Uitleg bij artikel 5 AVG
De Algemene Verordening Gegevensbescherming kent twaalf Fair Information Principles. Dit zijn de uitgangspunten waarop de hele Verordening is gebaseerd (overweging 39). Al het andere is in wezen een invulling of concretisering van deze principles.
1. Rechtmatig: De gegevensverwerking moet rechtmatig zijn. Dat betekent dat er aan de vereiste van een legitieme verwerkingsgrondslag voor gewone (artikel 6 AVG) en bijzondere persoonsgegevens (artikel 9 AVG) moet zijn voldaan en er een legitieme grondslag moet zijn om gegevens door te voeren naar landen buiten de EU. Ook is het uitgangspunt dat aan alle andere in Europa en Nederland geldende wetten worden nageleefd (Artikel 5 lid 1 sub a AVG).
2. Verantwoordelijk: De verantwoordelijke dient maatregelen te treffen om te zorgen dat er voor het hele gegevensverwerkingsproces en alle daarbij betrokken partijen aan de AVG wordt voldaan (Artikel 5 lid 2 AVG). Zie ook artikel 24 AVG.
3. Behoorlijk: Oneerlijke handelspraktijken waarbij de consument wordt misleid zijn verboden, wat ook geldt voor het opstellen van unfair terms and conditions, waarbij de consument bijvoorbeeld in de terms and conditions van een zaklamp-app toestemming wordt gevraagd om meer dan honderd partijen toegang te geven tot alle op zijn telefoon opgeslagen informatie, foto’s en video’s (Artikel 5 lid 1 sub a AVG).
4. Doelspecificatie: De gegevensverwerking moet een specifiek doel dienen. Nog voordat er wordt begonnen met het verwerken van persoonsgegevens moet een doel worden afgesproken. Dat doel moet specifiek zijn. Veel organisaties gaan bij dit vereiste de mist in, omdat ze veel te brede en algemene doelen hebben geformuleerd, zoals ‘klantencontact’, ‘productverbetering’, ‘innovatie’ of ‘reclamedoeleinden’. Een concreet doel is bijvoorbeeld: 'Wij hebben uw adres nodig om het door u bestelde boek te kunnen leveren' (Artikel 5 lid 1 sub b AVG).
5. Doelbinding: De gegevens mogen vervolgens in principe alleen voor het vastgelegde doel worden verwerkt. De adresgegevens om het boek te leveren mogen niet worden doorverkocht aan een bedrijf dat de gegevens gebruikt voor advertentiedoeleinden (Artikel 5 lid 1 sub b AVG en overweging 50)). Zie hiervoor ook artikel 6 lid 4 AVG. Er is een uitzondering op dit principe voor wat betreft gegevensverwerking ten aanzien van archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden (artikel 89 AVG).
6. Dataminimalisatie: Het uitgangspunt is dat er in principe zo min mogelijk persoonsgegevens worden verzameld (Artikel 5 lid 1 sub c AVG). De principes van noodzakelijkheid, proportionaliteit en subsidiariteit spelen daarbij een belangrijke rol (overweging 4).
7. Correctheid: De gegevens die worden verzameld, moeten correct zijn. Als je informatie hebt over een persoon moet die informatie dus wel kloppen (Artikel 5 lid 1 sub d AVG).
8. Up-to-date: Als de persoonsgegevens voor een langere tijd worden bewaard, dan heeft de verantwoordelijke de plicht om ervoor te zorgen dat de gegevens up-to-date blijven (Artikel 5 lid 1 sub d AVG).
9. Opslagbeperking: Als de persoonsgegevens niet langer nodig zijn voor het bereiken van het doel waarvoor ze zijn verzameld, dan moeten de gegevens weer worden verwijderd (Artikel 5 lid 1 sub e AVG). Er is een uitzondering op dit principe voor wat betreft gegevensverwerking ten aanzien van archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden (artikel 89 AVG).
10. Technologische veiligheid: Als de gegevens worden opgeslagen, bijvoorbeeld in een database, register of bestand, dan zul je technische veiligheidsmaatregelen moeten treffen. Denk daarbij aan encryptie en beveiliging tegen hacks (Artikel 5 lid 1 sub f AVG). Zie ook artikel 32 AVG.
