De beginselen bij het verwerken van persoonsgegevens: verschil tussen versies

Uit Handje Wiki
Naar navigatie springen Naar zoeken springen
← Oudere bewerking
VisueelWikitekst
Geen bewerkingssamenvatting
 
(3 tussenliggende versies door dezelfde gebruiker niet weergegeven)
Regel 1: Regel 1:
In onze dynamische digitale omgeving is het van essentieel belang dat we zorgvuldig omgaan met persoonsgegevens. De Algemene Verordening Gegevensbescherming (AVG) legt zes fundamentele beginselen op, waaraan al onze [[Verwerking|gegevensverwerkingen]] moeten voldoen. Deze principes dienen als leidraad voor elke stap die we nemen en bepalen hoe we [[persoonsgegevens]] behandelen.
In onze dynamische digitale omgeving is het van essentieel belang dat we zorgvuldig omgaan met persoonsgegevens. De Algemene Verordening Gegevensbescherming (AVG) legt zes fundamentele beginselen op, waaraan al onze [[Verwerking|gegevensverwerkingen]] moeten voldoen. Deze principes dienen als leidraad voor elke stap die we nemen en bepalen hoe we [[persoonsgegevens]] behandelen.


De zes fundamentele beginselen zijn:
De zes fundamentele beginselen zijn: rechtmatigheid en transparantie, welbepaaldheid en duidelijkheid, dataminimalisatie, juistheid, bewaartermijnen en integriteit en veiligheid. Op deze pagina zullen de beginselen nader worden toegelicht.
 
# '''Rechtmatigheid en transparantie''': Eerlijk en open zijn over wat we doen;
# '''Welbepaaldheid en duidelijkheid''': Concrete doelen hebben en deze helder communiceren;
# '''Dataminimalisatie''': Alleen verzamelen wat echt nodig is;
# '''Juistheid''': Zorgen dat gegevens correct en up-to-date zijn;
# '''Bewaartermijnen''': Niet langer bewaren dan nodig;
# '''Integriteit en veiligheid''': Goede beveiliging van gegevens.<br />


== Rechtmatigheid en transparantie ==
== Rechtmatigheid en transparantie ==
Regel 16: Regel 9:
* Wees transparant en volledig in je communicatie.  
* Wees transparant en volledig in je communicatie.  
* Onderbouw waarom je bepaalde gegevens verwerkt.
* Onderbouw waarom je bepaalde gegevens verwerkt.
* Zorg voor een heldere privacyverklaring en verwijs hiernaar bij gegevensverzameling.
* Zorg voor een heldere '''privacyverklaring''' en verwijs hiernaar bij gegevensverzameling.
* Zorg dat de betrokken medewerkers kennis hebben van de rechten omtrent persoonsgegevens en klanten de juiste informatie geven. Uiteraard krijgen zij hiervoor bewustwordingstrainingen op maat, maar help je collega's een handje als je merkt dat de kennis onverhoopt ontbreekt.
* Zorg dat de betrokken medewerkers kennis hebben van de rechten omtrent persoonsgegevens en klanten de juiste informatie geven. Uiteraard krijgen zij hiervoor bewustwordingstrainingen op maat, maar help je collega's een handje als je merkt dat de kennis onverhoopt ontbreekt.
'''Praktijkvoorbeeld:'''
'''Praktijkvoorbeeld:'''
Regel 23: Regel 16:


== Welbepaaldheid en duidelijkheid ==
== Welbepaaldheid en duidelijkheid ==
Dit beginsel vereist dat vooraf concrete doelen zijn bepaald voor gegevensverwerking en dat deze in '''begrijpelijke taal''' worden gecommuniceerd naar betrokkenen: in het geval van Het Handje veelal klanten, maar denk hierbij ook aan collega's.
Dit beginsel vereist dat '''vooraf concrete doelen''' zijn bepaald voor gegevensverwerking en dat deze in '''begrijpelijke taal''' worden gecommuniceerd naar betrokkenen: in het geval van Het Handje veelal klanten, maar denk hierbij ook aan collega's.


