De meeste bedrijven hebben een hekel aan de GDPR, en we kunnen begrijpen waarom. De regels kunnen verwarrend zijn, vooral voor kleinere bedrijven zonder interne juridische staf.
De Deense autoriteit voor gegevensbescherming heeft onlangs een mooie GDPR-checklist voor kleinere bedrijven gepubliceerd.
Het is niet bedoeld als een uitputtende checklist, maar eerder als een startpunt om de naleving van de regels door je bedrijf te beoordelen. Toch bevat de lijst een aantal goede tips en is het zeker de moeite waard om er even naar te kijken.
Laten we erin duiken!
- Een duidelijk beeld hebben
- Vraag jezelf af: waarom heb ik deze gegevens?
- Verwijder uw gegevens
- Geef informatie over de gegevens die je verwerkt
- Heb goede, duidelijke procedures voor het afhandelen van verzoeken
- Zorg voor IT-beveiliging
- U bent verantwoordelijk voor het delen van persoonlijke gegevens
- Conclusies
Een duidelijk beeld hebben
De eerste stap in de naleving van de GDPR is weten wat je met je gegevens doet. Daarom raadt de DPA aan om te beginnen met jezelf cruciale vragen te stellen:
- Welke persoonsgegevens beheer en verwerk ik?
- Van wie zijn deze gegevens? Zijn het je werknemers/klanten/gebruikers?
- Waar zijn deze gegevens opgeslagen?
Deze vragen lijken misschien triviaal, maar dat zijn ze niet. Veel bedrijven hebben slechts een heel vaag idee van welke gegevens ze verwerken en hoe, ook grotere bedrijven (ik kijk naar jou, Meta).
Inzicht in je gegevensverwerking is een onmisbare eerste stap op weg naar compliance en een basisvereiste voor goed gegevensbeheer. Daarom is het bijhouden van een register van verwerkingsactiviteiten wettelijk verplicht voor grotere bedrijven onder de GDPR (en ook voor kleinere bedrijven die zich bezighouden met gegevensverwerking met een wat hoger risico).
Of je nu niet verplicht bent om een ROPA bij te houden of niet, je moet een duidelijk overzicht hebben van je gegevensverwerking. Een duidelijk en nauwkeurig beeld laat mogelijke complianceproblemen zien en kansen om je gegevensverwerking te verbeteren en te stroomlijnen. Het helpt ook om te reageren op verzoeken om toegang onder de GDPR, omdat je al weet waar de gegevens in je systemen zijn opgeslagen en hoe je ze kunt opvragen.
Als je nog een stap verder wilt gaan, kun je je gegevensstromen in kaart brengen. We hebben het een tijdje geleden gehad over datamapping om onze lezers een heel algemeen idee te geven van hoe datamaps eruit zien en waarom ze nuttig zijn voor zowel compliance als data governance.
Vraag jezelf af: waarom heb ik deze gegevens?
Wanneer je persoonlijke gegevens beheert, moet je jezelf afvragen: Waarom heb ik deze gegevens? Als je een goed antwoord op de vraag vindt, heb je waarschijnlijk een rechtsgrondslag onder de GDPR.
Rechtsgrondslagen zijn een cruciaal begrip dat we een tijdje geleden al hebben besproken. De GDPR vereist dat elke verwerking van persoonlijke gegevens een wettelijke basis heeft - in wezen een soort wettelijke rechtvaardiging. De GDPR biedt zes rechtsgrondslagen waaruit je kunt kiezen, zoals toestemming, een contract of een wettelijke verplichting.
De DPA heeft de beschikbare rechtsgrondslagen samengevat als eenvoudige vragen die je jezelf moet stellen:
- Heb ik toestemming van de persoon op wie de gegevens betrekking hebben - de zogenaamde betrokkene? (toestemming)
- Heb ik de gegevens nodig om een contract met de betrokkene uit te voeren? (uitvoering van een contract)
- Heb ik de gegevens nodig om een openbaar gezag uit te oefenen of een taak van algemeen belang uit te voeren? (openbaar belang of openbaar gezag)
- Ben ik wettelijk verplicht om deze gegevens op te slaan? (wettelijke verplichting)
- Heb ik een andere goede reden om de gegevens te verwerken? Zo ja, kan de verwerking schade of problemen veroorzaken voor de betrokkene? (gerechtvaardigd belang)
(Ja, dat zijn vijf vragen - de rechtsgrondslag van vitaal belang is buiten beschouwing gelaten omdat het gebruik ervan zeer uitzonderlijk is)
Het behoeft geen betoog dat de zaken complexer zijn dan dat. Elke rechtsgrondslag heeft zijn eigen beperkingen en vereisten. Toestemming moet bijvoorbeeld uit vrije wil worden gegeven, waardoor het in sommige scenario's niet mogelijk is om op toestemming te vertrouwen, zoals bij de verwerking van personeelsgegevens. Het afwegen van gerechtvaardigd belang is ook ingewikkelder dan jezelf afvragen of je iemand schade kunt berokkenen door hun gegevens te verwerken (je kunt de Britse ICO raadplegen voor meer informatie hierover).
