Hieronder vind je een lijst van veelgebruikte termen die nuttig zijn om te begrijpen om op een gepaste manier te communiceren met jouw klanten, dienstverleners en collega's.
Begrippenlijst Data Protection & Privacy
Anonimiseren of pseudonimiseren
Wat is “anonimiseren” of “pseudonimiseren”?
Marketeers spreken vaak over geanonimiseerde of gepseudonimiseerde gegevens, onder meer in (Google) Analytics accounts. Ze gaan er gemakshalve vanuit dat er dan geen sprake is van verwerking van persoonsgegevens volgens de GDPR. Enige voorzichtigheid is nochtans geboden.
‘Pseudonimiseren van persoonsgegevens’ betekent dat je die gegevens zo bewerkt dat ze niet meer aan een specifieke betrokkene te linken zijn, tenzij je er extra gegevens aan toevoegt. Bijvoorbeeld bij een analytics identifierdie de persoon niet met naam identificeert, maar die wel veel informatie in zich draagt over de onderliggende persoon. En die mits gekoppeld met bijvoorbeeld een IP-adres of device fingerprints in de toekomst wél een persoon kan identificeren. Gepseudonimiseerde persoonsgegevens blijven wel degelijk persoonsgegevens onder de GDPR.
Om van ‘anonieme gegevens’ te kunnen spreken, moet het definitief en onomkeerbaar onmogelijk zijn om een persoon nog te identificeren. Onder meer de Franse en Ierse autoriteiten wezen er al zeer terecht op dat veel persoonsgegevens die als anoniem beschouwd worden dat in werkelijkheid niet zijn omdat ze op een bepaald moment wel teruggeleid kunnen worden naar een bepaalde persoon - bijvoorbeeld door het koppelen van verschillende databases. In een marketingcontext is dat bijvoorbeeld het geval met analytische data. Ook met ‘anonieme’ gebruikersprofielen is dat zo. Nochtans kan dit op het ogenblik dat iemand bijvoorbeeld een account aanmaakt, met terugwerkende kracht wél aan die persoons gelinkt worden. Voorzichtigheid is hier dus geboden en een grondig onderzoek is nodig voordat je besluit dat je enkel anonieme data verwerkt.
Beperking van bewaartermijnen
Wat is “beperking van bewaartermijnen”?
Artikel 5, I., e zegt dat gegevens moeten worden verwerkt “in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan voor de doeleinden waarvoor de verwerking van de persoonsgegevens noodzakelijk is”.
Je mag persoonsgegevens met andere woorden niet eindeloos lang bewaren. De termijn hiervoor is beperkt: hij hangt af van waarvoor u ze in de eerste plaats verzamelt of verwerkt. Als dat doel gerealiseerd is, moet je de gegevens ofwel verwijderen ofwel definitief anonimiseren.
De moeilijkheid is dat de GDPR zelf geen bewaartermijnen vermeldt. Het basisbeginsel van accountability verplicht je om voor élke verwerking eerst te onderzoeken én te documenteren (in het dataregister of register van verwerkingsactiviteiten) hoelang een bepaalde set persoonsgegevens relevant blijft. Kortom: de bewaartermijn verschilt van geval tot geval.
Customer Data Platform (CDP)
Wat is een "Customer Data Platform"?
Customer Data Platform (CDP) omvat applicaties die als voornaamste functionaliteit hebben om een eengemaakt klantenbeeld (single customer view) te creëren door data uit verschillende bronnen te koppelen aan een unieke persoon.
Datacatalogus
Wat is een "Datacatalogus"?
Een opslagplaats voor zogenaamde metadata. Metadata is informatie over data. Het biedt essentiële details en context die verschillende aspecten van gegevens beschrijven, zoals de inhoud, structuur, bron, indeling en betekenis. Metadata helpen gebruikers gegevens effectief te begrijpen, te beheren en te gebruiken. Dit leidt tot een betere organisatie, makkelijkere opvraging en analyse van gegevens. Metadata spelen een cruciale rol in processen voor datamanagement en data governance.
Dataclassificatie
Wat is "Dataclassificatie"?
Elke vorm van opdeling van data assets in categorieën. In het kader van de GDPR en van beveiliging van data wordt classificatie vooral gebruikt om aan te geven of gegevens wel degelijk persoonsgegevens zijn en/of gegevens in een van de categorieën van artikel 9 (de zogenaamde “gevoelige” persoonsgegevens). Voor beveiliging kennen we onder andere de confidentialiteitsclassificatie van ISO 27001 die met 3-5 klassen aangeeft in welke mate documenten of data gedeeld mogen worden buiten de organisatie. Bijvoorbeeld openbare gegevens, interne gegevens, vertrouwelijke gegevens.
