Liaise Advocaten logo

Privacy

Privacyrecht is essentieel in een tijd waarin persoonsgegevens massaal worden verzameld en gedeeld. Of je nu een mediabedrijf bent dat persoonsgegevens verwerkt, of als individu je privacy wordt geschonden: wij kunnen je daarin adviseren. Denk aan AVG compliance, datalekken, een privacy impact assesment of recht op een privéleven en sociale media.

AVG compliance

Organisaties die persoonsgegevens verzamelen en gebruiken hebben door de invoering van de Algemene verordening gegevensbescherming in 2018 meer verantwoordelijkheden gekregen. De mensen van wie gegevens wordt gebruikt, hebben juist meer rechten gekregen. Wanneer organisaties zich niet aan de regels houden, kunnen zij een boete krijgen. Niet alleen grote bedrijven, maar ook kleine ondernemers en individuele personen die persoonsgegevens verwerken moeten zich hieraan houden.

De AVG kent zes basisprincipes die richting geven aan zorgvuldig en rechtmatig gebruik van persoonsgegevens:

1. Rechtmatigheid, behoorlijkheid en transparantie

Persoonsgegevens verwerken mag alleen als je daar een geldige grondslag voor hebt. De AVG kent er zes:

  1. Je hebt toestemming van de betrokkene.
  2. De verwerking is nodig om een overeenkomst uit te voeren.
  3. Je bent wettelijk verplicht om de gegevens te verwerken.
  4. De verwerking is nodig om vitale belangen te beschermen.
  5. Je voert een taak van algemeen belang uit of oefent openbaar gezag uit.
  6. Je hebt een gerechtvaardigd belang bij de verwerking.

Voor strafrechtelijke gegevens en bijzondere categorieën persoonsgegevens, zoals gegevens over iemands gezondheid, ras of politieke opvattingen, gelden strengere regels. Verwerking moet bovendien redelijk zijn en passen binnen de maatschappelijke normen. En: betrokkenen hebben het recht te weten welke gegevens over hen worden verwerkt.

2. Doelbinding

Verzamel gegevens alleen voor een vooraf bepaald, concreet en legitiem doel. Wil je dezelfde gegevens later voor iets anders gebruiken? Dan heb je daarvoor een nieuwe grondslag nodig. Gegevens die je voor doel A hebt verzameld, zet je dus niet stilletjes in voor doel B.

3. Dataminimalisatie

Verwerk zo min mogelijk persoonsgegevens. Niet meer dan wat strikt nodig is voor het doel waarvoor je ze hebt verzameld. Meer data is hier geen voordeel, het is een risico.

4. Juistheid

Zorg dat de gegevens die je verwerkt kloppen en actueel zijn. Wie zijn gegevens bij je organisatie heeft staan, mag je vragen die te corrigeren als ze niet juist zijn. Dat verzoek kun je niet zomaar naast je neerleggen.

5. Opslagbeperking

Gegevens bewaar je niet langer dan nodig voor het doel waarvoor je ze verzameld hebt. Voor elke categorie persoonsgegevens stel je bewaartermijnen in. Dat is geen nice-to-have, maar een verplichting.

6. Vertrouwelijkheid en integriteit

Gegevens die je verwerkt, beveilig je goed. Dat betekent: toegang alleen voor wie die nodig heeft, en bescherming tegen verlies, onbevoegde inzage of beschadiging. Een helder autorisatiebeleid is daarbij geen overbodige luxe.

Datalek

Bij een datalek hebben mensen toegang tot persoonsgegevens zonder dat dit mag of zonder dat dit de bedoeling is. Een datalek kan bijvoorbeeld ontstaan door beveiligingsproblemen, maar ook door fouten zoals het versturen van een e-mail naar het verkeerde adres of het verkopen van een computer zonder de harde schijf te wissen.

Als het waarschijnlijk is dat het datalek zorgt voor een risico voor de personen die ermee te maken hebben dan ben je als verwerker van de persoonsgegevens die zijn gelekt verplicht om een datalek binnen 72 uur te melden bij de Autoriteit Persoonsgegevens (AP). Factoren die bi de risico bepaling van een datalek een rol kunnen spelen zijn de volgende:

  • de aard van de inbreuk;
  • de aard en gevoeligheid van de persoonsgegevens en de hoeveelheid;
  • het gemak waarmee personen kunnen worden geïdentificeerd;
  • de ernst van de gevolgen voor de slachtoffers;
  • kenmerken van de onbevoegde ontvanger;
  • bijzondere kenmerken van de persoon;
  • bijzondere kenmerken van uw organisatie;
  • aantal slachtoffers.

