Precies goed en gebruikersvriendelijk: bovenmatigheid, juistheid en volledigheid en privacy-by-default

De eerste vraag die rijst is wat (al dan niet) ‘bovenmatig’ is. Mogen alleen gegevens worden verwerkt, die strikt noodzakelijk zijn voor de vervulling van de grondslag of zit er nog een bepaalde mate van beoordelingsvrijheid door de verantwoordelijke in? Dat hangt natuurlijk samen met de aard van de gegevens en de (wettelijke) grondslag op basis waarvan de gegevens worden verwerkt. De verwerking van ‘gewone persoonsgegevens’ kan bijvoorbeeld worden gerechtvaardigd door een belangenafweging of toestemming van de betrokkene, terwijl voor ‘bijzondere persoonsgegevens’ een zwaardere grondslag is vereist (geen ’toestemming’ of ‘belangenafweging’). En binnen de categorie van ‘gewone persoonsgegevens’ zijn ook nog gradaties denkbaar. De wetgever is hier soms niet duidelijk in en het enige dat wij kunnen adviseren is aan de ‘veilige kant’ te blijven en het verbod op bovenmatigheid voor te laten gaan: als verwerking van persoonsgegevens niet strikt nodig is: niet doen! Zelfs als de grondslag voor verwerking een belangenafweging is, wat een zekere beoordelingsvrijheid lijkt te impliceren, zal het belang bij privacy veelal zwaarder wegen dan het belang bij verwerking als die verwerking niet echt nodig is.

Als voorbeeld kan dienen de situatie die Martijn Bolt schetst in AG Connect: met een blockchainapplicatie kan een winkelier de leeftijd van een klant controleren zonder openbaarmaking van persoonsgegevens. Waarom dan nog de identiteit van de klant gecontroleerd? Dat wordt dan vanzelf ‘bovenmatig’. Natuurlijk is deze technologie nu nog geen marktstandaard, maar kan dat wel worden.

Maar de bovenmatigheid kan hem ook zitten in de duur van de verwerking. Weggooien is hier niet zonde, integendeel. Te lang bewaren is een zonde. En iedere verwerking moet ook ingericht worden om de privacy adequaat te beschermen (privacy-by-design) en te lang of onnodig bewaren van gegevens te voorkomen. De tip is op dit punt dus dat de functionaliteit van ieder computerprogramma rekening houdt met privacy. Niet alleen moet daaruit blijken welke grondslag de verwerking van welke persoonsgegevens (en velden of records) rechtvaardigt, maar  ook wanneer de desbetreffende gegevens kunnen en dus moeten worden vernietigd. Ik kom hier zo dadelijk nog op terug.

De betrokkene heeft er ook recht op dat de gegevens die worden verwerkt juist en volledig zijn. Aan de betrokkene wordt dan ook een informatierecht toegekend (desnoods actief) met betrekking tot het gegeven dat bepaalde persoonsgegevens worden verwerkt en voor welke doeleinden. Daarnaast heeft de betrokkene het recht de gegevens te laten corrigeren of aanvulling te vragen. Onder de AVG krijgt de betrokkene ook nog expliciet een recht om vernietiging van persoonsgegevens te vorderen, tenzij er sprake is van een (wettelijke) bewaarplicht.

Er zit natuurlijk wel een zekere spanning tussen het vereiste van volledigheid van persoonsgegevens en het verbod op bovenmatigheid. Per verwerking zal de verantwoordelijke steeds moeten nagaan of de persoonsgegevens wel nodig zijn voor de doeleinden en de verwerking ervan gerechtvaardigd wordt door de grondslagen. Maar ook of de bewaartermijn van bepaalde persoonsgegevens wellicht afwijkt, waardoor een deel van de persoonsgegevens kan worden vernietigd. Ook dit zou standaard mogelijk moeten zijn in de functionaliteit van programmatuur die gebruikt wordt om persoonsgegevens te verwerken. Dit kan verder tot een behoorlijk complex privacybeleid leiden.

Dit alles moet onder de Wet bescherming persoonsgegevens in de ‘melding’ bij de Autoriteit Persoonsgegevens worden neergelegd, tenzij er sprake is van een uitzondering onder het Vrijstellingsbesluit. Met ingang van 25 mei 2018 moet dit onder de AVG in het Register (van de verantwoordelijke) worden opgenomen: welke gegevens worden verwerkt, met welk doel, op welke grondslag en wanneer worden zij vernietigd? Waar een privacy officer actief is, zal deze veelal belast worden met het bijhouden ervan. Dit bekent dat deze functionaris zijn voelsprieten goed zal moeten hebben uitgestoken binnen de organisatie. En het bestuur blijft altijd eindverantwoordelijk.

De verplichting om adequate beveiligingsmaatregelen te treffen wordt veelal uitgedrukt in privacy-by-design: de verplichting om het beleid zodanig in te richten, te implementeren en uit te (doen) voeren dat de bescherming van persoonsgegevens zoveel mogelijk geborgd is en mettertijd geborgd blijft. Want de techniek zit niet stil.

Wat is dan privacy-by-default? Dit houdt in dat waar bijvoorbeeld de betrokkene een keuze heeft (bijvoorbeeld toestemming geven voor verwerking of niet), het vinkje standaard op de stand staat, die de betrokkene de grootste privacybescherming geeft.  Dit maakt het namelijk nodig dat de betrokkene in ieder geval nog één handeling verricht. De wetgever gaat er dan vanuit dat die handeling weloverwogen en bewust wordt verricht.

Ook houdt dit beginsel in, dat de volgende acties eenvoudig mogelijk moeten zijn:

1. verzoeken om inzage, correctie, aanvulling of wissen van de verwerkte persoonsgegevens;
2. verzoek om een afschrift van (de meest recente versie van) het privacybeleid;
3. het indienen van een klacht over de verwerking van persoonsgegevens;
4. het intrekken of beperken van eerder verleende toestemming tot verwerking van persoonsgegevens.

Dit betekent niet alleen dat dit ingebouwd moet worden in programmatuur of portals, maar dat ook binnen de organisatie verwerkingsprocessen van dergelijke verzoeken moeten worden ingericht en wel op zodanige wijze dat rechtmatige verzoeken snel en doeltreffend worden opgevolgd. En dat houdt natuurlijk weer verband met de privacy-by-design. Technologie die persoonsgegevens automatisch verwijdert met inachtneming van de maximum-bewaartermijnen lijkt op het snijvlak van privacy-by-default en privacy-by-design te liggen. Voor zover mij bekend zijn dergelijke technologische oplossingen nog niet, in ieder geval nog geen marktstandaard, maar hier ligt een voor de hand liggende functionaliteit voor het oprapen.

Is uw privacybeleid toereikend geformuleerd en geïmplementeerd? Voldoet uw organisatie aan alle verplichtingen van de Wbp en bent u tijdig voorbereid op de invoering van de AVG, zodat u per 25 mei 2018 in overeenstemming daarmee handelt? Heeft u de juiste instelling? 

Heeft u vragen over dit artikel, neemt u dan contact op met ons team IT, Privacy & Cybersecurity.