Datakwaliteit
Wat is "Datakwaliteit"?
De maatstaf voor hoe geschikt data zijn om hun specifieke doel te dienen. Eigenschappen van datakwaliteit zijn bijvoorbeeld nauwkeurigheid, volledigheid, consistentie, validiteit en uniciteit.
Data lake
Wat is een "Data lake"?
Een dataopslagplaats voor al jouw gestructureerde en ongestructureerde gegevens. Je kan jouw gegevens opslaan zoals ze zijn, zonder dat je de gegevens eerst hoeft te structureren. Je kan verschillende soorten analyses uitvoeren, van dashboards en visualisaties tot data science, realtimeanalyses en machine learning om betere beslissingen te nemen.
Data lakehouse
Wat is een "Data lakehouse"?
Een dataopslagplaats die de beste aspecten van datawarehouses en data lakes samenvoegt tot één oplossing voor datamanagement. In een data lakehouse zijn de data o.a. voorzien van een semantische laag die ervoor zorgt dat u de data goed kunt interpreteren.
Datalek
Wat is een datalek?
Een datalek is elke inbreuk op de beveiliging van persoonsgegevens. Het maakt niet uit of de inbreuk per ongeluk of opzettelijk gebeurde, een interne of externe oorzaak heeft, een kwaadwillige oorzaak heeft of grote, kleine of geen gevolgen of risico's met zich brengt.
Het begrip datalek is dus zeer ruim en omvat niet alleen hackings en datalekken, maar ook e-mails met vertrouwelijke gegevens die naar de verkeerde ontvanger gezonden worden, ex-werknemers die nog persoonsgegevens in handen hebben, paswoordslordigheden, cryptolockers, interne bevoegdheidsoverschrijdingen, verlies van een laptop met persoonsgegevens op een trein, enz…
GDPR voorziet een verplichting voor de verwerkingsverantwoordelijke (niet voor de verwerker dus!) om binnen de 72 uur na de ontdekking van een datalek dit te melden via de website van de Gegevensbeschermingsautoriteit. Als de risico's voor de individuen onwaarschijnlijk zijn, hoef je dit niet te melden. Soms moet je bovendien verplicht de betrokkene(n) informeren. Dat is het geval als het incident waarschijnlijk leidt tot een hoog risico voor de betrokkene(n).
Dataminimalisatie
Wat is "dataminimalisatie"?
Artikel 5, I., c van de GDPR bepaalt dat persoonsgegevens “toereikend, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor ze worden verwerkt” moeten zijn.
Praktisch vertaald voor jouw organisatie: je mag alleen persoonsgegevens verzamelen als dat echt nodig is om het gestelde doel te bereiken. De GDPR vertrekt van een “less is more” principe. Dat is vaak heel anders dan de aanpak van big data en gedetailleerde profiling, al dan niet op AI gebaseerd. In deze benadering kan elk stukje informatie in de toekomst relevant zijn.
Het principe van dataminimalisatie vergt dan ook heel wat discipline van wie data wil gebruiken. Bij elke datacollectie moet je je afvragen of bepaalde informatie wel degelijk relevant en noodzakelijk is. Anders mag je die informatie eenvoudigweg niet bijhouden. Zelfs niet als de betrokkene bereid zou zijn om die informatie te delen. Dit gaat duidelijk in tegen de trend naar het verzamelen van steeds meer (big) data. Die trend gaat ervanuit dat alles wat vandaag nog niet bruikbaar is in de toekomst wel relevantie kan krijgen.
"Data Protection Officer" (DPO) of "Functionaris voor de Gegevensbescherming" (EG)
Wat is een “Data Protection Officer” (DPO) of “Functionaris voor de Gegevensbescherming” (FG)?
Een DPO, of FG in correct Nederlands, is een persoon (of steeds vaker een team) die intern of extern wordt aangesteld en die toeziet op de naleving van de gegevensbescherming binnen jouw organisatie. De DPO is ook het interne en externe aanspreekpunt voor klachten van individuen en vragen van de Gegevensbeschermingsautoriteit.
