GROEP GEGEVENSBESCHERMING ARTIKEL 29

GROEP GEGEVENSBESCHERMING ARTIKEL 29

Groep gegevensbescherming artikel 29

Richtsnoeren inzake transparantie overeenkomstig Verordening (EU) 2016/679

Goedgekeurd op 29 november 2017

Laatstelijk herzien en goedgekeurd op 11 april 2018

DE GROEP VOOR DE BESCHERMING VAN PERSONEN IN VERBAND MET DE VERWERKING VAN PERSOONSGEGEVENS

ingesteld bij Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995, gezien de artikelen 29 en 30 daarvan,

gezien het reglement van orde van de werkgroep,

HEEFT DE VOLGENDE RICHTSNOEREN VASTGESTELD:

De Groep gegevensbescherming artikel 29 is opgericht op grond van artikel 29 van Richtlijn 95/46/EG. De Groep is een onafhankelijk Europees adviesorgaan inzake gegevensbescherming en privacy. De taken van de Groep zijn omschreven in artikel 30 van Richtlijn 95/46/EG en artikel 15 van Richtlijn 2002/58/EG.

Het secretariaat wordt verzorgd door directoraat C (Grondrechten en burgerschap van de Unie) van het directoraat-generaal Justitie van de Europese Commissie, B-1049 Brussel, België, kantoor MO-59 02/013.

17/NL

WP260 rev.01

GROEP GEGEVENSBESCHERMING ARTIKEL 29

Inhoud

Inleiding............................................................................................................................ 4
De betekenis van transparantie........................................................................................... 6
Elementen van transparantie overeenkomstig de AVG.......................................................... 7
'Beknopt, transparant, begrijpelijk en gemakkelijk toegankelijk' ........................................................7
'Duidelijke en eenvoudige taal' ...........................................................................................................9
Verstrekking van informatie aan kinderen en andere kwetsbare personen ........................................11
'Schriftelijk of met andere middelen' ................................................................................................12
'...de informatie kan mondeling worden verstrekt' ...........................................................................14
'Kosteloos' ........................................................................................................................................15
Aan de betrokkene te verstrekken informatie - artikelen 13 en 14.........................................15
Inhoud ...............................................................................................................................................15
'Passende maatregelen' ...................................................................................................................16
Termijn voor het verstrekken van de informatie ................................................................................16
Veranderingen in de informatie van de artikelen 13 en 14 .................................................................19
Moment van de kennisgeving van veranderingen in de informatie van artikel 13 en artikel 14 ..........20
Regelingen - vorm van de informatieverstrekking .............................................................................21
Gelaagde aanpak in een digitale omgeving en gelaagde privacyverklaringen/mededelingen ...........22
Gelaagde aanpak in een niet-digitale omgeving ................................................................................23
'Push'- en 'pull'-berichten ...............................................................................................................23
Andere typen 'passende maatregelen' .............................................................................................24
Informatie over profilering en geautomatiseerde besluitvorming ......................................................25
Andere kwesties - risico's, regels en waarborgen ...............................................................................26
Informatie met betrekking tot verdere verwerking ..............................................................27
Visualisatie-instrumenten ................................................................................................ 29
Iconen ................................................................................................................................................29
Certificeringsmechanismen, zegels en merktekens ............................................................................30
Uitoefening van rechten door betrokkenen.........................................................................31
Uitzonderingen op de verplichting ominformatie te verstrekken ..........................................32
Uitzonderingen van artikel 14 ............................................................................................................33

Blijkt onmogelijk, zou onevenredig veel inspanning vergen of dreigt de doeleinden van de verwerking ernstig in het gedrang te brengen ......................................................................................................33
'Onmogelijk blijkt' ............................................................................................................................34
Onmogelijkheid omdebron van de gegevens te verstrekken ............................................................34
'Onevenredig veel inspanning' .........................................................................................................35
Ernstig in het gedrang dreigt brengen ................................................................................................37
De verkrijging of verstrekking is uitdrukkelijk vastgelegd in de wet ...................................................37
Vertrouwelijkheid uit hoofde van een beroepsgeheim ........................................................................38
Beperkingen van de rechten van betrokkenen.................................................................... 39
Transparantie en inbreuken in verband met persoonsgegevens ........................................... 40
Bijlage ............................................................................................................................ 41

Inleiding

1. Deze richtsnoeren van de Groep gegevensbescherming artikel 29 (WP29) bieden praktische aanwijzingen voor en hulp bij de interpretatie van de nieuwe transparantieverplichting met betrekking tot de verwerking van persoonsgegevens overeenkomstig de algemene verordening gegevensbescherming 1 (de ' AVG '). Transparantie is een overkoepelende verplichting op grond van de AVG, die van toepassing is op drie kerngebieden: 1) de verstrekking van informatie aan betrokkenen in verband met een behoorlijke verwerking; 2) de wijze waarop verwerkingsverantwoordelijken communiceren met betrokkenen over hun rechten uit hoofde van de AVG; en 3) de wijze waarop verwerkingsverantwoordelijken betrokkenen helpen om hun rechten uit te oefenen 2 . Voor zover naleving van het transparantiebeginsel een vereiste is bij gegevensverwerking overeenkomstig Richtlijn (EU) 2016/680 3 , zijn deze richtsnoeren ook van toepassing op de interpretatie van dat beginsel 4 . Het is de bedoeling van deze richtsnoeren, zoals van alle richtsnoeren van de WP29, dat ze relevant zijn voor en algemeen worden toegepast door verwerkingsverantwoordelijken, ongeacht eventuele specifieke sectorale en regelgevingseisen die kunnen gelden voor een bepaalde verwerkingsverantwoordelijke. Als zodanig kunnen deze richtsnoeren niet alle nuances en variabelen bestrijken die zich kunnen voordoen in het kader van de transparantieverplichtingen van een specifieke sector, een specifieke industrie of een specifiek gereguleerd gebied. Met deze richtsnoeren wordt daarentegen beoogd om verwerkingsverantwoordelijken te helpen bij het op een hoog niveau begrijpen van de praktische betekenis die volgens de interpretatie van WP29 aan de transparantieverplichtingen moet worden gegeven, en om de aanpak aan te geven die verwerkingsverantwoordelijken volgens de WP29 zouden moeten volgen om transparant te zijn en de beginselen van behoorlijkheid en verantwoordingsplicht bij hun transparantiemaatregelen in aanmerking te nemen.

2 In deze richtsnoeren worden de algemene beginselen in verband met de uitoefening van rechten door betrokkenen uiteengezet, en worden geen specifieke regelingen voor elk van de individuele rechten van betrokkenen uit hoofde van de AVG beschreven.

2. Transparantie is al heel lang een belangrijk beginsel van het EU-recht 5 . Transparantie moet ervoor zorgen dat burgers vertrouwen hebben in de processen die hen raken, en helpt hen die processen te begrijpen en, indien nodig, daartegen bezwaar te maken. Ook is transparantie een uitdrukking van het beginsel van eerlijkheid in verband met de verwerking van persoonsgegevens zoals vervat in artikel 8 van het Handvest van de grondrechten van de Europese Unie. Aan de bepaling in artikel 5, lid 1, onder a), van de AVG) 6 ) dat gegevens op een rechtmatige en behoorlijke wijze moeten worden verwerkt, is nu ook transparantie toegevoegd als fundamenteel aspect van deze beginselen 7 . Transparantie is intrinsiek verbonden met behoorlijkheid en met het nieuwe beginsel van verantwoordingsplicht dat in de AVG is opgenomen. Ook volgt uit artikel 5, lid 2, dat de verwerkingsverantwoordelijke altijd moet kunnen aantonen dat persoonsgegevens ten aanzien van de betrokkene op een transparante manier worden verwerkt. 8 In verband hiermee vereist het beginsel van de verantwoordingsplicht dat verwerkingen transparant geschieden, zodat verwerkingsverantwoordelijken kunnen aantonen dat ze hun verplichtingen uit hoofde van de AVG nakomen 9 .
3. In overeenstemming met overweging 171 van de AVG moeten verwerkingsverantwoordelijken ervoor zorgen dat verwerkingen die op 25 mei 2018 al gaande zijn per die datum voldoen aan de transparantievereisten van de AVG (en aan alle andere verplichtingen uit hoofde van de AVG). Dat betekent dat verwerkingsverantwoordelijken vóór 25 mei 2018 alle informatie over de verwerking van persoonsgegevens die aan betrokkenen is verstrekt (bijvoorbeeld in privacyverklaringen/mededelingen, enz.) opnieuw moeten bekijken en ervoor moeten zorgen dat deze voldoen aan de in deze richtsnoeren besproken transparantievereisten. Wanneer die informatie wordt veranderd of aangevuld, moeten verwerkingsverantwoordelijken het aan betrokkenen duidelijk maken dat deze veranderingen zijn doorgevoerd om aan de AVG te voldoen. De WP29 beveelt aan om dergelijke veranderingen of aanvullingen actief onder de aandacht van betrokkenen te brengen, maar deze informatie ten minste openbaar te maken (bv. op hun website). Als de

5 In artikel 1 van het Verdrag betreffende de Europese Unie (VEU) wordt bepaald dat besluiten '

openheid en zo dicht mogelijk bij de burger worden genomen in zo groot mogelijke

'; Artikel 11, lid 2, van het VEU luidt als volgt: '

De instellingen voeren een open, transparante en regelmatige dialoog met representatieve organisaties en met het maatschappelijk

middenveld';

en in artikel 15 van het Verdrag betreffende de werking van de Europese Unie (VWEU) wordt onder meer bepaald dat burgers van de Unie recht hebben op toegang tot documenten van de instellingen, organen en instanties van

de Unie, met als doel dat deze instellingen, organen en instanties van de Unie zorgen voor transparantie in hun werkzaamheden.

6 'Persoonsgegevens moeten worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is'.

8 Artikel 5, lid 2, van de AVG vereist dat een verwerkingsverantwoordelijke kan aantonen dat gegevens transparant worden verwerkt (samen met de vijf andere beginselen van gegevensverwerking zoals beschreven in artikel 5, lid 1) overeenkomstig het beginsel van de verantwoordingsplicht.

9 De verplichting voor verwerkingsverantwoordelijken om passende technische en organisatorische maatregelen te treffen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met de AVG wordt uitgevoerd is neergelegd in artikel 24, lid 1.

veranderingen of aanvullingen echter wezenlijk of substantieel zijn, zouden ze, in overeenstemming met de paragrafen 29 tot en met 32 hieronder, actief onder de aandacht van de betrokkenen moeten worden gebracht.

4. Transparantie, indien toegepast door verwerkingsverantwoordelijken, stelt betrokkenen in staat om verwerkingsverantwoordelijken en verwerkers verantwoording te laten afleggen en hun rechten ten aanzien van hun persoonsgegevens uit te oefenen, bijvoorbeeld door hun geïnformeerde toestemming in te trekken of hun rechten als betrokkene in te roepen 10 . Het begrip transparantie wordt in de AVG gebruikt vanuit het oogpunt van de gebruiker, en niet zozeer in legalistische zin, en wordt in een aantal artikelen als een specifieke praktische vereiste opgelegd aan verwerkingsverantwoordelijken en verwerkers. De praktische (informatie)vereisten worden beschreven in de artikelen 12 tot en met 14 van de AVG. De kwaliteit, toegankelijkheid en compleetheid van de transparantie-informatie die aan betrokkenen moet worden verstrekt zijn echter even belangrijk als de feitelijke inhoud ervan.
5. De transparantievereisten van de AVG zijn van toepassing ongeacht de rechtsgrond voor de verwerking en gedurende de hele levenscyclus van de verwerking. Dit kan duidelijk worden afgeleid uit artikel 12, waarin wordt bepaald dat transparantie van toepassing is op de volgende fasen van de gegevensverwerkingscyclus:

• voorafgaand aan of bij het begin van de gegevensverwerkingscyclus, d.w.z. wanneer de persoonsgegevens worden verzameld bij de betrokkene of op andere wijze worden verkregen;
• gedurende de hele verwerkingsperiode, d.w.z. bij de communicatie met betrokkenen over hun rechten; en
• op specifieke tijdstippen terwijl de verwerking gaande is, bijvoorbeeld in geval van inbreuken in verband met persoonsgegevens of wezenlijke veranderingen in de verwerking.

De betekenis van transparantie

6. Transparantie wordt in de AVG niet gedefinieerd. Overweging 39 van de AVG is informatief ten aanzien van de betekenis en de gevolgen van het transparantiebeginsel in het kader van gegevensverwerking:

"Voor natuurlijke personen dient het transparant te zijn dat hen betreffende persoonsgegevens worden verzameld, gebruikt, geraadpleegd of anderszins verwerkt

'[...] dit vereiste van informatieverstrekking aan de door de verwerking van hun persoonsgegevens betrokkenen, waardoor de transparantie van elke verwerking wordt gewaarborgd, [is] des te belangrijker [...] aangezien het een voorwaarde is voor de uitoefening van het recht van toegang van belanghebbenden tot de verwerkte gegevens, als bedoeld in artikel 12 van richtlijn 95/46, en van hun recht van verzet tegen de verwerking van die gegevens, geregeld in artikel 14 van dezelfde richtlijn'.

en in hoeverre de persoonsgegevens worden verwerkt of zullen worden verwerkt. Overeenkomstig het transparantiebeginsel moeten informatie en communicatie in verband met de verwerking van die persoonsgegevens eenvoudig toegankelijk en begrijpelijk zijn, en moet duidelijke en eenvoudige taal worden gebruikt. Dat beginsel betreft met name het informeren van de betrokkenen over de identiteit van de verwerkingsverantwoordelijke en de doeleinden van de verwerking, alsook verdere informatie om te zorgen voor behoorlijke en transparante verwerking met betrekking tot de natuurlijke personen in kwestie en hun recht om bevestiging en mededeling te krijgen van hun persoonsgegevens die worden verwerkt...'

Elementen van transparantie overeenkomstig de AVG

7. De belangrijkste artikelen van de AVG die betrekking hebben op transparantie, omdat ze van toepassing zijn op de rechten van betrokkenen, zijn te vinden in hoofdstuk III (Rechten van de betrokkene). Artikel 12 bevat de algemene voorschriften die van toepassing zijn op: de verstrekking van informatie aan betrokkenen (artikelen 13-14), de communicatie met betrokkenen over de uitoefening van hun rechten (artikelen 15-22), de communicatie over inbreuken in verband met persoonsgegevens (artikel 34). Artikel 12 vereist in het bijzonder dat de informatie of communicatie in kwestie moet voldoen aan de volgende voorschriften:

• de informatie of communicatie moet beknopt, transparant, begrijpelijk en gemakkelijk toegankelijk zijn (artikel 12, lid 1);
• er moet duidelijke en eenvoudige taal worden gebruikt (artikel 12, lid 1);
• deze laatste vereiste is extra belangrijk wanneer de informatie specifiek voor een kind bestemd is (artikel 12, lid 1);
• de informatie moet schriftelijk ' of met andere middelen, met inbegrip van, indien dit passend is, elektronische middelen ' worden verstrekt (artikel 12, lid 1);
• indien de betrokkene daarom verzoekt, kan de informatie mondeling worden meegedeeld (artikel 12, lid 1); en
• de informatie moet over het algemeen kosteloos worden verstrekt (artikel 12, lid 5).

'Beknopt, transparant, begrijpelijk en gemakkelijk toegankelijk'

8. De vereiste dat de verstrekking van informatie aan en de communicatie met betrokkenen 'in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm' moet geschieden betekent dat verwerkingsverantwoordelijken de informatie/communicatie op een efficiënte en bondige wijze moeten weergeven om informatiemoeheid te voorkomen. Deze informatie moet duidelijk worden onderscheiden van andere, nietprivacygerelateerde informatie, zoals contractbepalingen of algemene gebruiksvoorwaarden. In een onlinecontext zal het gebruik van een gelaagde privacyverklaring/mededeling een betrokkene de mogelijkheid bieden om direct naar het specifieke onderdeel van de privacyverklaring/mededeling dat ze willen lezen te navigeren, in plaats van door grote lappen tekst te moeten scrollen op zoek naar specifieke onderwerpen.

