Wet & Regelgeving

Sinds de invoering van de General Data Protection Regulation (GDPR) op 25 mei 2018 doet u er verstandig aan om u goed te verdiepen in de regels bij datagebruik. Het verwerken van persoonsgegevens is toegestaan, mits u deze regels respecteert. Maar hoe werkt de GDPR? Wat zijn persoonsgegevens en wat is nou precies verwerken?

Graag informeren wij u over de huidige stand van zaken. Daarbij zijn wij uiteraard geen jurist en geven u graag onze interpretatie. De verantwoordelijkheid voor een juiste wijze van omgaan met persoonsgegevens ligt uiteraard bij elke organisatie die eindverantwoordelijk is voor de verwerking. Houd u dus zelf ook de ontwikkelingen op het gebied van privacy in de gaten. Benieuwd hoe Ad Hoc Data omgaat met privacy? Leest u dan ons privacy statement eens door.

Heeft u vragen? Contacteer ons, wij denken graag met u mee!

Zoekresultaten

Algemeen

De General Data Protection Regulation (GDPR), ook wel Algemene Verordening Gegevensbescherming, is een privacywet die geldt in de hele Europese Unie. Dankzij de GDPR is de bescherming van persoonsgegevens in alle landen van de EU op dezelfde manier geregeld en gelden in elke lidstaat dezelfde regels. De GDPR zorgt onder meer voor: versterking en uitbreiding van privacy rechten van de betrokkenen daarmee voor meer verantwoordelijkheden voor organisaties.

Persoonsgegevens betreft alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is. Voorbeelden zijn: adresgegevens, directe telefoonnummers, persoonlijke e-mailadressen, IP-adressen, foto’s et cetera. Hierbij zijn er ook ‘bijzondere persoonsgegevens’ gedefinieerd. Deze persoonsgegevens, zoalspolitieke voorkeur, godsdienst, gezondheid en ras zijn extra goed beschermd; verwerking ervan is verboden.

‘Verwerken’ is een ruim begrip en betreft alle handelingen die een organisatie kan uitvoeren met persoonsgegevens. Voorbeelden zijn: het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, beschikbaar stellen, samenbrengen, met elkaar in verband brengen, afschermen, wissen en vernietigen van gegevens.

Wanneer u persoonsgegevens verwerkt, moet u hierbij voldoen aan de GDPR. Feitelijk is dit dus voor nagenoeg elke organisatie het geval, of het nou gaat om gegevens van klanten, prospects, medewerkers of sollicitanten, al snel is er sprake van het opslaan en verwerken van persoonsgebonden gegevens.

U bent een verwerkingsverantwoordelijke wanneer u het doel van en de middelen voor het gebruik van persoonsgegevens bepaalt. Een organisatie kan dit alleen doen of eventueel in samenwerking met een ‘verwerker’. Of het nou gaat om klanten, prospects, medewerkers of sollicitanten, al snel bent u bezig met het verwerken van persoonsgegevens en bent u dus verwerkingsverantwoordelijk.

U bent een verwerker wanneer u de organisatie bent aan wie de verwerkingsverantwoordelijke de gegevensverwerking heeft uitbesteed. Denk hierbij aan bijvoorbeeld administratiekantoren, software leveranciers, callcenters, cloud leveranciers et cetera. De verwerkingsverantwoordelijke is verplicht om een verwerkingsovereenkomst af te sluiten met de verwerker(s).

De Gegevensbeschermingsautoriteit (GBA) is het zelfstandig bestuursorgaan dat in België bij wet als toezichthouder is aangesteld om in het kader van de privacyregelgeving toezicht tehouden op verwerking van persoonsgegevens. De taken van de GBA zijn: toezicht, advisering, voorlichting, informatieverstrekking & verantwoording en internationale taken.

De GDPR kent 6 grondslagen voor het verwerken van persoonsgegevens:
  • toestemming van de betrokken persoon voor de gegevensverwerking;
  • de gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst;
  • de gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting;
  • de gegevensverwerking is noodzakelijk ter bescherming van de vitale belangen;
  • de gegevensverwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag;
  • de gegevensverwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen.

De GDPR bepaalt de volgende rechten van betrokkenen:
  1. Informatie: het recht om te weten wat je met de persoonsgegevens van betrokkenen doet.
  2. Inzage: in welke persoonsgegevens worden verwerkt.
  3. Correctie: van persoonsgegevens.
  4. Verwijdering: van persoonsgegevens uit onze databank (ook wel: het recht op vergetelheid).
  5. Beperking: van de verwerking van persoonsgegevens.
  6. Bezwaar: tegen de verwerking van persoonsgegevens.
  7. Overdracht: het recht om persoonsgegevens over te dragen naar een andere organisatie.
  8. Niet profilering: het recht om bezwaar te maken tegen ‘profiling’. Profilering is elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, met name met de bedoeling zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen.

