Gegevensbeschermingsprincipes: De 7 Principes van de AVG Uitgelegd

Ismail Özkan
By: Ismail Özkan AVG | 7 december

De verschillende vereisten van de Europese gegevensbescherming en privacywetgeving houden rechtstreeks verband met enkele basisprincipes in de Algemene Verordening Gegevensbescherming (AVG).

Deze blogpost is bedoeld als een ‘AVG voor dummies’-handboek, waarin ik je door de 7 principes van de AVG zal leiden, met voorbeelden van wat ze betekenen en aanbevelingen over wat je kunt doen om eraan te voldoen. Als je de principes voor gegevensverwerking begrijpt, kun je beter aan de AVG voldoen.

Wat zijn de 7 principes van de AVG?

Simpel gezegd, de vereisten voor gegevensverwerking die worden afgedwongen door de AVG zijn geworteld in 7 algemene principes voor privacy. Als je de 7 principes van de AVG begrijpt, wordt het gemakkelijker voor je om de regels en voorschriften te begrijpen. De 7 principes zijn:

  1. Rechtmatigheid, behoorlijkheid en transparantie

  2. Doelbinding

  3. Minimale gegevensverwerking

  4. Nauwkeurigheid

  5. Opslagbeperkingen

  6. Integriteit en vertrouwelijkheid

  7. Verantwoording

Voordat we naar elk principe en voorbeelden van uitvoeringen kijken, wil ik erop wijzen waarom het belangrijk is om de principes voor gegevensbescherming te begrijpen en hoe je hiervan kunt profiteren.

7 GDPR Principles - Infographic

Inzicht in de principes van gegevensverwerking

Na de introductie van de AVG in 2018 staan veel bedrijven voor uitdagingen om met de eisen om te gaan. Deze uitdagingen bestaan nog steeds in 2021. De juiste verwerking en omgang met persoonsgegevens is niet alleen een ethische verantwoordelijkheid, maar ook een wettelijke vereiste die, indien deze niet wordt nageleefd, kan leiden tot enorme boetes, financiële gevolgen en reputatieschade.

Gecombineerd met het feit dat persoonsgegevens overal te vinden zijn en dat iedere organisatie op de een of andere manier persoonsgegevens verwerkt, stelt dit organisaties voor een grote uitdaging.

Het probleem is dat AVG op een lange en chaotische wetgeving kan lijken die in een zware taal is geschreven, en het kan mogelijk voelen alsof je de hulp van een advocaat nodig hebt om het te begrijpen.

Alle vereisten van de AVG zijn echter gebaseerd op 7 basisprincipes. Dit betekent dat als je deze 7 principes begrijpt, je een stap dichter bij het begrijpen en naleven van de AVG bent. Houd er echter rekening mee dat deze blogpost bedoeld is voor beginners, en daarom vereenvoudigd is en niet bedoeld als vervanging voor een advocaat of consulent.

Aangezien het tegenwoordig bijna onmogelijk is om de verwerking van persoonsgegevens te vermijden, kunnen deze 7 principes op je van toepassing zijn, maar de omvang ervan zal variëren afhankelijk van je context. Daarom zal ik de 7 AVG-principes uitleggen met een voorbeeld dat in dit artikel zal volgen. Het voorbeeld is ontworpen om zo algemeen mogelijk te zijn en zo toepasbaar voor zoveel mogelijk organisaties.

Voorbeeld van de 7 AVG-principes

Stel dat je organisatie graag een online nieuwsbrief wil maken voor je klanten en / of leden. Je publiek kan zich op verschillende manieren aanmelden voor de nieuwsbrief. Ze kunnen zich bijvoorbeeld abonneren op je nieuwsbrief door een formulier op je website in te vullen, of ze kunnen ook een vakje aanvinken als ze iets op je website kopen. Zo verkrijg je een database van je klanten en stuur je af en toe relevante content naar hen toe. Verder gebruik je deze database om je boodschap af te stemmen op je publiek, bijvoorbeeld door hun gedrag op je website te volgen.

