GDPR in mensentaal

15/05/2019 Thomas Verlinden

Bedrijven en organisaties die persoonlijke gegevens verwerken, zijn maar beter goed op de hoogte van de wetgeving errond. Sinds 2018 zijn organisaties namelijk onderworpen aan de GDPR (General Data Protection Regulation) of AVG (Algemene Verordening Gegevensbescherming). Een hoop regeltjes vol moeilijke woorden die we graag voor jou verduidelijken.

Mei 2018 zal herinnerd worden als een internationaal paniekmoment, zowel bij grote als kleine bedrijven. De beruchte GDPR ging van kracht, niemand wist wat te verwachten en er werd gedreigd met monsterboetes. Kort gezegd kwam deze wet tot stand om de persoonlijke gegevens van Europese burgers te beschermen. Organisaties die goederen of diensten in de Europese Unie aanbieden, moeten kunnen aantonen welke gegevens ze verzamelen en hoe ze die data gebruiken, opslaan en beveiligen.

Het klopt dat de sancties flink kunnen oplopen (internetgigant Google kreeg in januari 2019 een boete van maar liefst 50 miljoen euro voorgeschoteld), maar panikeren is niet nodig. Het is namelijk niet zo moeilijk om je bedrijf en de manier waarop je persoonlijke gegevens verwerkt GDPR-proof te maken.

Alle gegevens die betrekking hebben op je individuele contacten (klanten, werknemers, leveranciers, prospecten) vallen onder deze wet. Denk maar aan veel gevraagde gegevens als naam, geslacht, geboortedatum en adres. Dit geldt ook voor ook online gegevens (zoekgeschiedenis of cookies), financiële gegevens, juridische informatie, medische gegevens, sociale media, religieuze informatie, publicatie van foto’s of video’s, winkelgedrag of personeelsbestanden.

Gegevens beveiligen

Elke organisatie is verplicht om haar verzamelde persoonsgegevens actief te beveiligen tegen hackers en datalekken. Dat kan met de nodige technische ondersteuning, maar organisatorisch kunnen ook maatregelen genomen worden. Laat je beveiligingsmaatregelen regelmatig testen door een expert.

Toestemming

Om persoonlijke gegevens te verzamelen of gebruiken, moet de betrokkene eerst toestemming geven. Het is daarbij belangrijk dat duidelijk omschreven wordt met welk doeleinde de gegevens gebruikt zullen worden. Wil je gegevens voor meerdere doeleinden tegelijk opvragen, dan is het noodzakelijk voor elk doeleinde apart toestemming te vragen.

Doeleinden

Organisaties mogen enkel gegevens opvragen die relevant zijn voor hun doeleinden. Gegevens die je niet kan gebruiken, mag je niet opvragen.

Gegevens mogen ook niet voor andere doeleinden gebruikt worden dan de doeleinden waarvoor ze verkregen zijn, tenzij deze doeleinden verenigbaar zijn. In de wettekst wordt niet gespecifieerd wat ‘verenigbaar’ juist inhoudt, maar er zijn wel een aantal zaken waarmee je rekening moet houden:

  • Ten eerste kan je voor jezelf de oefening maken of je een verband kan leggen tussen de doeleinden; bij twijfel vraag je beter opnieuw toestemming aan de betrokkene.
  • Daarnaast kan je ook naar de context kijken waarin de gegevens verkregen werden. De relatie tussen jou en de betrokkene kan hierbij van belang zijn.
  • Houd zeker ook rekening met de aard van de gegevens. Sommige zaken liggen nu eenmaal iets gevoeliger dan andere. Je kan eventueel werken met pseudoniemen of versleuteling van bepaalde gegevens.
  • Maak ook een keer de denkoefening wat de gevolgen zijn voor de betrokkene als je de gegevens verder verwerkt.

Recht op inzage

Elk individu van wie een organisatie gegevens verzameld heeft, heeft recht om deze gegevens in te kijken en aan te passen. Het moet ook mogelijk zijn om ‘vergeten’ te worden en alle persoonlijke gegevens uit de databank te laten wissen.