Zowel verwerkingsverantwoordelijken als verwerkers moeten verplicht een DPO aanstellen in de volgende gevallen:
-
de verwerking wordt uitgevoerd door een overheidsinstantie of -orgaan
-
hun kernactiviteiten bestaan uit verwerkingen die vanwege hun aard, hun omvang en/of hun doel een regelmatige en systematische controle van de individuen op grote schaal vereisen
-
hun kernactiviteiten bestaan uit de grootschalige verwerking van bijzondere categorieën van persoonsgegevens of van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten
-
zij verwerken persoonsgegevens in opdracht van de Federale overheid (die verplichting volgt niet uit de GDPR zelf, maar uit de Belgische kaderwet die GDPR inkadert in het Belgisch recht)
In andere situaties is de aanstelling van een DPO vaak erg nuttig, maar niet verplicht. Het correct invullen van de functie van de DPO brengt heel wat vragen en uitdagingen met zich mee, waarop we later uitgebreid terugkomen.
Dataregister of register van "verwerkingsactiviteiten"
Wat is een “dataregister” of register van “verwerkingsactiviteiten”?
Het dataregister is een overzicht dat zowel de verwerkingsverantwoordelijke als de verwerker moeten aanleggen. Hier staat een volledig en gedetailleerd overzicht van alle verwerkingsactiviteiten binnen het bedrijf. Voor elk van deze verwerkingsactiviteiten moet je door de GDPR verplichte informatie oplijsten. Zoals het detail van welke gegevens verwerkt worden, wat daarvoor de rechtsgrond is, wat de oorsprong van de gegevens is, waar de gegevens bewaard worden, met wie de gegevens gedeeld worden, hoelang de gegevens bewaard worden, enz...
Het register is dus een soort wettelijk verplichte ‘boekhouding’ van hoe je met persoonsgegevens omgaat. Je moet het up-to-date houden: de Gegevensbeschermingsautoriteit kan steeds toegang vragen. Er zijn een aantal uitzonderingen op de verplichting om een register te houden, maar deze zijn vrijwel nooit van toepassing.
Dataveiligheid
Wat is ‘Dataveiligheid’?
Elke dag opnieuw lees je over cyberaanvallen bij bedrijven. Cryptolocker-aanvallen trekken daarbij het gros van de aandacht naar zich toe. Maar in de schaduw zijn bedrijven even vaak het slachtoffer van pure hacking en gegevensdiefstal. Cybercriminelen merken ook dat hun online activiteiten lonen: winsten uit criminaliteit zijn enorm, de pakkans is minimaal. Bovendien zien we steeds vaker dat ook interne medewerkers in bedrijven al lang geen ‘digibeten’ meer zijn. In conflictsituaties weten ze heel goed hoe ze de digitale kwetsbaarheden van hun werkgever kunnen uitbuiten. Cyberrisico’s zijn met andere woorden permanent aanwezig en komen vaak uit onverwachte hoek.
Nochtans is de dataveiligheid garanderen één van de hoekstenen van de GDPR. Artikel 5, I., f, artikel 24 en artikel 28, 3, e GDPR verplichten zowel de verantwoordelijke voor de verwerking als elke verwerker om alle “passende technische en organisatorische maatregelen” te nemen om een “passende beveiliging” te waarborgen, met inbegrip van bescherming tegen ongeoorloofde of onwettige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging, met behulp van passende technologie. Cyber security en de GDPR zijn dan ook onlosmakelijk met elkaar verbonden.
Dit is ongetwijfeld één van de meest vage bepalingen uit de GDPR. Wat zijn “passende technische en organisatorische maatregelen” en wat is precies een “passende beveiliging”? Een en ander kan alleen begrepen worden vanuit de verantwoordingsplicht die we eerder al beschreven. Elk bedrijf of elke afdeling moet een risicoanalyse doen voor de interne werking. Op basis van een “risk based approach” moet je vervolgens de grootste risico’s eerst wegwerken. Je houdt daarbij rekening met het risico, maar ook met de technische, financiële en organisatorische mogelijkheden. Belangrijk daarbij is dat je alles goed documenteert. Uit die documentatie blijkt dat voor elk vastgesteld risico naar best vermogen en volgens de context de meest “gepaste” oplossing wordt gekozen.
Waaruit die risico’s en de gepaste technische en organisatorische maatregelen binnen een marketing- of webshopafdeling kunnen bestaan? Bij wijze van voorbeeld geven we enkele “klassiekers”. Maar deze lijst is niet volledig en hangt af van jouw specifieke situatie.
