Een FG dient zijn werkzaamheden onafhankelijk uit te kunnen voeren. De AVG stelt een aantal eisen om deze onafhankelijkheid te garanderen:

• De organisatie die de FG aanstelt mag geen instructies geven over de uitvoering van zijn taken;
• De FG mag niet ontslagen of gesanctioneerd worden als gevolg van de uitoefening van zijn taken. Een FG is ook niet persoonlijk verantwoordelijk als de AVG niet nageleefd wordt. Dit blijft de verantwoordelijkheid van de verwerkingsverantwoordelijke of de verwerker;
• Indien een FG ook andere taken uitvoert binnen de organisatie, mag hij niet betrokken raken bij het beslissen over het doel en de middelen van een verwerking van persoonsgegevens;
• De FG is verplicht tot geheimhouding en vertrouwelijkheid. Dit heeft bijvoorbeeld betrekking op het contact dat betrokkenen met de FG hebben over hun rechten onder de AVG, maar is ook belangrijk wanneer de FG samenwerkt met de Autoriteit Persoonsgegevens (AP).

Wie moet de Functionaris voor gegevensbescherming aanstellen?

De verwerkingsverantwoordelijke moet de FG aannemen. Dit kan bijvoorbeeld een gemeente zijn. In de praktijk kan het ook voorkomen dat een organisatie met verschillende organen verantwoordelijk is. De wet biedt de mogelijkheid om dan een gezamenlijke FG aan te nemen. Dit kan ook een goede optie zijn voor verschillende kleine gemeenten.

Wanneer er gekozen wordt voor een gezamenlijke FG, moet er voor gezorgd worden dat deze FG zijn taken goed kan uitvoeren voor alle betrokken partijen. De FG moet bijvoorbeeld goed te bereiken zijn voor de verwerkingsverantwoordelijke die hem heeft aangesteld, de interne medewerkers, betrokkenen en de AP.

De FG moet benoemd worden op grond van zijn professionele kwaliteiten en deskundigheid op het gebied van de wetgeving en de praktijk. Daarbij moet goed nagedacht worden over de capaciteiten van de kandidaat om de taken van de FG uit te kunnen voeren. Wat daarvoor nodig is hangt mede af van de organisatie en de verwerkingen die daar worden uitgevoerd.

Wat zijn de taken van de Functionaris voor gegevensbescherming?

De AVG of de Uitvoeringswet AVG leggen de FG geen formele bevoegdheden op. Artikel 39 van de AVG schrijft wel enkele taken voor die de FG minimaal moet uitvoeren:

• Het informeren en adviseren over de verplichtingen die de verwerkingsverantwoordelijke of verwerker van persoonsgegevens heeft vanuit de AVG, andere EU wet- en regelgeving en nationale bepalingen omtrent gegevensbescherming;
• Het toezien op de naleving van de AVG, andere EU wet- en regelgeving en nationale bepalingen omtrent gegevensbescherming;
• Het toewijzen van verantwoordelijkheden, bewustmaking en opleiding van het personeel van de organisatie die persoonsgegevens verwerkt;
• Het geven van advies met betrekking tot een gegevensbeschermingseffectbeoordeling (DPIA);
• Het samenwerken met en als contactpunt optreden voor de AP.

De FG moet, indien noodzakelijk, toegang verkrijgen tot alle persoonsgegevens die in de organisatie in omloop zijn, inclusief toegang tot de verwerkingsactiviteiten die daarmee gepaard gaan. Volgens de AVG moet de organisatie ervoor zorgen dat de FG ondersteund wordt bij de uitvoering van zijn taken. Deze ondersteuning kan verschillende vormen aannemen, bijvoorbeeld het verstrekken van kantoorruimte, personeel en materiaal.

Overige aandachtspunten Functionaris voor gegevensbescherming en de AVG

Naast de hierboven genoemde eisen rond onafhankelijkheid en de taken, zijn er in diverse artikelen van de AVG nog enkele andere aandachtspunten voor de FG benoemd:

• De contactgegevens van een FG moeten genoemd worden wanneer persoonsgegevens bij een betrokkene worden verzameld (artikel 13 lid 1 b);
• De contactgegevens van een FG moeten genoemd worden wanneer persoonsgegevens niet bij een betrokkene worden verzameld (artikel 14 lid 1 b);
• De naam en de contactgegevens van de FG moeten in het register van de verwerkingsactiviteiten genoteerd worden (artikel 30);
• Bij een inbreuk in verband met persoonsgegevens deelt de verwerkingsverantwoordelijke de naam en contactgegevens van de FG mee aan de AP (artikel 33);
• Wanneer de verwerkingsverantwoordelijke de AP voorafgaand raadpleegt over een verwerking met hoog risico (DPIA), verstrekt hij ook informatie over de naam en contactgegevens van de FG (artikel 36);
• Verwerkingsverantwoordelijken moeten hun FG aanmelden bij de AP. Dat kan via dit aanmeldingsformulier. De AP verricht haar taken kosteloos voor de FG (artikel 57).

