GDPR – een introductie

GXP-Connect beheersmodule

Wat is GDPR ?

GDPR staat voor ‘General Data Protection Regulation’, in het Nederlands: ‘Algemene Verordening Gegevensbescherming’ (afgekort AVG). GDPR is een Europese wetgeving die het beheer en de beveiliging van persoonsgegevens regelt. Deze verordening is op 24 mei 2016 in werking getreden met een overgangsperiode van 2 jaar waardoor men tot 25 mei 2018 de tijd krijgt om zich in regel te stellen met de GDPR-vereisten.

Iedere organisatie die persoonsgegevens verwerkt (bv. leden opvolgen, klanten opvolgen, …) moet aan GDPR voldoen. Voor velen lijkt dit een ver-van-mijn-bed-show maar niets is minder waar! Elke organisatie en onderneming gebruikt en bewaart persoonlijke gegevens. Elke organisatie bezit wel ergens een database met ledengegevens, personeelsgegevens, gegevens van klanten/leveranciers, … en is verplicht zich in regel te stellen.

Concrete voorbeelden:

  • Een cultuurvereniging, sport of jeugdvereniging houdt een ledenregister bij;
  • Een winkel verwerkt informatie op basis van klantenkaarten;
  • Een marketingbedrijf analyseert koopgedrag;
  • Een boekhouder houdt gegevens bij in het kader van de antiwitwaswetgeving;
  • Een zorgverlener, bv. kinesist, werkt met een zorgdossier.

Samengevat bepaalt GDPR een reeks vereisten met betrekking tot:

  • de vrijwaring van de rechten van de personen over wie je gegevens bijhoudt;
  • het garanderen van de veiligheid van persoonsgegevens;
  • de verplichting om aan te tonen dat een organisatie de GDPR-vereisten naleeft;
  • een verantwoordingsplicht en meldingsplicht, o.m. recht op informatie, preventie, detectie en melding bij ongewenste toegang en/of ongewenst gebruik van persoonsgegevens.

Wat zijn persoonsgegevens ?

Elke informatie over een natuurlijke persoon wordt beschouwd als een persoonsgegeven. Voorbeelden zijn adres, contactgegevens, familie en demografische gegevens, gedragspatronen en interesses, gegevens over huis en werk, …

Bepaalde persoonsgegevens zoals geboortedatum (ouderdom), ras of etnische afkomst, lidmaatschap van een vakbond, religieuze of levensbeschouwelijke overtuigingen, biometrische gegevens, … worden als gevoelige gegevens beschouwd. Ook gerechtelijke gegevens vallen onder deze categorie. Het verwerken van gevoelige gegevens vereist extra aandacht en specifieke maatregelen.

Wat moet je doen om aan de GDPR-vereisten te voldoen ?

Elke organisatie dient zijn gegevenswerking na te zien vanuit een aantal invalshoeken (o.a. juridisch, technisch, beveiliging, …) om vast te stellen of aan de basisprincipes van GDPR voldaan wordt.

  • Persoonsgegevens moeten op een rechtmatige, behoorlijke en transparante wijze verworven en verwerkt worden. Dit houdt o.m. dat duidelijkheid ontstaat welke die persoonsgegevens zijn, hoe ze precies verkregen (bv. toestemming) worden en hoe ze gebruikt worden.
  • Ze mogen enkel verzameld worden voor welbepaalde, uitdrukkelijk omschreven doelen.
  • Ze moeten beperkt worden tot het minimum dat nodig is voor het beoogde doel.
  • Ze moeten accuraat zijn en up-to-date gehouden worden.
  • Ze mogen niet langer bewaard worden dan noodzakelijk.
  • Ze moeten verwerkt worden op een manier die de veiligheid van die gegevens waarborgt.

De organisatie die persoonsgegevens verwerkt is verantwoordelijk voor het naleven van bovenstaande basisprincipes en moet dit kunnen aantonen door middel van documentatie, richtlijnen en procedures. Concreet betekent dit dat uw organisatie medewerkers – intern of extern – met de juiste competenties en de juiste kennis aan het werk moet zetten met de juiste GDPR-tools.

De toezichthoudende autoriteit (= privacy commissie) beschrijft de voorwaarden waaraan uw interne documentatie moet beantwoorden. Deze documentatie moet door elke organisatie op eenvoudig verzoek op elektronische wijze kunnen voorgelegd worden.

WIE ?

Vul de naam en de contactgegevens in van de verwerkingsverantwoordelijke (en zijn wettelijke vertegenwoordiger) en van de functionaris voor gegevensbescherming als u er een moet aanstellen;
Stel een lijst op van de verwerkers.

WAT ?

Identificeer de categorieën verwerkte gegevens en de categorieën betrokken personen;
Identificeer de zogenaamde gevoelige gegevens zoals de gezondheidsgegevens en gerechtelijke gegevens.

WAAROM ?

Identificeer de doeleinden waarvoor de gegevens worden ingezameld. Er moet een beschrijving gebeuren per doeleinde.

WAAR ?

Vermeld de categorieën bestemmelingen (ook indien ze in derde landen gevestigd zijn) naar waar de gegevens worden overgedragen;
Vermeld de doorgiften aan een derde land of internationale organisatie en identificeer het land en in voorkomend geval de bestaande passende waarborgen.

TOT WANNEER ?

Vermeld voor iedere categorie gegevens de bewaartermijn. De bewaartermijn moet niet noodzakelijk uitgedrukt worden in aantal dagen, maanden of jaren maar mag ook verwijzen naar de tijd die noodzakelijk is om een concreet project te realiseren.

HOE ?

Geef een algemene beschrijving van de ingevoerde technische en organisatorische beveiligingsmaatregelen die garanderen dat het beveiligingsniveau aan het risico is aangepast.

Aan de slag: hoe voldoen aan de GDPR-verantwoordingsplicht ?

Uw organisatie zal een aantal acties moeten uitvoeren om aan te tonen dat ze voldoet aan de vereisten van GDPR. Als een minimum houdt dit in:

  • Opstellen van een beleidsrichtlijn/verklaring met de algemene principes die van toepassing zijn op alle personen en medewerkers van uw organisatie;
  • Documenteren van:
    1. een cataloog van persoonsgegevens;
    2. de personen op wie bepaalde gegevens van toepassing zijn = dataregister;
    3. de verwerking van deze gegevens = verwerkingsregister.
  • Aanstellen van een persoon die de implementatie van de richtlijnen opvolgt en als contact fungeert voor de personen waarover u gegevens verwerkt;
  • Eventuele verdere implementatie van de beleidsrichtlijn door middel van een aantal interne procedures.