De AVG is een verordening die uitgaat van een ‘risk based approach’.(1) Dit betekent dat er altijd een een risico-analyse moet worden uitgevoerd om te kunnen beoordelen op welke wijze de verwerkingsverantwoordelijke invulling geeft aan zijn verplichtingen. Wat is de aard van de verwerking van de persoonsgegevens, wat is de omvang en het doel? En meer: wat zijn de risico’s? Dit soort zaken dient een verwerkingsverantwoordelijke scherp voor ogen te hebben om de juiste maatregelen te kunnen treffen, zodat de verwerking van persoonsgegevens in overeenstemming is met de AVG.
Wat zijn al deze verplichtingen dan? Dit artikel gaat niet alle 99 artikelen na, maar concentreert zich op de zes beginselen die een verwerkingsverantwoordelijke in acht moet nemen bij de verwerking van persoonsgegevens. Je zou kunnen stellen dat, indien wordt voldaan aan deze beginselen, een verwerkingsverantwoordelijke in principe voldoet aan de eisen zoals gesteld vanuit de AVG.
De beginselen zijn opgenomen in art. 5 van de AVG.(2)
1.
Het eerste beginsel is dat persoonsgegevens moeten worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is. Dit betekent dat, indien er persoonsgegevens worden verwerkt, er altijd een wettelijke grondslag moet zijn (zie artikel 6 en artikel 9 van de AVG). Daarnaast moet de verwerking behoorlijk zijn. Dit betekent dat organisaties ervoor moeten zorgen dat ze de regels van de AVG niet overtreden en dat ze niets verbergen. Dit laatste in het beginsel van transparantie. Een betrokkene (altijd een natuurlijk persoon) moet worden geïnformeerd over iedere verwerking van zijn persoonsgegevens. Voorafgaand aan de verwerking moet de betrokkene worden geïnformeerd over deze verwerking, waarbij een duidelijke en eenvoudige taal moet worden gebruikt. Ook moet op transparante wijze aan de betrokkene duidelijk gemaakt worden wat de verwerking inhoudt en welke rechten hij heeft en hoe hij deze rechten kan uitoefenen.
2.
Een tweede beginsel zegt dat persoonsgegevens alleen mogen worden verwerkt voor welbepaalde, uitdrukkelijk beschreven en gerechtvaardigde doeleinden (‘doelbinding’). Deze doeleinden moeten zijn vastgesteld en omschreven nog vóórdat begonnen wordt met de verwerking van de persoonsgegevens. Verwerking van persoonsgegevens mag alleen plaatsvinden ten aanzien van deze vooraf gemelde doelen. Aanvullend geldt dat deze persoonsgegevens niet (verder) mogen worden verwerkt als deze niet verenigbaar zijn met de oorspronkelijke doelen. Verwerkingen die worden gedaan met het oog op archivering in het algemeen belang of voor wetenschappelijke, historische of statistische doeleinden krijgen meer vrijheid en hoeven dit niet als (extra) doel aan te geven.
3.
Vervolgens moet de verwerking toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt (‘minimale gegevensverwerking’). Hierbij geldt het ‘noodzakelijkheidscriterium’. Alleen persoonsgegevens die strikt noodzakelijk zijn in relatie tot het doel van de verwerking mogen worden verwerkt. Dit betekent voorts dat persoonsgegevens zo snel mogelijk moeten worden gewist als ze niet meer nodig zijn. Uit dit beginsel vloeit tevens voort dat persoonsgegevens alleen mogen worden verwerkt als de verwerking niet redelijkerwijs op een andere wijze kan worden verwezenlijkt.
4.
Ook moeten persoonsgegevens juist zijn en zo nodig worden geactualiseerd (‘juistheid’). Alle redelijke maatregelen moeten worden genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren. Dit beginsel vereist dus dat de persoonsgegevens juist en actueel zijn. Blijken persoonsgegevens onjuist te zijn of niet meer actueel, dan kan de betrokkene verzoeken om deze gegevens te laten aanpassen of zelfs te wissen. Uiteraard heeft de verwerkingsverantwoordelijke een zelfstandige plicht om er voor zorg te dragen dat de persoonsgegevens juist en actueel zijn.
5.
In het kader van de bewaartermijnen geldt het beginsel van ‘opslagbeperking’. De persoonsgegevens moeten worden bewaard in een vorm die het mogelijk maakt om de betrokkenen niet langer te identificeren dan voor de doeleinden waarvoor de persoonsgegevens worden verwerkt noodzakelijk is. Dit betekent simpel weergegeven dat bewaartermijnen moeten worden nagekomen. Na het verstrijken van de bewaartermijn, moeten de persoonsgegevens worden verwijderd. De AVG geeft zelf geen concrete bewaartermijnen, maar verlangt wel dat de organisatie die de persoonsgegevens verwerkt termijnen vaststelt voor het wissen van deze persoonsgegevens. Vóór de inwerkingtreding van de AVG was er een ‘Vrijstellingsbesluit’. In dit besluit stonden veel bewaartermijnen vermeld. Indien een organisatie bewaartermijnen bepaald, kan het kennisnemen van dit besluit nog als voorbeeld dienen. Het geldt dus echter niet meer en de verwerkingsverantwoordelijke moet zelf redelijke bewaartermijnen vaststellen en aantonen zich hieraan te houden. Overigens wordt er veel druk uitgeoefend om het Vrijstellingsbesluit weer in te voeren.
6.
Het zesde en laatste beginsel betreft het nemen van passende technische of organisatorische maatregelen op een dusdanige manier dat een passende beveiliging van persoonsgegevens gewaarborgd is (‘integriteit en vertrouwelijkheid’). Op grond van dit beginsel moet de organisatie passende maatregelen nemen om de persoonsgegevens te beveiligen en ongeoorloofde toegang tot of gebruik van deze gegevens tegen te gaan.
Artikel 5 AVG sluit af met een belangrijk lid 2: Op grond van de AVG geldt dat de verwerkingsverantwoordelijke verantwoordelijk is voor de naleving van de beginselen zoals vermeld in lid 1 en moet kunnen aantonen (‘verantwoordingsplicht’) dat aan deze beginselen is voldaan.
(1) In de overwegingen 39, 50 en 58 van de AVG wordt dit ook toegelicht.
(2) Zie bijvoorbeeld art. 24 lid 1 van de AVG: ‘Rekening houdend met de aard, de context en het doel van de verwerking, alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen, treft de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met deze verordening wordt uitgevoerd. Die maatregelen worden geëvalueerd en indien nodig geactualiseerd.’
Terug naar het dossier Verantwoordingsplicht
