Per 25 mei 2018 wordt de Wet bescherming persoonsgegevens (Wbp) vervangen door de Europese Algemene Verordening Gegevensbescherming (AVG) die in heel Europa van toepassing wordt. Deze nieuwe wetgeving stelt hogere en aanvullende eisen aan privacy. In deze 5 vuistregels (versie 2.0) worden de belangrijkste (nieuwe) uitgangspunten voor het verantwoord omgaan met persoonsgegevens samengevat.
1) Doelbepaling en doelbinding
Persoonsgegevens worden altijd verzameld met een vooraf vastgesteld en concreet doel. Deze persoonsgegevens mogen alleen worden verwerkt om dat vastgestelde doel te bereiken (doelbinding).
Let op: als een instelling gegevens verzamelt, die niet vallen onder het vrijstellingsbesluit, dan eist de Wbp van de instelling dat deze gegevensverzameling apart wordt aangemeld bij het Autoriteit Persoonsgegevens (AP). In de praktijk zal dit niet vaak voorkomen.
Met ingang van 25 mei 2018 als de Wbp niet meer van toepassing is en de regels vanuit de Algemene Verordening Gegevensbescherming (AVG) gelden hoeven instellingen geen melding meer te doen. Maar ze zijn dan wel verplicht zelf bij te houden welke gegevens waarvoor gebruikt worden: instellingen moeten op hoofdlijnen weten welke gegevens voor welk doel worden gebruikt.
2) Grondslag
Is er minimaal een wettelijke grond voor de verwerking?
Verwerking van persoonsgegevens is gebaseerd op een van de volgende wettelijke grondslagen: toestemming, overeenkomst, de wet, publiekrechtelijke taak, vitaal belang van de betrokkene, of gerechtvaardigd belang.
3) Dataminimalisatie
De persoonsgegevens die de instelling verwerkt moeten redelijkerwijs nodig zijn om het doel te bereiken. De gegevens moeten in verhouding staan tot het doel (‘proportioneel’) en het doel kan niet met minder dan deze verzamelde gegevens worden bereikt (‘subsidiair’).
Het gaat er dus om dat instellingen uitsluitend gegevens verzamelen die écht nodig zijn om het doel te bereiken. Niet: zo min mogelijk gegevens, wel: alleen relevante gegevens. Dataminimalisatie heeft ook te maken met bewaartermijnen en nog meer met het vernietigen van data als het bewaartermijn is verstreken.
4) Transparantie
De student is vooraf in begrijpelijke taal geïnformeerd over wat er precies aan informatie wordt verwerkt en wat het doel daarvan is. Studenten zijn op de hoogte van hun rechten als het gaat om de verwerking van persoonsgegevens door de instelling.
5) Data-integriteit
De instelling zorgt dat bij verwerkingen, die door of namens de instelling worden uitgevoerd, de juiste persoonsgegevens op het juiste moment op de juiste plaats beschikbaar zijn. Onjuiste gegevens worden op tijd gerectificeerd of gewist.
Voorbeeld: als iemand van buitenaf zomaar de persoonsgegevens kan wijzigen, dan zijn die gegevens niet meer 'integer'. De kwaliteit van de gegevens wordt allereerst bepaald door de medewerkers die gegevens invoeren. Zij moeten de juiste instructies krijgen om verantwoordelijk met persoonsgegevens om te kunnen gaan. Ook de programma's die gebruikt worden om de gegevens in op te slaan moeten integer zijn. Door het nemen van passende technische of organisatorische maatregelen zorgt de instelling er voor dat persoonsgegevens op een passende wijze zijn beveiligd en zijn beschermd tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.