In de praktijk blijkt dat niet altijd duidelijk is hoe die zorgvuldigheid precies moet worden ingevuld. Daarom heeft het bestuur van de LVV Melissa Charitos en Tim de Klerck, Advocaten bij Van Iersel Luchtman Advocaten gevraagd hier een artikel over te schrijven, met name gericht op de vertrouwenspersoon. In deze bijdrage geven zij vanuit hun juridische expertise een aantal handvatten om daarbij te helpen. Het gaat dan in het bijzonder om de Algemene Verordening Gegevensbescherming (‘AVG’). Een Europese wet, die voor alle burgers in de EU zorgt voor een hoog niveau van bescherming van de privacy.

Enkele belangrijke begrippen

De AVG bevat regels voor de bescherming van persoonsgegevens. Het begrip ‘persoonsgegeven’ wordt ruim uitgelegd. Hieronder valt - kort gezegd - alle informatie die direct of indirect iets zegt over of gekoppeld is of gekoppeld kan worden aan een natuurlijk persoon (de ‘betrokkene’). Het gaat dus niet alleen om direct identificerende gegevens, zoals NAW-gegevens, maar ook om bijvoorbeeld loopbaangegevens, loginnamen en IP-adressen. Deze laatste gegevens zijn, zeker als er een combinatie van kan worden gemaakt, herleidbaar tot een natuurlijk persoon en dus ook persoonsgegevens.

Er is daarnaast snel sprake van het ‘verwerken’ van persoonsgegevens. Hieronder valt bijvoorbeeld het verzamelen, opslaan, raadplegen of gebruiken van gegevens. Voorgaande betekent dat de AVG meestal van toepassing is wanneer gewerkt wordt met (gegevens van) mensen.

Wanneer mag je gegevens verwerken, een korte achtergrondschets

Wanneer sprake is van het verwerken van persoonsgegevens, is het belangrijk om te weten wie de verwerkingsverantwoordelijke is. De verwerkingsverantwoordelijke is degene die het doel en de essentiële middelen van een verwerking bepaalt. Dat is belangrijk, omdat de AVG op de verwerkingsverantwoordelijke een aantal belangrijke verantwoordelijkheden legt. Hierbij moet de verwerkingsverantwoordelijke, als onderdeel van de verantwoordingsplicht voor de naleving van de AVG, de zes beginselen uit de AVG doorlopen.

Bij een interne vertrouwenspersoon rust deze verantwoordingsplicht op de organisatie. Een externe vertrouwenspersoon zal doorgaans zelf verwerkingsverantwoordelijke zijn. Dat neemt overigens niet weg dat de organisatie waarvoor deze externe vertrouwenspersoon werkt waarschijnlijk ook verwerkingsverantwoordelijke is. In dat geval moeten de externe vertrouwenspersoon en de organisatie afspraken maken over de manier waarop zij met de gegevens omgaan en welke rechten en verplichtingen zij in dat kader hebben.

Alles valt of staat met de zes beginselen uit de AVG. Hieronder lichten wij deze toe.

1. Het eerste beginsel bestaat uit drie componenten. Een verwerking mag niet in strijd zijn met Europees of nationaal recht. Dit wordt rechtmatigheid genoemd.Onderdeel daarvan is het hebben van een AVG-grondslag voor de verwerking. Behoorlijkheid houdt in dat wordt gekeken naar de bedoeling van de wet. Iets kan niet verboden zijn volgens de letter van de AVG, maar toch deze toets niet overleven. Denk bijvoorbeeld aan het niet voldoen aan best practices. Verder moet de verwerking transparant zijn. Het moet voor een betrokkene duidelijk zijn wat verwerkt wordt, wanneer en waarom.
2. Het tweede beginsel is doelbinding. Gegevens worden verzameld voor een vooraf bepaald, concreet verwerkingsdoel en mogen in beginsel niet voor een ander doel gebruikt worden.
3. Dataminimalisatie houdt in dat je alleen gegevens mag verwerken die noodzakelijk zijn voor het vooraf bepaalde doeleinde. Het verwerken van gegevens ‘voor het geval dat’ is dus niet toegestaan. Welke gegevens noodzakelijk zijn, moet je dus per verwerking bepalen.
4. De verwerkte gegevens moeten actueel en kloppend zijn en blijven (juistheid). Onjuiste gegevens moet je aanpassen als je erachter komt of op gewezen wordt.
5. Opslagbeperking is het vijfde beginsel. Als bepaalde gegevens niet meer noodzakelijk zijn, dan moet je deze gaan anonimiseren of verwijderen. Onderdeel van dit beginsel is het opstellen en onderbouwen van bewaartermijnen.
6. Integriteit en vertrouwelijkheid gaat over ‘passende’ beveiliging van de verzamelde persoonsgegevens en raakt dus het domein van de informatiebeveiliging. Daarbij weeg je de te nemen maatregelen en bijbehorende kosten af tegen de potentiële risico’s voor de betrokkene(n).

