Om persoonsgegevens te beschermen in overeenstemming met de GDPR, moet je als verwerkingsverantwoordelijke aan heel wat denken. We hebben al een behoorlijk aantal specifieke verplichtingen besproken in vorige blogs. Op voorhand moet je al dan niet verplicht een DPIA doorvoeren of de GBA raadplegen. Je moet er ook op toezien dat de gepaste technische en organisatorische maatregelen worden getroffen, én je moet alles documenteren. Hoe die verplichtingen specifiek vorm krijgen, kan sterk verschillen naargelang het type van gegevensverwerking. Maar de basisbeginselen van gegevensbescherming, die gelden voor elk type verwerking! Zet dan ook op tijd eens een stapje terug om na te kijken of je nog steeds deze algemene beginselen in acht neemt!
Transparantie
Als er iets is wat je moet doen om de persoonsgegevens van individuen te beschermen, dan is het wel transparantie bieden over wat je met die gegevens doet. De betrokkene zelf moet kunnen nagaan welke gegevens van hem of haar verzameld worden, voor welke doeleinden ze verzameld worden en wat er verder mee gebeurt.
De GDPR legt de verwerkingsverantwoordelijke op om betrokkenen zowel transparante informatie als transparante communicatie te bieden. Die informatie en communicatie moeten overgebracht worden op een beknopte, transparante, begrijpelijke en makkelijk toegankelijke vorm en in duidelijke en eenvoudige taal. Dat kan schriftelijk gebeuren, maar ook bijvoorbeeld via elektronische middelen. Aan het transparantiebeginsel geeft de GDPR verder uitvoering door de verantwoordelijke specifieke informatie- en communicatieverplichtingen op te leggen.
Een privacyverklaring op de website van uw onderneming is een goed instrument om voldoende helderheid te scheppen voor de betrokkene, maar zorg er dan ook voor dat je geen vage omschrijvingen hanteert. Hoe specifieker, hoe beter! Zorg er dus voor dat de betrokkene ook écht geïnformeerd wordt. Anderzijds: het is een “verklaring”, en geen “overeenkomst”: de betrokkene hoeft dan ook helemaal niet zijn of haar akkoord te geven!
Rechtmatigheid
Een verwerking is enkel rechtmatig indien die gefundeerd is op een verwerkingsgrond. Ken je ze nog? Voor meer details kan je altijd eens terug gaan spieken naar onze blog hierover , maar weet dat de rechtmatigheid strenger is wanneer je met gevoelige gegevens te maken hebt. In dat geval is verwerking verboden tenzij aan minstens één van de wettelijke uitzonderingen voldaan is.
Toestemming lijkt een mooie verwerkingsgrond. Hou er echter wel rekening mee dat je deze toestemming moet kunnen bewijzen, en dat bij intrekking van de toestemming, de rechtmatigheid van je verwerking ook meteen in het gedrang komt!
Doelbinding
Doelbinding houdt in dat persoonsgegevens steeds slechts voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden mogen worden verzameld. Op voorhand moet je dus de doelstellingen vaststellen waarvoor je persoonsgegevens gaat verzamelen. Vervolgens mag je die persoonsgegevens niet gaan verwerken buiten die welbepaalde doelstellingen om.
De GDPR is wel toegeeflijker voor wat betreft verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden. In die omstandigheden kan wel worden afgeweken van de oorspronkelijke doeleinden.
Wil je een systeem van Business Intelligence opzetten waarbij net over de schotten heen gekeken wordt van applicaties en bronsystemen? Hou dan sterk rekening met de doelbinding: de bron- of oorspronkelijke data die hiervoor gaan gebruikt worden zijn immers met een specifiek doel verzameld, en mogen dan ook enkel voor dat doel gebruikt worden.
Juistheid
De persoonsgegevens die verwerkt worden moeten op zich ook juist zijn. Indien nodig, moet je ze actualiseren. Bovendien houdt dit in dat alle redelijke maatregelen genomen moeten worden om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te corrigeren.
Het juistheidsbeginsel is eerder een beginsel dat je als verwerkingsverantwoordelijke naar redelijkheid moet invullen. Of correctie van de persoonsgegevens al dan niet noodzakelijk is, zal bovendien afhankelijk zijn van de aard van de persoonsgegevens en de doeleinden van de verwerking. Dit beginsel krijgt in de GDPR vorm via het recht van de betrokkene op gegevenswissing (‘recht op vergetelheid’) en zijn of haar recht op rectificatie.
Maakt iemand gebruik van zijn recht op rectificatie om je er op te wijzen dat haar naam “An” is en niet “Anne”? Dan betekent dit beginsel dat je ook de plicht hebt deze aanpassingen door te voeren, en in je volgende nieuwsbrief of mailing haar inderdaad aan te spreken met “An”.
Minimale gegevensverwerking
Het beginsel van de minimale gegevensverwerking houdt in dat de persoonsgegevens toereikend moeten zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.
Je mag dus niet méér persoonsgegevens verzamelen dan wat noodzakelijk is voor de specifieke verwerking.
Geef je aan de bezoekers van je website de gelegenheid om vragen te stellen via een contactformulier? Vraag dan hun naam en email adres. Maar laat dat adres, en oh ja de geboortedatum maar achterwege.
Opslagbeperking
Let er ook op dat je persoonsgegevens niet langer bewaart dan wat noodzakelijk is voor de verwerkingsdoeleinden.
Voor sommige persoonsgegevens gelden er binnen een bepaalde context wettelijke bewaartermijnen die je moet naleven, maar in overige omstandigheden zal de verwerkingsverantwoordelijke zelf concreet de gepaste termijn moeten afwegen. Hier zal het nut van de persoonsgegevens voor de specifieke verwerking enerzijds, moeten afgewogen worden tegen de rechten en vrijheden van de betrokkenen.
Als je bijvoorbeeld gedurende een termijn van 10 jaar nog CV’s van sollicitanten bijhoudt, zal je dit beginsel van opslagbeperking ongetwijfeld miskennen. Dat gaat ver buiten wat nuttig is in het kader van selectieprocedures. Na 10 jaar zijn dergelijke gegevens immers niet meer relevant.
Opnieuw is de GDPR milder voor persoonsgegevens die worden verwerkt in het kader van archivering in het algemeen belang, wetenschappelijk of historisch onderzoek en statistische doeleinden.
Integriteit en vertrouwelijkheid
Ten slotte moet elke verwerking integer en vertrouwelijk gebeuren. Dit gaat over de beveiliging van de persoonsgegevens waarbij de reeds bekende TOMs de hoofdrol spelen. Meer bepaald moet je passende TOMs nemen om te waarborgen dat de persoonsgegevens die verwerkt worden voldoende beveiligd zijn. De persoonsgegevens moeten onder andere beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.
Zo moet je zorgen dat de noodzakelijke maatregelen worden getroffen om de negatieve gevolgen van een ransomware attack zo veel als mogelijk te vermijden. Encryptie en regelmatige back-ups zijn hiertoe cruciaal.
Conclusie
Pas deze basisbeginselen dus toe op iedere persoonsgegevensverwerking, maar vergeet ook niet om ze regelmatig te evalueren. Een verwerking is immers vaak een levend gegeven. Zie je door het bos de bomen niet meer, dan kunnen de algemene principes handig zijn als snelle checklist. Kom je er toch niet uit, dan kan je steeds contact nemen met onze specialisten via hallo@dejuristen.be.
Geschreven door Larissa De Keyser, Trainee deJuristen, en Kris Seyen, Partner deJuristen
