GDPR staat voor:
​
General Data Protection Regulation.
In het Nederlands heeft men het over AVG of Algemene Verordening Gegevensbescherming, in het Frans Règlement Général sur la Protection des Données of RGPD. Deze Europese regelgeving vervangt de Data Protection Directive 95/46/EC uit 1995.
Het is de bedoeling om de privacy van de burger beter te beschermen, en daarbij uniforme regels vast te leggen voor de hele EU. Enerzijds krijgt de burger meer controle over hoe zijn persoonlijke gegevens gebruikt worden. Anderzijds legt GDPR een duidelijke wettelijke structuur vast, een standaard die in heel Europa geldt, zodat bedrijven weten hoe zij moeten handelen om de privacy te waarborgen.
​
Op wie is GDPR van toepassing?
​Elke organisatie, elk bedrijf, elke overheid die persoonlijke data van Europese burgers verzamelt en verwerkt, moet GDPR toepassen, ongeacht het land waar het bedrijf of de organisatie gevestigd is. Een Amerikaans bedrijf dat werkt met data van Europese gebruikers moet zich dus ook aan deze regels houden. Wanneer u een fysieke of online winkel hebt en de adressen van uw klanten verzamelt om hen regelmatig een mailing te sturen per post of digitaal, bent u ook onderworpen aan GDPR.
Belangrijk hierbij is de definitie van wat persoonlijke data zijn. De regelgeving spreekt over PII of Persoonlijk Identificatie Informatie. Dat is niet alleen uw naam, adres, nummer identiteitskaart, Rijksregisternummer, geboortedatum, maar ook digitale data zoals locatie, IP-adres, cookiegegevens, RFID-tags. Gegevens over gezondheid vallen hier ook onder, evenals genetische, biometrische, raciale, etnische data, seksuele geaardheid en politieke opinie.
​
Kort samengevat zijn dit de principes:
Het verzamelen van data, zowel online als offline:
-
De gebruiker moet uitdrukkelijk toestemming geven. Bijvoorbeeld geen vooraf aangevinkte vakjes (opt-out) meer om een nieuwsbrief of commerciële meldingen te ontvangen, maar de gebruiker die zelf het vakje moet aanvinken (opt-in).
-
Iedere gebruiker van DIPLA zal vanaf 24 mei eerst zijn gegevens moeten nakijken en aanvinken dat de gebruiker toestemming geeft aan Profisi om zijn data te verwerken.
-
Profisi maakt geen gebruikers aan. De gebruiker met de rechten van orgadmin kan personen toevoegen in DIPLA.
-
-
Op bovenstaand principe bestaan evenwel een aantal uitzonderingen: verwerking van persoonsgegevens is mogelijk zonder toestemming wanneer dit nodig is voor de uitvoering van een contract met de gebruiker, het vervullen van een wettelijke plicht, een taak van openbaar belang of de bescherming van vitale belangen van de gebruiker of andere natuurlijke personen.
-
De data-verzamelaar moet uitdrukkelijk vermelden welke data verzameld worden, en met welk doel.
-
In DIPLA wordt van de gebruiker enkel zijn gebruikersnaam, naam, voornaam, e-mailadres bijgehouden. Deze gegevens zijn verbonden met een uniek gebruikers-id.
-
Deze id wordt overal in Dipla gebruikt om te registreren wanneer een gebruiker:
-
een handeling heeft uitgevoerd,
-
iets aangepast of aangemaakt,
-
een taak doorgegeven of een taak moet uitvoeren.
-
Bij metingen en foto's in MyDIPLA worden ook de gps locatie bijgehouden.
-
-
DIPLA vetaalt deze naam enkel als dit nodig is voor het gebruik van DIPLA.
-
DIPLA geeft iedere gebruiker de mogelijkheid zijn naam te anoniemiseren. Hierdoor worden wel de data behouden maar is er geen link meer met een persoon.
-
-
De verzamelde data mogen enkel voor dit doel gebruikt worden, en voor een periode die strookt met dat doel.