Dat gezegd hebbende, naleving begint met het stellen van de juiste vragen en de bovenstaande zijn een goed uitgangspunt.
Je moet ook weten of je gevoelige gegevens verwerkt of niet. Gevoelige gegevens zijn zeer gevoelige soorten gegevens zoals gezondheidsgegevens, etnische afkomst, politieke overtuigingen en gegevens over iemands seksuele leven en geaardheid (de volledige lijst is te vinden in artikel 9 van de GDPR).
Gevoelige gegevens krijgen speciale bescherming onder de GDPR. Het hebben van een wettelijke basis is niet voldoende om ze rechtmatig te verwerken, omdat er strengere regels gelden in vergelijking met gewone persoonsgegevens. Als je gevoelige gegevens verwerkt, heb je mogelijk professioneel advies nodig over hoe je kunt voldoen aan de privacywetgeving.
Verwijder uw gegevens
Je moet persoonlijke gegevens verwijderen zodra je ze niet meer nodig hebt. Dit is het principe van opslagbeperking in een notendop.
Het verwijderen van onnodige gegevens (en ze in de eerste plaats niet verzamelen!) is zowel een vereiste onder de GDPR als een goed idee in het algemeen. Door onnodige gegevens te wissen, kun je opslagruimte vrijmaken. Het houdt je archieven ook kleiner en netter, waardoor het makkelijker is om de gegevens terug te vinden als je ze nodig hebt.
De GDPR staat niet toe dat je gegevens bewaart omdat ze misschien ooit nog nuttig kunnen zijn. Verzamel en bewaar alleen de gegevens die je nu of in een specifiek en waarschijnlijk toekomstig scenario nodig hebt. Je DPA zal je niet toestaan om persoonlijke gegevens voor tientallen jaren op te slaan totdat we een ongelooflijk coole toekomstige AI hebben om ongelooflijk coole dingen mee te doen.
Datatilsynet legt uit dat er geen vaste bewaartermijn is onder de GDPR. De beslissing is aan jou, want jij weet welke gegevens je nodig hebt.
Dit betekent niet dat je kunt doen wat je wilt. Als je bewaartermijnen onredelijk zijn, schend je het principe van opslagbeperking en kun je verantwoordelijk worden gehouden door een privacyautoriteit of een rechtbank.
Geef informatie over de gegevens die je verwerkt
Als je de gegevens van iemand beheert, moet je die persoon informeren dat je die gegevens verwerkt. Dit is ook het geval als je de gegevens gewoon bewaart, omdat het opslaan van gegevens een vorm van gegevensverwerking is onder de GDPR.
Onder de GDPR moet je een aantal gegevens verstrekken:
- Bedrijfsnaam en contactgegevens (inclusief de contactgegevens van je functionaris voor gegevensbescherming, als je die hebt)
- Welke gegevens je verwerkt
- Waarom je de gegevens verwerkt en op welke rechtsgrondslag
- Met wie u de informatie deelt
- Hoe lang u de informatie bewaart
- Welke rechten de lezer heeft en hoe hij deze kan uitoefenen
De lijst van Datailsynet is een mooie en leesbare samenvatting van wat verplicht is volgens artikel 13 en 14 van de GDPR. Deze informatie is je privacyverklaring (vaak een privacybeleid genoemd, hoewel de twee niet precies hetzelfde zijn).
Je moet je privacyverklaring in duidelijke en toegankelijke taal opstellen. Laat het juridische jargon achterwege en leg de lezer uit wat je met zijn gegevens doet, welke rechten hij heeft en hoe hij die kan uitoefenen. Dit is lastiger dan het lijkt, maar het is een wettelijke vereiste.
