GDPR (3) Gegevensverwerking en de verschillende rollen

1 augustus 2017

Om een inschatting te maken van wat de GDPR voor je eigen bedrijf of voor jouw job betekent, moet je niet alleen weten welke gegevens persoonsgegevens zijn. Je moet ook goed begrijpen wat de wet precies bedoelt met gegevensverwerking. Inzicht hebben in de verschillende mogelijke rollen bij het verwerken van persoonsgegevens is ook belangrijk. Welke rol je speelt, bepaalt immers in grote mate je verantwoordelijkheden en je verplichtingen.

Gegevensverwerking

Gegevensverwerking moet je heel breed zien. We denken spontaan aan het verzamelen van contactgegevens , interesses, aankoopgedrag, websitebezoeken, enz. Die informatie gebruikt men dan voor marketing- of verkoopcampagnes.

Het gaat echter breder dan dat. Eigenlijk is om het even welke activiteit die te maken heeft met data van personen een vorm van gegevensverwerking waarop de GDPR van toepassing is. Gegevens bekijken of raadplegen, gegevens bewaren, gegevens wissen of verwijderen, gegevens transporteren… Het zijn allemaal voorbeelden van wat de wet bedoelt met gegevensverwerking. Als straks iedereen een inventaris maakt van gegevensverwerkingen die hij zelf uitvoert of toevertrouwt aan derden, is het belangrijk dit ruim genoeg te zien. Dat een firma die personeelsbeheer voor derden doet, persoonsgegevens verwerkt, spreekt voor zich. Maar ook de leverancier die in opdracht van je firma oud papier komt ophalen, doet aan gegevensverwerking als het gaat om geprinte documenten met persoonsgegevens. Het gebruik van persoonsgegevens door privépersonen in de huiselijke sfeer valt echter niet onder de GDPR. Het werk van het gerecht en van de ordediensten evenmin, omdat dit door andere wetgeving geregeld wordt.

De rollen

Bij het verwerken van gegevens onderscheidt de privacywetgeving verschillende rollen. De belangrijkste zijn de ‘Verantwoordelijke’ en de ‘Verwerker’ (in Nederland zegt men ‘Bewerker’). Vaak worden hiervoor ook de Engelse termen ‘Data Controller’ en ‘Data Processor’ gebruikt.

De Verantwoordelijke is degene die het initiatief neemt om persoonsgegevens te (laten) verzamelen en bij te houden, met de bedoeling die op één of andere manier te verwerken. De Verantwoordelijke moet het specifieke doel vastleggen van de gegevensverwerking en aantonen dat hij daarvoor een gewettigde grond heeft. Hij moet vooraf overwegen welke persoonsgegevens hiervoor nodig zijn. Essentieel voor de wetgeving is dat niet meer gegevens worden verzameld en verwerkt dan strikt noodzakelijk is om het doel te bereiken. Gegevens niet verwerken is immers de best mogelijke bescherming van de privacy. De Verantwoordelijke garandeert ook de veiligheid van de verzamelde gegevens. Hij verzekert hun beschikbaarheid en zorgt dat de integriteit te allen tijde bewaard wordt (dit wil zeggen dat ze niet onterecht gewijzigd of gewist worden) en dat er geen inbreuken gepleegd worden op de vertrouwelijkheid . Een belangrijk onderdeel daarvan is dat de gegevens uitsluitend worden aangewend voor het doel waarvoor ze verzameld zijn.

De rol van de Verwerker daarentegen is dat hij persoonsgegevens van een Verantwoordelijke ter beschikking krijgt en deze verwerkt volgens de instructies van de Verantwoordelijke, in functie van diens doelstelling. Deze rol kan uiteraard ook door de Verantwoordelijke zelf opgenomen worden. Als deze echter een beroep doet op een derde partij, heeft deze enkel de rol van Verwerker. Dit is een fundamenteel onderscheid, dat de basis vormt voor de wettelijke verplichtingen. Een belangrijke vaststelling is alvast dat anders dan in de vroegere privacywetgeving de GDPR ook expliciet verplichtingen oplegt aan de Verwerker.

Het is wel goed te beseffen dat de taakverdelingen soms niet zo zuiver af te lijnen zijn.  Zo is het bijvoorbeeld perfect mogelijk dat de persoonsgegevens eigenlijk verzameld worden door een Verwerker. Een Verantwoordelijke kan immers aan een Verwerker de taak geven persoonsgegevens te verzamelen, te verrijken en te analyseren als deel van de opdracht. Deze taken zijn alle voorbeelden van wat de wet bedoelt met ‘verwerking van persoonsgegevens’. Het is niet omdat je de gegevens verzamelt, dat je automatisch de Verantwoordelijke bent, maar omgekeerd blijf je als opdrachtgever wel verantwoordelijk, ook al besteed je het verzamelen van de gegevens uit aan een Verwerker.

In de toekomst zal een contract duidelijk moeten aangeven wat de rollen van de opdrachtgever en de opdrachtnemer zijn in de gegevensverwerking. Een belangrijke tip is om hieraan steeds de nodige aandacht te besteden. De nieuwe wet gaat er trouwens van uit dat gegevensverwerking altijd omkaderd wordt door een verwerkersovereenkomst, waarin de wederzijdse verplichtingen ten aanzien van data privacy duidelijk zijn vastgelegd. Tegelijk moet je beseffen dat je verantwoordelijkheden samenhangen met de rol die je feitelijk speelt, ongeacht wat in een contract is opgenomen. Dit wil zeggen dat je er als Verwerker op moet letten om geen verantwoordelijkheden op je te nemen die niet bij je rol horen. De belangrijkste en meest evidente beperking is dat je de gegevens die de Verantwoordelijke je toevertrouwt nooit voor een ander doel mag gebruiken dan in je opdracht is vastgelegd.

Tenslotte bepaalt de wet ook een duidelijke derde rol, die van de Betrokkene (of in het Engels ‘Data Subject’). De betrokkene is de individuele persoon op wie specifieke persoonsgegevens betrekking hebben. Het is in eerste instantie de Betrokkene die door de wet beschermd wordt. De GDPR kent de Betrokkene expliciet een aantal rechten toe over zijn persoonsgegevens. Dit is een fundament van de nieuwe Verordening. Om te beginnen vereist de GDPR openheid over gegevensverwerking tegenover de betrokkenen. Daarnaast hebben zij ook recht op wat meestal samengevat wordt als ‘fair use’ van de data. Hieronder valt zowel het legaal verwerven en verwerken van gegevens als de zorg om ze accuraat te houden, ze voldoende te beveiligen en ze enkel te gebruiken voor het gestelde doel. De Betrokkene heeft het recht over al deze aspecten geïnformeerd te worden. En last but not least kan de Betrokkene in grote mate beschikken over zijn individuele data (hij kan ze opvragen, ze laten corrigeren of wissen of de verwerking ervan laten stopzetten).

De rechten en plichten die met elke rol samenhangen komen verder in de blog nog uitvoerig aan bod.

 

Viktor D’Huys is ICT-manager en binnen Group Joos onder meer verantwoordelijk voor informatiebeveiliging. Hij coördineert het GDPR-project. Hij is Certified Information Security Manager (ISACA) en Certified Information Privacy Professional/Europe (IAPP).

Hebt u nog vragen of wil u reageren, neem gerust contact op met ons via gdpr@groupjoos.com

LOADING