De beginselen bij het verwerken van persoonsgegevens: verschil tussen versies

Uit Handje Wiki
Naar navigatie springen Naar zoeken springen
← Oudere bewerkingNieuwere bewerking →
VisueelWikitekst
Geen bewerkingssamenvatting
Geen bewerkingssamenvatting
Regel 1: Regel 1:
Beste team,
In onze dynamische digitale omgeving is het van essentieel belang dat we zorgvuldig omgaan met persoonsgegevens. De Algemene Verordening Gegevensbescherming (AVG) legt zes fundamentele beginselen op, waaraan al onze [[Verwerking|gegevensverwerkingen]] moeten voldoen. Deze principes dienen als leidraad voor elke stap die we nemen en bepalen hoe we [[persoonsgegevens]] behandelen.


In onze dynamische digitale omgeving is het van essentieel belang dat we zorgvuldig omgaan met persoonsgegevens. De Algemene Verordening Gegevensbescherming (AVG) legt zes fundamentele beginselen op, waaraan al onze '''<u>gegevensverwerkingen</u>''' moeten voldoen. Deze principes dienen als leidraad voor elke stap die we nemen en bepalen hoe we '''<u>persoonsgegevens</u>''' behandelen.
De zes fundamentele beginselen zijn:
 
# '''Rechtmatigheid en transparantie''': Eerlijk en open zijn over wat we doen;
# '''Welbepaaldheid en duidelijkheid''': Concrete doelen hebben en deze helder communiceren;
# '''Dataminimalisatie''': Alleen verzamelen wat echt nodig is;
# '''Juistheid''': Zorgen dat gegevens correct en up-to-date zijn;
# '''Bewaartermijnen''': Niet langer bewaren dan nodig;
# '''Integriteit en veiligheid''': Goede beveiliging van gegevens.


=== '''Rechtmatigheid en transparantie''' ===
=== '''Rechtmatigheid en transparantie''' ===
De eerste eis is die van rechtmatigheid en transparantie. Praktisch vertaald: het moet netjes en maatschappelijk aanvaard zijn wat we van plan zijn, en we moet er duidelijk over zijn. Dit betekent dus dat wij zo veel mogelijk informatie geven over wat er gebeurt (vermijdt hierbij natuurlijk het vermelden van bedrijfsgeheimen). Ook moeten we een specifieke '''<u>grondslag</u>''' kunnen aanwijzen, zoals '''<u>toestemming</u>''', de '''<u>de uitvoering van een overeenkomst</u>''' of een '''<u>wettelijke plicht</u>'''.  
De eerste eis is die van rechtmatigheid en transparantie. Praktisch vertaald: het moet netjes en maatschappelijk aanvaard zijn wat we van plan zijn, en we moet er duidelijk over zijn. Dit betekent dus dat wij zo veel mogelijk informatie geven over wat er gebeurt (vermijdt hierbij natuurlijk het vermelden van bedrijfsgeheimen). Ook moeten we een specifieke [[Grondslagen|grondslag]] kunnen aanwijzen, zoals [[Grondslagen#Toestemming|toestemming]], [[Grondslagen#Uitvoering van een overeenkomst|de uitvoering van een overeenkomst]] of een [[Grondslagen#Wettelijke verplichting|wettelijke plicht]]. De uitwerking hiervan in de wet vind je in artikelen 13 en 14 AVG.  
 
De uitwerking hiervan in de wet vind je in artikelen '''<u>13 en 14 AVG</u>'''.  


==== '''Wat betekent dit voor jou als medewerker?''' ====
==== '''Wat betekent dit voor jou als medewerker?''' ====

Versie van 25 okt 2024 10:07

In onze dynamische digitale omgeving is het van essentieel belang dat we zorgvuldig omgaan met persoonsgegevens. De Algemene Verordening Gegevensbescherming (AVG) legt zes fundamentele beginselen op, waaraan al onze gegevensverwerkingen moeten voldoen. Deze principes dienen als leidraad voor elke stap die we nemen en bepalen hoe we persoonsgegevens behandelen.

De zes fundamentele beginselen zijn:

  1. Rechtmatigheid en transparantie: Eerlijk en open zijn over wat we doen;
  2. Welbepaaldheid en duidelijkheid: Concrete doelen hebben en deze helder communiceren;
  3. Dataminimalisatie: Alleen verzamelen wat echt nodig is;
  4. Juistheid: Zorgen dat gegevens correct en up-to-date zijn;
  5. Bewaartermijnen: Niet langer bewaren dan nodig;
  6. Integriteit en veiligheid: Goede beveiliging van gegevens.

