Dit artikel legt eerst de link tussen transparantie en regie van burgers (betrokkenen) op hun persoonsgegevens. Daarna worden de onderdelen uit de Algemene verordening gegevensbescherming (AVG) uitgelicht met betrekking tot transparantie en wordt beschreven waaraan verwerkingsverantwoordelijken moeten voldoen. Bijzondere aandacht gaat daarbij uit naar de privacyverklaring op de website. Daarbij worden de richtsnoeren van de Artikel 29-werkgroep behandeld.
Tot slot trekt dit artikel conclusies en beschrijft het knelpunten en aanbevelingen.
1 Inleiding
Met ingang van 25 mei 2018 is de AVG van toepassing.Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG. Sindsdien geldt niet langer de Wet bescherming persoonsgegevens.Wetsvoorstel Uitvoeringswet Algemene verordening gegevensbescherming, Kamerstukken II 2017/18, 34851; Kamerstukken I 2017/18, 34851. De AVG moet de bescherming van persoonsgegevens in de lidstaten van de Europese Unie verder versterken en harmoniseren. De gedachte vanuit de Europese Unie is dat sterkere waarborgen omtrent de bescherming van persoonsgegevens onder meer het vertrouwen in de digitale omgeving en nieuwe vormen van dienstverlening stimuleren.
De boetes op het niet naleven van de verplichtingen uit de AVG kunnen oplopen tot € 20 000 000 of 4% van de totale (wereldwijde) jaaromzet van de overtreder in het voorgaande boekjaar.
De verordeningstekst introduceert ‘beginselen inzake verwerking van persoonsgegevens’. Een van die beginselen is ‘transparantie’.
2 Transparantie en regie op persoonsgegevens
Het recht op privacy is een grondrecht. Het gaat daarbij zowel om bescherming van de persoonlijke levenssfeerArt. 7 Handvest van de grondrechten van de Europese Unie, art. 8 Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (EVRM), art. 17 Internationaal Verdrag inzake burgerrechten en politieke rechten (IVBPR) en art. 10 lid 1 Grondwet. als van persoonsgegevensArt. 8 lid 1 Handvest van de grondrechten van de Europese Unie en art. 16 lid 1 Verdrag betreffende de werking van de Europese Unie (VWEU).. Om dat recht te kunnen uitoefenen, moet de betrokkene (de ‘geïdentificeerde of identificeerbare natuurlijke persoon’) wel weten dát, door wie en waarom zijn of haar persoonsgegevens worden verwerkt. Met andere woorden: er is transparantie nodig in de verwerking van persoonsgegevens. Dit is van belang voor betrokkenen, zijnde consumenten, patiënten et cetera, afhankelijk van de soort verwerking. Hierna wordt voor de leesbaarheid ook wel algemeen gesproken over burgers.
Voorgaande sluit aan bij het regeerakkoord van het huidige kabinet. In het regeerakkoord staat dat de regie op persoonsgegevens wordt vergroot.Vertrouwen in de toekomst. Regeerakkoord 2017-2021, 2017, p. 8. Regie hangt samen met transparantie; regie kan pas adequaat worden uitgeoefend als de burger duidelijk inzicht heeft in de verwerking van zijn of haar persoonsgegevens.
In het regeerakkoord wordt op transparantie verder niet ingegaan. Te lezen valt dat gebruikers van overheidsdiensten de mogelijkheid krijgen zelf maatschappelijk relevante instanties en organisaties aan te wijzen waaraan persoonsgegevens kunnen worden verstrekt. Schijnbaar wordt hier (onder meer) gedoeld op de verstrekking van persoonsgegevens door gemeenten uit de basisregistratie personen (BRP, dé basisregistratie van persoonsgegevens).Art. 39 en bijlage 4 Besluit basisregistratie personen.
Uit verschillende onderzoeken volgt dat burgers van Nederland de regie op hun persoonsgegevens momenteel niet goed kunnen uitvoeren.
