GDPR: Wat zijn mijn plichten als verwerkingsverantwoordelijke?
De nieuwe privacywet GDPR zorgt niet alleen voor rechten voor datasubjects. Maar ook voor extra plichten voor bedrijven die persoonsgegevens verwerken. Waar moet je als verwerkingsverantwoordelijke rekening mee houden om GDPR-compliant te zijn?
Geen rechten zonder plichten
In ons vorige blogbericht kon je lezen wat de rechten van datasubjects zijn volgens de GDPR. Deze extra rechten brengen ook meer plichten met zich mee. In de huidige privacywet zijn al veel regels, maar in de GDPR zijn er nog enkele bijgekomen. Ben je een onderneming die data van personen verzamelt? Dan neem je best je maatregelen om GDPR-compliant te zijn.
Plichten voor de verwerkingsverantwoordelijke
Je kan de plichten in 3 pijlers opdelen:
- Informeren en toestemming vragen
- Beveiligen en verplicht verantwoorden
- Rechten van het datasubject nakomen en bewaken
1. Informeren en toestemming vragen
1.1 Informeren
Transparantie is key! Verwerk je iemands persoonsgegevens? Dan moet je deze persoon hierover gedetailleerd inlichten. Zo moet je hem laten weten dat je zijn persoonlijke informatie verwerkt, over welke info het gaat, hoelang deze gegevens worden bewaard en waarom je deze nodig hebt. Dit alles mag natuurlijk enkel met de toestemming van de desbetreffende persoon!
1.2 Toestemming vragen
De verwerkingsverantwoordelijke moet toestemming hebben van de personen waarvan hij data wil verwerken of verwerkt. Deze goedkeuring moet voor elke soort verwerking gevraagd worden. Verder moet het ook ondubbelzinnig zijn, dit wil zeggen dat het niet anders begrepen mag worden.
Opmerkingen:
- Een datasubject mag altijd de toestemming die hij heeft gegeven intrekken. Dit moet even gemakkelijk gaan als het geven van toestemming. Zorg dus zeker voor een uitschrijflink in je e-mails!
- Een persoon moet met een actieve handeling toestemming geven. Je mag dus geen aangekruist vakje plaatsen. De persoon moet dit zelf selecteren.
- Uit die actieve handeling moet je kunnen afleiden dat het datasubject vrij en specifiek, geïnformeerd is en dat hij ondubbelzinnig instemt met de verwerking van de data.
- Wordt de data verwerkt en voor verschillende doeleinden gebruikt? Dan moet het datasubject voor elk doeleinde afzonderlijk zijn toestemming geven.
Minderjarigen en privacy
Is iemand waarvan je gegevens verwerkt jonger dan 16 jaar? Dan is de verwerking alleen wettelijk als er toestemming gegeven is door iemand die de ouderlijke verantwoordelijkheid over de minderjarige heeft. In sommige regio’s kan de leeftijdsgrens door regionale autoriteiten verlaagd worden tot 13 jaar. De leeftijdsgrens kan dus van regio tot regio verschillen.
Uitzonderingen voor het vragen van toestemming:
- Een overeenkomst
Een overeenkomst zoals een verkoopovereenkomst is een uitzondering. Je hebt dan geen expliciete toestemming nodig om bepaalde gegevens te krijgen. Bijvoorbeeld: je verkoopt keukens, dan mag je de naam en het adres van de koper vragen, want je hebt deze gegevens nodig om de overeenkomst uit te voeren. Je mag iemand bijvoorbeeld niet verplichten om hobby’s op te geven. Je hebt deze informatie immers niet nodig binnen de overeenkomst. - Een wettelijke verplichting
Je bent als werkgever bijvoorbeeld wettelijk verplicht om persoonsgegevens van werknemers te bezorgen voor de sociale zekerheid. Daarvoor moet je dus geen toestemming vragen aan je werknemer.
2. Beveiliging en verantwoordingsplicht
2.1 Beveiliging
Wat is een datalek?
Een datalek is een inbreuk op de beveiliging van je data. Deze kan per ongeluk of op illegale manier ervoor zorgen dat: persoonsgegevens vernietigd zijn, verloren zijn gegaan, aangepast zijn, illegaal worden doorgegeven of illegaal toegankelijk zijn.
Wat moet je doen bij een datalek?
Je moet als verwerkingsverantwoordelijke de inbreuk melden aan de Privacycommissie uiterlijk 72 uur na de ontdekking, tenzij er geen risico is voor de rechten en vrijheden van natuurlijke personen. Wordt het lek niet binnen de 72 uren gemeld aan de toezichthoudende autoriteit, dan moet je een reden voor de vertraging bijvoegen. Een verwerker moet de verwerkingsverantwoordelijke zonder vertraging informeren wanneer hij een inbreuk met betrekking tot persoonsgegevens heeft opgemerkt.
Welke gegevens moeten volgens de wet extra beschermd worden?
- Gegevens waaruit ras, etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen of vakbondslidmaatschap is af te leiden.
- Gegevens over de gezondheid of seksueel gedrag of geaardheid van iemand.
- Genetische of biometrische gegevens waarmee je iemand uniek kunt identificeren.
Deze gegevens mogen niet verwerkt worden, er zijn echter wel belangrijke uitzonderingen.
2.2 Verantwoordingsplicht
Wat houdt de verantwoordingsplicht in?
Als onderneming ben je zelf verantwoordelijk voor het naleven van de GDPR. Je moet persoonsgegevens compliant verwerken en dit kunnen aantonen. Dit geldt voor alle gegevens, ook voor die je hebt verkregen voordat je GDPR-compliant was. Zo moet de verwerkingsverantwoordelijke technische en organisatorische maatregelen nemen en een register van zijn verwerkingsactiviteiten bijhouden.
By design and by default
De verwerkingsverantwoordelijke moet technische en organisatorische maatregelen nemen. Dit geldt voor het volledige proces van het verwerken van persoonsgegevens. Ook tijdens het bepalen van het verwerkingsmiddel en het verwerken zelf. Het doel is om de beginselen om gegevens te beschermen zo goed mogelijk uit te voeren door bijvoorbeeld minimale gegevensverwerking. Ook moeten waarborgen in de verwerking worden ingebouwd om de GDPR na te leven en de rechten van de betrokkenen te beschermen.
Tips voor het compliant uitwisselen van data met andere bedrijven:
Werk je als onderneming samen met, of in opdracht voor, andere bedrijven? Wissel je regelmatig persoonsgegevens uit? Hou hier dan rekening mee:
Sluit altijd een verwerkingsovereenkomst af. Maak hierin afspraken over de duur, beschrijving en het doel van de gegevensverwerking, de beveiligingsmaatregelen die je zult nemen enzovoort. In de GDPR staan duidelijke regels over wat deze richtlijnen moeten inhouden.
3. Rechten van het datasubject nakomen en bewaken
In de vorige blog las je de rechten van de datasubjects. Als je je aan de bijhorende extra plichten houdt en zorgt dat de rechten van de personen gerespecteerd worden, ben je op de goede weg.
De GDPR zorgt voor extra plichten voor ondernemingen die persoonsgegevens verwerken. Je moet je datasubjects goed informeren en toestemming vragen om hun gegevens te verwerken, je moet zorgen voor beveiliging, je hebt verantwoordingsplicht en moet rekening houden met de rechten van het datasubject.
In de volgende blog hebben we het over een DPO. Wat is het en wanneer heb je dit nodig?