Bijstand verlenen aan de verantwoordelijke

De CSP heeft onder de AVG de verantwoordelijkheid om de verantwoordelijke te ondersteunen (‘bijstand verlenen’) bij het doen nakomen van diverse van zijn verplichtingen, waaronder inzake de rechten van de betrokkenen [artikel 28 lid 3e] en inzake specifieke verplichtingen zoals beveiliging van de verwerking, melden van datalekken en de privacy impact assessment [artikel 28 lid 3f].

Mijn aanbeveling is dat in de schriftelijke overeenkomst de CSP en de verantwoordelijke nadere afspraken maken over te hanteren normen en de wijze van bijstand verlenen door de CSP.

Rechten van de betrokkene

Door de AVG krijgen betrokkenen (degenen van wie persoonsgegevens worden verwerkt) meer rechten om voor zichzelf op te komen bij de verwerking van hun gegevens. Hun privacy rechten richting de verantwoordelijke worden uitgebreid en versterkt. (bron: AP, 2017)

Hieronder een opsomming van hun belangrijkste rechten:

• Transparantie en informatieplicht [artikel 12-14 - AVG]: transparantie houdt in dat het voor de betrokkene duidelijk is dat zijn persoonsgegevens worden verwerkt, waarom, door wie en op welke wijze. De betrokkene heeft daarmee een recht op informatie van de verantwoordelijke, ook bij eventuele wijzigingen van het doel en de aard van de verwerking.

• Recht van inzage [artikel 15 - AVG]: betrokkene heeft het recht te weten van de verantwoordelijke of zijn persoonsgegevens worden verwerkt, en om daar inzage en informatie over te krijgen. Ook heeft de betrokkene het recht op een kopie van de gegevens die worden verwerkt.

35

• Recht op rectificatie [artikel 16 - AVG]: betrokkene heeft het recht om van de verantwoordelijke rectificatie van onjuiste persoonsgegevens te verkrijgen, dan wel het recht op aanvulling van onvolledige gegevens. Dit moet zonder onredelijke vertraging (‘onverwijld’) plaatsvinden.

• Recht op vergetelheid [artikel 17 - AVG]: De verantwoordelijke is verplicht persoonsgegevens van de betrokkene zonder onredelijke vertraging te wissen, zoals in geval dat:

o persoonsgegevens niet langer nodig zijn voor de doeleinden waarvoor zij zijn verzameld of anderszins verwerkt;

o de betrokkene zijn toestemming intrekt en er geen andere rechtsgrond voor verwerking bestaat;

o betrokkene bezwaar maakt tegen de verwerking; of o de persoonsgegevens onrechtmatig zijn verwerkt.

De verantwoordelijke moet redelijke maatregelen treffen om de gegevens te verwijderen, maar ook om iedere koppeling naar, of kopie of reproductie van die gegevens te wissen.

• Recht op beperking van de verwerking [artikel 18 - AVG]: de betrokkenen heeft het recht van de verantwoordelijke beperking van de verwerking te krijgen, zodat persoonsgegevens (tijdelijk) niet verwerkt of gewijzigd mogen worden.

• Kennisgevingsplicht [artikel 19 - AVG]: bij rectificatie of wissing van persoonsgegevens stelt de verantwoordelijke iedere ontvanger aan wie de gegevens zijn verstrekt in kennis. Op verzoek van de betrokkene ontvangt hij informatie over deze ontvangers.

• Recht op overdraagbaarheid van gegevens (‘dataportabiliteit’) [artikel 20 - AVG]: de betrokkene heeft het recht de hem betreffende persoonsgegevens van een verantwoordelijke te kunnen verkrijgen, in gestructureerde, gangbare en machine leesbare vorm, en het recht deze gegevens aan een andere verantwoordelijke (bijvoorbeeld van Google naar Facebook) over te dragen of rechtstreeks te laten overdragen (zoals door een CSP). Een betrokkene heeft recht op overdraagbaarheid voor zover het gaat om door hem zelf verstrekte gegevens.

