Inbedden privacybeleid in dagelijkse bedrijfsvoering

In deze vijfde van dertien blogs uit de serie over de GDPR gaan we het hebben over het ‘inbedden van privacybeleid’, over het voor het eerst breed in de organisatie implementeren van acht door de GDPR verplicht gestelde en op de bescherming van de rechten en vrijheden van de betrokkene gerichte maatregelen.

Hieronder wordt voor alle acht procedures een korte beschrijving gegeven met verwijzing naar de relevante artikelen in de GDPR.

1. Onderhoud procedures voor het behoud van gegevenskwaliteit.

Deze procedure is gericht op het waarborgen van de gegevenskwaliteit en is het resultaat van de opdracht gericht aan de verwerkingsverantwoordelijke die ligt opgesloten in artikel 5 lid 1d. Het gaat hier over het waarborgen van de juistheid, volledigheid, up-to-dateheid en beschikbaarheid van de te verwerken persoonsgegevens.

2. Onderhoud procedures die de toegankelijkheid van informatie en communicatie bevorderen.

Procedure twee gaat over het bevorderen van toegankelijkheid van informatie en communicatie. De daartoe in artikel 12 GDPR neergelegde opdracht gaat over het nemen van maatregelen die ervoor zorgen dat de betrokkenen de hem volgens de GDPR toekomende informatie/communicatie in een beknopte, transparante, begrijpelijke, gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal tot zich kan nemen.

In aanvulling daarop draagt artikel 22 lid 3 GDPR de verwerkingsverantwoordelijke ook op om maatregelen te nemen voor het geval een betrokkene zich niet kan onttrekken aan een volledig computergestuurd besluit. De daartoe te nemen maatregelen moeten voorzien in het recht van menselijke tussenkomst; het recht om zijn standpunt kenbaar te maken; en het recht om bezwaar aan te tekenen tegen dit besluit.

3. Onderhoud procedures voor secundair gebruik van persoonsgegevens.

Procedure drie gaat over het gebruik van persoonsgegevens voor een ander doel dan waarvoor ze oorspronkelijk zijn verzameld. In art. 6 lid 4 GDPR wordt de verwerkingsverantwoordelijke verplicht actief invulling te geven aan het afwerken van een checklist die een antwoord geeft op de vraag of dit andere doel de verwerking rechtvaardigt.

4. Onderhoud procedures voor het bewaren van persoonsgegevens.

In artikel 5 lid 1e GDPR krijgt de verwerkingsverantwoordelijke de opdracht persoonsgegevens enkel in die vorm te bewaren, die het mogelijk maakt om de betrokkenen te identificeren, enkel en niet langer dan in verband met de doeleinden waarvoor de persoonsgegevens werden verzameld nodig is.
Bij deze vierde procedure gaat het over het nemen van maatregelen omtrent:
– het benoemen van termijnen voor het wissen van persoonsgegevens;
– het bepalen wie toegang heeft tot de opgeslagen gegevens;
het bepalen waar gegevens mogen worden opgeslagen;
– het oplossen van conflicten en het naleven van het beleid met bijbehorende procedures;
– het zorgen voor systeem back-up-plannen, inclusief testen en externe opslag.

5. Onderhoud procedures over het verwerken van persoonsgegevens van een betrokkene jonger dan 16 jaar.

De vijfde procedure betreft de ouderlijke toestemming. In artikel 8 lid 2 GDPR wordt de verwerkingsverantwoordelijke met een actieve internetdienst een (redelijke) inspanningsverplichting opgelegd om vast te stellen of de vereiste ouderlijke toestemming wel is verleend.

Hoe hij die moet doen geeft de GDPR niet aan. Gedacht kan worden aan door ouders/voogden getekende toestemmingsformulieren, email bevestigingen of opnames van callcenters.

6. Onderhoud procedures voor het gebruik van persoonsgegevens in de onderzoekspraktijk.

In de kern gaat procedure zes over het garanderen van gegevensminimalisering in de onderzoekspraktijk. In dit kader eist artikel 89 lid 1 GDPR dat er passende waarborgen worden genomen voor het beschermen van de rechten en vrijheden van de betrokkenen (zie art 24 GDPR).

In deze gaat het onder andere over:
– de wijze van het verkrijgen van persoonsgegevens voor onderzoeksdoeleinden;
– het verkrijgen van geldige toestemming;
het de-identificeren van gegevens;
– en het nemen van maatregelen voor het beschermen van bestanden met bijzondere persoonsgegevens.

7. Onderhoud procedures voor de de-identificatie van persoonsgegevens.

De zevende procedure vindt zijn grondslag in drie verschillende artikelen. In artikel 5 lid 1e, artikel 25 lid 1 en artikel 89 lid 1 wordt de verwerkingsverantwoordelijke opgedragen gegevens al dan niet geautomatiseerd te de-identificeren, wanneer de identificering niet of niet langer nodig is voor het realiseren van de doeleinden.

Deze procedure voorziet in de te nemen stappen gericht op het pseudonimiseren, anonimiseren of op andere wijze (definitief) onherkenbaar maken van de betreffende persoonsgegevens.

8. Onderhoud procedures voor het verkrijgen van geldige toestemming. 

Resteert de achtste procedure; het van de betrokkene verkrijgen van ‘geldige toestemming’, als een van de in artikel 6 GDPR opgenomen mogelijke wettelijke grondslagen voor het verwerken van persoonsgegevens.

De wijze waarop de toestemming moet worden verkregen is verder uitgewerkt in de artikelen 7 en 8 GDPR, waarbij een belangrijke toetssteen de afhankelijkheidsrelatie tussen betrokkenen en verwerkingsverantwoordelijke is.