GDPR (4) Eerlijk gebruik van persoonsgegevens

10 augustus 2017

In deze aflevering leiden we uit de basisbeginselen van de GDPR af welke verplichtingen je hebt als verantwoordelijke voor de verwerking van persoonsgegevens. En we voegen er meteen 6 stappen aan toe die je kunt nemen om tegen mei 2018 compliant te zijn.

De GDPR wil een regelgevend kader scheppen om het gebruik van persoonlijke informatie door bedrijven en organisaties mogelijk te maken en tegelijk de privacy van de betrokkenen zo goed mogelijk te waarborgen.

De basisprincipes voor een gerechtvaardigd gebruik van persoonsgegevens zijn:

  • open zijn over de data die je bijhoudt en de verwerkingen die je doet
  • de data wettig en eerlijk gebruiken
  • de rechten van de betrokkenen vrijwaren
  • vertrouwelijkheid en integriteit van de gegevens respecteren
  • de verantwoordelijke aansprakelijk maken

Deze beginselen zijn al heel lang in de privacywetgeving aanwezig en zijn in de loop van de tijd stelselmatig duidelijker omlijnd.

De belangrijkste verplichtingen die de GDPR oplegt aan een verantwoordelijke voor de gegevensverwerking, vloeien rechtstreeks uit deze beginselen voort.

  • Openheid bereik je door duidelijk kenbaar te maken welke persoonsgegevens je bijhoudt, welke verwerking je doet en welke doelstelling je ermee nastreeft. De informatie hierover moet gemakkelijk terug te vinden zijn en in klare, eenvoudige taal opgesteld worden, zodat iedereen het kan begrijpen.
  • Eerlijk gebruik van persoonsgegevens houdt in dat je de gegevens op een legale manier verwerft, dat je ze enkel gebruikt voor het vooropgestelde doel en dat je niet meer data verzamelt en ze niet langer bijhoudt dan nodig is voor dat doel.
  • Elke betrokkene heeft recht op informatie over de verwerking die je van zijn data doet. Hij kan inzage vragen in de concrete gegevens en kan deze laten verbeteren, aanvullen of verwijderen. Hij kan de verwerking in bepaalde omstandigheden laten stopzetten. Het zal een hele klus zijn al deze rechten te respecteren.
  • Respect voor de data betekent dat je er alles aan doet om ze kwalitatief zo correct mogelijk in te voeren en actueel te houden en dat je ze adequaat beveiligt, zodat ze niet onterecht openbaar gemaakt of voor verkeerde doeleinden gebruikt worden.
  • De verantwoordelijke kan aantonen dat hij aan alle verplichtingen van de regelgeving voldoet en is aansprakelijk bij tekortkomingen.

Wie maatschappelijk verantwoord ondernemen hoog in het vaandel voert, schaart zich logischerwijze ook achter deze doelstellingen. De GDPR en de verdere toelichtingen die door de nationale toezichthouders (in België de Privacycommissie) worden verstrekt, moeten we dan ook zien als een hulp. Ze bieden een houvast om een waardevol doel te bereiken zonder dat de werking van een bedrijf of organisatie onmogelijk gemaakt wordt. Het is immers niet de bedoeling dat de GDPR zou leiden tot een privacy-kramp.

De belangrijkste stappen die een verantwoordelijke voor gegevensverwerking in de komende periode moet nemen om tegen 25 mei 2018 in orde te zijn met de nieuwe regelgeving sommen we hier kort al even op.

  1. Leg een register aan van verwerkingen van persoonsgegevens. Dit is een verplichting van de GDPR en vanaf 25 mei 2018 moet je dit register kunnen voorleggen aan de Privacycommissie als zij erom vragen. Zie dit in de eerste plaats als een hulpmiddel voor jezelf. Je krijgt immers een beeld van alle persoonsgegevens waarvan je gebruik maakt. Het register vermeldt het type gegevens, de soort verwerking, het doel en de wettelijke grond voor de verwerking.
  2. Stel een privacyverklaring Op alle plaatsen waar je contactgegevens en andere informatie over personen verzamelt, moet deze gemakkelijk raadpleegbaar zijn.
  3. Ga na of je een adequate beveiliging hebt voor alle verzamelde persoonsgegevens. Is je netwerk veilig? Bewaar je bestanden met persoonsgegevens versleuteld of met een veilig wachtwoord? Worden gegevens die niet meer nodig zijn, veilig verwijderd, zowel de digitale als de papieren informatie?
  4. Werk de nodige instructies uit voor wat er moet gebeuren als een betrokkene contact opneemt om zijn rechten uit te oefenen, zodat je tijdig de noodzakelijke acties kunt ondernemen. Bij wie komt de vraag terecht? Wie doet wat?
  5. Stel een duidelijke procedure op met alle te nemen stappen als er een datalek ontstaat en er gevaar is dat de privacy van betrokkenen geschonden wordt? Zijn alle werknemers op de hoogte van deze procedure?
  6. Als je derde partijen inschakelt bij de verwerking van persoonsgegevens, zorg dan voor een contractuele overeenkomst die duidelijk omschrijft wat de onderaannemer precies moet doen en welke zijn verplichtingen en verantwoordelijkheden zijn onder de GDPR.

Elk van deze actiepunten werken we in een aparte aflevering heel concreet uit. We willen ons immers niet beperken tot wat algemene beschouwingen maar ook praktisch bruikbare tips geven. Maar eerst bekijken we ook even wie in een organisatie de motor en trekker van dit project moet zijn.

 

Viktor D’Huys is ICT-manager en binnen Group Joos onder meer verantwoordelijk voor informatiebeveiliging. Hij coördineert het GDPR-project. Hij is Certified Information Security Manager (ISACA) en Certified Information Privacy Professional/Europe (IAPP).

Hebt u nog vragen of wil u reageren, neem gerust contact op met ons via gdpr@groupjoos.com

LOADING