Bij de verwerking van persoonsgegevens is het van belang om rekening te houden met vijf belangrijke aspecten: doel(binding), verwerkingsgrondslag, effectiviteit, proportionaliteit, subsidiariteit en data-integriteit, transparantie en veiligheid. Deze aspecten worden hieronder nader toegelicht.
- Doel(binding)
Voor het verwerken van persoonsgegevens is het van belang dat je voorafgaand aan de verwerking bepaalt wat het doel van de verwerking is. Leg dit doel vast en verwerk de persoonsgegevens alleen om die specifieke reden.
- Verwerkingsgrondslag
Voor de verwerking van persoonsgegevens is een wettelijke grondslag vereist. Bepaal vooraf welke wettelijke grondslag van toepassing is op jouw verwerking. De AVG noemt zes verschillende verwerkingsgrondslagen, namelijk:
- Voor de uitvoering van een overeenkomst;
- Op grond van een wettelijke verplichting;
- Voor de uitvoering van een publiekrechtelijke taak;
- Op grond van een gerechtvaardigd belang;
- Op grond van een vitaal belang van de betrokkene;
- Op grond van toestemming van de betrokkene.
Let op, voor de verwerking van bijzondere persoonsgegevens (artikel 9 AVG) en strafrechtelijke gegevens (artikel 10 AVG) geldt een verwerkingsverbod. Alleen wanneer uitdrukkelijke toestemming is verleend, is verwerking van dergelijke gegevens mogelijk.
- Proportionaliteit, subsidiariteit en data-integriteit
Verder moet de verwerking proportioneel zijn. Het is van belang om te bepalen welke persoonsgegevens noodzakelijk zijn om het vastgestelde doel te bereiken (effectiviteit). Het is niet toegestaan om méér persoonsgegevens te verwerken dan noodzakelijk is (dataminimalisatie) en stel een bewaartermijn vast. Onderzoek daarnaast altijd of je zonder verwerking of met minder, of geanonimiseerde, persoonsgegevens hetzelfde doel kan bereiken (subsidiariteit).
Verder moet je er bij verwerking van persoonsgegevens rekening mee houden dat de gegevens correct zijn (data-integriteit). Daarbij moet een betrokkene op een laagdrempelige manier wijzigingen kunnen doorgeven.
- Transparantie
Als verwerkingsverantwoordelijke moet je transparant zijn over de verwerking van persoonsgegevens, zowel naar de betrokkenen als naar de toezichthouder (Autoriteit Persoonsgegevens).
Betrokkenen moeten in de informatie die de verwerkingsverantwoordelijke verstrekt, bijvoorbeeld door middel van een privacyreglement en/of -verklaring, kunnen terugvinden:
- Waarom hun persoonsgegevens worden verwerkt (dus het doel van verwerking)
- Welke persoonsgegevens worden verwerkt
- Op basis van welke grondslag de verwerking plaatsvindt
- Aan welke organisaties de persoonsgegevens worden doorgegeven
- Wat hun rechten als betrokkenen zijn
- Veiligheid
Tenslotte is het belangrijk dat je de privacy van betrokkenen waarborgt door op een veilige wijze met hun persoonsgegevens om te gaan. Het treffen van organisatorische en technische maatregelen, zoals de gegevens op een passende wijze beveiligen en beschermen tegen verlies, vernietiging, beschadiging of onrechtmatige verwerking, draagt bij aan een veilige verwerking.
