Algemene Verordening Gegevensbescherming

De AVG dient ter bescherming van een persoon tegen onnodige opslag en verstrekking van zijn persoonsgegevens door derden, waaronder medische gegevens.

Crediteur moet bij schikking zijn positie kunnen bepalen, privacybelang debiteur is niet absoluut

De Europese Algemene verordening gegevensbescherming (AVG) is sinds 25 mei 2018 van toepassing. Deze inwerkingtreding heeft terecht veel aandacht gekregen. De AVG dient ter bescherming van een persoon tegen onnodige opslag en verstrekking van zijn persoonsgegevens door derden, waaronder medische gegevens.

Uitzonderingen op de regel
Bij dergelijke bijzondere persoonsgegevens geldt in beginsel een verwerkingsverbod, met een aantal uitzonderingen. Bijvoorbeeld indien de betrokkene uitdrukkelijke toestemming heeft gegeven voor de verwerking van die persoonsgegevens voor een of meer doeleinden. Of ook als de verwerking betrekking heeft op persoonsgegevens die door de betrokkene openbaar zijn gemaakt. Verwerking is ook toegestaan indien dat noodzakelijk is voor de uitoefening of onderbouwing van een rechtsvordering, of wanneer gerechten handelen in het kader van hun rechtsbevoegdheid.

De casus: een schikkingsaanbod
Dan komt het in een rechtszaak tot een concrete vraag: een crediteur (bank) weigert het aanbod tot schuldregeling van een debiteur. Want de bank kon niet goed beoordelen of het schikkingsaanbod het maximaal haalbare was: de (kennelijk beperkte) verdiencapaciteit van de debiteur werd onderbouwd met medische gegevens die de schuldhulpverleningsorganisatie wel kende, maar weigerde te verstrekken aan de bank met een beroep op de privacy. Pas bij de dwangakkoordzitting bij de rechtbank wordt de informatie verstrekt. Wat oordeelt de Rechtbank?

Persoonlijke afweging schuldenaar: privacybelang en belang akkoord
Als de informatie een medisch karakter heeft, komt het recht op privacy van een schuldenaar in het geding. Zijn gemachtigde moet behoedzaam met de privacybelangen omspringen. Maar een schuldeiser moet wel in staat worden gesteld om een onderbouwde beslissing te nemen op een akkoord. Een schuldeiser mag rekenen op concrete informatie als die dient ter onderbouwing van de stelling dat verdiencapaciteit ontbreekt. Als een schuldenaar een akkoord wenst met zijn schuldeisers, dient hij een persoonlijke afweging te maken of het belang bij een akkoord opweegt tegen zijn belang bij privacy. Meestal zal het niet noodzakelijk zijn dat een schuldenaar een volledig medisch dossier of een rapportage verstrekt. De enkele mededeling dat er medische beperkingen zijn die de arbeidscapaciteit bemoeilijken acht de rechtbank niet voldoende om een schuldeiser te overtuigen dat het akkoord aantrekkelijk is. De gemachtigde zou (met toestemming van een schuldenaar) kunnen volstaan met de vermelding wat de aard van de beperking is, dat de beperking een structureel karakter heeft, hetgeen blijkt uit medische rapportage.

Informatie niet verstrekken heeft consequenties
Een debiteur die dus blijft weigeren om informatie over te leggen met een beroep op privacy staat op zichzelf in zijn recht om die gegevens niet te verstrekken, maar kan zich dus niet erover verbazen dat een crediteur dan weigert om (gebrekkig ingelicht) in te stemmen met een akkoord. Uiteindelijk komt de informatie pas tijdens de zitting. De rechtbank acht voldoende aannemelijk gemaakt dat het voorstel het maximaal haalbare is. De bank heeft ter zitting kennis genomen van de medische achtergrond en heeft verklaard dat de gegevens voldoende onderbouwen dat men kennelijk onvoldoende in staat is om meer te verdienen. De crediteur sluit niet uit dat zij met het akkoord had ingestemd, als de schuldhulpverlener deze informatie eerder had verstrekt. De rechtbank acht aannemelijk dat de schuldeisers meer is aangeboden dan hetgeen zij zonder akkoord op langere termijn zouden kunnen krijgen. Afwijzing van het verzoek zou de overige schuldeisers die reeds hebben ingestemd nadelig treffen in hun financiële belang. Dus dient het belang van de debiteur en dat van de schuldeisers die hebben ingestemd, zwaarder te wegen dan het belang van de bank. De rechtbank beveelt de bank om mee te werken aan het aangeboden akkoord.

