De 7 Principes van GDPR

DE 7 PRINICPES VAN GDPR

“Ik mag niks meer sinds GDPR”, “GDPR is te streng”, “GDPR zorgt alleen maar voor meer werk”, …

Je denkt misschien dat GDPR een set regels is, gemaakt door een paar dikbetaalde mensen in een hoge ivoren toren.

I get it. GDPR kan heel overweldigend zijn. Allemaal maar nieuwe termen en zaken waar je rekening mee moet houden.

Maar wist je dat GDPR op 7 principes gebaseerd is? En dat je die waarschijnlijk al wel grotendeels geïmplementeerd hebt in je bedrijf?

De zes principes zijn:

  • Rechtmatigheid, eerlijkheid, en transparantie
  • Accuraatheid
  • Integriteit en vertrouwelijkheid
  • Verantwoordelijkheid
  • Data minimalisatie
  • Rententie
  • Doel

Rechtmatigheid, eerlijkheid, en transparantie

“persoonsgegevens moeten verwerkt worden op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is”

Alweer een mond vol. Dus laten we er eens dieper op in gaan.

Met rechtmatigheid verwijzen ze naar de grondslag die je gebruikt voor de verwerking. Elk verwerkingsdoel kun je linken aan één van de zes grondslagen (toestemming, contract, wettelijke verplichting, etc.).

Met behoorlijk bedoelen ze eerlijk. Heb je de gegevens op een eerlijke manier gekregen? Ga je er eerlijk mee om? Transparantie hangt daar nauw aan vast; transparant in hoe je de gegevens bekomt, hoe je ze verwerkt, waarom, hoelang, etc.

Dit Transparantie-principe is echt een van de belangrijkste pijlers van GDPR. Als ik wil dat je iets onthoudt van alles wat ik deel, dan is het wel dit.

Begin dit jaar heeft de Gegevensbeschermingsautoriteit (=GBA) in België de onderneming Family Service een boete van € 50 000 opgelegd wegens gebrek aan transparantie ten opzichte van haar klanten. Persoonsgegevens werden namelijk gedeeld of verkocht met derde partijen, maar dat stond nergens op een duidelijke en transparante manier uitgelegd.

Accurraatheid

“persoonsgegevens moeten juist zijn, en, zo nodig, worden geactualiseerd”

Dit principe houdt in dat je zo veel mogelijk (redelijke) maatregelen moet nemen dat ervoor zorgt dat persoonsgegevens aangepast kunnen worden.

Integriteit en vertrouwelijkheid

“Persoonsgegevens moeten, door het nemen van passende technische of organisatorische maatregelen, op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is en dat zij onder meer ook beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging, of beschadiging.”

Een hele lange zin om te zeggen dat je persoonsgegevens zo goed mogelijk hoort te beschermen, door middel van passende technische of organisatorische maatregelen. Technische maatregelen zijn bijvoorbeeld 2-factor authentication. Organisatorische maatregelen zijn bijvoorbeeld dat je je gebouw alleen maar binnenkunt als je een sleutel hebt, dat de belangrijke papieren achter slot en grendel zitten, en dat je alleen toegang hebt tot gegevens indien het nodig is (op een need-to-know basis, dus).

Verantwoordelijkheid

“de verwerkingsverantwoordelijke is verantwoordelijk voor het naleven van de GDPR”

Eigenlijk is “verantwoordelijkheid” een slechte vertaling uit het Engels, want daar staat er “accountability” wat eigenlijk 2 elementen omvat;

  • Verantwoordelijkheid nemen: beslissingen en maatregelen nemen
  • Verantwoording geven: aantonen dat je verantwoordelijkheid genomen hebt. a.w., alles dus ook goed documenteren.

Data minimalisatie

“persoonsgegevens moeten toereikend, ter zake dienend, en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt”

Dit wil dus eigenlijk gewoon zeggen dat je niet meer mag opvragen dan wat hoogstnoodzakelijk is voor het doel van de verwerking.

Bijvoorbeeld: ik maak een klantenkaart waarop de voor- en achternaam van de klant staat. Ik heb het rijksregisternummer niet nodig om deze klantenkaart op te maken.

Retentie

“Persoonsgegevens moeten worden bewaard in een vorm die het mogelijk maakt de betrokkene niet langer te identificeren dan voor de doeleinden waarvoor de persoonsgegevens worden verwerkt, noodzakelijk is”.

Bijvoorbeeld: de samenwerking met een klant loopt af. In principe wilt dat dus zeggen dat je deze gegevens niet meer moet kunnen zien, maar je wilt ze natuurlijk nog niet verwijderen (want stel dat je binnenkort toch nog zou samenwerken met die klant). Dan kun je de gegevens bijvoorbeeld anonimiseren en/of archiveren waardoor je ze niet echt meer verwerkt.

Doelbinding

Dit principe houdt in dat je een verwerkingsdoel formuleert dat je concreet omschreven meeedeelt aan de betrokkene. Je mag dezelfde persoonsgegevens verwerken voor verschillende doelen.

Conclusie

De 7 GDPR principes in mensentaal:

  • wees zo eerlijk en transparant mogelijk over de verwerking van persoonsgegevens,
  • zorg ervoor dat ze zo juist mogelijk zijn, (up-to-date)
  • bescherm de persoonsgegevens zo goed mogelijk,
  • documenteer goed waarom je bepaalde keuzes maakt,
  • vraag nooit meer persoonsgegevens op dan je nodig hebt,
  • verwijder wat je niet meer nodig hebt,
  • zorg altijd dat je een doel hebt voor elke verwerking.

GDPR komt dus vaak gewoon neer op gezond verstand en transparantie. Indien je nog vragen hebt, aarzel niet om mij te contacteren.

Leave a Comment

Your email address will not be published. Required fields are marked *