Beginselen van gegevensverwerking

Aan welke normen moet elke verwerking van Persoonsgegevens voldoen? 

De AVG geeft zes beginselen waaraan elke gegevensverwerking moet voldoen. Ze zijn aanvullend aan elkaar en elk even belangrijk. D.w.z. dat je als adviseur met alle zes in gelijke mate rekening moet houden. Elk van de zes beginselen geldt ook als een specifieke norm waaraan je moet voldoen als je de gegevens van Betrokkenen verwerkt. Bij het overtreden van een van de zes beginselen kan een Betrokkene zich hierop beroepen. Je kan te maken krijgen met boetes uit de hoogste categorie als je deze beginselen niet naleeft. 
 

Wat betekenen deze beginselen voor je gegevensverwerking?

De beginselen worden praktisch uitgewerkt in de rest van de AVG. Door het Adfiz stappenplan te volgen komen alle beginselen aan de orde.
  

Om welke beginselen gaat het?

De gegevensverwerking moet zijn: 

1. Rechtmatig, behoorlijk en transparant (beginsel van rechtmatigheid): dit betekent dat er een deugdelijke rechtsgrond moet zijn voor de verwerking van Persoonsgegevens van een Betrokkene/Klant. Deze rechtsgronden worden ook limitatief benoemd in de AVG (zie hiervoor 3.2). Voor Betrokkenen moet inzichtelijk zijn in hoeverre en op welke manier zijn Persoonsgegevens worden verwerkt. Ook moet informatie gegeven worden over de rechten die een Betrokkene heeft.  Informatie hierover moet in duidelijke en begrijpelijke taal worden gegeven. Dit kun je doen via een zgn. Privacy-statement. 
   
   
2. Voor uitdrukkelijk bepaalde doeleinden (beginsel van doelbinding): voordat je met de verwerking van Persoonsgegevens van een Betrokkene begint, moet je de doelen hiervoor hebben vastgesteld. Deze moeten ook kenbaar zijn voor de Betrokkene. Dit kun je doen via een Privacy-statement.
   
   
3. Toereikend en ter zake dienend (beginsel dataminimalisatie): het is niet toegestaan om meer gegevens te verwerken dan strikt noodzakelijk is voor het doel dat je vooraf hebt geformuleerd. Overbodige persoonsgegevens moet je zo snel mogelijk wissen. Je moet aan de andere kant ook weer niet te weinig gegevens verwerken, dit kan een verkeerd beeld van een Betrokkene opleveren.
   
   
4. Niet langer bewaard dan nodig (beginsel opslagbeperking): van belang is dat je Persoonsgegevens niet langer bewaart dan strikt nodig is. Er wordt van je verlangd dat je concrete termijnen vaststelt voor het wissen van gegevens of periodieke toetsing. Het is gerechtvaardigd dat je op grond van wettelijke verplichtingen bepaalde specifiek voorgeschreven bewaartermijnen hanteert. Gegevens mogen/moeten gedurende deze termijn worden bewaard.
   
   
5. Juist en actueel (beginsel van juistheid): als adviseur heb je een inspanningsplicht om ervoor te zorgen dat de Persoonsgegevens van Betrokkenen die je verwerkt, juist en actueel zijn. 
   
   
6. Voorzien van passende technische en organisatorische beveiligingsmaatregelen (beginsel van integriteit/vertrouwelijkheid): je bent verplicht om passende technische en organisatorische maatregelen te treffen om ongeoorloofde toegang of ongeoorloofd gebruik van Persoonsgegevens te voorkomen. De technische maatregelen moeten voldoen aan de eisen die de stand van zaken van de beveiligingstechniek stellen (zie 10 ev.). Daarnaast ben je verplicht een procedure te hebben om op vooraf bepaalde momenten de doeltreffendheid van de beveiligingsmaatregelen te beoordelen en te evalueren. 

N.B. als Verwerkingsverantwoordelijke moet je in staat zijn om expliciet aan te tonen dat je deze beginselen naleeft. Zo moet je kunnen laten zien hoe je Betrokkenen concreet informeert over de rechten die zij hebben (bijvoorbeeld door het tonen van een Privacy-statement).