AVG Beginselen
door Jan & Marjan
De bescherming van natuurlijk personen bij de verwerking van persoonsgegevens is een grondrecht, dat kan worden gezien als een invulling van het grondrecht op bescherming van het privéleven (Artikel 8 van het Europees Verdrag voor de Rechten van de Mens). De AVG gaat uit van 6 basisbeginselen waaraan elke verwerking moet voldoen. Deze beginselen hebben een zelfstandige betekenis as ‘norm’ en elke betrokkene kan zich er rechtstreeks op beroepen. Er staan boetes op het niet naleven van deze beginselen.
Vanuit de 6 beginselen ontstaan concrete plichten die met name gericht zijn op documentatie en verantwoording afleggen. De verantwoordelijke moet kunnen aantonen dat hij aan de plichten voldoet.
1. Rechtmatig, behoorlijk en transparant
Eigenlijk komt het er op neer dat in hoeverre en hoe er persoonsgegevens worden verwerkt gebeurt op een nette en maatschappelijk verantwoorde manier gebeurt, en je moet er duidelijk over zijn. In de de praktijk betekent dit een eenvoudig toegankelijke en begrijpbare privacyverklaring, maar ook voor andere communicatie die hierbij gebruikt wordt (zoals reactie op verzoek om inzage of bij het afhandelen van bezwaren). Ook moet je een grondslag kunnen aanwijzen voor het verwerken van de persoonsgegevens.
2. Welbepaald en duidelijk
Je mag alleen gegevens verwerken voor specifieke en gerechtvaardigde doeleinden die bepaald zijn voordat de verwerking begint. Het moet ook duidelijk zijn wat je bedoelt. Een omschrijving als “Wij verzamelen gegevens ten behoeve van een geoptimaliseerde gebruikservaring” kan dus niet meer. Iets als “Wij tonen producten waar u waarschijnlijk interesse in heeft bovenaan” is veel duidelijker. Je moet echt duidelijk aangeven waar het om gaat.
3. Minimalisatie
Je mag niet meer gegevens gebruiken dan nodig zijn voor je specifieke en gerechtvaardigde doelen. De rechtvaardiging voor je gebruikte gegevens moet dus in de registratie van de verwerking opgenomen zijn. Dit betekent dat je niet meer persoonsgegevens mag verwerken dan strikt noodzakelijk is voor je doel. En hieruit volgt weer dat je zo snel mogelijk de gegevens moet wissen of onherkenbaar maken die je niet meer gebruikt maar je mag ook niet te weinig persoonsgegevens verzamelen, want dat kan weer leiden tot een onjuist beeld van de betrokkenen.
4. Juistheid
Verwerkte gegevens moeten juist zijn en geactualiseerd worden waar en wanneer nodig. Je moet er zelf op toezien en je moet ook direct reageren op verzoeken om inzage, correctie en verwijdering. Wanneer wordt gewerkt met onjuiste of achterhaalde gegevens kan het namelijk vervelende gevolgen hebben voor de betrokkenen. Je hebt dus een vergaande inspanningsplicht om deze juistheid te borgen.
5. Bewaartermijn
Je mag gegevens niet langer bewaren dan dat je ze nodig hebt. Dit betekent dat je ze moet gaan wissen op het moment dat je ze niet meer gebruikt en dus niet meer nodig hebt. Bij het bepalen of je iets wel of niet nodig hebt moet je wel de wettelijke bewaartermijn in ogenschouw nemen.
6. Integriteit en veiligheid
Gegevens moeten adequaat beveiligd zijn, zodat gegevens niet zomaar gelekt kunnen worden of kunnen worden gebruikt voor niet toegestane doeleinden.
In theorie klinkt dit natuurlijk allemaal geweldig, maar houd er rekening mee dat een betrokkene zich hierop kan beroepen. Jij moet namelijk kunnen aantonen dat en hoe je dit hebt geborgd. In de praktijk kan je dit doen met een verwerkingsregister, datalekregister en privacy impact assessment.
De hele AVG is dus gebaseerd op deze 6 beginselen.