persoonsgegevens bewerken en bewaren
GDPR - hoe werkt dat?
GDPR staat voor ‘General Data Protection Regulation’ en trad op 25 mei 2018 in werking. Deze Europese privacy wetgeving is gericht op de bescherming van persoonsgegevens gewone mensen. Verzamel je gegevens van gewone mensen en niet van bedrijven, dan is deze pagina voor jou!
1

Standaard GDPR Verplichtingen

«Je dient een document te hebben waarin je uitlegt hoe je gegevens verzamelt, wat je er mee doet, hoe lang je ze bewaart en wie toegang heeft tot deze gegevens»
Christiaan
Eindbaas

Je dient een document te hebben waarin je uitlegt hoe je gegevens verzamelt, wat je er mee doet, hoe lang je ze bewaart en wie toegang heeft tot deze gegevens. Dit is vorm vrij, dat wil zeggen dat je het document naar eigen inzicht mag vormgeven qua opbouw. De tekst hieronder gaat op voor de meeste ondernemingen. De uitzondering wordt gevormd door ondernemingen die zich specifiek bezig houden met gegevensverzameling en verwerking en dat ongeacht hun omvang. Die hebben een DPO nodig, verderop specifiek aandacht voor deze vereiste. Het uitgangspunt is hier proportionaliteit, is gegevensbeheer en verwerking je hoofdtaak of is het een ondersteunende taak?


Besef dat iedere klant of ieder lid / leerling recht heeft op inzage en dat mag je concreet opvatten: “over welke gegevens beschik je van me”. En dat gaat verder dan contactgegevens vanaf dat iemand iets besteld heeft en je deze bestelinformatie bewaard hebt (datum, bedrag, product enzovoort). Ook als iemand les volgt en je houdt bij welke lessen met welke resultaten. Hoe dan ook, als je de vraag krijgt dien je te kunnen antwoorden. Het is dan wel handig (maar niet verplicht) dat je niet op zoek moet in allerhande systemen. Men kan ook vragen de gegevens te verwijderen. Wij bieden de mogelijkheid om dit te voorzien via email voor de gegevens die via invullen.be werden verzameld.


Je kan ook vragen dat men contact opneemt om dan handmatig alle gegevens te verwijderen. Hoe je nadien iemand informeert is vormvrij, je mag bellen, een sms, een brief sturen of een email of het zelf gaan vertellen. Eerder hoe je het doet, het gaat tijd kosten en de wetgever zal - mocht het tot een bestudering van je zaak komen - ook letten op hoe moeilijk het was voor de persoon in kwestie om het verzoek te doen en hoe aantoonbaar netjes je het afhandelde. Het inbouwen van ontmoedigingsprocedures om de gegevens verwijderd te krijgen, werkt tegen je. Je mag gebruikers vragen of ze zeker zijn, ze wijzen op de nadelen, echter ze niet hinderen.


Een andere verplichting is dat je klantgegevens zorgvuldig bewaakt en bewaart om te voorkomen dat derden er onrechtmatig mee aan de haal gaan. En in geval van gegevensdiefstal dien je dit te melden. Dus als iemand je Excel sheet met klantgegevens heeft gekopieerd zonder je toestemming, dan dien je dit te melden. En als je hiervan een print gemaakt hebt en je dus met papier werkt en iemand neemt deze papieren mee, dan moet je dit ook melden. Ook hier geldt ‘vormvrij’, de informatiedrager is van ondergeschikt belang. We gaan er zo gemakkelijk vanuit dat alles elektronisch bewaard wordt, maar voor de overheid is dit (overigens terecht) niet de enige vorm. Ook als al je klant informatie in steen zou beitelen en de stenen worden gestolen, dien je dit te melden. Diefstal is diefstal.


En dan is er nog de vraag wie binnen je organisatie gemachtigd is om informatie in te zien en eventueel aan te passen. Stel je hebt een labo waar bloed word geanalyseerd, wie mag dan de patiëntgegevens inzien en bewerken? Ook dit dient in het document te staan. Ben je een vervoerder en rij je voor scholen en andere instellingen en beschik je over gevoelige persoonsgegevens zoals geaardheid, armoede (of extreme rijkdom), achterlijkheid (of buitengewone intelligentie) dan dien je hier voorzichtig mee om te gaan.


Je dient gegevens ook niet langer te bewaren dan noodzakelijk voor de uitvoering van je taak. Heb je ooit een boek verkocht en verkoop je nu geen boeken meer, dan dien je deze informatie te verwijderen. Bewaarde gegevens dienen aantoonbaar nuttig te zijn. Dit om te voorkomen dat alles bewaart vanuit de gedachte : ‘je weet nooit waar het nog eens goed voor kan zijn’. Heb je geen duidelijk bewaardoel, weg ermee.


Dan is er nog informatie vereist voor het vervullen van een specifieke verplichting zoals een garantie. Je kunt geen garantie verlenen als de klant (een persoon) niet langer gekend is. Er zijn dus omstandigheden die vereisen dat je gegevens een zekere periode bewaart. Ook deze dien je in kaart te brengen.