Uit onderzoek in opdracht van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties naar inzage met betrekking tot overheden blijkt dat burgers behoefte hebben aan meer informatie over welke persoonsgegevens de overheid registreert, gebruikt en verstrekt. Ook blijkt dat veel Nederlanders niet op de hoogte zijn van hun recht op inzage in de persoonsgegevens die organisaties over hen registreren.Berenschot, Onderzoek inzage persoonlijke gegevens, 2017, bijlage bij de brief van de Minister van Binnenlandse Zaken en Koninkrijksrelaties van 11 september 2017, 2017-0000296076.
Enkele dagen voor het regeerakkoord zond de Minister van Veiligheid en Justitie, mede namens de Minister van Binnenlandse Zaken en Koninkrijksrelaties, aan de Tweede Kamer het rapport ‘De bescherming van persoonsgegevens. Acht Europese landen vergeleken’.WODC, De bescherming van persoonsgegevens. Acht Europese landen vergeleken, Den Haag: Sdu 2017, bijlage bij de brief van de Minister van Veiligheid en Justitie van 5 oktober 2017, Kamerstukken II 2017/18, 32761, 115. Hierin beschrijven de auteurs ervan de toegenomen zorg van burgers om hun (online) privacy. Voor wat betreft transparantie volgt uit het rapport dat deze in alle landen, waaronder Nederland, laag is. Gesignaleerd wordt dat teksten met informatie vaak lang en complex zijn, waardoor burgers ze dikwijls al niet lezen en anders moeilijk kunnen begrijpen. Nederlanders scoren nog iets lager dan het gemiddelde in de Europese Unie voor wat betreft het percentage mensen dat de gehele tekst leest: 9% tegenover 11%. Er wordt verwezen naar een ander onderzoek waaruit blijkt dat burgers bereid zijn één tot vijf minuten te besteden aan dergelijke informatie. De auteurs wijzen ook op de keerzijde dat wanneer een tekst op vereenvoudigde wijze wordt weergegeven, deze vaak weer niet adequaat is.
Opgemerkt wordt dat de AVG wel een aantal zaken zal verstevigen.
3 Transparantie in de AVG
3.1 Verplichtingen uit de verordeningstekst
Het transparantiebeginsel houdt in dat persoonsgegevens moeten worden verwerkt op een wijze die ten aanzien van de betrokkene transparant is.Art. 5 AVG. Bij het transparantiebeginsel gaat het om:
- informeren van de betrokkene (actief);
- uitvoeren van de rechten van betrokkenen (veelal reactief);
- vorm en taal van informeren en communiceren.Overweging 39 AVG.
Deze verplichtingen gelden voor de verwerkingsverantwoordelijke (degene die het doel en de middelen voor de verwerking van persoonsgegevens vaststelt).
- Informeren van de betrokkene; inhoud
Wanneer de verwerkingsverantwoordelijke persoonsgegevens bij de betrokkene zelf verkrijgt, moet de verwerkingsverantwoordelijke uit eigen beweging bepaalde informatie verstrekken. Het gaat onder meer om de identiteit van de verwerkingsverantwoordelijke en informatie over doel en rechtsgrond van de verwerking en vermelding van de rechten van de betrokkene.Art. 13 AVG. Op de informatieplicht geldt alleen een uitzondering ‘wanneer en voor zover de betrokkene reeds over de informatie beschikt’.
Het moment van informatieverstrekking is bij de verzameling bij de betrokkene.
De verplichting geldt ook voor bijvoorbeeld het verkrijgen van persoonsgegevens via een website, waarbij niet alleen gedacht kan worden aan een contactformulier maar ook aan persoonsgegevens die worden verkregen door het enkele bezoeken van de website. Daarbij gaat het om bezoek- en loggegevens die ook persoonsgegevens zijn of samen met andere gegevens als persoonsgegevens zijn aan te merken, zoals IP-adressen en (identificatie)- cookies.Zie ook overweging 30 AVG.