9. De vereiste dat informatie 'begrijpelijk' moet zijn betekent dat de informatie begrepen moet kunnen worden door een gemiddeld lid van het beoogde publiek. Begrijpelijkheid houdt nauw verband met de vereiste om duidelijke en eenvoudige taal te gebruiken. Een verwerkingsverantwoordelijke die het beginsel van de verantwoordingsplicht in acht neemt zal beschikken over kennis van de personen van wie informatie wordt verzameld en kan deze kennis gebruiken om te bepalen wat de doelgroep waarschijnlijk zal begrijpen. Zo kan een verwerkingsverantwoordelijke die persoonsgegevens van werkende professionals verzamelt ervan uitgaan dat zijn of haar doelgroep een hoger niveau van begrip heeft dan de doelgroep van een verwerkingsverantwoordelijke die persoonsgegevens van kinderen verzamelt. Als een verwerkingsverantwoordelijke onzeker is over de mate van begrijpelijkheid en transparantie van de informatie en de doeltreffendheid van gebruikersinterfaces/kennisgevingen/beleidsdocumenten, enz., kan hij of zij dit testen met behulp van bijvoorbeeld gebruikerspanels, leesbaarheidstoetsen en formele en informele interacties en dialoog met onder meer, indien van toepassing, sectorale organisaties, consumentenorganisaties en regelgevingsinstanties,

10. Een van de kernelementen van het transparantiebeginsel zoals bedoeld in deze bepalingen is dat betrokkenen van tevoren de reikwijdte en de gevolgen van de verwerking moeten kunnen bepalen en later niet verrast worden door andere manieren waarop hun persoonsgegevens zijn gebruikt. Dit is ook een belangrijk aspect van het beginsel van behoorlijkheid overeenkomstig artikel 5, lid 1, van de AVG, en houdt ook verband met overweging 39, waarin wordt verklaard dat '[n]atuurlijke personen [...] bewust [moeten] worden gemaakt van de risico's, regels, waarborgen en rechten in verband met de verwerking van persoonsgegevens'. Met betrekking tot complexe, technische of onverwachte gegevensverwerkingen is het standpunt van de WP29 dat verwerkingsverantwoordelijken, behalve de door artikel 13 en 14 voorgeschreven informatie (die later in deze richtsnoeren zal worden behandeld) te verstrekken, ook afzonderlijk, in ondubbelzinnige taal, zouden moeten uitleggen wat de belangrijkste gevolgen van de verwerking zullen zijn. Met andere woorden, welk effect zal de specifieke verwerking die in de privacyverklaring/mededeling wordt beschreven hebben op een betrokkene? In overeenstemming met het beginsel van de verantwoordingsplicht en overweging 39 moeten verwerkingsverantwoordelijken beoordelen of er specifieke risico's bestaan voor natuurlijke personen die betrokken zijn bij dit type verwerkingen en die risico's onder de aandacht van betrokkenen brengen. Dit kan helpen om een overzicht te bieden van de soorten verwerkingen met potentieel het grootste effect op de grondrechten en fundamentele vrijheden van betrokkenen in verband met de bescherming van hun persoonsgegevens.

11. Het element 'gemakkelijk toegankelijk' houdt in dat de betrokkene de informatie niet zelf hoeft uit te zoeken; voor de betrokkene moet het onmiddellijk duidelijk zijn waar en hoe deze informatie te vinden is. Dit kan bijvoorbeeld worden bereikt door de informatie rechtstreeks te vermelden, door een link naar de informatie te plaatsen, door de informatie duidelijk te markeren of door de informatie te presenteren als een antwoord op een vraag (bijvoorbeeld in een gelaagde onlineprivacyverklaring/mededeling, in een onderdeel met antwoorden op veel gestelde vragen (FAQ's), in een contextueel pop-upscherm dat wordt geactiveerd wanneer een betrokkene een onlineformulier invult, of in een interactieve

digitale context door middel van een chat-interface, enz. Deze mechanismen zullen later in deze richtsnoeren nader worden besproken, waaronder in de paragrafen 33 tot en met 40).

Voorbeeld

Elke organisatie met een website zou een privacyverklaring/mededeling op de website moeten plaatsen. Op elke pagina van de website zou duidelijk zichtbaar een rechtstreekse link naar deze privacyverklaring/mededeling moeten worden geplaatst, onder één enkel banier (zoals 'privacy', 'privacybeleid' of 'mededeling over de bescherming van uw gegevens'). Een bepaalde positionering op een webpagina en kleurenschema's die een tekst of link minder zichtbaar of moeilijk te vinden maken worden niet beschouwd als gemakkelijk toegankelijk.

Voor apps geldt dat de noodzakelijke informatie ook beschikbaar zou moeten worden gesteld voordat het downloaden uit een online app-store begint. Wanneer de app is geïnstalleerd, moet de informatie nog steeds beschikbaar zijn binnen de app. Eén manier om aan deze vereiste te voldoen is door ervoor te zorgen dat de informatie nooit meer dan 'twee tikken weg' is (bijvoorbeeld door een optie 'privacy'/'gegevensbescherming' op te nemen in de menufunctionaliteit van de app). Daarnaast zou de betreffende privacyinformatie specifiek moeten zijn voor de app in kwestie en niet louter het algemene privacybeleid van het bedrijf dat de eigenaar van de app is, of dat de app beschikbaar stelt aan het publiek, moeten weergeven.

WP29 beveelt als beste praktijk aan om op het moment van het verzamelen van de persoonsgegevens in een onlinecontext een link naar de privacyverklaring/mededeling aan te bieden of deze informatie beschikbaar te stellen op dezelfde pagina als die waar de persoonsgegevens worden verzameld.

'Duidelijke en eenvoudige taal'

12. Bij schriftelijke informatie (en wanneer schriftelijke informatie mondeling wordt verstrekt, of met behulp van een audio/ audiovisuele methode, bijvoorbeeld aan betrokkenen met een visuele handicap), zouden goede praktijken voor duidelijk schrijven moeten worden gevolgd 11 . Een dergelijke taalvereiste (het gebruik van 'duidelijke en eenvoudige taal') is eerder gebruikt door de EU-wetgever 12 en wordt ook uitdrukkelijk genoemd in de context van toestemming in overweging 42 van de AVG 13 . De vereiste van duidelijke en eenvoudige taal betekent dat informatie op een zo eenvoudig mogelijke manier moet worden aangeboden, waarbij ingewikkelde zinnen en taalstructuren dienen te worden vermeden. De informatie dient concreet en definitief te zijn, geen abstracte of ambivalente formuleringen te bevatten en geen ruimte voor verschillende interpretaties te laten. Met

13 In overweging 42 wordt verklaard dat een door een verwerkingsverantwoordelijke vooraf opgestelde verklaring van toestemming moet worden verstrekt in een begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal, en dat deze verklaring geen oneerlijke bedingen mag bevatten.

name de doeleinden van en de rechtsgrond voor de verwerking van persoonsgegevens moeten duidelijk zijn.

Voorbeelden van ontoereikend taalgebruik

De volgende zinnen zijn onvoldoende duidelijk over de doeleinden van de verwerking:

• 'We kunnen uw persoonsgegevens gebruiken om nieuwe diensten te ontwikkelen' (omdat het onduidelijk is om wat voor 'diensten' het gaat en hoe de gegevens zullen helpen om die diensten te ontwikkelen);
• 'We kunnen uw persoonsgegevens gebruiken voor onderzoeksdoeleinden' (omdat het onduidelijk is wat voor 'onderzoek' hiermee wordt bedoeld); en
• 'We kunnen uw persoonsgegevens gebruiken om gepersonaliseerde diensten aan te bieden' (omdat het onduidelijk is wat de 'personalisering' inhoudt).

Voorbeelden van toereikend taalgebruik 14

• 'We zullen uw aankoopgeschiedenis bewaren en details van de producten die u eerder hebt aangeschaft gebruiken om u suggesties te doen voor andere producten waar u mogelijk in geïnteresseerd bent' (het is duidelijk dat welke typen gegevens ook zullen worden verwerkt, de betrokkene gerichte advertenties voor producten zal ontvangen en dat zijn of haar gegevens zullen worden gebruikt om dat mogelijk te maken);
• 'We zullen informatie over uw recente bezoeken aan onze website en uw surfgedrag langs de verschillende onderdelen van onze website bewaren en evalueren voor analysedoeleinden om te begrijpen hoe mensen gebruikmaken van onze website, zodat we die intuïtiever kunnen maken' (het is duidelijk welk type gegevens zal worden verwerkt en welke analyses de verwerkingsverantwoordelijke zal uitvoeren); en
• 'We zullen bijhouden op welke artikelen op onze website u hebt geklikt en die informatie gebruiken om u op de website gerichte advertenties aan te bieden die relevant voor u zijn en die wij hebben geïdentificeerd op basis van artikelen die u hebt gelezen' (het is duidelijk wat de personalisering met zich meebrengt en hoe de aan de betrokkene toegeschreven relevantie is vastgesteld).

13. Constructies of woorden als 'kan', 'zou kunnen', 'bepaalde', 'vaak' en 'mogelijk' zouden eveneens moeten worden vermeden. Wanneer verwerkingsverantwoordelijken ervoor kiezen om onbepaalde taal te gebruiken, zouden ze, in overeenstemming met het beginsel van de verantwoordingsplicht, moeten kunnen aantonen waarom het gebruik van dergelijke taal niet kon worden vermeden en hoe de gebruikte taal de behoorlijkheid van de verwerking niet ondergraaft. Paragrafen en zinnen dienen goed gestructureerd te zijn, waarbij stippen of streepjes worden gebruikt om hiërarchische relaties aan te geven.

14 De vereiste van transparantie is volledig onafhankelijk van de verplichting voor verwerkingsverantwoordelijken om ervoor te zorgen dat er een passende rechtsgrond overeenkomstig artikel 6 bestaat voor de verwerking.

• Werkwoorden zouden in de actieve vorm moeten worden gebruikt, en niet in de passieve vorm, en overbodige zelfstandig naamwoorden zouden moeten worden vermeden. De informatie die aan een betrokkene wordt verstrekt zou geen te juridische, technische of specialistische taal of terminologie moeten bevatten. Wanneer de informatie in een of meer talen wordt vertaald, dient de verwerkingsverantwoordelijke ervoor te zorgen dat alle vertalingen getrouw zijn en dat de woordkeuze en zinsbouw in de andere taal of talen correct zijn, zodat de vertaalde tekst goed is te volgen en te begrijpen. (Wanneer de verwerkingsverantwoordelijke zich richt 15 tot betrokkenen die een andere taal spreken, moet een vertaling in die talen worden verstrekt.)

Verstrekking van informatie aan kinderen en andere kwetsbare personen

14. Wanneer een verwerkingsverantwoordelijke zich richt tot kinderen 16 of zich ervan bewust is, of zou moeten zijn, dat zijn of haar goederen/diensten met name door kinderen worden gebruikt (onder meer wanneer de verwerkingsverantwoordelijke toestemming van het kind nodig heeft) 17 , dient hij of zij ervoor te zorgen dat het vocabulaire, de toon en de stijl van de gebruikte taal passend is voor en weerklank vindt bij kinderen, zodat het kind voor wie de informatie is bedoeld begrijpt dat de boodschap/informatie tot hem of haar is gericht 18 . Een nuttig voorbeeld van het gebruik van kindgerichte taal als alternatief voor de oorspronkelijke juridische taal is te vinden in de publicatie 'UN Convention on the Rights of the Child in Child Friendly Language' (VN-Verdrag inzake de rechten van het kind in kindvriendelijke taal) 19 .
15. Het standpunt van de WP29 is dat transparantie een opzichzelfstaand recht is dat evenzeer van toepassing is op kinderen als op volwassenen. De WP29 benadrukt dat kinderen hun recht op transparantie als betrokkene niet verliezen alleen omdat de persoon die de ouderlijke verantwoordelijkheid draagt toestemming heeft gegeven in een situatie waarop artikel 8 van de AVG van toepassing is. Hoewel de houder van de ouderlijke verantwoordelijkheid die toestemming in veel gevallen op eenmalige basis zal verlenen of goedkeuren, heeft het kind (zoals iedere andere betrokkene) gedurende de hele periode

15 Wanneer de verwerkingsverantwoordelijke een website in de taal in kwestie onderhoudt en/of specifieke landopties aanbiedt en/of betaling van goederen en diensten in de valuta van een specifieke lidstaat mogelijk maakt, kan dat een

indicatie vormen voor het feit dat de verwerkingsverantwoordelijke zich richt tot betrokkenen in een specifieke lidstaat.

16 De term 'kind' wordt in de AVG niet gedefinieerd, maar de WP29 erkent dat in overeenstemming met het VN-Verdrag inzake de rechten van het kind, dat door alle EU-lidstaten is geratificeerd, een kind een persoon van jonger dan 18 jaar is.

17 D.w.z. kinderen van 16 jaar of ouder (of, wanneer in de wetgeving van de lidstaat, in overeenstemming met artikel 8, lid

1, van de AVG, de leeftijd voor het verkrijgen van deze toestemming in verband met een aanbod van diensten van de informatiemaatschappij is vastgesteld op een specifieke leeftijd tussen 13 en 16 jaar, kinderen die voldoen aan die

nationale leeftijd waarop toestemming moet worden verkregen).

18 In overweging 38 wordt het volgende verklaard: 'Kinderen hebben met betrekking tot hun persoonsgegevens recht op bijzondere bescherming, aangezien zij zich allicht minder bewust zijn van de betrokken risico's, gevolgen en waarborgen

en van hun rechten in verband met de verwerking van persoonsgegevens'. En in overweging 58 wordt verklaard:

'Aangezien kinderen specifieke bescherming verdienen, dient de informatie en communicatie, wanneer de verwerking specifiek tot een kind is gericht, in een zodanig duidelijke en eenvoudige taal te worden gesteld dat het kind deze

makkelijk kan begrijpen'.

van de betrekking met een verwerkingsverantwoordelijke een doorlopend recht op transparantie. Dit is in overeenstemming met artikel 13 van het VN-Verdrag inzake de rechten van het kind, waarin wordt bepaald dat een kind het recht heeft op vrijheid van meningsuiting, welk recht mede de vrijheid omvat om inlichtingen en denkbeelden van welke aard ook te vergaren, te ontvangen en door te geven 20 . Het is belangrijk om erop te wijzen dat artikel 8 weliswaar voorziet in verplichte toestemming namens een kind dat een bepaalde leeftijd nog niet heeft bereikt, 21 maar niet voorziet in transparantiemaatregelen die bestemd zijn voor de houder van de ouderlijke verantwoordelijkheid die de toestemming verleent. Daarom hebben verwerkingsverantwoordelijken een verplichting om, in overeenstemming met de in artikel 12, lid 1, vermelde (en door de overwegingen 38 en 58 ondersteunde) transparantiemaatregelen die specifiek bestemd zijn voor kinderen, ervoor te zorgen dat wanneer ze zich specifiek tot kinderen richten, of wanneer ze zich ervan bewust zijn dat hun goederen of diensten met name worden gebruikt door kinderen in een leeftijd dat ze kunnen lezen, alle informatieverstrekking en communicatie geschiedt in eenvoudige en begrijpelijke taal of met behulp van een medium dat kinderen gemakkelijk kunnen begrijpen. Ter voorkoming van twijfel erkent de WP29 echter dat in het geval van heel jonge kinderen of kinderen die nog niet kunnen lezen, transparantiemaatregelen ook kunnen worden gericht tot personen die de ouderlijke verantwoordelijkheid dragen, aangezien deze kinderen doorgaans zelfs de meest elementaire schriftelijke of nietschriftelijke boodschappen over transparantie niet zullen begrijpen.

16. Evenzo geldt dat als een verwerkingsverantwoordelijke zich ervan bewust is dat zijn of haar goederen of diensten worden gebruikt door (of bestemd zijn voor) andere kwetsbare leden van de samenleving, waaronder personen met een handicap of personen voor wie de toegang tot informatie moeilijkheden met zich meebrengt, hij of zij bij het beoordelen van de wijze waarop de transparantieverplichtingen kunnen worden nageleefd rekening moet houden met de kwetsbaarheden van deze betrokkenen 22 . Dit houdt verband met de plicht van de verwerkingsverantwoordelijke om het begripsniveau van de doelgroep te beoordelen, zoals hierboven in paragraaf 9 is besproken.

'Schriftelijk of met andere middelen'

17. Volgens artikel 12, lid 1, is schriftelijke informatieverstrekking aan of communicatie met betrokkenen de standaardvorm 23 . (Artikel 12, lid 7, voorziet erin dat informatie kan worden verstrekt met gebruikmaking van gestandaardiseerde iconen; dit punt wordt behandeld in

20 In artikel 13 van het VN-Verdrag inzake de rechten van het kind wordt het volgende bepaald: 'Het kind heeft het recht op vrijheid van meningsuiting; dit recht omvat mede de vrijheid inlichtingen en denkbeelden van welke aard ook te vergaren, te ontvangen en door te geven, ongeacht landsgrenzen, hetzij mondeling, hetzij in geschreven of gedrukte vorm, in de vorm van kunst, of met behulp van andere media naar zijn of haar keuze.'

21 Zie voetnoot 17 hierboven.

22 Het VN-Verdrag inzake de rechten van personen met een handicap vereist bijvoorbeeld dat aan personen met een handicap passende vormen van hulp en ondersteuning moeten worden geboden om te waarborgen dat zij toegang tot informatie hebben.

23 In artikel 12, lid 1, wordt het woord 'taal' gebruikt en wordt bepaald dat de informatie schriftelijk of met andere middelen, met inbegrip van, indien dit passend is, elektronische middelen moet worden verstrekt.

• het onderdeel over visualisatie-instrumenten, in de paragrafen 49 tot en met 53). De AVG staat echter ook het gebruik van andere, niet-gespecificeerde 'middelen' toe, waaronder elektronische middelen. Het standpunt van de WP29 met betrekking tot schriftelijke elektronische middelen is dat wanneer een verwerkingsverantwoordelijke een website onderhoudt (of, geheel of gedeeltelijk, werkt via een website), het aan te bevelen is om een gelaagde privacyverklaring/mededeling te gebruiken, die bezoekers van de website de mogelijkheid biedt om rechtstreeks te navigeren naar specifieke aspecten van de privacyverklaring/mededeling die voor hen het belangrijkst zijn (zie meer over gelaagde privacyverklaringen/mededelingen in de paragrafen 35 tot en met 37) 24 . De tot een betrokkene gerichte informatie dient echter ook in haar geheel beschikbaar te zijn op één enkele plaats of in één enkel (papieren of digitaal) document, waartoe de betrokkene gemakkelijk toegang heeft indien hij of zij de voor hem of haar bestemde informatie in haar geheel wil raadplegen. Belangrijk is dat een gelaagde aanpak zich niet hoeft te beperken tot alleen schriftelijke elektronische middelen voor het verstrekken van informatie aan betrokkenen. Zoals wordt besproken in de paragrafen 35, 36 en 38 hieronder, kan een gelaagde aanpak voor het verstrekken van informatie aan betrokkenen ook bestaan uit een combinatie van methoden om de transparantie van verwerkingen te waarborgen.