Het is best rechttoe rechtaan, toch?

Nu we het eens zijn geworden over een voorbeeld waar bijna iedereen zich mee kan identificeren, gaan we kijken naar de 7 gegevensbeschermingsprincipes in GDPR (General Data Protection Regulation), en zien hoe ze zich verhouden tot ons voorbeeld.

Maar laat ik eerst een disclaimer geven: deze 7 principes van GDPR zijn ook in veel andere gevallen relevant, en je moet de voorbeelden uit dit artikel vertalen naar je eigen praktijken. Dit kan bijvoorbeeld zijn wanneer je een Instagram-wedstrijd organiseert, een evenement organiseert voor je medewerkers of een database bijhoudt met je zakelijke contacten.

Het is nu tijd om de 7 principes te bekijken. Aan de slag!

1. Rechtmatigheid, behoorlijkheid en transparantie

Oké, ik weet het, ik zei principe 1 en je ziet meteen drie dingen. Ik beloof je dat dit het enige principe is dat meer dan één onderwerp bevat (soort van). Dus, zonder je nog meer te verwarren, laat me het uitleggen:

Dit principe zegt ons in feite dat de verwerking van persoonsgegevens op een wettige, eerlijke en transparante manier moet gebeuren

  • Wettig betekent dat je gegevens verzamelt en deze op een geldige wettelijke basis verwerkt. Het verkrijgen van toestemming van de gebruiker dat je hun gegevens mag verwerken, is bijvoorbeeld een veel voorkomende manier om een wettelijke basis te verkrijgen voor het verwerken van persoonlijke gegevens. Er zijn veel juridische gronden voor het verwerken van persoonsgegevens, waarover je hier meer kunt lezen.

     

  • Eerlijk betekent dat je verwerking van persoonsgegevens in het beste belang is van de persoon over wie de gegevens gaan en dat de omvang van de verwerking redelijkerwijs door de persoon kan worden verwacht.

     

  • Transparant betekent dat je duidelijk communiceert wat, hoe en waarom je gegevens verwerkt aan degenen van wie je gegevens verwerkt. Dit moet zo zijn dat de mensen van wie je gegevens verwerkt, de reikwijdte en manieren van je verwerking gemakkelijk kunnen begrijpen. 

Wettig, eerlijk en transparant in ons voorbeeld

Voor ons voorbeeld heeft een nieuwsbrief vaak minimaal de namen en e-mailadressen nodig van mensen die zich erop registreren. Je moet hiervoor een wettelijke basis krijgen, bijvoorbeeld door de gebruiker toestemming te geven voor je verwerking door een vakje aan te vinken. Het is echter ook belangrijk dat je bijvoorbeeld de gebruikers de mogelijkheid geeft om het verzamelen van hun gegevens te beperken tot alleen dat wat essentieel is om de nieuwsbrief te bezorgen (d.w.z. heb je echt de functie van de persoon nodig voor je nieuwsbrief? Als je dat doet, moet je bereid zijn daarvoor goede argumenten aan te dragen). Bovendien moet je documenteren wanneer en hoe die toestemming is gegeven, als daarom wordt gevraagd.

De gegevens die je verwerkt voor de nieuwsbrief, moeten eerlijk zijn. Als je bijvoorbeeld een bedrijf bent dat schoonheidsproducten verkoopt, verwachten je klanten informatie over nieuwe producten of blogposts over schoonheid te ontvangen. Gebruik dan deze database met klanten bijvoorbeeld niet om e-mails te versturen die niet relevant zijn (dat wil zeggen, niet verwacht) voor de intentie van je abonnees om zich op je nieuwsbrief te registreren.

Ten slotte moet je transparant zijn en het ‘wat’, ‘hoe’ en ‘waarom’ van je verwerking communiceren. Onthoud dat degenen waarvan de gegevens die je verwerkt zijn, (in de AVG de “betrokkene” genoemd), het recht hebben om precies te weten welke gegevens je over hen hebt en hoe en waarom deze gegevens worden verwerkt. Je kunt transparantie in je nieuwsbrief verkrijgen door bijvoorbeeld een duidelijk privacybeleid op je website te hebben en je abonnees de mogelijkheid geven om gemakkelijk contact op te kunnen nemen met de functionaris voor gegevensbescherming (DPO) in je organisatie.

