Hoe weet je of iets is toegestaan onder de AVG: een praktisch hulpmiddel

De AVG is opgezet om individuen meer controle te geven over hun persoonlijke gegevens en om de gegevensverwerking door bedrijven transparanter te maken. Het is belangrijk om de basisprincipes van de AVG te begrijpen: rechtmatigheid, behoorlijkheid en transparantie; doelbinding; dataminimalisatie; juistheid; opslagbeperking; vertrouwelijkheid en integriteit

Stap 1: Weet welke gegevens je verwerkt

Begin met het identificeren van welke gegevens je verzamelt en verwerkt. Zijn het persoonsgegevens? De AVG is alleen van toepassing op persoonsgegevens, wat betekent informatie die direct of indirect naar een individu kan leiden.

Stap 2: Stel de rechtmatigheid van de verwerking vast

Voor elke gegevensverwerking moet je een wettelijke basis hebben. Dit kan toestemming zijn, noodzakelijkheid voor de uitvoering van een contract, wettelijke verplichtingen, bescherming van vitale belangen, een taak van algemeen belang of gerechtvaardigd belang. Zorg ervoor dat je voor elke verwerking een duidelijke en rechtmatige basis hebt. Weet je niet of deze basis bestaat? Betrek een privacy officer en is er twijfel: leg goed vast waar je twijfel in zit. Als een verwerking niet rechtmatig is, is deze niet toegestaan. Twijfel je en wil je organisatie tóch door? Laat dit besluit dan nemen door mensen met het juiste mandaat. Mocht de verwerking achteraf niet terecht zijn, kan je organisatie immers door betrokkenen of de toezichthouder kunnen worden aangesproken. Lees ook onze blog over grondslagen die wel goed klinken, maar niet goed zijn.

Stap 3: Eerbiedig de rechten van betrokkenen

De AVG versterkt de rechten van individuen, waaronder het recht op inzage, correctie, verwijdering, beperking van verwerking, en het recht op bezwaar. Zorg ervoor dat je mechanismen hebt om deze rechten te respecteren. Wees duidelijk over de gegevens die je van mensen verwerkt, en doe dit op een manier dat mensen hier ook tijdig kennis van kunnen nemen.

Stap 4: Pas data minimalisatie toe en let op doelbinding

Verzamel alleen de gegevens die strikt noodzakelijk zijn voor het specifieke doel waarvoor ze zijn verzameld. Dit principe van gegevensminimalisatie betekent ook dat je duidelijke doelen moet hebben voor de verwerking en deze niet mag wijzigen zonder een goede rechtvaardiging.

Stap 5: Zorg voor gegevensbeveiliging

Een cruciaal aspect van de AVG is de beveiliging van persoonsgegevens. Implementeer passende technische en organisatorische maatregelen om de gegevens te beschermen tegen ongeautoriseerde toegang, verlies of vernietiging. Denk bijvoorbeeld aan maatregelen ter bescherming van de toegang, versleuteling van gegevensuitwisseling en -opslag en aan logging.

Stap 6: Documentatie en verantwoording

Documenteer je verwerkingsactiviteiten en zorg ervoor dat je te allen tijde kunt aantonen in welke mate je voldoet aan de AVG. Dit omvat het bijhouden van gegevensverwerkingsregisters, het uitvoeren van Data Protection Impact Assessments (DPIA's) waar nodig, en het hebben van een privacybeleid.

Stap 7: Blijf op de hoogte van veranderingen

De interpretatie en toepassing van de AVG blijven evolueren. Blijf op de hoogte van de laatste richtlijnen en jurisprudentie om te zorgen dat je praktijken actueel blijven.

Het bepalen of iets is toegestaan onder de AVG is geen eenmalige actie, maar een continu proces van evaluatie en aanpassing. Door deze stappen te volgen, kun je er zeker van zijn dat je handelingen in lijn zijn met de AVG, waardoor je niet alleen aan de wet voldoet, maar ook het vertrouwen van je klanten en partners versterkt.