Hieronder zijn alle belangrijke zaken rond de FG in de AVG schematisch weergeven:

De AVG noemt drie voorbeelden van verwerkingen waarbij het uitvoeren van een DPIA verplicht is (artikel 3 AVG):

• Wanneer er een grootschalige verwerking van bijzondere categorieën van persoonsgegevens plaats gaat vinden, zoals bijzondere persoonsgegevens (artikel 9 lid 1 AVG) of strafrechtelijke persoonsgegevens (artikel 10 AVG).
• Wanneer er stelselmatige en grootschalige monitoring van mensen plaatsvindt in openbaar toegankelijke ruimten.
  • Wat onder ‘grootschalig’ wordt verstaan blijkt niet duidelijk uit de AVG. De Autoriteit Persoonsgegevens (AP) heeft aangegeven dat hierbij gekeken kan worden naar de volgende criteria: het aantal betrokkenen, de hoeveelheid gegevens, de duur van de verwerking en de geografische reikwijdte van de verwerking.
  • Voorbeelden van grootschalige verwerkingen zijn ziekenhuizen die patiëntgegevens verwerken of cameratoezicht op straat.
• Wanneer een systematische verwerking van persoonsgegevens uitgebreid de persoonlijke aspecten beoordeelt van de betrokkenen.
  • Sommige organisaties nemen besluiten over mensen op basis van automatisch verwerkte gegevens. Het is dan niet een persoon die het besluit neemt bij bijvoorbeeld sollicitaties, maar de computer die sollicitanten op bepaalde profielgegevens beoordeelt. Deze automatische beoordeling gebaseerd op profielgegevens, ook wel profilering genoemd, kan rechtsgevolgen hebben voor de betrokkenen of hen op vergelijkbare wijze treffen.

DPIA verplicht volgens de Autoriteit Persoonsgegevens

Naast de AVG heeft de AP een lijst opgesteld van verwerkingen waarbij een DPIA moet worden uitgevoerd, voordat er met de verwerking begonnen wordt. Dit is bijvoorbeeld bij fraudebestrijding door sociale diensten of bij samenwerkingsverbanden van overheidsorganisaties.

Ook bij verwerkingen die niet op de lijst van de AP staan kan het zijn dat het uitvoeren van een DPIA vereist is. Dat moet een decentrale overheid zelf beoordelen op basis van de wettelijke criteria en op basis van de lijst van de Europese privacytoezichthouders.

Negen criteria

Europese privacytoezichthouders hebben negen criteria opgesteld die kunnen duiden op een hoog risico voor de persoonlijke levenssfeer van de betrokkene:

1. Beoordelen van mensen op basis van persoonskenmerken;
2. Geautomatiseerde beslissingen;
3. Stelselmatige en grootschalige monitoring;
4. Gevoelige gegevens;
5. Grootschalige gegevensverwerkingen;
6. Gekoppelde databases;
7. Gegevens over kwetsbare personen;
8. Gebruik van nieuwe technologieën;
9. Blokkering van een recht, dienst of contract.

De vuistregel hierbij is dat wanneer een verwerking aan twee van deze criteria voldoet, er waarschijnlijk een DPIA moet worden uitgevoerd.

Wat staat er in een DPIA?

Een DPIA moet ten minste de volgende informatie bevatten (artikel 35 lid 7 AVG):

• Een systematische beschrijving van de beoogde verwerkingen en de doeleinden;
• Beoordeling van de noodzaak en de evenredigheid van de verwerking;
• Beoordeling van de risico’s voor de rechten en vrijheden van de betrokkene bij de verwerking;
• Beoogde maatregelen om deze risico’s aan te pakken.

Mocht uit de DPIA komen dat de verwerking nog steeds een hoog risico inhoudt voor de privacy van de betrokkene, bijvoorbeeld wanneer de verwerkingsverantwoordelijke geen passende technische en organisatorische maatregelen neemt om dit risico te beperken, moet hij de AP raadplegen (artikel 36 AVG). Na deze voorafgaande raadpleging beslist de AP dan of de verwerking een inbreuk maakt op de AVG of niet.

Er is sprake van een datalek indien er een inbreuk op de beveiliging van persoonsgegevens heeft plaatsgevonden. Een datalek kan ontstaan door beveiligingsproblemen. U kunt bijvoorbeeld denken aan een kwijtgeraakte usb-stick, een gestolen laptop, een inbraak in een databestand of een verkeerd doorgestuurde email. Er is tegenwoordig ook kans op een datalek na een hack, phishing mail of malware. Hierdoor kunnen persoonsgegevens in de handen van derden vallen die hier geen toegang tot mogen hebben.

Meldplicht aan Autoriteit Persoonsgegevens

Een datalek moet worden gemeld aan de AP als er (ernstige) risico’s zijn voor de rechten en vrijheden van de betrokken personen. Het niet melden van een datalek vormt een overtreding van de AVG.

Een datalek moet door de verwerkingsverantwoordelijke uiterlijk 72 uur nadat hij er kennis van heeft genomen gemeld worden aan de AP. Gebeurt dit later dan 72 uur, dan moet de melding vergezeld worden door een motivering voor vertraging.

De European Data Protection Board heeft in 2021 richtlijnen opgesteld voor datalekmeldingen. Dit kan decentrale overheden helpen bij het nemen van passende maatregelen na vaststelling van een datalek. De richtlijnen vormen een aanvulling op de algemene richtlijnen over datalekken uit 2018.

