete gegevens (die je misschien over het hoofd hebt gezien) en te eisen dat je ze herstelt en aanvult. Vergeet niet verbeterde gegevens te melden aan andere partijen met wie je de gegevens eerder hebt gedeeld.

5c. Je weet te voldoen aan een verzoek betreffende het recht op verwijdering en het recht om vergeten te worden (nieuw recht)

In sommige gevallen ben je verplicht persoonsgegevens te verwijderen wanneer een klant hier een verzoek voor indient. Dit geldt ook voor gemaakte back-ups. Dit is het geval:

  • wanneer persoonsgegevens niet meer nodig zijn voor het vervullen van een doel;

  • de toestemming voor het gebruiken van persoonsgegevens wordt ingetrokken;

  • het hierna te bespreken recht van bezwaar wordt uitgeoefend;

  • er geen rechtsgrondslag is om persoonsgegevens te verwerken;

  • de bewaartermijn van de persoonsgegevens is verstreken;

  • de klant jonger is dan 16 jaar en zijn persoonsgegevens zijn verzameld via een website of app.

Wanneer je persoonsgegevens deelt met andere partijen of openbaar hebt gemaakt, mag de klant je ook vragen ervoor te zorgen dat zijn persoonsgegevens ook door die andere partijen worden verwijderd of niet meer openbaar zijn. Dit houdt bijvoorbeeld in dat je ervoor moet zorgen dat gegevens verdwijnen uit de zoekresultaten van zoekmachines als Google.

In enkele gevallen mag je een succesvol verzoek tot verwijdering alsnog weigeren.

5d. Je weet te voldoen aan een verzoek betreffende het recht op overdraagbaarheid van gegevens (nieuw recht) (guideline beschikbaar)

Wanneer je gegevens verwerkt op basis van de besproken rechtsgrondslagen ‘toestemming van de klant’ of ‘noodzakelijk voor de uitvoering van een overeenkomst’, mag een klant om een kopie van al zijn digitaal verzamelde persoonsgegevens vragen. Deze kopie moet je in een gangbare en voor een machine leesbare vorm aanbieden, zodat de klant makkelijk kan overstappen naar een andere partij.

Het gaat hierbij niet alleen om gegevens die een klant door middel van een online formulier heeft ingevuld. Ook aanvullend verkregen persoonsgegevens zal je moeten aanbieden, zoals verzamelde locatiegegevens via een app of een zoekgeschiedenis. Voor meta-gegevens geldt hetzelfde. Dit is bijvoorbeeld het tijdstip van een verzonden e-mail. Afgeleide gegevens mag je wel buiten beschouwing laten. Dit zijn conclusies die je trekt aan de hand van persoonsgegevens: bijvoorbeeld een kredietscore of marketingprofiel. Afgeleide gegevens moet je wel tonen als het recht op inzage wordt uitgeoefend.

Het is verstandig dit recht te automatiseren door een tool te bouwen waarmee klanten hun persoonsgegevens met een druk op de knop kunnen downloaden.

5e. Je weet te voldoen aan een verzoek betreffende het recht op beperking van de verwerking

In sommige gevallen mag een klant eisen dat je verdere verwerking van persoonsgegevens tijdelijk stilzet. Dit houdt dus ook in dat je gegevens die je eigenlijk niet langer nodig hebt zelfs niet meer mag verwijderen.

Het is verstandig om gegevens waarvoor een beperking geldt zodanig te markeren. Ook kan je deze gegevens tijdelijk van je website halen of overplaatsen naar een apart systeem.

5f. Je weet te voldoen aan een verzoek betreffende het recht op verzet

Wanneer je gegevens verwerkt op basis van de besproken rechtsgrondslagen ‘algemeen belang’ of ‘gerechtvaardigd belang’, mag een klant hiertegen bezwaar maken. Bij succesvol bezwaar moet je stoppen met verdere verwerking, tenzij je aantoont dat het belang om door te gaan met het verwerken groter is.

Wanneer er bezwaar wordt gemaakt tegen een verwerking die ziet op direct marketing, ben je sowieso verplicht te stoppen. Geen uitzonderingen mogelijk.

Tot slot mag er ook bezwaar worden gemaakt tegen verwerking die ziet op wetenschappelijk, historisch of statistisch onderzoek, tenzij het algemeen belang voorgaat.

5g. Je weet te voldoen aan een verzoek betreffende het recht op een menselijke blik bij geautomatiseerde besluiten (guideline beschikbaar)

Op basis van een geautomatiseerd besluitproces is het mogelijk om (via bijvoorbeeld gegenereerde profielen) besluiten te nemen zonder menselijke tussenkomst. Voorbeelden zijn het automatisch weigeren van een lening of het automatisch opzeggen van een arbeidscontract.

Zulke automatische besluiten zijn onder de GDPR verboden wanneer ze aanzienlijke gevolgen hebben voor de klant, tenzij:

  • het nodig is voor de uitvoering van een overeenkomst;

  • de klant hiervoor toestemming heeft gegeven;

  • het is toegestaan op grond van een wettelijke bepaling.

Wanneer een uitzondering geldt, moet je alsnog aan de klant de optie geven om het automatische besluit te herzien via menselijke tussenkomst, om zijn standpunten kenbaar te maken en om het automatische besluit aan te vechten.

5h. Je voldoet aan het recht op informatie

Zie het volgende checkpunt voor de uitwerking van dit recht.

