1. Fundamenteel mensenrecht
Het recht op gegevensbescherming is een fundamenteel recht in de Europese Unie. Fundamentele rechten zijn de hoogste rechten die er zijn. Dat betekent niet dat ze heilig zijn, maar wel dat ze alleen onder zeer strikte voorwaarden mogen worden beperkt. Vier voorwaarden zijn daarbij van belang:
1. De inperking moet noodzakelijk zijn om een legitiem doel te bereiken. Wat een legitiem doel is wordt hier onder punten 3 en 4 besproken. Wat noodzakelijk is hangt van de context af. De kernvraag hierbij is - heb ik deze persoonsgegevens echt nodig om het doel te bereiken of kan het ook zonder? Als dat niet zeker is, dan mag je de persoonsgegevens niet verwerken. Als je denkt 'het is wel handig om ze te hebben' dan voldoe je waarschijnlijk niet aan het noodzakelijkheidsvereiste: 'nice to know' is nog geen 'need to know'.
2. De inperking moet proportioneel zijn. Dat wil zeggen dat de inbreuk op het fundamentele recht in verhouding moet staan tot het doel. Het mag niet zo zijn dat een klein en onbetekenisvol doel wordt bereikt door het verzamelen van heel veel gevoelige gegevens.
3. De inperking moet subsidiair zijn. Dat wil zeggen dat het gekozen middel het minst inbreukmakend is. Stel er zijn twee manieren om een bepaald doel te bereiken, dan moet in principe altijd voor het lichtste middel worden gekozen. Dat wil zeggen, verzamel zo min mogelijk gegevens en zo min mogelijk gevoelige gegevens als nodig zijn om je doel te bereiken.
4. De inperking moet effectief zijn. Dat wil zeggen, het moet duidelijk zijn dat het verwerken van persoonsgegevens ook echt helpt om het doel te bereiken. Het experimenteren met Big Data en dan kijken of het resultaat oplevert is dus niet toegestaan.
3. Legitieme verwerkingsgrond
Ten derde moet er een legitieme verwerkingsgrondslag zijn. De AVG noemt 6 legitieme verwerkingsgrondslagen. Voordat er persoonsgegevens worden verzameld moet dus worden nagegaan of één van de volgende gronden opgaat:
1. De verwerking van persoonsgegevens berust op de specifieke, geïnformeerde, uitdrukkelijke en vrijwillige toestemming. Toestemming zoals dat vaak op het internet wordt gevraagd middels 'I agree' buttons voldoen doorgaans niet aan de voorwaarden van toestemming uit de AVG en zijn dus onrechtmatig.
2. De verwerking van persoonsgegevens berust op een uitdrukkelijke contractuele bepaling. Bijvoorbeeld, een klant bestelt via bol.com een boek (dat is een koopovereenkomst) - dan spreekt het voor zich dat de adresgegevens van deze persoon mogen worden verwerkt.
3. De verwerking van persoonsgegevens is voorgeschreven bij wet.
4. De verwerking van persoonsgegevens is nodig om de lijf en leden van een persoon te redden. Bijvoorbeeld, iemand krijgt op straat een hartaanval en je wil weten of hij bepaalde medicijnen slikt - dan is het geoorloofd om zijn familie te bellen.
5. De verwerking van persoonsgegevens is nodig in het kader van het algemeen belang.
6. De verwerking van persoonsgegevens is nodig om de belangen van de verantwoordelijke te behartigen, waarbij het duidelijk is dat die belangen boven die van het datasubject gaan.
Lees verder:
Artikel 6 AVG (verwerkingsgronden)
Artikel 7 AVG (voorwaarden toestemming)
2. Fair Information Principles
De Algemene Verordening Gegevensbescherming kent twaalf Fair Information Principles. Dit zijn de uitgangspunten waarop de hele Verordening is gebaseerd. De specifieke rechten en plichten vormen eigenlijk een uitwerking van de Fair Information Principles. De FIPs zijn de ruggengraat van de Algemene Verordening Gegevensbescherming.
1. Rechtmatig: De gegevensverwerking moet rechtmatig zijn. Dat betekent dat er een legitiem doel moet zijn voor de verwerking van (bijzondere) persoonsgegevens en dat alle andere in Europa en Nederland geldende wetten worden nageleefd.
2. Verantwoordelijk: De verantwoordelijke dient maatregelen te treffen om te zorgen dat in het hele gegevensverwerkingsproces en door alle daarbij betrokken partijen aan de AVG wordt voldaan.
3. Behoorlijk: Oneerlijke handelspraktijken waarbij de consument wordt misleid of waarin een marktpartij misbruik maakt van zijn machtspositie zijn verboden, wat ook geldt voor het opstellen van oneerlijke algemene voorwaarden, waarbij de consument bijvoorbeeld in de terms and conditions van een zaklamp-app toestemming wordt gevraagd om meer dan honderd partijen toegang te geven tot alle op zijn telefoon opgeslagen informatie. Dat heeft niks met de zaklampapp te maken en is dus onbehoorlijk (en niet noodzakelijk).
4. Doelspecificatie: De gegevensverwerking moet een specifiek doel dienen. Dat doel moet van te voren worden vastgesteld en specifiek zijn. Niet specifiek genoeg zijn algemene doelen zoals ‘klantencontact’, ‘productverbetering’, ‘innovatie’ of ‘reclamedoeleinden’. Een concreet doel kan zijn: 'Wij hebben uw adres nodig om het door u bestelde boek te kunnen leveren'.
5. Doelbinding: De gegevens mogen vervolgens in principe alleen voor het vastgelegde doel worden verwerkt. De adresgegevens om het boek te leveren mogen niet worden doorverkocht aan een bedrijf dat de gegevens gebruikt voor advertentiedoeleinden.