Meldplicht aan betrokkene

Als het datalek een hoog risico met zich meebrengt voor de rechten en vrijheden van degene wiens persoonsgegevens het betreffen, de betrokkene, moet de verwerkingsverantwoordelijke de inbreuk ook aan deze persoon meedelen. Dit moet in duidelijke en eenvoudige taal gebeuren. De betrokkene hoeft niet ingelicht te worden wanneer:

• Er passende technische en organisatorische beschermingsmaatregelen genomen zijn en deze zijn toegepast waardoor de persoonsgegevens onbegrijpelijk zijn voor onbevoegden;
• Er achteraf maatregelen genomen zijn waardoor het hoge risico voor de rechten en vrijheden van de betrokken zich waarschijnlijk niet meer zal voordoen;
• De mededeling onevenredige inspanningen zou vergen. Een openbare mededeling voldoet dan ook.

Meer informatie over datalekken en de meldingsplicht kunt u vinden in deze praktijkvraag.

Wat te doen bij een datalek na een hack?

Register datalekken

De verwerkingsverantwoordelijke moet alle inbreuken in verband met persoonsgegevens registreren in een overzicht, ook als een inbreuk niet gemeld hoeft te worden. In zo’n register wordt bijvoorbeeld omschreven wat er feitelijk gebeurd is, welke maatregelen zijn genomen en of de inbreuk gemeld is.

De AP heeft verschillende registers van datalekken van overheidsorganisaties gecontroleerd op kwaliteit. Naar aanleiding hiervan heeft de toezichthouder tien praktische tips geformuleerd die organisaties kunnen toepassen om de registratie van datalekken beter te organiseren.

Meerfactorauthenticatie

Een meerfactorauthenticatie (MFA) is een vorm van toegangsbeveiliging die ervoor zorgt dat de identiteit van de gebruiker wordt geverifieerd door een authenticatiemiddel. Hierbij kan gedacht worden aan een code of een smartcard. Zo kan er op een makkelijke manier meer bescherming worden geboden. Veel meldingen zouden voorkomen kunnen worden wanneer er gebruik wordt gemaakt van een MFA. Het gebruik van een MFA is bovendien verplicht binnen een organisatie als het een essentiële maatregel is (artikel 5 lid 1 onder f, artikel 24 en artikel 32 AVG). Het is een essentiële maatregel als het passende bescherming biedt zoals bedoeld in artikel 5 lid 1 onder f AVG.

Technische en organisatorische maatregelen

Artikel 25 van de AVG stelt dat er bij het verwerken van persoonsgegevens altijd technische en organisatorische maatregelen genomen worden om aan de verwerkingsbeginselen te voldoen.

Zulke technische en organisatorische maatregelen zijn bijvoorbeeld:

• Het versleutelen van persoonsgegevens;
• Transparantie met betrekking tot de functies en de verwerking van de persoonsgegevens;
• Het in staat stellen van de betrokkene om controle uit te oefenen op de informatieverwerking;
• Het in staat stellen van de verwerkingsverantwoordelijke om beveiligingskenmerken te creëren en te verbeteren.

AVG-certificaat

Verwerkingsverantwoordelijken en verwerkers kunnen een AVG-certificaat aanvragen bij een certificatie-instelling die beoordeelt of het product, proces of dienst hiervoor in aanmerking komt. Met dit certificaat kunnen verwerkingsverantwoordelijken en verwerkers aantonen dat zij persoonsgegevens in overeenstemming met de AVG verwerken.

Een certificaat dat volgens artikel 42 van de AVG is goedgekeurd, zou gebruikt kunnen worden als element om aan te tonen dat aan de voorschriften voor privacy by design en privacy by default voldaan is. Ondanks het certificaat is het een plicht voor de verwerkingsverantwoordelijke om continue te blijven zorgen voor naleving van de AVG.

Subonderwerpen

De verplichte maatregelen die de AVG concreet noemt en nader worden uitgelegd op de volgende pagina’s zijn:

• Privacy by design and privacy by default (artikel 25 AVG);
• Register van verwerkingsactiviteiten (artikel 30 AVG);
• Meldplicht datalekken (artikel 32 AVG);
• Data protection impact assessment (DPIA) (artikel 35 AVG);
• Functionaris voor gegevensbescherming (artikel 37 AVG).

Naast de verplichtingen van de verwerkingsverantwoordelijke heeft degene van wie de persoonsgegevens worden verwerkt, de betrokkene, ook rechten. Hierdoor krijgt de betrokkene een bepaalde mate van controle over de verwerking. Lees hier meer over de rechten van de betrokkene.

De AVG kent de volgende grondslagen voor een rechtmatige verwerking van persoonsgegevens (artikel 6):

1. Er is toestemming van de persoon om wie het gaat (de betrokkene);
2. De verwerking is noodzakelijk om een overeenkomst uit te voeren, waarbij de betrokkene partij is;
3. De verwerking is noodzakelijk omdat dit wettelijk verplicht is;
4. De verwerking is noodzakelijk om de vitale belangen van de betrokkene of andere natuurlijke personen te beschermen;
5. Het is noodzakelijk om gegevens te verwerken om een taak van algemeen belang of openbaar gezag uit te oefenen;
6. De verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde.

