Arnoud Engelfriet VOGIN-IP-lezing, 21 maart 2019

1. 4-4-2019
1
Zoeken en
gevonden
worden
Over archieven, privacy
en administratieve lasten
onder de AVG

2. 4-4-2019
2

3. 4-4-2019
3
Privacy
Foto: Evert Boeve,
geheugenvannederland.nl
Een ieder heeft het recht
op respect voor zijn privé
leven, zijn familie- en
gezinsleven, zijn woning en
zijn correspondentie.
(Art. 8 EVRM)
Eenieder heeft recht op
bescherming van zijn
persoonsgegevens.
(Art. 8 Handvest EU)
Een ieder heeft recht op
vrijheid van meningsuiting.
Dit recht omvat de vrijheid een
mening te koesteren en de
vrijheid om inlichtingen of
denkbeelden te ontvangen of
te verstrekken, zonder
inmenging van enig openbaar
gezag en ongeacht grenzen.
(Art. 10 EVRM)
Informatie-
vrijheid
2000:Wet
bescherming
persoonsgegeve
ns
2012:Voorstel
Verordening
2012-2014
Discussie &
lobbywerk
2016
Aangenomen
alsVerordening
25 mei 2018Van
kracht in hele
EU

4. 4-4-2019
4
7
• Eén Europese wet
AVG
• Het begrip
persoonsgegeven
wordt uitgebreid
Scope
• Eisen aan
toestemming
worden strenger
Toestemming
• Inzage
• Correctie
• Vergetelheid
• Bezwaar
Rechten
• Privacyverklaring
in duidelijke en
eenvoudige taal
(B2)
Uitleg
• Intern register van
alle verwerkingen
• Intern register van
alle datalekken
Registratie
• Borg leveranciers
met verwerkers-
overeenkomst
Partners
• Bij risicovolle
verwerkingen
voorafgaand
onderzoek
PIA
• Privacy by design
• Privacy by default
Software

5. 4-4-2019
5
Rechten
Inzage
Export
Correctie
Klacht
Vertegen-
woordiging
BeroepBeperking
Schade-
vergoeding
Bezwaar
Vergeten
worden
Geen
profiling
10
AVG versus
uitingsvrijheid
“De lidstaten brengen het recht
op bescherming van
persoonsgegevens
overeenkomstig deze
verordening wettelijk in
overeenstemming met het recht
op vrijheid van meningsuiting en
van informatie, daaronder
begrepen de verwerking voor
journalistieke doeleinden en ten
behoeve van academische,
artistieke of literaire
uitdrukkingsvormen.”

6. 4-4-2019
6
Persoonsgegevens
Gegevens die direct of
indirect tot een
natuurlijk persoon
herleidbaar zijn.
Beginselen van zorgvuldige verwerking
• Rechtmatig, eerlijk, transparant en
zorgvuldig;
• Doelbinding/doelbeperking;
• Dataminimalisatie;
• Accuraat en relevant;
• Niet langer dan nodig bewaren;
• Afdoende beveiligen;
Verantwoordelijke draagt
eindverantwoordelijkheid en kan
compliance bewijzen.

7. 4-4-2019
7
Register van
verwerkingen
• Documenteren van alle
verwerkingen binnen
organisatie
• Elektronisch of papier
• Zowel voor verwerker als
voor verantwoordelijke
verplicht
• Inzagerecht door
toezichthouder
Identiteit verantwoordelijke
Omschrijving verwerking
Doeleinden
Grondslagen
Ontvangers
Beveiligingsmaatregelen
Bewaartermijn
Informatieplicht
14
Met uw aparte toestemming
ontvangt u onze wekelijkse
nieuwsbrief over relevante
actualiteiten. Deze is voorzien van
tracking codes waarmee wij uw lees-
en klikgedrag kunnen monitoren. Dit
wordt uitsluitend in geaggregeerde
vorm gebruikt om onze nieuwsbrief
te optimaliseren.