- Het delen van het paswoord voor de Mailchimp- of Google Analytics-account met iedereen binnen het team
- Het noteren van die paswoorden in een file op het bedrijfsnetwerk of op een post-it in de kantoren
- Het gebruik van eigen devices of thuisnetwerken bij het gebruik van online accounts zoals Mailchimp, Hubspot, CMS-systemen of meer in het algemeen bij het verwerken van persoonsgegevens toebehorende aan het bedrijf zonder daarbij te zorgen voor gepaste veiligheid (antivirus, firewall, VPN dubbele authenticatie, …)
- Het gebruik van Adtech-tools zonder voorafgaand onderzoek naar de GDPR- compliance en veiligheidsgaranties die deze tools kunnen bieden. Typische aandachtspunten zijn het aanbieden van een verwerkersovereenkomst, datalokalisatie binnen of buiten de EER, data protection by design en default, …
- Het gebruik van eigen, zelfgekozen tools of zogenaamde “shadow IT” door medewerkers buiten medeweten van het management en/of IT en zonder voorafgaande risicoanalyse
- Het beroep doen op externe partners (e-mailmarketingpartner, directmailpartner, onlinemarketingpartner, …) zonder voorafgaande garanties naar GDPR-compliance in de vorm van een verwerkersovereenkomst
Datawarehouse
Wat is een "Datawarehouse"?
Een dataopslagplaats, ontworpen om business intelligence (BI)-activiteiten, met name analyses, mogelijk te maken en te ondersteunen. Datawarehouses zijn bedoeld om query’s en analyses uit te voeren en bevatten vaak grote hoeveelheden historische gegevens.
Doelgebondenheid
Wat is “Doelgebondenheid“?
Doelgebondenheid is het basisprincipe dat de meeste aandacht verdient. Artikel 5, I., b GDPR zegt dat gegevens slechts “voor welbepaalde uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt.”
Wat betekent dit? Je moet voor elke verwerking vooraf een duidelijk doel bepalen. (“waarom verwerken we deze gegevens?”). De verzameling en verwerking van die gegevens mag je dan alleen daarvoor gebruiken.1 Je moet als bedrijf bovendien die doelen duidelijk maken aan de personen van wie je persoonsgegevens verzamelt. Dat is immers onderdeel van jouw transparantieverplichting. We komen straks terug op de uitzonderingen maar je mag de betreffende gegevens niet “hergebruiken” voor andere doeleinden.
Laten we doelgebondenheid praktisch verduidelijken. Een klassiek voorbeeld is de organisatie van een online wedstrijd op een eigen actiepagina of eventueel via social media. Doelnemers moeten vragen beantwoorden en hun gegevens achterlaten om kans te maken op een mooie prijs. De reden dat deelnemers in de eerste plaats hun naam en e-mailadres achterlaten, is om hen als winnaar te contacteren. Dat is het initiële doel waarvoor zij hun gegevens achterlaten en in se is dat ook de enige reden (of het enige doel) waarvoor hun gegevens gebruikt kunnen worden.
Maar als marketeer organiseer je zo’n online wedstrijd natuurlijk niet enkel om je klanten te plezieren. De onderliggende reden is meestal database-verrijking: je wil nieuwe contacten kunnen toevoegen aan je database of je wil bestaande contacten aanvullen met bijkomende informatie. Nochtans mag je de data van de deelnemers niet zonder meer toevoegen aan je marketingdatabase. Dat is immers niet het doel waarvoor de deelnemers hun data met jou gedeeld hebben. Als je de deelnemersgegevens wil toevoegen aan je marketingdatabase is dat een tweede, zelfstandig doel. Straks zullen we zien dat je hiervoor een afzonderlijke rechtsgrond nodig hebt. In dit geval zal dat naar alle waarschijnlijkheid een toestemming of opt-in zijn.
1 A. Focquet en E. Declerck, Gegevensbescherming in de praktijk, Antwerpen, Intersentia, 2019, 17 en WP 29, Opinion on purpose limitation, 2 april 2013, nr. 03/2013.
Geautomatiseerde besluitvorming en profiling
Wat is ‘geautomatiseerde besluitvorming’ en ‘profiling’?
