Jaap: Goedemiddag, u spreekt met Jaap scheepers, ik heb een aantal vragen over de AVG. Autoriteit Persoonsgegevens: Ik moet wel de tijd een beetje beperkt houden omdat er omdat
de wachtrij behoorlijk is, dus ik zou zeggen begin maar te vragen.
Jaap: Ik lees in artikel 36 omtrent de voorafgaande raadpleging dat wanneer je denkt dat je bij
de verwerking van persoonsgegevens risico’s niet goed genoeg kunt beperken door middel van een DPIA dat je het DPIA aan de Autoriteit Persoonsgegevens moet voorleggen, maar wie bepaalt dat de risico’s niet voldoende beperkt kunnen worden?
Autoriteit Persoonsgegevens: Ja het is wel het eigen oordeel zoals ik het zelf heb gelezen.
Wanneer blijkt dat het een hoog risico oplevert moet je het zelf voorleggen aan de Autoriteit Persoonsgegevens. Het kan ook zijn dat je zelf vindt dat het een groot risico oplevert, maar dat wanneer je het hebt voorgelegd aan de Autoriteit Persoonsgegevens zij toch oordelen dat het wel meevalt.
Jaap: Oke, maar het gebeurt dus geheel op eigen initiatief?
Autoriteit Persoonsgegevens: Ja, er staat tevens in overweging 94 dat wanneer de
verwerkingsverantwoordelijke van mening is dat de risico’s niet voldoende worden beperkt, hij voordat de verwerking plaatsvindt de autoriteit persoonsgegevens raadpleegt. Dat wil ik u nog even meegeven.
Jaap: Dankjewel, dan is dat duidelijk wat betreft de voorafgaande raadpleging. Dan heb ik
een vraag omtrent de verwerkingsovereenkomst, wie is er nu verantwoordelijk dat deze verwerkingsovereenkomst wordt opgesteld?
Autoriteit Persoonsgegevens: Dat zijn beide partijen want wanneer beide partijen het er over
eens zijn wie de verantwoordelijke is en wie de verwerker is dan moeten ze zelf
overeenkomen of bijdragen aan het totstandkomen van het opstellen van de overeenkomst. Wanneer de Autoriteit Persoonsgegevens van mening is dat er een overeenkomst had moeten zijn, dan wordt niet alleen de verantwoordelijke er op aangekeken maar ook de verwerker.
Jaap: Dan heb ik nog een vraag over locatiegegevens. Ik heb begrepen dat locatiegegevens
niet meteen onder de bijzondere categorie valt maar het onder de categorie gevoelige
gegevens hoort. Stel dat je wat de verwerking van persoonsgegevens betreft alles beperkt. Dus enkel GPS gegevens met daarnaast enkel technische gegevens die ook niet te herleiden zijn tot een persoon. In hoeverre is dan het verwerken van de GPS gegevens een
persoonsgegeven?
Autoriteit Persoonsgegevens: Kijk als het echt alleen technische informatie is het in principe
niet te herleiden naar iemand.
Jaap: Nou dat vond ik moeilijk te bepalen, ik vond het moeilijk te beoordelen wanneer locatie
52
Autoriteit Persoonsgegevens: Nou men kan met een GPSsignaal natuurlijk wel traceren waar
iemand is. Een bepaald pakket aan informatie kan er uiteindelijk toch voor zorgen dat iemand te identificeren is.
Jaap: Ja precies. In dit geval betreft het een elektrische fiets. In die fiets zit dus als het ware
een soort van GPSsensor die technische gegevens meet dus wat doet die fiets precies maar daarnaast ook GPSgegevens. Maar wanneer er niet gefietst wordt, geeft de fiets ook geen gegevens. Als er gefietst wordt krijg je enkel een fietsroute.
Autoriteit Persoonsgegevens: Op die manier zou je wel iemand kunnen volgen heb ik het
idee. Je zou even moeten kijken in hoeverre de mogelijkheid daartoe bestaat. Misschien wat vergezocht, maar het zou als een bepaald trackingsysteem kunnen fungeren.
Jaap: Nou ik begrijp dat u dat zegt, die sensor zendt namelijk om de vijf seconden een signaal
uit.
Autoriteit Persoonsgegevens: Ja ik zou dan bijna zeggen dat er een soort van stipjes
verschijnen en dan kun je zien waar iemand geweest is.
