GDPR-wat?
Je ziet en hoort de term langs alle kanten. Pas op als je mailings wil versturen, want is dat wel “GDPR-conform“. En ook als je wil adverteren op Facebook of LinkedIn moet je je privacy policy link toevoegen. Maar wat betekent dat nu eigenlijk allemaal?
GDPR of AVG is eigenlijk het beheer en beveiliging van persoonlijke gegevens van Europese burgers. Concreet staat GDPR voor General Data Protection Regulation en AVG voor Algemene Vordering Gegevensbescherming.
Wat heb ik aan deze blog?
In deze blog over GDPR leggen we je graag in mensentaal uit wat het precies inhoudt. Op deze manier weet je ook echt wat je op je website enzo plaatst en verwacht wordt te plaatsen.
De 6 principes ivm gegevensbescherming
Sinds halfweg 2018 moet je als organisatie kunnen aangeven welke persoonsgegevens je verzamelt en hoe die gegevens gebruikt én beveiligd worden. Alle overheidsdiensten, bedrijven, organisaties en instellingen die in Europa persoonsgegevens verwerken, gebruiken, registreren of bewaren, moeten deze richtlijn naleven.
De 6 centrale principes:
1) “Een rechtmatige, behoorlijke en transparante verwerking van gegegevens” – je moet toestemming vragen om de gegevens te verzamelen en te gebruiken
2) “De gegevens moeten juist zijn en zo nodig worden bijgewerkt. Er moeten maatregelen genomen worden om onnauwkeurige of onvolledige gegevens te verbeteren” – geef aan in je privacy policy op welke manier je contacten hun gegevens kunnen inkijken, aanpassen en verwijderen.
3) “De persoonsgegevens worden verkregen voor een welbepaald, uitdrukkelijk omschreven en gerechtvaardigd doeleinde en mogen niet worden verwerkt op een manier die onverenigbaar is met dit doeleinde.In grote organisaties moet een DPO (Data Protection Officer) aangesteld worden om dit te bewaken. Dit moet iemand zijn met een goede juridische kennis op het vlak van de gegevensbeschermingswetgeving, maar ook op het vlak van administratief recht. Daarnaast moet een DPO ook een goed inzicht moeten hebben in de uitgevoerde verwerkingsactiviteiten, de informatiesystemen en de behoeften van de verwerkingsverantwoordelijke op vlak van gegevensbescherming en gegevensbeveiliging. Een specifiek diploma of bijzondere certificering is niet vereist.” – geef duidelijk aan waarvoor je de gegevens wil gebruiken: voor het beantwoorden van een offerteaanvraag, cookies om nieuwe acties te sturen, … Heb je niet de juridische kennis in huis, staan wij u graag bij ivm DPO.
4) “Uitsluitend de gegevens die noodzakelijk zijn voor de vastgestelde doeleinden mogen verwerkt worden.” – Heb je voor het beantwoorden van een offerte enkel een e-mailadres nodig, dan is het niet de bedoeling te vragen naar een telefoonnummer of verjaardag bijvoorbeeld. Wil je die gegevens wel graag, dan kan je aangeven dat je telefoonnummer vraagt zodat je de persoon kan contacteren over eventuele onduidelijkheden of dat je de verjaardag wenst te noteren om de persoon bijvoorbeeld een geschenk toe te sturen.
5) ” De gegevens moeten volgens een afdoend veiligheidsniveau worden verwerkt door gebruik te maken van passende, technische en organisatorische maatregelen.” – Je moeten kunnen aangeven waar en hoe je de gegevens bewaard en hoe deze server, bestandsmap, CRM, website, … beveiligd is.
6) “De bewaartermijn van de gegevens is beperkt en is duidelijk vastgelegd. De persoonsgegevens moeten ontoegankelijk worden nadat de vastgestelde bewaartermijn is afgelopen.” – Bepaal welke termijn nodig is voor de opvolging van je doelstelling waarvoor je de gegevens ontvangen hebt, communiceer dit en houd je hier ook aan.
Waaruit moet je online privacy policy dan concreet bestaan om GDPR-conform te zijn?
