Wat zijn de verwerkingsbeginselen volgens de AVG?
De AVG kent zes verwerkingsbeginselen:
- Rechtmatigheid, behoorlijkheid en transparantie;
- Doelbinding;
- Dataminimalisatie;
- Juistheid;
- Opslagbeperking;
- Vertrouwelijkheid en integriteit.
Rechtmatigheid, behoorlijkheid en transparantie
Uit het eerste verwerkingsbeginsel volgt onder meer dat de verwerking rechtmatig gebeurt. De betekenis van rechtmatig is relatief vanzelfsprekend: decentrale overheden moeten ervoor zorgen dat ze de wet niet overtreden als ze persoonsgegevens verwerken en voor deze verwerking een wettelijke grondslag hebben. Dat betekent dat u een goede reden moet hebben om persoonsgegevens te verwerken.
Het begrip transparantie wordt nader uitgewerkt in de artikelen 12-14 AVG. Een betrokkene moet op de hoogte worden gesteld van het feit dat er verwerking van zijn persoonsgegevens plaatsvindt en waarom dit gebeurt. Het transparantiebeginsel verplicht de verwerkingsverantwoordelijke om deze informatie te communiceren in een begrijpelijke, transparante en gemakkelijk toegankelijke vorm. De informatie moet in duidelijke en eenvoudige taal worden opgesteld, en moet schriftelijk of met andere middelen (bijvoorbeeld elektronisch) verstrekt worden. De betrokkene moet ofwel direct bij het verzamelen van de persoonsgegevens, ofwel binnen een redelijke termijn worden geïnformeerd. Decentrale overheden verstrekken de informatie vaak door een privacyverklaring op hun website te plaatsen.
Doelbinding
Decentrale overheden mogen persoonsgegevens alleen verwerken wanneer zij hier vooraf een uitdrukkelijk omschreven en gerechtvaardigd doeleinde aan verbinden. Denk bijvoorbeeld aan het verzamelen van een e-mailadres met als doel om daar een nieuwsbrief naar te versturen. Er mogen niet meer persoonsgegevens verwerkt worden dan noodzakelijk om het geformuleerde doel te bereiken. Zoveel mogelijk informatie verzamelen ‘voor het geval dit ooit eens nodig is’, is dus niet toegestaan. Wanneer de persoonsgegevens niet meer nodig zijn voor het verwerkingsdoel, moeten deze worden verwijderd of geanonimiseerd.
Dataminimalisatie
Het derde verwerkingsbeginsel ziet op dataminimalisatie. Als decentrale overheden persoonsgegevens verwerken mogen ze namelijk niet meer gegevens verzamelen of gebruiken dan nodig voor de doelen. Hierbij is het belangrijk dat er wordt vermeld welke gegevens worden verzameld en waarom.
Wilt u dezelfde persoonsgegevens voor een ander doel verwerken? Dan heeft u daarvoor wederom een wettelijke grondslag nodig, tenzij het nieuwe doel waarvoor u de gegevens verwerkt verenigbaar is met het oorspronkelijke doel (artikel 6 lid 4 AVG).
Juistheid
Volgens het vierde verwerkingsbeginsel moet de verwerkingsverantwoordelijke ervoor zorgen dat de persoonsgegevens juist zijn. De persoonsgegevens die decentrale overheden verwerken moeten dus correct en actueel zijn. Dat houdt ook in dat de gegevens moeten worden geactualiseerd of verbeterd waar nodig. Dit volgt uit artikel 5 AVG: ‘alle redelijke maatregelen moeten worden genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren’.
Opslagbeperking
Organisaties mogen persoonsgegevens niet langer bewaren dan nodig. Alle gegevens die niet langer nodig zijn voor het oorspronkelijke doel waarvoor ze zijn verzameld moeten dus verwijderd worden.
Vertrouwelijkheid en integriteit
Het laatste verwerkingsbeginsel vereist dat persoonsgegevens op de juiste (maatschappelijke betamelijke) manier verwerkt worden. Decentrale overheden moeten persoonsgegevens dus voldoende beveiligen om de integriteit en vertrouwelijkheid te waarborgen. De betrokkene, dat is degene van wie de persoonsgegevens wordt verwerkt, mag niet worden misleid door de verwerkingsverantwoordelijke. Niets mag dus worden verborgen voor de betrokkene. De AVG stelt hier het volgende over: ‘door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging’ (artikel 5 AVG).
Het verschilt per organisatie welke maatregelen het meest geschikt zijn. Een voorbeeld van een dergelijke maatregel is het versleutelen van persoonsgegevens.
Zes grondslagen in de AVG
Het is belangrijk dat er goede redenen zijn om persoonsgegevens te verwerken. Daarom mogen persoonsgegevens alleen verwerkt worden als het echt niet anders kan. De juridische naam voor die redenen is grondslagen en de AVG kent er zes. Hiermee kan iemand rechtvaardig persoonsgegevens verwerken en voldoen aan de verwerkingsbeginselen rechtmatig en behoorlijk. Op deze pagina wordt verder ingegaan op de grondslagen die de AVG heeft opgenomen in artikel 6.