Jaap: Oke, maar doordat je weet waar iemand geweest is maakt het al een persoonsgegeven? Autoriteit Persoonsgegevens: Ja nou kijk daar moet dan natuurlijk ook wel wat meer zijn. Ik
ga even kijken of ik op dit punt wat kan vinden. Dan zet ik u nog even kort in de wacht, kom ik zo bij u terug.
Jaap: O ja tuurlijk, danku.
Autoriteit Persoonsgegevens: Meneer bedankt voor het wachten. Ja dit zijn de leuke vragen
natuurlijk, ik heb het even met een collega besproken. Kijk het is natuurlijk zo dat
locatiegegevens ansich natuurlijk niets over een persoon zeggen, maar als ze systematisch in kaart worden gebracht en ze weergeven waar iemand thuis komt of waar iemand woont, dan zou het misschien, technisch gezien, een persoonsgegeven kunnen opleveren. Maar wanneer de fiets ergens in Amsterdam staat, dan zegt dat natuurlijk nog niks over de persoon, dat zegt alleen wat over de locatie van de fiets. Maar door de combinatie van de mogelijkheid om te volgen met dat trackingsysteem, misschien wel met een ander doel, zou weer een
persoonsgegeven kunnen zijn. Maar het is een beetje een afweging want ja, het zijn open normen in die AVG dus dat maakt het ook, ja dit is dat ook wel weer iets dat, ja u moet eigenlijk nagaan in hoeverre de informatie die wordt verzameld aan de hand van die GPS iets kan zeggen over de persoon.
Jaap: Ja want daar hebben we ook wel eens over nagedacht en in welke mate we dat zouden
kunnen beperken. Die gegevens die komen binnen bij een database en vanaf dan zijn die gegevens te verbouwen. Want die exacte gps is niet direct heel erg bruikbaar. Het is erg belangrijk om te kunnen zien in welke omgeving wordt gefietst, denk hierbij aan enkel een plaatsnaam. Dus wanneer we die gegevens binnenkrijgen dan kunnen we bijvoorbeeld zeggen we willen niet het exacte gegeven, we willen alleen een plaats. We zien dan dus enkel een plaatsnaam, op die manier beperken we het enorm. Er is dan dus eigenlijk niets meer te traceren want we hebben dan alleen een plaatsnaam.
Autoriteit Persoonsgegevens: Ja nou kijk als het alleen beperkt is tot een plaatsnaam dan zou
53 Want het is dan natuurlijk in het kader van beveiliging natuurlijk wel de vraag in hoeverre anderen dat kunnen uitlezen. Ik weet natuurlijk niet hoe dat allemaal gaat, maar kijk het is een persoonsgegeven als het te herleiden is naar een natuurlijk persoon, een bepaald individu. Maar als daar heel veel stappen tussen zitten en ook beperkingen waardoor het eigenlijk niet mogelijk is en beperkt is iemand te identificeren, want een plaatsnaam aansich zegt natuurlijk niets over één persoon, maar over een heleboel personen. Het is de vraag in hoeverre u er een persoon uit kunt filteren. Als u zegt dat is technisch eigenlijk niet mogelijk, dan zou ik zeggen dat het niet zo heel spannend is in het kader van de AVG. Maar kan het toch met een
combinatie van andere data die u verwerkt om er één persoon uit te prikken, ja dat is dan even de vraag, dan zou ik zeggen dat u mogelijk toch toestemming moet vragen om die informatie te verzamelen. Maar dat is een afweging die u moet maken.
Jaap: Oke, want op grond van een gerechtvaardigd belang is dat niet mogelijk?
Autoriteit Persoonsgegevens: Het zou kunnen maar kijk, in de WBP wordt het gebruikt als
restcategorie.
Jaap: Oke, want gerechtvaardigd belang, houdt het dan eigenlijk in dat het voor beide partijen
nuttig genoeg moet zijn dat die gegevens verzameld worden?
Autoriteit Persoonsgegevens: Nou kijk, u kunt een belang hebben, ik noem het even een
belang in het kader van de bedrijfsvoering, en u moet het afwegen tegen het privacybelang van de betrokkene. Denk even aan direct marketing per post, dat is voor oude en nieuwe klanten iets, je maakt een afweging tussen enerzijds ik heb dit nodig, als ik geen brieven stuur, dan kan ik net zo goed stoppen met mijn bedrijf. Je weegt dan het bedrijfsbelang af tegen het belang van de ontvanger. Gerechtvaardigd belang als grondslag biedt wel meer ruimte aan, maar vanuit ons gezien moet het terughoudend worden gekozen.
