In mei 2018 gaat de nieuwe Europese privacywet GDPR in. In dit blogartikel beschrijven we de 8 basisprincipes van GDPR. GDPR is opgebouwd rondom acht principes die we hier in het kort beschrijven:

Legitimiteit en transparantie

Er moet een juridische basis zijn voor de verwerking van persoonlijke data. Je moet volledig transparant zijn waarom je de gegevens vastlegt en wat je ermee gaat doen. Elk individu moet vrijwillig toestemming hebben gegeven voor het specifieke gebruik dat jij van zijn gegevens gaat maken. Als je gegevens voor meerdere gebruiksdoelen vastlegt moet je voor elk doel apart toestemming vragen. Als je de gegevens met anderen wilt delen, dan dien je daarvoor toestemming te vragen. Een simpele cookiebar op de website, zonder verwijzing naar regels en voorwaarden volstaat dus niet meer. Ook zijn er specifieke regels om kinderen te beschermen.

Doelbinding

Persoonlijke gegevens morgen slechts worden verzameld voor legitieme doeleinden en alleen als je die expliciet hebt aangegeven en daar toestemming voor hebt gevraagd en gekregen. Je mag die gegevens verder niet gebruiken voor doelen die hiermee niet in overeenstemming zijn. Als je een theater bent is het waarschijnlijk toegestaan om aan bestaande klanten een cd van een theatershow aan te bieden die ze bezocht hebben. Maar tenzij klanten daar expliciet toestemming voor hebben gegeven, is het niet toegestaan om een theaterreis naar Rome aan te bieden.

Dataminimalisatie

Persoonlijke gegevens dienen adequaat en relevant te zijn voor de doelen die je hebt aangegeven. Je mag niet meer gegevens verzamelen dan nodig voor de aangegeven doelen en ook niet langer bewaren dan nodig. Bijvoorbeeld het vragen naar de kleur ogen kan relevant zijn voor een schoonheidssalon, maar is waarschijnlijk niet relevant voor een fondsenwerver. Dataminimalisatie houdt bijvoorbeeld ook in dat als een individu zich uitschrijft van jouw dienstverlening, je alleen die gegevens van hem bewaart die wettelijk verplicht zijn of noodzakelijk om later aan je administratieve verplichtingen te voldoen.

Accuraatheid

Je moet redelijke stappen ondernemen om de persoonlijke gegevens up-to-date te houden en bij te werken indien ze niet meer accuraat zijn. Wat redelijk is en hoe actief je daarin moet zijn, is afhankelijk van het soort relatie en het soort gegevens waarom het gaat. Als je een ziekenhuis bent, zul je vaker moeten checken of de gegevens nog correct zijn dan wanneer je online kattenvoer verkoopt. Als een klant zijn contactgegevens bijwerkt moet je die nieuwe gegevens gebruiken en mag je geen contact meer opnemen op basis van de oude gegevens.

Niet langer bewaren dan nodig

Je mag persoonlijke gegevens niet langer bewaren dan nodig is om aan de doeleinden te voldoen waarvoor je toestemming hebt verkregen. Gegevens die verouderd zijn of niet meer nodig moeten adequaat verwijderd worden. Als een nieuwsbriefinschrijver bijvoorbeeld aangeeft dat hij geen marketinginformatie meer wil ontvangen, dan dien je net genoeg informatie te bewaren om te zorgen dat je hem uit je marketingactiviteiten kunt verwijderen. Als een recente klant met een openstaande bestelling hetzelfde vraagt, dan mag je ook de informatie bewaren die nodig is om zijn order te kunnen verwerken.

Inzage-, correctie- en verwijderrecht en dataportabiliteit

Individuen hebben het recht om hun persoonlijke gegevens in te zien, te laten corrigeren en om reeds verstrekte toestemming voor bepaalde toepassingen zoals het gebruik voor direct marketing in te trekken. Ook hebben ze het recht om schadevergoeding te vragen als hun gegevens op straat komen te liggen. In sommige gevallen hebben ze ook het recht om te vragen dat hun gegevens worden verwijderd of vernietigd: het recht om vergeten te worden. Je moet de gegevens dan ook fysiek wissen of anonimiseren dus alleen een record op do-not-mail zetten is niet toereikend. Overigens mogen individuen alleen gegevens opvragen die op hen betrekking hebben – dat mag ook per e-mail, fax of per post – en je dient dan ook te controleren of degene die de informatie opvraagt daadwerkelijk het recht heeft om deze in te zien. Een nieuw recht is ook dat van dataportabiliteit, wat inhoudt dat klanten kunnen verzoeken dat zij hun persoonsgegevens in een standaardformaat van jou ontvangen, zodat zij hun gegevens makkelijk kunnen doorgeven aan een andere leverancier. Of zelfs dat jij al hun persoonsgegevens zonder kosten naar een andere leverancier overzet, bijvoorbeeld van de ene bank naar de andere.

Beveiliging

Je bent verplicht om organisatorische, fysieke en technische maatregelen te treffen om persoonlijke data te beveiligen op een niveau dat overeenstemt met de gevoeligheid van die data. Dus als je een bank bent dan zul je een zwaarder beveiligingssysteem moeten hebben dan een boekwinkel, omdat de mogelijke gevolgen van een inbreuk op de persoonsgegevens groter zijn. Je mag gegevens ook niet verplaatsen naar andere landen die niet hetzelfde niveau van databescherming hebben zonder expliciete toestemming van je klanten. Je moet kunnen aantonen dat je adequate beveiligingsmaatregelen hebt getroffen. Ook als je externe dienstverleners gebruikt – de zogenaamde verwerkers – blijf je verantwoordelijk voor wat er met de gegevens gebeurt.

Verantwoordelijkheid

In geval van een datalek ben je verplicht om dit binnen 72 uur te melden bij de Autoriteit Persoonsgegevens. Brengt het lek risico’s met zich mee voor de rechten en vrijheid van individuen, dan dien je ook de betrokken direct op de hoogte te stellen.

Verder moet je data protection impact assessments uitvoeren om de impact van projecten op privacy te voorspellen en om aanpassingen door te voeren waar nodig.

Veel organisaties zijn tevens verplicht om een gegevensbeschermingsfunctionaris (data protection officer ofwel DPO) te benoemen die verantwoordelijk is voor alles met betrekking tot de veiligheid van persoonlijke gegevens. In ieder geval moet je er een benoemen als:

  1. Je een overheidsinstantie of overheidsorgaan bent;
  2. Je regelmatig of stelselmatig personen monitort middels dataverwerking. Hieronder valt ook elke vorm van tracking en profilering op internet of offline, dus ook behavioural advertising, en e-mail retargeting;
  3. Als je gevoelige persoonlijke gegevens verwerkt, zoals ras of etnische afkomst, politieke opvattingen, seksuele gerichtheid, religieuze of levensbeschouwelijke overtuigingen, medische gegevens, strafrechtelijke gegevens of het lidmaatschap van een vakbond. Voor het mogen verwerken van gevoelige gegevens gelden overigens sowieso bijzondere aanvullende regels.

MEER LEZEN OVER GDPR:

Heb je vragen over GDPR of kun je wat hulp gebruiken om je database of CRM-processen op orde te krijgen? Neem dan contact met ons op.

WELLICHT OOK INTERESSANT