Home > Kennisbank > Privacyrecht > Verwerking van persoonsgegevens
Verwerking van persoonsgegevens: wanneer mag het?
In de creatieve sector wordt vaak gewerkt met persoonsgegevens, bijvoorbeeld van klanten, medewerkers of geportretteerden. Maar wanneer mag je deze gegevens eigenlijk verwerken? En waar moet je op letten als je persoonsgegevens van een ander verwerkt?
Wat zijn persoonsgegevens?
Met persoonsgegevens wordt alle informatie bedoeld, die direct of indirect te herleiden is naar een specifieke persoon. Denk aan namen, adressen, geboortedata, telefoonnummers, en e-mailadressen. Maar ook minder voor de hand liggende gegevens, zoals IP-adressen, stemopnamen of portretten waarop iemand herkenbaar is, vallen hieronder. Als je in de uitvoering van bedrijf, bijvoorbeeld als fotograaf, videograaf of filmproducent, foto's of opnamen maakt van personen, dan kom je al vaak met dit soort gegevens in aanraking. Maar ook als je gegevens ervan moet verwerken, omdat je bijvoorbeeld producten verzend aan je klanten of in opdracht van je klanten stationery maakt en deze laat printen, moet je rekening houden met de persoonsgegevens die je in deze context verwerkt.
​
Let op: Wat niet onder de noemer "persoonsgegevens" valt zijn bedrijfsgegevens, zoals een handelsnaam, zakelijke telefoonnummers of functies van personeel. Bedrijfsgegevens kunnen wel beschermd zijn, als het gaat om bedrijfsgeheimen. Dat is vertrouwelijke informatie die niet bedoeld is om met de buitenwereld, laat staan concurrentie, te delen. Deze informatie moet door medewerkers en relaties vertrouwelijk worden behandeld. Meestal wordt hiervoor een bepaling opgenomen in de arbeidsovereenkomst of opdrachtovereenkomst. Daarnaast worden hiervoor ook vaak geheimhoudingsverklaringen, zogenaamde NDA's, gebruikt. Hierin wordt meestal ook een boete opgenomen voor schending van de geheimhoudingsplicht.
Wat is een verwerking?
De verwerking van persoonsgegevens is een breed begrip en omvat alles wat je met die gegevens kunt doen. Dit varieert van het verzamelen, opslaan en raadplegen van gegevens tot het aanpassen, doorsturen, of verwijderen ervan. Zelfs het simpelweg bewaren van gegevens geldt als een verwerking. In de creatieve sector kan verwerking bijvoorbeeld plaatsvinden wanneer je een klantenbestand bijhoudt, foto's bewerkt of persoonsgegevens doorstuurt naar een opdrachtgever, bijvoorbeeld om je ontwerpen in opdracht van je klanten te laten afdrukken.
​​
​
In welke gevallen mag je gegevens verwerken?
Je mag persoonsgegevens alleen verwerken als je een geldige grondslag hebt. De Algemene Verordening Gegevensbescherming (AVG) noemt zes grondslagen, waarvan er drie vaak relevant zijn in de creatieve sector: toestemming, uitvoering van de overeenkomst en gerechtvaardigd belang. Andere grondslagen, zoals het beschermen van vitale belangen, het nakomen van een wettelijke verplichting of openbaar gezag, zijn minder vaak van toepassing in de creatieve sector, maar kunnen in sommige situaties relevant zijn.
​
1. Toestemming
​De betrokkene heeft expliciet toestemming gegeven voor een specifieke verwerking, bijvoorbeeld door akkoord te gaan met het gebruik van zijn of haar foto op een website. Deze toestemming kun je bijvoorbeeld verkrijgen door een cookiebanner te gebruiken op je website, waarbij een websitebezoeker toestemming geeft voor de verwerking van zijn of haar gegevens, of door een quitclaim te laten tekenen om toestemming te krijgen van geportretteerden.
​
Hi, ik ben Chiara!
Ik ben een creatieveling, net zoals jij! Ik help jou bij het voorkomen van conflicten door het veiligstellen van jouw rechten en het vastleggen van duidelijke afspraken.
