Wat zijn de basisregels van de AVG?

De Algemene Verordening Gegevensbescherming (AVG) vormt sinds 2018 het fundament voor de bescherming van persoonsgegevens in de Europese Unie. Deze verordening is niet slechts een set bureaucratische voorschriften; het is een krachtig juridisch kader dat is ontworpen om de autonomie en privacy van individuen in het digitale tijdperk te waarborgen. Voor organisaties betekent dit een grondige herziening van hoe zij omgaan met de gegevens van klanten, werknemers en andere betrokkenen.

De kern van de AVG wordt gevormd door een aantal principes die elke verwerking van persoonsgegevens moeten sturen. Deze beginselen zijn niet vrijblijvend, maar rechtstreekse wettelijke verplichtingen. Zij vereisen dat gegevens worden verwerkt op een manier die wettelijk, behoorlijk en transparant is, voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Daarnaast eist de AVG dat alleen de gegevens worden verzameld die strikt noodzakelijk zijn (dataminimalisatie) en dat deze nauwkeurig en actueel worden gehouden.

Naast deze grondbeginselen introduceert de verordening concrete rechten voor personen en plichten voor organisaties. Van het recht op inzage en rectificatie tot het recht op vergetelheid, de AVG geeft individuen aanzienlijke controle terug over hun eigen data. Voor verwerkingsverantwoordelijken en verwerkers vertaalt dit zich in de verplichting om deze rechten te faciliteren, beveiligingsmaatregelen te treffen, gegevenslekken te melden en, waar nodig, een data protection impact assessment (DPIA) uit te voeren. Het begrijpen van deze basisregels is de eerste, cruciale stap naar AVG-conformiteit.

Hoe verzamel en registreer ik persoonsgegevens op een toegestane manier?

De rechtmatige verzameling en registratie van persoonsgegevens vereist een weloverwogen proces, gebaseerd op de zes grondslagen van de AVG. U mag gegevens alleen verwerken als minimaal één van deze grondslagen van toepassing is.

De meest voorkomende grondslag is de ondubbelzinnige, vrijelijk gegeven toestemming. Deze moet specifiek, geïnformeerd en actief zijn. Een vooraf aangevinkt vakje is niet geldig. U moet duidelijk vastleggen wie toestemming heeft gegeven, wanneer en op basis van welke informatie.

Voor de uitvoering van een overeenkomst is een andere grondslag. U mag bijvoorbeeld het adres van een klant registreren om een bestelling te leveren. De verwerking moet noodzakelijk en evenredig zijn voor dat specifieke doel.

Wees uiterst transparant via een privacyverklaring. Hierin legt u uit welke gegevens u verzamelt, het doel, de grondslag, de bewaartermijn en met wie u de gegevens deelt. De informatie moet begrijpelijk en gemakkelijk toegankelijk zijn.

Pas het dataminimalisatiebeginsel toe: verzamel alleen gegevens die strikt noodzakelijk zijn voor het vooraf bepaalde doel. Vraag niet naar extra gegevens 'voor het geval dat'.

Bewaak de nauwkeurigheid van de geregistreerde gegevens. Zorg voor processen om onjuiste gegevens te corrigeren of te verwijderen. Stel realistische bewaartermijnen vast en wis de gegevens daarna op een veilige manier.

Implementeer technische en organisatorische maatregelen om de geregistreerde gegevens te beveiligen. Denk aan toegangsbeperkingen, encryptie en regelmatige back-ups. Houd een verwerkingsregister bij als dit voor uw organisatie verplicht is.

Verwerk bijzondere persoonsgegevens, zoals gezondheidsinformatie, alleen onder strikte voorwaarden. Dit is in principe verboden, tenzij een specifieke uitzondering in de wet van toepassing is.

Wat moet ik doen bij een datalek en hoe meld ik dit?

Een datalek vereist onmiddellijke en gestructureerde actie. Volg deze stappen om correct te handelen.

Stap 1: Beperk het lek en onderzoek

Isoleer het betrokken systeem of de toegang onmiddellijk om verdere schade te voorkomen. Start daarna een grondig intern onderzoek. Stel vast: welke persoonsgegevens zijn gelekt, wie zijn de betrokken personen, wat is de oorzaak en wat zijn de mogelijke gevolgen.

Stap 2: Beoordeel de risico's voor de betrokkenen

Bepaal of het lek waarschijnlijk nadelige gevolgen heeft voor de rechten en vrijheden van de betrokken personen. Denk aan risico's zoals identiteitsfraude, financiële schade, discriminatie of reputatieschade. Deze risicobeoordeling is cruciaal voor de vervolgstappen.

