Welke gegevens mag je vragen bij AVG?

Welke gegevens mag je vragen onder de AVG?

De Algemene Verordening Gegevensbescherming (AVG) dicteert niet precies welke gegevens je mag vragen, maar wel hoe je om moet gaan met de gegevens die je verzamelt. Het gaat erom dat je je aan bepaalde principes houdt. In plaats van een lijst met toegestane gegevens, stelt de AVG strikte voorwaarden aan het verzamelen en verwerken ervan. De kernvraag is niet “Mag ik dit vragen?”, maar “Heb ik een rechtmatige grondslag om deze gegevens te verwerken?”.

Je mag dus in principe alle gegevens vragen, zolang je maar aan de volgende voorwaarden voldoet:

1. Rechtmatige grondslag: Je moet een geldige reden hebben om persoonsgegevens te verwerken. De AVG definieert zes grondslagen:

• Toestemming: De betrokkene geeft expliciet toestemming voor de verwerking van zijn of haar gegevens voor een specifiek doel. Deze toestemming moet vrij, specifiek, geïnformeerd en ondubbelzinnig zijn.
• Overeenkomst: De verwerking is noodzakelijk voor de uitvoering van een overeenkomst met de betrokkene.
• Wettelijke verplichting: Je bent wettelijk verplicht om de gegevens te verwerken.
• Vitale belangen: De verwerking is noodzakelijk om de vitale belangen van de betrokkene of een andere persoon te beschermen.
• Taak van algemeen belang: De verwerking is noodzakelijk voor de uitvoering van een taak van algemeen belang.
• Gerechtvaardigd belang: De verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van jou als verantwoordelijke of van een derde, tenzij de belangen of de grondrechten en fundamentele vrijheden van de betrokkene zwaarder wegen.

2. Data-minimalisatie: Je mag alleen gegevens verzamelen die strikt noodzakelijk zijn voor het doel waarvoor je ze verzamelt. Verzamel geen gegevens “voor het geval dat” je ze later nodig hebt.

3. Doelbinding: Je mag de verzamelde gegevens alleen gebruiken voor het doel waarvoor je ze hebt verzameld. Als je de gegevens voor een ander doel wilt gebruiken, heb je een nieuwe rechtmatige grondslag nodig.

4. Bewaartermijn: Je mag de gegevens niet langer bewaren dan noodzakelijk is voor het doel waarvoor je ze hebt verzameld.

5. Beveiliging: Je moet passende technische en organisatorische maatregelen nemen om de gegevens te beschermen tegen ongeautoriseerde toegang, gebruik, openbaarmaking, wijziging of vernietiging.

Transparantie: Zoals terecht aangegeven, moet je privacyverklaring duidelijk en toegankelijk zijn en specificeren welke gegevens je verzamelt, waarom je ze verzamelt, hoe lang je ze bewaart en met wie je ze deelt. Dit is essentieel voor het waarborgen van de rechten van betrokkenen.

Conclusie: De AVG focust op verantwoorde dataverwerking. Het is niet zozeer een kwestie van welke gegevens je mag vragen, maar hoe je met die gegevens omgaat. Door je te houden aan de principes van rechtmatigheid, data-minimalisatie, doelbinding, bewaartermijn, beveiliging en transparantie, zorg je ervoor dat je compliant bent met de AVG en de privacy van je gebruikers respecteert.