U bent hier: Home > Privacyrecht > De privacy-paradox: steeds meer informatie verstrekken, maar wel zo compact en simpel mogelijk alstublieft
De privacy-paradox: steeds meer informatie verstrekken, maar wel zo compact en simpel mogelijk alstublieft

De privacy-paradox: steeds meer informatie verstrekken, maar wel zo compact en simpel mogelijk alstublieft

Vanaf 25 mei 2018 is de privacyverordening van kracht. Dit betekent onder meer dat veel meer informatie aan betrokkenen moet worden verstrekt dan onder de huidige privacywetgeving het geval is. In deze blog zet ik de verschillen tussen de huidige en toekomstige wetgeving voor u op een rij. Daarbij plaats ik tevens een enkele kritische kanttekening.

Huidige informatieverplichtingen

Iedereen die voor eigen doeleinden persoonsgegevens verwerkt moet daarover transparant zijn. De gedachte is dat de consument daardoor beter in staat is te beoordelen wat er met zijn gegevens gebeurt en zo eventueel actie kan ondernemen.

De huidige informatieverplichtingen zijn vrij beperkt. In artikel 33 Wet bescherming persoonsgegevens (Wbp) staat dat de volgende informatie moet worden verstrekt:

  • identiteit;
  • doeleinden van de verwerking;
  • nadere informatie voor zover dat nodig is om een zorgvuldige verwerking te waarborgen.

Wat die nadere informatie precies inhoudt maakt de wet verder niet duidelijk. Uit o.a. de wetsgeschiedenis is wel af te leiden dat het – afhankelijk van de omstandigheden van het geval – zorgvuldig kan zijn o.m. over het volgende te informeren:

  • informatie over het recht op toegang tot de eigen persoonsgegevens;
  • informatie over het recht op rectificatie van deze gegevens;
  • informatie over de ontvangers of categorieën van ontvangers aan wie de gegevens kunnen worden verstrekt;
  • antwoord op de vraag of persoonsgegevens worden doorgegeven naar landen buiten de Europese Unie;
  • een globale uitleg over de getroffen beveiligingsmaatregelen;
  • uitleg waarom bepaalde persoonsgegevens worden gevraagd wanneer deze voor het verwerkingsdoel niet strikt noodzakelijk zijn;
  • antwoord op de vraag of men al dan niet verplicht is om te antwoorden op verzoeken om persoonsgegevens en de eventuele gevolgen van niet-beantwoording.

Toekomstige wijzigingen in de informatieverplichtingen

Vanaf 25 mei 2018 is de algemene verordening gegevensbescherming (AVG) of privacyverordening van kracht. Op grond van die nieuwe regels verandert er veel, waaronder op het gebied van transparantie.

Op hoofdlijnen geldt dat de AVG t.o.v. de WBP op het punt van transparantie met name verschilt:

  1. in de hoeveelheid te verstrekken informatie (omvang informatieplicht);
  2. in de criteria waaraan de informatie moet voldoen (kwaliteit informatieplicht);
  3. in de passende maatregelen om de ontvangst van de informatie te borgen (artikel 12 lid 1 AVG).

Onder de kwaliteit van de informatieplicht – punt 2 – versta ik dat de AVG bepaalt dat de informatie in “beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal” moet worden verstrekt (artikel 12 AVG). Dat kwaliteitsaspect is minder nieuw dan het lijkt. Al in 2004 gaf de WP29 een opinie uit waarin o.a. stond dat informatie beknopt en eenvoudig gehouden moet worden en gelaagd aangeboden mag worden. In de in 2009 aangenomen Madrid Resolutie zie je dit ook terugkomen in het 10e principe. Dat principe heeft de basis gevormd voor het voorstel van de privacyverordening. Vooral nieuw is dat het nu letterlijk in de AVG staat, terwijl het niet letterlijk in de Wbp staat.

Het is ook de vraag of het 3e punt zo wezenlijk nieuw is. De privacyrichtlijn (uit 1995) spreekt weliswaar nog slechts over het “verstrekken” van informatie, uit de toelichting op de Wbp blijkt dat de regering destijds al van oordeel was dat dit betekent dat beoordeeld moet worden of de betrokkene “op de hoogte is” (lees: de informatie heeft ontvangen). Om dat te kunnen beoordelen moeten er m.i. maatregelen genomen zijn om te borgen dat de informatie wordt verstrekt. Dat zit alweer vrij dicht aan tegen de tekst van de verordening.

