Organisaties die persoonsgegevens verwerken, moeten voldoen aan de ‘beginselen’ in de privacywetgeving. Welke beginselen zijn dat precies en hoe pas je ze toe?

Welke beginselen zijn er?

1. Rechtmatigheid, behoorlijkheid en transparantie

Dit is eigenlijk niet eerlijk: dit beginsel bestaat niet uit één, maar uit drie beginselen. Rechtmatig betekent dat je alleen persoonsgegevens verwerkt als je hier een grondslag voor hebt, je houdt aan wet- en regelgeving en dan ook deze beginselen. In de kennisbank op onze website hebben we de grondslagen in de privacywetgeving, op een rijtje gezet. Behoorlijk betekent dat de verwerking van persoonsgegevens niet nadelig, discriminerend, onverwacht of misleidend mag zijn voor personen. Transparant betekent dat het duidelijk moet zijn voor personen dat hun gegevens worden verwerkt en waarom.

2. Doelbinding

Een organisatie plaatst een GPS-tracker in de bedrijfsauto’s om de kilometers aan de belastingdienst te kunnen verantwoorden. Mag de werkgever de data ook gebruiken om te controleren dat medewerkers geen misbruik maken van de bedrijfsauto’s door ze privé te gebruiken? Dit hangt af van welk doel vooraf bepaald en gecommuniceerd is aan medewerkers.

Je mag persoonsgegevens alleen gebruiken voor een vooraf welbepaald, uitdrukkelijk omschreven en gerechtvaardigd doel. De privacywetgeving geeft ruimte om persoonsgegevens voor een ander doel te gebruiken. Voorwaarde is dat dit doel verenigbaar is met het doel waarvoor de gegevens oorspronkelijk zijn verzameld. Deze verenigbaarheid moet goed onderbouwd zijn.

3. Minimale gegevensverwerking

Als je iemands adres vraagt, terwijl je ze nooit een brief gaat sturen of je vraagt geboortedatum en je hebt eigenlijk alleen leeftijd nodig, dan doe je niet aan minimale gegevensverwerking. Je mag alleen persoonsgegevens verwerken als ze toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor het vooraf bepaalde doel. Dus ‘handig’ of ‘je weet nooit of het nog van pas komt’ mag niet. Maar persoonsgegevens die nodig zijn mag je dus juist wel verwerken. Te vaak wordt er geroepen dat niks mag van de privacywetgeving.

4. Juistheid

‘Oeps we wisten niet dat u verhuisd was. Wat vervelend dat uw ex-partner uw brief heeft gelezen en weet van uw situatie.’ Dit soort situaties wil je voorkomen en zorgen dat persoonsgegevens juist zijn zodra je ze (weer) gebruikt. Ook als personen erom vragen, moeten hun gegevens worden aangepast als ze niet kloppen.

5. Opslagbeperking

Voor een goede administratie bewaren we persoonsgegevens. Zodra ze niet meer nodig zijn, moeten ze worden verwijderd. Wat de noodzakelijke bewaartermijn is en waarom, moet elke organisatie zelf onderbouwen. Soms zijn bewaartermijnen in wetgeving vastgelegd. Dan is de bewaartermijn bepalen makkelijk. Een uitdaging is vaak het daadwerkelijk (geautomatiseerd) verwijderen van de gegevens. Systemen zijn hier vaak nog niet goed genoeg op ingericht.

6. Integriteit en vertrouwelijkheid

Het is verplicht om passende maatregelen te treffen om persoonsgegevens te beschermen tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. Oftewel: goed beveiligen! Maar wat is passend en goed beveiligen? Dit verschilt per organisatie en is afhankelijk van het risiconiveau.

Organisaties die voldoen aan een erkende beveiligingsnorm, voldoen voor een groot deel aan de verplichting tot het treffen van passende informatiebeveiligingsmaatregelen. Denk aan de ISO27001 en ISO27002 of Baseline Informatiebeveiliging Overheid.

Hoe pas je de beginselen toe?

De beginselen naleven dus… De privacywetgeving eist ook dat je dit kunt aantonen: de verantwoordingsplicht. Een organisatie doet dit door verplichtte maatregelen te treffen zoals:

• Vaststellen en communiceren van een privacybeleid.
• Bijhouden van een register van verwerkingen.
• Uitvoeren van Data protection impact assessments (DPIA’s).
• Behandelen van datalekken en bijhouden in een register.
• Informeren van personen over de verwerkingen van hun persoonsgegevens, bijvoorbeeld in een privacyverklaring.
• Toepassen van privacy by design bij veranderingen.
• Behandelen van verzoeken van personen die gebruik willen maken van hun privacyrechten.

Hierbij onderbouw je bijvoorbeeld aantoonbaar het doel, de grondslag en bewaartermijnen voor de verwerking van persoonsgegevens.

Wat bedoelen we met privacywetgeving?

In dit artikel bedoelen we met privacywetgeving de:

• Algemene Verordening Gegevensbescherming (AVG). Dit is Europese wetgeving. In Nederland staan aanvullende voorwaarden in de Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG).
• Europese Richtlijn gegevensbescherming politie & justitie. Deze richtlijn is in Nederland omgezet naar de Wet politiegegevens (Wpg). Deze wet is van toepassing is op politiegegevens. Politiegegevens zijn persoonsgegevens die nodig zijn voor voorkoming en opsporing van strafbare feiten.

De AVG beschrijft zes beginselen in artikel 5 lid 1. De Wpg kent dezelfde beginselen, maar verwoord ze in artikel 3, 4, 4a en 4b net wat anders. In dit artikel hebben we de AVG gevolgd.

Hulp nodig?

Zijn er vragen of heeft jouw organisatie advies of ondersteuning nodig bij informatiebeveiliging en privacy? Neem contact met ons op. Wij helpen u graag.