Toestemming

Een verwerking van persoonsgegevens kan rechtmatig zijn wanneer er toestemming is gegeven door de betrokkene. Dat is degene wiens persoonsgegevens verwerkt worden. De toestemming moet aan een aantal voorwaarden voldoen (artikel 7 AVG). De AVG verbindt strenge voorwaarden aan het gebruik van de grondslag toestemming. Als decentrale overheid moet u goed kunnen onderbouwen waarom er voor een bepaalde grondslag is gekozen. Tevens is opgenomen bij de grondslag gerechtvaardigde belangen dat overheidsinstanties zich hier niet op mogen beroepen in het kader van de uitoefening van hun taken. Het is namelijk aan de wetgever om de rechtsgrond te bepalen voor de verwerking van persoonsgegevens door overheidsinstanties.

De toestemming van de betrokkene dient vrijelijk te worden gegeven door middel van een duidelijke actieve handeling. Dit kan bijvoorbeeld met een schriftelijke verklaring, elektronische middelen of een mondelinge verklaring. Hieruit moet blijken dat de betrokkene vrijelijk, specifiek, geïnformeerd en ondubbelzinnig met de verwerking van zijn persoonsgegevens instemt (overweging 32 Preambule AVG).

Het verzoek om toestemming moet in een eenvoudige en begrijpbare taal worden aangeboden. Daaruit moet duidelijk blijken waar de toestemming precies voor wordt gegeven. Welke persoonsgegevens worden verzameld? En voor welke doelen worden deze verwerkt?

Wanneer er meerdere doelen zijn voor de verwerking van de persoonsgegevens moet voor elk van deze verwerkingsdoelen specifiek toestemming gegeven worden.

Geen sprake van vrijelijke toestemming

In overweging 43 AVG staat dat er geen sprake kan zijn van vrijelijk gegeven toestemming wanneer er sprake is van een duidelijke ‘wanverhouding’ tussen de betrokkene en de organisatie. Aangegeven wordt dat hier met name sprake van kan zijn indien de verwerkingsverantwoordelijke een overheidsinstantie is. Door afhankelijkheid als gevolg van de relatie tussen een overheidsinstantie en betrokkene, is het onwaarschijnlijk dat de betrokkene zijn toestemming voor gegevensverwerking zou kunnen onthouden zonder angst of reële dreiging van nadelige gevolgen bij een weigering. Hierdoor is er geen sprake van vrijelijk toestemming.

Indien decentrale overheden zich op de grondslag toestemming willen beroepen, dienen zij zich bewust te zijn van hun hoedanigheid als overheid of als bedrijfsorganisatie. Bij verwerking en in het sociaal domein is de wanverhouding bijvoorbeeld duidelijker aanwezig dan bij het vragen van toestemming voor het verzenden van een nieuwsbrief.

Voorbeeld van vrijelijke toestemming

Bij het geven van vrijelijke toestemming kunt u bijvoorbeeld denken aan het aanklikken van een vakje bij een bezoek aan een internetwebsite of het selecteren van technische instellingen voor diensten. Uit de handeling moet duidelijk blijken dat de betrokkene instemt met de voorgestelde verwerking van persoonsgegevens. De vakjes moeten bijvoorbeeld actief worden aangevinkt. Een vooraf aangevinkt vakje, die iemand zelf uit moet zetten als zij daar geen toestemming voor willen geven, is niet toegestaan.

Bewijs van toestemming

De verwerkingsverantwoordelijke moet kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van de persoonsgegevens (artikel 7 AVG).

Daarnaast is het belangrijk om te weten dat de betrokkene de toestemming ieder moment mag intrekken. Dit moet even makkelijk zijn als het geven van de toestemming.

Overeenkomst

Een van die grondslagen in de AVG is dat het noodzakelijk is om persoonsgegevens te verwerken om een overeenkomst uit te voeren. Dit houdt het volgende in:

• Een decentrale overheid mag zich op deze grondslag baseren als er sprake is van een overeenkomst met iemand en hiervoor het verwerken van persoonsgegevens noodzakelijk is.
• De overeenkomst zelf mag niet gericht zijn op het verwerken van persoonsgegevens, maar moet een ander doel hebben.
• Deze grondslag geldt ook voor een fase voordat er een overeenkomst wordt afgesloten, bijvoorbeeld als u op verzoek een offerte opstelt.

Wettelijke verplichting

In sommige gevallen is het verwerken van persoonsgegevens noodzakelijk om aan een wettelijke verplichting te voldoen. Dit is bijvoorbeeld het geval wanneer er sprake is van een bevel van de politie om bepaalde persoonsgegevens aan de politie te verstrekken. Of als er gegevens worden verstrekt voor de uitvoering van de belastingwetgeving.

Het hoeft niet expliciet in de wet te staan dat u persoonsgegevens moet verwerken om een specifieke taak uit te voeren. Soms is de verplichting in de wet namelijk ruimer geformuleerd. Het is dan aan de decentrale overheid om te bepalen of het verwerken van persoonsgegevens noodzakelijk is om aan deze verplichting te voldoen.

Vitaal belang van de betrokkene

Deze grondslag is niet van belang voor decentrale overheden. Een vitaal belang is aan de orde als het over een belang gaat dat essentieel is voor iemands leven of gezondheid en die persoon niet om toestemming voor het verwerken van zijn gegevens kan worden gevraagd.

Algemeen belang

Is de verwerking noodzakelijk om een publieke taak uit te oefenen voor het algemeen belang of openbaar gezag? Dan kunt u zich op deze grondslag baseren. Het gaat daarbij om taken die in de wet zijn vastgelegd en die relevant zijn voor uw decentrale overheid. Het moet voor mensen ook duidelijk zijn dat u hun persoonsgegevens verwerkt om die specifieke wettelijke taak uit te oefenen.