18. Uiteraard vormen digitale gelaagde privacyverklaringen/mededelingen niet het enige schriftelijke elektronische middel dat door verwerkingsverantwoordelijken kan worden gebruikt. Andere elektronische middelen zijn contextuele 'just-in-time'-pop-upberichten, 3D Touch-berichten, mededelingen die verschijnen wanneer de muis eroverheen beweegt, en privacydashboards. Niet-schriftelijke elektronische middelen die naast een gelaagde privacyverklaring/mededeling kunnen worden gebruikt zijn bijvoorbeeld video's en gesproken waarschuwingen op smartphones of via het internet der dingen 25 . 'Andere middelen', die niet noodzakelijkerwijs elektronisch hoeven te zijn, zouden bijvoorbeeld cartoons, infographics of stroomschema's kunnen zijn. Wanneer transparantie-informatie specifiek voor kinderen is bestemd, zouden verwerkingsverantwoordelijken moeten bedenken welke typen maatregelen voor die kinderen eenvoudig toegankelijk zijn (waarbij bijvoorbeeld kan worden gedacht aan stripverhalen/cartoons, pictogrammen, tekenfilms, enz.).
19. Het is van essentieel belang dat de gekozen methode(n) voor het verstrekken van informatie, d.w.z. de wijze waarop de verwerkingsverantwoordelijke en de betrokkene met elkaar interacteren of de wijze waarop informatie van de betrokkene wordt verzameld, passend is/zijn voor de specifieke omstandigheden. Zo is het alleen in een schriftelijke elektronische vorm verstrekken van informatie, zoals een onlineprivacyverklaring/mededeling, mogelijk niet passend/werkbaar wanneer een apparaat dat persoonsgegevens verzamelt geen scherm heeft, zoals IoT- of andere slimme apparaten (IoT: Internet of Things - internet der dingen). In dergelijke gevallen zouden

24 De voordelen van gelaagde mededelingen zijn door de WP29 reeds erkend in zijn advies 10/2004 over meer geharmoniseerde informatiebepalingen en in zijn advies 02/2013 over apps op slimme apparaten.

25 Deze voorbeelden van elektronische middelen zijn slechts indicatief, en verwerkingsverantwoordelijken kunnen nieuwe innovatieve methoden ontwikkelen om aan artikel 12 te voldoen.

passende alternatieve middelen moeten worden overwogen, bijvoorbeeld de verstrekking van de privacyverklaring/mededeling in papieren gebruikershandleidingen of de vermelding van de url (van de specifieke webpagina) waar de online-privacyverklaring/mededeling kan worden gevonden in papieren instructies of op de verpakking. Als het schermloze apparaat audiofuncties heeft, kan de informatie ook langs deze weg (mondeling) worden verstrekt. De WP29 heeft eerder aanbevelingen gedaan met betrekking tot transparantie en de verstrekking van informatie aan betrokkenen, namelijk in zijn advies inzake recente ontwikkelingen op het internet der dingen 26 (zoals het gebruik van QR-codes die worden geprint op IoT-voorwerpen, zodat wanneer de code wordt gescand, de vereiste transparantie-informatie wordt weergegeven). Deze aanbevelingen blijven van toepassing na de inwerkingtreding van de AVG.

'...de informatie kan mondeling worden verstrekt'

20. Artikel 12, lid 1, bepaalt specifiek dat informatie op verzoek van een betrokkene mondeling kan worden verstrekt, op voorwaarde dat de identiteit van de betrokkene met andere middelen bewezen is. Met andere woorden: een bewering van een persoon dat deze de met de specifieke naam getooide persoon is, is als middel niet voldoende, en de toegepaste middelen moeten de verwerkingsverantwoordelijke in staat stellen de identiteit van een betrokkene met voldoende zekerheid vast te stellen. De vereiste om de identiteit van de betrokkene te controleren voordat de informatie mondeling wordt verstrekt is alleen van toepassing op informatie die verband houdt met de uitoefening van zijn of haar rechten uit hoofde van de artikelen 15 tot en met 22 en artikel 34 door een specifieke betrokkene. Deze voorwaarde voor de verstrekking van mondelinge informatie kan niet van toepassing zijn op de verstrekking van algemene privacyinformatie zoals beschreven in de artikelen 13 en 14, aangezien de uit hoofde van de artikelen 13 en 14 vereiste informatie ook toegankelijk moet worden gemaakt voor toekomstige gebruikers/klanten (van wie de verwerkingsverantwoordelijke de identiteit niet kan vaststellen). Vandaar dat de in de artikelen 13 en 14 bedoelde informatie mondeling kan worden verstrekt zonder dat de verwerkingsverantwoordelijke van de betrokkene verlangt dat deze bewijs van zijn of haar identiteit overlegt.
21. De mondelinge verstrekking van de in de artikelen 13 en 14 bedoelde informatie betekent niet noodzakelijkerwijs dat de mondelinge informatie persoonlijk (bijvoorbeeld rechtstreeks door een persoon of telefonisch) wordt verstrekt. Naast de informatie die via schriftelijke middelen wordt verstrekt, kan ook geautomatiseerde mondelinge informatie worden verstrekt. Dit kan bijvoorbeeld van toepassing zijn in het geval van personen met een visuele handicap die interacteren met aanbieders van diensten van de informatiemaatschappij, of in het geval van schermloze apparaten zoals bedoeld in paragraaf 19 hierboven. Wanneer een verwerkingsverantwoordelijke ervoor heeft gekozen om informatie mondeling aan een betrokkene te verstrekken, of wanneer een betrokkene verzoekt om de mondelinge verstrekking van informatie of mededelingen, is het standpunt

van de WP29 dat de verwerkingsverantwoordelijke de betrokkene de mogelijkheid moet bieden opgenomen boodschappen opnieuw te beluisteren. Dit is noodzakelijk wanneer het verzoek om mondelinge informatie betrekking heeft op betrokkenen met een visuele handicap of andere betrokkenen die mogelijk moeite hebben om schriftelijke informatie te lezen of te begrijpen. De verwerkingsverantwoordelijke dient er ook voor te zorgen dat hij of zij (met het oog op de naleving van de verantwoordingsplicht) het volgende heeft gedocumenteerd of anderszins kan aantonen: i) het verzoek om verstrekking van de informatie langs mondelinge weg, ii) de methode waarmee de identiteit van de betrokkene is gecontroleerd (indien van toepassing - zie hierboven in paragraaf 20) en iii) het feit dat er informatie is verstrekt aan de betrokkene.

'Kosteloos'

22. Overeenkomstig artikel 12, lid 5, 27 kunnen verwerkingsverantwoordelijken over het algemeen geen kosten in rekening brengen aan betrokkenen voor de verstrekking van informatie uit hoofde van de artikelen 13 en 14, of voor de mededelingen en maatregelen uit hoofde van de artikelen 15 tot en met 22 (inzake de rechten van betrokkenen) en artikel 34 (mededeling van een inbreuk in verband met persoonsgegevens aan de betrokkene) 28 . Dit aspect van transparantie houdt ook in dat informatie die is verstrekt op grond van de transparantieverplichtingen niet afhankelijk kan worden gesteld van financiële transacties, bijvoorbeeld de betaling voor of de aankoop van diensten of goederen 29 .

Aan de betrokkene te verstrekken informatie - artikelen 13 en 14

Inhoud

23. In de AVG wordt een opsomming gegeven van de categorieën informatie die aan betrokkenen moet worden verstrekt in verband met de verwerking van hun persoonsgegevens wanneer deze gegevens bij die persoon worden verzameld (artikel 13) of uit een andere bron worden verkregen (artikel 14). In de tabel in de bijlage bij deze richtsnoeren wordt een overzicht gegeven van de categorieën informatie die op grond van

27 Hierin wordt bepaald: 'Het verstrekken van de in de artikelen 13 en 14 bedoelde informatie, en het verstrekken van de communicatie en het treffen van de maatregelen bedoeld in de artikelen 15 tot en met 22 en artikel 34 geschieden kosteloos.'

28 Wanneer een verzoek van een betrokkene met betrekking tot de informatie uit hoofde van de artikelen 13 en 14 of de rechten uit hoofde van de artikelen 15 tot en met 22 of artikel 34 kennelijk ongegrond of buitensporig is, mag de verwerkingsverantwoordelijke volgens artikel 12, lid 5, echter een redelijke vergoeding in rekening brengen. (Afzonderlijk hiervan mag een verwerkingsverantwoordelijke op grond van artikel 15, lid 3, een redelijke vergoeding in rekening brengen op basis van de administratieve kosten voor het verstrekken van een kopie van de door de betrokkene opgevraagde persoonsgegevens).

29 Ter illustratie: wanneer persoonsgegevens van een betrokkene worden verzameld in verband met een aankoop, moet de krachtens artikel 13 te verstrekken informatie worden verstrekt voordat de betaling wordt verricht en op het moment dat de gegevens worden verzameld, in plaats van nadat de transactie is voltooid. Op dezelfde wijze geldt dat wanneer er diensten aan de betrokkene worden geleverd, de krachtens artikel 13 te verstrekken informatie voorafgaand aan de sluiting van het contract moet worden verstrekt, en niet daarna, aangezien artikel 13, lid 1, vereist dat de informatie 'bij de verkrijging van de persoonsgegevens' wordt verstrekt.

de artikelen 13 en 14 moeten worden verstrekt. Ook wordt in deze tabel ingegaan op de aard, het toepassingsgebied en de inhoud van deze vereisten. Voor alle duidelijk: het standpunt van de WP29 is dat er geen statusverschil bestaat tussen de informatie die op grond van de leden 1 en 2 van respectievelijk artikel 13 en artikel 14 moet worden verstrekt. Alle informatie uit hoofde van deze leden is even belangrijk en moet worden verstrekt aan de betrokkene.

'Passende maatregelen'

24. Naast de inhoud zijn ook de vorm en de wijze van verstrekking van de uit hoofde van de artikelen 13 en 14 aan de betrokkene te verstrekken informatie belangrijk. De mededeling waarin die informatie is vervat wordt bijvoorbeeld toelichting betreffende de bescherming van gegevens, privacymededeling, privacybeleid, privacyverklaring of mededeling inzake de behoorlijke verwerking van persoonsgegevens genoemd. De AVG schrijft geen vorm of regeling voor de verstrekking van de informatie aan de betrokkene voor, maar maakt duidelijk dat het de verantwoordelijkheid van de verwerkingsverantwoordelijke is om 'passende maatregelen' te nemen in verband met de verstrekking van de vereiste informatie voor transparantiedoeleinden. Dat betekent dat de verwerkingsverantwoordelijke bij het nemen van een besluit over de passende regeling en de passende vorm van de informatieverstrekking rekening dient te houden met alle omstandigheden van de gegevensverzameling en -verwerking. Met name zullen passende maatregelen moeten worden beoordeeld in het licht van de gebruikerservaring met het product of de dienst. Dit houdt in dat rekening moet worden gehouden met het gebruikte apparaat (indien van toepassing), de aard van de gebruikersinterfaces/interacties met de verwerkingsverantwoordelijke (de 'customer journey') en de beperkingen die deze factoren impliceren. Zoals hierboven in paragraaf 17 is opgemerkt, beveelt de WP29 aan dat wanneer een verwerkingsverantwoordelijke een onlineaanwezigheid heeft, een digitale gelaagde privacyverklaring/mededeling wordt verstrekt.
25. Om voorafgaand aan de 'go live' de meest passende regeling voor het verstrekken van informatie te helpen identificeren, zullen verwerkingsverantwoordelijken mogelijk verschillende regelingen willen beproeven door middel van gebruikerstests (bijvoorbeeld op een centrale plek ('hall tests') of door middel van andere gestandaardiseerde leesbaarheids- of toegankelijkheidstests) om feedback te verkrijgen over de mate van toegankelijkheid, leesbaarheid en gebruikersvriendelijkheid van de voorgestelde maatregel. (Zie ook de nadere opmerkingen hierboven in paragraaf 9 over andere mechanismen voor het uitvoeren van gebruikerstests). Documentatie van deze benadering zou verwerkingsverantwoordelijken ook moeten helpen bij het vervullen van hun verantwoordingsplicht door aan te tonen hoe de gekozen instrumenten/aanpak voor het overbrengen van de boodschap in de gegeven omstandigheden het meest passend is.

Termijn voor het verstrekken van de informatie

26. In de artikelen 13 en 14 wordt beschreven welke informatie aan het begin van de verwerkingscyclus aan de betrokkene moet worden verstrekt 30 . Artikel 13 is van toepassing op het scenario waarin de gegevens bij de betrokkene worden verzameld. Dit omvat persoonsgegevens die:

• een betrokkene bewust verstrekt aan een verwerkingsverantwoordelijke (bv. bij het invullen van een onlineformulier); of
• door een verwerkingsverantwoordelijke worden verzameld bij een betrokkene door middel van waarneming (bv. met behulp van geautomatiseerde gegevensverzamelingsapparaten of gegevens verzamelende software zoals camera's, netwerkapparatuur, Wi-Fi-tracking, RFID (identificatie met radiogolven) of andere typen sensoren).

Artikel 14 is van toepassing in het scenario waarin de gegevens niet zijn verkregen van de betrokkene. Daarbij gaat het om persoonsgegevens die een verwerkingsverantwoordelijke heeft verkregen uit bronnen als:

• verwerkingsverantwoordelijken van derden;
• openbare bronnen;
• datamakelaars; of
• andere betrokkenen.

27. Wat het tijdstip van de verstrekking van deze informatie betreft, is het tijdig verstrekken van de informatie een cruciaal element van de transparantieverplichting en de verplichting om gegevens op een behoorlijke wijze te verwerken. Wanneer artikel 13 van toepassing is, moet de informatie op grond van artikel 13, lid 1, 'bij de verkrijging van de persoonsgegevens' worden verstrekt. In geval van indirect overeenkomstig artikel 14 verkregen persoonsgegevens worden de termijnen waarbinnen de vereiste informatie aan de betrokkene moet worden verstrekt, vermeld in artikel 14, lid 3, onder a) tot en met c), als volgt:

• De algemene vereiste is dat de informatie moet worden verstrekt binnen een 'redelijke termijn' na de verkrijging van de persoonsgegevens, maar uiterlijk binnen één maand, 'afhankelijk van de concrete omstandigheden waarin de persoonsgegevens worden verwerkt' (artikel 14, lid 3, onder a)).

30 Overeenkomstig de beginselen van behoorlijkheid en doelbinding moet de organisatie die de persoonsgegevens bij de betrokkene verzamelt, altijd bij de verzameling de doeleinden van de verwerking toelichten. Indien het doel de creatie van afgeleide ('inferred') persoonsgegevens is, moet het voorgenomen doel van de creatie en verdere verwerking van die afgeleide persoonsgegevens, evenals de categorieën van verwerkte afgeleide persoonsgegevens, altijd bij de verzameling ervan of vóór de verdere verwerking voor een nieuw doel worden meegedeeld aan de betrokkene in overeenstemming met artikel 13, lid 3, en artikel 14, lid 4.

• De algemene termijn van één maand van artikel 14, lid 3, onder a), kan verder worden ingeperkt op grond van artikel 14, lid 3, onder b), 31 dat voorziet in een situatie waarin de gegevens zullen worden gebruikt voor communicatie met de betrokkene. In die gevallen moet de informatie uiterlijk op het moment van het eerste contact met de betrokkene worden verstrekt. Indien het eerste contact met de betrokkene plaatsvindt binnen de termijn van één maand na de verkrijging van de persoonsgegevens, moet de informatie uiterlijk op het moment van het eerste contact met de betrokkene worden verstrekt, niettegenstaande het feit dat de termijn van één maand na de verkrijging van de persoonsgegevens nog niet is verstreken. Indien het eerste contact met een betrokkene meer dan een maand na de verkrijging van de persoonsgegevens plaatsvindt, blijft artikel 14, lid 3, onder a), van toepassing, zodat de informatie van artikel 14 uiterlijk binnen een maand na de verkrijging van de persoonsgegevens moet worden verstrekt.
• De algemene termijn van één maand van artikel 14, lid 3, onder a), kan ook worden ingeperkt op grond van artikel 14, lid 3, onder c) 32 , dat voorziet in een situatie waarin de gegevens zullen worden verstrekt aan een andere ontvanger (die al dan niet een derde kan zijn) 33 . De informatie moet In dat geval uiterlijk worden verstrekt op het moment waarop de gegevens voor het eerst beschikbaar worden gesteld. In dit scenario moet de informatie, indien de verstrekking plaatsvindt binnen de termijn van één maand, uiterlijk op het moment van de eerste verstrekking van de persoonsgegevens aan een andere ontvanger worden verstrekt aan de betrokkene, niettegenstaande het feit dat de termijn van één maand na de verkrijging van de persoonsgegevens nog niet is verstreken. Zoals dat het geval was bij artikel 14, lid 3, onder b), blijft, indien de verstrekking van persoonsgegevens meer dan een maand na de verkrijging van de persoonsgegevens plaatsvindt, artikel 14, lid 3, onder a), ook weer van toepassing, zodat de informatie van artikel 14 uiterlijk één maand na de verkrijging van de persoonsgegevens aan de betrokkene moet worden verstrekt.

