SnelStart en Privacy: een introductie

door: Fleur Biegstraaten (Functionaris Gegevensbescherming) op: 15 augustus 2022

SnelStart en Privacy: een introductie | SnelStart

Sinds mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat in de hele Europese Unie (EU) dezelfde privacywetgeving geldt. De AVG bevat regels voor een rechtmatige verwerking (verzameling, gebruik en opslag) van persoonsgegevens. In deze blogserie vertellen we wat dit inhoudt en hoe SnelStart hiermee omgaat.

Belangrijke begrippen rondom AVG

Voordat we de diepte in gaan, lichten we eerst de meest gebruikte begrippen kort toe:

  • Betrokkene: de persoon op wie de persoonsgegevens betrekking hebben. Dit kunnen bijvoorbeeld klanten of medewerkers zijn.
  • Verwerkingsverantwoordelijke: de organisatie die de persoonsgegevens voor eigen doeleinden verwerkt en zelf bepaalt hoe zij dit doet of laat doen. Als werkgever verstrek je bijvoorbeeld gegevens van je werknemers aan het UWV. In de wet staat expliciet dat het UWV deze persoonsgegevens mag verwerken. Het UWV is daarmee een verwerkingsverantwoordelijke. Die verwerkt de persoonsgegevens van werknemers voor eigen doeleinden.
  • Verwerker: de organisatie die persoonsgegevens in opdracht van een andere organisatie verwerkt. Denk hierbij aan een softwareleverancier als SnelStart.
  • Grondslagen: de AVG kent zes grondslagen. De meest gebruikte grondslagen voor commerciële bedrijven zijn: toestemming, uitvoering van de overeenkomst en gerechtvaardigd belang.

De 6 basisbeginselen van AVG

De AVG bestaat uit zes basisbeginselen die bij iedere verwerking van persoonsgegevens moeten worden nageleefd:

1. Rechtmatigheid, behoorlijkheid en transparantie

Het eerste beginsel komt erop neer dat organisaties moeten zorgen dat ze de wet niet overtreden met hun procedures voor het verwerken van gegevens. De verwerking moet altijd op (minimaal) één van de zes grondslagen gebaseerd zijn. Daarnaast moet de verwerkingsverantwoordelijke transparant communiceren over de verwerking van persoonsgegevens. 

Privacyverklaring

Het is voor betrokkenen van belang dat het duidelijk en transparant is wat er met hun persoonsgegevens gebeurt. Het is gebruikelijk om deze informatie in een privacyverklaring te plaatsen die makkelijk te vinden is op de website. In de privacyverklaring staat in makkelijke, toegankelijke en begrijpelijke taal welke gegevens er worden verwerkt en waarom.

2. Doelbinding

De verwerking van persoonsgegevens is alleen toegestaan als er een specifiek en gerechtvaardigd doel aan gekoppeld is. De verwerkingsverantwoordelijke stelt het doel van de verwerking van persoonsgegevens van tevoren vast. Het is van belang dat deze omschrijving makkelijk en concreet wordt gemaakt zodat het voor betrokkenen duidelijk is wat er met hun persoonsgegevens gebeurt en waarom dat nodig is.

3. Minimale gegevensverwerking

Dataminimalisatie houdt in dat er niet meer gegevens worden verzameld en verwerkt dan strikt noodzakelijk is voor het vastgestelde doel. Informatie mag bijvoorbeeld niet verplicht worden uitgevraagd als niet onderbouwd kan worden waarom dit nodig is. Verder is van belang dat de persoonsgegevens verwijderd of geanonimiseerd worden zodra deze niet meer noodzakelijk zijn. Daarentegen is het ook belangrijk dat er voldoende persoonsgegevens worden verwerkt. Het gevaar van te weinig persoonsgegevens is namelijk dat een onjuist beeld van de betrokkene ontstaat en dat het vastgestelde doel daarmee niet gehaald kan worden. Als een huisbaas de salarisgegevens van zijn huurders bijvoorbeeld niet uitvraagt, dan kan hij/zij geen goede controle doen of de huurder de huur wel kan dragen.

Dataminimalisatie houdt in dat er niet meer gegevens worden verzameld en verwerkt dan strikt noodzakelijk is voor het vastgestelde doel.

4. Juistheid van persoonsgegevens

De persoonsgegevens dienen altijd juist en actueel te zijn. Als de gegevens onjuist zijn, kunnen er negatieve gevolgen ontstaan voor betrokkenen. Betrokkenen hebben daarom ook altijd het recht om de gegevens te (laten) wijzigen. De verwerkingsverantwoordelijke heeft een vergaande inspanningsplicht om de juistheid van de betreffende persoonsgegevens te waarborgen. De UWV neemt bijvoorbeeld altijd contact op met betrokkenen om gegevens extra te controleren.

5. Opslagbeperking

Het uitgangspunt is dat de persoonsgegevens niet langer bewaard worden dan noodzakelijk is voor het doel. De verwerkingsverantwoordelijke stelt concrete bewaartermijnen vast en verwijdert de gegevens na het verstrijken van de bewaartermijn.

6. Integriteit en vertrouwelijkheid

Tot slot is het van belang dat er passende beveiligingsmaatregelen worden geïmplementeerd. De betrokkene moet kunnen vertrouwen op een veilige verwerking van zijn of haar persoonsgegevens.

Conclusie

Bij het verwerken van persoonsgegevens is het belangrijk dat organisaties vooraf goed nadenken over waarom en hoe zij persoonsgegevens wensen te verwerken. Vervolgens dienen zij de betrokkene hier goed over te informeren en goede beveiligingsmaatregelen te nemen. In het volgende blog gaan we dieper in op de begrippen ‘verwerkingsverantwoordelijke’ en ‘verwerker’. Hierin lichten we de rolverdeling tussen jouw organisatie en SnelStart verder toe. Later in deze blogserie lees je meer over de specifieke beveiligingsmaatregelen van SnelStart.

Aan dit artikel kunnen geen rechten worden ontleend. De inhoud van dit artikel is met de grootste zorg samengesteld. Toch kan het zijn dat de regels inmiddels zijn aangepast, of jouw situatie onder de uitzonderingen valt.