Daarnaast moet de verwerking van de persoonsgegevens noodzakelijk zijn om uw publieke taak goed te kunnen vervullen. Dit is bijvoorbeeld het geval wanneer een gemeente cameratoezicht inzet op openbare plaatsen voor de openbare veiligheid.

Eigen gerechtvaardigd belang

Om uw verwerking te mogen baseren op de grondslag ‘noodzakelijk voor de behartiging van een gerechtvaardigd belang’, moet er zijn voldaan aan drie voorwaarden . Hiermee toetst u of uw recht om persoonsgegevens te verwerken (omdat u een gerechtvaardigd belang heeft om dit te doen) zwaarder weegt dan iemands recht op privacy.

De 3 voorwaarden zijn:

1. U heeft daadwerkelijk een gerechtvaardigd belang. Niet elk belang kwalificeert als een gerechtvaardigd belang.
2. De verwerking is noodzakelijk om dit belang te behartigen.
3. U heeft een afweging gemaakt tussen uw belangen en die van de betrokkenen.

De AVG bevat verschillende regels voor het verwerken van persoonsgegevens, waaronder de verantwoordelijkheden en plichten van gegevensverwerkers. De plicht om een kopie van verwerkte persoonsgegevens te overhandigen als de betrokkene daarom vraagt, valt daar ook onder. Maar moet dit kosteloos gebeuren? En wat als het nationale recht anders bepaalt? Het Hof van Justitie gaat in deze zaak in op deze en andere vragen over de kopie van verwerkte persoonsgegevens.

Zaak

HvJ EU 26 oktober 2023, C‑307/22, ECLI:EU:C:2023:811, FT (Copies du dossier médical)

Beleidsdossier en thematiek

Digitale Overheid

Algemene Verordening Gegevensbescherming

Feiten

Deze zaak gaat over FT, een tandarts, en DW, haar patiënt. Het geschil gaat over de weigering van de tandarts om haar patiënt kosteloos een eerste kopie van zijn medisch dossier te verstrekken. De patiënt was van mening dat de tandarts fouten had gemaakt bij het verlenen van tandheelkundige zorg en had de tandarts daarom verzocht om een eerste kopie van zijn medisch dossier aan hem te verlenen. Hij wilde dit gebruiken om de tandarts aansprakelijk te stellen.

De tandarts was bereid om deze kopie te verstrekken op voorwaarde dat de patiënt de kosten voor de verstrekking zou betalen. In Duitsland schrijft het nationale recht voor dat een patiënt die kosten moet betalen.

Volgens artikel 15, lid 3 AVG, gelezen in samenhang met artikel 12, lid 5 AVG, heeft de betrokkene echter het recht om kosteloos een eerste kopie van verwerkte persoonsgegevens te verkrijgen. Naar aanleiding van deze botsende regelgeving verwijst de Duitse rechter de zaak door naar het Hof van Justitie van de Europese Unie (hierna: het Hof).

Rechtsvragen

De verwijzende rechter stelt drie prejudiciële vragen aan het Hof. De kern van de vragen is als volgt:

1. Is de verwerker van de persoonsgegevens verplicht om kosteloos een eerste kopie van de verwerkte persoonsgegevens aan de betrokkene te verstrekken wanneer deze de kopie voor een ander doel wil gebruiken dan in de AVG staat?
2. Valt het belang van de tandarts bij de vergoeding van de verstrekkingskosten onder de rechten en vrijheden zoals gespecificeerd in artikel 23, lid 1, sub 1 van de AVG en wordt de verplichting om kosteloos een eerste kopie van de verwerkte persoonsgegevens te verstrekken daardoor beperkt?
3. Als een arts een kopie van verwerkte persoonsgegevens moet verstrekken aan een patiënt, welke eisen worden er dan gesteld aan de inhoud van deze kopie?

Uitspraak van het Hof

Eerste prejudiciële vraag

Het Hof stelt vast dat in artikel 12, lid 5 en artikel 15, lid 3 van de AVG het recht om kosteloos een eerste kopie van verwerkte persoonsgegevens te krijgen, vastgelegd is. Volgens het Hof hoeft de patiënt een verzoek om een kopie van zijn medische dossier niet te motiveren. Er staat namelijk nergens in artikel 12, lid 5 en artikel 15, leden 1 en 3 van de AVG dat de kosteloze verstrekking van een kopie afhankelijk is van de voorwaarde dat de betrokkene bij het verzoek daarvoor een reden geeft.

Ook mag het verzoek niet worden afgewezen door de behandelaar omdat de kopie voor een ander doel wordt gebruikt dan het vernemen en controleren van de verwerkte persoonsgegevens. In deze zaak kon dus om een kopie van het medisch dossier worden gevraagd om daarmee de behandelaar aansprakelijk te stellen.

Volgens de AGV mag een gegevensverwerker dus geen kosten in rekening brengen als hij voor de eerste keer een kopie van verwerkte gegevens verstrekt. Het Hof wijst er in deze zaak echter op, dat de gegevensverwerker wel kosten in rekening mag brengen als een betrokkene daarna nogmaals om eenzelfde kopie vraagt.