Rechtmatigheid en transparantie

De eerste eis is die van rechtmatigheid en transparantie. Praktisch vertaald: het moet netjes en maatschappelijk aanvaard zijn wat we van plan zijn, en we moet er duidelijk over zijn. Dit betekent dus dat wij zo veel mogelijk informatie geven over wat er gebeurt (vermijdt hierbij natuurlijk het vermelden van bedrijfsgeheimen). Ook moeten we een specifieke grondslag kunnen aanwijzen, zoals toestemming, de uitvoering van een overeenkomst of een wettelijke plicht. De uitwerking hiervan in de wet vind je in artikelen 13 en 14 AVG.

Wat betekent dit voor jou als medewerker?

  • Wees transparant en volledig in je communicatie.
  • Onderbouw waarom je mag doen wat je doet.
  • Zorg voor een heldere privacyverklaring.
  • Zorg dat Customer Enjoyment-medewerkers kennis hebben van de rechten omtrent persoonsgegevens en klanten de juiste informatie geven. (uiteraard krijgen zij hiervoor bewustwordingstrainingen op maat, maar help je collega's een handje als je merkt dat de kennis onverhoopt ontbreekt.)

Welbepaaldheid en duidelijkheid

De tweede eis, welbepaaldheid en duidelijkheid, betekent dat een verwerking concreet omlijnd moet zijn en begrijpelijk voor de mensen wiens gegevens het betreft (in ons geval veelal klanten, maar natuurlijk ook collega's). Dit vertaalt zich met name naar de privacyverklaring: in klare taal specifiek benoemen wat we gaan doen en waarom (dus niet: “Wij verzamelen gegevens ten behoeve van een geoptimaliseerde gebruikservaring” maar “Wij tonen de producten die je waarschijnlijk het leukst vindt bovenaan”).

Wat betekent dit voor jou als medewerker?

  • Zet een register op waarin je iedere verwerking documenteert. (Deel dit register met onze privacyaanspreekpunten. Zij nemen het op in het register van Het Handje.)
  • Zorg ervoor dat het doel van alle gegevensverzamelingen in het register is opgenomen.
  • Benoem ook afgeleide doelen. (Bij 'versturen van nieuwsbrief' kan horen 'doen van marktonderzoek op basis van e-mailadressen in database'.)
  • Hanteer eenvoudig en duidelijk taalgebruik (Europees taalniveau B1/B2) in je privacyverklaring.
  • Verwijs bij elk inschrijfformulier en andere plekken waar je gegevens verzamelt naar de privacyverklaring.

Dataminimalisatie

Vanuit de eis van dataminimalisatie mag je niet meer gegevens verzamelen of gebruiken dan nodig voor je doelen. Dit vereist dus een kritische blik: waarom vragen wij eigenlijk al deze gegevens, kan het niet een onsje minder zijn? Het credo is dan ook: "Het gaat om need to have, niet om nice to have!". Alleen gegevens die echt noodzakelijk zijn voor het bereiken van je doel mogen worden verzameld.

Dit principe rust op drie belangrijke pijlers:

  1. Vooraf bepaald doel: Voordat je start met het verzamelen van gegevens, moet je een duidelijk en legitiem doel hebben vastgesteld. Het is niet toegestaan om gegevens te verzamelen voor eventueel toekomstig gebruik of "voor het geval dat".
  2. Need to have: Alleen die gegevens die absoluut noodzakelijk zijn voor het bereiken van je doel mogen worden verzameld. Voor elk persoonsgegevens moet je kunnen verantwoorden waarom het onmisbaar is.
  3. Beperkte gegevensverzameling: De verzameling moet zo beperkt mogelijk blijven. Dit betekent dat je:
    • Regelmatig beoordeelt of je nog steeds alle gegevens nodig hebt
    • Gegevens verwijdert zodra ze niet meer nodig zijn
    • Waar mogelijk kiest voor geanonimiseerde of gepseudonimiseerde gegevens

Wat betekent dit voor jou als medewerker?

  • Benoem bij elke verwerking welke persoonsgegevens je verzamelt en per persoonsgegeven waarom dit nodig en onmisbaar is voor die verwerking.
  • Benoem bij elke stap in een verwerkingsproces welke persoonsgegevens hier kunnen worden verwijderd of geanonimiseerd.

