Op welke manier dient U persoonsgegevens te verwerken? | AVG

//Op welke manier dient U persoonsgegevens te verwerken? | AVG

Op welke manier dient U persoonsgegevens te verwerken? | AVG

Dit is het vijfde deel uit onze serie over de Algemene Verordening Gegevensbescherming. In deze serie leggen wij precies voor u uit wat de AVG voor uw organisatie betekent en wat u moet doen om aan de AVG te voldoen.

In de vorige delen zijn we ingegaan op de basis van de AVG. We hebben namelijk geleerd wat persoonsgegevens zijn. Dat zijn alle gegevens over natuurlijke personen die geïdentificeerd of identificeerbaar zijn. We hebben ook besproken wat een verwerkingen zijn; verwerkingen zijn alle handelingen die worden uitgevoerd met persoonsgegevens. En we hebben het verschil geleerd van de verantwoordelijke gemaakt. Dat is namelijk enerzijds de persoon die het doel en de middelen van de verwerking bepaald en anderzijds de de persoon die voor de verantwoordelijke persoonsgegevens verwerkt.

In dit deel gaan we dieper in op de manier hoe  de AVG persoonsgegevens beschermt. Dat gaan we doen aan de hand van “Het huis van de AVG” van professor Townend.

 

Een huis begint bij de fundering

De fundering van het huis dat bestaat uit Artikel 5 van de AVG. In dit artikel worden een aantal algemene beginselen van een verwerking van persoonsgegevens genoemd. Dat zijn open normen. Die open normen worden gebruikt om de rest van de AVG in te vullen en als een vangnetbepaling.

 

Artikel 7 de rechter steunpilaar

De rechter steunpilaar is Artikel 7 van de AVG. Volgens dit artikel moet iedere verwerking gebaseerd zijn op een wettelijke grondslag. Dat zijn er acht. Wanneer  persoonsgegevens worden verwerkt of verzameld voor een bepaald doel dan mogen deze persoonsgegevens niet meer voor een ander doel gebruiken. Bijvoorbeeld wanneer persoonsgegevens verzameld worden om een pakketje te versturen; Naam en adresgegevens. Mag mogen deze naam en adresgegevens niet meer worden gebruikt om een nieuwsbrief te sturen. Dat is een ander doel. Met dit artikel beperken ze in feite het aantal verwerkingen dat iemand mag uitvoeren.

 

Informatieplicht de linker steunpilaar

De linker steunpilaar is de Informatieverplichting. De wetgever heeft heel bewust gezocht naar een manier die ervoor zorgt dat de AVG ook te handhaven is. En handhaven begint altijd bij informatie. Welke informatie is er? Of hoe weet U wie welke persoonsgegevens over U verwerkt? En daarom heeft iedere verantwoordelijke de plicht om alle betrokkenen te informeren over de verwerking van persoonsgegevens. En die informatie wordt meestal gegeven in een privacy verklaring. Deze privacyverklaring moet daarom ook leesbaar zijn; kort en bondig. Zodat iedereen deze echt kan begrijpen.

 

Het dak van de AVG

Op deze twee steunpilaren rust het dak.De rechten die een individuele betrokkene heeft. Dan moet je denken aan; het recht op inzage, het recht op verwijderen, het recht op rectificatie, het recht op om gegevens over te dragen, het recht om aan niet geautomatiseerde verwerkingen onderhevig te zijn, het recht om verwerkingen te beperken. Dat zijn rechten waarmee een individueel persoon zijn eigen persoonsgegevens kan beschermen. Zo kan een individueel persoon ook daadwerkelijk ingrijpen.

 

Het huis compleet

Dit maakt het huis van de AVG.  U heeft de algemene beginselen, Artikel 5. Daarop staan de de beperkingen van de verwerkingen en de informatieplicht. Op deze pilaren rust het dak, met de middelen om de AVG te handhaven. Daarmee is het huis compleet.

 

De open normen van Artikel 5 van de AVG

Artikel 5 omhelst open normen. Het is daarom niet helemaal duidelijk welk gedrag hieraan moet worden afgeleid. Maar dit wordt later in de AVG wel toegelicht. Het kan gebeuren dat U niet in een specifieke bepaling van de AVG valt. Dan moet kunt u nog altijd terugvallen op de open normen. Die open normen zijn;

  • Transparantie: de persoon van wie de gegevens verwerkt worden, is hier van op de hoogte, heeft hiervoor toestemming gegeven en kent zijn rechten.
  • Doelbeperking: de persoonsgegevens worden voor een welbepaald gewettigd doel verzameld, en mogen niet voor andere zaken gebruikt worden
  • Gegevensbeperking: enkel de noodzakelijke gegevens die voor het beoogde doel noodzakelijk zijn, mogen worden verzameld
  • Juistheid: de persoonsgegevens moeten correct zijn en blijven
  • Bewaarbeperking: de persoonsgegevens mogen niet langer bewaard worden dan nodig voor het beoogde doel
  • Integriteit en vertrouwelijkheid: de persoonsgegevens moeten beschermd worden tegen toegang door onbevoegden, verlies of vernietiging
  • Verantwoording: de verantwoordelijke moet kunnen aantonen aan deze regels te voldoen

 

De normen kunnen samengevat worden als:

Iemand moet aantoonbaar op een verantwoordelijke wijze en veilige wijze persoonsgegevens verwerken.

 

Aantoonbaar

Aantoonbaar hierin is een belangrijk element. Want de AVG kent in tegenstelling tot veel andere wetgeving een omgekeerde bewijslast. Dat betekent dat U als organisatie moet aantonen dat U voldaan heeft aan de AVG. Wanneer een betrokkene klaagt dan kan die eenvoudig stellen; U heeft niet voldaan aan de AVG. En dan moet U als organisatie aantonen dat dit wel het geval is. Dus moet U dit administreren.

 

Verantwoordelijke Wijze

Het begrip verantwoordelijk betekent dat U altijd de hoeveelheid persoonsgegevens moet beperken. U mag persoonsgegevens nooit langer bewaren dan noodzakelijk is en U moet altijd proberen zo weinig mogelijk persoonsgegevens op te slaan. Dit vergt af en toe creatief nadenken. En naar mate dat je met persoonsgegevens werkt die meer invloed hebben op de privacy zal je dus minder mogen verwerken. Daarnaast bestaat verantwoordelijk ook dat je verwerkingen in verhouding moet staan tot het doel men wilt bereiken. Bijvoorbeeld wanneer u één van je medewerkers verdenkt van fraude dan mag U niet de emailbox van alle medewerkers nakijken. Dat staat tot in geen verhouding met het doel dat U wilt bereiken.

 

Veilige verwerking

Daarnaast moeten persoonsgegevens op een veilige manier worden verwerkt. Dat betekend dat U de plicht heeft om de persoonsgegevens te beveiligen. Deze beveiliging dient adequaat te zijn. Dat betekend wanneer U dus rekening moet houden met de gevoeligheid van de te verwerken persoonsgegevens. Hierop stelt u het beveiligingsniveau op af. Wanneer u medische dossier hebt dient u deze die beter beveiligen dan wanneer U alleen naam en adresgegevens hebt.

In het volgende deel gaan we in op het begrip de rechtmatige verwerking.

 

2018-04-23T10:46:47+00:00 april 23rd, 2018|AVG|0 Comments

Leave A Comment

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.