Tweede prejudiciële vraag

Op grond van artikel 23, lid 1 van de AVG kan het recht op een kosteloze eerste kopie van verwerkte persoonsgegevens, zoals vervat in artikel 15 van de AGV, worden ingeperkt. Daarbij moet er gebruik worden gemaakt van de gronden die in artikel 23 van de AVG worden genoemd. De Duitse rechter vroeg in de tweede prejudiciële vraag naar de mogelijkheid om gebruik te maken van de optie die geboden wordt onder sub i: de bescherming van de betrokkene of van de rechten en vrijheden van anderen.

Het Hof oordeelt dat de nationale regel die wordt ingezet om de economische belangen van de behandelaar te beschermen, geen evenredige maatregel is en dus niet onder artikel 23, lid 1, sub i van de AGV valt. Deze bepaling kan volgens het Hof dus niet worden gebruikt om het recht op een kopie van artikel 15 van de AGV te beperken. Dit betekent dat het belang van de tandarts bij de vergoeding van verstrekkingskosten niets afdoet aan het recht op een kosteloze eerste kopie van verwerkte persoonsgegevens.

Derde prejudiciële vraag

Ook over de inhoud van een kopie van verwerkte persoonsgegevens liet het Hof zich uit in deze zaak. Omdat tussen een behandelaar en een patiënt in de regel gevoelige persoonsgegevens worden overgedragen, is het volgens het Hof belangrijk dat de kopie van een medisch dossier volledig, juist en begrijpelijk is. Daarom oordeelt het Hof als antwoord op de derde prejudiciële vraag dat de kopie in ieder geval moet bestaan uit documenten over diagnosen, onderzoeksresultaten, beoordelingen door behandelende artsen en verrichte behandelingen of ingrepen.

Decentrale relevantie

Zoals de tandarts in deze zaak een verwerker van persoonsgegevens was, zijn decentrale overheden dat ook. Denk aan alle adressen, BSN-nummers en contactgegevens van inwoners die door gemeenten, provincies en waterschappen worden verzameld en opgeslagen. Als verwerkers van persoonsgegevens, zijn decentrale overheden verplicht om kosteloos een kopie van verwerkte persoonsgegevens te verlenen. Dat moet bij een eerste kopie dus kosteloos gebeuren en bovendien hoeft de aanvraag niet door de betrokkene gemotiveerd te worden. Een eventuele lokale regeling die eisen stelt aan de verstrekking van een eerste kopie van verwerkte persoonsgegevens, zoals betaling daarvoor, zal in de regel niet als evenredige beperking worden gezien. Zo’n regeling zal dus in strijd zijn met de AVG en zal buiten toepassing moeten worden gelaten.

Meer informatie

Persbericht, Hof van Justitie van de EU

Algemene Verordening Gegevensbescherming, Kenniscentrum Europa Decentraal

Verordening (EU) 2016/679 (AGV)

Iedere verwerkingsverantwoordelijke en verwerker moet een overzicht hebben van welke verwerkingen van persoonsgegevens zij uitvoeren. Volgens artikel 30 AVG moeten de volgende gegevens bijgehouden worden:

• De naam en de contactgegevens van de verwerkingsverantwoordelijke(n) en de Functionaris voor gegevensbescherming;
• De verwerkingsdoeleinden;
• Een beschrijving van de categorieën van de betrokkenen (van wie worden de persoonsgegevens verwerkt? Bijvoorbeeld van burgers, oud-werknemers, zorgbehoevenden);
• Een beschrijving van de categorieën van persoonsgegevens (wat voor persoonsgegevens worden er verwerkt? Bijvoorbeeld BSN, financiële gegevens, etc.);
• De categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt (wie ontvangt de persoonsgegevens? Bijvoorbeeld zorginstellingen, overheidsinstanties, etc.);
• Doorgifte van persoonsgegevens aan een derde land (buiten de EU) of internationale organisatie (indien van toepassing);
• Indien mogelijk een algemene beschrijving van de technische en organisatorische maatregelen die genomen zijn ter beveiliging.

Gegevens in register van verwerker

Ook de verwerker is verplicht om een register van de verwerkingsactiviteiten bij te houden die ten behoeve van de verwerkingsverantwoordelijke zijn verricht (artikel 30 lid 2 AVG). Dit gebeurt wanneer de verwerker gegevens structureel verwerkt, wanneer de verwerking risico’s inhoudt voor betrokkenen of als er bijzondere of strafrechtelijke gegevens worden verwerkt. De verwerker houdt de volgende gegevens in het register bij:

• De naam en de contactgegevens van de verwerkers, van de verwerkingsverantwoordelijke(n) en de Functionaris voor Gegevensbescherming;
• De categorieën van verwerkingen die door de verwerker voor iedere verwerkingsverantwoordelijke zijn uitgevoerd;
• De doorgifte van persoonsgegevens aan een derde land of een internationale organisatie (indien van toepassing);
• Indien mogelijk een algemene beschrijving van de technische en organisatorische maatregelen die genomen zijn ter beveiliging.