Een gelaagde aanpak kan helpen. Een gelaagde privacyverklaring heeft een eerste laag met de meest essentiële informatie in een zeer eenvoudige en leesbare vorm. Deze laag linkt naar andere pagina's of lagen met meer diepgaande informatie over specifieke onderwerpen, bijvoorbeeld welke waarborgen je implementeert voor gegevensoverdracht en wat de rechten van de betrokkene in de praktijk betekenen.
Proberen om al deze informatie in één laag te proppen zou uw privacyverklaring lang en moeilijk leesbaar maken, dus een gelaagde verklaring kan een mooie balans vinden tussen detail en toegankelijkheid - op voorwaarde dat u alle cruciale informatie in de eerste laag houdt.
Gelaagde privacyverklaringen zijn relatief eenvoudig te implementeren als je ze online aanbiedt - denk maar aan de privacyverklaringen op websites. In een andere context kun je soms ook op een andere manier een korte mededeling doen en de lezer doorverwijzen naar een webpagina voor meer informatie.
Als je nieuwsgierig bent, kan onze voorbeeld cookieverklaring voor Google Analytics je een idee geven van hoe een gelaagde privacyverklaring eruitziet.
Heb goede, duidelijke procedures voor het afhandelen van verzoeken
Als je iemands gegevens verwerkt, kunnen ze bepaalde rechten uitoefenen door een verzoek aan je te sturen. Ze kunnen bijvoorbeeld toegang vragen tot hun gegevens, of ze kunnen eisen dat u de gegevens corrigeert of verwijdert.
Procedures zijn erg belangrijk voor het afhandelen van verzoeken in zowel grote als kleine organisaties. In een kleinere organisatie worden verzoeken meestal niet behandeld door juridische experts. Een duidelijke procedure voor het afhandelen van verzoeken kan duidelijk maken wat de persoon die verantwoordelijk is voor het afhandelen van verzoeken geacht wordt te doen.
(Een kanttekening hierbij is dat kleinere bedrijven de afhandeling van verzoeken beter aan één persoon kunnen overlaten, omdat het dan makkelijker is om overzicht te houden).
Grotere organisaties staan voor andere uitdagingen. Aan de ene kant hebben ze meestal getrainde juridische medewerkers die weten hoe verzoeken moeten worden behandeld. Aan de andere kant worden dezelfde persoonlijke gegevens vaak verwerkt door verschillende teams en opgeslagen in verschillende systemen. Verschillende teams moeten dus samenwerken om gegevens op te vragen of te wissen, en een duidelijke procedure is cruciaal voor de coördinatie.
Het Datatilsynet geeft nog meer goede adviezen voor het afhandelen van verzoeken. Je moet bijvoorbeeld een goed identificatiebeleid hebben voor toegangsverzoeken om ervoor te zorgen dat je niet valt voor imitators die identiteitsdiefstal proberen te plegen.
Dit is gemakkelijker gezegd dan gedaan, maar als vuistregel geldt dat je waar mogelijk gebruik moet maken van persoonlijke gegevens die je al hebt. Als het verzoek bijvoorbeeld afkomstig is van een gebruiker van je website, kun je ze vragen om hun inloggegevens te verstrekken, en als ze je van tevoren hun telefoonnummer hebben gegeven, kun je ze een verificatiecode naar hun telefoon sturen. Vraag niet om andere persoonlijke informatie (zoals ID) tenzij het strikt noodzakelijk is.
Op de website van Datatilsynet staat meer nuttige informatie over het afhandelen van verzoeken. Als je Deens niet zo goed bent, kun je ook de website van de Britse ICO raadplegen.
Autoriteiten behandelen veel zaken rondom dergelijke verzoeken, dus het verbaast ons niet dat ze in de checklist van Datatilsynet staan. Ze zijn een veel voorkomende bron van boetes en juridische problemen voor organisaties, dus zorg ervoor dat je er op de juiste manier mee omgaat.
Zorg voor IT-beveiliging
Je moet andermans gegevens veilig verwerken. Om dit te garanderen, moet u zich zorgen maken over technische en organisatorische beveiliging.