GDPR-checklist #6: je hebt een privacy- en cookieverklaring op je website

Op grond van het beginsel van behoorlijkheid en transparantie ben je verplicht klanten op een eerlijke, eenvoudige en toegankelijke manier te informeren over wat je met hun persoonsgegevens doet. In de praktijk komt dit tot uiting door middel van een privacyverklaring. Aangezien het informeren over cookies een belangrijk gedeelte is van je informatieplicht, kiezen veel organisaties ervoor om dit onderwerp los te trekken en apart te behandelen in een cookieverklaring. Beide documenten worden hieronder behandeld.

6a. Je privacyverklaring bevat de juiste informatie

Je privacyverklaring moet ten minste de volgende elementen bevatten.

  • De persoonsgegevens die je verwerkt.

  • Je identiteit en contactgegevens (ook die van je vertegenwoordiger).

  • De contactgegevens van je functionaris van gegevensbescherming.

  • De doelen waarvoor je persoonsgegevens verwerkt.

  • De rechtsgrondslag(en) waarop je de verwerking baseert.

    • Wanneer je het gerechtvaardigde belang als grondslag hanteert, een uitleg over welk belang dit dan is.

    • Wanneer je toestemming als grondslag hanteert, de melding dat een klant zijn toestemming op elk moment weer mag intrekken.

    • Wanneer je een wettelijke verplichting of de uitvoering van een overeenkomst als grondslag hanteert, de melding of de klant verplicht is zijn gegevens te delen en wat de gevolgen zijn als dit niet gebeurt.

  • De ontvangers waarheen je persoonsgegevens stuurt. Als dit onredelijk is, mag je ook de categorieën ontvangers benoemen.

  • De bewaartermijn van de persoonsgegevens.

  • Welke rechten klanten hebben en hoe ze deze kunnen uitoefenen.

  • Dat klanten klachten over je verwerkingen in kunnen dienen bij Autoriteit Persoonsgegevens.

  • Of je persoonsgegevens naar landen buiten de Europese Unie verstuurt en of:

    • er een adequaatheidsbeslissing is genomen door de Europese Commissie;

    • er passende waarborgen zijn getroffen zoals genoemd in artikel 46 van de GDPR, welke dit zijn, of hier een kopie van kan worden verkregen dan wel de locatie waar ze te vinden zijn;

    • er een uitzondering geldt zoals genoemd in artikel 49 van de GDRP, welke dit is en welke belangen hiermee gediend worden.

  • Of je geautomatiseerde besluitvorming toepast en wat de achterliggende logica, het belang en de gevolgen van deze besluitvorming zijn.

  • Wanneer je persoonsgegevens niet direct van de klant krijgt, de bron waar de gegevens dan vandaan komen en of ze afkomstig zijn uit een openbaar register.

Naast deze punten mag je aanvullende informatie geven als dit in jouw geval nodig is om volledige openheid van zaken te geven en aan het transparantiebeginsel te voldoen. Vergeet ten slotte niet je klanten te informeren (bijvoorbeeld via e-mail) wanneer een of meer punten uit de privacyverklaring gewijzigd worden.

6b. Je beschikt over een cookieverklaring en waar nodig een cookiebar

Met het plaatsen van cookies verzamel je ook persoonsgegevens waardoor er voor de cookieverklaring gedeeltelijk dezelfde eisen gelden als voor de privacyverklaring. Zo zal je in je cookieverklaring op moeten nemen voor welk doel je cookies plaatst, via welke rechtsgrondslagen dit gebeurt, wie de (categorieën van) ontvangers zijn waarheen je cookiegegevens verstuurt en wat de bewaartermijn van een cookie is. Zie ter inspiratie onze cookieverklaring.

Voor het plaatsen van veel cookies moet toestemming gevraagd worden, wat vaak via een cookiebar gebeurt. Vermeld in ieder geval de volgende informatie in je cookiebar voordat je klanten doorstuurt naar je cookieverklaring voor meer informatie.

  • Welke informatie verzamel je via cookies?

  • Verzamel je die informatie via cookies, scripts, beacons of andere technologieën?

  • Wat doe je met deze informatie?

De cookiebar (niet de cookieverklaring!) kan achterwege gelaten worden wanneer je slechts cookies plaatst waarvoor geen toestemming vereist is. Denk aan functionele cookies en sommige analytische cookies.

Zoals besproken in checkpunt #1 moet het geven van toestemming ondubbelzinnig gebeuren. Een cookiebar die aangeeft dat cookies geaccepteerd worden wanneer je doorgaat met het browsen op de website, is dus verboden. De klant moet de optie krijgen om cookies te accepteren of uit te zetten (tenzij het natuurlijk om cookies gaat waarvoor geen toestemming vereist is).

Hiermee sluiten we de TransIP GDPR-checklist af. We hopen dat je zoveel mogelijk hebt kunnen afvinken en wensen je veel succes met de laatste puntjes op de i!


Beoordeel dit artikel

Deel dit artikel

Gerelateerde artikelen

    • Leestijd: 8 minuten

Blog overzicht

Auteur: Akif Hodzic

Voorziet als contentmarketeer het blog van bruisende artikelen voor doorgewinterde techies en digitale nomaden om iedereen wegwijs te maken in de online wereld. Is daarnaast altijd te poken voor een potje Overwatch of een praatje over de laatste tv-series en tech-gadgets.