-
Profisi houdt de data bij zolang de organisatie een abonnement heeft van DIPLA.
-
​​
Het bewaren van data
-
Data moet je bewaren volgens een systeem dat erop gericht is de data te beschermen en de privacy ervan te waarborgen.
-
Een eventuele inbreuk op de veiligheid van de data moet binnen de 72 uur gemeld worden.
-
De gebruiker heeft recht op inzicht: hij moet toegang kunnen krijgen tot de gegevens, die kunnen inzien, eventueel verbeteren, laten verwijderen, maar ook kunnen overdragen. Het bedrijf moet een elektronische kopie kunnen voorleggen van zijn privaat bestand.
-
De interface van DIPLA is zo ontwikkeld dat iedere gebruiker en orgadmin volledig beheer heeft van zijn persoonsgegevens.
-
-
De gebruiker moet ook op elk moment zijn toestemming weer kunnen intrekken.
-
De gebruiker kan dit doen door zich te laten anonimiseren.
-
​​
Het toezicht op deze data:
-
Bedrijven met meer dan 250 personeelsleden, moeten een Data Protection Officer benoemen, die toezicht houdt op het correcte uitvoeren van de GDPR-regulering.
-
Voor DIPLA is dit niet van toepassing
-
In de verschillende lidstaten zullen speciale controleorganisaties (Supervisory Authority) belast worden met de controle op de GDPR-compliance. In België werd deze bevoegdheid toevertrouwd aan de Privacycommissie.
​​
Het overdragen van data:
Het overdragen van data naar organisaties buiten de EU mag enkel als die organisaties kunnen aantonen dat ook zij voldoen aan de GDPR-regels.
​
​
​
​Verwerking van gegevens
Houdt de GDPR in dat we nu voor elke verwerking toestemming moeten vragen/krijgen van de persoon wiens gegevens men wenst te verwerken?
​De bovenstaande vraag lijkt bij heel veel mensen te leven over de nieuwe spelregels van de GDPR.
Het antwoord op deze vraag is kort: Neen, u hoeft niet telkens de expliciete toestemming te hebben voor de verwerking van persoonsgegevens.
PERSOONSGEGEVENS
Het is de bedoeling om de privacy van de burger beter te beschermen, en daarbij uniforme regels vast te leggen voor de hele EU. Enerzijds krijgt de burger meer controle over hoe zijn persoonlijke gegevens gebruikt worden. Anderzijds legt GDPR een duidelijke wettelijke structuur vast, een standaard die in heel Europa geldt, zodat bedrijven weten hoe zij moeten handelen om de privacy te waarborgen.
VERWERKING VAN GEGEVENS
De GDPR spreekt over “de verwerking van persoonsgegevens”. Persoonsgegevens zijn “alle informatie over een natuurlijk persoon waardoor deze direct of indirect kan geïdentificeerd kan worden”. Dat zijn gegevens zoals naam, identificatienummer, locatiegegevens, telefoonnummers, e-mailadressen en online identificators (bv. info verkregen door gebruik van tracking cookies).
De lijst van mogelijke gegevens is uiteraard langer. Ook gegevens met betrekking tot de fysieke, genetische, psychische, culturele of sociale identiteit van een natuurlijke persoon vallen onder de GDPR-regelgeving, maar deze zijn weinig of niet van toepassing op onze sector.
Het begrip natuurlijke persoon
​In de vorige paragrafen werd reeds een paar maal het begrip “natuurlijk persoon” vermeld. Het is zeer belangrijk dat u dit concept niet verengt tot een persoon in zijn loutere privé hoedanigheid.
Stel, u heeft een particuliere klant die bij u aanklopt voor registratie en beheer van een aantal .be domeinnamen. Het spreekt voor zich dat de naam en het e-mailadres van die klant onder de noemer persoonsgegevens vallen. Maar de naam en het persoonlijk e-mailadres (bv. jan.peeters@company.be) van een werknemer van een reseller waar u professioneel mee samenwerkt is dit evenzeer!
