AVG compliance: wat mag er allemaal nog onder de AVG? (3/20)

De nieuwe Europese privacywet roept veel vragen op. De Algemene Verordening Gegevensbescherming (AVG) stelt namelijk vele nieuwe eisen en verboden, waardoor veel bestaande praktijken en businessmodellen stevig op de tocht lijken te staan. Dat komt vooral omdat de AVG van nul af een nieuw raamwerk optrekt voor het omgaan met persoonsgegevens. Maar gelukkig is dit raamwerk vooral een kwestie van zorgvuldig nalopen.

De AVG gaat uit van zes algemene beginselen, waar iedere verwerking aan moet voldoen. Vanuit deze beginselen ontstaan concrete plichten, met name gericht op documentatie en verantwoording afleggen. Belangrijk hierbij is dat de verantwoordelijke partij dit voldoen aan de plichten kan aantonen. Vandaar de nadruk op compliance.

1. Rechtmatig en transparant. Praktisch vertaald: het moet netjes en maatschappelijk aanvaard zijn wat u van plan bent, en u moet er duidelijk over zijn. Dat laatste betekent met name een concrete privacyverklaring of andere toelichting (deze behandelen we in deel 9). Ook moet u een specifieke grondslag kunnen aanwijzen, zoals toestemming, een contract of een wettelijke plicht. Deze komen de rest van deze week aan de orde.
2. Welbepaald en duidelijk. Een verwerking moet concreet omlijnd zijn en begrijpelijk voor de mensen wiens gegevens het betreft. Ook dit vertaalt zich met name naar de privacyverklaring: in klare taal specifiek benoemen wat u gaat doen en waarom (dus niet: “Wij verzamelen gegevens ten behoeve van een geoptimaliseerde gebruikservaring” maar “Wij tonen de producten die u waarschijnlijk het leukst vindt bovenaan”). Ook moet de verwerking in een register zijn gedocumenteerd (meer hierover in deel 8).
3. Minimalisatie. U mag niet meer gegevens gebruiken dan nodig zijn voor uw specifieke en rechtmatige doelen. De rechtvaardiging voor de gebruikte gegevens moet dus in de registratie van de verwerking opgenomen zijn.
4. Juistheid. Verwerkte gegevens moeten juist zijn en geactualiseerd waar en wanneer nodig. U moet daar zelf op toezien, maar ook direct reageren op verzoeken om inzage, correctie en verwijdering die mensen bij u kunnen doen. Meer over deze juridische rechten in deel 14 van de serie.
5. Bewaartermijn. Gegevens mogen niet langer dan nodig worden bewaard, en moeten daarna worden gewist. De vraag hoe lang dit nu concreet is, komt in deel 12 aan de orde.
6. Integriteit en veiligheid. Gegevens moeten adequaat beveiligd zijn, waarmee wordt geborgd dat deze niet zomaar kunnen lekken of worden gebruikt voor niet-toegestane doeleinden. Meer over beveiliging in deel 13. Samenhangend hiermee zijn de eisen van privacy by design en privacy by default (waarover in deel 15 meer).

Achterliggende eis hierbij is dat de verantwoordelijke moet kunnen aantonen dat en hoe hij dit heeft geborgd. In de praktijk komt dit met name terug in het verwerkingsregister (waarover in deel 8 meer), het datalekregister (deel 17) en de privacy impact assessments (deel 16).

Dit artikel is tot stand gekomen in samenwerking met PrivacyBlox en Arnoud Engelfriet, en is onderdeel van een twintigdelige blogreeks ter voorbereiding op de Algemene Verordening Gegevensbescherming.