Naar aanleiding van de inwerkingtreding van de nieuwe Europese Algemene Verordening Gegevensbescherming (General Data Protection Regulation of hierna ook wel “GDPR” genoemd) op 25 mei 2018 beloofden wij u stap voor stap te helpen bij het GDPR-approved maken van uw organisatie.
In onze eerste blog van 12 april 2018 hadden wij het reeds uitgebreid over de eerste stap, namelijk de bewustwording binnen uw organisatie.
Vandaag gaan we verder met stap twee: het schematiseren van de verzamelde gegevens en het overlopen van de checklist.
A. Schematiseren van de verzamelde gegevens
Wie goed heeft gewerkt na onze vorige blog heeft vandaag al een logboek waarin uitgebreid staat neergeschreven wie binnen de organisatie welke gegevens verwerkt, voor welk doel edm.
Bedoeling is nu om deze gegevens in kaart te brengen om zo een algemeen overzicht te krijgen van de activiteiten die onder de GDPR vallen.
Om te beginnen moet men een overzicht opstellen voor elke categorie van natuurlijke personen waarvan men gegevens verwerkt. Denk maar aan bijvoorbeeld personeelsleden, klanten, medewerkers (indien geen statuut van werknemer), vrijwilligers, alsook van eender welke andere categorie van natuurlijke personen van wie men de gegevens verzameld.
Vervolgens moet men voor elk van die categorieën van personen duidelijk gaan bepalen welk gegevens precies worden verwerkt. Deze gegevens kunnen gaan van naam, adres, leeftijd, geslacht, rekeningnummer edm. tot meer persoonlijke informatie zoals de burgerlijke status (wettelijk samenwonend, gehuwd, alleenstaand, …), samenstelling gezin, fysieke gegevens, medische gegevens, psychische gegevens, financiële bijzonderheden (collectieve schuldenregeling, schuldbemiddeling,…), lidmaatschappen, opleiding, beroep, politieke overtuiging, religieuze overtuiging edm. tot zeer gevoelige informatie (seksuele voorkeur en seksueel verleden, gerechtelijke gegevens, locatiegegevens (GPS), videomateriaal, audiomateriaal) edm.
Wanneer ook dat gebeurd is moet men voor elk van die gegevens gaan kijken waar die gegevens vandaan komen, wie toegang heeft tot die gegevens, welke van die gegevens doorgegeven worden en aan wie, dit zowel intern (binnen de organisatie zelf of aan andere afdelingen edm.) als extern (denk bijvoorbeeld aan overheidsinstanties, bedrijfspartners, …), waar die gegevens worden bewaard, voor hoelang worden die gegevens bewaard (onbepaalde duur? 10 jaar? 1 jaar?), met welk doel de gegevens verwerkt worden (wettelijke verplichting t.a.v. overheidsinstanties, reclame, …) edm.
Tot slot kan men indien van toepassing ook nog gaan specifiëren of de gegevens die extern worden uitgewisseld ook worden doorgegeven naar landen buiten de EU of niet.
Ter illustratie laten wij u hierna een voorbeeld van zo’n overzicht, hier nu specifiek voor de categorie “personeelsleden”:
![]()
Belangrijk is om zeer ruim en alomvattend te denken. De lijst van gegevens hiervoor opgenoemd is immers niet volledig zodat het perfect mogelijk is dat uw organisatie nog andere gegevens verwerkt. De bedoeling van deze oefening is in feite om eerlijk te gaan kijken hoe uw organisatie exact werkt om uw werking navolgend te gaan toetsen aan de GDPR. Het valt wel meteen op dat hoe minder informatie uw organisatie verzamelt, hoe minder werk u zal hebben met het GDPR-approved maken van uw organisatie. Indien u dus tijdens het in kaart brengen van de gegevensverwerking op niet-noodzakelijke informatie stuit, doet u er goed aan deze gewoon meteen te verwijderen om het voor uzelf gemakkelijker te maken in de volgende fase.
B. Overlopen checklist op basis van de opgemaakte schema's
Nadat men dus voor elke categorie een schema heeft opgemaakt kan men gaan kijken of de verwerking van de gegevens conform is aan hetgeen opgelegd in de GDPR.
Indien dit niet het geval is moet men gaan kijken welke verbeteringen men kan aanbrengen, hoe men dit gaat doen en binnen welke termijn men dit kan realiseren om nog voor de deadline van 25 mei 2018 GDPR-conform te zijn.
