Stappenplan AVG. Stap 6. Stel vast wat uw doel is en wat de grondslag is voor de gegevensverwerking
De nieuwe privacywet, de Algemene Verordening Gegevensbescherming (AVG), is vanaf 25 mei 2018 van toepassing in de hele Europese Unie. Dit betekent dat u vanaf die datum aan de bepalingen in de AVG dient te voldoen. Gelet op de verplichtingen in de AVG en de stevige boetes die de Autoriteit Persoonsgegevens kan opleggen, is het voor u van groot belang acties en maatregelen te treffen zodat uw organisatie eind mei voldoet aan de AVG.
Download stappenplan AVG
Ter voorbereiding op de nieuwe privacywet, hebben wij voor u een stappenplan opgesteld. Als u dit stappenplan doorloopt, dan is uw organisatie straks klaar voor de AVG. Het stappenplan bestaat in totaal uit 10 stappen. De vorige keer behandelden we stap 5: maak een register verwerkingen en register datalekken. Nu stap 6. Stel vast wat uw doel is en wat de grondslag is voor de gegevensverwerking.
In de AVG zijn de navolgende voorwaarden opgenomen waaraan voldaan moet zijn om rechtmatig persoonsgegevens te verwerken:
Gerechtvaardigd doel
Allereerst dient u te beschikken over een welbepaald, uitdrukkelijk omschreven en gerechtvaardigd doel voor gegevensverwerking. De voorwaarde ‘welbepaald’ houdt in dat de doelomschrijving duidelijk moet zijn. Het moet tijdens het verzamelproces een kader bieden waaraan getoetst kan worden of de gegevens wel of niet nodig zijn voor dat doel.
Besteed zorgvuldig aandacht aan de doelomschrijving en vraagt u zich bij iedere gegevensverwerking af of het verwerken van de persoonsgegevens noodzakelijk is voor het doel.
Nadat u gegevens heb verzameld voor een bepaald doel, mag u deze gegevens ook gebruiken voor een ander doel dan waarvoor u ze heeft verzameld. Let op, u mag dat niet doen op een wijze die onverenigbaar is met het doel waarvoor de gegevens zijn verzameld.
Grondslag verwerking
Daarnaast dient u te beschikken over een van de in de AVG genoemde grondslagen. Kort weergegeven zijn dit:
- Toestemming van de betrokkene
- Uitvoering van een overeenkomst
U mag de gegevens verwerken die noodzakelijk zijn voor de uitvoering van een overeenkomst waarbij de betrokkene partij is of om maatregelen te nemen op verzoek van de betrokkene vóór de sluiting van een overeenkomst.
Zo kan een online webshop geen pakket bezorgen conform de koopovereenkomst bij een klant zonder zijn naam en adres. Ook kan een werkgever het salaris van een werknemer conform de arbeidsovereenkomst niet uitbetalen zonder zijn bankrekeningnummer.
- Wettelijke verplichting
Het is toegestaan ter uitvoering van een wettelijke verplichting persoonsgegevens te verwerken als dit noodzakelijk is. Een voorbeeld hiervan is dat de werkgever verplicht is op grond van de Wet op de Loonbelasting een kopie van het identiteitsbewijs van een werknemer in zijn administratie op te slaan.
- Vitaal belang
U mag persoonsgegevens verwerken als dit noodzakelijk is ter bescherming van de gezondheid van de betrokkene of een ander persoon. Zo mag een arts op de eerste hulp medische gegevens verwerken, voordat een behandelingsovereenkomst is gesloten.
- Algemeen belang
Ter vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen, mogen persoonsgegevens worden verwerkt. Voor het verwerken van persoonsgegevens vanuit deze grondslag dient een wettelijk doel te bestaan.
- Gerechtvaardigd belang
Persoonsgegevens mogen worden verwerkt ter behartiging van een gerechtvaardigd belang, tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene prevaleren. Bij het bepalen of sprake is van een dergelijk gerechtvaardigd belang, spelen de volgende criteria een rol:- het belang moet rechtmatig zijn;
- het belang moet voldoende zeker en specifiek zijn;
- het mag gaan om een algemeen belang of een specifiek commercieel belang;
- de impact en risico’s van de beslissingen die op basis van de data worden genomen en de emotionele impact daarvan, zoals irritatie, angst en chilling effect;
- de aard van de data;
- de manier en schaal van verwerking;
- de redelijke verwachtingen van de betrokkene;
- de status/aard van de betrokkene en de verantwoordelijke; en/of
- de waarborgen die u neemt voor het verwerken van persoonsgegevens.
Let op: voor de verwerking van bijzondere persoonsgegevens gelden aanvullende vereisten.
Download het complete stappenplan AVG
Na deze stap volgen nog vier stappen die in de volgende artikelen worden behandeld. Kunt en wilt u niet wachten tot de volgende stap online komt? Download dan alvast ons complete stappenplan.
Heeft u vragen over de AVG of wilt u graag dat wij u helpen bij de voorbereidingen op de AVG? Neem gerust contact met ons op.
Eerder verschenen stappen in het stappenplan AVG
- Stap 1. Wel of geen functionaris gegevensbescherming aanstellen?
- Stap 2. Breng in kaart welke persoonsgegevens u verwerkt
- Stap 3. Bent u verplicht om privacyrisico’s van een gegevensverwerking in kaart te brengen dmv een DPIA?
- Stap 4. Stel een privacybeleid op
- Stap 5. Maak een register verwerkingen en register datalekken
________________________________
Begrippenlijst
In de tekst staan enkele begrippen cursief. Dit zijn begrippen die u wellicht nog niet kent. U vindt een toelichting van deze begrippen in het stappenplan AVG.