28. Daarom is de maximale termijn waarbinnen de informatie van artikel 14 aan een betrokkene moet worden verstrekt in ieder geval één maand. De AVG-beginselen van behoorlijkheid en verantwoordingsplicht vereisen echter dat verwerkingsverantwoordelijken bij het nemen van een besluit over het moment waarop de informatie van artikel 14 zal worden verstrekt, altijd rekening houden met de redelijke verwachtingen van betrokkenen, de gevolgen die de verwerking voor hen heeft en hun vermogen om hun rechten uit te oefenen in verband met die verwerking. Het beginsel van

31 Het gebruik van de woorden 'indien de persoonsgegevens zullen worden gebruikt voor...' in artikel 14, lid 3, onder b), vormt een specificering van de algemene regel voor de maximumtermijn als bedoeld in artikel 14, lid 3, onder a), maar vervangt deze regel niet.

32 Het gebruik van de woorden 'indien verstrekking van de gegevens aan een andere ontvanger wordt overwogen...' in artikel 14, lid 3, onder c), vormt eveneens een specificering van de algemene regel voor de maximumtermijn als bedoeld in artikel 14, lid 3, onder a), maar vervangt deze regel niet.

33 In artikel 4, punt 9, wordt het begrip 'ontvanger' gedefinieerd en wordt verduidelijkt dat een ontvanger aan wie/waaraan de persoonsgegevens worden verstrekt niet een derde hoeft te zijn. Een ontvanger kan ook een verwerkingsverantwoordelijke, een gezamenlijke verwerkingsverantwoordelijke of een verwerker zijn.

• de verantwoordingsplicht vereist dat verwerkingsverantwoordelijken de redenen voor hun besluit kunnen aantonen en kunnen rechtvaardigen waarom de informatie is verstrekt op het moment dat die is verstrekt. In de praktijk kan het moeilijk zijn om aan deze vereisten te voldoen wanneer de informatie 'op het laatste moment' wordt verstrekt. In dit verband wordt in overweging 39 onder meer bepaald dat betrokkenen ' bewust [moeten] worden gemaakt van de risico's, regels, waarborgen en rechten in verband met de verwerking van persoonsgegevens, alsook van de wijze waarop zij hun rechten met betrekking tot deze verwerking kunnen uitoefenen '. Overweging 60 heeft eveneens betrekking op de vereiste dat de betrokkene op de hoogte wordt gesteld van het feit dat er een verwerking plaatsvindt en van de doeleinden daarvan in het kader van de beginselen van behoorlijke en transparante verwerking. Om al deze redenen is het standpunt van de WP29 dat verwerkingsverantwoordelijken in overeenstemming met het beginsel van behoorlijkheid de informatie ruim vóór het verstrijken van de vastgestelde termijnen aan betrokkenen dienen te verstrekken, wanneer dat mogelijk is. Verdere opmerkingen over de gepastheid van de tijd tussen de kennisgeving van een verwerking aan betrokkenen en het moment dat die verwerking feitelijk plaatsvindt worden gegeven in de paragrafen 30, 31 en 48.

Veranderingen in de informatie van de artikelen 13 en 14

29. De verantwoordingsplicht met betrekking tot transparantie is niet alleen van toepassing op het moment van de verzameling van persoonsgegevens, maar gedurende de hele verwerkingscyclus, ongeacht de informatie die wordt verstrekt of de communicatie die wordt overgebracht. Dit is bijvoorbeeld het geval wanneer de inhoud van bestaande privacyverklaringen/mededelingen wordt veranderd. De verwerkingsverantwoordelijke moet bij het verstrekken van de initiële privacyverklaring/mededeling en het meedelen van eventuele daaropvolgende substantiële of wezenlijke veranderingen in die privacyverklaring/mededeling dezelfde beginselen in acht nemen. Factoren die verwerkingsverantwoordelijken in aanmerking dienen te nemen wanneer ze beoordelen of een verandering substantieel of wezenlijk is, omvatten het effect op betrokkenen (waaronder hun vermogen om hun rechten uit te oefenen) en hoe onverwacht/verrassend de verandering zal zijn voor betrokkenen. Veranderingen in een privacyverklaring/mededeling die altijd aan betrokkenen dienen te worden meegedeeld zijn onder andere: een verandering in het doel van de verwerking, een verandering in de identiteit van de verwerkingsverantwoordelijke, of een verandering in de wijze waarop betrokkenen hun rechten in verband met de verwerking kunnen uitoefenen. Omgekeerd zijn correcties van spelfouten of stilistische/grammaticale tekortkomingen voorbeelden van veranderingen in een privacyverklaring/mededeling die door de WP29 niet substantieel of wezenlijk worden geacht. Aangezien de meeste bestaande klanten of gebruikers niet meer dan een korte blik zullen werpen op mededelingen over veranderingen in privacyverklaringen/mededelingen, dient de verwerkingsverantwoordelijke alle noodzakelijke maatregelen te nemen om ervoor te zorgen dat veranderingen op een zodanige wijze worden meegedeeld dat de meeste ontvangers er feitelijk acht op zullen slaan. Dit betekent bijvoorbeeld dat een kennisgeving van veranderingen altijd plaats dient te vinden via een geschikt medium (bv. e-mail, een papieren brief, een pop-up op een webpagina of een andere modaliteit die de veranderingen effectief onder de aandacht van

de betrokkene zal brengen) en voldoet aan de vereisten van artikel 12 van beknoptheid, transparantie, begrijpelijkheid, gemakkelijke toegankelijkheid en duidelijke en eenvoudige taal. Vermeldingen in de privacyverklaring/mededeling met de strekking dat de betrokkene regelmatig moet controleren of de privacyverklaring/mededeling is gewijzigd of geactualiseerd, worden in het kader van artikel 5, lid 1, onder a), niet alleen als onvoldoende, maar ook als onbehoorlijk beschouwd. Verdere richtsnoeren betreffende het moment van de kennisgeving van veranderingen aan betrokkenen worden gegeven in de paragrafen 30 en 31 hieronder.

Moment van de kennisgeving van veranderingen in de informatie van artikel 13 en artikel 14

30. In de AVG worden geen vereisten vastgesteld inzake het moment waarop (en de methoden waarmee) kennisgevingen van veranderingen in informatie die eerder op grond van de artikelen 13 en 14 aan een betrokkene is verstrekt moeten worden gedaan (behalve bij voorgenomen verdere verwerkingen, in welk geval de informatie over dat andere doel overeenkomstig artikel 13, lid 3, en artikel 14, lid 4, vóór het begin van die verdere verwerking moet worden verstrekt - zie hieronder in paragraaf 45). Zoals hierboven is opgemerkt in de context van het moment van verstrekking van de informatie van artikel 14, moet de verwerkingsverantwoordelijke ook in dit geval weer de beginselen van behoorlijkheid en verantwoordingsplicht in acht nemen, door rekening te houden met de redelijke verwachtingen van de betrokkene of het potentiële effect van de veranderingen op de betrokkene. Indien de verandering in de informatie indicatief is voor een fundamentele verandering van de aard van de verwerking (bijvoorbeeld door een uitbreiding van de categorieën van ontvangers of de invoering van doorgiften aan een derde land) of voor een verandering die mogelijk niet fundamenteel is voor de verwerking, maar die relevant kan zijn voor en effect kan hebben op de betrokkene, dient die informatie ruim voordat de verandering feitelijk wordt doorgevoerd aan de betrokkene te worden verstrekt en moet de methode die wordt gebruikt om de veranderingen onder de aandacht van de betrokkene te brengen expliciet en doeltreffend zijn. Dit moet ervoor zorgen dat de betrokkene de verandering niet 'mist' en een redelijke termijn krijgt om a) de aard en het effect van de verandering te begrijpen, en b) zijn of haar rechten uit hoofde van de AVG in verband met de verandering uit te oefenen (bv. door de toestemming voor de verwerking in te trekken of bezwaar te maken tegen de verwerking).
31. Verwerkingsverantwoordelijken dienen de omstandigheden en de context van elke situatie waarin een actualisering van de transparantie-informatie nodig is, waaronder het potentiële effect van de veranderingen op de betrokkene en de regeling die wordt gekozen om de veranderingen mee te delen, zorgvuldig te wegen en moeten kunnen aantonen dat de tijd die ligt tussen de kennisgeving van de verandering en het van kracht worden van de verandering in overeenstemming is met het beginsel van behoorlijkheid ten aanzien van de betrokkene. Het standpunt van de WP29 is voorts dat, in overeenstemming met het beginsel van behoorlijkheid, een verwerkingsverantwoordelijke bij het meedelen van veranderingen aan betrokkenen ook dient uit te leggen wat het waarschijnlijke effect van de verandering op de betrokkenen zal zijn. Naleving van de transparantievereisten vormt geen 'vergoelijking' van een situatie waarin de veranderingen in een verwerking zo

significant zijn dat de verwerking volkomen van aard verandert. De WP29 benadrukt dat alle andere voorschriften van de AVG, waaronder die welke betrekking hebben op onverenigbare verdere verwerking, van toepassing blijven ongeacht of de transparantieverplichtingen worden nageleefd.

32. Ook wanneer transparantie-informatie (bv. in een privacyverklaring/mededeling) niet wezenlijk verandert, zullen betrokkenen die gedurende een significante periode gebruik hebben gemaakt van een dienst, zich de informatie die uit hoofde van artikel 13 en/of 14 bij het begin van de verwerking aan hen is verstrekt waarschijnlijk niet herinneren. De WP29 beveelt aan dat verwerkingsverantwoordelijken betrokkenen gemakkelijke toegang tot de informatie blijven bieden, zodat betrokkenen altijd kunnen opzoeken wat de reikwijdte van de gegevensverwerking is. In overeenstemming met het beginsel van de verantwoordingsplicht dienen verwerkingsverantwoordelijken ook te bepalen of, en met welke tussenpozen, het voor hen passend is om betrokkenen uitdrukkelijk te herinneren aan het bestaan van de privacyverklaring/mededeling en de plaats waar ze die kunnen vinden.

Regelingen - vorm van de informatieverstrekking

33. De artikelen 13 en 14 hebben beide betrekking op de verplichting voor de verwerkingsverantwoordelijke om 'de betrokkene bij de verkrijging van de persoonsgegevens al de volgende informatie [te verstrekken] '. Het sleutelwoord hier is 'verstrekken'. Dit betekent dat de verwerkingsverantwoordelijke actief stappen moet ondernemen om de informatie in kwestie aan de betrokkene te bezorgen of de betrokkene actief naar de locatie van de informatie te dirigeren (bv. door middel van een rechtstreekse link, een QR-code, enz.). Het moet niet zo zijn dat de betrokkene actief naar de door deze artikelen bestreken informatie moet zoeken te midden van andere informatie, zoals gebruiksvoorwaarden van een website of een app. Het voorbeeld in paragraaf 11 illustreert dit punt. Zoals hierboven in paragraaf 17 is opgemerkt, beveelt de WP29 aan dat de tot een betrokkene gerichte informatie in haar geheel beschikbaar is op één enkele plaats of in één enkel volledig document (bv. in digitale vorm op een website, of in papieren vorm), waartoe de betrokkene gemakkelijk toegang heeft indien hij of zij de voor hem of haar bestemde informatie in haar geheel wil raadplegen.
34. Er bestaat in de AVG een inherente spanning tussen enerzijds de vereiste om betrokkenen uitgebreide informatie te verstrekken, en anderzijds om dat te doen in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm. Gezien deze spanning, en met de grondbeginselen van verantwoordingsplicht en behoorlijkheid in gedachten, moeten verwerkingsverantwoordelijken hun eigen analyse maken van de aard, de omstandigheden, de reikwijdte en de context van de door hen uitgevoerde verwerkingen van persoonsgegevens, en moeten ze besluiten, binnen de wettelijke vereisten van de AVG en rekening houdend met de aanbevelingen in deze richtsnoeren, met name paragraaf 36 hieronder, hoe ze de aan betrokkenen te verstrekken informatie prioriteren, hoe

gedetailleerd die informatie moet zijn en welke methoden ze zullen gebruiken om de informatie aan de betrokkene te verstrekken.

Gelaagde aanpak in een digitale omgeving en gelaagde privacyverklaringen/mededelingen

35. In de digitale context, en in het licht van het volume aan informatie dat aan de betrokkene moet worden verstrekt, kunnen verwerkingsverantwoordelijken een gelaagde aanpak volgen wanneer zij ervoor kiezen om een combinatie van methoden te gebruiken om transparantie te waarborgen. De WP29 beveelt in het bijzonder aan, teneinde informatiemoeheid te voorkomen, om gelaagde privacyverklaringen/mededelingen te gebruiken en daarin links te plaatsen naar de verschillende categorieën informatie die aan de betrokkene moeten worden verstrekt, in plaats van alle informatie in één enkele mededeling op het scherm weer te geven. Gelaagde privacyverklaringen/mededelingen kunnen helpen om de spanning tussen volledigheid en begrip op te lossen, met name door gebruikers de mogelijkheid te bieden om rechtstreeks te navigeren naar het onderdeel van de privacyverklaring/mededeling dat ze willen lezen. Opgemerkt zij dat gelaagde privacyverklaringen/mededelingen niet louter ingebedde pagina's zijn waarop gebruikers meerdere keren moeten klikken om bij de desbetreffende informatie te komen. Het ontwerp en de layout van de eerste laag van de privacyverklaring/mededeling dienen zodanig te zijn dat de betrokkene een duidelijk overzicht heeft van de informatie over de verwerking van zijn of haar persoonsgegevens die aan hem of haar beschikbaar is gesteld en van de plaats waar/de wijze waarop hij of zij die gedetailleerde informatie kan vinden binnen de lagen van de privacyverklaring/mededeling. Ook is het belangrijk dat de informatie in de verschillende lagen van een gelaagde privacyverklaring/mededeling met elkaar in overeenstemming is en dat in de verschillende lagen geen met elkaar strijdige informatie wordt gegeven.
36. Met betrekking tot de inhoud van de eerste regeling die door een verwerkingsverantwoordelijke wordt gebruikt om betrokkenen te informeren in een gelaagde aanpak (met andere woorden: de primaire wijze waarop de verwerkingsverantwoordelijke voor het eerst contact opneemt met een betrokkene), of tot de inhoud van de eerste laag van een gelaagde privacyverklaring/mededeling, beveelt de WP29 aan dat in de eerste laag/regeling details van het doel van de verwerking, de identiteit van de verwerkingsverantwoordelijke en een beschrijving van de rechten van de betrokkene worden gegeven. (Bovendien dient deze informatie bij het verzamelen van de persoonsgegevens rechtstreeks onder de aandacht van de betrokkene te worden gebracht, bijvoorbeeld door de informatie weer te geven wanneer een betrokkene een onlineformulier invult.) Het belang van het van tevoren verstrekken van deze informatie vloeit rechtstreeks voort uit overweging 39 34 . Hoewel verwerkingsverantwoordelijken

34 In overweging 39 wordt over het transparantiebeginsel het volgende verklaard: 'Dat beginsel betreft met name het informeren van de betrokkenen over de identiteit van de verwerkingsverantwoordelijke en de doeleinden van de verwerking, alsook verdere informatie om te zorgen voor behoorlijke en transparante verwerking met betrekking tot de natuurlijke personen in kwestie en hun recht om bevestiging en mededeling te krijgen van hun persoonsgegevens die worden verwerkt.'

• moeten kunnen aantonen dat ze verantwoording kunnen afleggen over hun besluiten betreffende de verdere informatie waaraan ze prioriteit geven, is het standpunt van de WP29 dat de eerste laag/regeling, in overeenstemming met het behoorlijkheidsbeginsel, naast de hierboven in deze paragraaf bedoelde gedetailleerde informatie ook informatie over de verwerking met het grootste effect op de betrokkene en die een verrassing voor de betrokkene zou kunnen vormen zou moeten bevatten. De betrokkene zou uit de informatie in de eerste laag/regeling moeten kunnen begrijpen wat de gevolgen van de verwerking in kwestie voor hem of haar zullen zijn (zie ook hierboven in paragraaf 10).

37. In een digitale context kunnen verwerkingsverantwoordelijken er ook voor kiezen om, naast de verstrekking van een gelaagde onlineprivacyverklaring/mededeling, aanvullende transparantie-instrumenten (voor verdere voorbeelden, zie hieronder) te gebruiken om op de individuele betrokkene toegesneden informatie te verstrekken die specifiek is voor de desbetreffende individuele betrokkene en voor de goederen/diensten die betrokkene afneemt. Opgemerkt dient echter te worden dat hoewel de WP29 het gebruik van gelaagde onlineprivacyverklaringen/mededelingen aanbeveelt, deze aanbeveling de ontwikkeling en het gebruik van andere innovatieve methoden voor de naleving van transparantievereisten niet uitsluit.