De punten waaraan getoetst moeten worden zijn de volgende:
1. Rechtmatigheid.
De gegevens die men verzamelt moeten gebaseerd zijn op een bepaalde “grondslag”.
De GDPR voorziet 6 mogelijke grondslagen: een overeenkomst met de betrokkene, een bescherming van een vitaal belang (bijvoorbeeld gegevensverwerking door een spoedafdeling), een wettelijke verplichting van de verantwoordelijke, (schriftelijke) toestemming van de betrokkene, een gerechtvaardigd belang van de verantwoordelijke (bijvoorbeeld gegevensverwerking door een advocaat) of een vervulling van een taak van algemeen belang (bijvoorbeeld gegevensverwerking door de overheid).
Het kan zijn dat sommige informatie waarover u beschikt eigenlijk onder geen enkel van de hiervoor opgenoemde grondslagen valt. In dat geval kan het zijn dat u zich opnieuw tot die betrokkene zult moeten richten om minstens diens toestemming te krijgen voor de verwerking van diens gegevens.
Maar opgelet! Vaak zien wij dat organisaties te veel de focus leggen op de grondslag “toestemming” om gegevens te verwerken. Dit terwijl men vaak ook gebruik kan maken van “het gerechtvaardigd belang”. Denk maar bijvoorbeeld aan het rekeningnummer van een medewerker/leverancier. Zonder dat rekeningnummer kan men niet tot uitbetaling overgaan zodat een gerechtvaardigd belang hier aan de basis ligt van het feit dat men dat rekeningnummer bewaart en raadpleegt. Ook notarissen, gerechtsdeurwaarders, boekhouders edm. kunnen voor heel veel zaken beroep doen op het gerechtvaardigd belang als grondslag om bepaalde gegevens te verwerken. Ook winkels die camerabewaking hebben waarvan de beelden opgeslagen worden kunnen beroep doen op het gerechtvaardigd belang om deze gegevensverwerking te verantwoorden. Enzovoort
2. Doelbinding.
De verwerking van gegevens is maar toegelaten in zoverre de verwerking verenigbaar is met het doel waarvoor de gegevens worden verzameld. Hieruit volgt dat verwerkers niet meer gegevens dan nodigmogen verwerken (minimale gegevensverwerking) en de gegevens ook niet langer dan nodig mogen verwerken (opslagbeperking).
De wetgever legt daarbij geen exacte termijn op, zodat veel zal afhangen van hoe u één en ander motiveert. In elk geval staat het wel vast dat u specifiek doel en een concrete bewaartermijn voor de gegevens zult moeten vastleggen. Daarbij zult u ook bepaalde mechanismes moeten invoeren waaruit blijkt dat die gegevens na verloop van tijd ook effectief verwijderd worden.
Zoals hiervoor reeds kort aangehaald kan het dan ook interessant zijn om alle gegevens waarover uw organisatie beschikt grondig te filteren en zo alles eruit te halen wat niet strikt noodzakelijk is en/of niet langer noodzakelijk is.
3. Transparantie.
Het moet voor alle betrokkenen duidelijk zijn dat hun gegevens worden gebruikt, geraadpleegd of anders verwerkt.
In overeenkomsten met klanten, werknemers, onderaannemers, vrijwilligers edm, op uw website, in uw briefhoofd, in uw e-mail signature edm. Eigenlijk overal waar u dit maar kan dient u transparantie te garanderen en dient u duidelijk en correct te communiceren naar de betrokkene toe inzake uw privacy policy; eventuele garanties en rechten die verband houden met de verwerking van hun gegevens, alsook de manier waarop elk van hen hun rechten in concreto kunnen uitoefenen.
Uw organisatie moet dus een privacyverklaring opmaken. In een volgende blog zal dieper ingegaan worden op het effectief opstellen van zo’n privacy verklaring maar voor zoveel als nodig wordt hier wel reeds gewezen op het belang ervan in het kader van de transparantie.
4. Rechten.
Zoals in onze vorige blog reeds aangehaald betreft het hier onder meer het recht op inzage en bijkomende informatie inzake de eigen gegevens, het recht op rectificatie van foutief of onvolledig verwerkte gegevens, het recht op gegevenswissing, het recht om bezwaar in te dienen, het recht op geautomatiseerde besluitvorming, het recht op beperking van de verwerking én het recht op overdraagbaarheid van gegevens.
