privacy: de verantwoordingsplicht en aansprakelijkheid van de bedrijven

Wat is de impact op uw bedrijf of organisatie van de nieuwe Europese privacyverordening of zogenaamde General Data Protection Regulation of ‘GDPR’? Ontdek het tweede artikel in deze reeks : verantwoordingsplicht en aansprakelijkheid van bedrijven.

ik verwerk persoonsgegevens, wat zijn mijn verplichtingen?

De Europese regels maken een onderscheid tussen de verwerkingsverantwoordelijke (controller) en de verwerker (processor). De controller zegt hoe en waarom de persoonsgegevens worden verwerkt. De processor treedt op ten behoeve van de controller. Beiden kunnen één en dezelfde organisatie zijn: een sociaal secretariaat bijv. verwerkt als processor data in opdracht van een bedrijf. De gegevens van de eigen medewerkers verwerkt het als controller.

Allebei moeten ze voldoen aan de nieuwe Europese privacywetgeving en hun ‘daden’ en processen kunnen verantwoorden. Anders gezegd, zowel de controller als de processor moeten de persoonsgegevens verwerken volgens de regels van de kunst én – dat is nieuw – ze moet kunnen bewijzen of verantwoorden hoe die verwerking gebeurt en waarom. Dat is de zgn. verantwoordingsplicht.

Bewaar de persoonsgegevens niet langer dan nodig.

verwerkt uw bedrijf of organisatie de gegevens correct?

Om in regel te zijn, moet u ervoor zorgen dat het duidelijk is hoe u de persoonsgegevens zal verwerken en dat ze

  • worden verwerkt op een rechtmatige, eerlijke manier;
  • enkel worden verzameld voor uitdrukkelijk omschreven doeleinden;
  • relevant en beperkt zijn tot die doeleinden;
  • accuraat en up-to-date zijn;
  • niet langer worden bewaard dan nodig;
  • op een veilige manier worden verwerkt.

Hoe sterker de verantwoording hoe kleiner de kans op sancties.

hoe kan uw bedrijf de ‘correcte verwerking’ bewijzen of verantwoorden?

Dat kan op verschillende manieren:

  • inventariseer alle verwerkingsactiviteiten;
  • toon aan dat u enkel die gegevens verwerkt die u echt nodig hebt;
  • stel een ‘privacy notice’ op (een verklaring waarin uw bedrijf beschrijft hoe het de data verzamelt, gebruikt, bewaart, …);
  • ontwikkel een intern beleid om uw medewerkers te trainen en te sensibiliseren;
  • stel een ‘privacy’-verantwoordelijke aan;
  • voer indien nodig een impactanalyse of -assessment uit;
  • gebruik efficiënte beveiligingsprocedures;

Hoe beter u het verantwoordingsprincipe naleeft, hoe kleiner de kans op sancties of hoe lager de boete.

‘privacy by design’ en ‘privacy by default’

De Europese regels leggen uw bedrijf of organisatie twee principes op. ‘privacy by design’ betekent dat u tools en processen ontwikkelt met de kleinst mogelijke impact op de privacy van de persoon.

Met ‘privacy by default’ wordt bedoeld dat uw oplossingen standaard zo zijn ingesteld dat ze de privacy van de betrokkene optimaal waarborgen. Zo mag u niet langer:

  • vooraf ingevulde velden gebruiken om de toestemming van de betrokken persoon te krijgen;
  • gegevens opvragen als die niet relevant zijn voor het doel (bijv. inschrijven op een nieuwsbrief);
  • in de algemene voorwaarden opnemen dat de gegevens met derden worden gedeeld (zonder dat de betrokken persoon uitdrukkelijk zijn toestemming gaf);

Lees volgende week zeker ook het vervolgartikel omtrent 'de rol van de Data Protection Officer'.

 


 

disclaimer
Randstad vindt het als grootste human resources-dienstverlener van het land belangrijk om op deze blog arbeidsmarktgerelateerde onderwerpen vanuit verschillende invalshoeken aan bod te laten komen. Dit wil niet zeggen dat we automatisch de standpunten onderschrijven van de specialisten die in onze publicaties het woord nemen.