'''Wat betekent dit voor jou als medewerker?'''
'''Wat betekent dit voor jou als medewerker?'''
Regel 36: Regel 29:


== Dataminimalisatie ==
== Dataminimalisatie ==
Vanuit de eis van dataminimalisatie mag je niet meer gegevens verzamelen of gebruiken dan nodig voor je doelen. Dit vereist dus een kritische blik: waarom vragen wij eigenlijk al deze gegevens, kan het niet een onsje minder zijn? Het credo is dan ook: "Het gaat om ''need to have'', niet om ''nice to have!"''. Alleen gegevens die echt noodzakelijk zijn voor het bereiken van je doel mogen worden verzameld.
Vanuit de eis van dataminimalisatie mag je '''niet meer gegevens verzamelen of gebruiken dan noodzakelijk''' voor je doelen. Dit vereist dus een kritische blik: waarom vragen wij eigenlijk al deze gegevens, kan het niet een onsje minder zijn? Het credo is dan ook: "Het gaat om ''need to have'', niet om ''nice to have!"''. Alleen gegevens die echt noodzakelijk zijn voor het bereiken van je doel mogen worden verzameld.


Dit principe rust op drie belangrijke pijlers:
Dit principe rust op drie belangrijke pijlers:
Regel 68: Regel 61:


== Bewaartermijnen ==
== Bewaartermijnen ==
Dit beginsel vereist dat persoonsgegevens niet langer mogen worden bewaard dan noodzakelijk voor het doel waarvoor ze zijn verzameld. Dit betekent dat je moet vaststellen hoe lang je gegevens nodig hebt, en dat je ook daadwerkelijk de gegevens daarna verwijdert. Het is niet genoeg om te wachten tot mensen een verzoek tot verwijdering indienen of te stellen dat je zaken in de toekomst wellicht nog nodig hebt en ze daarom voor de zekerheid bewaart. Kort gezegd: gegevens moeten weg tenzij je ze nog echt nodig hebt.
Dit beginsel vereist dat persoonsgegevens '''niet langer mogen worden bewaard dan noodzakelijk''' voor het doel waarvoor ze zijn verzameld. Dit betekent dat je moet vaststellen hoe lang je gegevens nodig hebt, en dat je ook daadwerkelijk de gegevens daarna verwijdert. Het is niet genoeg om te wachten tot mensen een verzoek tot verwijdering indienen of te stellen dat je zaken in de toekomst wellicht nog nodig hebt en ze daarom voor de zekerheid bewaart. Kort gezegd: gegevens moeten weg tenzij je ze nog echt nodig hebt.


'''Wat betekent dit voor jou als medewerker?'''
'''Wat betekent dit voor jou als medewerker?'''

Huidige versie van 19 nov 2024 om 18:15

In onze dynamische digitale omgeving is het van essentieel belang dat we zorgvuldig omgaan met persoonsgegevens. De Algemene Verordening Gegevensbescherming (AVG) legt zes fundamentele beginselen op, waaraan al onze gegevensverwerkingen moeten voldoen. Deze principes dienen als leidraad voor elke stap die we nemen en bepalen hoe we persoonsgegevens behandelen.

De zes fundamentele beginselen zijn: rechtmatigheid en transparantie, welbepaaldheid en duidelijkheid, dataminimalisatie, juistheid, bewaartermijnen en integriteit en veiligheid. Op deze pagina zullen de beginselen nader worden toegelicht.

Rechtmatigheid en transparantie

Het eerste beginsel vereist dat de gegevensverwerking rechtmatig en transparant is. Praktisch vertaald: het moet netjes en maatschappelijk aanvaard zijn wat we van plan zijn, en we moet er duidelijk over zijn. Dit betekent dus dat wij zo veel mogelijk informatie geven over wat er gebeurt (vermijdt hierbij natuurlijk het vermelden van bedrijfsgeheimen). Ook moeten we een specifieke grondslag kunnen aanwijzen, zoals toestemming, de uitvoering van een overeenkomst of een wettelijke plicht. De uitwerking hiervan in de wet vind je in artikelen 13 en 14 AVG.

Wat betekent dit voor jou als medewerker?

  • Wees transparant en volledig in je communicatie.
  • Onderbouw waarom je bepaalde gegevens verwerkt.
  • Zorg voor een heldere privacyverklaring en verwijs hiernaar bij gegevensverzameling.
  • Zorg dat de betrokken medewerkers kennis hebben van de rechten omtrent persoonsgegevens en klanten de juiste informatie geven. Uiteraard krijgen zij hiervoor bewustwordingstrainingen op maat, maar help je collega's een handje als je merkt dat de kennis onverhoopt ontbreekt.