Aanbevelingen Autoriteit Persoonsgegevens voor register

De AP heeft verschillende registers van verwerkingen gecontroleerd. Naar aanleiding van dit onderzoek heeft de AP vijf aanbevelingen gedaan voor het opstellen van een dergelijk register:

1. De verwerkingsverantwoordelijke moet benoemen hoe lang en met welk doel hij de persoonsgegevens wil bewaren. Onder de AVG is het niet toegestaan om persoonsgegevens langer te bewaren dan noodzakelijk is voor het doel waarmee ze verzameld zijn. Ook moeten decentrale overheden motiveren waarom ze deze gegevens verzamelen;
2. Neem de contactgegevens van de verwerkingsverantwoordelijke op in het register;
3. Zorg voor een overzichtelijk bestand van alle verwerkingen van persoonsgegevens waarin gebruikers eenvoudig kunnen navigeren;
4. Geef duidelijk aan op welke locatie of in welk bestand persoonsgegevens bewaard worden en neem deze locaties of bestanden op in het register. Deze informatie is relevant als mensen een verzoek om inzage of verwijdering indienen;
5. Maak duidelijk welk doel bij welke verwerking hoort. Alleen een opsomming van de verwerkingen per afdeling in combinatie met een opsomming van de diverse doeleinden is niet voldoende.

Gegevens uitwisselen met derde landen

Op grond van de Algemene Verordening Gegevensbescherming (AVG) worden persoonsgegevens binnen de EU beschermd. Een kenmerk van data en een gedigitaliseerde samenleving is echter dat gegevensstromen niet zomaar ophouden bij de grenzen van de EU. Decentrale overheden moeten ook rekening houden met de AVG wanneer zij persoonsgegevens laten verwerken door organisaties buiten de EU, bijvoorbeeld wanneer deze worden opgeslagen op een server in de VS. Er is dan sprake van gegevensuitwisseling met derde landen.

De doorgifte van persoonsgegevens naar derde landen is alleen mogelijk wanneer dit derde land een ‘passend beschermingsniveau’ biedt. Voor een aantal derde landen heeft de Commissie een adequaatheidsbesluit genomen. Hiermee geeft de Commissie aan of dit land (of de sector) een passend beschermingsniveau van persoonsgegevens biedt, op grond van artikel 45 AVG. Bij de beoordeling of een derde land een voldoende beschermingsniveau waarborgt, kijkt de Commissie onder andere naar:

• rechtsstatelijkheid;
• de effectiviteit van onafhankelijke toezichthoudende autoriteiten die toezien op de naleving van gegevensbeschermingsregels;
• en de internationale toezeggingen die het land heeft gedaan ten aanzien van de bescherming van persoonsgegevens.

Als er sprake is van een passend beschermingsniveau is er geen specifieke toestemming nodig voor de gegevensdoorgifte.

Doorgifte persoonsgegevens aan de Verenigde Staten

In 2016 nam de Commissie een adequaatheidsbesluit voor de gegevensuitwisseling met de Verenigde Staten. Dit besluit gold niet voor het hele land, maar alleen voor organisaties die zich bij het zogeheten Privacy Shield hadden aangesloten. Hierdoor was gegevensuitwisseling met dergelijke organisaties mogelijk. In de Schrems II-uitspraak (juli 2020) werd het Privacy Shield echter ongeldig verklaard. KED schreef hier destijds een EUrrest over. Daarna was de doorgifte van persoonsgegevens naar de VS op basis van het adequaatheidsbesluit niet meer mogelijk. Gegevens konden nog wel worden overgedragen in specifieke situaties zoals genoemd in artikel 49 AVG of door middel van een verwerkersovereenkomst.

Nieuw EU-VS-kader voor gegevensbescherming

Met het nieuwe adequaatheidsbesluit en het daarmee gepaarde EU-VS-kader voor gegevensbescherming is het volgens de Commissie veilig om persoonsgegevens vanuit de EU door te geven aan Amerikaanse bedrijven, omdat er nieuwe bindende waarborgen in het EU-VS-kader zijn ingevoerd door de Commissie. Eén van die waarborgen is het oprichten van een Data Protection Review Court (DPRC). Natuurlijke personen uit de EU krijgen toegang tot de DPRC, die vervolgens kan besluiten om gegevens die in strijd met de nieuwe waarborgen zijn verzameld te wissen. Een andere belangrijke waarborg is dat de toegang van Amerikaanse inlichtingendiensten tot EU-gegevens noodzakelijk en evenredig moet zijn.

Voor bedrijven geldt dat zij verschillende privacy verplichtingen moeten naleven voordat zij kunnen toetreden tot het EU-VS kader voor gegevensbescherming. Deze verplichtingen komen overeen met de AVG. Zo moeten zij ervoor zorgen dat gegevens niet onnodig lang worden bewaard en dat gegevensuitwisseling met derden het voortzetten van de bescherming van die gegevens niet in de weg staat.

Hoe nu verder?

Het beschermingskader zal periodiek worden getoetst. Dit doet de Commissie samen met vertegenwoordigers van de Europese gegevensbeschermingsautoriteiten en de bevoegde Amerikaanse autoriteiten. De eerste toetsing vindt binnen één jaar na de inwerkingtreding van het adequaatheidsbesluit plaats. Er wordt dan getoetst of alle relevante elementen volledig en juist zijn omgezet in de Amerikaanse wet en of deze elementen doeltreffend functioneren.

Het adequaatheidsbesluit werd vastgesteld op 10 juli en trad direct na vaststelling in werking. Het besluit kan worden aangepast of zelfs worden ingetrokken indien er ontwikkelen zijn die effect hebben op het beschermingsniveau in het betreffende derde land.

