ZyLAB Blog - Nederlands

Beginselen van de AVG en interne onderzoeken

Geschreven door Jelle Oorebeek | 19 mei 2020 8:30:00 Z

De Algemene Verordening Gegevensverwerking, beter bekend als de AVG, is Europese wetgeving die bedoeld is om persoonsgegevens van burgers te beschermen. Het verleent bepaalde bevoegdheden aan de overheid om gegevens te verwerken, maar schrijft ook regels voor die door hen in acht moeten worden genomen.


Bekijk hieronder de video-samenvatting van deze blogpost: 

Niet alleen de overheid, maar ook interne onderzoekers moeten zich aan de AVG houden. In de vorige blog is al besproken dat een intern onderzoeker bij een fraudeonderzoek ook te maken krijgt met persoonsgegevens en de verwerking daarvan. In deze blog zal worden uitgelegd welke regels een intern onderzoeker moet volgen bij het verwerken van persoonsgegevens.

Beginselen

In een eerdere blog over de beginselen van een intern onderzoek, schreef ik al dat er sprake is van bepaalde beginselen die moeten worden gevolgd tijdens een intern onderzoek. Bij het verwerken van persoonsgegevens zijn ook meerdere beginselen van toepassing. Met beginselen worden principes bedoeld, normen en waarden waar een intern onderzoeker zich aan dient te houden. Bij het verwerken van persoonsgegevens zijn deze als volgt:

  • Het beginsel van rechtmatigheid, behoorlijkheid en transparantie;
  • Het doelbindingsbeginsel;
  • Het gegevensminimalisatiebeginsel;
  • Het opslagbeperkingsbeginsel;
  • Het juistheidsbeginsel;
  • Het beginsel van integriteit en vertrouwen;
  • Het verantwoordingsbeginsel.

De beginselen van de AVG staan opgenomen in artikel 5 lid 1 AVG.

Rechtmatig, behoorlijk en transparant

Het verwerken van persoonsgegevens moet op een rechtmatige, behoorlijke en transparante manier gebeuren. Dit betekent allereerst dat er een rechtmatige grond moet zijn voor het verwerken van gegevens. Gerechtvaardigde gronden staan opgenomen in artikel 6 lid 1 van de AVG.
Daarnaast moet er in duidelijke en begrijpelijke taal gecommuniceerd worden over welke gegevens worden verwerkt en op welke manier dit wordt gedaan. Als laatste moet op grond van dit beginsel een onderzoeker transparant zijn over het verwerken van de gegevens. Dit betekent dat betrokkenen van te voren op de hoogte moeten worden gesteld van de verwerking van zijn of haar gegevens, en ook van de rechten die hij of zij kan uitoefenen onder de AVG.

In de praktijk blijkt dat bij interne onderzoeken de rechten van betrokkenen soms beperkt worden. Op grond van artikel 23 lid 1 sub i AVG en artikel 41 lid 1 sub i UAVG (Uitvoering Algemene Verordening Gegevensbescherming), is dit rechtmatig als het noodzakelijk is voor de bescherming van de betrokkene of de rechten en vrijheden van anderen.

Doelbinding, gegevensminimalisatie en opslagbeperking

Het doelbindingsbeginsel houdt in dat gegevens voor een specifiek en gerechtvaardigd doel moeten worden gebruikt. Gegevens mogen niet zomaar voor andere doeleinden worden gebruikt. In het geval van een fraudeonderzoek zal het doel over het algemeen zijn om uit te vinden wie de fraude heeft gepleegd en wie er bij betrokken zijn, wat de omvang en schade van de fraude is en hoe de fraude gestopt kan worden.

Het gegevensminimalisatiebeginsel is bedoeld om betrokkenen te beschermen tegen een te grote inbreuk op hun privésfeer. Bij het verwerken van gegevens moet er altijd geprobeerd worden om alleen de noodzakelijke gegevens te verwerken. Dit zorgt ervoor dat er zo min mogelijk persoonlijke gegevens worden verwerkt.

Het beginsel van opslagbeperking betekent dat persoonlijke gegevens niet langer mogen worden bewaard dan noodzakelijk is. Ze moeten worden verwijderd nadat het doel van de onderzoeker is bereikt en de gegevens niet meer nodig zijn.

Juistheid

Het juistheidsbeginsel omvat de correctheid en actualiteit van de gegevens die worden verwerkt. Als er foutieve gegevens worden verwerkt, dan heeft de onderzoeker de plicht maatregelen te nemen om de fout te herstellen. Een manier om dit te doen is bijvoorbeeld het horen en wederhoren van de betrokkene. De betrokkene heeft dan de kans om de persoonsgegevens in te zien en eventuele fouten aan te geven.

Integriteit en vertrouwen

Het integriteits- en vertrouwensbeginsel is gericht op de professionaliteit van de onderzoeker. Dit beginsel waarborgt de bescherming van verwerkte persoonsgegevens. Een onderzoeker moet maatregelen nemen die ervoor zorgen dat gegevens beschermd zijn tegen onrechtmatige of ongeoorloofde verwerking, onopzettelijk verlies, beschadiging of vernieling.

Verantwoordingsbeginsel

Als laatste is er het verantwoordingsbeginsel. Dit beginsel slaat op alle bovengenoemde beginselen. Een onderzoeker moet op grond van het verantwoordingsbeginsel aantonen dat er, bij het verwerken van persoonsgegevens, is voldaan aan alle beginselen van de AVG. Als dit niet zo is, dan is het verwerken van persoonsgegevens niet rechtmatig verlopen.

Gegevensbescherming

Om te voldoen aan deze beginselen, heeft de Autoriteit Persoonsgegevens besloten dat bij een heimelijk onderzoek, het bestrijden van fraude en het controleren van werknemers een DPIA verplicht is. DPIA staat voor Data Protection Impact Assessment, en heet in het Nederlands ook wel een gegevensbeschermingseffectbeoordeling. De DPIA is ook opgenomen in de AVG in artikel 35.

Een DPIA is een beoordeling van het verwerken van persoonsgegevens. In een beoordeling moet minimaal een systematische beschrijving worden gegeven van de beoogde verwerkingen en de doeleinden hiervan, een beoordeling van de noodzaak en evenredigheid van de verwerking, de risico’s op de rechten en vrijheden van betrokkenen en de beoogde maatregelen om deze risico’s in te perken.

Onderzoeksmiddelen

Een intern onderzoeker is gebonden aan regels en beginselen bij het uitvoeren van een onderzoek. Bij het doen van zijn onderzoek zal een intern onderzoeker deze regels altijd in zijn achterhoofd moeten houden. Inmiddels heb ik al meerdere blogs over deze regels geschreven. Vanaf de volgende blog zal ik meer ingaan op de bevoegdheden van een intern onderzoeker. In de aankomende blog komen de onderzoeksmiddelen die een intern onderzoeker mag inzetten bij een onderzoek aan bod.