Praktijkvoorbeeld:

Bij het opstarten van een nieuwe marketingcampagne moet je eerst bepalen op welke grondslag je de gegevens mag gebruiken (bijvoorbeeld toestemming) en dit vervolgens duidelijk communiceren naar de klanten.

Welbepaaldheid en duidelijkheid

Dit beginsel vereist dat vooraf concrete doelen zijn bepaald voor gegevensverwerking en dat deze in begrijpelijke taal worden gecommuniceerd naar betrokkenen: in het geval van Het Handje veelal klanten, maar denk hierbij ook aan collega's.

Wat betekent dit voor jou als medewerker?

  • Zet een register op waarin je iedere verwerking documenteert. Deel dit register met onze privacyaanspreekpunten. Zij nemen het op in het register van Het Handje.
  • Zorg ervoor dat het doel van alle gegevensverzamelingen in het register is opgenomen.
  • Benoem ook afgeleide doelen. (Bij 'versturen van nieuwsbrief' kan horen 'doen van marktonderzoek op basis van e-mailadressen in database'.)
  • Hanteer eenvoudig en duidelijk taalgebruik (Europees taalniveau B1/B2) in je privacyverklaring.
  • Verwijs bij elk inschrijfformulier en andere plekken waar je gegevens verzamelt naar de privacyverklaring.

Praktijkvoorbeeld:

Dit beginsel vertaalt zich met name naar de privacyverklaring: in klare taal specifiek benoemen wat we gaan doen en waarom (dus niet: “Wij verzamelen gegevens ten behoeve van een geoptimaliseerde gebruikservaring” maar “Wij tonen de producten die je waarschijnlijk het leukst vindt bovenaan”).

Dataminimalisatie

Vanuit de eis van dataminimalisatie mag je niet meer gegevens verzamelen of gebruiken dan noodzakelijk voor je doelen. Dit vereist dus een kritische blik: waarom vragen wij eigenlijk al deze gegevens, kan het niet een onsje minder zijn? Het credo is dan ook: "Het gaat om need to have, niet om nice to have!". Alleen gegevens die echt noodzakelijk zijn voor het bereiken van je doel mogen worden verzameld.

Dit principe rust op drie belangrijke pijlers:

  1. Vooraf bepaald doel: Voordat je start met het verzamelen van gegevens, moet je een duidelijk en legitiem doel hebben vastgesteld. Het is niet toegestaan om gegevens te verzamelen voor eventueel toekomstig gebruik of "voor het geval dat".
  2. Need to have: Alleen die gegevens die absoluut noodzakelijk zijn voor het bereiken van je doel mogen worden verzameld. Voor elk persoonsgegevens moet je kunnen verantwoorden waarom het onmisbaar is.
  3. Beperkte gegevensverzameling: De verzameling moet zo beperkt mogelijk blijven. Dit betekent dat je:
    • Regelmatig beoordeelt of je nog steeds alle gegevens nodig hebt
    • Gegevens verwijdert zodra ze niet meer nodig zijn
    • Waar mogelijk kiest voor geanonimiseerde of gepseudonimiseerde gegevens

Wat betekent dit voor jou als medewerker?

  • Benoem bij elke verwerking welke persoonsgegevens je verzamelt en per persoonsgegeven waarom dit nodig en onmisbaar is voor die verwerking.
  • Benoem bij elke stap in een verwerkingsproces welke persoonsgegevens hier kunnen worden verwijderd of geanonimiseerd.

Let op: je beoordeelt de noodzakelijkheid van de verwerking van persoonsgegevens altijd voorafgaand aan de verwerking. Je moet dus vooraf weten of er überhaupt een doel is voor de verwerking van die specifieke persoonsgegevens. En zo ja, of dan al die persoonsgegevens nodig zijn voor dat doel. Het verzamelen van gegevens omdat je hier mogelijk ooit een doel aan kunt koppelen is dus een echte no go binnen Het Handje!

