AVG: Is jouw gegevensverwerking rechtmatig?

Voordat je start met de verwerking van gegevens moet je nagaan of de verwerking rechtmatig is. Wanneer dit niet het geval is dan mogen er geen persoonsgegevens worden verwerkt. De vraag of de gegevensverwerking rechtmatig is, is helaas niet in een zin te beantwoorden. Dat hangt af van een aantal factoren.

Gerechtvaardigde doeleinden

Allereerst is het belangrijk dat je weet waarom je de gegevens wilt verwerken. Er moet een gerechtvaardigd doel zijn en dat doel moet ook duidelijk zijn omschreven in je gegevensverwerkingsbeleid. Daarbij is het ook belangrijk dat je met het verzamelen van de gegevens ook daadwerkelijk je doel bereikt. In de AVG wordt dit omschreven als: de verwerking moet toereikend zijn, ter zake dienend en beperkt tot het noodzakelijke. Zomaar gegevens verzamelen omdat deze ‘mogelijk in de toekomst nog eens van pas kunnen komen’ is niet toegestaan. Als je met het verwerken van de gegevens niet het gestelde doel kan bereiken, of dit is zeer onwaarschijnlijk, dan zal het ook niet rechtmatig zijn (proportionaliteitseis). Ook moet bij iedere verwerking worden bezien of het gestelde doel niet op een andere (bijvoorbeeld door géén of minder persoonsgegevens te verwerken) kan worden bereikt (eis van subsidiariteit). Het vastleggen hiervan in een beleid/protocol is belangrijk. Als een betrokkene of de Autoriteit Persoonsgegevens hierom vraagt dan kan je hiermee aantonen dat je erover nagedacht hebt.

Grondslagen verordening

De verwerking van de gegevens moet ook gebaseerd zijn op 1 of meerdere grondslagen van de Verordening. Deze zijn:

• de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;
• de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;
• de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;
• de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;
• verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen;
• de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.

De toestemming moet vrij zijn gegeven. Dat betekent dat er daadwerkelijk een keuze moet zijn om te weigeren, zonder dat er negatieve consequenties aan verbonden zijn. In een arbeidsrechtelijke situatie zal de keuze niet altijd vrij zijn, dat betekent dat in de arbeidssfeer je beroepen op de verzameling van gegevens omdat er toestemming is verkregen van de betrokkene niet voldoende is. Er moet dan ook een andere grondslag worden toegepast.

Organisatorische technische beveiliging van de gegevens

Verder is het belangrijk dat er gegevensbeschermingsbeleid is opgesteld (naar gelang de mate van de verwerking en de risico’s die eraan hangen), daarin moet in ieder geval het volgende worden opgenomen:

• Welke technische en organisatorische maatregelen genomen moeten worden om de gegevens te beschermen en te voldoen aan de verordening;
• Hoe de maatregelen vorm krijgen (processen, werkafspraken, beveiligingsmaatregelen etc.);
• Het wel of niet uitvoeren van een gegevenseffectbeoordeling (dit is in ieder geval verplicht wanneer de verwerking waarschijnlijk een hoog risico inhoudt voor de betrokkene). In de gegevenseffectbeoordeling moet het volgende worden opgenomen:
  • Beschrijving beoogde verwerking en de doelen van die verwerking en de relatie of het doel in verhouding staat tot de risico’s (noodzakelijkheid en evenredigheid)
  • Oordeel over de risico’s van berokkenen
  • De beoogde maatregelen in de zin van waarborgen, veiligheidsmaatregelen, werkafspraken, taakverdeling etc. om de risico’s weg te nemen of te beperken
• Wat zijn de criteria voor het melden van een datalek bij de Autoriteit Persoonsgegevens.
• En de rollen en verantwoordelijkheden uiteenzetten van de volgende personen:
  • Functionaris Gegevensbescherming (indien aangesteld)
  • Verwerkingsverantwoordelijke
  • Verwerker(s)

 Conclusie

Als je een duidelijke afgebakende doelomschrijving hebt, je met de verwerking dit doel ook daadwerkelijk bereikt en in lijn is met één of meerdere grondslagen van de Verordeningen zoals hierboven genoemd dan ben je een stuk dichterbij een rechtmatige gegevensverwerking. Lukt het daarbij ook nog om de gegevens organisatorisch en technisch goed te beveiligen dan kan je er vanuit gaan dat er waarschijnlijk wel sprake is van een rechtmatige gegevensverwerking.