De beginselen bij het verwerken van persoonsgegevens: verschil tussen versies
Nieuwe pagina aangemaakt met 'Beste team, In onze dynamische digitale omgeving is het van essentieel belang dat we zorgvuldig omgaan met persoonsgegevens. De Algemene Verordening Gegevensbescherming (AVG) legt zes fundamentele beginselen op, waaraan al onze gegevensverwerkingen moeten voldoen. Deze principes dienen als leidraad voor elke stap die we nemen en bepalen hoe we persoonsgegevens behandelen. === Rechtmatigheid en transparantie === De eerste eis is die van rechtmatigheid en tran...' |
Geen bewerkingssamenvatting |
||
| Regel 6: | Regel 6: | ||
De eerste eis is die van rechtmatigheid en transparantie. Praktisch vertaald: het moet netjes en maatschappelijk aanvaard zijn wat we van plan zijn, en we moet er duidelijk over zijn. Dit betekent dus dat wij zo veel mogelijk informatie geven over wat er gebeurt (vermijdt hierbij natuurlijk het vermelden van bedrijfsgeheimen). Ook moeten we een specifieke '''grondslag''' kunnen aanwijzen, zoals '''toestemming''', de '''de uitvoering van een overeenkomst''' of een '''wettelijke plicht'''. | De eerste eis is die van rechtmatigheid en transparantie. Praktisch vertaald: het moet netjes en maatschappelijk aanvaard zijn wat we van plan zijn, en we moet er duidelijk over zijn. Dit betekent dus dat wij zo veel mogelijk informatie geven over wat er gebeurt (vermijdt hierbij natuurlijk het vermelden van bedrijfsgeheimen). Ook moeten we een specifieke '''grondslag''' kunnen aanwijzen, zoals '''toestemming''', de '''de uitvoering van een overeenkomst''' of een '''wettelijke plicht'''. | ||
'''Wat betekent dit voor jou als medewerker?''' | |||
* Wees transparant en volledig in je communicatie. | * Wees transparant en volledig in je communicatie. | ||
* Onderbouw waarom je mag doen wat je doet. | * Onderbouw waarom je mag doen wat je doet. | ||
| Regel 16: | Regel 15: | ||
De tweede eis, welbepaaldheid en duidelijkheid, betekent dat een verwerking concreet omlijnd moet zijn en begrijpelijk voor de mensen wiens gegevens het betreft. Dit vertaalt zich met name naar de privacyverklaring: in klare taal specifiek benoemen wat we gaan doen en waarom (dus niet: “Wij verzamelen gegevens ten behoeve van een geoptimaliseerde gebruikservaring” maar “Wij tonen de producten die je waarschijnlijk het leukst vindt bovenaan”). | De tweede eis, welbepaaldheid en duidelijkheid, betekent dat een verwerking concreet omlijnd moet zijn en begrijpelijk voor de mensen wiens gegevens het betreft. Dit vertaalt zich met name naar de privacyverklaring: in klare taal specifiek benoemen wat we gaan doen en waarom (dus niet: “Wij verzamelen gegevens ten behoeve van een geoptimaliseerde gebruikservaring” maar “Wij tonen de producten die je waarschijnlijk het leukst vindt bovenaan”). | ||
'''Wat betekent dit voor jou als medewerker?''' | |||
* Zet een register op waarin je iedere verwerking documenteert. | * Zet een register op waarin je iedere verwerking documenteert. | ||
* Zorg ervoor dat het doel van alle gegevensverzamelingen in het register is opgenomen. | * Zorg ervoor dat het doel van alle gegevensverzamelingen in het register is opgenomen. | ||
| Regel 27: | Regel 25: | ||
Vanuit de eis van dataminimalisatie mag je niet meer gegevens verzamelen of gebruiken dan nodig voor je doelen. Dit vereist dus een kritische blik: waarom vragen wij eigenlijk al deze gegevens, kan het niet een onsje minder zijn? De rechtvaardiging voor de gebruikte gegevens moet dus in de registratie van de verwerking opgenomen zijn. | Vanuit de eis van dataminimalisatie mag je niet meer gegevens verzamelen of gebruiken dan nodig voor je doelen. Dit vereist dus een kritische blik: waarom vragen wij eigenlijk al deze gegevens, kan het niet een onsje minder zijn? De rechtvaardiging voor de gebruikte gegevens moet dus in de registratie van de verwerking opgenomen zijn. | ||
'''Wat betekent dit voor jou als medewerker?''' | |||
* Benoem bij elke verwerking welke persoonsgegevens je verzamelt en per persoonsgegeven waarom dit nodig en onmisbaar is voor die verwerking. | * Benoem bij elke verwerking welke persoonsgegevens je verzamelt en per persoonsgegeven waarom dit nodig en onmisbaar is voor die verwerking. | ||
* Benoem bij elke stap in een verwerkingsproces welke persoonsgegevens hier kunnen worden verwijderd of geanonimiseerd. | * Benoem bij elke stap in een verwerkingsproces welke persoonsgegevens hier kunnen worden verwijderd of geanonimiseerd. | ||