Ook in een bedrijfsmatige context kan u dus persoonsgegevens tegenkomen en aan het verwerken zijn.
Verwerking
Met verwerking wordt bedoeld: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens.
Ook over dit concept bestaan een aantal misvattingen. Vaak wordt gedacht dat verwerken een verregaande vorm van manipulatie inhoudt zoals bijvoorbeeld het doorsturen van die gegevens naar een derde partij. Vergis u echter niet, het louter verzamelen van die gegevens is reeds voldoende om van een verwerking te kunnen spreken!
VUISTREGELS VOOR DE VERWERKING
Los van het feit of een datasubject al dan niet toestemming heeft gegeven voor de verwerking van zijn gegevens, zijn er een aantal zaken die ALTIJD nageleefd moeten worden:
-
Weergeven De gegevens moeten verwerkt worden op een rechtmatige, behoorlijke en transparante wijze
-
Weergeven De gegevens moeten verwerkt worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden
-
Weergeven De verwerking moet toereikend en ter zake zijn en beperkt worden tot wat noodzakelijk is voor de doeleinden van de verwerking
-
Weergeven De verwerkte gegevens moeten correct zijn en onjuiste gegevens moeten zo snel mogelijk gewist of gecorrigeerd worden
-
Weergeven Gegevens mogen maar bewaard worden voor een termijn die noodzakelijk is voor de doeleinden van de verwerking.
-
Weergeven De verwerkte gegevens moeten op passende wijze worden beveiligd tegen ongeoorloofde verwerking en onopzettelijk verlies.
DE TOESTEMMING VAN DE BETROKKENE EN DE EQUIVALENTEN HIERVAN
De meest elementaire regel is dat de verwerking rechtmatig is voor zover de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens.
In tegenstelling tot vroeger moet deze toestemming het gevolg zijn van een duidelijke actieve handeling van de betrokkene.
​
​​Verwerkingsverantwoordelijke versus verwerker
Over deze twee sleutelbegrippen uit de GDPR is nog veel verwarring:
-
de verwerkingsverantwoordelijke en
-
de verwerker.
1. De verwerkingsverantwoordelijke.
Volgens de GDPR is de verwerkingsverantwoordelijke een natuurlijk persoon, een rechtspersoon, een overheidsinstantie, een dienst of een orgaan, die alleen of samen met anderen, het doel en de middelen voor de verwerking van de persoonsgegevens vastlegt. Het bepalen van het doel en de middelen maakt duidelijk of u een verwerkingsverantwoordelijke of een verwerker bent. De verwerkingsverantwoordelijke is diegene die de toezichthouder kan aanspreken in verband met de verwerking van persoonsgegevens, en diegenen tot wie de betrokkenen zich kunnen wenden om hun rechten uit te oefenen.
2. De verwerker
De verwerker is een natuurlijk persoon, een rechtspersoon, een overheidsinstantie, een dienst of een orgaan, die ten behoeve van de verwerkingsverantwoordelijke de persoonsgegevens verwerkt. U kan de verwerker zien als een onderaannemer die de uitbestede gegevensverwerking zal uitvoeren in opdracht van de verwerkingsverantwoordelijke. Leveranciers van informatica diensten en sociale secretariaten zijn hier veelvoorkomende voorbeelden van. Opgelet: niet elke onderaannemer is een verwerker. De verwerking van persoonsgegevens is de bepalende voorwaarde of een onderaannemer al dan niet een verwerker is in functie van GDPR.
Alle data in DIPLA is eigendom van een organisatie. DIPLA is enkel een tool om deze dat te verzamelen, stockeren en verwerken.
​https://www.dnsbelgium.be/nl/kennisbank-gdpr/verwerkingsverantwoordelijke-versus-verwerker
​https://www.flegal.nl/privacyrecht/verschil-tussen-verwerkingsverantwoordelijke-en-verwerker/
​
​
​