Dag van de Privacy | Van deze 3 AVG-principes moet je als professional op de hoogte zijn

28 januari is ‘De Europese Dag van de Privacy’. Het is tevens de dag dat precies 39 jaar geleden het dataprotectie-verdrag door de Raad van Europa werd ondertekend. Sindsdien is er natuurlijk van alles gebeurd. Het internet brak door (uitvinder onbekend), Marc Zuckerberg vond Hyves in het blauw uit en het ene privacy-schandaal volgde in rap tempo het andere op. Ondertussen waren we het er in Europa wel over eens dat we misschien toch iets strengere wetten nodig hebben om al het spioneer- en cybercrime-geweld tegen te gaan. Twee jaar na de bekrachtiging van de Algemene Verordening Gegevensbescherming, is het misschien goed om nog eens wat belangrijke principes van de AVG voor je op een rij te zetten. Principes waarmee jij als professional kunt voorkomen dat je het het middelpunt van privacy-schandaal wordt. Maar eerst…

Verwerking van persoonsgegevens: weet jij wat ermee bedoeld wordt?

Om de privacy-principes te begrijpen is het goed om eerst iets te roepen over de frase “verwerking van persoonsgegevens”, die ongeveer 1398 keer in de AVG voorbijkomt. We willen je niet vervelen met de 54 woorden tellende definitie, maar doen het gemakshalve toch maar even:

“….het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens”

Kortom, feitelijk alle handelingen die je met persoonsgegevens kunt uitvoeren!

Het doel-principe: voorkom overschrijding!

Je doel voorbij schieten is natuurlijk altijd zonde, het liefst schiet/gooi/sla je die bal precies tussen de palen. Hetzelfde geldt voor de verwerking van persoonsgegevens. Voor jouw werkgever betekent dit bijvoorbeeld dat vergaarde informatie over jou alleen gebruikt mag worden voor het doel waarvoor de informatie is geleverd. Doe je er meer mee dan gevraagd of nodig, dan noemen we dat ‘doeloverschrijding’. Maar ook voor jou als professional geldt: wees hier alert op. Ook jij werkt mogelijk met persoonsgegevens, bijvoorbeeld van collega’s, relaties of van klanten.

Het rechtvaardigingsprincipe: zou je kunnen uitleggen of je iemands privacy schond?

En natuuurlijk is het hebben van een doel niet voldoende. Dat zou te makkelijk zijn. Je dient dus ook na te denken over dit tweede privacy-principe: rechtvaardiging. Kun jij uitleggen waarom je iemands “persoonsgegevens” verwerkt? Er zijn 6 rechtvaardigingsgronden ongeveer. Nee, precies 6 eigenlijk.

  1. Toestemming
  2. Vitale belangen
  3. Wettelijke verplichting
  4. Overeenkomst
  5. Algemeen belang
  6. Gerechtvaardigd belang

Vraag jezelf altijd af of een van bovenstaande gronden van toepassing is. is het antwoord nee? Abort mission. Of zorg ervoor dat je die toestemming alsnog krijgt. En natuuurlijk kan het ook een keer voorkomen dat je een grijs gebied betreedt. Dat het niet helemaal duidelijk is of je toestemming voor verwerking hebt verkregen, of dat je twijfelt of het gebruik bij het doel past. In dat geval kun je natuurlijk ook altijd even advies inwinnen bij de Data Protection Officer of Privacy Officer bij jou op kantoor.

Het dataminimalisatie-principe: vraag en verwerk niet meer info dan strikt noodzakelijk

Het lijkt erop dat we in herhaling treden, en dit principe heeft natuurlijk veel raakvlakken met het doel-principe en het rechtvaardigingsprincipe. Toch is het dataminimalisatie-principe ook een belangrijke pijler van de privacy-wetgeving. Goed om in het achterhoofd te houden (als je geen privacy-schender wilt zijn althans). Vraag en verwerk niet meer info van een klant, relatie of opdrachtgever dan strikt noodzakelijk voor het doel. Een indirecte verwerking van persoonsgegevens, bijvoorbeeld met een ‘data dump’ van allerlei gegevens die je helemaal niet nodig hebt, is zelfs helemaal niet toegestaan. Eigenlijk is het hartstikke illegaal. Niet zo illegaal als inbreken bij de buren, maar onwettig desalniettemin. Voor veel van die informatie heb je waarschijnlijk niet eens toestemming (of één van de zes andere rechtvaardigingen; weet je nog?). Is het doel vervuld of niet meer van toepassing? Verwijder dan de data. Dat is stiekem al een beetje een vierde principe, maar zeggen we toch, omdat dit principe heel goed te combineren is met weer een ander mooi principe: spread love, not data!

Traineeship Compliance, Risk & Legal

Vind jij compliance, privacy en cyber security interessante onderwerpen? Ben jij net afgestudeerd, hoogopgeleid en op zoek naar een nieuwe uitdaging? Bekijk dan ons traineeship Compliance/CDD, het traineeship IT of een van onze andere ontwikkelprogramma’s voor jong talent.