Wij kunnen helpen bij het maken van een risico-inschatting en adviseren of een datalek wel of niet gemeld moet worden bij de AP. Wij kunnen die melding vervolgens ook doen. Ook kunnen wij adviseren of de slachtoffers van het datalek hier persoonlijk van op de hoogte moeten worden gebracht.

Daarnaast is een organisatie verplicht om een datalekregister op te stellen en bij te houden. Hierin worden alle datalekken vastgelegd die zich binnen een organisatie hebben voorgedaan. Dit kan gaan om een verkeerd geadresseerde e-mail, het verliezen van een laptop vol persoonsgegevens of een hack of cyberaanval.

DPIA (Data Protection Impact Assessment)

Een onderneming is verplicht een Data Protection Impact Assessment uit te voeren wanneer hij persoonsgegevens gaat verwerken die waarschijnlijk een hoog risico inhouden voor de betrokkenen. Dit kan het geval zijn bij het gebruik van nieuwe technologieën of grootschalige verwerking van persoonsgegevens. Een DPIA is in ieder geval verplicht wanneer sprake is van grootschalige verwerking van bijzondere persoonsgegevens (bijvoorbeeld gezondheidsgegevens of strafrechtelijke gegevens), stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten, systematische en uitgebreide profilering, waarop beslissingen gebaseerd worden die rechtsgevolgen hebben voor personen en het gebruik van nieuwe technologieën die waarschijnlijk een hoog privacyrisico inhouden.

Het doel van een DPIA is dat een organisatie de mogelijk negatieve gevolgen van een gegevensverwerking voor de privacy van de betrokkenen inzichtelijk krijgt.

De basisvereisten die aan een DPIA worden gesteld zijn de volgende, de DPIA moet in ieder geval bevatten:

  • een systematische beschrijving van de gegevensverwerking die je van plan bent uit te voeren en de doeleinden hiervoor.
  • een beoordeling van de noodzaak en de proportionaliteit van de verwerking van persoonsgegevens.
  • Een beoordeling van de privacyrisico’s voor de personen wiens persoonsgegevens je wil verwerken.
  • De beoogde maatregelen om eventuele risico’s aan te pakken en een beschrijving waarom de verwerking aan de AVG voldoet.

Wij kunnen adviseren of een DPIA moet worden uitgevoerd. Indien nodig kunnen wij zo’n DPIA ook uitvoeren.

Recht op een privé leven als grondrecht

In de Nederlandse Grondwet staat het recht op eerbiediging van de persoonlijke levenssfeer. Dat betekent dat de overheid en anderen uw privacy moeten respecteren. Een voorbeeld hiervan is dat iemand niet zomaar uw woning mag betreden of een verbod op heimelijk cameratoezicht.

Bij deze situaties gaat het altijd om een belangenafweging. Het recht op privacy wordt afgewogen tegen andere belangen zoals veiligheid, journalistieke vrijheid of opsporing. Als het toch gebeurt dat iemand een inbreuk maakt, dan kunt u degene die daarvoor verantwoordelijk is vaak aansprakelijk stellen. In sommige gevallen kan een schadevergoeding worden gevorderd.

Sociale media en privacy

Sociale media zijn onmisbaar voor makers, artiesten en bedrijven. Maar het gebruik ervan brengt privacyvraagstukken met zich mee. Denk hierbij aan het delen van foto’s, video’s en persoonsgegevens van derden. Dit zou kunnen leiden tot inbreuken op het portretrecht of inbreuk op je privacyrechten. Wij adviseren over de beperking van deze risico’s en helpen bij het rechtmatig en veilig inzetten van sociale media. Zie hiervoor ook Onrechtmatige publicatie.

Alle rechtsgebieden

Heb je een vraag? We helpen je graag verder.

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

binnen één werkdag antwoord

Relevante artikelen

Neem contact op met een van onze advocaten

  • Alexandra Iedema
  • Merel Teunissen
  • Jaap Versteeg
  • Roland Wigman
  • David Allick

Waarmee kunnen we je helpen?

Hoe wil je dat we contact opnemen?

Onze advocaten

Onze counsels