Laatste nieuws
 
 
  Achtergrondartikelen  


Als je zoekt naar een grondslag voor gegevensverzameling:

Vooral niet om toestemming vragen!

Tijdens de Fleetlounge werd één ding duidelijk: die AVG treft ons allemaal. De presentatie van Sandra Rolaff, senior consultant Privacy & Compliance bij Singewald Consultancy Group, liet niets te raden over. Nou ja, niets. Er bleven voldoende vragen over, juist omdat het zo complex is. Maar het advies van Rolaff klonk luid en duidelijk: kies als het gaat om de grondslag voor het verzamelen van gegevens alsjeblieft níet voor de optie ‘toestemming van de klant’.

Dat klinkt bizar, maar wat zij daarmee wilde zeggen, is dat als de enige grondslag voor het verzamelen van persoonsgegevens die toestemming van de klant is, je heel snel in de problemen kunt komen. ‘Die klant moet namelijk – volgens diezelfde AVG - weer net zo makkelijk zijn toestemming kunnen intrekken. Daarmee vervalt dan de grondslag (de basisreden) om die gegevens te mogen verzamelen en te bewaren’, aldus Rolaff. ‘Bovendien geldt bijvoorbeeld een verkregen toestemming van een werknemer aan een werkgever niet eens voor de wet: er is in dat geval sprake van een bepaalde machtsverhouding en dus geen basis van gelijkwaardigheid. Er zijn trouwens betere grondslagen aan te voeren, zoals ‘een gerechtvaardigd belang’. Dat belang zal niet zo heel snel veranderen voor een organisatie. Dus als dat als geldige grondslag kan worden aangevoerd, verdient dat zeker de voorkeur boven die toestemming. Hoe verleidelijk het soms ook lijkt om gewoon toestemming te vragen.’

Wie is eigenaar?
Nog een opmerkelijke uitspraak: er is geen juridische eigenaar van persoonsgegevens. Rolaff: ‘Ik kan die gegevens namelijk niet net als bij materieel bezit overhandigen of vasthouden. Ik ben wel de betrokkene: de gegevens hebben betrekking op mij als persoon. Er is verder hooguit een verwerkingsverantwoordelijke. Dat is de hoogste in lijn die het doel en de middelen vaststelt om gegevens te verzamelen en verantwoordelijk kan worden gesteld voor het bewerken en verwerken van persoonsgegevens, tot Personen Herleidbare Informatie (PHI) officieel. Dat is wel weer een ander dan de verwerker, degene die de handelingen verricht, intern of in opdracht van. Juridische steekspelletjes misschien, maar het is wel belangrijk om vanaf de start duidelijk te maken wie welke rol vervult in dat spel.’

‘Maar wat is dan die tot personen herleidbare informatie? Wanneer is daarvan sprake? Is een kenteken bijvoorbeeld een persoonsgegeven? Dat hangt weer af van wie je bent. De RDW kan die informatie herleiden tot een individuele berijder, maar ik als individu kan dat niet. Dus voor mij is het geen persoonsgegeven, maar voor de RDW en andere instanties die toegang hebben tot die onderliggende bronsystemen wel.’ Veel bedrijfsgegevens gelden overigens niet als persoonsgegevens; dus als een gegeven is gekoppeld aan een rechtspersoon als een B.V., N.V., stichting, vereniging of iets vergelijkbaars, geldt dat niet als persoonsgegeven. Wel is dat het geval als het gaat om een eenmanszaak, ZZP’er, VoF.

Kortom, het is weer eens niet zo zwart-wit als we soms graag zouden willen.

Waarom draait de AVG?
De AVG bepaalt dat het verzamelen van persoonsgegevens moet zijn gebonden aan een rechtmatig doel, het moet transparant en inzichtelijk gebeuren, het mogen niet meer gegevens zijn dan strikt noodzakelijk voor het vastgestelde doel; de gegevens moeten correct zijn; ze mogen niet onbeperkt worden bewaard en opgeslagen; en de veiligheid moet zijn gegarandeerd. Nieuw is dat alles hieromtrent moet zijn gedocumenteerd, er geldt een accountability, verantwoordingsplicht.

De basis voor de vastlegging van gegevens wordt, zoals al gemeld, gevormd door een aantal mogelijke grondslagen: het kan met de toestemming van de klant (niet de meest handige optie dus); het kan in het kader van de uitvoering van een overeenkomst; het kan een wettelijke verplichting zijn; er kan een vitaal belang gelden; er kan sprake zijn van een algemeen belang of taak van openbaar gezag; of, tenslotte, het kan een gerechtvaardigd belang zijn.

Ingewikkeld genoeg
Het klinkt allemaal behoorlijk complex. Rolaff: ‘Als we het toespitsen op bijvoorbeeld het vastleggen van gegevens over het rijgedrag van een berijder van een leaseauto, kun je als grondslag vaak ‘een gerechtvaardigd belang’ aanvoeren. Het is namelijk in het belang van zowel de eigenaar van de auto (de leasemaatschappij) als de organisatie die de auto’s huurt (de werkgever), maar zelfs van de berijder (eigen bijdrage), om bijvoorbeeld het onderhoud of aantal bekeuringen binnen de perken te houden en/of duurzamer gebruik van de auto te stimuleren. Nu liggen er wel weer beperkingen in wat je wel en niet direct mag gebruiken richting die berijder, maar in grote lijnen kun je daar dus wel wat mee als fleet manager.’

Om het verhaal niet nog langer te maken: zolang je op een goede manier met mensen communiceert over waarom je bepaalde gegevens zou willen hebben, welke gegevens dat precies zijn en waar je ze voor gaat gebruiken, kan er niet zo heel veel misgaan. Dat er nog veel organisaties zijn die de deadline van 25 mei 2018 (net) niet gaan halen, is ook wel duidelijk. Het is ingewikkeld genoeg en in veel gevallen heeft niemand eigenlijk een goed idee waar te beginnen. ‘Dat is waarschijnlijk de reden waarom wij het zo druk hebben…’, aldus Sandra Rolaff met een kwinkslag.

Plaats op:
Datum: 28 november 2017
Bron: AutoleaseWereld
Gerelateerde artikelen  
28-11-2017 Nieuws Als je zoekt naar een grondslag voor gegevensverzameling
28-02-2017 Achtergrondartikelen EU General Data Protection Regulation: ook belangrijk voor automotive branche …
26-10-2017 Achtergrondartikelen Wat moet je eigenlijk met de Algemene Verordening Gegevensbescherming?
26-09-2017 Nieuws Bijna een derde van alle autoverhuurbedrijven heeft geen beveiligde website
22-05-2017 Achtergrondartikelen Snel verbeteren customer experience: vier tips
 
 

- partners -

 
 
 
 
 
� 2005 - 2017 Vakwereld. All rights reserved Pagina geladen in 0,23 seconden.