Naast de altijd geldende beginselen voor de bescherming van persoonsgegevens, is het ook van belang om bij een concrete verwerking, te kiezen voor de juiste ‘verwerkingsgrondslag’. De AVG noemt zes grondslagen voor verwerking van persoonsgegevens. Voor een vertrouwenspersoon komen de grondslagen ’uitvoering van een overeenkomst’, toestemming’, ‘wettelijke verplichting’ en ‘gerechtvaardigd belang’ het vaakst voor. De andere twee grondslagen zijn ‘overheidstaak/algemeen belang’ en ‘vitaal belang’. Er moet voor een verwerking altijd een grondslag aanwezig zijn. Let op dat je niet mag switchen, dus eerst toestemming vragen, maar vervolgens toch kiezen voor verwerking op grond van een gerechtvaardigd belang.

De verwerking van bijzondere gegevens, zoals gegevens over iemands gezondheid, ligt gevoeliger. Dergelijke gegevens mag je alleen verwerken als er een specifieke wettelijke uitzondering van toepassing is. Uiteraard moet dan ook aan bovenstaande beginselen worden voldaan.

Wat betekent dit in de praktijk

De vraag welke gegevens wanneer verwerkt mogen worden, is dus afhankelijk van de specifieke omstandigheden. Om dit wat beter hanteerbaar te maken volgen hierna enkele situaties uit de praktijk.

Eerst nog een praktisch advies. Vraag jezelf bij iedere situatie af, welke persoonsgegevens heb ik precies nodig voor mijn doel. De neiging bestaat namelijk om meer gegevens te gebruiken dan nodig is. Vaak is dat uiteraard wel handig, maar het is niet toegestaan.

Vraag jezelf ook altijd af of een bepaalde gegevensverwerking echt noodzakelijk is. Bijvoorbeeld: voor een contactformulier op een website zijn een (voor)naam en een e-mailadres vaak voldoende. Daarmee kan immers voldaan worden aan het vooraf bepaalde doel (het kunnen antwoorden op binnengekomen vragen). Overigens is bij een dergelijk geval sprake van toestemming als verwerkingsgrondslag. Dat moet dus ook duidelijk gemaakt worden aan de persoon die het formulier invult.

Hieronder enkele concrete situaties op basis van vragen van vertrouwenspersonen.

Intervisie

Bij intervisie is het doel om een bepaalde casus te bespreken en te leren van de visie van anderen daarop. Natuurlijk worden daarbij mogelijk persoonsgegevens verwerkt. Het meest verstandige in dergelijke gevallen is om de casus te pseudonimiseren, want ook zonder de persoonsgegevens kan het vraagstuk besproken worden. Onder pseudonimiseren wordt verstaan dat andere (verzonnen) namen worden gebruikt in plaats van de namen van echte personen. Voor een direct betrokkene is dat vaak nog wel herleidbaar tot de daadwerkelijke personen, maar voor intervisie tussen derden zal dat voldoende zijn. Ook moet natuurlijk zeer terughoudend omgesprongen worden met wat precies wordt bijgehouden van dergelijke sessies. Hoe minder hoe beter. En ook hier moet de vraag worden gesteld wat er echt nodig is qua verslaglegging.

Bij intervisie zal de verwerkingsgrondslag waarschijnlijk de uitvoering van een overeenkomst zijn, of de toestemming van de betrokken deelnemers aan de intervisie. Voor het delen van de concrete gegevens van derden, bestaat geen verwerkingsgrondslag anders dan de uitdrukkelijke toestemming. Meestal zal die toestemming er niet zijn.

