GDPR (11) Wat is een Privacy verklaring en wat moet erin staan?

23 oktober 2017

In de vorige afleveringen van deze blog hebben we het uitvoering gehad over het register van gegevensverwerkingen. Je neemt erin op welke persoonsgegevens in je organisatie verwerkt worden, met welk doel dit gebeurt en wat de rechtsgrond daarvoor is. Op 25 mei 2018 moet dergelijk register in elke organisatie beschikbaar zijn. De bruikbaarheid van dit register gaat echter veel verder. Je kunt het perfect als vertrekpunt nemen voor een risicoanalyse en voor een overzicht van de beschermingsmaatregelen en interne procedures van je organisatie. Daarop komen we later in de blog nog terug. Anderzijds levert een goed bijgehouden register ook de juiste input om de betrokkenen te informeren over de verwerking van hun gegevens. En dat is het onderwerp van deze aflevering.

De GDPR vereist immers dat je openheid hanteert naar alle betrokkenen, met andere woorden naar alle personen van wie je gegevens gebruikt. Het is hun recht op de hoogte te zijn van de verwerkingen die er met hun gegevens gebeuren. Een tekst waarin je als organisatie deze informatie publiek maakt, noemen we een ‘Privacy verklaring’.

De GDPR legt vast welke informatie de betrokkene moet krijgen. Een goed opgestelde Privacy verklaring moet dus elk van deze items behandelen.

  • De verantwoordelijke voor de gegevensverwerking moet zichzelf duidelijk kenbaar maken, met de exacte naam van de firma of de organisatie en met het volledige adres van de zetel. Als de organisatie een Data Protection Officer (DPO) heeft aangesteld, moet de Privacy verklaring ook vermelden hoe deze gecontacteerd kan worden. Het is niet nodig de naam van deze persoon te geven, maar wel minstens een adres, telefoonnummer of mailadres waarmee hij kan bereikt worden. Als er geen DPO is, moet evenzeer verwezen worden naar een contactpunt.
  • Het belangrijkste deel van de verklaring is de opsomming van de verwerkingen van persoonsgegevens die je organisatie doet. Dit moet voldoende in detail gebeuren, apart per doelstelling. Je geeft telkens aan met welke bedoeling bepaalde gegevens verzameld worden, welke categorieën van gegevens je verwerkt en over welke categorieën van personen het gaat, welke verwerkingen er gebeuren en op welke rechtsgrond je je beroept om de verwerking te kunnen doen. Hiervoor kun je uiteraard putten uit het interne register, zodat je niets vergeet.
  • Er moet ook duidelijkheid zijn over de bestemmelingen. Wie heeft toegang tot deze informatie? Aan wie wordt ze doorgegeven? Geef aan welke categorieën medewerkers intern bij de verwerking betrokken zijn en dus inzage kunnen hebben in de informatie. Vermeld of er externe partijen aan de verwerking deelnemen. Als de verzamelde informatie voor verder gebruik doorgegeven wordt aan derden, moet je dit zeker expliciet aangeven. Meestal gebeurt dit in algemene bewoordingen als ‘zustermaatschappijen’ of ‘partners’. De GDPR gaat uit van zoveel mogelijk transparantie. Het is immers belangrijk dat de betrokkenen begrijpen waar hun gegevens terechtkomen. Uiteraard kan men niet verwachten dat je elke partner of leverancier met naam en toenaam opsomt.
  • Vervolgens toon je aan dat er voldoende beveiligingsmaatregelen genomen zijn om de vertrouwelijkheid en integriteit van de data te verzekeren. Ook hier is het niet nodig alle technologie en procedures in detail uit de doeken te doen. Dat zou natuurlijk juist de beveiliging ondergraven. Maar de gevolgde principes en de manier waarop je deze intern kunt waarborgen, vermeld je best wel.
  • Een specifieke vereiste is informatie over de bewaartermijn van gegevens. De GDPR zegt immers dat je persoonsgegevens enkel voor het gestelde doel mag gebruiken en dus ook niet langer mag bewaren dan nodig is voor dat doel. Bovendien moet je als verantwoordelijke instaan voor de kwaliteit van de gegevens. Dat houdt ook in dat ze niet verouderd zijn. Info over de bewaartijd vermeld je best specifiek per doel.
  • Verder moet de Privacy verklaring ook de rechten van de betrokkene duidelijk opsommen.
    • Hij kan altijd een klacht indienen bij de Privacy Commissie als hij van oordeel is dat gegevens onrechtmatig verwerkt worden.
    • Hij kan bij de verantwoordelijke informatie opvragen over de verwerkingen van zijn gegevens en je moet hem uitleggen welke procedure hij daarvoor kan volgen.
    • Hij kan inzage krijgen in de beschikbare informatie en deze desgewenst laten wijzigen of wissen.

Aan de rechten van de betrokkene wijden we nog een aparte aflevering van de blog.

  • Tenslotte vraagt de GDPR dat je kenbaar maakt of je bepaalde gegevens buiten de EU In dat geval zijn er immers extra risico’s voor de adequate bescherming van de gegevens en voor de rechten van de betrokkene. Denk maar aan de bevoegdheden van instanties als de NSA in de VS. Al naargelang het land waarnaar de gegevens uitgevoerd worden of de sector van de firma of organisatie, zijn er andere garanties. Dit is juridisch heel ingewikkelde materie. Meestal zal het volstaan te vermelden dat de gegevens in de EU blijven en dus ten volle gedekt worden door de juridische bescherming van de GDPR. Als dat niet het geval is, moet je specificeren waar ze naartoe gaan en welke bescherming van toepassing is. De betrokkene kan dan zelf oordelen of zijn gegevens in voldoende mate vertrouwelijk zullen blijven.

De GDPR schrijft niet enkel voor welke inhoud een privacy verklaring moet bevatten maar geeft ook richtlijnen over de vorm en structuur. Het is ook van belang hoe je deze informatie communiceert aan de betrokkenen, op welk moment je ze aanbiedt en hoe je ze actueel houdt. Deze aspecten komen in de volgende aflevering aan bod.

 

Viktor D’Huys is ICT-manager en binnen Group Joos onder meer verantwoordelijk voor informatiebeveiliging. Hij coördineert het GDPR-project. Hij is Certified Information Security Manager (ISACA) en Certified Information Privacy Professional/Europe (IAPP).

Hebt u nog vragen of wil u reageren, neem gerust contact op met ons via gdpr@groupjoos.com

LOADING