Een inleiding op de GDPR/AVG
European Union Flags

Klaar zijn voor de GDPR

Vanaf mei 2018 moeten alle ondernemingen die persoonlijke data verzamelen de GDPR/AVG respecteren. Het is hoog tijd om zich voor te bereiden!

De GDPR/AVG: waarover gaat het?

De GDPR of “General Data Protection Regulation” – in het Nederlands spreken we over AVG of “Algemene Verordening Gegevensbescherming” – is nieuwe Europese wetgeving rond de bescherming van privacy die van kracht wordt vanaf mei 2018.

Wie belangt deze wetgeving aan?

Alle ondernemingen en organisaties die gegevens verzamelen over Europese burgers. Of die organisaties fysiek in Europa aanwezig zijn of niet doet er niet toe.

En wanneer we over alle organisaties spreken, geven we meteen ook aan dat allerhande ondernemingen onderworpen zijn aan de wetgeving, wat hun afmetingen of juridische structuur ook moge wezen! Denk aan KMOs, micro-ondernemingen en large accounts, denk aan NVs/BVs, BVBAs en VZWs/stichtingen...

Waarom is dit belangrijk?

De boetes bij het overtreden van de GDPR kunnen oplopen tot 4% van de jaarlijkse omzet van het vorig boekjaar of tot 20 miljoen euro – het hoogste bedrag wordt toegepast.

Enkele sleutelconcepten die men moet beheersen

Persoonlijke gegevens

“Alle informatie die betrekking heeft op een geïdentificeerde of een direct of indirect identificeerbare fysieke persoon, met name door middel van een identificator zoals een naam, een identificatienummer, gegevens over de locatie, een on-line identificator of één of meerdere specifieke elementen die eigen zijn aan de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit.”

Het kan bijvoorbeeld gaan om een IP-adres (vooral met het nieuwe protocol IPv6), het nationaal registernummer of de het nummer van de kredietkaart. Dit alles kan worden beschouwd als informatie over een identificeerbare persoon!

Let op voor het accumuleren van gegevens. Wanneer men beschikt over een professioneel e-mailadres van het type john@efficy.com én het persoonlijk telefoonnummer wordt het makkelijk te ontdekken welke persoon zich verschuilt achter het adres john@efficy.com. Het professionele e-mailadres en het telefoonnummer moeten daarom altijd als persoonlijke data worden beschouwd.

Delicate gegevens

“Bepaalde persoonlijke gegevens zijn delicater dan andere. Het betreft dan bijvoorbeeld gegevens rond iemands ras, gezondheid, de politieke, religieuze of filosofische opvattingen, het lidmaatschap van een vakbond, de sexuele oriëntatie of het gerechtelijk verleden. Dergelijke gegevens mag men niet verzamelen en opslaan – men mag ze zelfs niet inwinnen, opvragen!”

Wat zijn de grote principes achter deze wetgeving?

Principe 1: rechtmatigheid en transparantie

Men moet het transparant gebruik van de gegevens rechtvaardigen met een wettelijke basis.

Men verantwoordt bijvoorbeeld het verzamelen van data in een document met algemene voorwaarden en geeft daarin aan waarvoor de gecollecteerde gegevens gebruikt kunnen worden.

Principe 2: toestemming

“Elke manifestatie van specifieke, geïnformeerde en ondubbelzinnige goede wil waarmee de betrokken persoon aanvaardt, door middel van een verklaring of een duidelijke handeling, dat zijn gegevens met een persoonlijk karakter worden verwerkt.”

Dat betekent ook dat de persoon in kwestie op elk ogenblik en zonder voorwaarden zijn toestemming kan intrekken, opheffen.

Principe 3: het recht om vergeten te worden en de toegang tot gegevens

“Elke persoon kan u verzoeken zijn/haar persoonlijke gegevens te wissen.”

Elke klant, elk prospect waarover u data opslaat kan u schriftelijk verzoeken zijn/haar persoonlijke data te wissen.

“De organisaties kunnen echter weigeren de gegevens te wissen wanneer ze beschikken over bijzondere redenen zoals het recht op vrijheid van mening en het recht op informatie, om te voldoen aan een wettelijke verplichting, om een taak van openbaar belang uit te voeren, om een taak die onderdeel uitmaakt van een openbare overheid uit te voeren, om een taak van openbaar belang uit te voeren op het vlak van de volksgezondheid, om een archiveringstaak van openbaar belang uit te voeren of een verdedigende rol te spelen in de rechtspraak.”

De klanten/prospecten kunnen makkelijk hun gegevens transfereren van de ene naar de andere dienstverlener/leverancier. Indien uw klant zich bijvoorbeeld wil aansluiten bij een andere organisatie, heeft hij absoluut het recht u te vragen dat u alle informatie die hem betreft overmaakt aan dat andere organisme.

Principe 4: beperking van het gebruik van de gegevens

Men moet er zich absoluut van verzekeren dat “de gegevens die ingevoerd en opgeslagen worden enkel worden aangewend voor specifieke, expliciete en legitieme doelen – en dat kunnen enkel doeleinden zijn die op een openbare en transparante wijze vermeld zijn. De data moeten worden bovendien aangewend op een veilige manier: een opzichter moet organisatorische en technische maatregelen implementeren om de gegevens te beschermen tegen vernietiging, verlies, wijziging, verspreiding of onrechtmatige toegang.”

“De organisaties moeten voorrang geven aan het minimale gebruik van gegevens, aan het beperkt karakter van het datagebruik en aan de niet-verspreiding van gegevens onder andere partijen zonder het noodzakelijk belang te hebben gecontroleerd. Dit principe kan in tegenspraak zijn met het concept ‘big data’.”

Principe 5: correctheid van de gegevens

De gegevens met een persoonlijk karakter moeten exact zijn en indien nodig up-to-date worden gehouden. Men moet alle redelijke maatregelen nemen zodat foutieve gegevens gezien de doeleinden waarvoor de gegevens worden verwerkt, zonder verwijl worden gewist of gecorrigeerd.

Principe 6: integriteit en vertrouwelijkheid

“De gegevens moeten worden aangewend op een veilige manier: een opzichter moet organisatorische en technische maatregelen implementeren om de gegevens te beschermen tegen vernietiging, verlies, wijziging, verspreiding of onrechtmatige toegang enz.”

Principe 7: verantwoordelijkheid

“De persoon die verantwoordelijk is voor het verwerken van de gegevens moet kunnen aantonen dat de voorschriften van de GDPR worden nageleefd.”

Principe 8: automatisering

“Personen hebben het recht niet te worden onderworpen aan geautomatiseerde beslissingen. Organisaties moeten zich ervan vergewissen dat een individu kan rekenen op een menselijke interventie, zijn standpunt kan toelichten, uitleg verkrijgt rond een beslissing en die beslissing kan aanvechten.”

De GDPR en Efficy

Naar aanleiding van deze nieuwe wetgeving werkt Efficy aan de ontwikkeling van meerdere diensten en nieuwigheden zodat de Efficy klanten de overgang naar de conformiteit met GDPR sereen kunnen doorlopen.

Ontdek onze GDPR-oplossingen!

Enkele hyperlinks en relevante documenten

  • GDPR test: gdprank.eu

  • Nederlandstalig/meertalig: Peeters Advocaten

  • Nederlandstalig/meertalig: belgium.be

  • Franstalig: CNIL

  • Franstalig: GDPR Expert
  •