Gelaagde aanpak in een niet-digitale omgeving

38. Een gelaagde aanpak van de verstrekking van transparantie-informatie aan betrokkenen kan ook worden gehanteerd in een offline/niet-digitale context (d.w.z. in de echte wereld, zoals een persoonlijk of telefonisch gesprek) waar verwerkingsverantwoordelijken meerdere regelingen kunnen toepassen bij de verstrekking van informatie. (Zie ook de paragrafen 33 tot en met 37 en 39-40 in verband met verschillende regelingen voor het verstrekken van informatie). Deze aanpak moet niet worden verward met het afzonderlijke onderwerp van gelaagde privacyverklaringen/mededelingen. Welke vorm ook wordt gebruikt in deze gelaagde aanpak, de WP29 beveelt aan dat in de eerste 'laag' (met andere woorden de primaire wijze waarop de verwerkingsverantwoordelijke voor het eerst contact opneemt met een betrokkene) over het algemeen de belangrijkste informatie wordt overgebracht, te weten de details van het doel van de verwerking, de identiteit van de verwerkingsverantwoordelijke en het bestaan van de rechten van de betrokkene, samen met de informatie over het grootste effect van de verwerking of over verwerkingen die voor de betrokkene een verrassing zouden kunnen vormen. Wanneer, bijvoorbeeld, het eerste contact met de betrokkene telefonisch is, zou deze informatie hem of haar tijdens het telefoongesprek kunnen worden verstrekt samen met al de informatie die volgens de artikelen 13 en 14 is vereist. Hiertoe kunnen ook andere communicatiemiddelen worden ingezet. Zo kan aan de betrokkene via e-mail een kopie van het privacybeleid worden verstrekt en/of een link naar de gelaagde onlineprivacyverklaring/mededeling van de verwerkingsverantwoordelijke.

'Push'- en 'pull'-berichten

39. Een andere mogelijke manier om transparantie-informatie te verstrekken is het verzenden van 'push'- en 'pull'-berichten. In het geval van push-berichten wordt 'just-in-time'transparantie-informatie verstrekt, terwijl 'pull'-berichten de toegang tot informatie vergemakkelijken door methoden als toegangsrechtenbeheer, privacydashboards en korte instructiefilmpjes ('tutorials'). Deze methoden maken een meer op de gebruiker gerichte transparantie-ervaring voor de betrokkene mogelijk.

• Een privacydashboard is één enkel punt waar de betrokkene 'privacy-informatie' kan inzien en zijn of haar privacyvoorkeuren kan beheren door toe te staan of te voorkomen dat zijn of haar gegevens door de dienst in kwestie op bepaalde manieren worden gebruikt. Dit is met name zinvol wanneer de betrokkene dezelfde dienst gebruikt op verschillende apparaten, omdat de betrokkene zo toegang tot en controle over zijn of haar persoonsgegevens krijgt, ongeacht hoe hij of zij de dienst gebruikt. Toestaan dat betrokkenen hun privacy-instellingen kunnen aanpassen via een privacydashboard kan het ook gemakkelijker maken om een privacyverklaring/mededeling te personaliseren door daarin alleen de typen verwerkingen die op een betrokkene van toepassing zijn op te nemen. Het integreren van een privacydashboard in de bestaande architectuur van een dienst (bv. door hetzelfde ontwerp en dezelfde branding te gebruiken als in de rest van de dienst) heeft de voorkeur, omdat dit ervoor zal zorgen dat de toegang en het gebruik intuïtief zijn en kan helpen bij het aanmoedigen van gebruikers om deze informatie tot zich te nemen, op dezelfde wijze waarop ze dat bij andere aspecten van de dienst zouden doen. Dit kan een doeltreffende manier zijn om te laten zien dat privacy-informatie een noodzakelijk en integraal onderdeel van een dienst is en niet slechts een lange tekst in juridisch jargon.
• Een just-in-time-bericht wordt gebruikt om op een ad-hocmanier specifieke privacy-informatie te verstrekken op het moment dat het lezen van die informatie voor de betrokkene het meest relevant is. Deze methode is nuttig voor het verstrekken van informatie gedurende het hele proces van de gegevensverzameling; de informatie kan zo over meerdere gemakkelijk verteerbare brokken worden verspreid en er hoeft minder te worden vertrouwd op één enkele privacyverklaring/mededeling met informatie die buiten de context moeilijk te begrijpen is. Als een betrokkene bijvoorbeeld online een product koopt, kan een korte uitleg worden gegeven in pop-ups in de desbetreffende tekstvelden. In de informatie naast een veld waar het telefoonnummer van de betrokkene wordt gevraagd zou bijvoorbeeld kunnen worden uitgelegd dat deze gegevens uitsluitend worden verzameld voor het doel van contact over de aankoop en dat de gegevens alleen zullen worden verstrekt aan de bezorgdienst.

Andere typen 'passende maatregelen'

40. Gegeven het zeer hoge niveau van internettoegang in de EU en het feit dat betrokkenen op elk gewenst moment online kunnen gaan, op allerlei locaties en vanaf verschillende apparaten, is het standpunt van de WP29, zoals reeds opgemerkt, dat voor

verwerkingsverantwoordelijken met een digitale/onlineaanwezigheid een 'passende maatregel' om transparantie-informatie te verstrekken het verstrekken van een elektronische privacyverklaring/mededeling is. Op basis van de omstandigheden van de gegevensverzameling en -verwerking (of wanneer een verwerkingsverantwoordelijke geen digitale/onlineaanwezigheid heeft) zal de verwerkingsverantwoordelijke mogelijk echter ook andere regelingen en vormen nodig hebben om de informatie te verstrekken. Andere mogelijke manieren om de informatie aan de betrokkene over te brengen zijn bijvoorbeeld de hieronder opgesomde modaliteiten, zoals die van toepassing zijn op een van de volgende persoonsgegevensomgevingen. Zoals eerder is opgemerkt, kunnen verwerkingsverantwoordelijken een gelaagde aanpak hanteren wanneer ze ervoor kiezen om een combinatie van methoden te gebruiken, waarbij ze ervoor dienen te zorgen dat de belangrijkste informatie (zie de paragrafen 36 en 38) altijd wordt verstrekt in de eerste regeling die ze gebruiken om met betrokkenen te communiceren.

• a. Papieren omgeving, bijvoorbeeld bij het aangaan van verbintenissen via de post: schriftelijke toelichtingen, brochures, informatie in contractdocumenten, infographics of stroomschema's;
• b. Telefonische omgeving: mondelinge toelichtingen door een echte persoon om interactie en het stellen van vragen mogelijk te maken, of geautomatiseerde of vooraf opgenomen mededelingen met opties om meer gedetailleerde informatie te beluisteren;
• c. Schermloze slimme technologie/ IoT-omgeving, zoals Wi-Fi-trackinganalyse: iconen, QR-codes, voicewaarschuwingen, schriftelijke details in schrijfinstructies voor papieren documenten, video's in digitale instructies, schriftelijke informatie over het slimme apparaat, berichten via sms of e-mail, zichtbare borden met de informatie, openbare bewegwijzering of publieke informatiecampagnes;
• d. Interpersoonlijke omgeving, zoals responsen op opiniepeilingen, persoonlijke registratie voor diensten: mondelinge toelichtingen of schriftelijke toelichtingen in papieren of elektronisch formaat;
• e. 'Real-life'-omgeving met beveiligingscamera's/drones: zichtbare borden met de informatie, openbare bewegwijzering of publieke informatiecampagnes of krantenartikelen/mediaberichten.

Informatie over profilering en geautomatiseerde besluitvorming

41. Informatie over het bestaan van geautomatiseerde besluitvorming, waaronder profilering, zoals bedoeld in artikel 22, leden 1 en 4, maakt, samen met nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene, deel uit van de informatie die overeenkomstig artikel 13, lid 2, onder f), en artikel 14, lid 2, onder g), aan een betrokkene moet worden verstrekt. De WP29 heeft richtsnoeren voor geautomatiseerde individuele besluitvorming en profilering 35 uitgebracht, waarnaar zou moeten worden verwezen voor verdere hulp bij het vormgeven

van transparantie in de specifieke omstandigheden van profilering. Opgemerkt moet worden dat, naast de specifieke transparantievereisten die van toepassing zijn op geautomatiseerde besluitvorming overeenkomstig artikel 13, lid 2, onder f), en artikel 14, lid 2, onder g), de opmerkingen in deze richtsnoeren over het belang van het informeren van betrokkenen over de gevolgen van de verwerking van hun persoonsgegevens, en het algemene beginsel dat betrokkenen niet mogen worden verrast door de verwerking van hun persoonsgegevens, evenzeer algemeen van toepassing zijn op profilering (en niet alleen op profilering overeenkomstig artikel 22 36 ), als soort verwerking 37 .

Andere kwesties - risico's, regels en waarborgen

42. In overweging 39 van de AVG wordt ook ingegaan op de verstrekking van bepaalde informatie die niet uitdrukkelijk onder de artikelen 13 en 14 vallen (zie de tekst in paragraaf 28 hierboven). De vermelding in deze overweging dat betrokkenen bewust moeten worden gemaakt van de risico's, regels en waarborgen in verband met de verwerking van hun persoonsgegevens houdt verband met een aantal andere vraagstukken. Een daarvan heeft betrekking op gegevensbeschermingseffectbeoordelingen. Zoals wordt verklaard in de richtsnoeren van de WP29 voor gegevensbeschermingseffectbeoordelingen 38 , kunnen verwerkingsverantwoordelijken de publicatie van (samenvattingen van) gegevensbeschermingseffectbeoordelingen overwegen als manier om meer vertrouwen te wekken in de verwerkingen van de verwerkingsverantwoordelijke en om blijk te geven van verantwoording en transparantie, ofschoon deze publicatie niet verplicht is. Bovendien kan de naleving van een gedragscode (artikel 40) al in de richting van het aantonen van transparantie gaan, omdat gedragscodes kunnen worden opgesteld om de toepassing van de AVG te specificeren met betrekking tot, onder meer, behoorlijke en transparante verwerking, aan het publiek en betrokkenen te verstrekken informatie, en aan kinderen te verstrekken informatie en bescherming van kinderen.
43. Een ander relevant vraagstuk met betrekking tot transparantie is gegevensbescherming door ontwerp en door standaardinstellingen (zoals vereist door artikel 25). Deze beginselen verplichten verwerkingsverantwoordelijken om gegevensbescherming vanaf het begin in te bouwen in het ontwerp en standaardinstellingen van hun verwerkingen en systemen, in plaats van gegevensbescherming pas aan het eind in aanmerking te nemen als iets wat ook nog moet worden nageleefd. In overweging 78 wordt verklaard dat de verwerkingsverantwoordelijke maatregelen moet nemen die voldoen aan de vereisten van gegevensbescherming door ontwerp en door standaardinstellingen, met inbegrip van maatregelen voor transparantie met betrekking tot de functies en de verwerking van persoonsgegevens.

36 Dit is van toepassing op geautomatiseerde besluitvorming op basis van alleen geautomatiseerde verwerking, waaronder profilering, die rechtsgevolgen voor de betrokkene heeft of hem of haar anderszins aangaan.

37 In overweging 60, die in dit verband relevant is, wordt verklaard: 'Voorts moet de betrokkene worden geïnformeerd over het bestaan van profilering en de gevolgen daarvan'.

38 Richtsnoeren voor gegevensbeschermingseffectbeoordelingen en bepaling of een verwerking "waarschijnlijk een hoog risico inhoudt" in de zin van Verordening 2016/679, WP 248 rev.1.

44. Los daarvan heeft het bewustmaken van betrokkenen van de risico's, regels en waarborgen ook betrekking op de gezamenlijke verwerkingsverantwoordelijken. Artikel 26, lid 1, vereist van gezamenlijke verwerkingsverantwoordelijken dat zij hun respectieve verantwoordelijkheden voor de nakoming van de verplichtingen uit hoofde van deze verordening vaststellen, met name met betrekking tot de uitoefening van de rechten van de betrokkene en hun respectieve verplichtingen om de in de artikelen 13 en 14 bedoelde informatie te verstrekken. Artikel 26, lid 2, vereist dat de essentie van de regeling tussen de verwerkingsverantwoordelijken beschikbaar moet zijn voor de betrokkene. Anders gezegd: het moet voor de betrokkene volkomen duidelijk zijn welke verwerkingsverantwoordelijke hij of zij kan benaderen om een of meer van zijn of haar rechten uit hoofde van de AVG uit te oefenen 39 .

Informatie met betrekking tot verdere verwerking

45. Zowel artikel 13 als artikel 14 bevat een bepaling 40 die verwerkingsverantwoordelijken, wanneer ze voornemens zijn de persoonsgegevens van een betrokkene verder te verwerken voor een ander doel dan dat waarvoor ze zijn verzameld/verkregen, verplicht om de betrokkene daarvan in kennis te stellen. In dergelijke gevallen 'verstrekt de verwerkingsverantwoordelijke de betrokkene vóór die verdere verwerking informatie over dat andere doel en alle relevante verdere informatie als bedoeld in lid 2'. Deze bepalingen vormen de specifieke uitwerking van het in artikel 5, lid 1, onder b), neergelegde beginsel dat persoonsgegevens worden verzameld voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden en vervolgens niet verder mogen worden verwerkt op een met die doeleinden onverenigbare wijze 41 . In het tweede deel van artikel 5, lid 1, onder b), wordt bepaald dat de verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden overeenkomstig artikel 89, lid 1, niet als onverenigbaar met de oorspronkelijke doeleinden wordt beschouwd. Wanneer persoonsgegevens verder worden verwerkt voor doeleinden die verenigbaar met de oorspronkelijke doeleinden zijn (artikel 6, lid 4 42 ), zijn artikel 13, lid 3, en artikel 14, lid 4, van toepassing. De vereisten van deze artikelen om een betrokkene te informeren over verdere verwerkingen bevordert het uitgangspunt in de AVG dat een

39 Overeenkomstig artikel 26, lid 3, kan de betrokkene, ongeacht de voorwaarden van de in artikel 26, lid 1, bedoelde regeling, zijn of haar rechten uit hoofde van deze verordening met betrekking tot en jegens iedere verwerkingsverantwoordelijke uitoefenen.

40 Artikel 13, lid 3, en artikel 14, lid 4, die dezelfde bewoording hebben, met uitzondering van het woord 'verzameld' dat in artikel 13 wordt gebruikt en dat in artikel 14 is vervangen door het woord 'verkregen'.

42 In artikel 6, lid 4, wordt op niet-uitputtende wijze een opsomming gegeven van de factoren waarmee rekening moet worden gehouden bij de beoordeling van de vraag of de verwerking voor een ander doel verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld, namelijk: het verband tussen de doeleinden, het kader waarin de persoonsgegevens zijn verzameld, de aard van de persoonsgegevens (met name of bijzondere categorieën van persoonsgegevens of persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten worden verwerkt), de mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkenen, en het bestaan van passende waarborgen.

betrokkene redelijkerwijs zou moeten kunnen verwachten dat bij en in de context van de verzameling van persoonsgegevens die verwerking voor een specifiek doel zal plaatsvinden 43 . Met andere woorden: een betrokkene zou niet verrast mogen zijn door het doel van de verwerking van zijn of haar persoonsgegevens.

46. Artikel 13, lid 3, en artikel 14, lid 4, kunnen, voor zover ze betrekking hebben op het bepalen van 'alle relevante verdere informatie als bedoeld in lid 2', op het eerste gezicht aldus worden uitgelegd dat ze de verwerkingsverantwoordelijke een zekere beoordelingsruimte laten ten aanzien van de mate waarin en welke specifieke categorieën informatie uit hoofde van het toepasselijke lid 2 (d.w.z. artikel 13, lid 2, of artikel 14, lid 2) aan de betrokkene moet(en) worden verstrekt. (In overweging 61 heet dit ' andere noodzakelijke informatie '.) De standaard is echter dat alle in het desbetreffende lid vermelde informatie aan de betrokkene dient te worden verstrekt, tenzij een of meer categorieën van de informatie niet bestaan of niet van toepassing zijn.
47. De WP29 beveelt aan dat, om transparantie, behoorlijkheid en verantwoording te waarborgen, verwerkingsverantwoordelijken, wanneer ze een andere rechtsgrond dan toestemming of nationale/EU-wetgeving gebruiken voor een nieuw verwerkingsdoel, zouden moeten overwegen om in hun privacyverklaring/mededeling informatie over de overeenkomstig artikel 6, lid 4, uitgevoerde verenigbaarheidsanalyse 44 te verstrekken aan betrokkenen. (Met andere woorden: een toelichting op de wijze waarop de verwerking voor een andere doel of andere doelen verenigbaar is met het aanvankelijke doel). Dit moet betrokkenen de gelegenheid bieden om de verenigbaarheid van de verdere verwerking en de verstrekte waarborgen te beoordelen en te besluiten of ze hun rechten zullen uitoefenen, zoals, onder andere, het recht op beperking van de verwerking of het recht om bezwaar tegen een verwerking te maken 45 . Wanneer verwerkingsverantwoordelijken ervoor kiezen om deze informatie op te nemen in hun privacyverklaring/mededeling, beveelt de WP29 aan om betrokkenen duidelijk te maken dat ze de informatie op verzoek kunnen ontvangen.
48. Verbonden aan de uitoefening van rechten door betrokkenen is de kwestie van het juiste moment van de verstrekking. Zoals hierboven is benadrukt, is de tijdige verstrekking van informatie een cruciaal element van de transparantievereisten van de artikelen 13 en 14 en inherent aan het begrip 'behoorlijke verwerking'. Informatie met betrekking tot verdere verwerking moet 'vóór die verdere verwerking' worden verstrekt. Het standpunt van de WP29 is dat er een redelijke periode dient te liggen tussen de kennisgeving en het begin van de verwerking en dat de verwerking niet onmiddellijk na ontvangst van de kennisgeving door de betrokkene zou moeten beginnen. Dit geeft betrokkenen de praktische voordelen van het transparantiebeginsel door hen een betekenisvolle gelegenheid te geven om na te denken over (en mogelijk hun rechten uit te oefenen in verband met) de verdere

43 Overwegingen 47 en 50.

44 Ook genoemd in overweging 50.

45 Zoals wordt opgemerkt in overweging 63, zal dit een betrokkene in staat stellen om zich van de verwerking op de hoogte te stellen en de rechtmatigheid daarvan te controleren.

verwerking. Wat een redelijke periode is zal afhankelijk zijn van de specifieke omstandigheden. Het behoorlijkheidsbeginsel vereist dat hoe ingrijpender (of minder verwacht) de verdere verwerking is, hoe langer de periode zou moeten zijn. Evenzo vereist het beginsel van de verantwoordingsplicht dat verwerkingsverantwoordelijken moeten kunnen aantonen dat de momenten voor de verstrekking van deze informatie die ze hebben vastgesteld, in de betreffende omstandigheden gerechtvaardigd zijn en behoorlijk zijn ten aanzien van de betrokkenen. (Zie ook de eerdere opmerkingen in verband met het vaststellen van redelijke termijnen in de paragrafen 30 tot en met 32 hierboven.)