6. Dataminimalisatie: Het uitgangspunt is dat er in principe zo min mogelijk persoonsgegevens worden verzameld. Zie ook het subsidiariteitsbeginsel.
7. Correctheid: De gegevens die worden verzameld, moeten correct zijn. Als je informatie hebt over een persoon moet die informatie dus wel kloppen. Dat is de taak van de verantwoordelijke.
8. Up-to-date: Als de persoonsgegevens voor een langere tijd worden bewaard, dan heeft de verantwoordelijke de plicht om ervoor te zorgen dat de gegevens up-to-date blijven.
9. Opslagbeperking: Als de persoonsgegevens niet langer nodig zijn voor het bereiken van het doel waarvoor ze zijn verzameld, dan moeten de gegevens weer worden verwijderd. Zie ook het noodzakelijkheidsprincipe.
10. Technologische veiligheid: Als de gegevens worden opgeslagen, bijvoorbeeld in een database, register of bestand, dan zul je technische veiligheidsmaatregelen moeten treffen. Denk daarbij aan encryptie en beveiliging tegen hacks.
11. Organisatorische veiligheid: Als de gegevens worden opgeslagen, bijvoorbeeld in een database, register of bestand, dan zul je organisatorische veiligheidsmaatregelen moeten treffen. Denk daarbij aan een clean desk policy, wachtwoorden en het loggen van personen die toegang willen tot bestanden en databases.
12. Transparantie: De gegevensverwerkingsprocessen moeten transparant zijn.
Lees verder:
Artikel 5 AVG (Fair Information Principles)
Artikel 6 lid 4 AVG (invulling doelbindingsprincipe)
Artikel 11 AVG (verwijderen persoonsgegevens)
Artikel 24 AVG (verantwoordelijkheid)
4. Legitieme verwerkingsgrond bijzondere persoonsgegevens
Er geldt een bijzonder regime voor het verwerken van bijzondere persoonsgegevens. Bijzondere persoonsgegevens zijn gegevens die iets gevoeligs over iemand zeggen, bijvoorbeeld over ras, geaardheid, medische informatie, een strafblad of religieuze of politieke overtuiging.
Deze gegevens mogen in principe niet worden verwerkt.
Wel gelden er beperkte uitzonderingen op dit verbod. Grosso modo gaat zo'n uitzondering op als je denkt 'nogal wiedes'. Een kerk mag de religieuze opvattingen van de gelovigen bijhouden, een politieke partij mag informatie over de politieke opvattingen van hun leden registreren, een arts mag medische informatie over patiënten verwerken en een datingsite mag gegevens verwerken over de seksuele voorkeur van klanten.
Lees verder:
Artikel 9 AVG (bijzondere persoonsgegevens)
5. Legitieme grond voor doorvoer van gegevens
Als er gegevens worden doorgevoerd naar het buitenland dan gelden er twee regimes.
Als het andere land binnen de EU ligt dan mag de doorvoer - het uitgangspunt is immers dat door de Algemene Verordening Gegevensbescherming overal binnen de EU een adequaat beschermingsniveau geldt. Ook de landen die zijn aangesloten bij de Europese Economische Ruimte (EER) vallen hieronder. Klik hier voor een overzicht.
Als de gegevens worden doorgevoerd naar een land buiten de EU, dan geldt er net zoals bij de verwerking van bijzondere persoonsgegevens een nee-tenzij regime.
In principe mogen gegevens niet worden doorgevoerd, omdat de Europese Unie door de Algemene Verordening Gegevensbescherming het hoogste beschermingsniveau van de hele wereld heeft. Er is geen ander land dat zo goed de persoonsgegevens van mensen beschermt. Als de gegevens dus naar het buitenland worden doorgevoerd, dan worden ze niet of veel minder goed beschermd dan binnen de EU. Dus mogen persoonsgegevens in principe niet naar landen buiten de EU en de EER worden doorgevoerd.
Daarvoor gelden drie uitzonderingen:
1. De Europese Commissie heeft bepaald dat een land buiten de EU toch een redelijk goed beschermingsniveau heeft. Vaak zijn daar onderhandelingen aan voorafgegaan, waarbij een land heeft toegezegd om betere gegevensbeschermingsregels aan te nemen. Klik hier om te zien welke landen dat zijn.
2. Er gelden passende waarborgen, bijvoorbeeld op basis van contracten waarin organisaties in het buitenland afspreken zich grosso modo te zullen houden aan de regels in de AVG. De Universiteit van Groningen mag dus gegevens uitwisselen met een universiteit in Peru als die universiteit contractueel afspreekt zich te zullen houden aan de AVG. Klik hier voor verdere uitleg.
3. Als het gaat om het éénmalig doorvoeren van een klein bestand, dan mag dat grosso modo als één van de legitieme verwerkingsgrondslagen (toestemming, contract, etc) van toepassing is. Als de Universiteit van Groningen dus over één specifieke student de gegevens wil delen met een universiteit in Peru, dan mag dat als de student daar expliciet mee akkoord gaat.
Verder lezen:
Artikel 1 AVG (doorvoer binnen EU mag)
Artikel 44 Algemeen beginsel inzake doorgiften
Artikel 45 AVG (adequaatheidsbeslissing Commissie)
Artikel 46 AVG (passende maatregelen)
Artikel 47 AVG (bindende bedrijfsvoorschriften)
Artikel 49 AVG (in een specifiek geval mogen persoonsgegevens worden gedeeld)
Artikel 50 AVG (speciale regeling voor internationale samenwerking)
Artikel 96 AVG (internationale overeenkomsten)