De Algemene verordening gegevensbescherming (AVG) is een privacywetgeving vanuit de Europese Unie die sinds 2018 in Nederland van toepassing is. Deze verordening zorgt voor sterke privacyrechten, sterker dan voorheen beschreven was in de Wet bescherming persoonsgegevens (Wpb) die gelde van 2001 tot 2018. De invoering van de AVG leidt tot een grotere verantwoordelijkheid voor organisaties die met persoonsgegevens werken. Internationaal staat de verordening bekend als de General Data Protection Regulation (Autoriteit Persoonsgegevens, z.d.).
De AVG is opgebouwd aan de hand van twaalf beginselen met betrekking tot de verwerking van persoonsgegevens (beschreven in artikel 5 AVG). Internationaal bekend als de Twelve Fair Information Principles. Deze beginselen zijn de ruggengraat van de verordening. De betreffende beginselen zijn: rechtmatig, verantwoordelijk, behoorlijk, doelspecificatie, doelbinding, dataminimalisatie, correctheid, up-to-date, opslagbeperking, technologische veiligheid, organisatorische veiligheid en tot slot transparantie (Van der Sloot, z.d.). In dit artikel maakt u kennis met de twaalf beginselen, waardoor u de structuur van de verordening begrijpt.
1. Rechtmatig
De verwerking van persoonsgegevens berust op één van de zes grondslagen van de AVG: het verwerken moet hierdoor rechtmatig zijn. Toestemming, vitale belangen, wettelijke verplichting, overeenkomst, algemeen belang en gerechtvaardigd belang betreffen de grondslagen. Wanneer één van deze grondslagen gebruikt wordt voor rechtmatige gegevensverwerking, mag de grondslag vervolgens niet gewijzigd worden (Meindersma, 2018).
2. Verantwoordelijk
De verantwoordelijke neemt maatregelen zodat het gegevensverwerkingsproces rechtmatig is en aan de AVG wordt voldaan (Van der Sloot, z.d.).
3. Behoorlijk en 4. Doelspecificatie
De persoonsgegevensverwerking moet eerlijk (behoorlijk) zijn. Met andere woorden: de betrokkene mag niet worden misleidt of op oneerlijke wijze de gegevens van de betrokkene verwerken. Daarnaast moet de verwerking concreet afgesproken zijn ten aanzien van een specifiek en vooraf vastgesteld doel. Na het verzamelen van de gegevens mag het doel van de gegevensverwerking niet meer afwijken van de afspraak (Van der Sloot, z.d.).
5. Doelbinding en 6. Dataminimalisatie
De persoonsgegevens mogen alleen voor het vastgestelde doel verwerkt worden. Het gebruik van de gegevens is niet toegestaan voor nieuwe toepassingen. Daarnaast moet de verantwoordelijke zo min mogelijk data verzamelen van de betrokkene. Dit beginsel is een uitwerking van het noodzakelijkheidsvereiste en het subsidiariteitsprincipe (Van der Sloot, z.d.).
7. Correctheid, 8. Up-to-date en 9. Opslagbeperking
De verzamelde persoonsgegevens moeten correct verwerkt worden door de verantwoordelijke, en zo nodig geactualiseerd worden. Daarnaast dienen de gegevens, als deze voor een langere tijd worden bewaard, up-to-date te blijven. Tevens stelt het opslagbeperkingsbeginsel dat wanneer de gegevens niet langer vereist zijn voor het doel, deze verwijderd of volledig geanonimiseerd worden. Ook wel bekend als het noodzakelijkheidsprincipe (Van der Sloot, z.d.).
10. Technologische veiligheid, 11. Organisatorische veiligheid en 12. Transparantie
Voor de persoonsgegevens die worden bewaard (bijvoorbeeld in een database, bestand of register) moeten technologische veiligheidsmaatregelen getroffen worden (bijvoorbeeld encryptie of firewalls). Daarnaast is het belangrijk organisatorische veiligheidsmaatregelen te treffen, zodat de veiligheid van de gegevens gewaarborgd blijft (zoals wachtwoorden, loggen en clean desk policy). Tot slot is de verantwoordelijke verplicht transparante gegevensverwerkingsprocessen te hebben (Van der Sloot, z.d.).
Al met al berust de AVG op deze twaalf beginselen. Zie hier een link naar een eenvoudig te begrijpen overzicht met de belangrijkste punten van de privacywet.
De Autoriteit Persoonsgegevens controleert of organisaties zich aan de AVG houden en handhaaft hier zo nodig op. De Autoriteit kan boetes tot maximaal twintig miljoen euro of vier procent van de wereldwijde omzet opleggen, wanneer de organisatie niet compliant is met de privacywet (Den Breejen, 2021).