De GDPR kent geen concrete bewaartermijn voor persoonsgegevens. U bepaalt dus zelf hoe lang u de persoonsgegevens wilt bewaren. Wel is hierbij van belang dat u dat data niet langer dan noodzakelijk bewaard voor het doel waarvoor de gegevens zijn verzameld en gebruikt. Het is goed om uw overwegingen hierbij vast te leggen in het verwerkingsregister.

Maatregelen

U kunt ondermeer de volgende technische en organisatorische maatregelen nemen om aan de privacyregels te voldoen.
  • Privacybeleid opstellen: waarbij u let op b.v. dataminimalisatie, transparantie, procedures voor het waarborgen bij internationaal dataverkeer.
  • Benoemen van een FG/DPO: het aanwijzen/aannemen van interne verantwoordelijke functionaris wanneer u op grote schaal, of bijzondere persoonsgegevens verwerkt;
  • Verwerkingsregister samenstellen: registratie van alle verwerkingen van persoonsgegevens met daarbij informatie over welke verwerkingen hoe plaatsvinden, aangevuld met de bewaartermijnen en wijze waarop u de rechten van betrokkenen waarborgt hierbij;
  • Datalekken beleid: bepalen van de procedures bij datalekken en bijhouden van een rapportage van alle (vermeende) datalekken met daarbij de genomen acties hierbij;
  • DPIA (indien van toepassing): het uitvoeren van een gegevensbeschermingseffectboordeling bij nieuwe verwerkingsactiviteiten met een verhoogd privacy risico.
  • Verwerkersovereenkomsten afsluiten: met alle verwerkers waarin de verantwoordelijkheden en procedures aan beide zijden zijn afgesproken;
  • Privacy by design & default: gegevensbescherming doorvoeren via ontwerp en standaardinstellingen van (web)applicaties;
  • Technische beveiligingsmaatregelen: onder andere voor het aanmaken van wachtwoorden, veilig versturen van bestanden, beveiligde website (u kunt eventueel een hack laten uitvoeren als test);
  • Intern handboek: het vergroten van een interne bewustwording over privacy en het doorvoeren van een werkwijze volgens het handboek.

Wordt er een klacht ingediend over uw organisatie dan zal de Gegevensbeschermingsautoriteit een onderzoek naar u instellen. En als dit onderzoek bepaalt dat u niet voldoende privacy compliant bent, kunt uw boete oplopen tot 4% van uw wereldwijde jaaromzet met een maximum van 20 miljoen euro.

Een Data Protection Officer (DPO) is degene die binnen een organisatie verantwoordelijk is voor de naleving en toepassing van de GDPR. Vaak is dit een externe persoon, meestal met een juridische achtergrond.

Voor bepaalde organisaties is het aanstellen van een DPO verplicht, gezien de grote hoeveelheden persoonsgegevens die worden verwerkt dan wel wanneer dit bijzondere persoonsgegevens zijn. Ook voor overheden en publieke organisaties is dit altijd verplicht. Weet u niet zeker of u verplicht bent om een dergelijke functionaris te benoemen, maar verwerkt u wel op redelijke schaal persoonsgegevens? Dan kunt u beter voor kiezen om op safe te spelen en iemand hiervoor aan te stellen. Meld de DPO altijd aan bij de Gegevensbeschermingsautoriteit.

Wanneer persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben, is er sprake van een gegevenslek. Het gaat dan om een incident waarbij persoonsgegevens verloren gaan of ongeoorloofd overhandigd, gezien of gewijzigd (kunnen) zijn als gevolg van een veiligheidsprobleem. U kunt hierbij denken aan: uitgelekte computerbestanden, een e-mail die is verstuurd naar verkeerde e-mailadressen, een gestolen laptop of verloren usb-stick, cyberaanvallen etc. voor zover hierbij persoonsgegevens zijn betrokken. U bent verplicht om alle datalekken te melden bij de GBA én uw DPO, en zo nodig moet u de ook betrokkene informeren (meldplicht).