Uw organisatie dient de nodige maatregelen te treffen om het garanderen van deze rechten mogelijk te maken. Indien u tijdens de toetsing merkt dat bepaalde van die rechten niet verstrekt kunnen worden, dan wel gemakkelijker verstrekt zouden moeten kunnen worden, dan dient u na te kijken welke verbeteringen u precies kunt aanbrengen.
5. Doorgifte.
Hier betreft het eigenlijk het doorgeven van persoonsgegevens. Dit kan zowel slaan op doorgifte binnen de EU als daarbuiten.
Wat betreft de doorgifte binnen de EU is het zo dat het niveau van gegevensbescherming gelijkwaardig is over de ganse EU, dat de verordening algemeen toepasselijk is en zodus ook door elk van de EU-landen gerespecteerd dient te worden.
Wat betreft de doorgifte van persoonsgegevens aan niet-EU landen is enige voorzichtigheid geboden. Landen zoals Noorwegen, Liechtenstein en IJsland hebben zich bijvoorbeeld vrijwillig ertoe verbonden om de GDPR te gaan implementeren in hun eigen land maar andere derde landen kennen dus niet noodzakelijk diezelfde graad van bescherming. Om die reden verplicht men organisaties om gegevens enkel maar te verspreiden naar derde landen met een gelijkwaardig beschermingsniveau.
6. Verantwoording.
Iedereen die persoonsgegevens verwerkt is verplicht om de voorschriften van de GDPR na te komen en dient ook in staat te zijn om op elk moment te bewijzen dat hij dit ook effectief doet.
Het komt er dus op neer dat u binnen uw organisatie interne procedures moet vastleggen om ervoor te zorgen dat alle hiervoor aangehaalde principes van doelbinding, transparantie edm. nageleefd worden én dat een derde hier ook effectief controle kan op uitvoeren.
Dit kan bijvoorbeeld door de aanstelling van een Data Protection Officer maar dit is niet verplicht. De beste manier blijft dan ook het opstellen en bijhouden van een dataregister van verwerkingen van persoonsgegevens. Maar meer hierover in onze volgende blog.
Samenvatting.
Samenvattend dient u feitelijk bij elke verwerkingsactiviteit de volgende beknopte checklist af te lopen:
- op welke grondslag kan u beroep doen?
- voor welke doeleinden worden de persoonsgegevens gebruikt?
- werden de betrokken personen (betrokkenen) geïnformeerd?
- werden de nodige procedures geïmplementeerd zodat de betrokken personen hun rechten kunnen uitoefenen?
- werd doorgifte naar derde landen nagekeken, en zo ja, werden de nodige waarborgen gesteld?
- werd alles gedocumenteerd in interne documenten (policies en procedures) om controle nadien mogelijk te maken, alsook om als praktisch stappenplan te fungeren naar de toekomst toe?
Indien na het doorlopen van deze oefening blijkt dat sommige zaken niet in orde zijn, dan moet dit zo snel als mogelijk rechtgezet worden wil men na 25 mei 2018 een fikse monsterboete vermijden.
Wees echter niet ontmoedigd indien zou blijken dat u nog heel wat zaken moet verbeteren binnen uw organisatie. Niet alleen is de kans klein dat al van bij het begin meteen monsterboetes opgelegd zullen worden, maar bovendien is de kans zeer reëel dat u diverse wijzigingen zult moeten doorvoeren. De meest waarschijnlijke wijzigingen kunnen daarbij gaan van het heropstellen van contracten met leveranciers, met werknemers, met vrijwilligers, met medewerkers edm., het opstellen of optimaliseren van uw privacy-verklaring tot het wijzigen van interne procedurereglementeringen enzovoort.
Als u uiteindelijk net als wij ook deze stap succesvol heeft afgerond kan u zich klaarmaken voor de volgende stap, namelijk het conformeren van uw organisatie aan de aanvullende GDPR-verplichtingen.
Wanted Law biedt hulp!
Mocht u in de tussentijd echter nog vragen zou hebben bij deze tweede stap, mag u ons uiteraard steeds raadplegen. Wij staan u graag bij met raad en daad. Ook als u nog andere vragen hebt rond de GDPR-wetgeving, aarzel dan zeker niet om ons te contacteren.