Visualisatie-instrumenten

49. Belangrijk is dat de toepassing van het transparantiebeginsel in de AVG zich niet beperkt tot (schriftelijke of mondelinge) taaluitingen. De AVG voorziet in het gebruik, waar passend, van visualisatie-instrumenten (in het bijzonder iconen, certificeringsmechanismen en gegevensbeschermingszegels en -merktekens). In overweging 58 46 wordt opgemerkt dat in de onlineomgeving de toegankelijkheid van informatie die bestemd is voor het publiek of voor de betrokkene van bijzonder belang is 47 .

Iconen

50. Overweging 60 voorziet in de verstrekking van informatie aan een betrokkene 'in combinatie' met gestandaardiseerde iconen, ofwel in een meerlagige aanpak. Iconen zouden echter niet simpelweg moeten worden gebruikt als vervanging van de informatie die nodig is voor de uitoefening van de rechten van de betrokkene, noch als vervanging van de naleving door de verwerkingsverantwoordelijke van zijn of haar verplichtingen uit hoofde van de artikelen 13 en 14. Artikel 12, lid 7, voorziet in het gebruik van dergelijke iconen, en luidt als volgt:

'De krachtens de artikelen 13 en 14 aan betrokkenen te verstrekken informatie mag worden verstrekt met gebruikmaking van gestandaardiseerde iconen, om de betrokkene een nuttig overzicht, in een goed zichtbare, begrijpelijke en duidelijk leesbare vorm, van de voorgenomen verwerking te bieden. Wanneer de iconen elektronisch worden weergegeven, zijn ze machineleesbaar'.

51. De bepaling in artikel 12, lid 7, dat wanneer de iconen elektronisch worden weergegeven, ze machineleesbaar moeten zijn, suggereert dat zich situaties kunnen voordoen waarin iconen niet elektronisch worden weergegeven 48 , zoals bijvoorbeeld iconen op papieren

46 'Die informatie kan elektronisch worden verstrekt, bijvoorbeeld wanneer die tot het publiek is gericht, via een website. Dit geldt in het bijzonder voor situaties, waarin het vanwege zowel het grote aantal actoren als de technologische complexiteit van de praktijk voor een betrokkene moeilijk is te weten en te begrijpen of, door wie en met welk doel zijn persoonsgegevens worden verzameld, zoals bij onlineadvertenties.'

47 In deze context zouden verwerkingsverantwoordelijken rekening moeten houden met betrokkenen met een visuele handicap (zoals, bijvoorbeeld, kleurenblindheid).

documenten, IoT-apparaten of de verpakking van IoT-apparaten, mededelingen in de openbare ruimte over Wi-Fi-tracking, QR-codes en mededelingen over beveiligingscamera's.

52. Het doel van het gebruik van iconen is duidelijk om de transparantie voor betrokkenen te vergroten door de noodzaak om een betrokkene zeer grote hoeveelheden schriftelijke informatie te verstrekken, in potentie te verminderen. Het nut van iconen voor het doeltreffend overbrengen van de uit hoofde van de artikelen 13 en 14 vereiste informatie is afhankelijk van de standaardisatie van symbolen/afbeeldingen, zodat ze universeel kunnen worden gebruikt en overal in de EU worden herkend als staande voor die informatie. In dit verband wordt de verantwoordelijkheid voor de ontwikkeling van een reeks iconen in de AVG aan de Commissie toegewezen, maar uiteindelijk kan het Europees Comité voor gegevensbescherming (EDPB), op verzoek van de Commissie of op eigen initiatief, een advies over die iconen uitbrengen aan de Commissie 49 . De WP29 erkent dat, in overeenstemming met overweging 166, bij de ontwikkeling van een 'code van iconen' een op empirisch bewijs gebaseerde aanpak zou moeten worden gehanteerd en dat voorafgaand aan een dergelijke standaardisering uitgebreid onderzoek zou moeten worden gedaan, samen met het bedrijfsleven en het algemene publiek, naar de doeltreffendheid van iconen in deze context.

Certificeringsmechanismen, zegels en merktekens

53. Behalve in het gebruik van gestandaardiseerde iconen voorziet de AVG (artikel 42) ook in het gebruik van certificeringsmechanismen voor gegevensbescherming en gegevensbeschermingszegels en -merktekens om naleving van de AVG door verwerkingsverantwoordelijken en verwerkers bij verwerkingen aan te tonen en de transparantie voor betrokkenen te vergroten 50 . De WP29 zal te zijner tijd richtsnoeren inzake certificeringsmechanismen uitbrengen .

'Een document wordt als document in machinaal leesbaar formaat beschouwd als het een bestandsformaat heeft met een zodanige structuur dat softwaretoepassingen gemakkelijk specifieke gegevens in het document kunnen identificeren, herkennen en extraheren. Gegevens die zijn gecodeerd in bestanden die in een machinaal leesbaar formaat zijn gestructureerd, zijn machinaal leesbare gegevens. Machinaal leesbare formaten kunnen open of geoctrooieerd zijn; zij kunnen al dan niet formele standaards zijn. Documenten die zijn gecodeerd in een bestandsformaat dat een automatische verwerking beperkt doordat de gegevens niet of niet gemakkelijk uit de documenten kunnen worden gehaald, mogen niet als documenten in een machinaal leesbaar formaat worden beschouwd. In voorkomend geval dienen de lidstaten het gebruik van open, machinaal leesbare formaten aan te moedigen.'

49 Artikel 12, lid 8, verleent de Commissie de bevoegdheid om overeenkomstig artikel 92 gedelegeerde handelingen vast te stellen om te bepalen welke informatie de iconen dienen weer te geven en via welke procedures de gestandaardiseerde iconen tot stand dienen te komen. Overweging 166 (die betrekking heeft op gedelegeerde handelingen van de Commissie in het algemeen) is instructief door erin te voorzien dat de Commissie bij haar voorbereidende werkzaamheden toereikende raadplegingen verricht, onder meer op deskundigenniveau. Het Europees Comité voor gegevensbescherming (EDPB) heeft ook een belangrijke raadplegende rol te spelen met betrekking tot de standaardisering van iconen, aangezien in artikel 70, lid 1, onder r), wordt bepaald dat het Comité op eigen initiatief of op verzoek van de Commissie advies kan uitbrengen over iconen.

50 Zie de verwijzing in overweging 100.

Uitoefening van rechten door betrokkenen

54. Transparantie legt verwerkingsverantwoordelijken een drievoudige verplichting op voor zover het de rechten van betrokkenen uit hoofde van de AVG betreft, aangezien zij 51 :

• betrokkenen informatie moeten verstrekken over hun rechten 52 (zoals vereist door artikel 13, lid 2, onder b), en artikel 14, lid 2, onder c);
• het transparantiebeginsel in acht moeten nemen (ten aanzien van de kwaliteit van de communicatie als bedoeld in artikel 12, lid 1) bij de communicatie met betrokkenen in verband met hun rechten uit hoofde van de artikelen 15 tot en met 22 en artikel 34; en
• de uitoefening door betrokkenen van hun rechten uit hoofde van de artikelen 15 tot en met 22 moeten vergemakkelijken.

55. De vereisten van de AVG in verband met de uitoefening van deze rechten en de aard van de verplicht te verstrekken informatie zijn bedoeld om betrokkenen op een betekenisvolle wijze in de positie te brengen dat ze hun rechten kunnen doen gelden en verwerkingsverantwoordelijken verantwoordelijk kunnen houden voor de verwerking van hun persoonsgegevens. In overweging 59 wordt benadrukt dat er ' regelingen voorhanden [dienen] te zijn om de betrokkene in staat te stellen zijn rechten [...] gemakkelijker uit te oefenen ' en dat de verwerkingsverantwoordelijke ' ook middelen [dient] te verstrekken om verzoeken elektronisch in te dienen, vooral wanneer persoonsgegevens langs elektronische weg worden verwerkt '. De door een verwerkingsverantwoordelijke aan een betrokkene geboden regeling om zijn of haar rechten uit te oefenen dient passend te zijn voor de context en de aard van de betrekking en interacties tussen de verwerkingsverantwoordelijke en een betrokkene. Daartoe zal een verwerkingsverantwoordelijke mogelijk een of meer verschillende regelingen voor de uitoefening van rechten willen aanbieden die een weerspiegeling vormen van de verschillende manieren waarop betrokkenen met die verwerkingsverantwoordelijke interacteren.

Voorbeeld

Een aanbieder van een gezondheidsdienst gebruikt een elektronisch formulier op zijn website, en formulieren in de receptie van zijn gezondheidsklinieken, om het indienen van een verzoek om inzage in persoonsgegevens, zowel online als persoonlijk, te vergemakkelijken. Hoewel hij deze regelingen aanbiedt, aanvaardt de gezondheidsdienst nog steeds verzoeken om inzage die op andere wijze worden ingediend (zoals per brief of via e-mail) en beschikt hij over een speciaal contactpunt (dat gemakkelijk bereikbaar is, via e-mail of telefonisch) om betrokkenen te helpen

51 Overeenkomstig hoofdstuk III, Rechten van de betrokkene, afdeling Transparantie en regelingen, artikel 12, van de AVG.

52 Inzage, rectificatie, wissing, beperking van de verwerking, bezwaar tegen de verwerking, overdraagbaarheid.

bij het uitoefenen van hun rechten.

Uitzonderingen op de verplichting om informatie te verstrekken

Uitzonderingen van artikel 13

56. De enige uitzondering op de verplichtingen van een verwerkingsverantwoordelijke uit hoofde van artikel 13 wanneer deze persoonsgegevens rechtstreeks bij een betrokkene worden verzameld, is van toepassing 'wanneer en voor zover de betrokkene reeds over de informatie beschikt' 53 . Het beginsel van de verantwoordingsplicht vereist dat verwerkingsverantwoordelijken aantonen (en documenteren) over welke informatie de betrokkene reeds beschikt, hoe en wanneer de betrokkene die heeft ontvangen en dat er sindsdien geen veranderingen hebben plaatsgevonden in de informatie die de informatie achterhaald maken. Voorts maakt het gebruik van de term 'voor zover' in artikel 13, lid 4, duidelijk dat ook als de betrokkene eerder reeds bepaalde categorieën van de in artikel 13 bedoelde informatie heeft ontvangen, de verwerkingsverantwoordelijke nog steeds de verplichting heeft om die informatie aan te vullen om ervoor te zorgen dat de betrokkene over alle in de artikelen 13, leden 1 en 2, genoemde informatie beschikt. Het volgende voorbeeld is een beste praktijk voor de beperkende wijze waarop de uitzondering van artikel 13, lid 4, dient te worden uitgelegd.

Voorbeeld

Iemand abonneert zich op een e-maildienst en ontvangt bij het sluiten van het abonnement alle door artikel 13, leden 1 en 2, vereiste informatie. Zes maanden later activeert de betrokkene een verbonden instantberichtenfunctionaliteit via zijn emailaanbieder en verstrekt daarvoor zijn mobiele telefoonnummer. De emailaanbieder verstrekt de betrokkene bepaalde informatie uit hoofde van artikel 13, leden 1 en 2, over de verwerking van het telefoonnummer (bv. het doel en de rechtsgrond van de verwerking, de ontvangers, de bewaringstermijn), maar geen informatie die de persoon zes maanden eerder reeds heeft ontvangen en die sindsdien niet is veranderd (zoals de identiteit en de contactgegevens van de verwerkingsverantwoordelijke en de gegevensbeschermingsfunctionaris, informatie over de rechten van betrokkenen en het recht om een klacht in te dienen bij de bevoegde toezichthoudende autoriteit). Als beste praktijk zou echter alle informatie opnieuw aan de betrokkene moeten worden verstrekt; ook zou de betrokkene gemakkelijk moeten kunnen zien welke informatie daarbinnen nieuw is. De nieuwe verwerking ten behoeve van de instantberichtendienst kan effect op een betrokkene hebben op een wijze die hem of haar aanzet tot de uitoefening van een recht waarover hij of zij zes maanden eerder was geïnformeerd, maar dat hij of zij mogelijk was

53 Artikel 13, lid 4.

vergeten. Het verstrekken van alle informatie helpt ook weer om ervoor te zorgen dat betrokkenen goed geïnformeerd zijn over de wijze waarop hun gegevens worden gebruikt en over hun rechten.

Uitzonderingen van artikel 14

57. Artikel 14 voorziet in een veel bredere reeks uitzonderingen op de informatieverplichting voor een verwerkingsverantwoordelijke wanneer persoonsgegevens niet zijn verkregen van de betrokkene. Deze uitzonderingen dienen, als algemene regel, eng te worden uitgelegd en toegepast. Behalve in de omstandigheden waarin de betrokkene de informatie in kwestie reeds heeft ontvangen (artikel 14, lid 5, onder a)), voorziet artikel 14, lid 5, ook in de volgende uitzonderingen:

• De verstrekking van de informatie blijkt onmogelijk of zou onevenredig veel inspanning vergen, in het bijzonder bij verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden, of voor zover de verstrekking van de informatie de verwezenlijking van de doeleinden van de verwerking onmogelijk dreigt te maken of ernstig in het gedrang dreigt te brengen.
• Het recht van de Unie of een lidstaat schrijft uitdrukkelijk voor dat de verwerkingsverantwoordelijke de gegevens moet verkrijgen of verstrekken en voorziet in passende maatregelen om de gerechtvaardigde belangen van de betrokkene te beschermen; of
• De persoonsgegevens moeten in het kader van het recht van de Unie of een lidstaat vertrouwelijk blijven uit hoofde van een beroepsgeheim (waaronder een statutaire geheimhoudingsplicht).

Blijkt onmogelijk, zou onevenredig veel inspanning vergen of dreigt de doeleinden van de verwerking ernstig in het gedrang te brengen

58. Artikel 14, lid 5, onder b), voorziet in drie afzonderlijke situaties waarin de verplichting om de in artikel 14, leden 1, 2 en 4, bedoelde informatie te verstrekken wordt opgeheven.
59. (i) Wanneer het onmogelijk blijkt (in het bijzonder bij verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden);
60. (ii) Wanneer het onevenredig veel inspanning zou vergen (in het bijzonder bij verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden); of
61. (iii) voor zover de verstrekking van de informatie van artikel 14, lid 1, de verwezenlijking van de doeleinden van de verwerking onmogelijk dreigt te maken of ernstig in het gedrang dreigt te brengen.

'Onmogelijk blijkt'

59. De situatie waarin het verstrekken van informatie 'onmogelijk blijkt', zoals bedoeld in artikel 14, lid 5, onder b), is een alles-of-nietssituatie, omdat iets onmogelijk is of dat niet is; er zijn geen gradaties van onmogelijkheid. Indien een verwerkingsverantwoordelijke gebruik wil maken van deze uitzondering, zal hij of zij dus moeten kunnen aantonen welke factoren hem of haar feitelijk verhinderen om de informatie in kwestie aan de betrokkene te verstrekken. Indien, na een bepaalde periode, de factoren die de 'onmogelijkheid' veroorzaakten niet langer bestaan en het mogelijk wordt om de informatie aan betrokkenen te verstrekken, dient de verwerkingsverantwoordelijke dat onmiddellijk te doen. In de praktijk zullen er zeer weinig situaties zijn waarin een verwerkingsverantwoordelijke kan aantonen dat het feitelijk onmogelijk is om de informatie aan betrokkenen te verstrekken. Dit wordt geïllustreerd door het volgende voorbeeld.

Voorbeeld

Een betrokkene schrijft zich in voor een onlinedienst met betaling achteraf. Na de inschrijving verzamelt de verwerkingsverantwoordelijke kredietinformatie over de betrokkene bij een kredietregistratiebureau met het oog op het besluit om de dienst al dan niet te verstrekken. Het protocol van de verwerkingsverantwoordelijke schrijft voor dat de betrokkene, in overeenstemming met artikel 14, lid 3, onder a), binnen drie dagen op de hoogte moet worden gesteld van de verzameling van deze kredietgegevens. Het adres en telefoonnummer van de betrokkene zijn echter niet te vinden in openbare registers (de betrokkene woont in het buitenland). De betrokkene heeft geen e-mailadres opgegeven bij de inschrijving voor de dienst, of het opgegeven e-mailadres is niet correct. De verwerkingsverantwoordelijke constateert dat hij of zij over geen enkel middel beschikt om contact met de betrokkene op te nemen. In dit geval kan de verwerkingsverantwoordelijke echter op de website informatie over de verzameling van kredietinformatie plaatsen, waarop een betrokkene wordt gewezen voordat deze zich inschrijft voor de dienst. In dit geval is het niet onmogelijk om de informatie uit hoofde van artikel 14 te verstrekken.