Technische beveiliging is datgene waar je aan denkt als je het over IT-beveiliging hebt: firewalls, versleuteling, back-ups, enzovoort. Voor kleine bedrijven kunnen dit simpele maar belangrijke dingen zijn, zoals alle software up-to-date houden, zorgen dat er een goede antivirus en firewall actief zijn, het personeel leren hoe ze phishing e-mails kunnen herkennen en regelmatig back-ups maken van de systemen.
Aan de andere kant gaat organisatorische beveiliging over het regelen van gegevenstoegang binnen de organisatie en ervoor zorgen dat gegevens alleen kunnen worden bekeken door de medewerkers die ze daadwerkelijk nodig hebben. Kleinere bedrijven hebben waarschijnlijk geen ingewikkeld autorisatiesysteem nodig.
Toch kan het een goed idee zijn om sommige gegevens te beveiligen met een wachtwoord of om verschillende accounts met verschillende privileges aan te maken op dezelfde computer. Het Datatilsynet suggereert andere belangrijke voorzorgsmaatregelen, zoals het vergrendelen van je scherm als je je computer verlaat en ervoor zorgen dat alle gegevens van apparaten worden gewist voordat je ze weggooit.
Beveiligingsverplichtingen staan in verhouding tot de risico's. Je hebt geen ultramoderne gegevensversleuteling nodig als je alleen factureringsgegevens voor je klanten en personeelsgegevens voor hun salarisadministratie verwerkt. Aan de andere kant kunnen organisaties die gevoelige gegevens verwerken, zoals medische gegevens of locatiegegevens, worden gehouden aan hogere beveiligingsstandaarden, ongeacht hun omvang en middelen.
U bent verantwoordelijk voor het delen van persoonlijke gegevens
U kunt om verschillende redenen persoonlijke gegevens willen delen. Misschien vertrouw je op een gegevensverwerker voor je e-mail, HR-software of web analytics. Of misschien wilt u de gegevens delen met iemand anders die ze zal gebruiken voor zijn eigen doeleinden - bijvoorbeeld de manier waarop ziekenhuizen gegevens doorgeven aan onderzoeksinstellingen.
Hoe dan ook, jij bent verantwoordelijk voor de beslissing om persoonlijke gegevens te delen. Je moet ervoor zorgen dat de gegevens correct worden behandeld na de openbaarmaking en je moet de mensen informeren van wie je de gegevens deelt.
Je moet er ook voor zorgen dat je de gegevens überhaupt openbaar mag maken. Ga terug naar punt twee en vraag jezelf af: heb ik echt een goede reden om de gegevens openbaar te maken?
Conclusies
Dat klinkt als veel om in gedachten te houden. Daarom zeggen critici van de GDPR dat het een te grote last legt op organisaties, vooral op kleinere organisaties.
Er zit een kern van waarheid in deze kritiek. De GDPR probeert de nalevingslasten te verlichten door sommige nalevingsverplichtingen te beperken tot grotere bedrijven of tot gevallen waarin ze absoluut noodzakelijk zijn. Toch zijn de regels verre van eenvoudig en kan het lastig zijn om ermee om te gaan.
Maar sommige regels zijn nodig. Het verwerken van persoonsgegevens is inherent riskant. Een bedrijf mag geen brandstof opslaan en vervoeren zonder enige veiligheidsnormen. Daarom zijn er overal veiligheidsvoorschriften voor deze activiteiten. Hetzelfde geldt voor gegevensverwerking: Op dit moment realiseren steeds meer overheden wereldwijd de risico's van het verwerken van persoonlijke gegevens en stellen privacyregels op.
De beste manier om aan deze regels te voldoen is door geen persoonlijke gegevens te verwerken. Maar in de meeste gevallen is dat gewoon niet haalbaar.
Het op één na beste wat je kunt doen is dataminimalisatie in gedachten houden. We schreven hier al eerder over en in een notendop betekent dataminimalisatie dat je alleen de gegevens verzamelt die je echt nodig hebt. Hoe minder gegevens je controleert, hoe minder zorgen je hoeft te maken over compliance.
Wij bij Simple Analytics houden erg van dataminimalisatie. We hebben Simple Analytics gebouwd om onze klanten geweldige analyses en inzichten te bieden zonder persoonlijke gegevens te verzamelen. Hierdoor kunnen bedrijven zich ontwikkelen terwijl ze analytics uitvoeren op een ethische, privacy-vriendelijke manier. Als dit u aanspreekt, probeer ons dan gerust uit!