Welke verantwoordelijkheden brengt de AVG met zich mee voor de GA?

De zes beginselen van de AVG brengen veel verantwoordelijkheden, rechten en plichten met zich mee. Zowel voor u als voor ons, maar ook voor de klant en derde partijen zijn er zaken die aandacht verdienen. Wij vroegen onze jurist Kaoutar el Abbassi om u stap voor stap mee te nemen in een aantal belangrijke thema's.

Verwerkingsverantwoordelijkheid van de GA

In de praktijk kan het soms lastig zijn om te bepalen of een partij als verwerker of als verwerkingsverantwoordelijk moet worden aangemerkt. Kaoutar legt uit hoe het zit "de verwerkingsverantwoordelijke is degene die het doel en de middelen voor de verwerking van persoonsgegevens vaststelt. De verwerker verwerkt persoonsgegevens ten behoeve van de verwerkingsverantwoordelijke. Een handig hulpmiddel om de beoordeling te doen is de voorbeeldlijst die de AP heeft gepubliceerd".

De borging van de AVG heeft in het verleden voor onduidelijkheid gezorgd bij de vraag of de GA als verwerker of als verwerkingsverantwoordelijke wordt aangemerkt. Inmiddels is de rolverdeling binnen de AVG duidelijk. Kaoutar legt uit; "Ondanks dat het gaat om uitbesteding worden beide partijen als verwerkingsverantwoordelijke van klantdata aangemerkt. Dat betekent dat beide partijen moeten voldoen aan alle verplichtingen die op grond van de AVG op een verwerkingsverantwoordelijke rusten. Schakelt u bijvoorbeeld een andere organisatie in om persoonsgegevens voor u te verwerken? Dan blijft u altijd verantwoordelijk voor de persoonsgegevens die door die andere organisatie worden verwerkt en zort u ervoor dat afspraken over de gegevensverwerking in een ‘verwerkersovereenkomst’ worden vastgelegd. Daarbij sluit u inhoudelijk aan bij wat er tussen u en ons over verwerking van persoonsgegevens is afgesproken in de Samenwerkingsovereenkomst. Zo sluit u onder andere uit dat de andere partij de persoonsgegevens voor eigen doelen mag verwerken."

Verwerkingsregister Als verwerkingsverantwoordelijke bent u verplicht een verwerkingsregister bij te houden. Dit is een belangrijk document want het is noodzakelijk om te kunnen voldoen aan het aantoonbaarheidsvereiste. In het verwerkingsregister neemt u de volgende gegevens op:

Informatieplicht Eén van de rechten van betrokkenen volgens de AVG is het recht op informatie. Betrokkenen hebben recht op heldere en volledige informatie over welke persoonsgegevens worden verwerkt, voor welk specifiek doel en of de persoonsgegevens door u worden gedeeld met derden. In de praktijk is een online privacyverklaring een geschikte manier om aan de informatieverplichting te voldoen. De AVG stelt wel een aantal eisen waar een privacyverklaring aan moet voldoen. De informatie over de gegevensverwerking moet beknopt, transparant en begrijpelijk zijn. Wees kort en bondig, vermijd vaktermen en verplaats u in de lezer. Op de website van de AP staat een opsomming van informatie die in ieder geval in de privacyverklaring te vinden moet zijn.

Bewaartermijnen De AVG kent geen concrete bewaartermijnen. De concrete bewaartermijnen worden steeds door de verwerkingsverantwoordelijke vastgesteld, waarbij telkens een belangenafweging plaatsvindt tussen het verwerkingsdoel en een mogelijk gevolg voor de betrokkene. Als de bewaartermijn van persoonsgegevens voorbij is dan moeten de persoonsgegevens worden verwijderd. Als verwerkingsverantwoordelijke stelt u concrete bewaartermijnen vast en zorgt u dat er aantoonbare schoning plaatsvindt.

Bijzondere persoonsgegevens Bijzondere categorieën persoonsgegevens zijn vanwege hun aard gevoelige persoonsgegevens en worden door de wetgever extra beschermd. Deze persoonsgegevens kunnen bijvoorbeeld informatie geven over iemands gezondheid. Letselschades worden altijd door ons behandeld. U mag zelf geen medische gegevens verwerken. Bij het behandelen van letselschadeclaims worden gezondheidsgegevens verwerkt. Deze informatie is alleen toegankelijk voor een beperkte groep geautoriseerde functionarissen. Het schadedossier mag geen medische informatie vanuit de behandelende sector bevatten (artsen, fysiotherapeuten, medisch specialisten e.d.). Deze informatie mag uitsluitend door de medische dienst worden verwerkt volgens de Medisch Paragraaf vanuit de Gedragscode Behandeling Letsel (GBL). In het technisch dossier mogen wel medische adviezen van de medische dienst worden opgenomen. Gelet op de privacy van betrokkenen kunnen wij u bij een vraag over een letselschadeclaim niet altijd alle gegevens verstrekken. We kunnen u bijvoorbeeld wel informatie geven over de aansprakelijkstelling, de op te nemen reserve, de actuele reserve, de betalingsopdracht, de begunstigde, het rekeningnummer, maar wij kunnen geen inhoudelijke mededelingen doen over het letsel of de schadecomponenten.

Rechten van betrokkenen Om een eerlijke verwerking van persoonsgegevens te waarborgen geeft de AVG de betrokkene een aantal rechten:

Als verwekingsverantwoordelijke bent u verplicht om gehoor te geven aan deze rechten, tenzij er een dringende reden bestaat om dit niet te doen. U moet binnen een maand na ontvangst van het verzoek de betrokkene informeren over de uitvoering van het verzoek, ook als u besluit geen gehoor te geven aan het verzoek. U kunt de betrokkene ook vragen om een motivering. Dit is vaak raadzaam, omdat het verzoek hiermee concreter wordt, waardoor uw reactie beter aansluit bij de wens van de betrokkene en recht doet aan de rechten van betrokkenen

Kaoutar; “Let goed op, als u een andere organisatie inschakelt om persoonsgegevens te verwerken blijft u verantwoordelijk voor de persoonsgegevens"