AVG: dit is wat je moet weten over AVG en Web Apps
AVG Compliance: Alles wat je moet weten voor gegevensbescherming en wetgeving
De Algemene verordening gegevensbescherming, of AVG in de Volksmond, is wetgeving die geldt voor iedereen die persoonsgegevens verwerkt. Dus niet alleen voor grote bedrijven zoals Facebook en Microsoft, maar ook voor zzp’ers en mkb’ers. In dit artikel geven we antwoorden op drie vragen rondom de AVG:
- Welke gegevens mogen verwerkt worden Welke niet?
- Hoe vraag ik toestemming voor het verwerken van gegevens? Is een vinkje voldoende?
- Zijn er ook verschillende gradaties in AVG-gegevens?
De richtlijnen
De richtlijnen van de AVG worden samengevat in 6 beginselen:
- Rechtmatigheid, behoorlijkheid en transparantie: Gegevens mogen alleen worden verwerkt als dit in overeenstemming is met de wet.
- Doelbinding: Het doel van de verwerking moet gerechtvaardigd zijn en specifiek worden omschreven.
- Dataminimalisatie: Alleen de gegevens die noodzakelijk zijn voor het doel mogen worden bewaard.
- Juistheid: Gegevens moeten correct zijn en indien nodig worden geactualiseerd.
- Opslagbeperking: Gegevens mogen niet langer worden bewaard dan nodig is voor het doel.
- Vertrouwelijkheid en integriteit: Gegevens moeten adequaat worden beveiligd.
Welke gegevens mag een bedrijf verwerken?
Voor het verwerken van gegevens is een organisatie verplicht om mensen te informeren over wat er met hun gegevens gebeurt en waarom. In een (openbare) webapplicatie is het nodig om een privacyverklaring te delen, voordat iemand gebruik maakt van de applicatie. De gegevens die verzameld worden, mogen alleen gebruikt worden voor het doel dat gedeeld wordt met de persoon wiens gegevens verzameld worden. Het is dus niet toegestaan om verzamelde gegevens ook voor een ander doel te gebruiken, zelfs wanneer deze gegevens al wel in de database van de webapplicatie opgeslagen zijn. Bovendien mag je bedrijf alleen de gegevens verzamelen die strikt noodzakelijk zijn om het doel van de webapplicatie te bereiken. Wanneer een bepaald gegeven niet nodig hebt, mag het ook niet verzamelen.
Hoe krijg ik toestemming om gegevens te verwerken?
In de AVG is geen vaste manier van het verkrijgen van toestemming vastgelegd. Je mag dus zelf bepalen op welke manier je je eindgebruiker om toestemming vraagt. Wel zijn er een aantal eisen waaraan de toestemmingsverklaring moet voldoen:
- De toestemming moet vrijwillig worden gegeven. Dit houdt in dat een persoon niet onder druk mag worden gezet om toestemming voor gegevensverwerking te verkrijgen.
- De toestemming moet actief worden gevraagd. Een persoon moet actief instemmen met het verwerken van zijn of haar gegevens. Een vinkje laten zetten is voldoende.
- De persoon wiens gegevens worden verwerkt, moet worden geïnformeerd over deze vier zaken:
- de identiteit van de organisatie,
- het doel waarmee de gegevens worden verwerkt,
- welke gegevens worden verzameld,
- het recht om de toestemming in te trekken.
Wanneer een toestemmingsverklaring niet aan deze eisen voldoet, is deze ongeldig en mogen de gegevens niet worden verwerkt.
Welke gradaties zijn er in persoonsgegevens?
De AVG maakt onderscheid tussen verschillende soorten persoonsgegevens: ‘gewone’ en ‘bijzondere’ persoonsgegevens. Dit artikel beperkt zich alleen tot de ‘gewone’ persoonsgegevens. Deze bijzondere persoonsgegevens moeten met extra voorzichtigheid worden verwerkt.
Bijzondere persoonsgegevens kunnen onder andere gaan over medische data, iemands ras of etniciteit, geloofsovertuiging of biometrische gegevens zoals een vingerafdruk. Ook voor strafrechtelijke gegevens gelden strengere eisen. Naast bijzondere persoonsgegevens zijn er ook gevoelige persoonsgegevens. Deze gegevens worden door de AVG niet specifiek als bijzonder genoemd, maar kunnen wel gevolgen hebben voor iemands privacy. Hierbij kan je denken aan locatiegegevens, bankgegevens of iemands BSN.
Tot slot
Er is een checklijst opgesteld om AVG te controleren, houd grip op persoonsgegevens met deze checklist en controleer hoe jouw persoonsgegevensverwerking ervoor staat.
Disclaimer
Het is goed om te benoemen dat dit artikel slechts een korte samenvatting geeft en zeker niet geldt als juridisch advies. Als je meer informatie wil over AVG, kan je terecht bij de Autoriteit Persoonsgegevens.
Bronnen
Autoriteit Persoonsgegevens. (n.d.-a). De AVG in het kort. https://www.autoriteitpersoonsgegevens.nl/themas/basis-avg/avg-algemeen/de-avg-in-het-kort
Autoriteit Persoonsgegevens. (n.d.-b). Grondslagen AVG uitgelegd. https://www.autoriteitpersoonsgegevens.nl/themas/basis-avg/avg-algemeen/grondslagen-avg-uitgelegd
Autoriteit Persoonsgegevens. (n.d.-c). Wat zijn persoonsgegevens? https://www.autoriteitpersoonsgegevens.nl/themas/basis-avg/privacy-en-persoonsgegevens/wat-zijn-persoonsgegevens#bijzondere-persoonsgegevens