De gevolgen van de Europese privacy verordening (AVG) voor het MKB

De nieuwe Europese wetgeving op gebied van privacy dient personen meer bescherming te bieden. Het toepassen van privacy principes heeft consequenties op het juridische en IT gebied van de organisatie: contractbeheer en het beheer van de (interne) informatievoorziening.

De invoering van de AVG verwerkersovereenkomsten per 25 mei 2018 schept verplichtingen voor het MKB. Er worden immers bij het MKB uiteenlopende wijze persoonsgegevens verwerkt. De AVG eist dat uitsluitend persoonsgegevens mogen worden opgeslagen en verwerkt, indien daarvoor een gerechtvaardigd doel is. Ook dient onderscheid te worden gemaakt tussen bijzondere persoonsgegevens (ras, geloof, politieke voorkeur, vakbondslid, BSN nummer, strafblad) en algemene persoonsgegevens (NAW, emailadres, IP)

De wetgeving dient personen meer bescherming te bieden. Het betreft een Europese wetgeving waarbij een aantal principes gelden. Het toepassen van deze principes heeft consequenties op het juridische en IT gebied van de organisatie: contractbeheer en het beheer van de (interne) informatievoorziening.

Afsluiten verwerkersovereenkomsten

Het MKB dient verwerkersovereenkomsten af te sluiten met externe partijen, die (privacy) data kunnen inzien, opslaan of op enige wijze iets met de gegevens doet. Om deze overeenkomsten af te sluiten, dient inzicht te zijn met welke partijen dit plaats moet vinden. Denk aan salarisadministratie, accountant, Arbodienst, ICT beheerder.

Inzage in opgeslagen informatie

Het MKB dient inzichtelijk te maken hoe welke informatie (data) waar en voor hoe lang in de administratiesystemen wordt opgeslagen. Ook dienen er technische en administratieve voorzieningen getroffen te zijn voor de beveiliging van gegevens. Op verzoek van betreffende persoon dienen gegevens over hem/haar opgevraagd en/of verwijderd te worden uit de bestanden. Daarvoor dient te worden geïnventariseerdwelke persoonsgegevens voor welk doel worden opgeslagen/verwerkt, waarbij ze naar aard en doel gerubriceerd worden. Voor zo’n verwerkingsregister zijn Excel sheets in omloop.

Juridisch zijn een aantal punten van belang:
wijs privacy officer/functionaris gegevensverwerking (FG) aan;
instrueer personeel over gebruik usb, wachtwoord, dropbox, google/Gmail etc. en laat medewerkers tekenen dat ze zich zullen houden aan de daarvoor beschikbare procedures, ook indien het fout gaat, bijv. bij verlies van data.
stel model verwerkingsovereenkomsten op t.b.v. externe actoren van MKB;
stel privacy en cookie statement op t.b.v. website, Facebook, Twitter, Instagram;
zorg in opdrachtbevestiging dat klanten expliciet gewezen worden op gebruik van persoonsgegevens voor nieuwsbrief, seminars en dat ze daarvoor toestemming dienen te geven (via vinkje, in algemene voorwaarden die expliciet geaccepteerd dienen te worden of / ‘voor akkoord’ bij handtekening opdrachtbevestiging).

Door zich als bedrijf aan deze regels te houden, wordt voorkomen dat uiteindelijk een boete kan worden opgelegd bij overtreding.

zorg voor een systeem, waaruit blijkt dat niet-klanten expliciet akkoord gaan met mailing voor nieuwsbrieven, seminars. Beheer zelf (email-)adressenbestand;
Formuleer (en communiceer intern) een procedure meldplicht datalekken en Protocol bij datalek, incl. logging security incidenten.

Bron: Actuele Artikelen                                               

Rechtspraak gereed voor de AVG

De Rechtspraak behandelt persoonsgegevens vertrouwelijk en beveiligt die gegevens conform de bepalingen uit de AVG en – als het om strafzaken gaat – de Richtlijn gegevensbescherming politie.