 

2. Doelbinding

Dit principe vertelt ons dat je persoonsgegevens alleen mag verwerken voor het doel waarvoor je ze bedoeld hebt. Met andere woorden, je mag persoonsgegevens niet hergebruiken voor andere doeleinden dan waarvoor ze bedoeld zijn.  

Doelbinding in ons voorbeeld

In ons voorbeeld zou dit betekenen dat je de gegevens die je via je nieuwsbrief krijgt, niet voor andere doeleinden mag gebruiken dan wat je hebt aangegeven. Als je bijvoorbeeld in je nieuwsbrief toestemming hebt gegeven dat je de IP-adressen van je abonnees opslaat om te documenteren wanneer en hoe de toestemming is verkregen (omdat dit een vereiste is van de AVG), kun je de IP-adressen van je abonnees niet gebruiken om hen aangepaste inhoud te sturen, bijvoorbeeld productsuggesties, die zijn gericht op hun geografische gebied. Dat zou betekenen dat je hun persoonlijke gegevens voor een ander doel gebruikt. 

Als je echter bijvoorbeeld hebt aangegeven dat je hun IP-adres verzamelt om de nieuwsbrief en relevante inhoud te verzenden, kun je mogelijk hun persoonsgegevens gebruiken om gerichte e-mails te versturen. Let wel op de nadruk op het woord ‘mogelijk’, want hier worden zeer strikte eisen aan gesteld. 

Als het gaat om het omgaan met persoonlijke gegevens, fungeert je team als eerstelijnsmedewerkers. Je moet ervoor zorgen dat ze niet per ongeluk gegevens hergebruiken op een niet-conforme manier. De beste manier om dit te communiceren is door je team te trainen en hen bewust te maken van privacyproblemen.  

De beste manier om hiervoor te zorgen, is door je medewerkers op te leiden en hen bewust te maken van privacykwesties. Overweeg om dit gratis e-book te bekijken dat we hebben geschreven over hoe je team de beste verdediging kan worden tegen cyberaanvallen en datalekken.

Smart CTA Risk NL

3. Gegevensminimalisatie

Als het om gegevens gaat, maken we ons allemaal schuldig aan het oppotten ervan. We houden dingen omdat ze leuk zijn om te hebben, maar we gebruiken ze nooit. Wat betreft het derde AVG-principe: we mogen gegevens niet rondslingeren als we die niet nodig hebben.  

Dit principe vertelt ons dat we niet meer persoonlijke gegevens mogen verzamelen dan nodig is om de service te leveren die we van plan zijn. Met andere woorden: verzamel en verwerk alleen de exacte hoeveelheid gegevens die nodig is. 

Gegevensminimalisatie in ons voorbeeld

In ons voorbeeld zou dit betekenen dat je alleen de benodigde persoonsgegevens verzamelt om de nieuwsbrief te bezorgen. Je hebt bijvoorbeeld de naam en het e-mailadres van de abonnees nodig, maar je hoeft hun functietitel niet te weten. Het is misschien ‘leuk om te hebben’, maar niet nodig en misschien gebruik je ze toch niet eens. 

Desalniettemin is dataminimalisatie op verschillende manieren voordelig voor u. Het brengt je niet alleen een stap dichter bij GDPR-compliance, maar je zult ook minder last hebben van een mogelijk datalek. 

4. Nauwkeurigheid

Dit kan een beetje verwarrend zijn. Hoewel alle andere principes die we tot nu toe hebben gezien, gaan over het zo min mogelijk weten over de mensen van wie we gegevens verwerken, is dit een soort van het tegenovergestelde. Dit principe gaat over het hebben van de meest nauwkeurige gegevens mogelijk.

Het betekent dat de persoonsgegevens die we verwerken correct en up-to-date moeten zijn, en dat je als gegevensbeheerder en / of verwerker “redelijke maatregelen” moet nemen om dat te waarborgen.

