De Algemene Verordening Gegevensbescherming bestaat voor een groot deel uit open normen. De beginselen in de AVG zijn de leidraad voor de manier waarop je organisatie invulling kan geven aan de bescherming van persoonsgegevens. Maar om welke beginselen gaat het nu eigenlijk?
Beschermingsgedachte
Het belangrijkste beginsel is de beschermingsgedachte. De reden voor het opstellen van de AVG is gelegen in de wens om de gegevens van individuele mensen te beschermen op het moment dat organisaties onze gegevens gebruiken. Het is eigenlijk een kwestie van het rechtzetten van ongelijke machtsverhoudingen. Waarom het nodig is je dit te realiseren? Omdat je je telkens de vraag moet stellen: bescherm ik mijn klanten, mijn medewerkers, mijn leveranciers wel voldoende of kan ik het nog veiliger maken? Het gaat hierbij niet alleen om security, maar juist ook om het waarborgen van de volgende beginselen.
Rechtmatig, behoorlijk en transparant
Voor een rechtmatige en behoorlijke verwerking moet je een grondslag hebben. Als je geen grondslag hebt, dan mag je geen persoonsgegevens verwerken. Er zijn er zes:
1. toestemming
2. overeenkomst
3. wettelijke plicht
4. overheidstaak
5. bescherming vitale belangen betrokkene
6. gerechtvaardigd belang
Ook moet je je houden aan de beginselen en andere regels uit de AVG en daarbij behorende regelgeving. Transparant zijn betekent dat je duidelijk vertelt wat je doet, hoe en waarom.
Doelbinding
Van te voren bedenk je waarvoor je gegevens wilt gaan gebruiken, voor welke doelen. En als je de gegevens daarna voor iets anders wilt gaan gebruiken, dan is dat niet iets wat zomaar kan. Doelbinding betekent dat je gegevens in principe alleen mag gebruiken voor datgene wat je van te voren hebt verteld en voor andere verwerkingen die daarmee niet onverenigbaar zijn. Dit laatste betekent dat een analyse moet maken, waarbij de redelijke verwachtingen van je klanten, medewerkers en leveranciers een belangrijke graadmeter zijn.
Dataminimalisatie
We hebben allemaal de menselijke neiging om maar zoveel mogelijk data (en spullen) te verzamelen voor het geval dat we het ooit een keer nodig zouden hebben. De AVG verwacht echter (terecht) dat we zo min mogelijk gegevens verwerken en alleen datgene wat nodig is. Dit is niet altijd even makkelijk, zeker niet bij het gebruik van software die door een externe ontwikkeld is. Wat het belang van privacy by design en privacy by default onderstreept. Hoe minder gegevens je gebruikt, hoe kleiner het risico is bij een eventueel datalek.
Juistheid
De gegevens die je verwerkt moeten volledig, actueel en correct zijn. Onjuiste gegevens moet je aanpassen of verwijderen. Het is van belang om te zorgen dat je een goed werkend proces hiervoor hebt ingericht.
Opslagbeperking
Je mag de gegevens zolang bewaren als je nodig hebt voor het doel. In Nederland zijn enkele wettelijke bewaartermijnen, maar voor de meeste gegevens zal je hiervoor zelf een afweging moeten maken. Hieraan gekoppeld zit ook het belang dat gegevens beschikbaar moeten zijn en blijven zolang als je deze nodig hebt voor het doel. Het treffen van maatregelen, zoals het hebben van een back-up, is hiervoor nodig. Samen met het beginsel van dataminimalisatie zorgt het beginsel van opslagbeperking ervoor dat de risico’s en eventuele financiële gevolgen bij een datalek kleiner worden.
Integriteit en vertrouwelijkheid
Je moet de gegevens die je verwerkt beveiligen tegen een verwerking door iemand die niet jouw bedoeling is (bijvoorbeeld inzage of verandering door een hacker of een medewerker van een andere afdeling) en tegen verlies of vernietiging (bijvoorbeeld een computercrash of het kwijtraken van een USB-stick). Het gaat erom te zorgen voor het behouden van het vertrouwelijke karakter en de juistheid van de gegevens, waarbij uiteraard een rol speelt wat voor een soort gegevens het zijn.
Verantwoordingsplicht
Je zult als ondernemer moeten kunnen uitleggen welke keuzes je hebt gemaakt en waarom en hoe je recht hebt gedaan aan de beschermingsgedachte van de AVG en de genoemde beginselen. Onderdeel van je verantwoordingsplicht is dat je een aantal documenten verplicht moet hebben in je organisatie.
Vragen of hulp nodig in je organisatie? Neem contact met ons op of plan een telefonisch kennismakingsgesprek in.
Recente reacties