Rechtmatig

Het verwerken van persoonsgegevens is alleen toegestaan als de verwerking “rechtmatig” is. Dat is het geval als aan ten minste 1 van de voorwaarden, zoals genoemd in Artikel 6 van de AVG, is voldaan. Als dat niet het geval is, ontbreekt de rechtmatigheid en is de verwerking dus wettelijk niet toegestaan. 

Passende technische en organisatorische maatregelen
Als betrokkene moet De wet gaat er van uit dat jij, als betrokkene, er van op aan kunt, dat de organisatie jouw persoonsgegevens alleen gebruikt voor het doel waarvoor je ze hebt verstrekt en dat de organisatie al het mogelijke doet om te voorkomen dat onbevoegden toegang hebben tot jouw gegevens en/of daar misbruik van kunnen maken. In plaats van “al het mogelijke” gebruikt de wet de woorden: “passende technische en organisatorische maatregelen” om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met deze verordening wordt uitgevoerd.” (Artikel 24 van de AVG).

Transparantie
De verwerkingsverantwoordelijke moet naar de betrokkene toe duidelijk en open zijn over de manier waarop de persoonsgegevens worden verzameld, gebruikt en gedeeld. Die transparantie stelt betrokkenen in staat om goed geïnformeerd toestemming te geven voor de verwerking. Die toestemming maakt de verwerking rechtmatig. Die transparantie is ook nodig om betrokkenen in staat te stellen om hun rechten uit te oefenen. De informatie moet duidelijk, beknopt en begrijpelijk zijn en als resultaat hebben dat betrokkenen een goed begrip hebben van wat zij kunnen verwachten met betrekking tot de verwerking van hun persoonsgegevens, in het bijzonder wanneer de betrokkenen kinderen of andere kwetsbare groepen zijn.

Wat zijn dat: passende technische en organisatorische maatregelen”is dat …. “passend”?
Wat “passend” is, is niet alleen ter beoordeling maar moet dat kunnen aantonen ……..

…… beJij hebt niet alleen het recht om te weten wat hier precies mee wordt bedoeld. Maar ook het recht om te weten welke passende maatregelen de organisatie waarmee jij een privacyovereenkomst aangaat (of wellicht al bent aangegaan) heeft genomen. Waar uit blijkt, dat die inderdaad passend zijn en wat de gevolgen voor jou zijn, als die dat niet zijn. Beveiligingsmaatregelen, die gisteren nog passend waren, kunnen morgen mogelijk niet meer passend zijn. Jij moet ook weten wat de organisatie doet om er voor te zorgen dat alle maatregelen “passend” blijven.

De uitleg 
Om jou in begrijpelijke taal uit te leggen wat de AVG van de organisatie verwacht en wat de organisatie daadwerkelijk doet, is zelfs voor een goedwillende verwerkingsverantwoordelijke, geen eenvoudige opgave. Maar beslist niet onmogelijk. 

Desinformatie
Veel te veel organisaties leggen niets uit en volstaan met een niets zeggende privacyverklaring waarin de voor de AVG voorgeschreven passende maatregelen zijn getroffen. Als iemand toestemming geeft zonder precies te weten waar hij of zij “JA” tegen zegt, moet je je afvragen welke waarde die gegeven toestemming heeft. In ieder geval getuigt het niet van respect voor iemand die op zoek is naar zekerheid en op het punt staat een organisatie (wel degelijk anders dan een persoon!) in vertrouwen te nemen. Desinformatie is echter slechts één van de aspecten waaruit blijkt dat weinig aandacht bestaat voor de rechtspositie van betrokkenen. Lees verder ….


https://edpb.europa.eu/system/files/2021-04/edpb_guidelines_201904_dataprotection_by_design_and_by_default_v2.0_nl.pdf