Informeren kan door middel van een privacyverklaring, hierna meer hierover. Wanneer de verwerkingsverantwoordelijke niet bij de betrokkene zelf, maar op andere wijze zijn persoonsgegevens verkrijgt, geldt ook een informatieplicht waarbij de verwerkingsverantwoordelijke onder meer bovengenoemde informatie moet verstrekken. Op deze informatieplicht geldt eveneens de uitzondering ‘wanneer en voor zover de betrokkene reeds over de informatie beschikt’, maar ook de uitzonderingen dat informatieverstrekking onmogelijk blijkt of onevenredig veel inspanning zou vergen, het verkrijgen of verstrekken van de gegevens uitdrukkelijk wettelijk is voorgeschreven of dat de persoonsgegevens vertrouwelijk moeten blijven uit hoofde van een wettelijk beroepsgeheim.Art. 14 AVG.
Het moment van informatieverstrekking is binnen een redelijke termijn, maar uiterlijk binnen één maand na verkrijging van de persoonsgegevens. Indien de persoonsgegevens worden gebruikt voor communicatie met de betrokkene moet de verwerkingsverantwoordelijke uiterlijk op het moment van eerste contact met de betrokkene de informatie verstrekken. Ook moet de verwerkingsverantwoordelijke de betrokkene informeren op het tijdstip van eerste gegevensverstrekking aan een andere ontvanger. Zowel bij het verkrijgen van persoonsgegevens van de betrokkene zelf als op andere wijze geldt dat wanneer de verwerkingsverantwoordelijke voornemens is de persoonsgegevens verder te verwerken voor een ‘ander doel’, hij de betrokkene vooraf daarover moet informeren.
- Uitvoeren van de rechten van betrokkenen
De AVG geeft de betrokkene het recht van inzage, recht op rectificatie, recht op gegevenswissing, recht op beperking van de verwerking (‘blokkering’), recht op overdraagbaarheid van gegevens (‘dataportabiliteit’), recht van bezwaar en het recht niet te worden onderworpen aan geautomatiseerde individuele besluitvorming (waaronder profilering).Art. 15-22 AVG.
Voor al deze rechten geldt ten aanzien van de termijn en wijze van uitvoering van de rechten het volgende. De verwerkingsverantwoordelijke moet de informatie onverwijld verstrekken, in geval van een elektronisch verzoek indien mogelijk elektronisch en het verstrekken van informatie en communicatie en het eventueel treffen van maatregelen moet in beginsel kosteloos gebeuren.Art. 12 AVG. Deze punten worden hierna nader uitgewerkt.
Voor wat betreft termijn spreekt de verordeningstekst over ‘onverwijld en in ieder geval binnen een maand’. Voor wat betreft wijze staat er dus dat wanneer de betrokkene zijn verzoek elektronisch indient, de verwerkingsverantwoordelijke de informatie ‘indien mogelijk’ ook elektronisch moet verstrekken, tenzij de betrokkene anderszins verzoekt. Specifiek in geval van verzoeken tot inzage geldt dat de verwerkingsverantwoordelijke bij een elektronisch verzoek de informatie tenzij anders verzocht ‘in een gangbare elektronische vorm’ moet verstrekken. De overwegingen van de verordening vermelden dat de verwerkingsverantwoordelijke ook moet voorzien in elektronische indiening van verzoeken, vooral wanneer persoonsgegevens elektronisch worden verwerkt.Overweging 59 AVG. En dat de verwerkingsverantwoordelijke ‘indien mogelijk’ op afstand toegang moet kunnen geven tot een beveiligd systeem waarop de betrokkene direct zijn persoonsgegevens kan inzien.Overweging 63 AVG. Deze zaken uit de overwegingen komen echter in de verordeningstekst niet terug, onduidelijk is nog wat dit betekent. De praktijk van aanwijzingen van nationale autoriteiten en eventueel rechterlijke uitspraken zal moeten uitwijzen of en in welke gevallen verwerkingsverantwoordelijken moeten voorzien in elektronische uitvoering van rechten van betrokkenen.
Voor wat betreft kosten kan de verwerkingsverantwoordelijke van het uitgangspunt kosteloos afwijken indien het verzoek kennelijk ongegrond of buitensporig is, met name vanwege het repetitieve karakter. In dat geval mag de verwerkingsverantwoordelijke wel een ‘redelijke vergoeding’ rekenen, waarbij niet nader is bepaald wat deze dan inhoudt. Ook kan de verwerkingsverantwoordelijke dan weigeren gevolg te geven aan het verzoek. Het uitgangspunt kosteloos is een aanzienlijke wijziging ten opzichte van de situatie onder de Wet bescherming persoonsgegevens.