Organisaties zijn verplicht om met documentatie aan te tonen dat zij passende en doeltreffende organisatorische en technische maatregelen hebben genomen om gevolg te kunnen geven aan de beginselen en verplichtingen uit de GDPR. Onder meer moet u hierbij vastleggen hoe u welke verwerkingen uitvoert, met welke grondslag en hoelang u de persoonsgegevens bewaard. Dit is een cruciaal document en wordt een verwerkingsregister genoemd.

De GDPR geeft aan dat u betrokkenen goed moet informeren over welke persoonsgegevens worden verwerkt, met welke doeleinden en op basis van welke gronden. U kunt dit bijvoorbeeld doen in een privacy statement. Maar ook op andere momenten kunt u betrokkenen informeren, bijvoorbeeld in een online bestelmodule.

Een DPIA, Data Protection Impact Assessment, is een onderzoek naar de risico’s van een verwerking voordat deze plaatsvindt. Dit onderzoek kan in sommige gevallen een verplicht instrument zijn, bijvoorbeeld wanneer er systematisch en op grote schaal persoonsgegevens worden verwerkt.

B2B markt

Op de zakelijke markt is er in eerste instantie sprake van zakelijke gegevens. Deze vallen buiten de GDPR, voor zover deze niet te herleiden zijn naar een persoon. Uiteraard kan er sprake zijn van mogelijke verwerking van persoonsgegevens. Denk hierbij aan persoonsgerelateerde gegevens van klanten, potentiële en oud-klanten. Het gaat hierbij om onder andere gegevens die u opslaat in uw CRM-systeem: persoonlijke e-mailadressen, directe telefoonnummers, bankgegevens etc. Let erop dat u hierbij uitsluitend die gegevens opneemt, die noodzakelijk zijn voor de uitvoering van de overeenkomst, of dat u anders toestemming vraagt dan wel een gerechtvaardigd belang hebt voor de verwerking. Het is bijvoorbeeld (hoogstwaarschijnlijk) niet noodzakelijk om hobby’s, voorkeuren of een geboortedatum op te nemen van uw zakelijke klant. In dat geval moet u deze gegevens dus achterwege laten.

Zet u e-mailmarketing in, dan heeft u in eerste instantie te maken met de opt-in wetgegeving (in de toekomst in de e-Privacywet) ten aanzien van het gebruik van dit kanaal. Ondermeer is hierin bepaald dat u vooraf toestemming moet vragen aan de ontvanger voor het mogen versturen van e-mails voor zover er met de ontvanger geen klantrelatie bestaat en men zich niet hiervoor heeft afgemeld. Tenzij u gebruik maakt van een algemeen e-mailadres, bijvoorbeeld: info@...,, sales@.... et cetera. Daarnaast maakt u meestal hierbij gebruik van persoonsgegevens, zoals persoonlijke e-mailadressen, directe telefoonnummers en andere gegevens die persoonsgerelateerd kunnen zijn. Daarvoor heeft u wel te maken met de GDPR.

Bij marketingacties op social media kunt u te maken krijgen met de GDPR, voor zover u hierbij bijvoorbeeld lijsten met e-mailadressen wilt matchen met uw social media campagne. Ook remarketing (het gericht tonen van advertenties aan personen die eerder uw website hebben bezocht) valt hieronder.

Wilt u natuurlijke personen telefonisch benaderen, dan moet u rekening houden met de Bel Me Niet Meer Lijst, ook wel Do Not Call Me (DNCM). De Bel Me Niet Meer lijst heeft betrekking op zowel prospecten als bestaande klanten. Daarnaast heeft u ook hier te maken met de GDPR, voor zover u in uw bellijst onder meer gebruik maakt van directe telefoonnummers, contactpersonen en andere informatie die als persoonsgegeven kan worden beschouwd.

Wanneer is sprake is van overdracht van persoonsgegevens van de ene verwerkingsverantwoordelijke naar de andere, is er sprake van ‘ketenverantwoordelijkheid’. De reikwijdte van uw verantwoordelijkheid gaat dus verder dan je eigen activiteiten. U moet u namelijk ook inspannen om de databescherming te waarborgen, wanneer er sprake is van data-overdracht binnen de keten.

De GDPR heeft betrekking op alle landen binnen de EU. Worden uw producten of diensten afgenomen buiten de EU dan bestaat de kans dat de privacyregels daar minder strak zijn geregeld. Deze zogeheten ‘derde landen’ zijn alle landen buiten de EU, met uitzondering van de landen in de Europese Economische Ruimte (EER: Noorwegen, Liechtenstein en IJsland). U mag uitsluitend verkopen aan landen met een passend beschermingsniveau.
Loading...