Jaap: Oke duidelijk. Zou ik u nog 1 vraag mogen stellen? Autoriteit Persoonsgegevens: Ja hoor, zeker.
Jaap: Om weer even terug te komen op die accu’s, die accu’s zijn van een bedrijf, dus het
bedrijf is verantwoordelijke. Zij hebben een persoon die de persoonsgegevens verwerkt, dus de verwerker. Stel het bedrijf, eigenaar van de accu’s gaat deze accu’s doorverkopen aan een ander bedrijf, wordt dat bedrijf dan ook een verantwoordelijke? Tevens zal de verwerker van het ene bedrijf, de gegevens van de accu’s blijven verwerker, ook de accu’s die worden verkocht aan het andere bedrijf. Blijft de verwerker dan nog steeds de verwerker?
Autoriteit Persoonsgegevens: Zou u voor mij misschien de verhoudingen nog even kunnen
verduidelijken?
Jaap: O ja tuurlijk. Het ene bedrijf is zowel eigenaar als leverancier, zij gebruiken die accu’s
in hun eigen fietsen, maar er zijn ook bedrijven waaraan deze accu’s worden doorverkocht. De verwerker die het ene bedrijf in dienst heeft, blijft dezelfde persoon, het beheer van die persoonsgegevens blijft bij die verwerker.
Autoriteit Persoonsgegevens: Oke, van A naar B moet worden overgedragen volgens
overeenkomst. Maar mijns inziens moet dan ook kenbaar worden gemaakt dat die verwerker er nog steeds is zodat bedrijf B weet dat die verwerker er nog is. Ook in het kader van een datalek is het van belang dat bedrijf B dat weet bij wie ze moeten zijn.
54
Jaap: Moet er dan ook weer een verwerkersovereenkomst worden opgesteld tussen bedrijf B
en de verwerker?
Autoriteit Persoonsgegevens: Ja, als de verwerker ook ten behoeve van bedrijf B weer
verwerker is moet dat inderdaad opnieuw worden bekeken.
Jaap: Nou super, dan weet ik heel veel meer!
Autoriteit Persoonsgegevens: Oke gelukkig! Heeft u ook de handleiding van het ministerie
van justitie en veiligheid al bekeken?
Jaap: O die staat bij u op de site?
Autoriteit Persoonsgegevens: Ja klopt, daar staan ook nog een aantal checks in. Jaap: Ja die heb ik gezien en doorgenomen.
Autoriteit Persoonsgegevens: Dat is mooi. Jaap: Enorm bedankt voor uw tijd!
Autoriteit Persoonsgegevens: Ja, graag gedaan, u bedankt voor het vragen. Fijne dag! Jaap: Danku, insgelijks!
55
Bijlage 3
Verwerkingsactiviteitenregister
Tabblad contact56 Tabblad register verantwoordelijke deel 2
57 Tabblad register verwerker deel 2
58
Bijlage 4
Privacyverklaring
Van Raam is fabrikant van unieke aangepaste fietsen. De specialisaties van Van Raam zijn driewielfietsen, scootmobielfietsen, tandems, duofietsen, rolstoelfietsen,
rolstoeltransportfietsen, en lage instapfietsen ofwel comfortfietsen. De Van Raam fietsen zijn allemaal ook als elektrische fiets leverbaar.
Van Raam is gevestigd aan de Aaltenseweg 56, 7051 CM te Varsseveld. Van Raam is verantwoordelijk voor de verwerking van persoonsgegevens zoals weergegeven in deze privacyverklaring. Contactgegevens: www.vanraam.com Aaltenseweg 56 7051 CM Varsseveld 0315257370
Persoonsgegevens die wij verwerken
Van Raam verwerkt uw persoonsgegevens doordat u gebruik maakt van onze diensten en/of omdat u deze zelf aan ons verstrekt. Hieronder vindt u een overzicht van de persoonsgegevens die wij verwerken:
- Voor- en achternaam - Geslacht - Geboortedatum - Adresgegevens - Telefoonnummer - E-mailadres
Gevoelige persoonsgegevens die wij verwerken - Locatiegegevens
Met welk doel en op basis van welke grondslag wij persoonsgegevens verwerken
Wij verwerken deze gegevens zodat u deze niet steeds opnieuw hoeft in te vullen en zodat wij uw fietsgedrag in kaart kunnen brengen en wij u daarover kunnen adviseren middels de Van Raam app en zodat er met uw dealer gecommuniceerd kan worden indien u dat wenst.
