Op 25 mei 2018 werd de Algemene Verordening Gegevensbescherming (GDPR) van kracht. Ondertussen, 6 maanden na de inwerkingtreding, merken we echter op dat er nog regelmatig misverstanden bestaan over de GDPR. Tijd om de 6 belangrijkste misverstanden op te helderen.
Het verwerken van persoonsgegevens onder de GDPR veronderstelt steeds een rechtvaardigingsgrond. Naast toestemming zijn er ook andere gronden die de verwerking rechtvaardigen:
Ondernemingen hebben vaak het idee dat het verwerken van persoonsgegevens enkel nog mogelijk is met toestemming van de betrokkene. Zij drukken dan ook hun bezorgdheid uit over hoe het dan verder moet als deze toestemming wordt ingetrokken.
Echter, bedrijven zullen zich vaak kunnen baseren op de uitvoering van de overeenkomst. Dit is bijvoorbeeld het geval voor de levering van goederen of diensten. Ook het gerechtvaardigd belang van ondernemingen zal in veel gevallen de verwerking kunnen ondersteunen.
De toestemming van de betrokkene is dus niet steeds vereist om persoonsgegevens te verwerken en het is zelfs aangewezen deze grond te vermijden wanneer er een andere rechtvaardigingsgrond gebruikt kan worden.
Een tweede misverstand omtrent de GDPR situeert zich op vlak van de kwalificatie van het bedrijf en de moeilijkheden die dit met zich meebrengt. Bedrijven menen vaak onterecht dat ze een verwerker in plaats van een verwerkingsverantwoordelijke zijn, wat met zich meebrengt dat ze niet de juiste verplichtingen naleven en de verkeerde overeenkomsten sluiten met partijen waarmee ze samenwerken in het kader van de gegevensverwerking.
Als vuistregel geldt dat de onderneming beschouwd worden als een verantwoordelijke zodra desbetreffende onderneming kiest wat zij met persoonsgegevens doet en bepaalt hoe persoonsgegevens verwerkt worden.
De DPO of gegevensbeschermingsfunctionaris zou mogelijks wel eens het buzzwoord kunnen worden van 2018. Vaak denken ondernemingen onterecht dat het aanstellen van een DPO een noodzakelijke voorwaarde is om aan de GDPR te voldoen.
Echter, een DPO is in principe enkel noodzakelijk voor:
Het valt op dat veel ondernemingen niettemin een DPO aanstellen. Dit brengt met zich mee dat ook de strengere voorwaarden waaraan een DPO moet voldoen in acht moeten worden genomen. Zo moet een DPO volgens de GDPR een expert zijn op het gebied van gegevensbescherming en aangemeld worden bij de Gegevensbeschermingsautoriteit. Dit is vaak iets dat ondernemingen over het hoofd zien.
Het is zeker een goed idee om binnen een onderneming iemand aan te duiden die zich zal bezighouden met privacy, maar deze persoon hoeft niet noodzakelijk DPO te zijn. Indien men louter een verantwoordelijke wil aanduiden binnen de onderneming, kiest men dus best een andere benaming.
Het vierde vaak voorkomende misverstand over de GDPR is dat gepseudonimiseerde gegevens buiten het toepassingsgebied van de Verordening zouden vallen. De Verordening bepaalt dat persoonsgegevens gegevens zijn van een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent dat persoonsgegevens die het niet mogelijk maken de persoon te identificeren, zelfs mits combinatie met andere persoonsgegevens, buiten het toepassingsgebied van de Verordening vallen. Zulke gegevens noemt men geanonimiseerde gegevens en onderscheiden zich van de gepseudonimiseerde gegevens.
Het pseudonimiseren van data houdt in dat de data wordt gescheiden van de directe identificatoren zodat ze niet aan een specifieke betrokkene kunnen worden gekoppeld zonder het gebruiken van bijkomende informatie die afzonderlijk wordt bewaard. De GDPR blijft van toepassing op zulke gegevens.
Het pseudonimiseren van gegevens is dus zeker een veiligheidsmaatregel die sterk kan worden aangeraden (en afhankelijk van het soort persoonsgegevens ook noodzakelijk is), maar het brengt niet met zich mee dat de GDPR niet meer van toepassing zal zijn.
Net voor het inwerkingtreden van de GDPR kwamen we in een tsunami terecht van ondernemingen die onze toestemming opnieuw vroegen voor het gebruiken van ons e-mailadres voor het versturen van marketing e-mails. Het is echter een misverstand dat het vragen van toestemming voor direct marketing voortvloeit uit de GDPR of dat dit ook standaard nodig zou zijn.
Een ander Europees instrument, de e-Privacy richtlijn, bepaalt dat toestemming moet gevraagd worden wanneer men een e-mailadres wil gebruiken voor het versturen van reclame. Op deze regel bestaat een uitzondering wanneer de geadresseerde zijn/haar e-mailadres heeft gegeven bij een eerdere aankoop bij de onderneming en de reclame gericht is op producten of diensten die de geadresseerde toen aangekocht.
Hou wel in het achterhoofd dat er in beide gevallen telkens de mogelijkheid moet worden gegeven om zich uit te schrijven. De toestemming voor direct marketing moet duidelijk onderscheidbaar zijn van andere verwerkingen. Deze regels zijn bij ons omgezet in artikel XII.13 WER en het KB van 11 maart 2004 en staan dus naast de GDPR.
Vanaf de inwerkingtreding van de GDPR dienen alle ondernemingen een register van verwerkingsactiviteiten bij te houden, ook wanneer zij minder dan 250 mensen in dienst hebben maar niet louter incidenteel persoonsgegevens verwerken. Kleine bedrijven denken dus vaak onterecht dat zij geen register hoeven bij te houden. Een incidentele verwerking houdt in dat het toevallig gebeurt of onvoorzien is.
De Gegevensbeschermingsautoriteit verduidelijkt dat alle verwerkingen die verband houden met klantenbeheer, leveranciersbeheer of personeelsbeheer geen incidentele verwerkingen zijn en dus moeten opgenomen worden in het register.
Zijn er nog zaken waarover je twijfelt? Laat het ons gerust weten, wij zoeken het graag samen met je uit. Neem contact met ons op.