Zoeken

ALTIJD OP DE HOOGTE?

Welke ontwikkelingen in de EU zijn van belang voor gemeenten, provincies en waterschappen? En wat betekent dat voor de dagelijkse praktijk?

AVG Deel II: Wanneer mogen persoonsgegevens verwerkt worden? Verwerkingsbeginselen en grondslagen voor verwerking

19 februari 2018Informatiemaatschappij, Overige onderwerpen

Met nog minder dan 100 dagen te gaan is het 25 mei zover. Dan dient elke organisatie die persoonsgegevens verwerkt zich te houden aan de nieuwe Algemene Verordening Gegevensbescherming (AVG). In deze speciale edities van de Europese Ster lichten we de belangrijkste wijzigingen voor decentrale overheden nog eens toe. In dit tweede deel van deze AVG-special wordt verder ingegaan op de verwerkingsbeginselen in de AVG en de grondslagen voor verwerking.

Verwerkingsbeginselen en grondslagen voor verwerking

Een organisatie mag alleen persoonsgegevens verwerken indien deze verwerking voldoet aan de verwerkingsbeginselen uit artikel 5 lid 1 AVG.

Rechtmatig, behoorlijk en transparant

Artikel 5 lid 1 onder a bepaalt dat een verwerking rechtmatig, behoorlijk en transparant moet zijn. Deze beginselen zijn verder uitgewerkt in de AVG.

Artikel 6 AVG stelt voorwaarden aan de rechtmatigheid van een verwerking. Een verwerking kan alleen rechtmatig zijn wanneer deze berust op een van de zes grondslagen. Er kan bijvoorbeeld sprake zijn van (1) toestemming van de betrokkene; de verwerking kan (2) noodzakelijk  zijn voor de uitvoering van een overeenkomst; (3) om te voldoen aan wettelijke verplichtingen; (4) om de vitale belangen van betrokkenen of andere natuurlijke personen te beschermen; (5) om een taak van algemeen of openbaar gezag te vervullen of (6) om gerechtvaardigde belangen van de verwerkingsverantwoordelijke of derde te behartigen.

Voor (decentrale) overheden is het goed om te weten dat, in de relatie overheid-burger, zij zich vrijwel nooit op de grondslag toestemming (artikel 6 lid 1 onder a) en gerechtvaardigde belangen (artikel 6 lid 1 onder f) zullen kunnen beroepen. Aan de grondslag toestemming worden in artikel 7 AVG strenge eisen verbonden, zoals dat de betrokkene de toestemming vrijelijk moet kunnen geven. Uit de Memorie van Toelichting bij de AVG blijkt dat dit niet kan wanneer er sprake is van een duidelijke ‘wanverhouding’ tussen de betrokkene en de organisatie, zoals in geval van een overheidsorganisatie. Echter, wanneer de (decentrale) overheid burgers bijvoorbeeld de mogelijkheid biedt zich in te schrijven voor een nieuwsbrief, kan de grondslag toestemming wel gebruikt worden. Dan moet de (decentrale) overheid de betrokkene wel goed informeren over wat zij met de verzamelde persoonsgegevens doen. Daarnaast is bij de grondslag gerechtvaardigde belangen opgenomen dat overheidsinstanties zich hier niet op mogen beroepen in het kader van de uitoefening van hun taken. In het conceptvoorstel voor de Uitvoeringswet van de AVG wordt aangegeven dat (decentrale) overheden zich wel op deze grondslag kunnen beroepen wanneer zij typisch bedrijfsmatige handelingen verrichten. Dan gedragen zij zich immers net als een andere private partij.

In de artikelen 12-14 AVG wordt het aspect transparantie nader uitgewerkt. Deze artikelen bepalen dat een natuurlijk persoon, bij een gegevensverwerking, op de hoogte moet worden gesteld van het feit dat er een verwerking van zijn persoonsgegevens plaatsvindt, en wat de doeleinden hier van zijn. Wanneer gegevens op een website worden verzameld, kan deze informatie bijvoorbeeld worden medegedeeld via een privacyverklaring op de website. Voor de betrokkene is deze informatie een belangrijk aanknopingspunt om te controleren of zijn rechten onder de AVG wel gerespecteerd worden. Deze rechten van de betrokkene komen in de komende speciale Ster-edities verder aan bod.

