Bedrijven en organisaties die persoonlijke gegevens verwerken, zijn maar beter goed op de hoogte van de wetgeving errond. Sinds 2018 zijn organisaties namelijk onderworpen aan de GDPR (General Data Protection Regulation) of AVG (Algemene Verordening Gegevensbescherming). Een hoop regeltjes vol moeilijke woorden die we graag voor jou verduidelijken.
Mei 2018 zal herinnerd worden als een internationaal paniekmoment, zowel bij grote als kleine bedrijven. De beruchte GDPR ging van kracht, niemand wist wat te verwachten en er werd gedreigd met monsterboetes. Kort gezegd kwam deze wet tot stand om de persoonlijke gegevens van Europese burgers te beschermen. Organisaties die goederen of diensten in de Europese Unie aanbieden, moeten kunnen aantonen welke gegevens ze verzamelen en hoe ze die data gebruiken, opslaan en beveiligen.
Het klopt dat de sancties flink kunnen oplopen (internetgigant Google kreeg in januari 2019 een boete van maar liefst 50 miljoen euro voorgeschoteld), maar panikeren is niet nodig. Het is namelijk niet zo moeilijk om je bedrijf en de manier waarop je persoonlijke gegevens verwerkt GDPR-proof te maken.
Alle gegevens die betrekking hebben op je individuele contacten (klanten, werknemers, leveranciers, prospecten) vallen onder deze wet. Denk maar aan veel gevraagde gegevens als naam, geslacht, geboortedatum en adres. Dit geldt ook voor ook online gegevens (zoekgeschiedenis of cookies), financiële gegevens, juridische informatie, medische gegevens, sociale media, religieuze informatie, publicatie van foto’s of video’s, winkelgedrag of personeelsbestanden.
Elke organisatie is verplicht om haar verzamelde persoonsgegevens actief te beveiligen tegen hackers en datalekken. Dat kan met de nodige technische ondersteuning, maar organisatorisch kunnen ook maatregelen genomen worden. Laat je beveiligingsmaatregelen regelmatig testen door een expert.
Om persoonlijke gegevens te verzamelen of gebruiken, moet de betrokkene eerst toestemming geven. Het is daarbij belangrijk dat duidelijk omschreven wordt met welk doeleinde de gegevens gebruikt zullen worden. Wil je gegevens voor meerdere doeleinden tegelijk opvragen, dan is het noodzakelijk voor elk doeleinde apart toestemming te vragen.
Organisaties mogen enkel gegevens opvragen die relevant zijn voor hun doeleinden. Gegevens die je niet kan gebruiken, mag je niet opvragen.
Gegevens mogen ook niet voor andere doeleinden gebruikt worden dan de doeleinden waarvoor ze verkregen zijn, tenzij deze doeleinden verenigbaar zijn. In de wettekst wordt niet gespecifieerd wat ‘verenigbaar’ juist inhoudt, maar er zijn wel een aantal zaken waarmee je rekening moet houden:
Elk individu van wie een organisatie gegevens verzameld heeft, heeft recht om deze gegevens in te kijken en aan te passen. Het moet ook mogelijk zijn om ‘vergeten’ te worden en alle persoonlijke gegevens uit de databank te laten wissen.
Het is ook belangrijk dat de betrokkene toegang heeft tot de informatie over de manier waarop de gegevens opgeslagen worden, ook als dat in the cloud buiten de EU gebeurt. Je moet dus een toegankelijke tekst voorzien waarin in duidelijk en ondubbelzinnig taalgebruik uitgelegd wordt hoe gegevens worden verwerkt en opgeslagen. Deze tekst moet ook info bevatten over eventuele risico’s, regels, garanties en rechten.
Loopt er toch iets mis met de beveiliging van je databank, dan ben je als organisatie verplicht om dit binnen de 72 uur te melden bij de Gegevensbeschermingsautoriteit (de vroegere Privacycommissie).
Bij groot gevaar voor de privacy of veiligheid van de betrokkene(n), moet de organisatie deze personen ook rechtstreeks op hoogte brengen.
Sommige organisaties zijn verplicht een DPO (Data Protection Officer) aan te stellen. Deze persoon kijkt erop toe of de GDPR wordt nageleefd en geeft advies bij de uitvoering ervan binnen zijn bedrijf. De DPO is echter niet de eindverantwoordelijke en is dus niet aansprakelijk bij eventuele datalekken of overtredingen. Het is dus van belang dat ook elke werknemer die toegang heeft tot persoonlijke gegevens op de hoogte is van de GDPR. Beperk eventueel de toegang voor werknemers die niet met de gegevens moeten werken.
De wettekst vermeldt niet welke organisaties juist verplicht zijn om een DPO aan te stellen. Enkel overheidsbedrijven en organisaties die strafrechtelijke data verwerken moeten een GDPR-verantwoordelijke opgeven. De wet geeft wel een aantal richtlijnen, waaruit je kan afleiden dat een DPO verplicht is:
Je mag gegevens maar zolang bewaren als noodzakelijk is voor het vooropgestelde doeleinde. Daarna moeten gegevens worden gewist of hernieuwd. Als je door de wet verplicht wordt om gegevens langer te bewaren (bijvoorbeeld door arbeids- of belastingwetten), kan je de data uiteraard langer behouden.
Je mag gegevens langer bewaren voor archivering of wetenschappelijk of historisch onderzoek, maar dan moet je die wel anonimiseren of versleutelen.
mostRead
blogTags
fCompareCourses
fCompareMax3Courses
-
blogShare