De Rechtspraak is klaar voor de Algemene Verordening Gegevensbescherming (AVG). Privacy van betrokkenen bij de rechtspraak is van groot belang. In een zaaksdossier staan vaak bijzondere en gevoelige persoonsgegevens, die noodzakelijk zijn voor een goede rechtspleging.

Het is van belang dat betrokkenen in rechtszaken zonder terughoudendheid hun verhaal kunnen doen en niet bang hoeven te zijn dat de informatie in verkeerde handen valt. De Rechtspraak behandelt persoonsgegevens daarom vertrouwelijk en beveiligt die gegevens conform de bepalingen uit de AVG en – als het om strafzaken gaat – de Richtlijn gegevensbescherming politie.

Landelijk verwerkingsregister

In het kader van de Wet bescherming persoonsgegevens (Wbp) had de Rechtspraak al maatregelen genomen, zoals een procedure meldplicht datalekken en de benoeming van een functionaris voor de gegevensbescherming. In het kader van de AVG is nu ook een landelijk privacybeleid vastgesteld, een privacy governance ontworpen (de wijze waarop dit onderwerp bestuurlijk is belegd) en een privacyverklaring
opgesteld. Alle persoonsgegevens die in de landelijke IT-systemen worden geregistreerd, zijn in kaart gebracht in een landelijk verwerkingsregister. Ook de gerechten hebben geanalyseerd welke registraties van persoonsgegevens met welk doel worden bijgehouden.

Rechten betrokkenen

Voor personen die willen weten welke persoonsgegevens de rechtspraak heeft geregistreerd of die willen wijzigen of wissen is 1 procedure afgesproken die alle gerechten en diensten hanteren. Zij kunnen een verzoek indienen aan de hand van een formulier en dat naar het gerecht sturen waar hun zaak heeft gediend of naar de Raad voor de rechtspraak. Gezien de gevoeligheid van de geregistreerde persoonsgegevens kan pas inzage worden gegeven als men zich in persoon heeft geïdentificeerd in een van de gerechtsgebouwen. Deze extra maatregel bij de Rechtspraak is nodig om misbruik te voorkomen. Als het verzoek betrekking heeft op een rechtszaak dan zijn de rechten beperkt. Zo is het niet mogelijk een afschrift te vragen van het gehele dossier, de inhoud van de rechtszaak te corrigeren of zich tegen de inhoud te verzetten met een beroep op de privacyrechten binnen de AVG. Hiervoor is de rechterlijke procedure bedoeld.

Toezicht

Onderdeel van de invoering van de AVG is de speciale regeling toezicht op de verwerking van persoonsgegevens in de rechtspraak. Dat toezicht is op grond van de AVG niet belegd bij de Autoriteit Persoonsgegevens (AP), maar moet door de Rechtspraak in alle Europese landen zelf ingericht worden. Voor de gerechten (rechtbanken, gerechtshoven en Hoge Raad) is dat toezicht belegd bij de procureur-generaal van de Hoge Raad. Voor de bestuursrechtelijke colleges (Afdeling bestuursrechtspraak Raad van State, Centrale Raad van Beroep en het College van Beroep voor het bedrijfsleven) is het toezicht belegd bij de nieuw ingestelde ’AVG-commissie bestuursrechtelijke colleges‘. Klachten over gegevensverwerking in het kader van de uitoefening van gerechtelijke taken kan men dus bij 1 van deze toezichthouders indienen. De AP neemt alleen nog maar klachten over gegevensverwerking in het kader van de bedrijfsvoering in behandeling. Deze regeling is bedoeld om de onafhankelijkheid van de rechterlijke macht bij de uitoefening van haar rechterlijke taken te waarborgen.

Blijvende aandacht

De Rechtspraak houdt privacybescherming op de kaart. Belangrijke uitdaging is het zo veel mogelijk beperken van de toegang tot gegevens. In dat kader worden het komende jaar de autorisaties van medewerkers en de systemen van de Rechtspraak aangepast. Ook blijft er permanent aandacht voor het vergroten van bewustzijn van medewerkers als het gaat om de omgang met persoonsgegevens.

Bron: de Rechtspraak