Onmogelijkheid om de bron van de gegevens te verstrekken

60. In overweging 61 wordt verklaard: ' Wanneer de oorsprong van de persoonsgegevens niet aan de betrokkene kan worden meegedeeld omdat verschillende bronnen zijn gebruikt, moet algemene informatie worden verstrekt '. De opheffing van de vereiste om betrokkenen informatie over de bron van hun persoonsgegevens te verstrekken is alleen van toepassing wanneer het verstrekken van de informatie niet mogelijk is omdat verschillende persoonsgegevens van dezelfde betrokkene niet tot een specifieke bron kunnen worden herleid. Zo is het enkele feit dat de persoonsgegevens van een veelheid aan betrokkenen in een databank door de verwerkingsverantwoordelijken zijn verkregen uit verschillende bronnen, niet voldoende om deze vereiste op te heffen als het mogelijk is om vast te stellen

uit welke bron de persoonsgegevens van individuele betrokkenen afkomstig zijn (ook al kan dat veel tijd kosten of veel lasten met zich meebrengen). Gegeven de vereisten van gegevensbescherming door ontwerp en door standaardinstellingen 54 , zouden in verwerkingssystemen van de grond af aan transparantiemechanismen moeten worden ingebouwd die ervoor zorgen dat alle in de organisatie ontvangen persoonsgegevens op elk moment tijdens de levenscyclus van de verwerking kunnen worden getraceerd en herleid naar hun bron (zie paragraaf 43 hierboven).

'Onevenredig veel inspanning'

61. Overeenkomstig artikel 14, lid 5, onder b), kan de voorwaarde van 'onevenredig veel inspanning', net als die van het 'onmogelijk blijken', ook van toepassing zijn op, in het bijzonder, verwerkingen 'met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden, behoudens de in artikel 89, lid 1, bedoelde voorwaarden en waarborgen'. Ook in overweging 62 worden deze doeleinden genoemd als gevallen waarin de verstrekking van informatie aan de betrokkene onevenredig veel inspanningen zou kosten, en wordt verklaard dat in dat verband in aanmerking mag worden genomen om hoeveel betrokkenen het gaat, hoe oud de gegevens zijn en welke passende waarborgen moeten worden ingebouwd. Gegeven de nadruk die in overweging 62 en artikel 14, lid 5, onder b), wordt gelegd op archivering, onderzoek en statistische doeleinden in verband met de toepassing van deze uitzondering, is het standpunt van de WP29 dat deze uitzondering niet routinematig mag worden gebruikt door verwerkingsverantwoordelijken die geen persoonsgegevens verwerken met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden. De WP29 onderstreept dat wanneer deze doeleinden worden nagestreefd, er nog steeds moet worden voldaan aan de voorwaarden van artikel 89, lid 1, en de verstrekking van de informatie onevenredig veel inspanning moet vergen.
62. Bij het bepalen van wat onmogelijkheid of onevenredig veel inspanning overeenkomstig artikel 14, lid 5, onder b), zou kunnen vormen, is het relevant dat er geen vergelijkbare uitzonderingen krachtens artikel 13 van toepassing zijn (wanneer persoonsgegevens worden verzameld bij de betrokkene). Het enige verschil tussen artikel 13 en artikel 14 is dat in het laatste geval de persoonsgegevens niet bij de betrokkene worden verzameld. Hieruit volgt dat onmogelijkheid of onevenredig veel inspanning zich doorgaans voordoen in omstandigheden die niet van toepassing zijn als de persoonsgegevens worden verzameld bij de betrokkene. Met andere woorden: de onmogelijkheid of onevenredige inspanning moet rechtstreeks verband houden met het feit dat de persoonsgegevens niet van de betrokkene zijn verkregen.

Voorbeeld

Een groot hoofdstedelijk ziekenhuis vereist van alle patiënten, in verband met poliklinische behandelingen, ziekenhuisopname en afspraken, dat ze een

54 Artikel 25.

patiëntinformatieformulier invullen, waarin wordt gevraagd om de gegevens van twee familieleden (betrokkenen). Gegeven het zeer hoge aantal patiënten dat dagelijks het ziekenhuis bezoekt, zou het van het ziekenhuis onevenredig veel inspanning vergen om alle personen die door patiënten als familielid op een patiëntinformatieformulier worden vermeld de door artikel 14 vereiste informatie te verstrekken.

63. De in overweging 62 genoemde factoren (hoeveel betrokkenen, hoe oud de gegevens zijn en welke passende waarborgen moeten worden ingebouwd) kunnen indicatief zijn voor de soorten problemen die ertoe bijdragen dat een verwerkingsverantwoordelijke onevenredig veel inspanning moet verrichten om een betrokkene de toepasselijke informatie van artikel 14 te verstrekken.

Voorbeeld

Onderzoekers die historisch onderzoek verrichten naar de afstamming van personen op basis van achternamen, verzamelen op indirecte wijze een uitgebreide hoeveelheid gegevens over 20 000 betrokkenen. De gegevensverzameling dateert echter van vijftig jaar geleden, is sindsdien niet geactualiseerd en bevat geen contactgegevens. Gegeven de omvang van de databank en meer in het bijzonder de leeftijd van de gegevens, zou het van de onderzoekers onevenredig veel inspanning vergen om de betrokkenen individueel te traceren teneinde hen de informatie van artikel 14 te verstrekken.

64. Wanneer een verwerkingsverantwoordelijke gebruik wil maken van de uitzondering van artikel 14, lid 5, onder b), op basis van het argument dat verstrekking van de informatie onevenredig veel inspanning zou vergen, dient hij of zij de inspanning die het zou vergen om de informatie aan de betrokkene te verstrekken af te wegen tegen het effect op en de gevolgen voor de betrokkene wanneer die de informatie niet ontvangt. Deze afweging dient door de verwerkingsverantwoordelijke te worden gedocumenteerd in overeenstemming met zijn of haar verantwoordingsplichten. Voor dergelijke gevallen wordt in artikel 14, lid 5, onder b), gespecificeerd dat de verwerkingsverantwoordelijke passende maatregelen moet nemen om de rechten, de vrijheden en de gerechtvaardigde belangen van de betrokkene te beschermen. Dit is evenzeer van toepassing wanneer een verwerkingsverantwoordelijke bepaalt dat de verstrekking van de informatie onmogelijk blijkt of de verwezenlijking van de doeleinden van de verwerking onmogelijk dreigt te maken of ernstig in het gedrang dreigt te brengen. Eén passende maatregel, zoals gespecificeerd in artikel 14, 5, onder b), die verwerkingsverantwoordelijken altijd moeten nemen is de informatie openbaar maken. Een verwerkingsverantwoordelijke kan dit op een aantal manieren doen, bijvoorbeeld door de informatie op zijn of haar website te plaatsen of door proactief bekendheid te geven aan de informatie, bijvoorbeeld in een krant of op posters in voor het publiek toegankelijke bedrijfsruimten. Andere passende maatregelen, naast het openbaar maken van de informatie, zullen afhangen van de omstandigheden van de verwerking, maar kunnen bijvoorbeeld zijn: het uitvoeren van een gegevensbeschermingseffectbeoordeling; het op de gegevens toepassen van pseudonimiseringstechnieken; het minimaliseren van de verzamelde gegevens en de opslagperiode; en het treffen van technische en organisatorische maatregelen om een hoog

niveau van beveiliging te verzekeren. Bovendien kunnen er situaties zijn waarin een verwerkingsverantwoordelijke persoonsgegevens verwerkt waarvoor de identificatie van een betrokkene niet nodig is (bijvoorbeeld bij gepseudonimiseerde gegevens). In dergelijke gevallen kan ook artikel 11, lid 1, relevant zijn, aangezien daarin wordt bepaald dat een verwerkingsverantwoordelijke niet verplicht is om, uitsluitend om aan deze verordening te voldoen, aanvullende gegevens ter identificatie van de betrokkene bij te houden, te verkrijgen of te verwerken.

Ernstig in het gedrang dreigt brengen

65. De laatste situatie die door artikel 14, lid 5, onder b), wordt bestreken is die waarin de verstrekking van de informatie uit hoofde van artikel 14, lid 1, aan een betrokkene de verwezenlijking van de doeleinden van die verwerking onmogelijk dreigt te maken of ernstig in het gedrang dreigt te brengen. Om gebruik te kunnen maken van deze uitzondering moeten verwerkingsverantwoordelijken aantonen dat de verstrekking van de informatie van artikel 14, lid 1, op zichzelf al de verwezenlijking van de doeleinden van die verwerking zou frustreren. Dit aspect van artikel 14, lid 5, onder b), vooronderstelt dat de gegevensverwerking voldoet aan alle in artikel 5 beschreven beginselen en, nog belangrijker, dat de verwerking van de persoonsgegevens in alle omstandigheden op behoorlijke wijze geschiedt en is gebaseerd op een rechtsgrond.

Voorbeeld

Bank A is krachtens de antiwitwaswetgeving verplicht om verdachte transacties in verband met bij haar aangehouden rekeningen te rapporteren aan de bevoegde toezichthoudende autoriteit. Bank A ontvangt informatie van Bank B (in een andere lidstaat) dat een rekeninghouder de opdracht heeft gegeven om geld over te boeken naar een andere rekening, bij Bank A, welke transactie verdacht lijkt. Bank A rapporteert deze gegevens met betrekking tot haar rekeninghouder en de verdachte activiteit aan de financieel toezichthouder. Krachtens de antiwitwaswetgeving in kwestie is het 'tippen' van een rekeninghouder dat deze mogelijk het voorwerp van een onderzoek door de toezichthouder zal worden een strafbaar feit. In deze situatie is artikel 14, lid 5, onder b), van toepassing, omdat het verstrekken van de informatie van artikel 14 over de verwerking van de van Bank B ontvangen persoonsgegevens aan de betrokkene (de houder van een rekening bij Bank A) door de rapporterende bank de verwezenlijking van de doeleinden van die verwerking ernstig in het gedrang dreigt te brengen. Wanneer iemand een rekening opent bij Bank A, moet die nieuwe rekeninghouder echter alle algemene informatie worden verstrekt aangaande het feit dat zijn of haar persoonsgegevens kunnen worden verwerkt voor antiwitwasdoeleinden.

De verkrijging of verstrekking is uitdrukkelijk vastgelegd in de wet

66. Artikel 14, lid 5, onder c), staat het niet toepassen van de informatievereisten van artikel 14, leden 1, 2 en 4, toe voor zover de verkrijging of verstrekking van de persoonsgegevens 'uitdrukkelijk is voorgeschreven bij Unieof lidstatelijk recht dat op de

verwerkingsverantwoordelijke van toepassing is'. Deze uitzondering is onderworpen aan de voorwaarde dat het recht in kwestie voorziet in ' passende maatregelen om de gerechtvaardigde belangen van de betrokkene te beschermen '. Dit recht moet rechtstreeks betrekking hebben op de verwerkingsverantwoordelijke, en de verkrijging of verstrekking in kwestie moet voor de verwerkingsverantwoordelijke verplicht zijn. Bijgevolg moet de verwerkingsverantwoordelijke kunnen aantonen hoe het recht in kwestie op hem of haar van toepassing is en hem of haar verplicht om de desbetreffende persoonsgegevens te verkrijgen dan wel te verstrekken. Hoewel het aan de Unie of de lidstaat is om te voorzien in ' passende maatregelen om de gerechtvaardigde belangen van de betrokkene te beschermen ', dient de verwerkingsverantwoordelijke ervoor te zorgen (en te kunnen aantonen) dat de verkrijging of verstrekking van persoonsgegevens in overeenstemming is met die maatregelen. Daarnaast moet de verwerkingsverantwoordelijke het aan betrokkenen duidelijk maken dat hij of zij persoonsgegevens verkrijgt of verstrekt overeenkomstig het recht in kwestie, tenzij een wettelijk verbod de verwerkingsverantwoordelijke belet om dat te doen. Dit is in overeenstemming met overweging 41 van de AVG, waarin wordt verklaard dat een rechtsgrond of een wetgevingsmaatregel duidelijk en nauwkeurig moet zijn en de toepassing daarvan voorspelbaar moet zijn voor degenen op wie deze van toepassing is, zoals vereist door de rechtspraak van het Hof van Justitie van de Europese Unie en het Europees Hof voor de rechten van de mens. Artikel 14, lid 5, onder c), zal echter niet van toepassing zijn wanneer de verwerkingsverantwoordelijke een verplichting heeft om de gegevens rechtstreeks bij de betrokkene te verkrijgen, in welk geval artikel 13 van toepassing zal zijn. In dat geval zal de enige uitzondering op de verplichting om de betrokkene informatie te verstrekken over de verwerking die door de AVG aan de verwerkingsverantwoordelijke wordt toegestaan die van artikel 13, lid 4, zijn (d.w.z. wanneer en voor zover de betrokkene reeds over de informatie beschikt). Zoals hieronder in paragraaf 68 echter wordt opgemerkt, kunnen lidstaten op nationaal niveau overeenkomstig artikel 23 ook wetgeving vaststellen die het recht op transparantie van artikel 12 en het recht op informatie van de artikelen 13 en 14 verder beperkt.

Voorbeeld

Een belastingautoriteit is krachtens het nationale recht verplicht om alle gegevens van de salarissen van werknemers op te vragen bij de werkgevers van die werknemers. De persoonsgegevens worden niet verkregen van de betrokkenen, en daarom is de belastingautoriteit onderworpen aan de vereisten van artikel 14. Omdat de verkrijging van de persoonsgegevens door de belastingautoriteit van de werkgevers uitdrukkelijk is vastgelegd in de wet, zijn de informatievereisten van artikel 14 in dit geval niet van toepassing op de belastingautoriteit.

Vertrouwelijkheid uit hoofde van een beroepsgeheim

67. Artikel 14, lid 5, onder d), voorziet in een uitzondering op de informatieverplichting voor verwerkingsverantwoordelijken wanneer de persoonsgegevens ' vertrouwelijk moeten blijven uit hoofde van een beroepsgeheim in het kader van Unierecht of lidstatelijk recht, waaronder een statutaire geheimhoudingsplicht '. Wanneer een

verwerkingsverantwoordelijke gebruik wil maken van deze uitzondering, moet hij of zij naar behoren kunnen aantonen dat de uitzondering van toepassing is, en ook hoe het beroepsgeheim rechtstreeks op hem of haar van toepassing is en hem of haar derhalve verbiedt om alle in artikel 14, leden 1, 2 en 4, bedoelde informatie aan de betrokkene te verstrekken.

Voorbeeld

Een beroepsbeoefenaar in de gezondheidszorg (verwerkingsverantwoordelijke) heeft een beroepsgeheim in verband met de medische gegevens van zijn patiënten. Een patiënt (ten aanzien van wie het beroepsgeheim van toepassing is) verstrekt de beroepsbeoefenaar in de gezondheidszorg informatie over haar gezondheid die verband houdt met een erfelijke aandoening waaraan ook enkele familieleden van haar lijden. Ook verstrekt de patiënt de beroepsbeoefenaar in de gezondheidszorg bepaalde persoonsgegevens van haar familieleden (betrokkenen) met diezelfde erfelijke aandoening. De beroepsbeoefenaar in de gezondheidszorg is niet verplicht om die familieleden de informatie van artikel 14 te verstrekken, omdat de uitzondering van artikel 14, lid 5, onder d), van toepassing is. Als de beroepsbeoefenaar in de gezondheidszorg de informatie van artikel 14 zou moeten verstrekken aan de familieleden, zou het beroepsgeheim ten aanzien van zijn patiënt worden geschonden.

Beperkingen van de rechten van betrokkenen

68. Artikel 23 voorziet erin dat de lidstaten (of de EU) de reikwijdte van de rechten van betrokkenen in verband met transparantie wettelijk verder kunnen inperken 55 wanneer dergelijke maatregelen de essentie van de grondrechten en de fundamentele vrijheden respecteren en noodzakelijk en evenredig zijn om een of meer van de tien in artikel 23, lid 1, onder a) tot en met j), beschreven doelstellingen te waarborgen. Wanneer die nationale maatregelen afbreuk doen aan ofwel de specifieke rechten van betrokkenen, ofwel de algemene transparantieverplichtingen die anders krachtens de AVG van toepassing zouden zijn op verwerkingsverantwoordelijken, dient de verwerkingsverantwoordelijke te kunnen aantonen hoe de nationale bepalingen op hem of haar van toepassing zijn. Zoals wordt bepaald in artikel 23, lid 2, onder h), moet de wetgevingsmaatregel een bepaling bevatten inzake het recht van betrokkenen om van de beperking op de hoogte te worden gesteld, tenzij dit afbreuk kan doen aan het doel van de beperking. Consistent hiermee, en in overeenstemming met het behoorlijkheidsbeginsel, dient de verwerkingsverantwoordelijke betrokkenen ook te informeren dat hij of zij zich op een dergelijke nationale wettelijke beperking van de uitoefening van de rechten van betrokkenen of van de transparantieverplichting verlaat (of zal verlaten, wanneer de betrokkene een specifiek recht zal uitoefenen), tenzij dat de verwezenlijking van het doel van de wettelijke beperking zou schaden. In dit verband vereist transparantie van verwerkingsverantwoordelijken dat ze betrokkenen van tevoren adequate informatie verstrekken over hun rechten en eventuele voorbehouden op die rechten waar de verwerkingsverantwoordelijke mogelijk gebruik van

55 Zoals neergelegd in de artikelen 12 tot en met 22 en artikel 34, en in artikel 5 voor zover de bepalingen daarvan overeenkomen met de rechten en verplichtingen waarin wordt voorzien in de artikelen 12 tot en met 22.

