Lezing: De klantmanager en privacy

Het ABC van de AVG               Door Mr. Sébastien Daniels

 

Op 25 mei 2018 gaat de Algemene Verordening Gegevensbescherming (AVG) officieel in werking. Deze nieuw verordening stelt nieuw kader omtrent gegevensbescherming voor de 28 staten van de EU. De verordening moet nog ‘vertaald’ worden naar een uitvoeringswet. Hier wordt, as we speak, hopelijk hard aan gewerkt door de Raad van State.

 

De AVG verstrekt de rechten van de burger. Hiernaast wordt er strenger toezicht verlangd op instanties die omgaan met persoonsgegevens. Dit brengt meer verplichtingen met zich mee. De AVG heeft een grote reikwijdte met nog veel open en vage begrippen. Er is nog nauwelijks jurisprudentie wat de interpretatie van deze begrippen open laat tot de verbeelding.

De rechten van de burger worden uitgebreid. Zo kunnen zij toegang tot hun data verzoeken. Kunnen zij de reden opvragen waarom gegevens worden opgevraagd én kunnen zij hiertegen bezwaar maken. Hiernaast kunnen zij verzoeken om data (gegevens) over te dragen of te laten verwijderen. Binnen de gemeente werken wij met ‘gevoelige persoonsgegevens’ en hiervoor geldt een hoge zorgplicht. Dit betekent dat wij extra goed moeten vastleggen wáárom wij bepaalde gegevens nodig hebben en verwerken. De persoon die deze gegevens verwerkt is tevens eindverantwoordelijke en kan aansprakelijk gesteld worden.

 

De AVG is, zoals Sébastien zei… 300 pagina’s stoffige wetgeving die samengevat kunnen worden in een ABC’tje.

 

1. Verwerkingsgrond     “alles mag… tenzij”

1. Er is geen toestemming

2. Er is geen overeenkomst

3. Er is geen wettelijke plicht voor het opvragen van gegevens

4. Er is geen publiekrechtelijke macht

↓↓

2. Verzameldoel

Is er een welbepaald, rechtvaardig én vooral uitdrukkelijk omschreven verzameldoel?

“Met welk doel, bijvoorbeeld in de PW, vraag je gegevens op?”

↓↓

3. Bewaren

Niet langer dan nodig. De vraag hierbij is… ‘Wat is buitenproportioneel?’

↓↓

4. Doelbinding

            Verdere verwerking van de verkregen gegevens mag niet als dit niet verenigbaar is met het verzameldoel.

 

Het belangrijkste is dat er beleid gemaakt wordt dat ervoor zorgt dat de processen goed ingedeeld zijn. Mocht dit niet aantoonbaar zijn dan kunnen er (financiële) maatregelen getroffen worden. Concreet zal er een risicoanalyse gemaakt moeten worden op de huidige processen om te kijken of deze nog voldoen aan de AVG. Met externe partijen moeten verwerkersovereenkomsten opgesteld worden waarin staat welke gegevens uitgewisseld worden en met welk doel. Hiernaast moet gekeken worden hoe datalekken voorkomen kunnen worden. Een datalek kan sneller voorkomen dan je misschien eerst denkt... Kladblok met persoonsgegevens en BSN per ongeluk mee naar huis genomen? Potentieel datalek. Thuiswerken in een ‘onveilige webomgeving’? Potentieel datalek.

 

Binnen ons werk is ‘vrijwillige toestemming’ vrijwel niet aan de orde. Dit komt omdat er vanuit de PW toch enige dwang wordt uitgeoefend op de betrokkene. Geen stukken/inzage betekent vrijwel altijd… geen uitkering. Om deze reden werd er gesproken over een ‘informed consent’ constructie waarbij de betrokkene geïnformeerd wordt én daarna toestemming geeft voor de verwerking van de stukken.

 

Het was een leerzame lezing die gelijk de vinger legde op de pijnlijke plek. Er moet meer gedaan worden aan privacy binnen het sociaal domein. Deze transformatie vraagt betrokkenheid en transparantie.

Reactie toevoegen

To prevent automated spam submissions leave this field empty.