Doelbinding

Doelbinding bepaalt, volgens artikel 5 lid 1 onder b, dat persoonsgegevens alleen mogen worden opgeslagen en verwerkt indien er sprake is van welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Dit verwerkingsbeginsel is echter vrij ruim: een verwerking met een ander doel mag ook plaatsvinden wanneer dit doel verenigbaar is met het oorspronkelijke doel van de verwerking van de persoonsgegevens. Wanneer een doel niet verenigbaar is met het oorspronkelijke doel van de verwerking, biedt artikel 6 lid 4 een mogelijkheid voor gerechtvaardigde verwerking. Dit kan dan plaatsvinden wanneer er toestemming is van de betrokkene, of wanneer er sprake is van een op Unierecht of lidstatelijk recht gebaseerde bepaling die een doelstelling van algemeen belang waarborgt. Een vraagstuk met betrekking tot doelbinding en doelbepaling bij gegevensverwerking kwam ook aan bod bij deze praktijkvraag.

Minimale gegevensverwerking en opslagbeperking

Daarnaast blijkt uit artikel 5 lid 1 onder c dat er niet meer persoonsgegevens mogen worden verwerkt dan die noodzakelijk zijn om het geformuleerde doel te bereiken. In artikel 5 lid 1 onder e wordt gesteld dat wanneer deze persoonsgegevens niet meer nodig zijn voor het doel, deze moeten worden verwijderd of geanonimiseerd.

Juistheid, integriteit en vertrouwelijkheid

De laatste verwerkingsbeginselen uit artikel 5 lid 1 onder d en f bepalen dat de gegevens die verwerkt worden door de organisatie correct en actueel moeten zijn. Wanneer een burger zijn recht op inzake uit artikel 15 AVG uitoefent, kan hij de overheidsorganisatie op grond van artikel 16 AVG vragen eventuele onjuistheden aan te passen. Ook moet de organisatie die gegevens verwerkt de persoonsgegevens beveiligen door passende organisatorische en technische maatregelen te nemen.

Verantwoordingsplicht

In artikel 5 lid 2 AVG wordt ook expliciet genoemd dat de verwerkingsverantwoordelijke, in dit geval dus de (decentrale) overheid, verantwoordelijk is voor de naleving van de verwerkingsbeginselen en ook kan aantonen dat zij zich hier aan houdt. Voor de (decentrale) overheid kan het dus handig zijn het privacy beleid dat zij opstelt te publiceren op haar website. Ook het bijhouden van een overzicht van de verwerkingen die de organisatie uitvoert draagt bij aan het kunnen voldoen aan deze verantwoordingsplicht. In de volgende Ster AVG-special gaan we verder in op deze verplichtingen van de verwerkingsverantwoordelijke.

 

Meer weten over dit onderwerp?

Dit artikel is onderdeel van onze AVG-special. Lees ook deel Ideel IIIdeel IV, deel V, deel VI & deel VII van onze reeks over de AVG. Werkt u voor een decentrale overheid of het Rijk en heeft u een vraag over dit onderwerp? Neem dan contact op met de helpdesk van Europa decentraal.

Door:

Matthijs Binnema en Juliëtte Fredriksz, Europa decentraal

Bron:

De Algemene Verordening Gegevensbescherming

Meer informatie:

Privacy: de Algemene verordening gegevensbescherming, Europa decentraal
Verwerken van persoonsgegevens, Europa decentraal
Toestemming gegevensverwerking, Europa decentraal
Privacy: Is zorgvuldig omgaan met persoonsgegevens voldoende? Praktijkvraag Europa decentraal
Privacy, Themapagina Europa decentraal
Model privacybeleid en –regelement voor gemeenten, Samenwerking VNG, VNG Realisatie, IBD, Europa decentraal

X