- Vorm en taal bij informeren en communiceren
Bij het transparantiebeginsel hoort dat ook de vorm en taal transparant zijn: de verwerkingsverantwoordelijke moet informatie en communicatie verstrekken ‘in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal’. Dit geldt zowel voor het actief informeren van betrokkenen als het uitvoeren van de rechten van betrokkenen.
De verordening besteedt op diverse plekken specifiek aandacht aan de bescherming van kinderen. Zo vermelden de overwegingen dat wanneer de verwerking specifiek tot een kind is gericht, de informatie en communicatie in een zodanig duidelijke en eenvoudige taal dienen te worden gesteld dat het kind deze makkelijk kan begrijpen.Overweging 58 AVG.
Verder wordt in het algemeen gewezen op gestandaardiseerde icoontjes, indien van toepassing machineleesbaar. De Europese Commissie is bevoegd te zorgen voor gestandaardiseerde icoontjes in de zin van de AVG.Overweging 60 en art. 12 lid 7 en 8 AVG. Hierover de Europese Commissie adviseren is een van de taken van het Comité (zie hierna).Art. 70 lid 1 sub r AVG. Op dit moment bestaan echter helaas nog niet zozeer universele gestandaardiseerde icoontjes, zo erkent ook de Artikel 29-werkgroep (zie hierna).
Tot slot kan in het kader van transparantie ook het register van verwerkingsactiviteiten genoemd worden. Een dergelijk register is in beginsel (uitzonderingen daargelaten) verplicht voor elke verwerkingsverantwoordelijke en verwerker (degene die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt). Hierin moeten zij alle verwerkingen van persoonsgegevens in de organisatie documenteren.Art. 30 AVG. De inventarisatie en vastlegging door de organisatie zal vermoedelijk ook bijdragen aan een goed beeld van de verwerkingen en communicatie daarover naar betrokkenen.
3.2 Richtsnoeren omtrent transparantie (algemeen)
De Artikel 29-werkgroep, voorheen het onafhankelijk advies- en overlegorgaan van Europese privacytoezichthouders, heeft richtsnoeren (guidelines) gepubliceerd omtrent het transparantiebeginsel.Article 29 Data protection working party, Guidelines on transparency under Regulation 2016/679, 2017 & 2018. Onder de AVG is de opvolger het European Data Protection Board: het Europees Comité voor gegevensbescherming (Comité). Het Comité heeft als taak ervoor te zorgen dat de AVG consequent wordt toegepast. Daartoe kan zij, net als de Artikel 29-werkgroep, richtsnoeren uitvaardigen.Art. 70 lid 1 sub e AVG. Deze zijn rechtstreeks voor verwerkingsverantwoordelijken bedoeld.
In de richtsnoeren beschrijft de Artikel 29-werkgroep transparantie als een uiting van het principle of fairness zoals opgenomen in het Handvest van de grondrechten van de Europese Unie.
In de richtsnoeren wordt invulling gegeven aan het transparantiebeginsel en worden best practices gegeven. Dit betreft onder meer zeer concrete aanbevelingen voor wat betreft lay-out van de informatie en taalgebruik. Voor wat betreft dit laatste geldt weer dat de taal eenvoudig en duidelijk moet zijn, maar ook onder meer dat geen vakjargon wordt gebruikt en dat in de actieve (niet lijdende) vorm wordt geschreven.
Opvallend is dat de volgende beschrijvingen niet duidelijk worden geacht: ‘nieuwe diensten’, ‘onderzoeksdoeleinden’ en ‘gepersonaliseerde diensten’. Aangezien dit passages zijn die veelvuldig voorkomen in kennisgevingen van verwerkingsverantwoordelijken, zullen veel organisaties hun formulering moeten aanpassen alsook specificeren waar het om gaat.
Ook is noemenswaardig dat de aanbeveling wordt gedaan om naast de in de verordeningstekst vereiste informatie, de betrokkene te informeren over de belangrijkste consequenties van de verwerking.
