13
GDPR, vier magische letters GDPR … deze vier letters kwamen helemaal tot leven op 25 mei 2018. Op die datum werd het officiële startschot gegeven voor de wetgeving General Data Protection Regulation. Ofwel in het Nederlands Algemene Verordening Gegevensbescherming (AVG). Een eerste vraag die u zich misschien stelde: valt mijn organisatie onder deze verordening? Een tweede vraag die rijst is, heeft mijn organisatie het recht om persoonsgegevens te verwerken? En tenslotte, in deze coronatijden geen onbelangrijke vraag: hoe kan ik mijn data zo goed mogelijk beveiligen bij thuiswerk en thuis vergaderen. Omdat privacy nu eenmaal een must is, zetten we graag een aantal dingen op een rijtje. Hierbij dienen we twee termen toe te lichten: • Persoonsgegevens: worden gedefinieerd als alle informatie van een natuurlijk persoon die geïdentificeerd is of kan worden geïdentificeerd. • Verwerken: zowat alle synoniemen komen in aanmerking: verzamelen, vastleggen, ordenen, structureren, doorsturen, verspreiden of op een andere wijze ter beschikking stellen, samenvoegen, wissen of vernietigen van gegevens.
2. Heeft mijn organisatie het recht om persoonsgegevens te verwerken? iStockphoto.com/NicoElNino.
1. Valt mijn organisatie onder de algemene verordening gegevensbescherming? Het korte antwoord zal hoogstwaarschijnlijk JA zijn. De meeste organisaties verwerken meer persoonsgegevens dan ze denken. Bijna elke organisatie heeft: • Personeelsgegevens. • Klantgegevens en/of leveranciersgegevens. • Een website of een app. Het IP-adres is immers ook een persoonsgegeven. De verordening is van toepassing wanneer men persoonsgegevens geheel of gedeeltelijk geautomatiseerd verwerkt of wanneer men deze gegevens in een bestand verzameld.
Als onderneming mag u niet zomaar persoonsgegevens verzamelen en gebruiken. U mag persoonsgegevens verwerken wanneer u aan ten minste een van de volgende zes grondslagen voldoet:
2.1. Toestemming Simpel, u vraagt mensen toestemming om hun persoonsgegevens te mogen gebruiken. U moet als organisatie kunnen aantonen dat: • deze toestemming uit vrije wil werd gegeven: er werd niemand onder druk gezet bijvoorbeeld door iemand te benadelen mocht hij of zij geen toestemming geven; • deze toestemming specifiek is: voor elk doel moet er apart toestemming worden verleend; • deze toestemming ondubbelzinnig werd gegeven: het moet hier gaan om een actieve handeling. Geen vooraf aangevinkte vakjes; en • u de betrokkene voldoende heeft geïnformeerd. U geeft aan wie uw organisatie is, waarom (het doel) u persoonsgegevens wenst te verwerken, concreet over welke persoonsgegevens het gaat. Last but not least dat de betrokkenen ten allen tijde het recht hebben deze toestemming aan te passen dan wel in te trekken. Toestemming vragen valt niet altijd mee en is helaas niet zo simpel als het lijkt.
Maandelijks tijdschrift van het ITAA | Nr. 1 | Februari 2021