Wij verwerken deze persoonsgegevens onder de grondslag toestemming (artikel 6 lid 1 sub a AVG).
Geautomatiseerde besluitvorming
Van Raam neemt niet op basis van geautomatiseerde verwerkingen besluiten over zaken die (aanzienlijke) gevolgen kunnen hebben voor personen. Het gaat hier om besluiten die worden genomen door computerprogramma's of -systemen, zonder dat daar een mens (bijvoorbeeld een medewerker van Van Raam) tussen zit.
Minderjarigen
Personen die de leeftijd van 16 jaar nog niet hebben bereikt, dienen eerst toestemming te hebben gekregen van ouders of wettelijke vertegenwoordigers.
59
Hoe lang we persoonsgegevens bewaren
Van Raam bewaart uw persoonsgegevens niet langer dan strikt nodig is om de doelen te realiseren waarvoor uw gegevens worden verzameld. Wij hanteren de volgende
bewaartermijnen voor de volgende (categorieën) van persoonsgegevens:
(Categorie) persoonsgegevens > Bewaartermijn > Reden Personalia > Bewaartermijn > Reden Adres > Bewaartermijn > Reden Enzovoort > Bewaartermijn > Reden
Delen van persoonsgegevens met derden
Van Raam verstrekt uitsluitend aan derden en alleen als dit nodig is voor de uitvoering van onze overeenkomst met u of om te voldoen aan een wettelijke verplichting.
Uw rechten als betrokkene
U heeft het recht om uw persoonsgegevens in te zien, te corrigeren of te verwijderen.
Daarnaast heeft u het recht om uw eventuele toestemming voor de gegevensverwerking in te trekken of bezwaar te maken tegen de verwerking van uw persoonsgegevens door Van Raam en heeft u het recht op gegevensoverdraagbaarheid. Dat betekent dat u bij ons een verzoek kunt indienen om de persoonsgegevens die wij van u beschikken in een computerbestand naar u of een ander, door u genoemde organisatie, te sturen. U kunt een verzoek tot inzage,
correctie, verwijdering, gegevensoverdraging van uw persoonsgegevens of verzoek tot intrekking van uw toestemming of bezwaar op de verwerking van uw persoonsgegevens sturen naar (mailadres). Om er zeker van te zijn dat het verzoek tot inzage door u is gedaan, vragen wij u een kopie van uw identiteitsbewijs met het verzoek mee te sturen. Maak in deze kopie uw pasfoto, MRZ (machine readable zone, de strook met nummers onderaan het paspoort), paspoortnummer en Burgerservicenummer (BSN) zwart. Dit ter bescherming van uw privacy. We reageren zo snel mogelijk, maar binnen vier weken, op uw verzoek. Van Raam wil u er tevens op wijzen dat u de mogelijkheid heeft om een klacht in te dienen bij de nationale toezichthouder, de Autoriteit Persoonsgegevens. Dat kan via de volgende link: https://autoriteitpersoonsgegevens.nl/nl/contact-met-de-autoriteit-persoonsgegevens/tip-ons
Hoe wij persoonsgegevens beveiligen
Van Raam neemt de bescherming van uw gegevens serieus en neemt passende maatregelen om misbruik, verlies, onbevoegde toegang, ongewenste openbaarmaking en ongeoorloofde wijziging tegen te gaan. Als u de indruk heeft dat uw gegevens niet goed beveiligd zijn of er aanwijzingen zijn van misbruik, neem dan contact op met onze klantenservice of via
60
Bijlage 5
Verwerkersovereenkomst
Partijen:
[Naam klant], gevestigd te [plaats, eventueel straat en huisnummer], hierna te noemen:
“verantwoordelijke”, “u” of “uw”, ten deze rechtsgeldig vertegenwoordigd door [naam], in diens hoedanigheid van [functie];
en
Rubus Software B.V., gevestigd te Varsseveld, Aaltenseweg 56, hierna te noemen: “verwerker” , “wij”, “ons” of “onze”, te dezen rechtsgeldig vertegenwoordigd door Jeroen Beenes, [functie];
hierna gezamenlijk aangeduid als “partijen”, “we” of “wij gezamenlijk” Overwegingen:
A. Wij zijn met u op [datum] de opdracht met naam/kenmerk [invullen] aangegaan vanwege het verrichten van de volgende diensten door ons: [invullen] (de “onderliggende opdracht”).