3.3 Nader bekeken: de privacyverklaring op de website (specifiek)
Op een aantal plaatsen in voornoemde richtsnoeren gaat de Artikel 29-werkgroep in op het informeren van betrokkenen door organisaties via hun website. De kennisgeving aan betrokkenen wordt, zeker wanneer die via een website gebeurt, ook wel aangeduid als de privacyverklaring, of (in het Engels) privacy statement of privacy notice. Het kán daarbij gaan om informatie die gericht is tot het publiek, waarbij organisaties betrokkenen niet adequaat en begrijpelijk een-op-een kunnen informeren en om die reden de informatie over de gegevensverwerking via een website verstrekken, denk aan aanbieders van onlineadvertenties.Overweging 58 AVG. Maar dus ook om informatie die ziet op het verzamelen van persoonsgegevens als gevolg van het bezoeken van de website zelf en eventueel het invullen van een contactformulier of op andere wijze toesturen van persoonsgegevens door de betrokkene.
Uit de richtsnoeren is een aantal specifieke concrete aanbevelingen af te leiden voor de privacyverklaring op de website.
Zo moet op elke pagina van de website een link staan naar de kennisgeving. De benaming van de kennisgeving moet een gebruikelijke term zijn, zoals eenvoudigweg privacy of een term als hiervoor genoemd. De link moet duidelijk zichtbaar zijn door middel van bijvoorbeeld positionering of kleur.
Daarbij wijst de Artikel 29-werkgroep op gebruik van een gelaagde privacyverklaring: een kennisgeving die bestaat uit meerdere lagen, waarbij in de eerste laag een overzicht staat van de onderwerpen waarop men kan klikken om de inhoud te zien. In de eerste laag moeten ook al direct de zaken staan die de meeste impact hebben op de betrokkene, zo ook die de betrokkene niet direct kan verwachten, zoals verwerkingsdoelen die verder van het oorspronkelijke doel afstaan. Daarmee moeten voor de betrokkene de consequenties van de verwerking duidelijk zijn.
Verder noemt de Artikel 29-werkgroep gebruik van een privacydashboard (‘pull notice’) of just-in-time notice (‘push notice’). Op een privacydashboard kan een betrokkene zowel informatie krijgen als waar mogelijk privacy-instellingen ingeven. Met een just-in-time notice wordt bedoeld dat bij een specifiek onderdeel informatie wordt gegeven over de verwerking van persoonsgegevens. Bijvoorbeeld dat bij een contactformulier per in te vullen veld informatie wordt gegeven, mogelijk in een pop-upvenster. Op die manier wordt informatie direct in de context gegeven, wanneer het voor de betrokkene het meest relevant is.
4 Concluderende opmerkingen
4.1 Conclusies
Voor burgers is het van belang om hun rechten te kunnen uitoefenen, om ‘regie’ te krijgen over hun persoonsgegevens zoals ook in het regeerakkoord staat. Om te bewerkstelligen dat burgers hun rechten adequaat kunnen uitoefenen, zijn kennis van de privacyrechten, wetenschap van de organisaties die persoonsgegevens verwerken en inhoudelijk meer zeggenschap vereist.
Het transparantiebeginsel brengt onder meer regels mee voor het informeren van betrokkenen. Een verwerkingsverantwoordelijke moet steeds bekijken of en in welke gevallen hij informatie moet verstrekken. Daarbij moet hij voldoen aan de voorgeschreven elementen uit de verordeningstekst.
In dit artikel zijn ook de richtsnoeren van de Artikel 29-werkgroep op het gebied van transparantie behandeld. Voor verwerkingsverantwoordelijken zijn hiermee concrete handvatten aan te wijzen, waarop zij hun informatie richting betrokkenen (de privacyverklaring) AVG-proof kunnen maken.
De hoogte van de boetes uit de AVG zal een stevige stok achter de deur zijn voor verwerkingsverantwoordelijken om aan hun verplichtingen te voldoen.
Gezien voorgaande zal de AVG naar verwachting wel leiden tot meer informatieverstrekking aan burgers en in die zin zaken verstevigen.
