Revolutionaire principes van AVG-verwerking

Fragment uit het boek van Bruno DUMAY: GDPR DECRYPTION – Voor managers, strategische afdelingen en medewerkers van bedrijven en organisaties – Voorwoord door Gaëlle MONTEILLER

Artikel 5 is, zowel naar de letter als naar de geest, revolutionair als we eerlijk kijken naar de praktijken die vóór 2018 van kracht waren.

"Persoonsgegevens moeten worden verwerkt op een wijze die rechtmatig, behoorlijk en transparant is ten opzichte van de betrokkene" (par. 1a). Hoewel men het erover eens kan zijn dat de verwerking rechtmatig was, moet worden erkend dat de criteria van transparantie en behoorlijkheid nauwelijks in acht zijn genomen. Niemand van wie de gegevens werden verzameld, werd geïnformeerd over de methoden en doeleinden van deze verzameling. Als we nu aan deze nieuwe bepaling moeten voldoen, en dat moeten we, dan zijn de noodzakelijke veranderingen, zowel in perspectief als in de praktijk, aanzienlijk.

Paragraaf 1b van hetzelfde artikel 5 is voldoende om ons te verbazen, sorry, te verlichten, nog meer: "Persoonsgegevens moeten worden verzameld voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden en mogen niet verder worden verwerkt op een wijze die onverenigbaar is met die doeleinden." Met andere woorden, een marketingdirecteur blijft verantwoordelijk voor de gegevens die hij heeft verzameld, zelfs als het gebruik ervan in de loop der tijd verandert. En deze verandering mag niet onverenigbaar zijn met de redenen die aan de basis van de verzameling liggen. Het begrip "welbepaalde, uitdrukkelijk omschreven doeleinden" zou op zichzelf, indien strikt begrepen door een magistraat, de verzamelde persoonsgegevens kunnen reduceren tot eenmalig gebruik.

Paragraaf 1c is ook niet verkeerd: "Persoonsgegevens moeten toereikend, ter zake dienend en beperkt zijn tot wat noodzakelijk is voor de doeleinden waarvoor ze worden verwerkt (dataminimalisatie)." Geen allesomvattende strategieën en uitgebreide zoekacties meer om zoveel mogelijk informatie te verzamelen. Elke bewerking moet worden afgestemd op een specifiek doel, en dat doel alleen. De filosofie van de tekst komt hier weer naar voren: het gaat erom de verspreiding van persoonsgegevens zoveel mogelijk te beperken, zodat geen enkel individu kan beweren dat informatie over hem of haar zonder zijn of haar toestemming is gestolen.

Ook de bewaartermijn valt hieronder (artikel 5, lid 1e): deze mag niet langer zijn dan "noodzakelijk is voor de doeleinden waarvoor ze worden verwerkt". Dit impliceert, laten we duidelijk zijn, de vernietiging van de gegevens na gebruik; dit is, laten we toegeven, niet onze gewoonte.

De rechtmatigheid van de verwerking heeft nu een basis, zoals vermeld in artikel 6, dat zes voorwaarden opsomt, waarvan er ten minste één moet zijn vervuld. De laatste vier zijn gewijd aan niet-commerciële kwesties, alleen de eerste twee zijn van belang. Ofwel "de betrokkene heeft toestemming gegeven voor de verwerking van persoonsgegevens voor een of meer specifieke doeleinden", ofwel "de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen". Het is dus duidelijk: voor het gebruik van persoonsgegevens is toestemming of een overeenkomst essentieel. Voor een minderjarige jonger dan 16 jaar, een leeftijd die de lidstaten kunnen verlagen tot 13 jaar (Frankrijk heeft onlangs gekozen voor een numerieke meerderjarigheid op 15 jaar), moet de toestemming worden gegeven door de persoon die de ouderlijke verantwoordelijkheid draagt (art. 8-1). Wanneer kinderen worden aangesproken, moeten termen worden gekozen op basis van leeftijd, zodat ze gemakkelijker te begrijpen zijn (art. 12-1).

In geval van een geschil ligt de bewijslast voor de toestemming bij de verwerkingsverantwoordelijke, niet bij degene die zich benadeeld acht (art. 7). Bovendien is er in de strikte regels van de AVG alles in het werk gesteld om de toezichthoudende autoriteit de middelen te geven om te beoordelen of er daadwerkelijk toestemming is gegeven en waarvoor.

Er is geen ruimte meer voor dubbelzinnigheid, waar iedereen al twintig jaar mee speelt: "Indien de toestemming van de betrokkene wordt gegeven in het kader van een schriftelijke verklaring die ook betrekking heeft op andere aangelegenheden, moet het verzoek om toestemming worden gepresenteerd in een vorm die deze duidelijk onderscheidt van deze andere aangelegenheden, in een begrijpelijke en gemakkelijk toegankelijke vorm, en in duidelijke en eenvoudige bewoordingen geformuleerd" (art. 7-2). Deze toestemming kan te allen tijde worden ingetrokken. En het is verboden om het gebruik van deze mogelijkheid te compliceren: "Het intrekken van de toestemming is even eenvoudig als het geven ervan" (art. 7-3).

Dit is niet nieuw, althans niet in Frankrijk, maar wordt duidelijk bevestigd in artikel 9: verwerking die de raciale of etnische afkomst, politieke opvattingen, godsdienstige overtuigingen, gezondheid of seksuele geaardheid van de betrokkenen onthult, is verboden (art. 9-1), behalve in tien specifieke gevallen die verband houden met het arbeidsrecht of het algemeen belang. Eén van deze uitzonderingen is interessant en verrassend, omdat deze afwijkt van het beschermende karakter van de tekst: wanneer de gegevens "kennelijk openbaar zijn gemaakt door de betrokkene" (art. 9-2e). In dat geval kan zogenaamde gevoelige informatie worden onthuld; wat, gezien het heersende exhibitionisme, veel mensen kan treffen.