De AVG is sinds 2018 van kracht. Nu, vier jaar later, zijn er nog steeds veel onduidelijkheden als het op AVG-proof werken aankomt. Niet alleen bij organisaties als die van u, maar zelfs bij de partij die de AVG handhaaft in Nederland: de Autoriteit Persoonsgegevens. Een goed voorbeeld hiervan is de onterechte boete die VoetbalTV kreeg. Dit soort voorvallen maken pijnlijk duidelijk hoe belangrijk het is om de AVG aantoonbaar op orde te hebben binnen uw organisatie, zodat u soortgelijke situaties direct in de kiem kunt smoren.

VoetbalTV en de AP

VoetbalTV is de laatste twee jaar regelmatig in het nieuws geweest. Het videoplatform voor amateurvoetbal kreeg van de Autoriteit Persoonsgegevens (AP) een bestuurlijke boete opgelegd van maar liefst € 575.000, omdat er onrechtmatig persoonsgegevens zouden worden verwerkt. Volgens de AP had VoetbalTV hier vanuit de AVG geen ‘gerechtvaardigd belang’ bij. Dit oordeel uit 2020 was echter onterecht en is afgelopen maand teruggedraaid door de Afdeling bestuursrechtspraak van de Raad van State. Als juristen vragen we ons dan toch af hoe dit heeft kunnen gebeuren.

“De AVG is een Europese privacywet, waardoor in heel Europa dezelfde privacyregels gelden. Toch trekt de Autoriteit Persoonsgegevens een eigen plan door zelf te bepalen wat wel/geen gerechtvaardigd belang kan zijn. Dat is helemaal nergens voor nodig: in de AVG staat het juist precies beschreven. Het hele doel van zo’n Europese wet is om ervoor te zorgen dat er geen twijfels meer over kunnen ontstaan.”
– mr. Benedikt Marijnen, Waveland European Lawyers

Wanneer vraagt u toestemming?

Om deze vraag te beantwoorden, is het belangrijk om vooraf in kaart te brengen of het nodig is om persoonsgegevens op te slaan. Oftewel, heeft u deze persoonsgegevens nodig om uw contract uit te voeren? Als dat het geval is, mag u de persoonsgegevens verwerken (opslaan, etc.). Is dit niet het geval, dan is het aan u om toestemming te vragen. Dit geldt zowel voor de zorg als voor ieder ander type organisatie in Europa. Zorg er daarom voor dat u deze vraag heeft afgewogen en dat u uw antwoord (beleid) kunt verantwoorden, mocht de AP langskomen voor een controle.

In de zakelijke wereld

Als uw organisatie actief is in de zakelijke wereld heeft u al snel belang bij het opslaan van de persoonsgegevens als dat nodig is om uw contract uit te voeren. VoetbalTV is hier een goed voorbeeld van, omdat zij een contract hebben met de amateurverenigingen. Verenigingen geven VoetbalTV namelijk de opdracht om de amateurwedstrijden te filmen, zodat deze kunnen worden teruggekeken en geanalyseerd. Het is vervolgens aan de voetbalvereniging zelf om goedkeuring te krijgen van hun spelers en/of de ouders van hun spelers, maar die vraag hoeft niet bij VoetbalTV te liggen.

In de zorg

Zoals we eerder ook schreven in de blog ‘Moet een zorgverlener toestemming vragen om persoonsgegevens op te slaan?’ is het bijhouden van medische gegevens toegestaan voor de behandelende zorgverlener. De reden is simpel: zodra de patiënt zich door de zorgverlener laat behandelen, ontstaat er door de WGBO (Wet Geneeskundige Behandelovereenkomst) een behandelcontract. Op basis van dit contract mag de zorgverlener de persoonsgegevens opslaan. Sterker nog: als de patiënt hier bezwaar tegen maakt, kan de zorgverlener geen zorg verlenen en stoppen zowel de behandeling als het contract.

Hulp nodig bij de AVG?

Merkt u dat er binnen uw organisatie nog veel vraagtekens zijn als het om de AVG gaat? Dan biedt het online Waveland portaal voor de AVG alle hulp die u nodig heeft. Onze juristen staan daarnaast voor u klaar om u van passend advies te voorzien over de beste AVG-aanpak voor uw (zorg)organisatie. Meld u hieronder aan voor een gratis demo van ons portaal en maak kosteloos kennis met de voordelen van Waveland.