De AVG: de zes ‘beginselen inzake verwerking van persoonsgegevens’ uitgelegd

De algemene verordening gegevensbescherming (AVG) – internationaal bekend als de EU General Data Protection Regulation (GDPR) – onderstreept zes beginselen die organisaties moeten naleven tijdens het verwerken van persoonsgegevens. De verwerkingsverantwoordelijke is toerekeningsvatbaar voor het naleven van de beginselen en moet de nalevingspraktijken van de organisatie kunnen aantonen.

We hebben de zes beginselen van Artikel 5 hier op een rij gezet, met advies over hoe je ze kunt naleven.

1. Rechtmatigheid, behoorlijkheid en transparantie

Het eerste beginsel is relatief vanzelfsprekend: organisaties moeten ervoor zorgen dat ze de wet niet overtreden met hun procedures voor het verwerken van gegevens, en dat ze niets verbergen van hun betrokkenen.

Om rechtmatig te blijven moet je de AVG, en de regels voor het verwerken van gegevens, goed onder de knie hebben. Daarnaast is het belangrijk om transparant te zijn met betrokkenen, door in je privacybeleid het type gegevens te vermelden dat je verwerkt en de reden te melden waarom je het verwerkt.

2. Doelbinding

Organisaties zijn alleen toegestaan om gegevens te verwerken voor een specifiek doel, dat duidelijk aangegeven moet worden, en mogen de gegevens niet verder verwerken zodra dat doel bereikt is.

Verwerkingen die worden gedaan met een verder oog op archivering in het algemeen belang of voor wetenschappelijke, historische of statistische doeleinden krijgen meer vrijheid en hoeven dit niet als (extra) doel aan te geven.

3. Minimale gegevensverwerking

Organisaties mogen alleen persoonsgegevens verwerken als dit noodzakelijk is voor een specifiek verwerkingsdoel. Dit heeft twee belangrijke voordelen. Ten eerste, in het geval van een datalekkage, kunnen ongeautoriseerde partijen die toegang hebben tot de informatie slechts een beperkte hoeveelheid gegevens zien. Ten tweede maakt gegevensminimalisatie het makkelijker (en goedkoper) om informatie nauwkeurig en up-to-date te houden.

4. Juistheid

De nauwkeurigheid van persoonlijke gegevens vormt een integraal onderdeel van gegevensverwerking. De AVG stelt dat “alle redelijke maatregelen moeten worden genomen” om gegevens die onjuist of volledig zijn te wissen of rectificeren.

Individuen hebben het recht om te verzoeken dat onjuiste of onvolledige gegevens binnen 30 dagen gewist of gecorrigeerd worden.

5. Opslagbeperking

Organisaties moeten persoonlijke gegevens verwijderen zodra deze niet langer nodig zijn voor het oorspronkelijke doel waarvoor ze zijn verzameld.

Hoe weet je wanneer informatie niet langer nodig is? Marketingbedrijf Epsilon Abacus geeft aan dat organisaties kunnen beweren dat “they should be allowed to store the data for as long as the individual can be considered a customer. So the question really is: For how long after completing a purchase can the individual be considered a customer?”

Het antwoord hierop varieert tussen het type organisatie en de reden waarom gegevens zijn verzameld. Elke organisatie die niet zeker weet hoe lang ze persoonlijke gegevens moeten bewaren, moet een juridisch adviseur raadplegen.

6. Integriteit en vertrouwelijkheid

Dit is het enige beginsel dat nadrukkelijk met beveiliging te maken heeft. Artikel 5 van de AVG stelt dat persoonsgegevens verwerkt moeten worden op een manier “op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging” (,integriteit en vertrouwelijkheid,).

De AVG is opzettelijk vaag over welke maatregelen organisaties moeten nemen, omdat technologische en organisatorische werkwijzen steeds veranderen. Daarbovenop varieert het per organisatie welke maatregelen het meest geschikt zijn voor een bepaalde organisatie, want ieder krijgt te maken met unieke risico’s en dreigingen. Op dit moment moeten organisaties waar mogelijk persoonsgegevens versleutelen en/of pseudonimiseren, maar ze moeten ook openstaan voor andere mogelijk geschikte opties.

AVG-training

Deze zes beginselen geven een overzicht van de onderwerpen die onder de AVG vallen, maar ze zijn verre van volledig. De rest van de Verordening gaat veel gedetailleerder in op de specifieke stappen die organisaties zouden moeten nemen om ervoor te zorgen dat ze aan de vereisten voldoen.

Organisaties die meer willen leren over de AVG kunnen overwegen om zich in te schrijven voor onze gecertificeerde GDPR Foundation Training Course.

Deze eendaagse cursus wordt geleverd in zowel Amsterdam als Brussel, en biedt een perfecte introductie aan tot de AVG en de regelgeving waaraan jouw organisatie moet voldoen. Het wordt geleverd door een ervaren gegevensbeschermingsdeskundige en is geschikt voor bestuurders of managers die willen begrijpen hoe de AVG hun organisatie treft, werknemers die verantwoordelijk zijn voor de AVG-naleving en mensen met een basiskennis van gegevensbescherming die hun carrière verder willen ontwikkelen.

 

 

Bespaar 15% als je onze GDPR Foundation en Practitioner cursussen vandaag boekt >>

Leave a Reply

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.