Bron

Adequaatheidsbesluit voor het EU-VS-kader voor gegevensbescherming, Europese Commissie

Meer informatie

Gegevensbescherming: Europese Commissie stelt nieuw adequaatheidsbesluit vast met het oog op veilige en betrouwbare gegevensstromen tussen de EU en de VS, Europese Commissie

Gegevens­uitwisseling met derde landen, Kenniscentrum Europa Decentraal

Privacy Shield voor doorgifte van gegevens aan de Verenigde Staten ongeldig verklaard, Kenniscentrum Europa Decentraal

Algemeen AVG

Op 25 mei 2023 bestond de AVG vijf jaar. De AVG is mede ingevoerd als gevolg van de digitalisering van de samenleving. De digitalisering zorgde voor meer dataverkeer en het ontstaan van nieuwe technologieën. Dit leidde tot een toename van het verzamelen en delen van gegevens, een vergroot risico op cybercrime en een groeiende vraag van de gewone burger wat er met zijn of haar persoonsgegevens wordt gedaan. Onder een persoonsgegeven wordt verstaan: ‘alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon’ (artikel 4 lid 1 AVG). Een persoon kan direct en indirect geïdentificeerd worden. Lees hier meer over persoonsgegevens.

De AVG betreft een Europese verordening. Dit betekent dat deze regels een directe werking hebben. Wel laat de AVG ruimte aan de lidstaten om zelf bepaalde keuzes te maken. Deze keuzes zijn in Nederland uitgewerkt in de Uitvoeringswet AVG.

Ook decentrale overheden moeten de regels van de AVG toepassen wanneer zij persoonsgegevens verwerken. Zij worden namelijk aangemerkt als verwerkingsverantwoordelijke en in dat geval gelden er enkele verplichtingen. Hierbij kan gedacht worden aan het aanstellen van een Functionaris voor Gegevensbescherming, het uitvoeren van een gegevensbeschermingseffectbeoordeling of opvolging geven aan de uitoefening van de rechten van betrokkenen, zoals het recht op inzage of verwijdering van gegevens. Een decentrale overheid die zich niet aan de regels van de AVG houdt, loopt het risico om een boete te krijgen van de Autoriteit Persoonsgegevens (AP).

Ontwikkelingen van de laatste vijf jaar

Datalekken melden

Om schade, zoals identiteitsfraude, voor slachtoffers te beperken moeten organisaties een datalek zo snel mogelijk melden (artikel 32 AVG). In Nederland moet een datalek gemeld worden bij de AP, tenzij het niet waarschijnlijk is dat het datalek een risico oplevert voor ‘de rechten en vrijheden van betrokkenen’. Zo werden er in 2021 24.866 datalekken gemeld bij de AP. Dit volgt uit de Datalekkenrapportage 2021. Dat is een stijging van 4% ten opzichte van 2020. Het aantal meldingen van cyberaanvallen steeg met 88% procent ten opzichte van 2020. De Datalekkenrapportage van 2022 is op 6 juni 2023 gepubliceerd.

Doorgifte van persoonsgegevens naar derde landen

Voor de doorgifte van persoonsgegevens naar landen buiten de EU (derde landen) gelden op grond van de AVG aparte regels. Persoonsgegevens mogen alleen doorgegeven worden naar derde landen met een passend beschermingsniveau, zo volgt uit artikel 45 lid 3 AVG. Is dit er niet, dan kan de doorgifte alleen plaatsvinden op grond van een wettelijke bepaling uit de AVG. De AVG noemt een aantal mogelijkheden om dit te bewerkstelligen, bijvoorbeeld op basis van een adequaatheidsbesluit.

De Verenigde Staten is een van de landen die geen passend beschermingsniveau heeft. Voorheen konden persoonsgegevens doorgegeven worden op grond van het EU-VS Privacy Shield. Deze werd in 2020 door het Hof van Justitie van de Europese Unie ongeldig verklaard. Op dit moment werkt de Europese Commissie aan een nieuw adequaatheidsbesluit: het EU-US Data Privacy Framework (DPF).

Digitaal toezicht

De laatste jaren ontwikkelt de digitale technologie zich ook op andere vlakken, zoals bij Artificial Intelligence, cybersecurity en digitale diensten. Dit heeft invloed op de bescherming van persoonsgegevens. Decentrale overheden hebben regelmatig met deze onderwerpen te maken, bijvoorbeeld wanneer bepaalde beslissingen met Artificial Intelligence worden geautomatiseerd. Het is daarom van belang dat hier goed toezicht op wordt gehouden. De AP is aangewezen als toezichthouder voor de AVG, maar is ook verantwoordelijk voor digitaal toezicht wanneer het bijvoorbeeld gaat om online platforms of kunstmatige intelligentie. Daarom is de AP in 2021 samen met de Autoriteit Consument & Markt, de Autoriteit Financiële Markten en het Commissariaat voor de Media het Samenwerkingsplatform Digitale Toezichthouders gestart. Onlangs is deze samenwerking uitgebreid, om te zorgen voor een nog betere bescherming van de digitale samenleving.

Meer informatie

Algemene Verordening Gegevensbescherming, Kenniscentrum Europa Decentraal

Rapportages datalekken, Autoriteit Persoonsgegevens

Doorgifte binnen en buiten de EER, Autoriteit Persoonsgegevens

Samenwerkingsplatform Digitale Toezichthouders (SDT), Autoriteit Consument & Markt