De autoriteiten beginnen stilaan klachten en inbreuken te behandelen en ze leggen wel degelijk boetes op. Dit is jouw checklist, in mensentaal, om optimaal aan de GDPR-verordening te voldoen.
De Algemene verordening gegevensbescherming is geen gemakkelijk document om te begrijpen. Het vraagt kennis en doorzettingsvermogen om je door deze wetgeving te worstelen en dan is er nog ruimte voor discussie. Veel bedrijven doen niet de moeite om te na te gaan of ze de GDPR-wetgeving overtreden. Toch zouden ze dat moeten doen.
Verwerking van persoonsgegevens
Dit is een goed element om mee te beginnen. Organisaties moeten persoongsgegevens immers op een wettige, eerlijke en transparante manier verwerken. Wat betekent dat eigenlijk?
- Wettig: betekent dat de verwerking van de persoonsgegevens gebaseerd moet zijn op een rechtmatig belang. Er zijn er maar 6 en je vindt de beschrijving hier.
- Eerlijk: Organisaties mogen geen persoonsgegevens verwerken voor andere doeleinden dan het rechtmatig belang. Wees daarom gewoon eerlijk en doe wat je belooft.
- Transparant: Organisaties moeten de betrokkenen informeren over de manier waarop ze persoonsgegevens verwerken.
De verwerking van persoonsgegevens beperken
Je moet de verwerking van persoonsgegevens beperken en alleen de echt noodzakelijke gegevens verzamelen. Je mag de persoonsgegevens niet meer bewaren zodra het doel van de verwerking bereikt is. Conclusie:
- Verwerk geen persoonsgegevens buiten je legitiem doel
- Verwerk alleen de persoonsgegevens die je nodig hebt
- Verwijder de persoonsgegevens als het legitiem doel is bereikt. Langer mag je ze niet bewaren, dat is niet wettelijk.
De betrokkenen hebben rechten
Elke betrokkene - en dat is in principe een natuurlijk persoon, jij bijvoorbeeld - heeft het recht:
- Elke organisatie te vragen welke informatie ze over hem bezit
- Elke organisatie te vragen wat ze doet met de persoonsgegevens van de betrokkene
- Elke organisatie te vragen de persoonsgegevens te corrigeren
- Bezwaar te maken tegen de verwerking van zijn/haar persoonsgegevens
- Een klacht in te dienen tegen de organisatie
- Te vragen zijn/haar persoonsgegevens te verwijderen of over te dragen.
Toestemming
Als de rechtmatigheid van de verwerking gebaseerd is op de toestemming van de betrokkene, moet zijn duidelijke en uitdrukkelijke toestemming worden gevraagd. Organisaties moeten die toestemming opslaan en documenteren.
De betrokkene kan ze altijd intrekken. Voor de verwerking van persoonsgegevens van kinderen, moeten organisaties extra maatregelen nemen..
Inbreuken in verband met persoonsgegevens
Organisaties moeten een register hebben van alle inbreuken in verband met persoonsgegevens. De gegevensbeschermingsautoriteit moet op de hoogte worden gebracht wanneer een inbreuk op de gegevensbescherming een hoog risico inhoudt voor de rechten en vrijheden van de betrokkenen. Er moet een evaluatie worden uitgevoerd om ook de betrokkenen zelf te informeren.
In mijn volgende artikel bespreek ik nog enkele thema's in verband de GDPR, zoals Privacy by Design, DPIA, doorgifte van gegevens,...