De GDPR bevat specifieke bepalingen die zogeheten ‘geautomatiseerde individuele besluitvorming’ (besluitvorming uitsluitend gebaseerd op automatische middelen zonder menselijke tussenkomst) en ‘profilering’ (geautomatiseerde verwerking van persoonsgegevens met het oog op de evaluatie van bepaalde aspecten van een individu) aan banden moet leggen. Voor marketingcampagnes gaat het om acties die gebaseerd zijn op target audiences, segmenten, doelgroepen of specifieke profielen.
Geautomatiseerde besluitvorming en profilering vereisen absolute transparantie, (bijna altijd) expliciete toestemming, een recht om zich te verzetten tegen de automatisch genomen beslissing of tegen de profiling.
‘Gevoelige’ of ‘bijzonder beschermde’ gegevens
Wat zijn ‘gevoelige’ of ‘bijzonder beschermde’ gegevens?
De GDPR beschouwt bepaalde persoonsgegevens als ‘bijzonder beschermd’ door hun gevoelige aard. Die gegevens worden limitatief opgesomd in de artikels 9 en 10 en de verwerking ervan is aan nog veel striktere voorwaarden onderworpen. Je moet denken aan gegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuiging of het lidmaatschap van een vakbond blijken en de verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon of gegevens over gezondheid, of gegevens met betrekking tot iemands seksuele gedrag of seksuele geaardheid en daarnaast ook strafrechtelijke gegevens.
Als je dit soort gegevens wilt verwerken, kan je best individueel advies inwinnen. In elk geval is het in het korte bestek van dit hoofdstuk niet mogelijk om in detail in te gaan op de verwerking van deze gevoelige gegevens. Bijzonder beschermde gegevens zitten soms in een onverwacht hoekje. Ook gegevens over leefgewoonten, sportieve prestaties of voedingsvoorkeuren kunnen immers gevoelig blijken te zijn.
Persoonsgegevens
Wat zijn ‘persoonsgegevens’ en wat is ‘verwerking’?
Marketeers en juristen geven soms een andere betekenis aan ‘persoonsgegevens’ en hebben een andere opvatting over wanneer die verwerkt moeten worden. Het gaat dan vooral over ‘onrechtstreekse’ data. “Ik heb onze analytics account anoniem opgezet, dus die verwerkt geen persoonsgegevens”, hoor je vaak. Vanuit het oogpunt van de marketeer is dat terecht. Hij of zij “weet” niet wie er achter een analytics identifier zit en kan de analytische data niet rechtstreeks aan een persoon koppelen.
Wat zegt de regelgeving? Een persoonsgegeven is élk stuk informatie waarmee je rechtstreeks of onrechtstreeks, nu of in de toekomst, alleen of met de hulp van anderen een persoon kunt identificeren. ‘Identificeren’ betekent daarbij niet noodzakelijk dat je een naam op iemand kunt plakken - de bekende NAW-gegevens - maar wel dat je die persoon kan isoleren uit de groep en als individu kan herkennen. Dat wil zeggen dat je informatie over iemand die ‘naamloos’ is verwerkt, toch als persoonsgegevens moet beschouwen. Voor jouw marketing, sales of webshop gaat het bijvoorbeeld om profielinformatie (analytics identifiers en alle verwante data), surfgedrag, aankoopgedrag, resultaten van heatmapping of A/B-testen als die aan een identifier gelinkt is. Zelfs IP-adressen, MAC-adressen, fingerprints of customer profiles in bijvoorbeeld Server Side Tracking-oplossingen zijn meestal persoonsgegevens.
Privacy by design
Wat is “privacy by design” en “privacy by default”?
"Privacy by design" en "privacy by default" verplichten verwerkingsverantwoordelijken om in nieuwe software, nieuwe apps, nieuwe tools, nieuwe websites, … maximaal de privacy van persoonsgegevens te respecteren. Dit betekent dat de webshop/website technische veiligheid moet garanderen (SSL, versleutelde verzending, enz. Maar ook dat de verzameling van persoonsgegevens via de website GDPR-compliant moet zijn (proportionaliteit, doelbinding, minimalisatie, enz.). Dit komt in de eerste plaats tot uiting bij het verplicht aanmaken van accounts, bij het gebruik van cookies en bij de gegevensvelden op invulformulieren. Om dat allemaal correct te doen, zal een voorafgaande gegevensbeschermingseffectbeoordeling (DPIA) nodig zijn.
Rechten van de betrokkene
Wat zijn de “rechten van de betrokkene”?
