Duw op enter om te zoeken

De 10 essentiële GDPR-vereisten - Deel 1

19/04/2019
Author Avatar
Geert Van de Steen
Chief Information Security Officer , EASI

De autoriteiten beginnen stilaan klachten en inbreuken te behandelen en ze leggen wel degelijk boetes op. Dit is jouw checklist, in mensentaal, om optimaal aan de GDPR-verordening te voldoen.

De Algemene verordening gegevensbescherming is geen gemakkelijk document om te begrijpen. Het vraagt kennis en doorzettingsvermogen om je door deze wetgeving te worstelen en dan is er nog ruimte voor discussie. Veel bedrijven doen niet de moeite om te na te gaan of ze de GDPR-wetgeving overtreden. Toch zouden ze dat moeten doen.

Verwerking van persoonsgegevens

Dit is een goed element om mee te beginnen. Organisaties moeten persoongsgegevens immers op een wettige, eerlijke en transparante manier verwerken. Wat betekent dat eigenlijk?

  • Wettig: betekent dat de verwerking van de persoonsgegevens gebaseerd moet zijn op een rechtmatig belang. Er zijn er maar 6 en je vindt de beschrijving hier.
  • Eerlijk: Organisaties mogen geen persoonsgegevens verwerken voor andere doeleinden dan het rechtmatig belang. Wees daarom gewoon eerlijk en doe wat je belooft.
  • Transparant: Organisaties moeten de betrokkenen informeren over de manier waarop ze persoonsgegevens verwerken.

De verwerking van persoonsgegevens beperken

Je moet de verwerking van persoonsgegevens beperken en alleen de echt noodzakelijke gegevens verzamelen. Je mag de persoonsgegevens niet meer bewaren zodra het doel van de verwerking bereikt is. Conclusie:

  • Verwerk geen persoonsgegevens buiten je legitiem doel
  • Verwerk alleen de persoonsgegevens die je nodig hebt
  • Verwijder de persoonsgegevens als het legitiem doel is bereikt. Langer mag je ze niet bewaren, dat is niet wettelijk.

De betrokkenen hebben rechten

Elke betrokkene - en dat is in principe een natuurlijk persoon, jij bijvoorbeeld - heeft het recht:

Toestemming

Als de rechtmatigheid van de verwerking gebaseerd is op de toestemming van de betrokkene, moet zijn duidelijke en uitdrukkelijke toestemming worden gevraagd. Organisaties moeten die toestemming opslaan en documenteren.

De betrokkene kan ze altijd intrekken. Voor de verwerking van persoonsgegevens van kinderen, moeten organisaties extra maatregelen nemen..

Inbreuken in verband met persoonsgegevens

Organisaties moeten een register hebben van alle inbreuken in verband met persoonsgegevens. De gegevensbeschermingsautoriteit moet op de hoogte worden gebracht wanneer een inbreuk op de gegevensbescherming een hoog risico inhoudt voor de rechten en vrijheden van de betrokkenen. Er moet een evaluatie worden uitgevoerd om ook de betrokkenen zelf te informeren.

In mijn volgende artikel bespreek ik nog enkele thema's in verband de GDPR, zoals Privacy by Design, DPIA, doorgifte van gegevens,...

New call-to-action

Current job openings

Sign up to our newsletter

Follow us

  

Share this article