8. 4-4-2019
8
Informatieplicht (taalniveau B1/B2)
15
Met uw aparte toestemming
ontvangt u onze wekelijkse
nieuwsbrief over relevante
actualiteiten. Deze is voorzien van
tracking codes waarmee wij uw lees-
en klikgedrag kunnen monitoren. Dit
wordt uitsluitend in geaggregeerde
vorm gebruikt om onze nieuwsbrief
te optimaliseren.
Met uw aparte toestemming
ontvangt u onze wekelijkse
nieuwsbrief over relevante
actualiteiten. Deze is voorzien van
tracking codes waarmee wij uw lees-
en klikgedrag kunnen monitoren. Dit
wordt uitsluitend in geaggregeerde
vorm gebruikt om onze nieuwsbrief
te optimaliseren.
Je kunt je voor onze nieuwsbrief opgeven.
We sturen je dan elke week nieuwtjes per
mail. In elk bericht zitten onzichtbare
codes. Hiermee kunnen wij bijhouden hoe
veel mensen onze nieuwsbrief lezen en op
welke berichten mensen klikken.
We kijken niet naar wat jij precies
interessant vindt. Het gaat ons alleen om
algemene informatie over onze
nieuwsbrief, zodat we deze nog
interessanter kunnen maken.
Je kunt je voor onze nieuwsbrief opgeven.
We sturen je dan elke week nieuwtjes per
mail. In elk bericht zitten onzichtbare
codes. Hiermee kunnen wij bijhouden hoe
veel mensen onze nieuwsbrief lezen en op
welke berichten mensen klikken.
We kijken niet naar wat jij precies
interessant vindt. Het gaat ons alleen om
algemene informatie over onze
nieuwsbrief, zodat we deze nog
interessanter kunnen maken.
Grondslagen
• Toestemming
• Uitvoering overeenkomst
• Wettelijke plicht
• Vitale belangen betrokkenen
• Uitvoering overheidstaak
• Dringend eigen belang
Enkel de gegevens die noodzakelijk zijn!

9. 4-4-2019
9
Welke grondslag?
Toestemming
• Specifiek
omschreven
• Vrijwillig gegeven
• Altijd intrekbaar
• Actieve handeling
of verklaring
• Apart gegeven van
andere handelingen
Maatschappelijk gezien legitiem
Belangenafweging met privacy
Motivatie vooraf schriftelijk gemaakt
Zo mogelijk opt-out
Bezwaar op grond van persoonlijke
omstandigheden in principe honoreren
17
Eigenlegitiembelang
Foto: Mamaloesbabysjop.nl
Bijzondere
persoons-
gegevens
.. waaruit ras of
etnische afkomst,
politieke opvattingen,
religieuze of
levensbeschouwelijke
overtuiging, of het
lidmaatschap van een
vakvereniging blijken,
… genetische gegevens
of gegevens over
gezondheid of seksueel
gedrag’
Alleen te gebruiken:
• Toestemming (tenzij deze niet
gegeven mag worden)
• Uitvoering overeenkomst
• Uitvoering arbeidsrecht (indien
apart geregeld in nationale wet)
• Vitaal belang betrokkene
• Regelen lidmaatschap van
vakbond, stichting, kerk en
dergelijke
• Onmiskenbaar zelf openbaar
gemaakt
• Afhandeling juridische claims
• Zwaarwegend algemeen belang
• Gezondheidskwesties
• Wetenschappelijk onderzoek,
archieven
• Strafrecht en nationale veiligheid
• Journalistieke doeleinden

10. 4-4-2019
10
Journalistieke
exceptie
19
… de verwerking van
persoonsgegevens voor
uitsluitend
• journalistieke doeleinden
• academische, artistieke
of literaire
uitdrukkingsvormen
 Toestemming niet intrekbaar
 Geen recht van inzage
 Geen recht van bezwaar
 Geen recht van verwijdering
 Geen meldplicht datalekken
 Opslag inVS toegestaan
 Geen verbod op verwerken
bijzondere persoonsgegevens
 Geen registerplicht
“[Van journalistiek is sprake] bij de
bekendmaking aan het publiek van
informatie, meningen of ideeën tot doel
hebt, ongeacht het overdrachtsmedium.
Deze activiteiten zijn niet voorbehouden
aan mediaondernemingen en kunnen een
winstoogmerk hebben.”
HvJ EU zaaknr. C-73/07, 16
december 2008 (Satamedia)