Forse uitbreiding omvang informatieplicht

Het eerste punt- de omvang van de informatieplicht, ofwel: wat er verteld moet worden – wijzigt wel fors. In totaal moet namelijk de volgende informatie worden verstrekt (iets versimpeld weergegeven):

  • identiteit en contactgegevens van de organisatie of de vertegenwoordiger daarvan (artikel 13 lid 1 sub a AVG);
  • contactgegevens van de functionaris gegevensbescherming indien deze is aangesteld (artikel 13 lid 1 sub b AVG);
  • de verwerkingsdoeleinden (artikel 13 lid 1 sub c AVG);
  • de rechtsgrond voor de verwerking (artikel 13 lid 1 sub c AVG);
  • de gerechtvaardigde belangen waarop een verwerking is gebaseerd, indien een beroep op de grondslag gerechtvaardigd belang wordt gedaan (artikel 13 lid 1 sub d AVG);
  • aan welke (categorieen van) partij(en) de gegevens worden doorgegeven (artikel 13 lid 1 sub d AVG);
  • of gegevens worden doorgegeven naar buiten de EU en zo ja, welke waarborgen er dan zijn getroffen (artikel 13 lid 1 sub e AVG);
  • de bewaartermijn of de criteria om de bewaartermijn te bepalen (artikel 13 lid 2 sub a AVG);
  • de rechten van betrokkene (artikel 13 lid 2 sub b AVG);
  • dat een eventueel gegeven toestemming altijd kan worden ingetrokken en dat een dergelijke intrekking geen terugwerkende kracht heeft (artikel 13 lid 2 sub c AVG, maar ook artikel 7 lid 3 AVG);
  • dat een klacht bij de toezichthouder kan worden ingediend (artikel 13 lid 2 sub d AVG);
  • of verstrekking van gegevens verplicht is en wat de gevolgen zijn indien de gegevens niet worden verstrekt (artikel 13 lid 2 sub e AVG);
  • of sprake is van geautomatiseerde besluitvorming en zo ja, wat de onderliggende logica is en welke gevolgen er zijn voor de betrokkene (artikel 13 lid 2 sub f AVG);
  • de kern van de taak-/rolverdeling indien er meerdere partijen gezamenlijk verantwoordelijk zijn voor een verwerking (artikel 26 lid 2 AVG)
  • de incidentele kleinschalige doorgifte naar het buitenland die niet op een geldige juridische basis is gebaseerd (artikel 49 lid 1 slot AVG).

Het is niet helemaal duidelijk of de lijst uit de AVG limitatief is. Het lijkt er echter op dat dit niet het geval is en het dus denkbaar is dat er nog meer informatie moet worden verstrekt.

Artikel 5 lid 1 sub a AVG bepaalt namelijk in algemene zin dat persoonsgegevens moeten “worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is“. Nergens staat dat artikel 13/14 limitatief invulling geven aan dit uitgangspunt.

Ook overweging 39 en overweging 60 uit de verordening wijzen in de richting van een niet-limitatieve lijst van informatie die moet worden verstrekt:

39. (…) Dat beginsel betreft met name het informeren van de betrokkenen over de identiteit van de verwerkingsverantwoordelijke en de doeleinden van de verwerking, alsook verdere informatie om te zorgen voor behoorlijke en transparante verwerking met betrekking tot de natuurlijke personen in kwestie en hun recht om bevestiging en mededeling te krijgen van hun persoonsgegevens die worden verwerkt.

60. (…) De verwerkingsverantwoordelijke dient de betrokkene de nadere informatie te verstrekken die noodzakelijk is om tegenover de betrokkene een behoorlijke en transparante verwerking te waarborgen, met inachtneming van de specifieke omstandigheden en de context waarin de persoonsgegevens worden verwerkt.

Het lijkt er dus op dat de open norm die we uit de Wbp kenden in feite behouden is gebleven.

Veel meer informatie, maar wel compact a.u.b.

