Rechtmatige verwerkingen

Het verwerken van persoonsgegevens is alleen toegestaan wanneer dit voldoet aan de drie verwerkingsbeginselen uit de Algemene verordening gegevensbescherming (AVG). Deze beginselen staan in artikel 5 AVG en schrijven allereerst voor dat een verwerking rechtmatig, behoorlijk en transparant moet zijn. Verder moeten decentrale overheden rekening houden met doelbinding, minimale gegevensverwerking en opslagbeperking. Ten slotte moeten de persoonsgegevens juist zijn, en integer en vertrouwelijk behandeld worden. Het is belangrijk dat een decentrale overheid die verwerkingsverantwoordelijke is zich goed aan deze beginselen houdt om aan de privacywetgeving te voldoen.

Wat zijn de verwerkingsbeginselen volgens de AVG?

De AVG kent drie verwerkingsbeginselen. Uit het eerste verwerkingsbeginsel volgt onder meer dat de verwerking rechtmatig gebeurt. De betekenis van rechtmatig is relatief vanzelfsprekend: decentrale overheden moeten ervoor zorgen dat ze de wet niet overtreden als ze persoonsgegevens verwerken en voor deze verwerking een wettelijke grondslag hebben. Dat betekent dat u een goede reden moet hebben om persoonsgegevens te verwerken.

Voor het tweede verwerkingsbeginsel behoorlijk moeten persoonsgegevens op de juiste (maatschappelijke betamelijke) manier verwerkt worden. De betrokkene, dat is degene van wie de persoonsgegevens wordt verwerkt, mag niet worden misleid door de verwerkingsverantwoordelijke. Niets mag dus worden verborgen voor de betrokkene.

Dit sluit goed aan op het derde verwerkingsbeginsel transparantie. Dit beginsel houdt in dat de betrokkene op de hoogte moet zijn van de verwerking en begrijpt welke persoonsgegevens worden verwerkt om wat voor redenen. Transparantie over de verwerking van persoonsgegevens is een belangrijk aspect van de AVG en daarom is het opgenomen als apart verwerkingsbeginsel.

Zes grondslagen AVG

Hoe weet u zeker dat u aan deze verwerkingsbeginselen voldoet als u persoonsgegevens verwerkt? Het is belangrijk dat er goede redenen zijn om persoonsgegevens te verwerken. Elke keer als u persoonsgegevens verwerkt, is er immers een inbreuk op de privacy van de mensen over wie het gaat. Daarom mag u alleen persoonsgegevens verwerken als het echt niet anders kan. De juridische naam voor die redenen is grondslagen en de AVG kent er zes. Hiermee kan iemand rechtvaardig persoonsgegevens verwerken en voldoen aan de verwerkingsbeginselen rechtmatig en behoorlijk. Lees meer over de grondslagen die de AVG heeft opgenomen in artikel 6.

Voor het verwerkingsbeginsel transparantie gelden specifieke eisen. Lees hier meer over hoe decentrale overheden betrokkenen op verschillende manieren kunnen informeren over het gebruik van persoonsgegevens.

Doelbinding, minimale gegevensverwerking en opslagbeperking

Decentrale overheden mogen persoonsgegevens alleen verwerken wanneer zij hier vooraf een uitdrukkelijk omschreven en gerechtvaardigd doeleinde aan verbinden. Denk bijvoorbeeld aan het verzamelen van een e-mailadres met als doel om daar een nieuwsbrief naar te versturen. Er mogen niet meer persoonsgegevens verwerkt worden dan noodzakelijk om het geformuleerde doel te bereiken. Zoveel mogelijk informatie verzamelen ‘voor het geval dit ooit eens nodig is’, is dus niet toegestaan. Wanneer de persoonsgegevens niet meer nodig zijn voor het verwerkingsdoel, moeten deze worden verwijderd of geanonimiseerd.

Wilt u dezelfde persoonsgegevens voor een ander doel verwerken? Dan heeft u daarvoor wederom een wettelijke grondslag nodig, tenzij het nieuwe doel waarvoor u de gegevens verwerkt verenigbaar is met het oorspronkelijke doel (artikel 6 lid 4 AVG).

Juistheid, integriteit en vertrouwelijkheid

De persoonsgegevens die decentrale overheden verwerken moeten correct en actueel zijn. De AVG stelt bovendien dat ‘alle redelijke maatregelen moeten worden genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren’ (artikel 5 AVG).

Ook moeten decentrale overheden de persoonsgegevens voldoende beveiligen om de integriteit en vertrouwelijkheid te waarborgen. De AVG stelt hier het volgende over: ‘door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging’ (artikel 5 AVG).

Het verschilt per organisatie welke maatregelen het meest geschikt zijn. Een voorbeeld van een dergelijke maatregel is het versleutelen van persoonsgegevens.