Wanneer je als organisatie persoonsgegevens verwerkt, eist de AVG dat je eerst moet nagaan of de verwerking rechtmatig is. Is dit niet het geval? Dan mogen er geen persoonsgegevens worden verwerkt. Maar de vraag of een gegevensverwerking rechtmatig is, is niet altijd in één zin te beantwoorden. Dat hangt namelijk af van een aantal factoren. Welke factoren dit zijn, licht ik in deze blog toe aan de hand van een aantal vragen.
Om te bepalen of je gegevensverwerking rechtmatig is kun je de volgende punten doorlopen:
Deze blog is ook in audiovisuele vorm te bekijken.Ga naar de audio versie van deze blog
De verwerking van (persoons)gegevens mag alleen plaatsvinden voor een bepaald doel. Een doeleinde is een resultaat waar je als organisatie naar streeft. Welke doelen dit zijn wordt niet in de Algemene Verordening Gegevensbescherming (AVG) genoemd, alleen dat de doelen gerechtvaardigd moeten zijn. Zo kun je bijvoorbeeld als gemeente op basis van het gerechtvaardigd belang persoonsgegevens verwerken wanneer burgers iets willen regelen of aanvragen via de gemeentelijke website. Je hebt dan contactgegevens, zoals een telefoonnummer en e-mailadres nodig, om hen goed te kunnen helpen. Soms kan een doel ook samenvallen met een grondslag (zie toelichting punt 4). Zo ben je als gemeente verantwoordelijk voor het verzamelen van gegevens voor de Basisregistratie Personen (BRP). Dit is een wettelijke taak om uit te voeren en daarom mag je dus deze persoonsgegevens verzamelen en beheren. Gegevens verzamelen omdat deze ‘in de toekomst nog weleens van pas kunnen komen’ mag dus niet.
Deze doelen moet je ook duidelijk omschrijven en kenbaar maken aan de personen van wie de persoonsgegevens worden verzameld. Een goede plaats hiervoor is bijvoorbeeld het register van verwerkingen en de privacyverklaring.
Valt je verwerking van bijzondere categorieën van persoonsgegevens onder één van de algemene of specifieke uitzonderingen op het verbod op de verwerking van dergelijke gegevens in de AVG of de Uitvoeringswet?
De AVG onderscheidt naast gewone persoonsgegevens ook bijzondere persoonsgegevens. Deze zijn gevoeliger voor de betrokkene. Bijvoorbeeld gegevens die iets zeggen over iemands ras, godsdienst of gezondheid. Ook een lidmaatschap van een vakbond is een bijzonder persoonsgegeven. De verwerking van bijzondere persoonsgegevens is verboden. Tenzij je je kunt beroepen op een wettelijke uitzondering én een van de grondslagen voor het verwerken van ‘gewone’ persoonsgegevens. Je hebt de volgende uitzonderingen:
Er zijn ook nog een paar uitzonderingen die alleen gelden als het in de wet staat:
De AVG kent zes grondslagen. Om persoonsgegevens te mogen verwerken, moet je gebruik kunnen maken van één van deze grondslagen. Kan dat niet, dan mag je de persoonsgegevens niet verwerken. De zes grondslagen die gelden voor het verwerken van persoonsgegevens zijn:
Dit vereist onder andere dat je ervoor zorgt dat de bewaarperiode van de persoonsgegevens tot het minimale wordt beperkt en dat je niet meer gegevens gebruikt dan nodig is om het doel waarvoor ze gebruikt zullen worden te bereiken. Dit wordt ook wel dataminimalisatie genoemd.
Waarborgt dat land een passend beschermingsniveau?
Maak je gebruik van passende waarborgen of kun jij je beroepen op een van de uitzonderingen op het verbond van gegevensdoorgifte?
Je mag als organisatie alleen persoonsgegevens doorgeven naar een ander land, als dat land een passend beschermingsniveau hanteert. Heeft het land geen passend beschermingsniveau? Dan is doorgifte alleen toegestaan op grond van één van de wettelijke bepalingen uit de AVG.
Dan resteert alleen nog de vraag of je voldaan hebt aan alle overige op jouw organisatie rustende verplichtingen van de AVG? Denk aan het bijhouden van een register van verwerkingen, het aanstellen van een Functionaris Gegevensbescherming (FG), het toepassen van Privacy by Design, het afsluiten van verwerkersovereenkomsten met verwerkers, et cetera. Heb je hier allemaal aan voldaan? Dan is de gegevensverwerking rechtmatig.
Tot slot nog een weetje, want wist je dat de AVG niet over alle gegevensverwerkingen gaat? Zo heb je binnen de gemeente ook specifieke wetgevingen – zoals de Wet Politiegegevens (WPG) – die ook de wijze waarop gegevens worden gebruikt en vastgelegd beschrijven. Ook binnen deze wetgeving wordt er specifiek vermeld wanneer een verwerking rechtmatig is of niet.
Heb je na het lezen van deze blog vragen of hulp nodig binnen jouw gemeente op dit vlak? Laat ons dit dan even weten en neem contact met ons op.
Om een in-house cursus in te plannen, neem contact met ons op!
Copyright © 2014 - 2021 IB&P B.V.
algemene voorwaarden - privacyverklaring.
responsible disclosure - sitemap