GDPR kent aan de persoon wiens gegevens verwerkt worden (de “betrokkene”) een hele reeks rechten toe. Die zijn bijna absoluut en er zijn erg weinig, en zelfs dan zeer beperkte, uitzonderingen op die rechten.
Zo heeft elke betrokkene het recht om zijn of haar persoonsgegevens in te kijken, om er een kopie van te ontvangen, om de verbetering van fouten of onvolledigheden in zijn of haar gegevens te vragen, om een gegeven toestemming later weer in te trekken of om zich te verzetten tegen verdere verwerking op andere gronden dan toestemming of zelfs om zijn of haar gegevens te laten verwijderen, samen met nog enkele minder courante rechten.
Als je een verzoek ontvangt waarin een betrokkene zijn of haar rechten wenst uit te oefenen, moet je als verwerkingsverantwoordelijke “zo snel mogelijk” reageren, en in ieder geval binnen 30 dagen na ontvangst van het verzoek. Heb je aanvullende informatie nodig om het verzoek te verwerken (bv. een identiteitsbewijs), dan zal de termijn pas beginnen te lopen zodra je die extra informatie hebt ontvangen. In zeer specifieke en uitzonderlijke gevallen, kan de antwoordtermijn met maximaal twee extra maanden worden verlengd.
Rechtsgrond
Wat is een “rechtsgrond” en welke rechtsgronden kent de GDPR?
Onder GDPR is de verwerking van persoonsgegevens in principe verboden, behalve wanneer je als verantwoordelijke voor de verwerking één van de zes limitatief opgesomde rechtsgronden kan inroepen. We komen in de loop van deze gids terug op deze rechtsgronden en op de specifieke uitdagingen die elke rechtsgrond met zich mee brengt.
Dit zijn de zes mogelijke rechtsgronden.
- Verwerking op basis van de voorafgaande, vrije, geïnformeerde en expliciete toestemming van de betrokkene
- Verwerking van persoonsgegevens die absoluut noodzakelijk is om een overeenkomst met de betrokkene te kunnen uitvoeren (of voorbereiden), bijvoorbeeld het leveringsadres bij een online aankoop
- Verwerking op basis van een wettelijke verplichting of een wettelijke toelating, bijvoorbeeld in de context van boekhoudkundige of sociaalrechtelijke verplichtingen
- Verwerking van persoonsgegevens die noodzakelijk is voor de bescherming van de vitale belangen van de betrokkene, bijvoorbeeld door hulpdiensten op de spoedafdeling van een ziekenhuis
- Verwerking (door een overheid) die noodzakelijk is voor de uitoefening van een taak van algemeen belang of van openbaar gezag
- Verwerking van persoonsgegevens die ingegeven is door ‘gerechtvaardigde belangen’ van de verwerkingsverantwoordelijke of van een derde.
Voor bijzonder beschermde of gevoelige gegevens gelden overigens strengere voorwaarden en bijkomende rechtsgronden. Dit soort gegevens kan je in principe nooit verwerken, tenzij met de vrije, voorafgaande, geïnformeerde en expliciete toestemming van de betrokkene.
Transparantie
Wat is “transparantie”?
Transparantie is de eerste vereiste voor vertrouwen. Transparant zijn over wie je bent als organisatie, waar je voor staat en hoe je omgaat met de privacy van je klanten en volgers is de basis van elke langetermijnrelatie. Transparantie loont, maar het is ook één van de basisverplichtingen uit de regelgeving rond gegevensbescherming. Wie persoonsgegevens wil verwerken, moet daarbij maximaal transparant zijn voor de persoon in kwestie.
Hoe je transparantie precies invult, lees je verderop in deze gids. De kern is een gedetailleerde ‘privacy policy’, waarin je onder meer
- precies uitlegt wie je bent,
- welke gegevens je verzamelt,
- voor welk doel je die gegevens gaat gebruiken,
- met wie je die gegevens exact deelt
- of sommige van de ontvangers buiten de EU wonen (uitgebreid met IJsland, Liechtenstein en Noorwegen),
- de periode waarvoor je de data bewaart en gebruikt,
- de rechten die de verordening de betrokkene geeft ten aanzien van zijn of haar eigen persoonsgegevens.
Verantwoordingsplicht
Wat betekent “verantwoordingsplicht” of “accountability”?
