Arno van den Hof
‘Dat de AVG in 2018 is ingegaan, betekent niet dat ook alle organisaties zich eraan houden. Een belangrijk onderdeel van de AVG is niet meer gegevens verzamelen dan nodig.’ zegt Arno van den Hof, Algemeen Directeur Junglemap Benelux.
De AVG is hierover heel duidelijk: Persoonsgegevens die worden verwerkt of opgeslagen moeten "adequaat, relevant en niet te uitgebreid zijn in relatie tot het doel". In gewone taal betekent dit dat we nooit meer persoonsgegevens mogen verzamelen dan nodig.
Er is steeds meer aandacht voor datagedreven werken, ontwikkeling en innovatie. En dat is niet zo vreemd. Bij goed gebruik kunnen we veel baat hebben bij het analyseren van gebruikersgegevens om een beter inzicht te krijgen in hoe onze medewerkers onze diensten gebruiken bijvoorbeeld.
Zodra je persoonsgegevens gaat verwerken, moet je hiervoor een gerechtvaardigd doel hebben. Met andere woorden: het is niet toegestaan om persoonsgegevens te verzamelen voor nog onbepaalde, mogelijk toekomstige behoeften of toepassingen. Zoveel mogelijk gegevens verzamelen omdat dit in de toekomst wel nuttig kan zijn. Of ‘gewoon’ omdat het kan.
De Nederlandse Autoriteit Persoonsgegevens (AP) geeft ons zes stappen op om grip te krijgen op de AVG en de eerste twee stappen lichten we hieronder uit:
Stap 1: Persoonsgegevens mogen alleen worden verwerkt in overeenstemming met de wet.
Voor de betrokkene (degene over wie de gegevens gaan) moet het transparant zijn hoe en waarom de persoonsgegevens verwerkt worden.
Stap 2: Persoonsgegevens mogen alleen verzameld worden met een gerechtvaardigd doel.
De AVG vereist dat je duidelijk het doel beschrijft, voordat de verwerking van gegevens begint. Daarna mogen de persoonsgegevens die je hebt verzameld ook echt alleen voor de verwerkte doeleinden worden gebruikt. Het is niet toegestaan om meer persoonsgegevens te verwerken dan nodig is voor de door jou gekozen doelen. Dit wordt dataminimalisatie genoemd en is een van de basisprincipes van de AVG. Elk doel moet ook specifiek en concreet worden beschreven. Je moet dus altijd een duidelijk antwoord kunnen geven op de vraag: met welk doel (of doelen) verwerk je deze gegevens?
Bijna vijf jaar na de lancering van de AVG zou dat in ons systeem moeten zitten. Tenminste, dat zou je denken. In de praktijk blijkt dit vaak niet zo te zijn. Velen hebben dit wel eens gehoord en uitgelegd gekregen, maar zijn het alweer vergeten, of het is met het verstrijken van de tijd behoorlijk weggezakt. Het is belangrijk dat we hier in onze bedrijfsprocessen steeds bewust van zijn, daarom stimuleren wij om hier het hele jaar door aandacht aan te besteden.
We hebben een paar weken terug de 2023-versie van onze Privacy- en AVG bewustwordingslessen gelanceerd, waarbij we NanoLearning gebruiken als laagdrempelige methode om bewustzijn te creëren. Uiteindelijk hangt een goed functionerende privacybescherming binnen je organisatie voornamelijk af van de mindset van alle werknemers. Medewerkers die zich steeds afvragen: handelen we nu met de juiste doelen in ons achterhoofd en verzamelen we niet meer gegevens dan hiervoor nodig zijn?