Uit het voorgaande volgt dat de informatieplicht in omvang fors toeneemt. Dat wordt visueel in een oogopslag duidelijk wanneer de verplichtingen naast elkaar worden gezet:

Wbp AVG
  • identiteit;
  • doeleinden van de verwerking;
  • nadere informatie voor zover dat nodig is om een zorgvuldige verwerking te waarborgen.
  • identiteit en contactgegevens van de organisatie of de vertegenwoordiger daarvan (artikel 13 lid 1 sub a AVG);
  • contactgegevens van de functionaris gegevensbescherming indien deze is aangesteld (artikel 13 lid 1 sub b AVG);
  • de verwerkingsdoeleinden (artikel 13 lid 1 sub c AVG);
  • de rechtsgrond voor de verwerking (artikel 13 lid 1 sub c AVG);
  • de gerechtvaardigde belangen waarop een verwerking is gebaseerd, indien een beroep op de grondslag gerechtvaardigd belang wordt gedaan (artikel 13 lid 1 sub d AVG);
  • aan welke (categorieen van) partij(en) de gegevens worden doorgegeven (artikel 13 lid 1 sub d AVG);
  • of gegevens worden doorgegeven naar buiten de EU en zo ja, welke waarborgen er dan zijn getroffen (artikel 13 lid 1 sub e AVG);
  • de bewaartermijn of de criteria om de bewaartermijn te bepalen (artikel 13 lid 2 sub a AVG);
  • de rechten van betrokkene (artikel 13 lid 2 sub b AVG);
  • dat een eventueel gegeven toestemming altijd kan worden ingetrokken en dat een dergelijke intrekking geen terugwerkende kracht heeft (artikel 13 lid 2 sub c AVG, maar ook artikel 7 lid 3 AVG);
  • dat een klacht bij de toezichthouder kan worden ingediend (artikel 13 lid 2 sub d AVG);
  • of verstrekking van gegevens verplicht is en wat de gevolgen zijn indien de gegevens niet worden verstrekt (artikel 13 lid 2 sub e AVG);
  • of sprake is van geautomatiseerde besluitvorming en zo ja, wat de onderliggende logica is en welke gevolgen er zijn voor de betrokkene (artikel 13 lid 2 sub f AVG);
  • de kern van de taak-/rolverdeling indien er meerdere partijen gezamenlijk verantwoordelijk zijn voor een verwerking (artikel 26 lid 2 AVG)
  • de incidentele kleinschalige doorgifte naar het buitenland die niet op een geldige juridische basis is gebaseerd (artikel 49 lid 1 slot AVG).
  • nadere informatie voor zover dat nodig is om een zorgvuldige verwerking te waarborgen.

Al die informatie uit de rechter kolom moet bovendien in “beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal” worden gepresenteerd. Ga er maar aan staan.

Tip voor de praktijk: wees zo volledig mogelijk (al dan niet gelaagd)

Wellicht komt bij u nu het beeld op dat het verstandig is om per product/dienst een eigen privacystatement op te stellen, zodat de individuele statements ten minste nog een beetje compact en hanteerbaar zijn. Toch is dat naar mijn idee minder handig. Ik zal uitleggen waarom.

De belangrijkste reden is dat het doelbindingsbeginsel ook onder de AVG (net als onder de Wbp) van toepassing blijft. Dat betekent vrij vertaald dat u persoonsgegevens niet mag verwerken voor doeleinden waarover u de betrokkene niet vooraf heeft geinformeerd. Wilt u persoonsgegevens voor andere doeleinden gebruiken, dan zult u de betrokkene alsnog moeten informeren over de nieuwe doeleinden (en evt. zelfs toestemming vragen). Onder de Wbp vloeit dit voort uit het stelsel van de wet, onder de AVG ook en is het bovendien expliciet in artikel 13 lid 3 AVG opgeschreven. U zet uzelf dus klem als u de privacystatements te compact maakt.