11. Organisatorische veiligheid: Als de gegevens worden opgeslagen, bij voorbeeld in een database, register of bestand, dan zul je organisatorische veiligheidsmaatregelen moeten treffen. Denk daarbij aan een clean desk policy, wachtwoorden en het loggen van personen die toegang willen tot bestanden en databases (Artikel 5 lid 1 sub f AVG). Zie ook artikel 32 AVG.
12. Transparantie: De gegevensverwerkingsprocessen moeten transparant zijn (Artikel 5 lid 1 sub a AVG). Zie ook artikel 12, 13 en 14 AVG.
Artikel 5 Beginselen inzake verwerking van persoonsgegevens
1.Persoonsgegevens moeten:
a)worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is („rechtmatigheid, behoorlijkheid en transparantie”);
b) voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt; de verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden wordt overeenkomstig artikel 89, lid 1, niet als onverenigbaar met de oorspronkelijke doeleinden beschouwd („doelbinding”);
c) toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt („minimale gegevensverwerking”);
d)juist zijn en zo nodig worden geactualiseerd; alle redelijke maatregelen moeten worden genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren („juistheid”);
e) worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan voor de doeleinden waarvoor de persoonsgegevens worden verwerkt noodzakelijk is; persoonsgegevens mogen voor langere perioden worden opgeslagen voor zover de persoonsgegevens louter met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden worden verwerkt overeenkomstig artikel 89, lid 1, mits de bij deze verordening vereiste passende technische en organisatorische maatregelen worden getroffen om de rechten en vrijheden van de betrokkene te beschermen („opslagbeperking”);
f) door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging („integriteit en vertrouwelijkheid”).
2.De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van lid 1 en kan deze aantonen („verantwoordingsplicht”).
Overwegingen
(4) De verwerking van persoonsgegevens moet ten dienste van de mens staan. Het recht op bescherming van persoonsgegevens heeft geen absolute gelding, maar moet worden beschouwd in relatie tot de functie ervan in de samenleving en moet conform het evenredigheidsbeginsel tegen andere grondrechten worden afgewogen. Deze verordening eerbiedigt alle grondrechten alsook de vrijheden en beginselen die zijn erkend in het Handvest zoals dat in de Verdragen is verankerd, met name de eerbiediging van het privéleven en het familie- en gezinsleven, woning en communicatie, de bescherming van persoonsgegevens, de vrijheid van gedachte, geweten en godsdienst, de vrijheid van meningsuiting en van informatie, de vrijheid van ondernemerschap, het recht op een doeltreffende voorziening in rechte en op een onpartijdig gerecht, en het recht op culturele, godsdienstige en taalkundige verscheidenheid.
(39) Elke verwerking van persoonsgegevens dient behoorlijk en rechtmatig te geschieden. Voor natuurlijke personen dient het transparant te zijn dat hen betreffende persoonsgegevens worden verzameld, gebruikt, geraadpleegd of anderszins verwerkt en in hoeverre de persoonsgegevens worden verwerkt of zullen worden verwerkt. Overeenkomstig het transparantiebeginsel moeten informatie en communicatie in verband met de verwerking van die persoonsgegevens eenvoudig toegankelijk en begrijpelijk zijn, en moet duidelijke en eenvoudige taal worden gebruikt. Dat beginsel betreft met name het informeren van de betrokkenen over de identiteit van de verwerkingsverantwoordelijke en de doeleinden van de verwerking, alsook verdere informatie om te zorgen voor behoorlijke en transparante verwerking met betrekking tot de natuurlijke personen in kwestie en hun recht om bevestiging en mededeling te krijgen van hun persoonsgegevens die worden verwerkt. Natuurlijke personen moeten bewust worden gemaakt van de risico's, regels, waarborgen en rechten in verband met de verwerking van persoonsgegevens, alsook van de wijze waarop zij hun rechten met betrekking tot deze verwerking kunnen uitoefenen. Meer bepaald dienen de specifieke doeleinden waarvoor de persoonsgegevens worden verwerkt, expliciet en gerechtvaardigd te zijn en te zijn vastgesteld wanneer de persoonsgegevens worden verzameld. De persoonsgegevens dienen toereikend en ter zake dienend te zijn en beperkt te blijven tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt. Dit vereist met name dat ervoor wordt gezorgd dat de opslagperiode van de persoonsgegevens tot een strikt minimum wordt beperkt. Persoonsgegevens mogen alleen worden verwerkt indien het doel van de verwerking niet redelijkerwijs op een andere wijze kan worden verwezenlijkt. Om ervoor te zorgen dat persoonsgegevens niet langer worden bewaard dan noodzakelijk is, dient de verwerkingsverantwoordelijke termijnen vast te stellen voor het wissen van gegevens of voor een periodieke toetsing ervan. Alle redelijke maatregelen moeten worden genomen om ervoor te zorgen dat onjuiste persoonsgegevens worden gerectificeerd of gewist. Persoonsgegevens moeten worden verwerkt op een manier die een passende beveiliging en vertrouwelijkheid van die gegevens waarborgt, ook ter voorkoming van ongeoorloofde toegang tot of het ongeoorloofde gebruik van persoonsgegevens en de apparatuur die voor de verwerking wordt gebruikt.
