Verwerken van persoonsgegevens

Persoonsgegevens mogen alleen worden verwerkt voor uitdrukkelijk omschreven en gerechtvaardigde doelen. De AVG geeft regels over welke doelen gerechtvaardigd zijn. Elke verwerking van persoonsgegevens moet teruggevoerd kunnen worden op één van de verwerkingsgrondslagen die in artikel 6 van de AVG worden genoemd.

Verwerkingsgrondslagen in de AVG

De verwerking van persoonsgegevens is rechtmatig wanneer verwerking plaatsvindt op een van de volgende gronden:

  • toestemming van betrokkene;
  • ter uitvoering van een overeenkomst waarbij de betrokkene partij is;
  • ter nakoming van een wettelijke verplichting waaraan de organisatie onderworpen is;
  • ter vrijwaring van een vitaal belang van betrokkene;
  • de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van openbaar gezag (overheid);
  • de behartiging van het gerechtvaardigde belang van de organisatie die persoonsgegevens verwerkt, tenzij het belang of de grondrechten en de fundamentele vrijheden van de betrokkene zwaarder wegen.

De verwerking van persoonsgegevens moet noodzakelijk zijn voor het doel dat daarmee wordt beoogd. Dit vloeit voort uit de beginselen van doelbinding en minimale gegevensverwerking (artikel 5, lid 1 onder b en c, AVG). Is de verwerking van persoonsgegevens niet noodzakelijk voor het daarmee beoogde doel, dan kan de verwerking alleen plaatsvinden op basis van toestemming.

Bijzondere categorieën van persoonsgegevens

Bijzondere categorieën van persoonsgegevens zijn gegevens over iemands ras, etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, lidmaatschap van een vakbond, genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, gezondheidsgegevens en gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid (artikel 9 AVG).

De verwerking van deze gegevens is verboden, tenzij wordt voldaan aan bepaalde voorwaarden (artikel 9, tweede lid, AVG). De situaties waarin bijzondere categorieën van persoonsgegevens wel mogen worden verwerkt is uitgewerkt in de Uitvoeringswet AVG.

Strafrechtelijke persoonsgegevens

Strafrechtelijke persoonsgegevens (strafrechtelijke veroordelingen en strafbare feiten) of daarmee verband houdende veiligheidsmaatregelen mogen alleen worden verwerkt onder verantwoordelijkheid van de overheid of wanneer verwerking is toegestaan bij Unierechtelijke of lidstaatrechtelijke bepalingen (artikel 10 AVG).

Nationaal identificatienummer (BSN)

Een nummer dat ter identificatie van een persoon bij wet is voorgeschreven, mag alleen worden gebruikt ter uitvoering van die wet of voor doeleinden die in de wet zijn vastgelegd (artikel 46 Uitvoeringswet AVG). Het burgerservicenummer dat aan iedere Nederlander is toegekend, mag dus alleen worden verwerkt wanneer dat in de wet geregeld is.

Bewaren van persoonsgegevens

Persoonsgegevens bewaren is slechts toegestaan voor zover dit noodzakelijk is voor de verwerkelijking van het doel waarmee zij worden verzameld of verwerkt. Dit is een algemene regel waarvan de uitwerking per situatie kan verschillen. Is het doel waarvoor de persoonsgegevens zijn verwerkt niet meer aanwezig, dan dienen deze te worden verwijderd. Langer bewaren mag dan alleen als de identificeerbare kenmerken worden verwijderd. De Archiefwet 1995 is van toepassing. Deze wet kent geen algemene bewaartermijn. Ieder overheidsorgaan dient over een selectielijst te beschikken. Hierin staat welke stukken op termijn vernietigd moeten worden en welke voor altijd bewaard moeten blijven.

Voor persoonlijke gegevens, zoals naam, adres, woonplaats, burgerlijke staat, samenleving/partnerschap, geldt een bewaarplicht van tien jaar. Gegevens zoals loonbelastingverklaringen, loonstroken moeten tot zeven jaar na het einde van het dienstverband worden bewaard. Sollicitatiegegevens van geweigerde kandidaten moeten vier weken na afronding van de procedure worden verwijderd, tenzij toestemming is verleend voor het langer bewaren met het oog op een mogelijke toekomstige vacature. Het gaat bij sollicitatiegegevens in ieder geval om sollicitatiebrieven, formulieren, CV’s, referenties, getuigschriften en gegevens uit psychologisch onderzoeken. Persoonsgegevens mogen langer worden opgeslagen wanneer dat gebeurt met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden.

Vragen?

Wij helpen u graag als u vragen heeft over het verzamelen of bewaren van persoonsgegevens, zoals:

  • Valt de reden van verwerking van persoonsgegevens onder één van de grondslagen van de AVG?
  • Is de verwerking van persoonsgegevens noodzakelijk?
  • Mag of moet u de persoonsgegevens bewaren en hoe lang?
  • Is er sprake van bijzondere persoonsgegevens?
  • Mag ik bijzondere persoonsgegevens verzamelen ondanks het verbod daarop in artikel 9 AVG?
  • Mag ik het BSN-nummer vragen en vastleggen?

Advies nodig?

Bel ons: 079-3631919 of stuur een mail. Wij helpen u graag.

Ontvang ons cursusaanbod

Volg ons op social media

Gerelateerde referentieprojecten

Privacyreglement opstellen voor landelijke toezichthouder

Privacyreglement opstellen voor landelijke toezichthouder

Een landelijke toezichthouder zoekt een privacy jurist die wordt ingezet om een reglement uit te werken dat uitvoering geeft aan de wettelijke vereisten voor de gegevensuitwisseling. Vijverberg levert voor een periode van drie maanden gedurende…
Handleiding voor publicatie persoonsgegevens op internet

Handleiding voor publicatie persoonsgegevens op internet

De gemeente Purmerend wil voorkomen dat persoonsgegevens van burgers die een zienswijze hebben ingediend in strijd met de Wet bescherming persoonsgegevens (Wbp), op internet worden gepubliceerd en vraagt Vijverberg om ondersteuning. Onze adviseur inventariseert wat…

Ontvang onze publicaties

Volg ons op social media