Stap 3: Meld het lek aan de Autoriteit Persoonsgegevens (AP)

Indien het datalek leidt tot een hoog risico voor de betrokkenen, bent u verplicht het lek binnen 72 uur na ontdekking te melden bij de AP. Doe dit via hun website. De melding moet de aard van het lek, de categorieën en het geschatte aantal betrokken personen, de mogelijke gevolgen en de genomen/voorgestelde maatregelen bevatten.

Stap 4: Informeer de betrokken personen

Als het datalek een hoog risico inhoudt voor de persoonlijke levenssfeer, moet u de getroffen personen direct en op een duidelijke manier informeren. Geef aan wat er is gebeurd, welke gegevens het betreft, wat de mogelijke gevolgen zijn en welke maatregelen u heeft genomen. Adviseer hen ook hoe zij zich kunnen beschermen.

Stap 5: Documenteer het datalek

U moet elk datalek, of het nu gemeld moet worden of niet, intern documenteren. Noteer de feiten, gevolgen en genomen corrigerende maatregelen. Deze documentatie is een wettelijke verplichting en bewijst dat u aan uw verantwoordingsplicht voldoet.

Stap 6: Evalueer en voorkom herhaling

Analyseer na afhandeling de oorzaak van het lek. Pas uw beveiligingsbeleid, technische maatregelen of interne procedures aan om een vergelijkbaar incident in de toekomst te voorkomen. Regelmatige training van personeel is hierbij essentieel.

Veelgestelde vragen:

Wat zijn de zes belangrijkste grondslagen voor rechtmatige verwerking van persoonsgegevens volgens de AVG?

De Algemene Verordening Gegevensbescherming stelt dat je persoonsgegevens alleen mag verwerken als je je kunt beroepen op één van deze zes grondslagen: 1) De betrokkene heeft toestemming gegeven voor een specifiek verwerkingsdoel. 2) De verwerking is nodig voor de uitvoering van een overeenkomst. 3) Je moet voldoen aan een wettelijke verplichting. 4) De verwerking is nodig om vitale belangen van de betrokkene te beschermen. 5) De verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of een openbaar gezag. 6) Je hebt een gerechtvaardigd belang, tenzij de privacybelangen van de betrokkene zwaarder wegen. Je moet altijd kunnen aantonen op welke grondslag je een verwerking baseert.

Moet ik altijd expliciete toestemming vragen om gegevens te mogen gebruiken?

Nee, toestemming is slechts één van de zes mogelijke grondslagen. Voor veel verwerkingen zijn andere gronden geschikter. Bijvoorbeeld: voor het uitbetalen van een salaris is toestemming niet nodig, omdat de verwerking nodig is voor de uitvoering van de arbeidsovereenkomst. Toestemming moet altijd vrij, specifiek, geïnformeerd en ondubbelzinnig zijn. Als je toestemming als grondslag gebruikt, moet de betrokkene deze ook eenvoudig kunnen intrekken.

Welke rechten hebben mensen van wie ik gegevens verwerk?

De AVG geeft betrokkenen verschillende rechten. Dit omvat het recht op inzage: men mag weten welke gegevens je verwerkt en waarom. Het recht op rectificatie van onjuiste gegevens. Het recht op verwijdering ('recht op vergetelheid') onder bepaalde voorwaarden. Het recht op beperking van de verwerking. Het recht op overdraagbaarheid van gegevens. Het recht van bezwaar tegen verwerking, bijvoorbeeld voor direct marketing. Je moet deze rechten actief honoreren en duidelijk communiceren hoe men ze kan uitoefenen.

Wat houdt de 'privacy by design' verplichting in voor mijn kleine webshop?

Privacy by design betekent dat je al bij het ontwerpen van je dienst of systeem maatregelen neemt om persoonsgegevens te beschermen. Concreet kan dit voor een webshop zijn: standaard alleen de noodzakelijke gegevens verzamelen (bijv. niet vragen naar geboortedatum als dit niet nodig is), gegevens versleutelen, toegang tot klantgegevens beperken tot medewerkers die het echt nodig hebben, en ervoor zorgen dat gegevens automatisch worden verwijderd na een vastgestelde bewaartermijn. Het gaat om preventief handelen.

Is een register van verwerkingsactiviteiten verplicht en wat moet erin staan?

Ja, de meeste organisaties zijn verplicht een register bij te houden. Hierin noteer je bijvoorbeeld: je naam en contactgegevens, het doel van de verwerking, een beschrijving van de betrokken personencategorieën en gegevenscategorieën, met wie je de gegevens deelt, eventelijke doorgifte buiten de EU, en de bewaartermijnen. Je moet ook de genomen beveiligingsmaatregelen documenteren. Dit register helpt je om overzicht te houden en het toont aan dat je de AVG naleeft.