Onderhouden van een privacybeleid Ex art 5 GDPR

In deze vierde van dertien blogs uit deze serie over de GDPR gaan we het hebben over privacybeleid en in het bijzonder over de zes beginselen die zijn neergelegd in artikel 5 GDPR.

Privacybeleid gaat over het begeleiden van de verwerking en bescherming van persoonsgegevens binnen een organisatie. Daarbij spelen een hele reeks van GDPR-bepalingen een rol waarvan de zes beginselen neergelegd in artikel 5 de basis vormen.

Welke zijn die zes beginselen?

1. De verwerking van persoonsgegevens moet rechtmatig, behoorlijk en transparant zijn.

In Jip en Janneke taal moet aan de betrokkene duidelijk zijn gemaakt hoe zijn persoonsgegevens worden gebruikt. Dit op een manier waardoor de betrokkene de risico’s en de voor hem geldende regels en waarborgen kan kennen en hoe hij de hem toekomende rechten kan uitoefenen.

2. Het verzamelen van persoonsgegevens moet op grond van welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden plaatsvinden en de verdere verwerking ervan mag niet met die doeleinden onverenigbaar zijn.

‘Welbepaald’, als op het ogenblik van verzamelen volledig omschreven; ‘Gerechtvaardigd’, als het hebben van een reden die het inperken van de privacyrechten rechtvaardigt (Denk bijvoorbeeld aan een kunstenaar die in vrijheid uiting geeft aan zijn kunstzinnige mening maar dit doet ten koste van de inbreuk op de privacy); en ‘Verenigbaar’, als het verwerken binnen de doelen (niet onverenigbaar) die aan de betrokkenen zijn medegedeeld op het moment van verzamelen.

3. De verwerking moet ter zake dienend en beperkt zijn tot wat noodzakelijk is voor de doeleinden.

Het gaat hier over ‘actieve dataminimalisatie’: of alle verzamelde persoonsgegevens wel verwerkt ‘moeten’ worden; welk aggregatieniveau hiervoor nodig is; en hoe lang data bewaard mag blijven.

4. De verwerking moet juiste en zonodig actuele persoonsgegevens omvatten.

Het gaat hier over een inspanningsverplichting van de verwerkingsverantwoordelijke. Hij moet ervoor zorgen dat de zich onder hem bevindende persoonsgegevens juist zijn.

5. Het bewaren in een identificerende vorm moet niet langer duren dan voor de verwerking nodig.

De GDPR kent geen bewaartermijnen. Toch wordt van de verwerkingsverantwoordelijke gevraagd te bepalen wanneer de bewaartermijn ten einde is, waarbij nadrukkelijk ook gekeken moet worden naar andere wetten waarin wel bewaartermijnen worden benoemd.

6. De beveiliging moet door het nemen van passende technische en organisatorische maatregelen zijn gewaarborgd.

Het gaat hier over het nemen van passende maatregelen die het beginsel van integriteit en vertrouwelijkheid borgen c.q. ongeoorloofde toegang of ongeoorloofd gebruik voorkomen. Denk hierbij aan oplossingen als firewalls en beveiligde verbindingen.

Wat zijn de gevolgen bij niet naleving?

Het niet naleven van (een van) deze zes beginselen kan leiden tot het ex art. 83.5a GDPR opleggen van een administratieve boete van max. € 20.000.000 of in het geval van een onderneming tot 4% van de totale wereldomzet, indien dit tot een hoger bedrag leidt.

In het geval van bijvoorbeeld Facebook zou dit, gezien de omzet van 2016, uitkomen op een administratieve boete van circa € 1 miljard. Waarbij de bewijslast of de zes beginselen al dan niet zijn nageleefd volledig bij Facebook ligt.

Facebook komt hierdoor niet in financiële problemen. Dit ligt natuurlijk anders voor de gemiddelde MKB+ organisatie, reden waarom iedere verwerkingsverantwoordelijke er voor moet zorgen invulling te gegeven aan deze zes basisregels. Niemand wil tenslotte een bedrijfsbedreigende boete oplopen?