| Regel 35: | Regel 32: | ||
De eis van juistheid is ook relevant bij het bewaren van persoonsgegevens. Immers, hoe ouder persoonsgegevens zijn hoe groter de kans dat ze verouderd of irrelevant worden. Het zal dus nodig zijn om te rechtvaardigen dat je gegevens langdurig bewaart. | De eis van juistheid is ook relevant bij het bewaren van persoonsgegevens. Immers, hoe ouder persoonsgegevens zijn hoe groter de kans dat ze verouderd of irrelevant worden. Het zal dus nodig zijn om te rechtvaardigen dat je gegevens langdurig bewaart. | ||
'''Wat betekent dit voor jou als medewerker?''' | |||
* Zorg voor validatie van nieuw ontvangen gegevens, zoals een controle of postcode en straatnaam wel bij elkaar horen. | * Zorg voor validatie van nieuw ontvangen gegevens, zoals een controle of postcode en straatnaam wel bij elkaar horen. | ||
* Controleer periodiek of steekproefsgewijs of gegevens nog kloppen. | * Controleer periodiek of steekproefsgewijs of gegevens nog kloppen. | ||
| Regel 46: | Regel 42: | ||
Volgens de eis van het toepassen van bewaartermijnen mogen gegevens niet langer dan nodig worden bewaard, en moeten daarna worden gewist. Dit betekent dat je moet vaststellen hoe lang je gegevens nodig hebt, en dat je ook daadwerkelijk de gegevens daarna wijzigt. Het is niet genoeg om te wachten tot mensen een verzoek tot verwijdering indienen of te stellen dat je zaken in de toekomst wellicht nog nodig hebt en ze daarom voor de zekerheid bewaart. Kort gezegd: gegevens moeten weg tenzij je ze nog echt nodig hebt. | Volgens de eis van het toepassen van bewaartermijnen mogen gegevens niet langer dan nodig worden bewaard, en moeten daarna worden gewist. Dit betekent dat je moet vaststellen hoe lang je gegevens nodig hebt, en dat je ook daadwerkelijk de gegevens daarna wijzigt. Het is niet genoeg om te wachten tot mensen een verzoek tot verwijdering indienen of te stellen dat je zaken in de toekomst wellicht nog nodig hebt en ze daarom voor de zekerheid bewaart. Kort gezegd: gegevens moeten weg tenzij je ze nog echt nodig hebt. | ||
'''Wat betekent dit voor jou als medewerker?''' | |||
* Ga na welke bewaartermijn je nodig hebt voor welke gegevens en documenteer ook dit. | * Ga na welke bewaartermijn je nodig hebt voor welke gegevens en documenteer ook dit. | ||
* Zorg dat je gegevens ook daadwerkelijk verwijdert als ze niet meer nodig zijn. | * Zorg dat je gegevens ook daadwerkelijk verwijdert als ze niet meer nodig zijn. | ||
=== '''Integriteit en Veiligheid''' === | === '''Integriteit en Veiligheid''' === | ||
Wat betekenen de eisen van integriteit en veiligheid betekenen voor jou als medewerker? | |||
* Implementeer beveiligingsbeleid om toegang tot persoonsgegevens aan banden te leggen. | * Implementeer beveiligingsbeleid om toegang tot persoonsgegevens aan banden te leggen. | ||
* Implementeer logging waarmee je kunt zien wie wat doet met persoonsgegevens, in ieder geval voor ongebruikelijke of ongewenste vormen van gebruik. | * Implementeer logging waarmee je kunt zien wie wat doet met persoonsgegevens, in ieder geval voor ongebruikelijke of ongewenste vormen van gebruik. | ||
* Verlang van jouw leveranciers documentatie over privacy by design in hun systemen. | * Verlang van jouw leveranciers documentatie over privacy by design in hun systemen. | ||
* Verlang van jouw leveranciers dat geleverde systemen volgens privacy by default afgeschermd zijn. | * Verlang van jouw leveranciers dat geleverde systemen volgens privacy by default afgeschermd zijn. | ||
Versie van 25 jan 2024 10:39
Beste team,
In onze dynamische digitale omgeving is het van essentieel belang dat we zorgvuldig omgaan met persoonsgegevens. De Algemene Verordening Gegevensbescherming (AVG) legt zes fundamentele beginselen op, waaraan al onze gegevensverwerkingen moeten voldoen. Deze principes dienen als leidraad voor elke stap die we nemen en bepalen hoe we persoonsgegevens behandelen.
Rechtmatigheid en transparantie
De eerste eis is die van rechtmatigheid en transparantie. Praktisch vertaald: het moet netjes en maatschappelijk aanvaard zijn wat we van plan zijn, en we moet er duidelijk over zijn. Dit betekent dus dat wij zo veel mogelijk informatie geven over wat er gebeurt (vermijdt hierbij natuurlijk het vermelden van bedrijfsgeheimen). Ook moeten we een specifieke grondslag kunnen aanwijzen, zoals toestemming, de de uitvoering van een overeenkomst of een wettelijke plicht.
