Voordat je start met de verwerking van gegevens moet je nagaan of de verwerking rechtmatig is. Wanneer dit niet het geval is dan mogen er geen persoonsgegevens worden verwerkt. De vraag of de gegevensverwerking rechtmatig is, is helaas niet in een zin te beantwoorden. Dat hangt af van een aantal factoren.
Allereerst is het belangrijk dat je weet waarom je de gegevens wilt verwerken. Er moet een gerechtvaardigd doel zijn en dat doel moet ook duidelijk zijn omschreven in je gegevensverwerkingsbeleid. Daarbij is het ook belangrijk dat je met het verzamelen van de gegevens ook daadwerkelijk je doel bereikt. In de AVG wordt dit omschreven als: de verwerking moet toereikend zijn, ter zake dienend en beperkt tot het noodzakelijke. Zomaar gegevens verzamelen omdat deze ‘mogelijk in de toekomst nog eens van pas kunnen komen’ is niet toegestaan. Als je met het verwerken van de gegevens niet het gestelde doel kan bereiken, of dit is zeer onwaarschijnlijk, dan zal het ook niet rechtmatig zijn (proportionaliteitseis). Ook moet bij iedere verwerking worden bezien of het gestelde doel niet op een andere (bijvoorbeeld door géén of minder persoonsgegevens te verwerken) kan worden bereikt (eis van subsidiariteit). Het vastleggen hiervan in een beleid/protocol is belangrijk. Als een betrokkene of de Autoriteit Persoonsgegevens hierom vraagt dan kan je hiermee aantonen dat je erover nagedacht hebt.
De verwerking van de gegevens moet ook gebaseerd zijn op 1 of meerdere grondslagen van de Verordening. Deze zijn:
De toestemming moet vrij zijn gegeven. Dat betekent dat er daadwerkelijk een keuze moet zijn om te weigeren, zonder dat er negatieve consequenties aan verbonden zijn. In een arbeidsrechtelijke situatie zal de keuze niet altijd vrij zijn, dat betekent dat in de arbeidssfeer je beroepen op de verzameling van gegevens omdat er toestemming is verkregen van de betrokkene niet voldoende is. Er moet dan ook een andere grondslag worden toegepast.
Verder is het belangrijk dat er gegevensbeschermingsbeleid is opgesteld (naar gelang de mate van de verwerking en de risico’s die eraan hangen), daarin moet in ieder geval het volgende worden opgenomen:
Als je een duidelijke afgebakende doelomschrijving hebt, je met de verwerking dit doel ook daadwerkelijk bereikt en in lijn is met één of meerdere grondslagen van de Verordeningen zoals hierboven genoemd dan ben je een stuk dichterbij een rechtmatige gegevensverwerking. Lukt het daarbij ook nog om de gegevens organisatorisch en technisch goed te beveiligen dan kan je er vanuit gaan dat er waarschijnlijk wel sprake is van een rechtmatige gegevensverwerking.
Stuur uw gegevens naar onze specialist en we nemen zo spoedig
mogelijk contact op met u.
Wilt u een vrijblijvende offerte aanvragen? Benieuwd naar de investering voor uw beoogde certificering? Normec VRO denkt graag effectief met u mee. Vul onderstaand formulier in en ontvang vrijblijvend een kostenindicatie voor uw certificeringstraject.
Wilt u een vrijblijvende offerte aanvragen? Benieuwd naar de investering voor uw beoogde certificering? Normec VRO denkt graag effectief met u mee. Vul onderstaand formulier in en ontvang vrijblijvend een kostenindicatie voor uw certificeringstraject.