Geschiedenis
Gegevensbescherming bestaat al van toen de dieren nog spraken. Maar sinds 2016 is er een Richtlijn in heel Europa om de uniformiteit een beetje te bewaren. En in 2018, heeft elk Europees land z’n eigen lokale wetgeving gepubliceerd.
GDPR, AVG, Data Protection, Gegevensbescherming, … Al deze termen verwijzen naar hetzelfde concept:
De bescherming van de verwerking van persoonsgegevens binnen het Europees grondgebied.
Maar wat betekent verwerking? Wat zijn persoonsgegevens? Oké, Europees grondgebied is duidelijk. Maar hoe zit het dan met Amerikanen die naar jouw Belgische website surfen?
Let’s break it down
Verwerking
Een verwerking kan letterlijk alles zijn: verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verspreiden, vernietigen, wissen, afschermen, combineren, …
Afhankelijk van de context valt de verwerking onder GDPR of niet.
Bijvoorbeeld: je zit op de trein en je ziet een concullega mailen naar een klant. Dan ben je gegevens aan het verwerken, want je weet waarover het gaat en je legt linken in je hoofd. Maar loopt je kind achter je door terwijl je aan het werken bent en kijkt hij/zij naar je computerscherm, dan is er geen sprake van verwerking. Waarom? Omdat je kind helemaal niet weet wat hij/zij ziet.
Persoonsgegevens
Persoonsgegevens zijn alle gegevens die – apart of samen – een natuurlijke persoon kunnen identificeren.
Deze afbeelding laat zien welke soorten persoonsgegevens er bestaan. Je merkt waarschijnlijk wel dat quasi alles een persoonsgegeven kan zijn. Bovendien heb je ook nog zoiets als gevoelige persoonsgegevens die met extra zorg behandeld moeten worden, zoals medische gegevens.
Natuurlijke persoon
Een natuurlijke persoon is een levende persoon die geen rechtspersoon is.
Nu denk je waarschijnlijk dat GDPR niet van toepassing is op jou omdat in een B2B-context werkt en je dus alleen met bedrijfsgegevens werkt? Helaas is dat fout. Ook bedrijfsgegevens kunnen persoonsgegevens zijn.
Bijvoorbeeld: info@pardonservice.com is geen persoonsgegeven, maar elke@pardonservice.com dan weer wel, want je kunt dat e-mailadres heel makkelijk aan mijn persoon linken.
Ander voorbeeld: Pardon Service NV is geen persoonsgegeven. Elke Pardon NV wel, omdat mijn volledige naam er in staat.
Grondgebied van Europa
GDPR is van toepassing op alles en iedereen die aanwezig is (online of offline) in Europa.
Enkele voorbeeldjes om het duidelijk te maken:
- Je surft vanuit België naar een Amerikaanse website, GDPR is van toepassing
- Je surft vanuit Amerika naar een Amerikaanse website, GDPR is niet van toepassing
- Je surft vanuit Amerika naar een Belgische website, GDPR is van toepassing
- Een Amerikaan surft van uit Amerika naar een Belgische website, GDPR is van toepassing.
Het gaat er dus om waar één van de betrokken partijen zich bevindt.
Conclusie: context is everything
De context waarin de gegevens verwerkt worden bepaalt of GDPR van toepassing is of niet.
Nog een laatste voorbeeld: je volgt een opleiding en vindt een naamkaartje met Elke Pardon terug, dan is dat een persoonsgegeven. Je weet namelijk dat ik ook deelneem aan de opleiding. Maar vind je het kaartje terug op de trein, dan is dat niet persé een persoonsgegeven omdat je niet weet over wie of wat het gaat. Indien er op het naamkaartje ook de naam van de opleiding staat of “afkomstig uit Leuven”, dan zijn het wel persoonsgegevens want er zijn waarschijnlijk geen 20 Pardonnekes die deelnemen aan de opleiding of afkomstig zijn uit Leuven.
Context is dus alles.
Heb je hier nog vragen over? Aarzel niet me te contacteren via info@pardonservice.org