(50) De verwerking van persoonsgegevens voor andere doeleinden dan die waarvoor de persoonsgegevens aanvankelijk zijn verzameld, mag enkel worden toegestaan indien de verwerking verenigbaar is met de doeleinden waarvoor de persoonsgegevens aanvankelijk zijn verzameld. In dat geval is er geen andere afzonderlijke rechtsgrond vereist dan die op grond waarvan de verzameling van persoonsgegevens werd toegestaan. Indien de verwerking noodzakelijk is voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend, kan in het Unierecht of het lidstatelijke recht worden vastgesteld en gespecificeerd voor welke taken en doeleinden de verdere verwerking als rechtmatig en verenigbaar met de aanvankelijke doeleinden moet worden beschouwd. De verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden, moet als een met de aanvankelijke doeleinden verenigbare rechtmatige verwerking worden beschouwd. De Unierechtelijke of lidstaatrechtelijke bepaling die als rechtsgrond voor de verwerking van persoonsgegevens dient, kan ook als rechtsgrond voor verdere verwerking dienen. Om na te gaan of een doel van verdere verwerking verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld, moet de verwerkingsverantwoordelijke, nadat hij aan alle voorschriften inzake rechtmatigheid van de oorspronkelijke verwerking heeft voldaan, onder meer rekening houden met: een eventuele koppeling tussen die doeleinden en de doeleinden van de voorgenomen verdere verwerking; het kader waarin de gegevens zijn verzameld; met name de redelijke verwachtingen van de betrokkenen op basis van hun verhouding met de verwerkingsverantwoordelijke betreffende het verdere gebruik ervan; de aard van de persoonsgegevens; de gevolgen van de voorgenomen verdere verwerking voor de betrokkenen; en passende waarborgen bij zowel de oorspronkelijke als de voorgenomen verdere verwerkingen. Wanneer de betrokkene zijn toestemming heeft gegeven of wanneer de verwerking gebaseerd is op Unierecht of lidstatelijk recht dat in een democratische samenleving een noodzakelijke en evenredige maatregel vormt voor met name het waarborgen van belangrijke doelstellingen van algemeen belang, moet de verwerkingsverantwoordelijke de mogelijkheid hebben de persoonsgegevens verder te verwerken, ongeacht of dat verenigbaar is met de doeleinden. In ieder geval dient ervoor te worden gezorgd dat de in deze verordening vervatte beginselen worden toegepast en dat de betrokkene met name wordt geïnformeerd over dergelijke andere doeleinden en over zijn rechten, waaronder het recht om bezwaar te maken. Het aanwijzen van mogelijke strafbare feiten of gevaren voor de openbare veiligheid door de verwerkingsverantwoordelijke en de doorzending van de desbetreffende persoonsgegevens in individuele zaken of in verschillende zaken die met hetzelfde strafbare feit of dezelfde gevaren voor de openbare veiligheid te maken hebben, aan een bevoegde instantie moeten worden beschouwd als zijnde in het gerechtvaardigde belang van de verwerkingsverantwoordelijke. De doorgifte in het gerechtvaardigde belang van de verwerkingsverantwoordelijke of de verdere verwerking van persoonsgegevens moeten evenwel worden verboden wanneer de verwerking niet verenigbaar is met een wettelijke, beroepsmatige of anderszins bindende geheimhoudingsplicht.