Wat betekent dit voor jou als medewerker?
- Wees transparant en volledig in je communicatie.
- Onderbouw waarom je mag doen wat je doet.
- Zorg voor een heldere privacyverklaring.
- Zorg dat Customer Enjoyment-medewerkers kennis hebben van de rechten omtrent persoonsgegevens en klanten de juiste informatie geven. (uiteraard krijgen zij hiervoor bewustwordingstrainingen op maat, maar help je collega's een handje als je merkt dat de kennis onverhoopt ontbreekt.)
Welbepaaldheid en Duidelijkheid
De tweede eis, welbepaaldheid en duidelijkheid, betekent dat een verwerking concreet omlijnd moet zijn en begrijpelijk voor de mensen wiens gegevens het betreft. Dit vertaalt zich met name naar de privacyverklaring: in klare taal specifiek benoemen wat we gaan doen en waarom (dus niet: “Wij verzamelen gegevens ten behoeve van een geoptimaliseerde gebruikservaring” maar “Wij tonen de producten die je waarschijnlijk het leukst vindt bovenaan”).
Wat betekent dit voor jou als medewerker?
- Zet een register op waarin je iedere verwerking documenteert.
- Zorg ervoor dat het doel van alle gegevensverzamelingen in het register is opgenomen.
- Benoem ook afgeleide doelen.
- Hanteer eenvoudig en duidelijk taalgebruik (Europees taalniveau B1/B2) in je privacyverklaring.
- Verwijs bij elk inschrijfformulier en andere plekken waar je gegevens verzamelt naar de privacyverklaring.
Dataminimalisatie
Vanuit de eis van dataminimalisatie mag je niet meer gegevens verzamelen of gebruiken dan nodig voor je doelen. Dit vereist dus een kritische blik: waarom vragen wij eigenlijk al deze gegevens, kan het niet een onsje minder zijn? De rechtvaardiging voor de gebruikte gegevens moet dus in de registratie van de verwerking opgenomen zijn.
Wat betekent dit voor jou als medewerker?
- Benoem bij elke verwerking welke persoonsgegevens je verzamelt en per persoonsgegeven waarom dit nodig en onmisbaar is voor die verwerking.
- Benoem bij elke stap in een verwerkingsproces welke persoonsgegevens hier kunnen worden verwijderd of geanonimiseerd.
Juistheid
De eis van juistheid is ook relevant bij het bewaren van persoonsgegevens. Immers, hoe ouder persoonsgegevens zijn hoe groter de kans dat ze verouderd of irrelevant worden. Het zal dus nodig zijn om te rechtvaardigen dat je gegevens langdurig bewaart.
Wat betekent dit voor jou als medewerker?
- Zorg voor validatie van nieuw ontvangen gegevens, zoals een controle of postcode en straatnaam wel bij elkaar horen.
- Controleer periodiek of steekproefsgewijs of gegevens nog kloppen.
- Bied mensen de mogelijkheid zelf hun gegevens te controleren, stuur ze bijvoorbeeld periodiek een overzicht of nodig ze uit in te loggen om de gegevens na te lopen.
- Als je gegevens verwerkt met als grondslag toestemming of een overeenkomst, zorg dan dat er een downloadoptie is waarmee mensen daarmee direct een kopie kunnen krijgen.
- Zorg dat bij processen met lange bewaartermijnen een periodieke controle op juistheid wordt uitgevoerd.
Bewaartermijnen
Volgens de eis van het toepassen van bewaartermijnen mogen gegevens niet langer dan nodig worden bewaard, en moeten daarna worden gewist. Dit betekent dat je moet vaststellen hoe lang je gegevens nodig hebt, en dat je ook daadwerkelijk de gegevens daarna wijzigt. Het is niet genoeg om te wachten tot mensen een verzoek tot verwijdering indienen of te stellen dat je zaken in de toekomst wellicht nog nodig hebt en ze daarom voor de zekerheid bewaart. Kort gezegd: gegevens moeten weg tenzij je ze nog echt nodig hebt.
Wat betekent dit voor jou als medewerker?
- Ga na welke bewaartermijn je nodig hebt voor welke gegevens en documenteer ook dit.
- Zorg dat je gegevens ook daadwerkelijk verwijdert als ze niet meer nodig zijn.
Integriteit en Veiligheid
Wat betekenen de eisen van integriteit en veiligheid betekenen voor jou als medewerker?
- Implementeer beveiligingsbeleid om toegang tot persoonsgegevens aan banden te leggen.
- Implementeer logging waarmee je kunt zien wie wat doet met persoonsgegevens, in ieder geval voor ongebruikelijke of ongewenste vormen van gebruik.
- Verlang van jouw leveranciers documentatie over privacy by design in hun systemen.
- Verlang van jouw leveranciers dat geleverde systemen volgens privacy by default afgeschermd zijn.