blog-post

GDPR in mensentaal

Wie persoonlijke gegevens verwerkt, is maar beter goed op de hoogte van de wetgeving errond. Sinds 2018 zijn organisaties namelijk onderworpen aan de GDPR (General Data Protection Regulation) of AVG (Algemene Verordening Gegevensbescherming). Een wettekst vol moeilijke woorden die we graag voor jou verduidelijken.

Mei 2018 zal herinnerd worden als een internationaal paniekmoment, zowel bij grote als kleine bedrijven. De beruchte GDPR ging van kracht, niemand wist wat ze konden verwachten en er werd gedreigd met monsterboetes. Kort gezegd kwam deze wet tot stand om de persoonlijke gegevens van Europese burgers te beschermen. Organisaties die goederen of diensten in de Europese Unie aanbieden, moeten kunnen aantonen welke gegevens ze verzamelen en hoe ze die data gebruiken, opslaan en beveiligen.

Het klopt dat de sancties flink kunnen oplopen (internetgigant Google kreeg in januari 2019 een boete van maar liefst 50 miljoen euro voorgeschoteld), maar panikeren is niet nodig. Het is namelijk niet zo moeilijk om je bedrijf en de manier waarop je persoonlijke gegevens verwerkt GDPR-proof te maken.

Alle gegevens die betrekking hebben tot je individuele contacten, klanten, werknemers, leveranciers, prospecten… vallen onder deze wet. Denk maar aan veel gevraagde gegevens als naam, geslacht, geboortedatum en adres. Maar ook online gegevens (zoekgeschiedenis of cookies), financiële gegevens, juridische informatie, medische gegevens, sociale media, religieuze informatie, publicatie van foto’s of video’s, winkelgedrag of personeelsbestanden vallen onder deze wet.

Gegevens beveiligen

Elke organisatie is verplicht om haar verzamelde persoonsgegevens actief te beveiligen tegen hackers en datalekken. Dat kan met de nodige technische ondersteuning, maar organisatorisch kunnen ook maatregelen genomen worden. Laat je beveiligingsmaatregelen regelmatig testen door een expert.

Toestemming

Om persoonlijke gegevens te verzamelen of gebruiken, moet de betrokkene eerst toestemming geven. Het is daarbij belangrijk dat duidelijk omschreven wordt met welk doeleinde de gegevens gebruikt zullen worden. Wil je gegevens voor meerdere doeleinden tegelijk opvragen, dan is het noodzakelijk voor elk doeleinde aparte toestemming te vragen.

Doeleinden

Organisaties mogen enkel gegevens opvragen die relevant zijn tot de doeleinden. Gegevens die je niet kan gebruiken, mag je niet opvragen. Dus enkel het absolute minimum.

Gegevens mogen ook niet voor andere doeleinden gebruikt worden dan de doeleinden waarvoor ze verkregen zijn, tenzij deze doeleinden verenigbaar zijn. In de wettekst wordt niet gespecifieerd wat ‘verenigbaar’ juist inhoudt, maar er zijn wel een aantal zaken waarmee je rekening moet houden.

  • Ten eerste kan je voor jezelf de oefening maken of je een verband kan leggen tussen de doeleinden; bij twijfel kan je beter opnieuw toestemming vragen aan de betrokkene.
  • Daarnaast kan je ook naar de context kijken waarin de gegevens verkregen werden. De relatie tussen jou en de betrokkene kan hierbij van belang zijn.
  • Houd zeker ook rekening met de aard van de gegevens. Sommige zaken liggen nu eenmaal iets gevoeliger dan andere. Je kan eventueel werken met pseudoniemen of versleuteling van bepaalde gegevens.
  • Maak ook een keer de denkoefening wat de gevolgen zijn voor de betrokkene als je de gegevens verder verwerkt.

Recht op inzage

Elk individu van wie een organisatie gegevens verzameld heeft, heeft recht om deze gegevens in te kijken en aan te passen. Het moet ook mogelijk zijn om ‘vergeten’ te worden en alle persoonlijke gegevens uit de databank te laten wissen.

Het is ook belangrijk dat de betrokkene toegang heeft tot de informatie over de manier waarop de gegevens opgeslagen worden. Ook als dat in the cloud buiten de EU gebeurt. Je moet dus een toegankelijke tekst voorzien waarin in duidelijk en ondubbelzinnig taalgebruik uitgelegd wordt hoe gegevens worden verwerkt en opgeslagen. Deze tekst moet ook info bevatten over eventuele risico’s, regels, garanties en rechten.

Meldplicht bij datalek

Loopt er toch iets mis met de beveiliging van je databank, dan ben je als organisatie verplicht om dit binnen de 72 uur te melden bij de Gegevensbeschermingsautoriteit (de vroegere Privacycommissie).

Bij groot gevaar voor de privacy of veiligheid van de betrokkene(n), moet de organisatie deze personen ook rechtstreeks op hoogte brengen.

Aanstellen van een DPO

Sommige organisaties zijn verplicht een DPO (Data Protection Officer) aan te stellen. Deze persoon kijkt erop toe of de regels van de GDPR worden nageleefd en geeft advies voor de uitvoering ervan binnen zijn bedrijf. De DPO is echter niet de eindverantwoordelijke en is dus niet aansprakelijk bij eventuele datalekken of overtredingen. Het is dus van belang dat ook elke werknemer die toegang heeft tot persoonlijke gegevens op de hoogte is van de GDPR. Beperk eventueel de toegang voor werknemers die niet met de gegevens moeten werken.

De wettekst vermeldt niet welke organisaties juist verplicht zijn om een DPO aan te stellen. Enkel overheidsbedrijven en organisaties die strafrechtelijke data verwerken moeten een GDPR-verantwoordelijke opgeven. De wet geeft wel een aantal richtlijnen, waaruit je kan afleiden dat een DPO verplicht is:

  • De kernactiviteit van je organisatie bestaat uit het verzamelen van gegevens. Als je organisatie niet kan functioneren zonder databank met persoonlijke gegevens, heb je een DPO nodig.
  • Als je data op ‘grote schaal’ verwerkt moet je een verantwoordelijke aanstellen. De wet geeft opnieuw geen concrete omschrijving, maar vermeldt wel dat gegevens die op ‘regionaal, nationaal of supranationaal niveau’ verzameld worden hieronder vallen. Een beetje nattevingerwerk dus.
  • Bedrijven die aan ‘regelmatige en stelselmatige observatie doen’ vallen ook onder deze categorie. Houdt jouw bedrijf gebruikers herhaaldelijk of constant in de gaten, of doe je aan (online) tracking of profilering? Dan is een DPO verplicht.

Bewaartermijn

Je mag gegevens maar zolang bewaren als noodzakelijk is voor het vooropgestelde doeleinde. Daarna moeten gegevens worden gewist of hernieuwd. Als je door de wet verplicht wordt om gegevens langer te bewaren (bijvoorbeeld door arbeids- of belastingwetten), kan je de data uiteraard langer behouden.

Je mag gegevens langer bewaren voor archivering of wetenschappelijk of historisch onderzoek, maar dan moet je die wel anonimiseren of versleutelen.

Delen

SCHRIJF JE IN CONTACTEER ONS