Een andere reden dat werken met afzonderlijke compacte statements per product/dienst minder handig is, is dat dan steeds de meer overkoepelende doeleinden van verwerking van persoonsgegevens moeten worden opgenomen (marketingdoeleinden, administratieve doeleinden, fraudepreventie, civiele vorderingen, etc.). Zou je dat namelijk niet doen, dan mag je die persoonsgegevens niet voor die meer overkoepelende / generieke doeleinden verwerken (zie de doelbindingsregel hiervoor). Bovendien moet je betrokkene steeds informeren over allerlei algemene zaken (zoals zijn rechten, mogelijkheid naar de toezichthouder te gaan, etc. zie hiervoor). Je krijgt dan dus een bonte verzameling van afzonderlijke statements die sterk op elkaar lijken, maar op onderdelen verschillen. Dat lijkt me vragen om ongelukken in de praktijk, bijv. omdat het verkeerde statement wordt verstrekt, of klachten van consumenten die gek worden van de hoeveelheid papier.

Het is dus haast onvermijdelijk te werken met een groter / omvangrijker en allesomvattend privacystatement. Dit kan uiteraard wel gelaagd worden opgebouwd, met bijvoorbeeld productspecifiek deel en een daaraan gelinkt algemeen deel. Zo kan wellicht nog enigszins de balans tussen compact en volledig worden gezocht.

Kritische noot

Alvorens af te ronden een kritische noot. Wie is er gebaat bij deze (over)transparantie?

Schiet de consument er werkelijk iets mee op dat hem wordt verteld wat de rechtsgrond van de verwerking is (artikel 13 lid sub c AVG)? Ik voorzie privacystatements waarin ofwel een algemene tekst staat dat de verwerking is gebaseerd op de gronden als vermeld in artikel 6 lid 1 sub a t/m f (waarbij private partijen sub e weglaten en overheden sub f weglaten), of waarin zelfs (bijv. via een kruistabel) per doeleinde wordt aangegeven wat de grondslag is. Of dat er overzichtelijker op wordt, laat staan iets toevoegt, is maar de vraag.

Ook het vermelden van de gerechtvaardigde belangen is zo’n opmerkelijke verplichting (artikel 13 lid 1 sub d AVG). Een heleboel juristen gaan zich nu buigen over een tekst die consumentenvriendelijk is, voldoende ruim, maar niet te vaag, en waarbij bovendien rekening wordt gehouden met de heel genuanceerde situatie dat veel verwerkingen op meerdere (in elkaar grijpende) grondslagen zijn gebaseerd waaronder (deels) die van het gerechtvaardigd belang. Dat levert straks ongetwijfeld knappe stukjes proza op, die alleen door andere vakidioten worden gelezen.

Anekdote. Zo heb ik zelf na enkele jaren werken mijn pensioenpapieren wel eens gewogen. Het gewicht bleek toen al opgelopen tot 3 kg. Inhoudelijk vind ik er, als economisch geïnteresseerd jurist nota bene, al geen doorkomen aan, laat staan de niet juridisch-geschoolde consument.

Wat voegt dit alles nu werkelijk toe? De consument die het niet eens is met de verwerking kan immers altijd verzoeken met die verwerking te stoppen. Dat verzoek is vormvrij. Dat verzoek zal door de verantwoordelijke moeten worden “vertaald” als hetzij het intrekken van toestemming, hetzij een beroep op zwaarder wegende eigen belangen hetzij het betwisten van de rechtmatigheid van de verwerking (zoals betwisting van de noodzakelijkheid). Of een combinatie daarvan. Waarom de consument vermoeien met de achterliggende juridische dogmatiek?

Aan de slag, u heeft nog iets meer dan een jaar

Maar goed, de wettekst is nu eenmaal zo vastgesteld. U moet hiermee dus aan de slag.

Op het niet hebben van een (goed) statement staat straks namelijk een maximale boete van 20.000.000 euro of 4% van uw wereldwijde omzet (als dat laatste hoger is).

Tijd dus om aan de slag te gaan met een goed en volledig statement en een goede inrichting van uw werkprocessen, zodat het statement ook door de consument wordt ontvangen.

Heeft u behoefte aan advies over of hulp bij het opstellen van privacystatements? Of heeft u andere vragen over het privacyrecht? Neem dan gerust contact met mij op.

Mark Jansen
advocaat IT-en privacyrecht

 

  • LinkedIn
  • Facebook
  • Twitter
  • Google Plus
  • del.icio.us
  • email
  • PDF
  • Print
Naar boven scrollen