Het is ook belangrijk dat de betrokkene toegang heeft tot de informatie over de manier waarop de gegevens opgeslagen worden, ook als dat in the cloud buiten de EU gebeurt. Je moet dus een toegankelijke tekst voorzien waarin in duidelijk en ondubbelzinnig taalgebruik uitgelegd wordt hoe gegevens worden verwerkt en opgeslagen. Deze tekst moet ook info bevatten over eventuele risico’s, regels, garanties en rechten.

Meldplicht bij datalek

Loopt er toch iets mis met de beveiliging van je databank, dan ben je als organisatie verplicht om dit binnen de 72 uur te melden bij de Gegevensbeschermingsautoriteit (de vroegere Privacycommissie).

Bij groot gevaar voor de privacy of veiligheid van de betrokkene(n), moet de organisatie deze personen ook rechtstreeks op hoogte brengen.

Aanstellen van een DPO

Sommige organisaties zijn verplicht een DPO (Data Protection Officer) aan te stellen. Deze persoon kijkt erop toe of de GDPR wordt nageleefd en geeft advies bij de uitvoering ervan binnen zijn bedrijf. De DPO is echter niet de eindverantwoordelijke en is dus niet aansprakelijk bij eventuele datalekken of overtredingen. Het is dus van belang dat ook elke werknemer die toegang heeft tot persoonlijke gegevens op de hoogte is van de GDPR. Beperk eventueel de toegang voor werknemers die niet met de gegevens moeten werken.

De wettekst vermeldt niet welke organisaties juist verplicht zijn om een DPO aan te stellen. Enkel overheidsbedrijven en organisaties die strafrechtelijke data verwerken moeten een GDPR-verantwoordelijke opgeven. De wet geeft wel een aantal richtlijnen, waaruit je kan afleiden dat een DPO verplicht is:

  • De kernactiviteit van je organisatie bestaat uit het verzamelen van gegevens. Als je organisatie niet kan functioneren zonder databank met persoonlijke gegevens, heb je een DPO nodig.
  • Als je data op ‘grote schaal’ verwerkt, moet je een verantwoordelijke aanstellen. De wet geeft opnieuw geen concrete omschrijving, maar vermeldt wel dat gegevens die op ‘regionaal, nationaal of supranationaal niveau’ verzameld worden hieronder vallen. Een beetje nattevingerwerk dus.
  • Bedrijven die aan ‘regelmatige en stelselmatige observatie doen’ vallen ook onder deze categorie. Houdt jouw bedrijf gebruikers herhaaldelijk of constant in de gaten, of doe je aan (online) tracking of profilering? Dan is een DPO verplicht.

Bewaartermijn

Je mag gegevens maar zolang bewaren als noodzakelijk is voor het vooropgestelde doeleinde. Daarna moeten gegevens worden gewist of hernieuwd. Als je door de wet verplicht wordt om gegevens langer te bewaren (bijvoorbeeld door arbeids- of belastingwetten), kan je de data uiteraard langer behouden.

Je mag gegevens langer bewaren voor archivering of wetenschappelijk of historisch onderzoek, maar dan moet je die wel anonimiseren of versleutelen.


relatedBlogs

Nieuwe juridische opleidingen


relatedCourses


previousLabel

10 studietips voor onze studenten

nextLabel

Last-minute studietips

mostRead


Laat je baas je opleiding betalen!

21/02/2019

10 studietips voor onze studenten

06/05/2021

Apps om je productiviteit te verbeteren: social media blocks

04/03/2019

relatedCourses


Digitale Marketing - Allround

Schrijf je in voor de cursus Online Marketing en word veelzijdig Digital Marketeer.

Marketing

Ga voor de studie Marketing en lanceer je carrière als Marketeer.

Marketing Basis

Schrijf je in voor de cursus Marketing Basis en start je eigen bedrijf.

Digitale Marketing - Allround

Volg een praktijkgerichte cursus Digitale Marketing in jouw buurt.

Wetgeving gegevensdata GDPR

Volg de opleiding GDPR en word een krak in je vak als Privacy-expert.

studyCategories


Wetgeving & Recht

Marketing & Communicatie

blogTags


GdprPrivacyWetgevingRechtEuropa

blogShare


fCompareCourses

fCompareMax3Courses

-
0