Deze regelgeving regelt de bescherming van persoonsgegevens bij de verwerking ervan door werkgevers, ondernemingen, overheidsinstanties, verenigingen ...

De basis van deze regelgeving ligt vervat in een Europese Verordening en is in 2018 omgezet naar Belgische wetgeving. Als organisatie moet je rekening houden met deze regelgeving van zodra je persoonsgegevens verwerkt. In dit artikel beantwoorden we de volgende vragen:

  • Wat zijn persoonsgegevens? 
  • Wat is verwerken? 
  • Mag ik zomaar gegevens verwerken?
  • Hoe verwerk je die gegevens?
  • Welke rechten hebben personen wiens gegevens je verwerkt?
  • Wat moet ik als onderneming/vereniging/organisatie doen?

Aan de hand van deze vragen kan je nagaan of je als organisaties persoonsgegevens verwerkt en wat je als organisatie moet doen om in orde te zijn.

Wat zijn persoonsgegevens?

Het gaat om alle gegevens waardoor je een persoon kan herkennen. De Verordening definieert persoonsgegevens als volgt:

“alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (“de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon”

Bijvoorbeeld: Je houdt een ledenregister bij van een vzw. In dit ledenregister staan de voor- en familienaam, het adres, en als het om rechtspersonen gaat: naam, rechtsvorm en adres van de zetel. Als vzw verwerk je op dit moment persoonsgegevens.
 

Wat is verwerken?

“Een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.”

Van zodra je gegevens bijhoudt, opvraagt of bewerkt, verwerk je persoonsgegevens. 

Bijvoorbeeld: Je vraagt aan de bezoekers van je galerie om hun naam en mailadres achter te laten zodat je ze later kan contacteren. 

Een ander voorbeeld: Je hebt een contactformulier in je website verwerkt zodat mensen vragen kunnen stellen over je beeldwerken. In dit contactformulier kan de gebruiker zijn naam, telefoonnummer en mailadres achterlaten wanneer hij een vraag stelt.

Op dat moment verwerk je persoonsgegevens. Je moet toelating vragen aan de bezoekers om deze gegevens bij te houden. Je moet hen ook uitleggen waarom je het bijhoudt, dit doe je via een privacy disclaimer.

Houd er ook rekening mee dat je deze gegevens niet zomaar voor onbepaalde duur mag bijhouden.

Verwerkingsverantwoordelijke

Van zodra jouw onderneming/organisatie gegevens verwerkt ben jij de ‘verwerkingsverantwoordelijke’. Het gaat om een natuurlijke of rechtspersoon, een dienst of een ander orgaan dat, alleen of samen met anderen, het doel en de middelen van de verwerking van persoonsgegevens vaststelt.

In de hierboven vermelde voorbeelden zijn de galeriehouder en de beeldhouwer verwerkingsverantwoordelijke. Waarom is dit belangrijk? Omdat de verwerkingsverantwoordelijke aansprakelijk kan gesteld worden voor data-lekken en het zorgdragen van die gegevens. 

Maar wat als jouw organisatie/onderneming/vereniging persoonsgegevens op de cloud opslaat, ben jij dan nog steeds verantwoordelijke voor die gegevens?

Als de galeriehouder, de beeldhouder of een andere organisatie beroep doet op een externe dienst (onderaannemer) die de gegevens voor hen verwerkt (bijv. de persoonsgegevens opslaan in een cloud-omgeving), dan is er sprake van een verwerker die de gegevens bewaart. Maar je blijft als organisatie/onderneming/vereniging nog steeds verantwoordelijk voor die gegevens.

Een screeningsbureau in het kader van rekrutering en selectie, een archiveringsdienst, een cloud-serviceprovider zijn allemaal voorbeelden van verwerkers. 

Verwerkers hebben onder de GDPR-wetgeving ook een aantal verplichtingen, maar de verwerkingsverantwoordelijke blijft het eerste aanspreekpunt.