11. 4-4-2019
11
‘Het recht te worden vergeten’
• … naar een juist evenwicht moet worden
gezocht tussen met name dit belang en de
grondrechten van de betrokkene, in het
bijzonder het recht op eerbiediging van het
privéleven en het recht op bescherming van
persoonsgegevens.
• De rechten van de betrokkene hebben in de
regel weliswaar voorrang op het belang van de
internetgebruikers, maar dat dit evenwicht
echter in bijzondere gevallen kan afhangen van
de aard van de betrokken informatie en de
gevoeligheid ervan voor het privéleven van de
betrokkene en van het belang dat het publiek
erbij heeft om over deze informatie te
beschikken, wat met name wordt bepaald door
de rol die deze persoon in het openbare leven
speelt.
HvJ EU 13 mei 2014 (C-131/12, Costeja)

12. 4-4-2019
12
Vergeten van huurmoord?
Deze overwegingen houden in dat de
grondrechten van een natuurlijk persoon als
bedoeld in de art. 7 en 8 Handvest (het recht op
eerbiediging van het privéleven en het recht op
bescherming van persoonsgegevens) in de regel
zwaarder wegen dan, en dus voorrang hebben op,
het economisch belang van de exploitant van de
zoekmachine en het gerechtvaardigde belang van
de internetgebruikers die mogelijk toegang willen
krijgen tot de desbetreffende zoekresultaten.
HR 24 februari 2017, ECLI:NL:HR:2017:316
Archiveren in
het algemeen
belang
24
De verwerking met het oog
op archivering in het
algemeen belang,
wetenschappelijk of
historisch onderzoek of
statistische doeleinden is
onderworpen aan passende
waarborgen (…)
UAVG:Archieven ihkv
Archiefwet 1995
 Geen actieve informatieplicht
 Geen verbod op verwerken
bijzondere persoonsgegevens
 Geen registerplicht
 Inzagerecht beperkt tot
gerichte verzoeken
 Geen correctierecht, wel recht
eigen lezing toe te voegen
 Geen vergeetrecht wanneer
vergeten de archieffunctie
wezenlijk aantast
 Passende waarborgen voor
privacy vereist

13. 4-4-2019
13
AVG compliance op een rijtje
25
Registreer iedere verwerking
Informeer in duidelijkeen
eenvoudige taal
Documenteer toestemmingsvragen
Borg goede beveiliging
Digitaliseer toegang, correctie en
verwijdering van persoonsgegevens
• Welke grondslag?
• Welke doeleinden?
• Hoe lang bewaard?
Bewaartermijnen
Onderwerp Bewaartermijn Motivatie
Personeelsdossier Tot twee jaar na dienstverband Wet: art. 52 Wet Rijksbelastingen
Facturen Zeven jaar vanaf uitreikdatum Wet: art. 32 Uitvoeringsbeschikking omzetbelasting
Cameratoezicht Vier weken (bij incidenten tot
afhandeling daarvan)
Eigen belang: incidenten signaleren, inclusief terugkerende
incidenten zoals herhaalde diefstal of lastigvallen.
Sollicitatiebrieven en CV’s Tot zes weken na indiensttreding
beste kandidaat
Overeenkomst: om procedure volledig af te ronden, mensen
aanbod te kunnen doen en bij onverhoopt ontslag in
proeftijd de andere kandidaten alsnog te kunnen benaderen.
Bezoekersregistratie (inclusief
kenteken)
Een week Eigen belang: om aan einde dag vast te stellen of alle
bezoekers het pand hebben verlaten. Tevens om claims over
schade aan auto’s te kunnen afhandelen.
Gegevens oud-leden vereniging Tot een jaar na laatste contact Eigen belang: Na een jaar mag worden verondersteld dat oud-
lid geen binding meer voelt met vereniging.
Klantdossier Tot twintig jaar na laatste dienst Uitvoering overeenkomst: klant kan wellicht terugkomen op
oude dienst. Plus eigen belang: wanprestatie verjaart na 20
jaar
Document met nieuwswaarde Zo lang als nieuwswaarde bestaat Eigen belang: belang van persarchieven is erkend als
grondrecht en rechtvaardigt langdurig bewaren

14. 4-4-2019
14
Dank u wel!
Arnoud Engelfriet
a.engelfriet@ictrecht.nl / 020 – 663 1941
27