Veelvoorkomend misverstand: ook zakelijke gegevens vallen onder de privacywet

15 december 2020, laatst geüpdatet 11 september 2024
Regelmatig spreek ik mensen die denken dat de privacywetgeving niet van toepassing is in een B2B-context. De gedachte lijkt dan te zijn dat de AVG alleen zou gelden in B2C-situaties in brede zin (dus bij verwerking van consumentengegevens, personeelsgegevens, patiëntengegevens, etc.). Dit is een misverstand dat ik graag snel uit de wereld help.
Mark Jansen 
Mark Jansen 
Advocaat - Associate Partner
In dit artikel

Regelmatig spreek ik mensen die denken dat de privacywetgeving niet van toepassing is in een B2B-context. De gedachte lijkt dan te zijn dat de AVG alleen zou gelden in B2C-situaties in brede zin (dus bij verwerking van consumentengegevens, personeelsgegevens, patiëntengegevens, etc.). Dit is een misverstand dat ik graag snel uit de wereld help.

Breed toepassingsbereik

De algemene privacyregels liggen vast in de AVG (Engelse afkorting: GDPR) en de daarbij behorende Nederlandse uitvoeringswet (UAVG).

De AVG of GDPR is, vrij vertaald, van toepassing op iedere digitale "verwerking" van "persoonsgegevens", en bovendien op iedere enigszins gestructureerde analoge verwerking van persoonsgegevens.

Hierbij geldt dat je voor "verwerking" zo ongeveer ieder werkwoord kunt lezen. Persoonsgegevens zijn alle gegevens die, al dan niet met enige moeite, herleidbaar zijn tot een natuurlijk persoon.

Het toepassingsbereid van de wet is dus zeer breed. Je hoeft maar "iets" met persoonsgegevens te doen, of het moet voldoen aan de eisen die de (U)AVG stelt.

Hoeft niet om "privégegevens" te gaan

Het misverstand ontstaat vervolgens vermoedelijk omdat veel mensen bij het begrip "privacy" denken aan wat juristen wel de "persoonlijke levenssfeer" noemen. Dan gaat het o.m. over zaken die we (velen van ons althans) veelal privé of vertrouwelijk willen (kunnen) houden. Denk aan zaken die binnen in huis gebeuren of die je anderszins niet zomaar in de krant zou willen hebben staan. Dat aspect van privacy is echter (slechts) één van de vele aspecten van privacy.

De AVG heeft juist een heel ander aangrijpingspunt, namelijk het grondrecht op de bescherming (zorgvuldige verwerking) van persoonsgegevens. Dat is een zelfstandig grondrecht dat vastligt in artikel 8 van het EU Handvest. De gedachte is in de kern dat persoonsgegevens, gevoelig of niet, zorgvuldig verwerkt moeten worden, omdat het onzorgvuldig verwerken daarvan - zelfs ogenschijnlijk 'onschuldige' gegevens - tot grote gevolgen kan leiden.

Overlap in verschillende visies op privacy

Tegelijkertijd is het wel zodat de bij de toepassing van de AVG, de aard van de gegevens, alsmede andere belangen in kwestie, meetelt. Al in de eerste uitspraak over de toenmalige privacyrichtlijn benadrukte het Hof dat bij toepassing van privacyregels een "juist evenwicht tussen de betrokken rechten en belangen moet worden gevonden". En vrij recent overwoog het Hof in de Schrems-II kwestie bijvoorbeeld nog dat de het beschermingsniveau dat de AVG biedt moet worden "gelezen in het licht van de door het Handvest gewaarborgde grondrechten".

Met andere woorden: als er aspecten spelen rondom de persoonlijke levenssfeer, dan moeten die worden meegewogen. De AVG is echter ook van toepassing op verwerkingen van persoonsgegevens waarbij die persoonlijke levenssfeer minder zwaar weegt. Vrij vertaald: een persoonsgegeven hoeft niet privé te zijn om onder de AVG te vallen.

AVG dus ook van toepassing op zakelijke gegevens

Het voorgaande betekent dat de AVG ook van toepassing is op allerlei gegevens in zakelijke context.

Denk heel praktisch alleen al aan contactgegevens van medewerkers van een onderneming. Want hoewel contracten e.d. in de praktijk veelal namens een rechtspersoon worden gesloten, voert u de onderhandelingen over die contracten wel met personen van vlees en bloed. Dat de naam van de rechtspersoon niet onder de AVG valt is dus technisch gezien (veelal) juist, maar tegelijkertijd niet zo relevant. Communicatie wordt immers maar weinig aan de rechtspersoon (als zodanig) gericht, maar juist aan de daar werkzame mensen.

Ditzelfde geldt voor vertegenwoordigers of medewerkers van publiekrechtelijke rechtspersonen. Ook daar wordt weliswaar namens de rechtspersoon gehandeld, maar u spreekt toch in de praktijk met een natuurlijk persoon. Alleen het opslaan van een mailadres van die medewerker van bijvoorbeeld de gemeente kwalificeert al als verwerking van persoonsgegevens en valt "gewoon" onder de AVG.

Privacybeleid in bredere zin vereist

Het is dus bepaald niet zo dat wanneer uw onderneming alleen maar "onschuldige" gegevens verwerkt, u niet met de privacywetgeving van doen heeft. Het is bijna onontkoombaar dat u persoonsgegevens verwerkt. U heeft dus ook welhaast per definitie met de regels uit de (U)AVG van doen. Het is om die reden noodzakelijk om beleid ter zake te ontwikkelen, om zodoende te borgen dat die persoonsgegevens op adequate wijze worden verwerkt.

Eerste blik op de wet?

Wanneer u eens een idee wilt krijgen wat dit betekent, kunt u bijvoorbeeld onze gratis online privacycheck eens proberen. U loopt daarmee stap voor stap langs de belangrijkste eisen die de wet stelt aan de verwerking van persoonsgegevens. Dit geeft een aardige eerste indruk wat er zoal van u gevergd wordt.

Vragen? Advies nodig?

Heeft u vragen over het privacyrecht in bredere zin, of de verwerking van persoonsgegevens meer specifiek? Neem gerust contact op.