• zal maken, zodat een betrokkene niet wordt verrast door een voorgenomen beperking van een bepaald recht wanneer hij of zij dat recht later probeert uit te oefenen jegens de verwerkingsverantwoordelijke. In verband met pseudonimisering en gegevensminimalisatie, en voor zover een verwerkingsverantwoordelijke mogelijk voornemens is om artikel 11 van de AVG toe te passen, heeft de WP29 eerder, in zijn advies 3/2017 56 , bevestigd dat artikel 11 van de AVG moet worden gezien als een middel om echte gegevensminimalisatie af te dwingen zonder de uitoefening van rechten door betrokkenen te belemmeren en dat de uitoefening van die rechten mogelijk moet worden gemaakt met behulp van door de betrokkene te verstrekken aanvullende informatie.

69. Daarnaast verplicht artikel 85 de lidstaten om het recht op bescherming van persoonsgegevens wettelijk in overeenstemming te brengen met het recht op vrijheid van meningsuiting en van informatie. Dit vereist, onder andere, dat de lidstaten passende uitzonderingen op of afwijkingen van bepaalde bepalingen van de AVG (waaronder de transparantievereisten van de artikelen 12 tot en met 14) vaststellen voor verwerkingen voor journalistieke doeleinden of ten behoeve van academische, artistieke of literaire uitdrukkingsvormen, indien deze noodzakelijk zijn om de twee rechten in overeenstemming met elkaar te brengen.

Transparantie en inbreuken in verband met persoonsgegevens

70. De WP29 heeft afzonderlijke richtsnoeren opgesteld over inbreuken in verband met persoonsgegevens 57 , maar ook met betrekking tot deze richtsnoeren moeten de transparantievereisten van artikel 12 58 volledig deel uitmaken van de verplichtingen van de verwerkingsverantwoordelijke inzake het melden van inbreuken in verband met persoonsgegevens aan een betrokkene . De mededeling van een inbreuk in verband met persoonsgegevens moet voldoen aan dezelfde, hierboven gedetailleerd beschreven vereisten (met name wat betreft het gebruik van duidelijke en eenvoudige taal) die van toepassing zijn op alle andere communicatie met de betrokkene in verband met zijn of haar rechten of met de verstrekking van informatie uit hoofde van de artikelen 13 en 14.

57 Richtsnoeren over het melden van inbreuk in verband met persoonsgegevens volgens Verordening (EU) 2016/679, WP 250.

58 Dit wordt duidelijk gemaakt in artikel 12, lid 1, waarin specifiek wordt verwezen naar '…de in de artikelen 15 tot en met 22 en artikel 34 bedoelde communicatie in verband met de verwerking...' met de betrokkene. [Nadruk toegevoegd].

Bijlage

Informatie die op grond van de artikelen 13 en 14 moet worden verstrekt aan een betrokkene

Type informatie dat wordt vereist	Toepasselijk artikel (wanneer persoonsgege vens rechtstreeks bij de betrokkene worden verzameld)	Toepasselijk artikel (wanneer persoonsgege vens niet bij de betrokkene worden verkregen)	Opmerkingen vandeWP29 over de informatievereiste
De identiteit en contactgegevens van de verwerkingsverantwoordel ijke en, in voorkomend geval, van de vertegenwoordiger van de verwerkingsverantwoordel ijke 59	Artikel 13, lid 1, onder a)	Artikel 14, lid 1, onder a)	Deze informatie (telefoonnummer, e-mail, postadres, enz.) dient voor een gemakkelijke identificatie van de verwerker te zorgen en bij voorkeur ook andere vormen van communicatie met de verwerkingsverantwoordelijke mogelijk te maken.
In voorkomend geval, de contactgegevens van de gegevensbeschermingsfun ctionaris	Artikel 13, lid 1, onder b)	Artikel 14, lid 1, onder b)	Zie de richtsnoeren van de WP29inzake gegevensbeschermingsfunctio narissen. 60
De doeleinden van en de rechtsgrond voor de verwerking	Artikel 13, lid 1, onder c)	Artikel 14, lid 1, onder c)	Behalve de doeleinden van de verwerking waarvoor de persoonsgegevens zijn bestemd, moet ook de toegepaste rechtsgrond overeenkomstig artikel 6 worden gespecificeerd. In geval van de bijzondere categorieën van persoonsgegevens moet de toepasselijke bepaling van artikel 9 (en indien relevant, de toepasselijke Unie- of nationale wetgeving op grond waarvan de gegevens worden verwerkt)

59 Zoals gedefinieerd in artikel 4, punt 17, van de AVG (en genoemd in overweging 80), is een 'vertegenwoordiger' een in de EU gevestigde natuurlijke persoon of rechtspersoon die uit hoofde van artikel 27 schriftelijk door de verwerkingsverantwoordelijke of de verwerker is aangewezen om de verwerkingsverantwoordelijke of de verwerker te vertegenwoordigen in verband met zijn of haar respectieve verplichtingen krachtens de AVG. Deze verplichting is van toepassing wanneer de verwerkingsverantwoordelijke of de verwerker, in overeenstemming met artikel 3, lid 2, niet in de EU is gevestigd, maar persoonsgegevens verwerkt van betrokkenen die zich in de Unie bevinden en de verwerking verband houdt met het aanbieden van goederen of diensten aan deze betrokkenen of het monitoren van hun gedrag in de EU.

			worden gespecificeerd. Wanneer, krachtens artikel 10, persoonsgegevens die verband houden met strafrechtelijke veroordelingen en misdrijven of daarmee samenhangende veiligheidsmaatregelen worden verwerkt op grond van artikel 6, lid 1, moet, indien van toepassing, de toepasselijke Unie- of nationale wetgeving op grond waarvan de gegevens worden verwerkt worden gespecificeerd.
Wanneer gerechtvaardigde belangen (artikel 6, lid 1, onder f)) de rechtsgrond van de verwerking vormen, de gerechtvaardigde belangen van de verwerkingsverantwoordel ijke of van een derde	Artikel 13, lid 1, onder d)	Artikel 14, lid 2, onder b)	Het specifieke belang in kwestie moet worden geïdentificeerd ten behoeve van de betrokkene. Als beste praktijk kan de verwerkingsverantwoordelijke ook, voordat persoonsgegevens van de betrokkene worden verzameld, de betrokkene informatie verstrekken over de afweging die moet worden gemaaktom artikel 6, lid 1, onder f), als rechtsgrond voor de verwerking te kunnen gebruiken.Om informatiemoeheid te voorkomen kan deze informatie worden opgenomen in een gelaagde privacyverklaring/mededeling (zie paragraaf 35). In elk geval is het standpunt van de WP29dat aan betrokkenen verstrekte informatie duidelijk moet maken dat zij op verzoek informatie over de afweging kunnen ontvangen. Dit is essentieel voor een doeltreffende transparantie wanneer betrokkenen twijfels hebben over de billijkheid van de gemaakte afweging of een klacht willen indienen bij een toezichthoudende autoriteit.

De categorieën van ontvangers van de persoonsgegevens	Niet vereist	Artikel 14, lid 1, onder d)	Deze informatie is vereist in een artikel 14-scenario omdat de persoonsgegevens niet zijn verkregen bij de betrokkene, die zich daarom onvoldoende bewust is van de categorieën persoonsgegevens die de verwerkingsverantwoordelijke heeft verkregen.
De ontvangers 61 (of categorieën van ontvangers) van de persoonsgegevens	Artikel 13, lid 1, onder e)	Artikel 14, lid 1, onder e)	De term 'ontvanger' wordt in artikel 4, punt 9, gedefinieerd als 'een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, al dan niet een derde , aan wie/waaraan de persoonsgegevens worden verstrekt' [nadruk toegevoegd]. Als zodanig hoeft een ontvanger geen derde te zijn. Daarom vallen andere verwerkingsverantwoordelijken , gezamenlijke verwerkingsverantwoordelijken en verwerkers aan wie/waaraan gegevens worden doorgegeven of verstrekt onder de term 'ontvanger' en moet behalve informatie over derde ontvangers ook informatie over dergelijke ontvangers worden verstrekt. De (namen van de) feitelijke ontvangers van de persoonsgegevens, of categorieën persoonsgegevens, moeten worden verstrekt. In overeenstemming met het behoorlijkheidsbeginsel moeten verwerkingsverantwoordelijken informatie over de ontvangers verstrekken die voor de betrokkenen het meest betekenisvol is. In de praktijk zullen dit doorgaansmetname genoemde ontvangers zijn, zodat betrokkenen precies weten wie hun

61 Zoals gedefinieerd in artikel 4, punt 9, van de AVG en genoemd in overweging 31.

			persoonsgegevens heeft. Indien verwerkingsverantwoordelijken ervoor kiezenomde categorieën van ontvangers te verstrekken, dient de informatie zo specifiek mogelijk te zijn door aanduiding van het type ontvangers (d.w.z. door vermelding van de activiteiten die die ontvangers verrichten) en de industrie, de sector, de subsector en de locatie van de ontvangers.
Details van doorgiften aan derde landen, het feit zelf en de details van de toepasselijke waarborgen 62 (waaronder het bestaan of de afwezigheid van een adequaatheidsbesluit van de Commissie 63 ) en de middelen omeenkopie ervan te verkrijgen of wanneer deze beschikbaar zijn gesteld	Artikel 13, lid 1, onder f)	Artikel 14, lid 1, onder f)	Het toepasselijke artikel van de AVGdat de doorgifte en het gebruik van de bijbehorende mechanismen toestaat (zoals het adequaatheidsbesluit van artikel 45, de bindende bedrijfsvoorschriften van artikel 47, de standaardbepalingen inzake gegevensbescherming van artikel 46, lid 2, de afwijkingen en waarborgen van artikel 49, enz.) moet worden gespecificeerd. Ook dient informatie te worden verstrekt over de plaats waar of de wijze waarop het desbetreffende document kan worden ingezien of verkregen, bv. door een link naar het toegepaste mechanisme te plaatsen. In overeenstemming met het behoorlijkheidsbeginsel moet de informatie over doorgiften aan derde landen voor betrokkenen zo betekenisvol mogelijk zijn; dit zal over het algemeen betekenen dat het derde land moet worden genoemd.
de periode gedurende welke de persoonsgegevens zullen worden opgeslagen (indien dit niet mogelijk is, de	Artikel 13, lid 2, onder a)	Artikel 14, lid 2, onder a)	Dit houdt verband met de vereiste van minimale gegevensverwerking als bedoeld in artikel 5, lid 1, onder c), en de vereiste van

62 Zoals beschreven in artikel 46, leden 2 en 3.

63 Overeenkomstig artikel 45.

criteria omdie periode te bepalen)			opslagbeperking als bedoeld in artikel 5, lid 1, onder e). De opslagperiode (of de criteria omdie te bepalen) kan (kunnen) worden gedicteerd door factoren als wettelijke vereisten of sectorale richtsnoeren, maar zou(den) altijd zodanig moeten worden geformuleerd dat de betrokkene, op basis van zijn of haar eigen situatie, kan beoordelen wat de bewaringstermijn voor specifieke gegevens/doeleinden is. Het is niet voldoende dat de verwerkingsverantwoordelijke in algemene zin verklaart dat persoonsgegevens zo lang zullen worden bewaard als nodig is voor het rechtmatige doel van de verwerking. Indien relevant zouden de verschillende opslagperioden voor verschillende categorieën van persoonsgegevens en/of verschillende verwerkingsdoeleinden moeten worden vermeld, met inbegrip van, waar passend, de
Het recht van betrokkenen op: • inzage; • rectificatie; • wissing; • beperking van de verwerking; • het maken van bezwaar tegen een verwerking; en • overdraagbaarheid.	Artikel 13, lid 2, onder b)	Artikel 14, lid 2, onder c)	Deze informatie moet specifiek zijn voor het verwerkingsscenario en moet een samenvatting van wat het recht inhoudt, de wijze waarop de betrokkene stappen kan ondernemen omdat recht uit te oefenen en eventuele beperkingen van het recht (zie paragraaf 68 hierboven) omvatten. Metnamehet recht omtegen een verwerking bezwaar te maken moet uitdrukkelijk onder de aandacht van de betrokkene worden gebracht, uiterlijk op het momentvan het eerste contact met de betrokkene, en moet duidelijk en gescheiden van enige

			andere informatie worden weergegeven 64 . Wat betreft het recht op overdraagbaarheid, zie de richtsnoeren vandeWP29 inzake het recht op gegevensoverdraagbaarheid 65 .
Wanneer de verwerking is gebaseerd op toestemming (of uitdrukkelijke toestemming), het recht omdetoestemming te allen tijde in te trekken	Artikel 13, lid 2, onder c)	Artikel 14, lid 2, onder d)	Deze informatie moet omvatten hoe de toestemming kan worden ingetrokken, in aanmerking genomen dat het voor een betrokkene even gemakkelijk dient te zijnomde toestemming in te trekken als omdie te geven 66 .
Het recht omeenklacht in te dienen bij een toezichthoudende autoriteit	Artikel 13, lid 2, onder d)	Artikel 14, lid 2, onder e)	In deze informatie zou moeten worden uitgelegd dat, in overeenstemming met artikel 77, iedere betrokkene het recht heeft omeenklacht in te dienen bij een toezichthoudende autoriteit, met name in de lidstaat waar hij gewoonlijk verblijft, hij zijn werkplek heeft of waar de beweerde inbreuk op de AVGis begaan.
Of de verstrekking van persoonsgegevens een wettelijke of contractuele verplichting is dan wel een noodzakelijke voorwaarde omeenovereenkomst te sluiten, en of de betrokkene verplicht is de persoonsgegevens te verstrekken en wat de mogelijke gevolgen zijn wanneer deze gegevens niet worden verstrekt.	Artikel 13, lid 2, onder e)	Niet vereist	In bijvoorbeeld een arbeidsovereenkomst kan het een contractuele verplichting zijn ombepaalde informatie te verstrekken aan een huidige of prospectieve werkgever. Oponlineformulieren zou duidelijk moeten worden aangegeven welke velden 'verplicht' zijn, welke dat niet zijn en wat de gevolgen van het niet invullen van verplichte velden zijn.

64 Artikel 21, lid 4, en overweging 70 (die van toepassing is op direct marketing).

66 Artikel 7, lid 3.

De bron waaruit de persoonsgegevens afkomstig zijn, en indien van toepassing, of dit een open bron is.	Niet vereist	Artikel 14, lid 2, onder f)	De specifieke bron van de gegevens moet worden meegedeeld, tenzij dat niet mogelijk is - zie paragraaf 60 voor nadere richtsnoeren. Indien de specifieke bron niet wordt genoemd, moet de verstrekte informatie het volgende omvatten:De aard van de bron(nen) (openbaar/particulier) en het type organisatie/industrie/sector.
Het bestaan van geautomatiseerde besluitvorming, met inbegrip van profilering, en, indien van toepassing, nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene.	Artikel 13, lid 2, onder f)	Artikel 14, lid 2, onder g)	Zie de richtsnoeren van de WP29voor geautomatiseerde individuele besluitvorming en profilering 67 .

---

Footnotes

1. Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG.

2. Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van Kaderbesluit 2008/977/JBZ van de Raad,

3. Hoewel transparantie niet een van de in artikel 4 van Richtlijn (EU) 2016/680 gedefinieerde beginselen van de verwerking van persoonsgegevens is, wordt in overweging 26 verklaard dat iedere verwerking van persoonsgegevens 'rechtmatig, behoorlijk en transparant' ten aanzien van de natuurlijke personen in kwestie moet zijn.

4. In Richtlijn 95/46/EG werd transparantie alleen genoemd in overweging 38, als onderdeel van de vereiste om gegevens op een behoorlijke wijze te verwerken, maar niet uitdrukkelijk in het overeenkomstige artikel 6, lid 1, onder a).

5. Zie bijvoorbeeld de conclusies van advocaat-generaal Cruz Villalón (9 juli 2015) in de zaak Bara (zaak C-201/14), punt 74:

6. Zie de publicatie 'Duidelijk Schrijven ' van de Europese Commissie (2011), te vinden op: https://publications.europa.eu/nl/publication-detail/-/publication/c2dab20c-0414-408d-87b5-dd3c6e5dd9a5

7. Artikel 5 van Richtlijn 93/13/EEG van 5 april 1993 betreffende oneerlijke bedingen in consumentenovereenkomsten.

8. https://www.unicef.org/rightsite/files/uncrcchilldfriendlylanguage.pdf

9. WP29-advies 8/2014, goedgekeurd op 16 september 2014.

10. Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679 , WP 251.

11. Voor voorbeelden van dit beginsel zie de overwegingen 47, 50, 61, 156, en 158, artikel 6, lid 4, en artikel 89.

12. De AVG geeft geen definitie van 'machineleesbaar' , maar in overweging 21 van Richtlijn 2013/37/EU wordt dit begrip als volgt omschreven:

13. Advies 03/2017 over de verwerking van persoonsgegevens in het kader van coöperatieve intelligente vervoerssystemen (Cooperative Intelligent Transport Systems, C-ITS) - zie paragraaf 4.2.

14. Guidelines on Data Protection Officers , WP243 rev.01, laatstelijk herzien en goedgekeurd op 5 april 2017.

15. Richtlijnen inzake het recht op gegevensoverdraagbaarheid, WP 242 rev.01, laatstelijk herzien en goedgekeurd op 5 april 2017.

16. Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679 , WP 251.