Wat mag niet van de AVG?

Achter de Streep: Wat de AVG Onverbiddelijk Verbiedt

De Algemene Verordening Gegevensbescherming, beter bekend als de AVG, is inmiddels geen onbekende meer. Deze Europese wetgeving, die in 2018 van kracht werd, heeft het speelveld voor de verwerking van persoonsgegevens drastisch veranderd. Maar wat mag nu eigenlijk absoluut niet volgens de AVG? En waar ligt die duidelijke, soms onzichtbare, streep?

De kern van de AVG draait om de bescherming van de privacy van individuen en de controle die zij hebben over hun eigen data. Dit betekent dat organisaties niet zomaar met persoonsgegevens aan de haal mogen gaan. Er zijn concrete verboden en grenzen die strikt nageleefd moeten worden.

Geen data hamsteren zonder noodzaak: Het eerste en meest fundamentele verbod is het verzamelen en opslaan van persoonsgegevens zonder een legitiem en welomschreven doel. De AVG eist dat organisaties enkel gegevens verzamelen die strikt noodzakelijk zijn voor de taak die ze willen uitvoeren. Een webshop die naast adresgegevens ook vraagt naar iemands politieke voorkeur, overschrijdt bijvoorbeeld duidelijk de grens. Data hamsteren “voor het geval dat” is dus ten strengste verboden.

Geen verwerking zonder rechtvaardiging: Simpelweg persoonsgegevens verzamelen is niet genoeg; de verwerking ervan moet gebaseerd zijn op een wettelijke grondslag. Denk hierbij aan:

• Toestemming: De betrokkene heeft expliciet en ondubbelzinnig toestemming gegeven voor de verwerking. Let wel, toestemming moet vrijwillig, specifiek, geïnformeerd en ondubbelzinnig zijn.
• Contractuele verplichting: De verwerking is noodzakelijk voor de uitvoering van een contract met de betrokkene.
• Wettelijke verplichting: De organisatie is wettelijk verplicht om de persoonsgegevens te verwerken.
• Vitaal belang: De verwerking is noodzakelijk om de vitale belangen van de betrokkene of een andere persoon te beschermen.
• Taak van algemeen belang: De verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of in het kader van de uitoefening van openbaar gezag.
• Gerechtvaardigd belang: De verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de organisatie of een derde, tenzij de belangen of grondrechten van de betrokkene zwaarder wegen.

Het zonder geldige grondslag verzamelen of gebruiken van persoonsgegevens is dus een absolute no-go.

Geen oneindige bewaring: Ook als gegevens met een geldige reden zijn verzameld, betekent dit niet dat ze voor eeuwig bewaard mogen worden. De AVG vereist dat persoonsgegevens niet langer bewaard worden dan nodig is voor het doel waarvoor ze zijn verzameld. Een verouderde database met klantgegevens van tien jaar geleden, die niet meer actief gebruikt wordt, moet dus worden opgeschoond.

Geen gebrek aan transparantie: De AVG verplicht organisaties tot transparantie over de verwerking van persoonsgegevens. Dit betekent dat betrokkenen geïnformeerd moeten worden over welke gegevens worden verzameld, hoe deze worden gebruikt, wie er toegang toe heeft en hoe lang ze worden bewaard. Verborgen praktijken en onduidelijke privacyverklaringen zijn dan ook onacceptabel.

Conclusie:

De AVG is meer dan alleen een lastige verplichting; het is een cruciale wetgeving die de privacy van individuen waarborgt. Door te begrijpen wat de AVG verbiedt – het onnodig verzamelen van data, het verwerken zonder rechtvaardiging, het oneindig bewaren en het ontbreken van transparantie – kunnen organisaties niet alleen boetes vermijden, maar ook het vertrouwen van hun klanten winnen en hun reputatie beschermen. Het naleven van de AVG is dus niet alleen een wettelijke verplichting, maar ook een teken van ethisch en verantwoordelijk ondernemerschap.