GDPR (General Data Protection Regulation) of AVG (Algemene Verordening gegevensbescherming)
Het is hier mijn bedoeling om een kort en duidelijk overzicht te geven van de Europese Verordering GDPR. Dit overzicht is zeker niet volledig maar kan u helpen om GDPR beter te begrijpen. Indien u meer informatie wenst dient u zich te richten tot de bevoegde juridische diensten of juridische instanties.
Het doel van deze Europese Verordening is het beveiligingsniveau voor alle particulieren wiens persoonsgegevens verwerkt worden, te verhogen. U moet kunnen aantonen welke persoonsgegevens u verzamelt, hoe u die gebruikt en hoe deze worden beveiligd. Deze verordening wordt op 25 mei 2018 van kracht in alle Europese lidstaten. Van zodra gegevens worden verwerkt van natuurlijke personen die zich in de Europese Unie bevinden, is de GDPR van toepassing.
1) wat zijn persoonsgegevens?
- gegevens waarmee men de klant kan identificeren ( e-mailadressen, bestelgegevens,…).
- gegevens waarmee men de klant onrechtstreeks kan identificeren ( locatiegegevens, IP-adressen, …)
2) Men moet weten van welk kanaal men de gegevens krijgt ( vb. bestelling, face book, degustatie, nieuwsbrief...). De gegevens moeten traceerbaar zijn.
3) Men moet een register bijhouden met gegevens en dit per kanaal. Dus welke persoonsgegevens komen van welk kanaal. Is niet verplicht voor kleine bedrijven maar is toch zeer sterk aanbevolen. Grote onderneming zijn verplicht om een register bij te houden + een verantwoordelijke aan te stellen.
4) register moet antwoord bieden op:
- waarom is de verzameling van de persoonsgegevens noodzakelijk
- waarom kan het niet in een geanonimiseerde vorm
- hoelang blijven de gegevens bewaard
- hoe worden de gegevens geanonimiseerd
5) zeggen waarom men persoonsgegevens nodig heeft en wat men ermee doet.
6) de klant heeft het recht om vergeten te worden. Praktisch zou zijn dat de klant zijn gegevens online kan bekijken, aanpassen en/of verwijderen.
7) men moet toestemming vragen voor de informatie tenzij het van "gerechtsvaardig belang" is. Wat is “gerechtsvaardig belang”? Bijvoorbeeld als men een webshop heeft, dient men de bestelling te kunnen leveren. Het is normaal dat men hiervoor het leveringsadres vraagt .
8) men mag enkel de meest relevante persoonsgegevens vragen en men moet automatisch de meest privacy vriendelijke instellingen toepassen. Dus de verplichte velden beperken tot het strikt noodzakelijke.
9) men moet bijhouden:
- wat men bijhoud
- hoeveel
- hoelang
- wie er toegang heeft tot deze informatie
10) personeel die omgaat met persoonsgegevens: opleiden.
11) wat zijn de beveiligingsmaatregelen van het bedrijf.
12) er bestaat een cyberverzekering.
13) niet meer vragen dan dat men nodig heeft. Enkel zaken vragen met een bepaald doel.
14) zaken van " gerechtsvaardig belang" zeker opnemen in algemene voorwaarden.
.
15) bij een datalek ( smart gestolen, pc gestolen, hacking ...) heeft men 72 uren de tijd om de instanties ( de Privacycommissie) te verwittigen. Men moet bewijzen dat men alles heeft gedaan om dit te voorkomen en dat men alles had beveiligd.
16) de rechten van de betrokkene moeten uitdrukkelijk vermeld worden.
17) Wat men moet opnemen in zijn privacyverklaring :
- de identiteit van de persoon die de gegevens gaat verwerken
- recht op inzage in de gegevens
- recht op correctie gegevens
- recht op vergetelheid
- recht op beperking van de verwerking
- recht op bezwaar tegen de verwerking
- recht op gegevens overdracht
- hoe men bovenstaande gegevens kan aanvragen of wijzigen
De privacyverklaring moet worden opgenomen op de website of webshop. Liefst in een duidelijke en eenvoudige taal.
18) privacy vriendelijk opstellen van de algemene voorwaarden: "opt-in": men vraagt de betrokkene expliciet en aantoonbaar zijn toestemming voorafgaand aan de verzameling in verwerking van de gegevens. (aanvinken)
19) u moet de bewaartermijn van de persoonsgegevens die u verwerkt duidelijk vaststellen. U dient een mechanisme in te voeren waarmee u kunt nagaan of de persoonsgegevens wel werkelijk ontoegankelijk zijn nadat de vastgestelde termijn is afgelopen.
20) met betrekking tot derde partijen waarmee men gegevens deelt moet men een goede overeenkomst afsluiten. Men moet o.a. afspraken maken over:
- duurbeschrijving van de gegevensverwerking
- doeleinden van de gegevensbewerking
- beveiligingsmaatregelen
- wie de verantwoordelijke is
21) Een verordening zou geen verordening zijn als er geen sancties zouden zijn bij het niet naleven van de wet. De grootte van de geldboete zal van geval tot geval afhankelijk zijn.
22) Je kan over dit onderwerp een 13 stappenplan vinden ( in de vorm van een pdf), uitgegeven door de privacy commission.