Algemene verordening gegevensbescherming (AVG)

Rechtmatigheid, behoorlijkheid en transparantie

Organisaties mogen persoonsgegevens alleen verwerken in overeenstemming met de wet. Dan is de verwerking rechtmatig. Een verwerking die niet aan de AVG voldoet, is dus onrechtmatig.

Voor betrokkenen moet het behoorlijk en transparant zijn hoe en waarom hun persoonsgegevens verwerkt worden. Zij moeten in ieder geval op de hoogte zijn van de identiteit van de organisatie die hun persoonsgegevens verwerkt. Ook moet het doel van de gegevensverwerking duidelijk zijn.

Doelbinding

Organisaties mogen persoonsgegevens alleen verzamelen met een gerechtvaardigd doel. Dat doel moet specifiek zijn en vooraf uitdrukkelijk zijn omschreven.

Het doel waarvoor een organisatie persoonsgegevens gaat verwerken, moet verenigbaar zijn met het doel waarvoor deze gegevens zijn verzameld. Oftewel: de organisatie mag de gegevens niet ineens voor een heel ander doel gebruiken.

Dataminimalisatie

Als organisaties persoonsgegevens verwerken, moeten ze daarbij uitgaan van het principe ‘zo min mogelijk’. Dat houdt bijvoorbeeld in dat de verwerking van de gegevens moet passen bij het doel. En dat de organisatie niet meer gegevens mag verwerken dan noodzakelijk is om het doel te bereiken.

Juistheid

De verwerkingsverantwoordelijke moet ervoor zorgen dat de gegevens juist zijn. En de gegevens actualiseren als dat nodig is.

Mensen kunnen ook aan organisaties vragen hun persoonsgegevens aan te passen als die niet kloppen. Dat is het recht op rectificatie.

Opslagbeperking

Organisaties moeten persoonsgegevens verwijderen zodra die niet langer nodig zijn voor het oorspronkelijke doel waarvoor ze zijn verzameld. Organisaties mogen gegevens dus maar een bepaalde tijd bewaren.

Vertrouwelijkheid en integriteit

De gegevensverwerking moet op een passende manier worden beveiligd. Voor bijzondere persoonsgegevens, zoals over iemands gezondheid, gelden extra strenge regels.