Praktijkvoorbeeld:

Bij het organiseren van een evenement komt een heleboel registratie kijken. Hierbij is het erg belangrijk om rekening te houden met het beginsel van dataminimalisatie. Welke data heb je nou echt nodig? Nadat je deze vraag hebt gesteld, kan het zo zijn dat de need to haves bijvoorbeeld alleen maar de namen, e-mailadressen en dieetwensen van aanwezigen zijn. De nice to haves zoals geboortedatum, hobby's en privé telefoonnummers mag je dan niet verzamelen.

Juistheid

Dit beginsel vereist dat persoonsgegevens correct zijn en ook blijven. De eis van juistheid is ook relevant bij het bewaren van persoonsgegevens. Immers, hoe ouder persoonsgegevens zijn hoe groter de kans dat ze verouderd of irrelevant worden. Het zal dus nodig zijn om te rechtvaardigen dat je gegevens langdurig bewaart.

Wat betekent dit voor jou als medewerker?

  • Zorg voor validatie van nieuw ontvangen gegevens, zoals een controle of postcode en straatnaam wel bij elkaar horen.
  • Controleer periodiek of steekproefsgewijs of gegevens nog kloppen.
  • Bied mensen de mogelijkheid zelf hun gegevens te controleren, stuur ze bijvoorbeeld periodiek een overzicht of nodig ze uit in te loggen om de gegevens na te lopen.
  • Zorg dat bij processen met lange bewaartermijnen een periodieke controle op juistheid wordt uitgevoerd. (Personeelsgegevens, maar ook studentengegevens worden jaarlijks gecontroleerd binnen Het Handje.)

Praktijkvoorbeeld

Dit doen Het Handje bijvoorbeeld door de laatste 4 cijfers van iemands IBAN te delen in de betalingsherinnering wanneer een incasso binnen ons Membershipprogramma is mislukt. Op die manier laten we de ontvanger van de betalingsherinnering controleren of er misschien verouderde gegevens gehanteerd worden door ons.

Bewaartermijnen

Dit beginsel vereist dat persoonsgegevens niet langer mogen worden bewaard dan noodzakelijk voor het doel waarvoor ze zijn verzameld. Dit betekent dat je moet vaststellen hoe lang je gegevens nodig hebt, en dat je ook daadwerkelijk de gegevens daarna verwijdert. Het is niet genoeg om te wachten tot mensen een verzoek tot verwijdering indienen of te stellen dat je zaken in de toekomst wellicht nog nodig hebt en ze daarom voor de zekerheid bewaart. Kort gezegd: gegevens moeten weg tenzij je ze nog echt nodig hebt.

Wat betekent dit voor jou als medewerker?

  • Ga na welke bewaartermijn je nodig hebt voor welke gegevens en documenteer ook dit.
  • Zorg dat je gegevens ook daadwerkelijk verwijdert als ze niet meer nodig zijn.

Let op: niet alle bewaartermijnen worden door onszelf bepaald. Sommige bewaartermijnen liggen besloten in een bepaalde wet (denk aan een bewaartermijn die voorkomt uit een bewaarplicht voor de Belastingdienst bij facturatiegegevens).

Integriteit en Veiligheid

Als laatste eisen de beginselen van integriteit en veiligheid dat gegevens adequaat beveiligd moeten zijn, waarmee wordt geborgd dat deze niet zomaar kunnen lekken of worden gebruikt voor niet-toegestane doeleinden. Samenhangend hiermee zijn de eisen van privacy by design en privacy by default. Dit gaat niet alleen over beveiliging tegen hacken, maar ook over borgen van geautoriseerd gebruik, kunnen zien wat er gebeurt en voorkomen dat gegevens worden aangetast of gewist terwijl dat niet de bedoeling is.

Wat betekenen de eisen van integriteit en veiligheid betekenen voor jou als medewerker?

  • Implementeer beveiligingsbeleid om toegang tot persoonsgegevens aan banden te leggen.
  • Implementeer logging waarmee je kunt zien wie wat doet met persoonsgegevens, in ieder geval voor ongebruikelijke of ongewenste vormen van gebruik.
  • Verlang van jouw leveranciers documentatie over privacy by design in hun systemen.
  • Verlang van jouw leveranciers dat geleverde systemen volgens privacy by default afgeschermd zijn.
Overgenomen van "https://www.nietsaanhethandje.nl/index.php?title=De_beginselen_bij_het_verwerken_van_persoonsgegevens&oldid=455"