Menu

PrivacyBlox over de AVG [3/20]: wat mag er allemaal nog onder de AVG?

26-apr.-2018

De nieuwe Europese privacywet roept vele vragen. De Algemene Verordening Gegevensbescherming (AVG) stelt namelijk vele nieuwe eisen en verboden, waardoor veel bestaande praktijken en businessmodellen stevig op de tocht lijken te staan. Dat komt vooral omdat de AVG van nul af een nieuw raamwerk optrekt voor het omgaan met persoonsgegevens. Maar gelukkig is dit raamwerk vooral een kwestie van zorgvuldig nalopen.

De AVG gaat uit van zes algemene beginselen, waar iedere verwerking aan moet voldoen. Vanuit deze beginselen ontstaan concrete plichten, met name gericht op documentatie en verantwoording afleggen. Belangrijk hierbij is dat de verantwoordelijke partij dit voldoen aan de plichten kan aantonen. Vandaar de nadruk op compliance.

  1. Rechtmatig en transparant. Praktisch vertaald: het moet netjes en maatschappelijk aanvaard zijn wat u van plan bent, en u moet er duidelijk over zijn. Dat laatste betekent met name een concrete privacyverklaring of andere toelichting (deze behandelen we volgende week dinsdag). Ook moet u een specifieke grondslag kunnen aanwijzen, zoals toestemming, een contract of een wettelijke plicht. Deze komen de rest van deze week aan de orde.
  2. Welbepaald en duidelijk. Een verwerking moet concreet omlijnd zijn en begrijpelijk voor de mensen wiens gegevens het betreft. Ook dit vertaalt zich met name naar de privacyverklaring: in klare taal specifiek benoemen wat u gaat doen en waarom (dus niet: “Wij verzamelen gegevens ten behoeve van een geoptimaliseerde gebruikservaring” maar “Wij tonen de producten die u waarschijnlijk het leukst vindt bovenaan”). Ook moet de verwerking in een register zijn gedocumenteerd (meer hierover komende maandag).
  3. Minimalisatie. U mag niet meer gegevens gebruiken dan nodig zijn voor uw specifieke en rechtmatige doelen. De rechtvaardiging voor de gebruikte gegevens moet dus in de registratie van de verwerking opgenomen zijn.
  4. Juistheid. Verwerkte gegevens moeten juist zijn en geactualiseerd waar en wanneer nodig. U moet daar zelf op toezien, maar ook direct reageren op verzoeken om inzage, correctie en verwijdering die mensen bij u kunnen doen. Meer over deze juridische rechten op dinsdag 20 februari.
  5. Bewaartermijn. Gegevens mogen niet langer dan nodig worden bewaard, en moeten daarna worden gewist. De vraag hoe lang dit nu concreet is, komt volgende week vrijdag aan de orde.
  6. Integriteit en veiligheid. Gegevens moeten adequaat beveiligd zijn, waarmee wordt geborgd dat deze niet zomaar kunnen lekken of worden gebruikt voor niet-toegestane doeleinden. Meer over beveiliging maandag 19 februari. Samenhangend hiermee zijn de eisen van privacy by design en privacy by default (waarover woensdag 21 februari meer).

Achterliggende eis hierbij is dat de verantwoordelijke moet kunnen aantonen dat en hoe hij dit heeft geborgd. In de praktijk komt dit met name terug in het verwerkingsregister (waarover maandag aanstaande meer), het datalekregister (vrijdag 23 februari) en de privacy impact assessments (donderdag 22). 

Compliant zijn met de AVG is vooral een kwestie van documenteren. De makkelijkste manier hiervoor is de overzichtelijke tooling van Privacyblox.nl. Het systeem maakt processen van gegevensverwerking transparant. Met PrivacyBlox genereert u ook diverse privacydocumenten en adviezen op maat. Ideaal voor zowel privacy officers als professionals zonder kennis of training in privacy. Probeer het nu!