De GDPR bevat verbazend weinig absolute verbodsbepalingen. De verordening laat erg veel aan de eigen beslissing van de verantwoordelijke voor de verwerking over. Ze vertrekt daarbij van een zogeheten ‘verantwoordingsplicht’ of een verplichting tot ‘accountability’. Wie persoonsgegevens wil verzamelen of verwerken moet op elk ogenblik kunnen aantonen dat dit proportioneel en verantwoordbaar gebeurt. Wie met persoonsgegevens aan de slag wil gaan, draagt dus zelf de verantwoordelijkheid om te onderzoeken of dat conform de regels uit de GDPR kan. Je draagt ook de verantwoordelijkheid om te bewijzen dat je vooraf effectief hebt onderzocht of je aan die regels voldoet. Wie dat niet doet en zonder overleg aan de slag gaat, riskeert aanzienlijke boetes.
Accountability verplicht je dus
- om vooraf te onderzoeken of je de GDPR respecteert
- dat je steeds kunt bewijzen dat je de impact en de voorwaarden van elke verwerking bent nagegaan
Dat betekent voor marketing en webshop dat je vooraf moet stilstaan bij de impact van elke nieuwe actie, klantenkaart, website of webshop, nieuwe tools of apps, aankoop of huur van data, … en dat je die voorafgaande denkoefening best goed documenteert in vergaderverslagen, interne adviezen of zelfs in formele “impact assessments”. Blijkt achteraf dat die leuke nieuwe heatmapping tool die je al een tijdje gebruikt zo lek is als een zeef en permanent data doorstuurt naar derde bedrijven? Dan heeft dat wettelijke gevolgen als je niet kan aantonen dat je vooraf getracht hebt alle risico’s correct in te schatten en te zorgen voor een veilige én correcte verwerking.
Verwerkersovereenkomst
Wat is een “verwerkersovereenkomst”?
GDPR gaat nog een stapje verder voor het verzekeren van gepaste veiligheid. De verordening verplicht je om voor externe verwerkers (e-mailmarketingpartner, directmailpartner, onlinemarketingpartner, hostingpartner, heatmapping tools, analytics tools, cloud-gebaseerde CRM-tools, lead generation tools,...), die in jouw opdracht persoonsgegevens verwerken eerst aan een onderzoek te onderwerpen. Samenwerken betekent dat zij voldoende garanties bieden voor dataveiligheid. Die garanties moeten op basis van artikel 28 GDPR verplicht opgenomen worden in een zogenaamde verwerkersovereenkomst (of vaak ook Data Processing Agreement of DPA in het Engels). Samenwerken met een verwerker zonder afdoende garanties of zonder getekende verwerkersovereenkomst kan leiden tot érg hoge boetes.
Verwerking
Wat is ‘verwerking van persoonsgegevens’?
De term ‘verwerking’ gaat in deze context over élk gebruik van persoonsgegevens. De GDPR spreekt van ‘verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens’. Die verwerking gebeurt ofwel door de verantwoordelijke voor de verwerking van persoonsgegevens zelf, ofwel in diens opdracht door een door hem of haar aangestelde verwerker.
Verwerkingsverantwoordelijke
Wat is een ‘verantwoordelijke voor de verwerking van persoonsgegevens’ en wat is een ‘verwerker’?
De verwerkingsverantwoordelijke bepaalt waarvoor en hoe de persoonsgegevens worden verwerkt. Als jouw onderneming of organisatie dit zelf beslist, is ze een verwerkingsverantwoordelijke. Voorbeelden zijn het optimaliseren van de surfervaring op een website of het aanbieden van gepersonaliseerde reclame. De middelen van de verwerking gaan over twee zaken: de technische modaliteiten, zoals het gebruik van cookies, en de wijze waarop de gegevens worden verwerkt. Bijvoorbeeld: welke gegevens er worden verwerkt, wie er gegevenstoegang heeft of wanneer er de gegevens worden gewist.
De verwerker verwerkt, zoals de term zelf al aangeeft, persoonsgegevens voor en in opdracht van de verwerkingsverantwoordelijke. De verwerker is meestal een externe partner, dienstenleverancier of onderaannemer en staat dus buiten de onderneming. Voorbeelden van verwerkers zijn een archiveringsdienst voor e-filing, een cloudservice-provider voor de opslag van gegevens of een externe IT-dienstverlener. Belangrijk: cloudoplossingen en online tools voor analytics, SEA, e-mailmarketing en newsletters verwerken meestal persoonsgegevens en zijn dus een “verwerker van persoonsgegevens” volgens de GDPR.