GDPR - deel 3: de basis principes

Een klein lichtje aan het eind van de (VPN)tunnel…
GDPR_3

Een punthoofd krijgen we ervan...

Seminaries, studienamiddagen, informatie verzamelen en lezen, veel lezen...
Het is waanzinnig hoeveel (digitaal) papier er wordt gebruikt voor de GDPR.

Maar eindelijk brandt er een heel klein lichtje aan het einde van de (VPN)tunnel.

We hebben geleerd dat je best begint met de volgende 4 basis principes:


1. Identificeer


Zoek en identificeer alle (persoonsgebonden) data die je bijhoudt.
Zoek in papieren documenten, computerbestanden, computerprogramma's en databases naar persoonlijke informatie.
Begin met het vernietigen van verlopen of overbodige documenten die persoonlijke gegevens bevatten.

2. Beheer


Documenteer de economische en wettelijke redenen voor het opslaan en verwerken van persoonlijke data.
Controleer of er toestemming is voor het bezitten van deze data. Indien niet, vraag dan toestemming.
Controleer de overeenkomsten met derden die toegang hebben tot de persoonlijke gegevens. Pas de contracten desgevallend aan.
Herzie de nodige bewaartermijn van de data.
Onderzoek hoe je wil omgaan met het verwijderen van gegevens (recht om vergeten te worden) en pas de 'workflow' aan.

3. Bescherm


Beperk de toegang tot persoonlijke gegevens.
Leg de verwerkingsmodaliteiten vast. Wie kan raadplegen, bewerken en verwijderen.
Controleer de IT beveiliging.

4. Rapporteer


Documenteer uw protocols.
Voer een systeem in voor voor het beheer van de vragen tot inzage, correctie of verwijdering.
Stel een protocol op voor de acties in geval van een datalek. Let erop dat uw medewerkers dit kennen.
Plan en test een datalek.

Samengevat ziet dit er zo uit:
GDPR_basisDit is het ruime kader waarbinnen we kunnen/moeten werken.


Voor we meer in detail treden willen we twee essentiële begrippen van de GDPR nader ontleden:

1. Persoonlijk gegevens


De definitie in de wetgeving laat veel aan de verbeelding over.
Letterlijk luidt de omschrijving van persoonsgegevens:
Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon”.

Met andere woorden, onder persoonsgegevens mag je alle informatie verstaan waarmee je een persoon kan herkennen.
Zo zijn foto’s, naam, adres, telefoonnummer of een rijksregisternummer dus allemaal persoonsgegevens.

Anders geformuleerd:
"Elke vorm van informatie die naar een natuurlijke persoon kan leiden, zijn persoonsgegevens"

Ook digitale gegevens, zoals gebruikersnamen, vallen hieronder.
Zelfs een pseudoniem kan gelinkt worden aan een naam, en een naam aan een persoon.
Een Twitter-handle, en ook tweets, zijn dus persoonsgegevens.
Hetzelfde geldt voor een IP-adres.
Ze kunnen, al dan niet met aanvullende gegevens, terugkoppelen naar een persoon.

Indien we dit praktisch bekijken komen tot de volgende (niet beperkende) lijst:
  • identificatiegegevens (naam, titel, adres, nationaliteit, geslacht, fysieke eigenschappen, e-mail, telefoonnummer, rijksregisternummer, nummer van identiteitskaart, nummer van rijbewijs, nummerplaat …)
  • financiële gegevens (rekeningnummers, kaartnummers, codes, inkomsten, investeringen, uitgaven, betaalgedrag, leningen, uitkeringen, subsidies, verzekeringen …)
  • elektronische gegevens (IP-adres, locatie, IMEI, cookies, surfgedrag, verbindingsmomenten, onlinekoopgedrag, inloggegevens …)
  • sociale, maatschappelijke en werkgerelateerde gegevens (functie, jobhistoriek, cv, openbare mandaten, onderscheidingen, diploma’s, vergunningen, gezin, hobby’s, interesses, sociale contacten, sociale media, lidmaatschappen …)
  • beeld- en geluidsopnamen
  • gerechtelijke gegevens (strafblad, dagvaardingen, veroordelingen, verdenkingen, boetes …)

Daarnaast erkennen we nog een aantal bijzondere/gevoelige persoonsgegevens die we best niet bewaren.
Indien dit toch noodzakelijk zou zijn, moeten we hier met de grootste zorg mee omgaan.
  • ras of etnische afkomst
  • politieke opvattingen
  • religieuze of levensbeschouwelijke opvattingen
  • lidmaatschap bij een vakbond
  • genetische gegevens (DNA …)
  • biometrische gegevens (fysieke, fysiologische en gedragskenmerken van een persoon, gezichtsherkenning, vingerafdrukken …)
  • informatie gerelateerd aan iemands (fysieke en mentale) gezondheid

2. Rechten van het datasubject

(de wat oneerbiedige naam voor de persoon waarop de gegevens betrekking hebben).
  • recht op toegang/inzage
  • recht op verbetering
  • recht op wissing
  • recht op beperking van de verwerking
  • recht op overdraagbaarheid
  • recht op bezwaar tegen verwerkingen op basis van een gerechtvaardigd belang, verwerkingen voor direct marketing en profiling, en verwerkingen voor wetenschappelijk of historisch onderzoek of statistische
  • doeleinden die niet in het algemeen belang zijn
  • recht om zich te verzetten tegen beslissingen op basis van alleen geautomatiseerde verwerkingen
  • recht om klacht in te dienen bij de toezichthoudende autoriteit



GDPR - deel 4: eindelijk iets praktisch
GDPR - deel 3: de basisprincipes
GDPR - deel 2: het verschil
GDPR - deel 1: inleiding
AVG, GDPR, Privacy?