Let op: je beoordeelt de noodzakelijkheid van de verwerking van persoonsgegevens altijd voorafgaand aan de verwerking. Je moet dus vooraf weten of er überhaupt een doel is voor de verwerking van die specifieke persoonsgegevens. En zo ja, of dan al die persoonsgegevens nodig zijn voor dat doel. Het verzamelen van gegevens omdat je hier mogelijk ooit een doel aan kunt koppelen is dus een echte no go binnen Het Handje!

Juistheid

De eis van juistheid is ook relevant bij het bewaren van persoonsgegevens. Immers, hoe ouder persoonsgegevens zijn hoe groter de kans dat ze verouderd of irrelevant worden. Het zal dus nodig zijn om te rechtvaardigen dat je gegevens langdurig bewaart.

Wat betekent dit voor jou als medewerker?

  • Zorg voor validatie van nieuw ontvangen gegevens, zoals een controle of postcode en straatnaam wel bij elkaar horen.
  • Controleer periodiek of steekproefsgewijs of gegevens nog kloppen. (Dit doen wij bijvoorbeeld door de laatste 4 cijfers van iemands IBAN te delen in de betalingsherinnering wanneer een incasso binnen ons Membershipprogramma is mislukt. Op die manier laten we de ontvanger van de betalingsherinnering controleren of er misschien verouderde gegevens gehanteerd worden door ons.)
  • Bied mensen de mogelijkheid zelf hun gegevens te controleren, stuur ze bijvoorbeeld periodiek een overzicht of nodig ze uit in te loggen om de gegevens na te lopen.
  • Zorg dat bij processen met lange bewaartermijnen een periodieke controle op juistheid wordt uitgevoerd. (Personeelsgegevens, maar ook studentengegevens worden jaarlijks gecontroleerd binnen Het Handje.)

Bewaartermijnen

Volgens de eis van het toepassen van bewaartermijnen mogen gegevens niet langer dan nodig worden bewaard, en moeten daarna worden gewist. Dit betekent dat je moet vaststellen hoe lang je gegevens nodig hebt, en dat je ook daadwerkelijk de gegevens daarna wijzigt. Het is niet genoeg om te wachten tot mensen een verzoek tot verwijdering indienen of te stellen dat je zaken in de toekomst wellicht nog nodig hebt en ze daarom voor de zekerheid bewaart. Kort gezegd: gegevens moeten weg tenzij je ze nog echt nodig hebt.

Wat betekent dit voor jou als medewerker?

  • Ga na welke bewaartermijn je nodig hebt voor welke gegevens en documenteer ook dit.
  • Zorg dat je gegevens ook daadwerkelijk verwijdert als ze niet meer nodig zijn.

Let op: niet alle bewaartermijnen worden door onszelf bepaald. Sommige bewaartermijnen liggen besloten in een bepaalde wet (denk aan een bewaartermijn die voorkomt uit een bewaarplicht voor de Belastingdienst bij facturatiegegevens).

Integriteit en Veiligheid

Als laatste eisen de beginselen van integriteit en veiligheid dat gegevens adequaat beveiligd moeten zijn, waarmee wordt geborgd dat deze niet zomaar kunnen lekken of worden gebruikt voor niet-toegestane doeleinden. Samenhangend hiermee zijn de eisen van privacy by design en privacy by default. Dit gaat niet alleen over beveiliging tegen hacken, maar ook over borgen van geautoriseerd gebruik, kunnen zien wat er gebeurt en voorkomen dat gegevens worden aangetast of gewist terwijl dat niet de bedoeling is.

Wat betekenen de eisen van integriteit en veiligheid betekenen voor jou als medewerker?

  • Implementeer beveiligingsbeleid om toegang tot persoonsgegevens aan banden te leggen.
  • Implementeer logging waarmee je kunt zien wie wat doet met persoonsgegevens, in ieder geval voor ongebruikelijke of ongewenste vormen van gebruik.
  • Verlang van jouw leveranciers documentatie over privacy by design in hun systemen.
  • Verlang van jouw leveranciers dat geleverde systemen volgens privacy by default afgeschermd zijn.
Overgenomen van "https://www.nietsaanhethandje.nl/index.php?title=De_beginselen_bij_het_verwerken_van_persoonsgegevens&oldid=374"