Samengevat, je hebt een document nodig dat beschrijft:

  1. welke gegevens je verzamelt en bewaart
  2. hoe lang je ze bewaart met oog op welk doel
  3. wat is de drager van de info (papier, elektronisch, krijtbord)
  4. wie heeft inzage en met welke bevoegdheden
  5. hoe kan een ‘ingeschrevene’ toegang krijgen tot de verzamelde en bewaarde informatie en wat is het proces om tot een verwijdering van alle relevante gegevens te komen.
2

Ondernemingen die systematisch gegevens verwerken

Er zijn ook ondernemingen die als kernactiviteit het verzamelen van gegevens hebben en dit op grote schaal. In dit geval ben je er aan gehouden om iemand aan te stellen met de klinkende titel: Data Protection Officer ,de DPO. Deze heeft als taak om toe te zien op het goede beheer van de gegevensstroom en dit aantoonbaar te maken richting de overheid. Belangrijk is hier en in het voorgaande dat deze persoon kan aantonen dat men redelijkerwijs alles gedaan heeft wat mogelijk was om misbruik te voorkomen en om te voorkomen dat gegevens onnodig lang bewaard worden. Deze DPO kun je intern benoemen echter deze rol wordt ook door externe adviseurs ingevuld. Kies je voor een externe DPO dan is niet alleen de basiskennis van belang rondom GDPR, maar ook vertrouwdheid met je sector en bedrijfsactiviteit zodat er een plan op maat van je onderneming kan worden gemaakt.


Het blijft niet bij een plan van aanpak. Dat is een mooi en noodzakelijk begin.


Indien je gevoelige gegevens verwerkt, of indien je persoonsgegevens verwerkt op systematische en grote schaal, ben je bovendien verplicht een Data Protection Officer (DPO) aan te stellen. Dit is een soort preventieadviseur, maar dan specifiek gericht op het bewaren en verwerken van persoonsgegevens binnen de onderneming. Haar belangrijkste taak zal zijn het kunnen ‘aantonen’ dat jouw bedrijf voldoet aan alle GDPR verplichtingen, dat hierover grondig nagedacht is en dat al het redelijke gedaan werd om alle persoonsgegevens met zorg en binnen het wettelijke kader te verzamelen, te verwerken, te bewaren en te verwijderen zodra de gegevens verouderen.


GDPR stopt niet bij een audit, het aanstellen van een DPO en het implementeren van het actieplan. GDPR vereist ook een continue monitoring en bijsturing waar nodig. Het personeel in deze zin opleiden en blijvende awareness bijbrengen is hierbij onontbeerlijk. De menselijke factor is immers dikwijls de zwakste schakel in het systeem.


GDPR is geen interne aangelegenheid, het is je omgang met je klanten. Hier kan iinvullen.be je bij helpen.

1818 Magazine by Stephanie Toole
3
Twee soorten emails

In de wetgeving maakt men onderscheid tussen twee soorten emails. De transactionele emails en marketing emails. Transactionele emails bevatten een samenvatting en of een bevestiging. Je bent ingelogd en je krijgt een email. Je bestelt een boek en je krijgt een email, je schrijft je uit en je krijgt een email. Ook als deze mails mooi zijn vormgegeven en zijn gepersonaliseerd, dan nog gaat het om transactionele emails. Vanaf dat deze emails ook een commerciële boodschap bevatten, spreken we over marketing mails. Het kenmerk van marketing emails is dat ze iets promoten, een product een dienst, maar ook informatieve bijeenkomst. Als gebruiker dien je hiervoor expliciet toestemming te hebben gegeven.

.

Hoe helpt Invullen.be je in deze?

Mensen de mogelijkheid geven zelf hun gegevens te beheren en dat elke jaar opnieuw. Dat kan op verschillende manieren. Eerder hoe je het opzet, je hebt contact met je doelgroep.

De technische uitwerking veronderstelt geordende gegevens en indien die er nog niet zijn, de wil en het budget om deze samen te brengen. Deze gegevens worden via email en een formulier aangeboden aan betrokkenen voor nazicht. Zo is men niet alleen geïnformeerd dat u beschikt over persoonsgegevens, maar ook over welke en wordt de mogelijkheid geboden deze aan te passen en desgewenst te verwijderen.

Voor het verzamelen van klantgegevens op één plaats gebruiken we Coda.io. We maken komaf met allerhande lijstjes verzameld in evenzoveel spreadsheets (google sheet, excel, etc) en documenten allerhande. De bijeen gebrachte gegevens worden verbonden met rechthebbenden binnen de organisatie. Zo is duidelijk wie over welke volmachten beschikt, ook deze worden beschreven in Coda.io waardoor er een document ontstaat dat sturing geeft aan het GDPR proces.

Dit document kan je op weg helpen. Kopieer het gratis en indien nodig vraag je ons advies. We voorzien dan een adviestraject in functie van je organisatienoden.
Made on
Tilda