Wij verwerken daarbij de persoonsgegevens die vermeld staan in de bijlage die bij deze overeenkomst hoort.
B. Wij zijn vanwege het uitvoeren van deze onderliggende opdracht én met betrekking tot de persoonsgegevens die wij hierbij zullen verwerken aan te merken als “verwerker” en u als
“verantwoordelijke”. In deze overeenkomst leggen we onze wederzijdse rechten en verplichtingen vast.
61
Partijen komen het volgende overeen:
1. Definities
In deze overeenkomst wordt een aantal begrippen gebruikt. De betekenis van die begrippen is hieronder verduidelijkt. Veelal wordt in de opsomming hieronder gebruik gemaakt van de omschrijving van het begrip uit de wet- en regelgeving op het gebied van privacy.
Betrokkene: Degene op wie een persoonsgegeven betrekking heeft. Verwerker: Een natuurlijke persoon of rechtspersoon, een
overheidsinstantie, een dienst of een ander orgaan die/ dat ten behoeve van de verwerkingsverantwoordelijke
persoonsgegevens verwerkt , zonder aan zijn rechtstreeks gezag te zijn onderworpen.
Sub-verwerker: Een andere verwerker die door de verwerker wordt ingezet om ten behoeve van de verwerkingsverantwoordelijke specifieke verwerkingsactiviteiten te verrichten.
Verwerkingsverantwoordelijke / Verantwoordelijke:
Een natuurlijke persoon of rechtspersoon, een
overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.
Bijzondere Persoonsgegevens: Dit zijn gegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en genetische
gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid. Alsmede persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen.
Datalek / Inbreuk in verband met persoonsgegevens:
Een inbreuk op de beveiliging die per ongeluk of op
onrechtmatige wijze leidt tot - of waarbij redelijkerwijs niet uit te sluiten valt dat die kan leiden tot - de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de
ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens.
Derden: Anderen dan u en wij en onze medewerkers.
Meldplicht Datalekken: De verplichting tot het melden van datalekken aan de Autoriteit Persoonsgegevens en (in sommige gevallen) aan betrokkene(n). Medewerkers Personen die werkzaam zijn bij u of bij ons, ofwel in
62
Onderliggende opdracht: De opdracht zoals hierboven bedoeld in de overwegingen onder A.
Overeenkomst: Deze verwerkersovereenkomst.
Persoonsgegevens: Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”) die in het kader van de “onderliggende opdracht” worden verwerkt; als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.
Persoonsgegevens van gevoelige aard
Persoonsgegevens waarbij verlies of onrechtmatige verwerking kunnen leiden tot (onder meer) stigmatisering of uitsluiting van betrokkene , schade aan de gezondheid, financiële schade of tot (identiteits)fraude.
Tot deze categorieën van persoonsgegevens moeten in ieder geval worden gerekend:
bijzondere persoonsgegevens, gegevens over de financiële of economische situatie van de betrokkene, gegevens die kunnen leiden tot stigmatisering of uitsluiting van de betrokkene, gebruikersnamen, wachtwoorden en andere inloggegevens gegevens die kunnen worden misbruikt voor (identiteits)fraude en locatiegegevens.
Verwerken / Verwerking: Een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.
AVG Algemene Verordening Gegevensbescherming, inclusief de
uitvoeringswet van deze verordening. Door de inwerkingtreding van de AVG per 25 mei 2018 is de Wet Bescherming
63
2. Toepasselijkheid en looptijd
2.1 Deze overeenkomst is van toepassing op iedere verwerking die door ons als verwerker wordt gedaan op basis van de onderliggende opdracht, gegeven door u als verantwoordelijke.
2.2 Deze overeenkomst treedt in werking op de datum waarop de onderliggende opdracht van kracht wordt en eindigt op het moment dat wij geen persoonsgegevens meer onder ons hebben die wij in het kader van de onderliggende opdracht voor u verwerken. Het is niet mogelijk om deze overeenkomst tussentijds op te zeggen.
2.3 Artikel 6 en 7 van deze overeenkomst blijven gelden, ook nadat de overeenkomst (of de onderliggende opdracht) is geëindigd.
3. Verwerking