Vertrouwenspersoon en klachtencommissie

Wanneer er een klacht tegen een werknemer is ingediend, wordt informatie verzameld door de klachtencommissie en/of de vertrouwenspersoon. De AVG geldt dan ook. De toezichthouder, de Autoriteit Persoonsgegevens (AP), geeft aan dat een vertrouwenspersoon zeer terughoudend moet zijn met het doorgeven van informatie aan een klachtencommissie. Enerzijds omdat tijdens de procedure nog niets bewezen is. Anderzijds heeft de vertrouwenspersoon in beginsel een geheimhoudingsplicht. Ga daarom als vertrouwenspersoon niet zomaar informatie verstrekken aan de klachtencommissie. Als het delen van gegevens noodzakelijk is, dan moet hierover meestal overleg gevoerd worden met de betrokkene. Als de klager gehoord wordt door de klachtencommissie, kan de vertrouwenspersoon natuurlijk wel aansluiten als steun.

De vertrouwenspersoon mag ook nooit zomaar informatie over de procedure delen met de leidinggevende van de werknemer waarover geklaagd is. Of dit mag en noodzakelijk is, hangt af van de omstandigheden van het geval, zoals de aard en de ernst van het gedrag. Is de klacht gegrond, dan mag de vertrouwenspersoon de leidinggevende wel op de hoogte brengen van de uitspraak van de klachtencommissie.

Het maken van filmopnames

Camerabeelden zijn ook persoonsgegevens waarop de AVG van toepassing is. Dit betekent dat er een grondslag moet zijn voor het maken van opnames. Veelal zal dit het gerechtvaardigd belang zijn, waarbij geldt dat dan een extra afweging moet worden gemaakt (en gedocumenteerd) tussen het belang van de organisatie om de beelden te maken en het belang van de betrokkene op bescherming van zijn persoonlijke levenssfeer.

De regels voor cameratoezicht zijn daarom streng. Kan het doel bereikt worden met een ander middel (bijvoorbeeld een audio-opname van een examen), dan is cameratoezicht niet toegestaan. Betrokkenen hebben bij camerabeelden dezelfde rechten als bij schriftelijke persoonsgegevens. Dit betekent bijvoorbeeld dat zij het recht hebben om de beelden in te zien, te verzoeken dat deze gewist worden en bezwaar te maken tegen het gebruik van de beelden.

De beelden moeten verwijderd worden wanneer deze niet meer noodzakelijk zijn. Als de bezwaartermijn van het mondelinge examen voorbij is, moeten de opnames dus gewist worden. Voor beelden geldt dus doorgaans een kortere termijn dan de bewaartermijn van bijvoorbeeld een dossier.

Bewaartermijnen

Een organisatie is, behoudens wettelijke bewaartermijnen, vrij haar eigen beleid in te richten. Daarbij kan rekening worden gehouden met de Gedragscode Vertrouwenspersoon LVV, waarin de LVV een maximumtermijn van in beginsel twee jaren nadat het dossier is gesloten of de dienstverlening is gestopt, aanhoudt voor het bewaren van dossiers door vertrouwenspersonen.

Ook de toezichthouder kan richtlijnen geven. Zo heeft de AP bepaald dat zij een termijn van maximaal twee jaar nadat een klacht is afgehandeld voor het bewaren van informatie door de klachtencommissie of de vertrouwenspersoon als redelijk ziet.

In sommige gevallen kan een bewaartermijn worden verlengd. Een juridische procedure die loopt, kan bijvoorbeeld een reden zijn om een langere bewaartermijn te (moeten) hanteren.

Qua wettelijke bewaartermijn moet worden gedacht aan de termijn van zeven jaar voor de fiscale administratie, zoals de debiteuren- en crediteurenadministratie en het grootboek.

Conclusie

In bovenstaande is in een vogelvlucht een deel van de kaders voor de bescherming van persoonsgegevens uit de AVG besproken. In de praktijk moet een organisatie of een externe vertrouwenspersoon zelf privacybeleid formuleren, waarbij wordt onderbouwd waarom bepaalde keuzes zijn gemaakt. Denk hierbij ook aan de manier waarop de gegevens beschermd zijn en de vraag of er wel of geen functionaris voor gegevensbescherming (FG) is aangesteld. Het formuleren van zo’n beleid brengt verantwoordelijk met zich mee, maar geeft een organisatie wel de mogelijkheid het beleid zo in te richten dat het past bij de specifieke verwerkingen die zij verricht. Indien de organisatie twijfelt over de juistheid van het geïmplementeerde beleid, doet zij er verstandig aan om een professional in te schakelen.

Melissa Charitos en Tim de Klerck
Advocaten bij Van Iersel Luchtman Advocaten