Databases alleen als “package deal” met AVG-verantwoordelijkheid, maar hoe dan verder?

Written By Carja Mastenbroek

Dat persoonsgegevens waardevol zijn, weten veel mensen. Er wordt niet voor niets gezegd: ‘’data is the new oil’’: een waardevol en onontgonnen bezit. Vrijwel elke onderneming gebruikt persoonsgegevens, al is het alleen voor de registratie van klanten of personeel. Hierbuiten worden elke dag meer en meer toepassingen van data ontdekt. In tegenstelling tot olie is data een eindeloze bron van waarde. Zeker nu - in de coronacrisis - zijn ondernemers gedwongen creatief en inventief te denken, waardoor weer nieuwe gegevensverzamelingen en gebruiksvormen ontstaan. Denk aan het benaderen van klanten (e-mailing, targeted advertising) of gezondheidsinformatie registreren (horecabedrijven, dienstverlening als kappers/schoonheidsspecialisten) en ga zo maar door. Dit creëert een nieuwe bulk persoonsgegevens. Deze hoeveelheid persoonsgegevens mag niet uit het oog verloren worden. Zij blijven immers bestaan, maar blijven niet altijd onder dezelfde verantwoordelijke hangen.

Persoonsgegevens kunnen namelijk worden verkocht als onderdeel van een databank. Maar niet alleen bij de verkoop van databases “verplaatsen” de persoonsgegevens van de degene die de persoonsgegevens heeft verzameld naar een andere partij. Denk aan een herstructurering van een onderneming, waarbij persoonsgegevens opeens in een andere vennootschap vallen. Maar ook bij de verkoop van een (deel van een) onderneming, en bijvoorbeeld bij een faillissement waarbij persoonsgegevens in de boedel vallen van de failliete onderneming.

Persoonsgegevens worden soms “achteloos” aangeduid als een van de baten, of er wordt niet stilgestaan als de – voor een bepaald doel - verzamelde gegevens worden verkocht om een geheel ander doel te bereiken. Bij het overdragen van persoonsgegevens, verandert ook de verantwoordelijkheid om de privacybelangen van de betrokkenen te waarborgen: om aan de AVG te voldoen. Er borrelen bij zo’n exercitie veel privacy-vragen op.

Mogen ze wel verkocht of overgedragen worden? En wie gaat er dan over? Waar komen die persoonsgegevens eigenlijk vandaan? Kan alles zomaar vernietigd worden? Hoe zit het met HR-gegevens bij de overname van een bedrijf en haar werknemers? Moeten de betrokkenen toestemming geven of worden geïnformeerd? Hoe zit het met de producent van een databank? Heeft hij nog rechten t.a.v. de database? En wie is de eigenaar van de data eigenlijk?

In de hierboven genoemde situaties kan opeens verantwoordelijkheid over persoonsgegevens in de schoot van een nieuwe partij worden geworpen. Zonder dat daarbij iets van informatie over de databank wordt gegeven. Zij draagt dan een wettelijke verantwoordingsplicht. Als verantwoordelijke moet men onder andere aantonen dat de persoonsgegevens rechtmatig, transparant, behoorlijk, met welbepaalde doeleinden, niet overmatig, veilig, vertrouwelijk en integer worden verwerkt. En dat is een behoorlijk aansprakelijkheid.

De persoonsgegevens die primair waardevol waren, kunnen zo ook een last lijken. Als er opeens zo’n wisseling van de wacht is, is het van groot belang om te kijken naar hoe, wanneer en waarvoor de gegevens zijn verzameld. Wat u kan doen met de persoonsgegevens en onder welke voorwaarden, is allereerst afhankelijk van welke categorieën persoonsgegevens er zijn. Gaat het om bijzondere of gevoelige gegevens, zoals loonadministratie of BSN-nummers? Dan geldt een strenger wettelijk kader. Ten tweede is het afhankelijk van wat de originele doeleinden waren voor het gebruiken van die persoonsgegevens, en wat de grondslag daarvan was. Gaat het om een overname van een tijdschrift en gaat de nieuwe onderneming deze activiteiten voortzetten? Dan is het klantenbestand gevormd op basis van overeenkomsten met klanten, die doorlopen. Dit proces stroomlijnen zal niet zo veel voeten in de aarde hebben als wanneer persoonsgegevens voor een ander doel gebruikt gaan worden. Wordt er een klantenbestand van een telemarketeer overgekocht en is de bedoeling dat die gegevens worden gecombineerd met andere gegevens? Een dergelijk “nieuw” gebruik van gegevens moet een grondslag hebben.

Er gelden andere voorwaarden afhankelijk van of de soort persoonsgegevens, de doeleinden en de grondslag hetzelfde blijven, veranderen of dat de persoonsgegevens niet meer verwerkt zullen worden.

Let op dat u bij deze situaties kijkt naar zowel de privacyrechtelijke implicaties als de regels van het databankenrecht. Het gebruik van persoonsgegevens is een “package deal” met de wettelijke verplichtingen. Privacybelangen borgen is belangrijk niet alleen om boetes te vermijden en in lijn met de wet te werken, maar ook omdat een onderneming die transparant en goed omgaat met de privacy van betrokkenen haar waarde verhoogt en goodwill creëert.

Wees daarom precies en schroom niet om te graven naar informatie over de overgedragen persoonsgegeven. Verantwoording kunnen afleggen over het gebruik van persoonsgegevens is immers één van de kernpijlers van de AVG. Kennis is macht. Dat geldt niet alleen ten aanzien van alle nieuwe data-toepassingen, maar ook ten aanzien van de informatie over die persoonsgegevens.

De Autoriteit Persoonsgegevens biedt veel informatie om zelf een begin te maken en een wettelijk kader te schetsen. Om in te schatten of er uitgebreider advies nodig is of voor ad-hoc privacy vragen is het slim een interne of externe partij op speeddial te hebben. Zo is het mogelijk snel inzicht te krijgen in de privacyrechtelijke implicaties van de situatie en is achteraf gaten dichten te voorkomen.

Deze kennis hebben wij bij Good Law in huis. Denk aan:

  • Ad-hoc privacy advies;

  • Project begeleiding;

  • Privacy risico analyses;

  • In-house detachering;

  • En nog veel meer.

Voor meer informatie of om vrijblijvend te sparren over of wij iets voor u kunnen betekenen, schroom niet om telefonisch of per e-mail contact met ons op te nemen.

Carja Mastenbroek
Previous

To publish or not to publish
Next

De lookalike van PICNIC is geen “portret” van Verstappen