Ga met de verwerker goed na wie welke verantwoordelijkheden opneemt en wat er moet gebeuren ingeval van een datalek. Stel hiervoor een verwerkingsregister op.
 

Mag ik gegevens verwerken?

Je mag gegevens verwerken, maar je mag dit enkel doen voor welbepaalde doeleinden en op een beperkte schaal. Wat houdt dit in? Je mag gegevens bijhouden zoals een ledenregister, klantenlijst, ... zolang je er een reden toe hebt (en indien nodig de juiste toestemming). 

“Dit basisbeginsel bepaalt dat de persoonsgegevens moeten worden verkregen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden en niet verder mogen worden verwerkt op een manier die onverenigbaar is met die doeleinden.”

Bijvoorbeeld: Je stelt een klantenlijst op om je klanten een mail te sturen. Jouw klanten hebben hiervoor hun toestemming gegeven. Je mag deze gegevens vervolgens niet voor andere doeleinde gebruiken.

Wanneer hou je gegevens bij? 

Algemeen kan er gesteld worden dat je persoonsgegevens mag verzamelen als het: 

  • Noodzakelijk is:
    • Voor de uitvoering van een overeenkomst
    • Als er wettelijke verplichtingen zijn
    • Als er een gerechtvaardigd belang wordt behartigd
    • Als vitale belangen worden beschermd
    • In geval van openbaar belang

In dit geval heb je geen toestemming nodig van de betrokken persoon, maar moet je wel een privacy policy hebben en een verwerkingsregister opmaken.

  • Als je expliciete toestemming hebt.

Je houdt niet noodzakelijke gegevens bij. In dit geval heb je toestemming nodig van de betrokken persoon, een privacy policy/verklaring en een verwerkingsregister.
 

Hoe verwerk je die persoonsgegevens?

Als je als onderneming gegevens verwerkt moet je je aan de volgende principes houden:

  • Het moet gaan om een rechtmatig, behoorlijke en transparante verwerking (bijvoorbeeld: duidelijke taal gebruiken)
  • Voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden: je moet een reden hebben om de gegevens bij te houden
  • Minimale gegevensverwerking: je mag enkel gegevens opvragen die je daadwerkelijk nodig hebt
  • Voor een welbepaalde termijn: je mag de gegevens enkel bijhouden voor een noodzakelijke bewaartermijn.
  • Er moet voorzien worden in passende maatregelen om de persoonsgegevens te beschermen
  • De gegevens die je bijhoudt moeten juist en actueel zijn
     

Wat met personen wiens gegevens je verwerkt?

  • Ze hebben recht op informatie over de gegevens die je bijhoudt
  • Ze mogen toegang vragen tot de informatie die je over hen bewaart
  • Ze hebben recht op correctie en de uitwissing van hun gegevens
  • Ze mogen bezwaar indienen tegen directe marketingpraktijken en tegen geautomatiseerde besluitvorming en profilering.
     

Wat als onderneming/vereniging/organisatie?

Ga na welke gegevens je bewaart. En schrijf een gegevensbeleid uit waarin staat beschreven wat er moet gebeuren op vlak van:

  • Het bijhouden van een verwerkingsregister, 
  • Het opstellen van een privacy policy, 
  • Wat er moet gebeuren in geval van een data-lek
  • Wie er in de organisatie verantwoordelijk is voor de GDPR.

Om je te helpen bij het correct gebruik van cookies maakte de Gegevensbeschermingsautoriteit deze handige checklist.

    Wetgeving

    EU
    VERORDENING (EU) 2016/679 VAN HET EUROPEES PARLEMENT EN DE RAAD  van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) 

    Belgische wetgeving
    30 juli 2018- Wet betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens
     

    Gegevensbeschermingsautoriteit

    De Gegevensbeschermingsautoriteit zorgt ervoor dat persoonsgegevens zorgvuldig worden gebruikt en beveiligd, en dat uw privacy ook in de toekomst gewaarborgd blijft.

    1