Laat u begeleiden door een AVG-consultant
Door de operationele maatregelen die daarmee gepaard gaan, is de AVG sterk verbonden met ICT. Niettemin is dit in wezen een proces waarin governance (bestuur) een cruciale rol speelt. “Regelgeving verplicht een bedrijf om maatregelen te nemen op basis van risico’s.” Europa schrijft op dit vlak geen concrete stappen voor, maar verplicht een bedrijf wel om risico’s correct in te schatten en af te dekken.
Juist daarom zitten veel bedrijven nog met vragen over de AVG. Het komt er feitelijk op neer dat het topmanagement van het bedrijf zich bewust moet zijn van de risico’s. Als gevolg hiervan moet het topmanagement de organisatie voorzien van de middelen die nodig zijn om de gegevens te beschermen.
Hieruit volgt automatisch dat ook de bedrijfsvoering van de onderneming de risico’s moet kunnen inschatten. Een nauwe samenwerking tussen ICT en de juridische afdeling van het bedrijf is daarom noodzakelijk. Die samenwerking zal nodig zijn. De IT-afdeling op operationeel niveau is doorgaans niet altijd bekend met de juridische aspecten van het gebruik en de beveiliging van data.
Tegelijkertijd is er meer bewustwording nodig op het niveau van de eindgebruikers. Uiteindelijk zijn dit de mensen die met de data aan de slag gaan. Ze moeten meer weten over mogelijke dreigingen en de kwetsbaarheid van data. Er is met andere woorden ook een rol weggelegd voor de HR-afdeling en bijvoorbeeld door het opleiden van medewerkers.
Wettelijke basis voor verwerking volgens de AVG-wetgeving
De AVG hecht groot belang aan legaliteit, proportionaliteit en transparantie met betrekking tot het verzamelen en verwerken van persoonsgegevens en de rechten van de betrokkenen.
Wettigheidsvereiste
De AVG bepaalt dat de verantwoordelijke voor de verwerking van de persoonsgegevens het doel duidelijk moet vaststellen en moet aangeven waarvoor hij de gegevens gebruikt.
Het is daarom belangrijk dat u goed inventariseert en beschrijft voor welke doeleinden u bijvoorbeeld leden- en gebruikersgegevens gaat verzamelen en verwerken. Tijdens het verwerkingsproces mag u de doeleinden niet zomaar wijzigen of uitbreiden.
De AVG somt ook enkele juridische doeleinden op die verwerking rechtvaardigen:
* Contractuele basis (noodzakelijk voor de uitvoering van een overeenkomst, bijvoorbeeld een arbeidsovereenkomst)
* Wettelijke verplichting (noodzakelijk voor de uitvoering van een wettelijke verplichting, bijvoorbeeld opgelegd bij besluit)
* Openbaar belang of openbaar gezag (door de wet toegewezen, bijvoorbeeld aan de politie)
* Van levensbelang (bijvoorbeeld vanwege dringende medische redenen)
* Gerechtvaardigd belang (activiteit is anders niet haalbaar), alleen als dit zwaarder weegt dan het belang, de rechten en de redelijke privacyverwachtingen van de betrokkenen
* Ondubbelzinnige toestemming (vrije, actieve en specifieke toestemming van betrokkenen)
Voor elke rechtsgrondslag moet ervoor worden gezorgd dat de gegevens tot een minimum worden beperkt om aan de verwerking te voldoen. In een arbeidsovereenkomst heeft de seksuele geaardheid bijvoorbeeld doorgaans geen doel of bestaansreden.
Gerechtvaardigd belang en ondubbelzinnige toestemming kunnen alleen als aanvraag worden gebruikt als de overige wettelijke doelstellingen niet van toepassing zijn. Zo moeten werkgevers zich eerst baseren op een wettelijke of contractuele verplichting en pas daarna als laatste redmiddel en bij wijze van uitzondering (zelfs dat staat ter discussie) kunnen zij zich baseren op toestemming of gerechtvaardigd belang. (bijvoorbeeld met e-mailcontrole)
Proportionaliteitstest
Zorg ervoor dat elke beslissing en maatregel die je neemt de evenredigheidstoets doorstaat of, met andere woorden, stel bij de verwerking altijd de volgende vraag;
“Is het werkelijk nodig met het oog op onze doelstelling om:”
deze gegevens verzamelen en verder verwerken?
Zijn er misschien andere manieren?
deze gegevens zo lang bewaren?
om al deze personen toegang te geven tot de gegevens?
deze gegevens aan een specifieke persoon te blijven koppelen, of kunnen we deze pseudonimiseren of beter anonimiseren?
Transparantie (voor natuurlijke personen)
In overeenstemming met het transparantiebeginsel moet informatie en communicatie met betrokkenen in verband met de verwerking van persoonsgegevens:
beknopt, eenvoudig, toegankelijk en begrijpelijk zijn;
Er moet duidelijke en eenvoudige taal worden gebruikt.
Bij communicatie met betrokkenen over:
de identiteit van de verwerkingsverantwoordelijke;
bij het vragen van toestemming voor verwerking;
evenals in de doelbeschrijvingen;
bij het vergroten van het bewustzijn van risico’s, regels en waarborgen;
het bestaan van profilering en de gevolgen ervan;
uitleg over hun rechten
Voor specifieke verwerking van gegevens van kinderen, in zo’n duidelijke en eenvoudige taal dat het kind deze gemakkelijk kan begrijpen.
