AVG (deel 2) Beginselen en grondslagen
In de eerste blog hebben wij een aantal belangrijke begrippen besproken. Verder hebben wij de toepasselijkheid van de AVG en de belangrijkste rollen bij gegevensverwerking behandeld. In deze blog zoomen we in op de beginselen van de verwerking van persoonsgegevens en de rechtmatigheid daarvan. Kortom, waar moet je op letten als je gegevens gaat verwerken.
Beginselen
De verwerkingsverantwoordelijke moet kunnen aantonen dat hij voldoet aan de AVG. Dit is de verantwoordingsplicht. Benieuwd wat een verwerkingsverantwoordelijke is? Lees dan eerst deze blog. In het kader van de verantwoordingsplicht moet de verwerkingsverantwoordelijke onder andere kunnen aantonen dat aan de zes beginselen van gegevensverwerking wordt voldaan. Deze beginselen zijn:
Rechtmatigheid, behoorlijkheid en transparantie Rechtmatigheid betekent dat de verwerking niet in strijd mag zijn met Europees of nationaal recht. Onderdeel daarvan is het hebben van een AVG-grondslag voor verwerking. Behoorlijkheid is een zachte(re) eis, waarbij wordt gekeken naar de bedoeling van de wet. Iets kan niet verboden zijn volgens de letter van de AVG, maar toch de behoorlijkheidstoets niet overleven. Denk aan het niet voldoen aan best practices.
Doelbinding Het tweede beginsel ziet op het hebben van een concreet verwerkingsdoel, niet té specifiek of abstract omschreven. Gegevens die zijn verzameld voor een bepaald doel, mogen niet zomaar voor een ander doel gebruikt worden (tenzij sprake is van verenigbaar nevengebruik).
Dataminimalisatie Je mag alleen gegevens verwerken die noodzakelijk zijn voor het vooraf bepaalde doeleinde. Het verwerken van gegevens ‘voor het geval dat’ is dus niet toegestaan.
Juistheid De verwerkte gegevens moeten actueel en kloppend zijn en blijven. Je bent dus verplicht gegevens die onjuist zijn aan te passen als je daar achter komt of op gewezen wordt.
Opslagbeperking Zijn de gegevens niet noodzakelijk meer voor het doeleinde? Dan moet je gaan anonimiseren of verwijderen, het alleen pseudonimiseren is onvoldoende. Onderdeel van dit beginsel is het opstellen en onderbouwen van bewaartermijnen. Let hierbij goed op eventuele wettelijke verplichtingen om gegevens langer te bewaren, zoals belastingwetgeving.
Integriteit en vertrouwelijkheid Dit beginsel gaat over ‘passende’ beveiliging van de verzamelde persoonsgegevens en raakt dus het domein van de informatiebeveiliging. Daarbij weeg je de te nemen maatregelen en bijbehorende kosten af tegen de potentiële risico’s voor de betrokkene(n).
Grondslagen
Voor het rechtmatige verwerken van persoonsgegevens, het eerste beginsel, is het hebben van een AVG-grondslag vereist. De verordening kent de volgende grondslagen:
Toestemming De betrokkene kan toestemming geven voor een verwerking. Deze toestemming moet wel aan een aantal eisen voldoen en is daarmee ingewikkelder dan je in eerste instantie zou denken. Zo moet een betrokkene vrij zijn om toestemming te weigeren. Toegang tot het product of de dienst mag dus niet gekoppeld zijn aan toestemming. Denk aan het kunnen weigeren van cookies, waarbij de website blijft functioneren. De betrokkene moet bij alle grondslagen overigens op een duidelijke en begrijpelijke wijze geïnformeerd worden over welke gegevens voor welk doeleinde gebruikt zullen gaan worden. Daar gaan wij in het vijfde deel van deze blogreeks verder op in. Toestemming van minderjarigen bevat extra haken en ogen. Ook moet toestemming op ieder moment ingetrokken kunnen worden. Toestemming wordt daarom vaak gezien als ‘restgrond’. De overheid mag deze grondslag alleen gebruiken als de verwerking niet voortvloeit uit de uit te voeren publieke taak.
Uitvoering van een overeenkomst Sommige gegevens zijn nodig om een overeenkomst uit te kunnen voeren, zoals het verwerken van een bankrekeningnummer voor het uitbetalen van het loon bij een arbeidsovereenkomst. In sommige gevallen kunnen ook gegevens worden verwerkt voorafgaand aan het sluiten van de overeenkomst. Denk aan de inkomensgegevens die een bank nodig heeft om een hypotheekberekening te kunnen maken.
Wettelijke verplichting De verwerkingsverantwoordelijk kan op grond van Europese of nationale wetgeving van een EER-lidstaat verplicht zijn bepaalde gegevens te verwerken. Het moet gaan om een concrete verplichting, zoals die van een werkgever om een afschrift van een identiteitsbewijs te bewaren in de personeelsadministratie.
Vitaal belang Hierbij is van belang of een persoon lichamelijke schade op dreigt te lopen. Zo mag in iemands portemonnee worden gekeken of diegene een niet-reanimeren kaart heeft wanneer hij/zij op straat bewusteloos neervalt. Deze grondslag kan dus alleen gebruikt worden in zeer nijpende gevallen en komt niet zo vaak voor.
Overheidstaak/algemeen belang Deze taak moet uit EU-wetgeving of nationaal recht van een EER-lidstaat voortvloeien. Het verschil met de wettelijke verplichting is vrij diffuus. Deze grondslag is primair bedoeld voor de overheid, maar in sommige gevallen kan een private partij, zoals een APK-keuringsstation of warmtenetbeheerder, er ook een beroep op doen.
Gerechtvaardigd belang De laatste grondslag is het gerechtvaardigd belang. Dit kan het belang van de verwerkingsverantwoordelijke of een derde zijn. De verwerking moet dan aan drie voorwaarden voldoen: 1) het belang is gerechtvaardigd, 2) de verwerking is noodzakelijk voor dat belang en 3) dat belang weegt zwaarder dan het belang van de betrokkene(n). Is de betrokkene jonger dan 16, dan wegen die belangen extra zwaar in deze schriftelijke afweging. De overheid kan op deze grondslag overigens geen beroep doen.
Je komt doorgaans pas toe aan het bepalen van de grondslag als je aan de andere beginselen van gegevensverwerking voldoet. Je kunt een onrechtmatige verwerking (bijvoorbeeld het verwerken van te veel gegevens) niet goedpraten door een grondslag te hebben.
Uitzondering: bijzondere en strafrechtelijke gegevens
Voor bijzondere gegevens, zoals gegevens over iemand gezondheid, geldt bovenstaande niet. Die gegevens mag je alleen verwerken als er een wettelijke uitzondering van toepassing is. De verwerking van strafrechtelijke gegevens is zelfs nog strenger.
Twijfel je of een bepaalde verwerking wel rechtmatig is of welke grondslag het beste past bij jouw verwerking? Onze specialisten denken graag met je mee.
Juridisch advies is altijd maatwerk. Deze blog bevat algemene informatie. Hoewel het artikel met veel aandacht en zorgvuldigheid is geschreven, is het verstandig om in een voorkomend geval altijd deskundig juridisch advies in te winnen (lees onze disclaimer).