• Recht van bezwaar [artikel 21 - AVG]: een betrokkene kan vanwege redenen die verband houden met zijn specifieke situatie gebruik maken van het recht van bezwaar tegen de verwerking van hem betreffende persoonsgegevens. De verantwoordelijke dient dan de verwerking te staken, tenzij dwingende gerechtvaardigde gronden anders bepalen.

• Recht niet te worden onderworpen aan geautomatiseerde individuele besluitvorming [artikel 22 – AVG]: de betrokkene heeft het recht niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking, waaronder profilering, gebaseerd besluit waaraan voor hem rechtsgevolgen zijn verbonden of dat hem anderszins in aanmerkelijke mate treft.

In vergelijking tot de Wbp is het recht van inzage [artikel 35 - Wbp] uitgebreid met het recht op een kopie van de gegevens die worden verwerkt. Daarnaast zijn er twee rechten voor de betrokkene bijgekomen, te weten het recht op vergetelheid en het recht op dataportabiliteit. Deze nieuwe rechten kunnen ook voor de CSP gevolgen hebben, wanneer de verantwoordelijke middels de schriftelijke overeenkomst ondersteuning vraagt bij de invulling daarvan: [artikel 28 lid 3e - AVG] • Recht op vergetelheid - het recht op vergetelheid gaat over het verwijderen van verwijzingen in

zoekmachines (internet). Dit betreft zowel het verwijderen van zoekresultaten als van de bronbestanden. In de cloud is door fragmentatie van data de locatie niet eenvoudig terug te vinden, zeker niet bij omvangrijke doorgifte van data in complexe cloud omgevingen. Daarbij komt dat bijvoorbeeld op social media sites (Facebook, Google) er massaal foto’s en dergelijke worden gekopieerd of gereproduceerd. De vraag is dan ook wie er nog de (originele) verantwoordelijke of

36

CSP is en daarmee aansprakelijk is voor het verwijderen van de persoonsgegevens (bron: ENISA, 2012a). Doordat de AVG geen eenduidige definitie geeft van te treffen ‘redelijke maatregelen‘ is mijn aanbeveling dat de CSP en de verantwoordelijke hier voorlopig een eigen interpretatie aan moeten geven en vastleggen in de overeenkomst. Het wachten is op guidance van de Autoriteit Persoonsgegevens voor nadere duiding.

• Recht op overdraagbaarheid van gegevens (portabiliteit) – namens de toezichthoudende autoriteiten heeft WP29 in april 2017 de verantwoordelijke geadviseerd om de betrokkenen twee mogelijkheden te bieden: a) om gegevens direct te kunnen downloaden; en b) om gegevens direct naar een andere verantwoordelijke te verplaatsen. Een API (Application Programming Interface) dient dan beschikbaar te worden gesteld om dit mogelijk te maken. De betrokkene zal daarbij de mogelijkheid moeten hebben om alleen de relevante persoonsgegevens te selecteren voor portabiliteit. De verantwoordelijke heeft de verplichting te waarborgen dat de overdracht van gegevens veilig gebeurt en naar de juiste locatie. Bijvoorbeeld middels encryptie van gegevens en authenticatie van de ontvanger (bron: DPWP242, 2017). Om portabiliteit mogelijk te maken zullen waarschijnlijk investeringen moeten worden gedaan vanwege het huidige gebrek aan standaardisatie van bestandsformaten en platformen tussen CSPs (bron: Swire, 2013).

Bijstand verlenen bij specifieke verplichtingen van de verantwoordelijke

De CSP heeft onder de AVG de verantwoordelijkheid om de verantwoordelijke te ondersteunen (‘bijstand verlenen’) bij het doen nakomen van de volgende verplichtingen:

• Beveiliging van de verwerking; (zie hoofdstuk 3.3.5) • Melden van datalekken; (zie hoofdstuk 3.3.12)

• Data protection impact assessment (zie hoofdstuk 3.3.13).