4.2 Knelpunten
Het is goed om voor ogen te houden dat volledige transparantie pas wordt bereikt wanneer de inhoud van de informatie en communicatie volledig is en privacyrechten daadwerkelijk kunnen worden verwezenlijkt. Waarschijnlijk hebben veel organisaties zelf niet een totaalbeeld van waar persoonsgegevens zijn opgeslagen waarvoor zij verantwoordelijk zijn. Denk daarbij aan opslag in de cloud. Interessant is ook de opslag in back-ups, waarin de AVG geen onderscheid maakt. Het is voor verwerkingsverantwoordelijken dus aan te bevelen bij de inventarisatie welke persoonsgegevens zij waar hebben opgeslagen, al dan niet verplicht in het kader van een register van verwerkingsactiviteiten, hierover informatie in te winnen bij eventuele clouddienstverleners en andere dienstverleners die zij inschakelen. Ook is het raadzaam bij de keuze voor een dergelijke verwerker rekening te houden met de mogelijkheden tot opslag, verwijdering, correctie en inzage. Maar zelfs dan is de vraag of in de wereld van online data volledige doorzichtigheid in de verwerking van persoonsgegevens haalbaar is.
Een ander knelpunt is dat door de veelheid aan informatie die de verordeningstekst verplicht stelt, de privacyverklaringen wel erg lang kunnen worden, wat weer een averechts effect kan hebben. Meer algemeen zullen burgers misschien met zo veel, ook nog eens qua opmaak en inhoud verschillende, privacyverklaringen geconfronteerd worden dat zij ‘privacy moe’ worden en de teksten niet zullen lezen. Overigens laat dit onverlet dat burgers hierin uiteraard ook een eigen verantwoordelijkheid hebben.
4.3 Aanbevelingen
Het is voor alle verwerkingsverantwoordelijken aan te bevelen een zo volledig én eerlijk mogelijk beeld te geven en de meest recente richtsnoeren van de Artikel 29-werkgroep erbij te houden en op te volgen. Verwerkingsverantwoordelijken moeten ervoor zorgen dat de informatie en communicatie helder, eenvoudig en toegankelijk is. Dit klemt des te meer wanneer de informatie gericht is op kinderen, maar ook andere kwetsbare groepen zijn denkbaar, zoals personen die om wat voor reden ook moeilijkheden hebben in de toegang tot of het opnemen van informatie. Organisaties moeten dus hun doelgroep goed voor ogen hebben en hun informatie daarop aanpassen.
Het gebruik van een gelaagde privacyverklaring en wanneer aan de orde gestandaardiseerde iconen lijken goede aanbevelingen om burgers niet te veel te vermoeien en zaken herkenbaar te houden, zeker wanneer het lezen van de privacyverklaring meer dan enkele minuten kost.
Tot slot moeten verwerkingsverantwoordelijken alert zijn op de rechten van betrokkenen en ervoor zorgen dat er procedures zijn om deze rechten te kunnen uitvoeren, zoals het voldoen aan een inzageverzoek of het gericht wijzigen of wissen van bepaalde gegevens.
Specifiek voor de overheid zijn nog een aantal acties aan te bevelen. Zo kan de overheid meer bekendheid geven aan de rechten die burgers hebben omtrent hun persoonsgegevens. Ook kan de overheid bewerkstelligen dat burgers (tot een bepaalde hoogte) zelf kunnen bepalen met wie de gegevens worden gedeeld, onder meer door gemeenten. Daarbij is van belang dat burgers goed worden geïnformeerd over het doel en de gevolgen van verstrekkingen, waarbij op de risico’s wordt gewezen, maar ook op de kansen (efficiency, snelheid, kostenbesparing). Op die manier kan de burger zijn afweging beter maken. Vanzelfsprekend moet de gegevensverstrekking altijd met voldoende waarborgen en beveiliging omkleed zijn. De overheid kan, voor zover het overheidsorganisaties betreft, ook meer en beter informeren over de instellingen die persoonsgegevens van burgers verwerken.
Wanneer organisaties inclusief overheid hun verantwoordelijkheid op het gebied van transparantie nemen, komt dit hopelijk ten goede aan het vertrouwen van de burger in het (digitaal) gebruik van zijn gegevens en daarmee aan technologische ontwikkelingen.