2. Uitvoering van een overeenkomst
De verwerking is nodig voor de uitvoering van een overeenkomst. Denk hierbij aan het opslaan van klantgegevens om een dienst te kunnen verlenen, zoals het verzenden van een fotoboek na een fotoshoot, maar ook het laten afdrukken van ontworpen uitnodigingen waarop persoonsgegevens zijn vermeld, in opdracht van je klant of opdrachtgever. In dat geval moet je wel opletten dat je bij het delen van persoonsgegevens met een externe dienstverlener, zoals een drukkerij, een verwerkersovereenkomst nodig hebt.
​
3. Gerechtvaardigd belang
In sommige gevallen kan de verwerking nodig zijn vanwege een gerechtvaardigd belang. Het is hierbij belangrijk dat je zorgvuldig afweegt of jouw belang zwaarder weegt dan de privacy van de betrokkene. Dit is in de meeste situaties niet het geval. Daarom zou ik je altijd aanraden om, voor zover mogelijk, toestemming te vragen voor de verwerking en het doel dat je daarmee wilt bereiken. Is dat niet mogelijk? Zorg er dan voor dat je ten minste een verwerkersovereenkomst met een tussenpersoon hebt gesloten, zodat je daar een beroep op kunt doen.
​​
​
Voor hoelang mag je gegevens verwerken?
Je mag persoonsgegevens alleen bewaren zolang dat nodig is voor het doel waarvoor ze zijn verzameld. Dit betekent dat je regelmatig moet nagaan of je de gegevens nog nodig hebt. Heb je bijvoorbeeld een fotoshoot afgerond en zijn de foto's afgeleverd aan de klant? Dan kun je overwegen de originele bestanden te verwijderen, tenzij je expliciet hebt afgesproken dat je ze langer mag bewaren, bijvoorbeeld voor marketingdoeleinden. In sommige gevallen kan een wettelijke bewaartermijn gelden, bijvoorbeeld voor financiële gegevens. Deze moet je voor 7 tot 10 jaar bewaren. Hiervoor geldt dus de wettelijke verplichting als verwerkingsgrondslag.
​
​
Welke rechten hebben betrokkenen?
Onder de AVG hebben betrokkenen verschillende rechten wanneer je hun gegevens verwerkt. Deze rechten zijn er zodat betrokkenen controle te kunnen blijven uitoefenen over hun persoonsgegevens. Betrokkenen mogen dan een verzoek indienen, bijvoorbeeld om de gegevens in te zien, te doen bewerken of te doen verwijderen.
-
Recht op inzage: Betrokkenen mogen opvragen welke gegevens je van hen verwerkt en hoe je die gebruikt.
-
Recht op correctie: Als gegevens onjuist of onvolledig zijn, mogen betrokkenen vragen om correctie.
-
Recht op verwijdering: Betrokkenen kunnen in sommige gevallen vragen om verwijdering van hun gegevens, bijvoorbeeld wanneer de gegevens niet langer nodig zijn voor het oorspronkelijke doel.
-
Recht op beperking van de verwerking: Betrokkenen kunnen verzoeken om de verwerking van hun gegevens tijdelijk stop te zetten.
-
Recht op bezwaar: Betrokkenen hebben het recht om bezwaar te maken tegen een verwerking, bijvoorbeeld tegen het gebruik van hun gegevens voor direct marketing.
-
Recht op dataportabiliteit: Betrokkenen kunnen vragen om hun gegevens over te dragen aan een andere partij, bijvoorbeeld als ze van dienstverlener willen wisselen.
Als bedrijf in de creatieve sector is het belangrijk dat je deze rechten respecteert en op de juiste manier afhandelt. Zorg ervoor dat je procedures hebt om verzoeken van betrokkenen snel en correct te verwerken. Het is aan te raden om deze vast te leggen in een privacybeleid, zodat de betrokkenen weten welke stappen zij kunnen nemen om een verzoek in te dienen. Wanneer je een verwerkersovereenkomst hebt gesloten, kun je hierin ook afspraken over het afhandelen van verzoeken van betrokken en wie verantwoordelijk is in geval van claims of datalekken.