Dit is echter alleen relevant als de juistheid van de persoonsgegevens van belang is voor de persoon over wie de gegevens gaan.

Nauwkeurigheid in ons voorbeeld

Ik zal het uitleggen door terug te gaan naar ons voorbeeld. Stel dat een van je abonnees zich op je nieuwsbrief heeft geregistreerd met zijn bedrijfse-mail terwijl hij bij bedrijf X werkte. Als deze persoon van baan verandert en nu bij bedrijf Y werkt, werkt het e-mailadres van bedrijf X niet meer. De gegevens die je van deze gebruiker hebt zijn dus niet langer correct.

Een ‘redelijke maatregel’ in dit scenario zou kunnen zijn om een link in je nieuwsbrief te stoppen waarin je abonnees hun e-mailadres kunnen wijzigen. Dus als de persoon weet dat ze van baan gaan veranderen, kunnen ze gemakkelijk hun persoonlijke informatie bijwerken die je over hem hebt.

Je kunt ook een CRM-systeem hebben of een e-mailmarketingsysteem dat e-mailadressen bijhoudt die automatisch antwoorden wanneer je je nieuwsbrief verstuurt. Als een persoon een bedrijf heeft verlaten, zal het bedrijf normaal gesproken een automatisch antwoord instellen waarin staat dat de persoon daar niet meer werkt. Mensen kunnen echter ook om andere redenen automatische antwoorden instellen, bijvoorbeeld wanneer ze op vakantie zijn. Daarom moet je deze automatische antwoorden regelmatig doornemen om te zien of je abonnees hebt met ongeldige e-mailadressen.

Als de gegevens die je hebt onnauwkeurig of onjuist zijn, is er geen reden om met de gegevens om te gaan en moeten deze worden bijgewerkt of verwijderd.

5. Opslagbeperkingen

Dit principe gaat over het verwijderen van persoonlijke gegevens wanneer je deze niet meer nodig hebt. In principe mag je geen persoonlijke gegevens opslaan die niet langer worden gebruikt voor het doel waarvoor ze zijn bedoeld. Dit principe lijkt sterk op het dataminimalisatieprincipe, en veel organisaties overwegen het verwijderen van oude data als onderdeel van dataminimalisatie.

Opslagbeperkingen in ons voorbeeld

Kijkend naar ons voorbeeld kan het bijvoorbeeld zijn dat als mensen zich uitschrijven voor je nieuwsbrief, jij hun gegevens moet verwijderen. Op dezelfde manier moet je wanneer je organisatie besluit om geen nieuwsbrieven meer te verzenden, de persoonlijke gegevens van je abonnees verwijderen. Dat komt omdat het doel van het verzamelen van de persoonlijke gegevens van je abonnees is om hen de nieuwsbrief te sturen, en als dat doel niet meer bestaat, zouden de gegevens die voor dat doel zijn verzameld ook niet meer hoeven bestaan.

In sommige gevallen kan het relevant zijn om persoonsgegevens enige tijd nadat het doel ervan is geëindigd te bewaren of ze te anonimiseren en de gegevens te gebruiken voor statistische of historische doeleinden. Deze situaties zijn echter uitzonderingen in plaats van regels en ze moeten zorgvuldig worden overwogen.

6. Integriteit en vertrouwelijkheid

Als je bekend bent met cybersecurity of informatiebeveiliging, heb je waarschijnlijk wel eens gehoord van de ‘CIA-Triangle’. Het klinkt cool, maar in plaats van de Central Intelligence Agency heeft het betrekking op een driehoek die staat voor vertrouwelijkheid, integriteit en beschikbaarheid.  

Dit principe betreft twee van de kanten van die driehoek. Bij integriteit gaat het erom ervoor te zorgen dat persoonlijke gegevens correct zijn en niet door anderen kunnen worden gemanipuleerd (dwz je moet ervoor kiezen om je systemen te beschermen tegen hackers). Bij vertrouwelijkheid gaat het erom ervoor te zorgen dat alleen de mensen die toegang zouden moeten hebben tot de persoonlijke gegevens, deze verwerken.  

