GDPR: de belangrijkste verplichtingen en het aanleggen van een register

In onze introductie blogpost over de GDPR wetgeving, die vanaf 25 mei 2018 in zal gaan, gaven we aan dieper op de materie in te gaan. Daarbij sloten we af met de opdracht dat u dient te documenteren welke gegevens u precies van uw klant verzamelt en verwerkt, en dit register beschikbaar dient te stellen voor inzage. Hier zullen we in deze blogpost dieper op in gaan. We beginnen echter door eerst de 6 stappen te bespreken die u kunt nemen om tegen mei 2018 compliant te zijn.

De belangrijkste verplichtingen, en daarmee de 6 stappen, vloeien voort uit de basisprincipes van de GDPR.

1. Openheid over de persoonsgegevens die u bijhoudt, welke verwerkingen ermee gedaan worden en welk doel u daarmee nastreeft. Deze informatie moet duidelijk opgesteld en eenvoudig terug te vinden zijn. Om aan deze verplichting te voldoen, moet u een register aanleggen waarin uw verwerkingen van persoonsgegevens opgenomen worden. U vermeldt hierin het type gegevens, de soort verwerking, de wettelijke grond voor de verwerking en het doel wat u voor ogen heeft.
2. Verwerf persoonsgegevens op een legale manier, waarbij u ze alleen gebruikt voor het doel wat u voor ogen hebt, niet meer data verzamelt dan nodig is en u ze niet langer bijhoudt dan nodig is. Hiervoor kunt u een privacyverklaring opstellen, waar u deze informatie in opneemt. Deze privacyverklaring moet op alle plaatsen waar u persoonsgegevens verzamelt, gemakkelijk raadpleegbaar zijn.
3. Een betrokkene waarvan u persoonsgegevens verzamelt heeft het recht om hier informatie over te krijgen, inzage te krijgen in de verzamelde gegevens en deze te verbeteren, aan te laten vullen of te laten verwijderen. Werk hiervoor de nodige instructies uit, zodat u weet wat er moet gebeuren wanneer een betrokkene contact opneemt en zijn rechten uit wil oefenen.
4. U moet respect hebben voor de data die u verzamelt en dit betekent dus dat u er alles aan moet doen om gegevens correct in te voeren, actueel te houden en er voor zorgt dat u een adequate beveiliging hebt voor de verzamelde gegevens. Zijn de gegevens versleuteld? Heeft u een veilig netwerk? Worden gegevens die niet meer nodig zijn veilig verwijderd?
5. Tevens stelt u een duidelijke procedure op die gevolgd kan worden wanneer er een datalek ontstaat en zorgt u er voor dat alle medewerkers op de hoogte zijn van deze procedure. Uiteraard zullen wij u in de komende periode verder inlichten welke maatregelen wij voor u hebben getroffen en ook wat wij nog zullen gaan doen, zodat u kunt voldoen aan de beveiligingseisen van data die wordt verwerkt in één van onze systemen.
6. Wanneer u een derde partij inschakelt, zorg dan voor een contractuele overeenkomst waarin duidelijk staat wat zijn verplichtingen en verantwoordelijkheden zijn onder de GDPR.Nogmaals, als verantwoordelijke moet u altijd aan kunnen tonen dat u aan deze regels voldoet.

Het register van gegevensverwerkingen

Ook al is het voor kleine organisaties (met minder dan 250 werknemers) strikt gezien niet altijd verplicht, wordt het sterk aangeraden dat alle verantwoordelijken een dergelijk register bijhouden. Er zijn ook uitzonderingen waarvoor de registerplicht niet wegvalt, zoals in het geval van financiële informatie of wanneer gegevens niet incidenteel, maar structureel verwerkt worden (zoals informatie over klanten, leveranciers, werknemers).

In het register moet de volgende informatie opgenomen worden:

 

• Wie?
  Het register legt vast wie de verantwoordelijke is. Het gaat dan om de correcte contactgegevens van de organisatie en de te contacteren personen of afdeling(en).
• Waarom?
  In het register wordt vastgelegd voor welk doel persoonsgegevens worden gebruikt. Het basisprincipe van de GDPR is immers dat er enkel informatie verzameld wordt wanneer dit strikt noodzakelijk is voor het gestelde doel. De doelstelling moet hiervoor zo concreet mogelijk gemaakt worden en duidelijk de noodzaak aantonen.
• Wat?
  Voor elk doel legt u vervolgens vast van welke categorie de persoonsgegevens afkomstig zijn, dus bijvoorbeeld van uw klanten, leveranciers, etc. Vervolgens moet u specificeren welke informatie u verzamelt en bewaart van deze personen; namen, adressen, of ook leeftijd, geslacht, demografische informatie, etc. Wanneer informatie als gevoelig beschouwd kan worden, moet dit expliciet vermeld worden.
• Waar?
  Voor elk doel moet daarnaast ook vastgelegd worden waar de verwerkte informatie terecht komt. Dit kan om personen gaan, maar ook om instellingen of andere bedrijven. Stel daarnaast vast of de gegevens binnen of buiten de EU terecht komen.
• Wanneer?
  Gegevens mogen niet langer bewaard worden dan noodzakelijk is voor het doel. De bewaartermijn moet dus ook opgenomen worden in het register. Hiervoor is een formulering als ‘de wettelijk voorgeschreven bewaartermijn’ voldoende.Hoe worden de gegevens beschermd?
  Onder de GDPR is het belangrijk dat verwerkte persoonsgegevens adequaat beschermd worden en niet onterecht openbaar gemaakt worden, gedeeld worden met anderen of zonder toestemming gewijzigd worden. Als verantwoordelijke moet u dus alle noodzakelijke maatregelen nemen om te voorkomen dat dit gebeurt en dit vastleggen in het register.

Ook al is het geen verplicht onderdeel van het register, het is goed om ook de rechtsgronden vast te leggen in het register. De rechtsgronden stellen vast op grond van welk recht de gegevens verzameld worden.

De GDPR voorziet de volgende rechtsgronden:

• Toestemming van de betrokkene
• Gegevens zijn nodig voor de uitvoering of voorbereiding van een contract
• Wettelijke verplichting
• Het algemeen belang
• In zaken van levensbelang (waar het letterlijk over leven of dood gaat)

Het gewettigd belang van de verantwoordelijke of van een derde partij (waarbij louter economisch belang niet voldoende is en de verwerking wel degelijk noodzakelijk moet zijn)