Risicoanalyse

Integriteit en vertrouwelijkheid in ons voorbeeld

In ons voorbeeld zou dit betekenen dat de gegevens die je via je nieuwsbrief verzamelt, niet toegankelijk mogen zijn voor onbevoegden – dit omvat ook mensen in je eigen organisatie. Met andere woorden, alleen mensen die toegang moeten hebben tot de informatie van je abonnees om de nieuwsbrief te kunnen bezorgen, mogen er toegang toe hebben. Bovendien moet je over systemen en maatregelen beschikken zodat de gegevens niet kunnen worden gemanipuleerd. 

De persoonsgegevens van je abonnees mogen bijvoorbeeld niet worden opgeslagen op een gedeelde schijf waartoe iedereen in je organisatie toegang heeft, en je moet de nodige maatregelen nemen om ervoor te zorgen dat de plaats waar je deze informatie opslaat, wordt beschermd tegen cyberaanvallen en inbreuken. 

Je kunt hier meer lezen over het geven van toegang tot persoonsgegevens.  

7. Verantwoording

Zoals de naam suggereert, heeft dit principe betrekking op het nemen van verantwoordelijkheid voor je gegevensverwerking. Het betekent dat je als verwerkingsverantwoordelijke en / of verwerker verantwoordelijk moet zijn voor de juiste verwerking van persoonsgegevens en het naleven van de regels van de AVG.

Als we het hebben over het nemen van verantwoordelijkheid, gaat het niet alleen om het voldoen aan de verschillende vereisten van de AVG, maar ook om te kunnen documenteren dat je dat doet.

Voorbeelden over verantwoording

Als je bijvoorbeeld toestemming als wettelijke basis gebruikt om ervoor te zorgen dat je de persoonsgegevens van je abonnees op je nieuwsbrief verwerkt, en daarmee het rechtmatigheidsbeginsel te waarborgen, moet je documenteren hoe en wanneer deze toestemming is gegeven. Om dit te doen, moet je een systeem hebben dat de toestemming registreert.

Een ander voorbeeld is dat veel van de principes van de AVG vereisen dat je naast technische maatregelen ook organisatorische maatregelen neemt. Dit kan bijvoorbeeld betrekking hebben op principe 2, waar je je werknemers moet trainen om persoonlijke gegevens niet te hergebruiken voor andere doeleinden dan het oorspronkelijke doel. Door je team te trainen en het initiatief te documenteren, vervul je en demonstreert je een vereiste.

Conclusie: training is de sleutel

Dus, de AVG kan soms overweldigend zijn om te begrijpen vanwege het zware taalgebruik en de beladen uitleg. Deze gids was bedoeld als startpunt voor beginners. Ik hoop dat je plezier hebt gehad in het lezen hiervan en dat de inzichten die je uit dit artikel krijgt, je werk in de naleving hiervan zal vergemakkelijken.

Als laatste opmerking: we hebben besproken dat je personeel een essentieel onderdeel is van het waarborgen van de AVG-naleving in je organisatie. Zij zijn degenen die dagelijks te maken hebben met de verwerking van persoonsgegevens. We raden je aan ervoor te zorgen dat je team is uitgerust met de nodige vaardigheden en kennis in het omgaan met persoonlijke gegevens. Er zijn veel manieren om dit te doen en je kunt hier meer lezen over het gebruik van bewustwordingstraining om hieraan te voldoen.

Als je nieuwsgierig bent naar het trainen van je team, dan hebben we bij CyberPilot een online platform ontwikkeld voor bewustwordingstrainingen waar ze korte, leuke en interactieve cursussen kunnen volgen in informatiebeveiliging en de AVG. Op dit moment bieden we een gratis proefperiode van 3 maanden aan zonder enige verplichting of aankoop. Ik zou het ten zeerste aanbevelen om het eens te proberen.

Smart CTA_e-book NL

Bekijk ook onze video over de 7 AVG-principes