Dataportabiliteit, gerechtvaardigd belang, privacy by design. Kun jij op een verjaardag uitleggen wat deze GDPR-termen inhouden? Geen nood, ik ploos de 88 pagina’s van de nieuwe Europese privacywet voor je na en zette de belangrijkste begrippen voor je op een rij. In gewone-mensentaal.
Algemene verordening gegevensbescherming. Niets meer of minder dan de Nederlandse naam van de General Data Protection Regulation (GDPR).
Of gegevensoverdraagbaarheid: het recht van consumenten om hun persoonsgegevens bij je op te vragen en te delen met andere organisaties, zoals je concurrenten. Dit maakt het makkelijker voor hen om te wisselen van bijvoorbeeld verzekeraar of telecomaanbieder. Of over te stappen naar andere software en tools.
Of Data Protection Officer (DPO): iemand die intern toezicht houdt op de verwerking van persoonsgegevens in je organisatie.
Niet elke organisatie is verplicht een FG aan te stellen, maar overheden, publieke instellingen, organisaties die op grote schaal mensen volgen (bijvoorbeeld met cameratoezicht) of aan profiling doen wel. Net als organisaties die gevoelige informatie (‘bijzondere persoonsgegevens’ als geloofsovertuiging en medische gegevens) verwerken.
Het exacte takenpakket van de FG kan per organisatie verschillen en is nog volop in ontwikkeling.
De GDPR zegt dat je iemands persoonsgegevens pas mag verwerken als je daar een geldige ‘legale grond’ voor hebt. Een belangrijke legale grond is dat iemand expliciet toestemming heeft gegeven.
Een andere grond is dat je zijn gegevens nodig hebt om je dienst überhaupt te kunnen verlenen (om een nieuwe lidmaatschapskaart op te sturen, heb je bijvoorbeeld een adres nodig).
Óf dat je een gerechtvaardigd belang hebt: een goede reden om de gegevens te verwerken op een manier die maar beperkt impact heeft op de privacy van je klanten. Wat die reden is en of hij volstaat, is een grijs gebied. Je moet de gegevensverwerking in elk geval kunnen onderbouwen, je moet er je klanten over informeren én je moet ze de kans geven om te weigeren (opt-out).
Een instrument om privacyrisico’s in kaart te brengen. Dit is nodig wanneer je systematisch en uitvoerig persoonlijke gegevens evalueert (bijvoorbeeld voor profiling), op grote schaal bijzondere gegevens verwerkt of op grote schaal mensen volgt in de publieke ruimte (bijvoorbeeld met cameratoezicht).
Alle gegevens over een persoon. Allemaal? Ja, allemaal. Dat is een verschil met de vorige wet, toen persoonsgegevens nog werden omschreven als ‘alle gegevens waarmee je een persoon kun identificeren’. De GDPR schaalt dit op en beschouwt dus ook zaken als locatiegegevens, IP-adressen en cookie-ID’s als persoonsgegevens. Gewoon: alles.
Het principe dat je als organisatie standaard alleen persoonsgegevens verwerkt die noodzakelijk zijn voor het leveren van je dienst of product. Én de technische en organisatorische naleving daarvan: bijvoorbeeld dat je het vakje ‘ik wil de nieuwsbrief ontvangen’ niet standaard aanvinkt. Of geen locatiegegevens opslaat als dat niet nodig is.
Het principe dat je al bij het ontwerpen van je diensten en producten zorgt dat je niet méér persoonsgegevens verwerkt dan nodig. Privacy by default is de praktische bewaking van dit principe in je organisatie.
Geautomatiseerde verwerking van persoonsgegevens om gedrag of voorkeuren te kunnen voorspellen.
Het aanpassen van persoonsgegevens zodat ze niet meer tot een specifieke persoon te herleiden zijn. Bijvoorbeeld door ze te versleutelen of coderen. Je moet er dan wel voor zorgen dat de sleutels voor het decoderen op een veilige plek staan.
Het recht van je klanten om te vragen welke persoonsgegevens je van ze hebt en om ze in te zien. Ze hoeven geen reden te geven voor dit verzoek.
Een gloednieuw recht met een poëtische klank: het recht om vergeten te worden. Je klanten mogen je vragen al hun gegevens te wissen en in veel gevallen ben je verplicht dat te doen. Zelfs als ze eerder toestemming gaven, kunnen ze die toestemming weer intrekken.
Een ondubbelzinnig ‘ja’ van je klanten op het gebruik van hun gegevens. Die ‘ja’ kan alleen maar ondubbelzinnig zijn als je eerlijk, volledig en specifiek bent geweest in je verzoek.
Bovendien moet het een bewuste, actieve ‘ja’ zijn. Geen vooraf aangevinkte vakjes dus, maar een actieve opt-in.
Let ten slotte goed op: als de Autoriteit Persoonsgegevens erom vraagt, moet je de toestemming kunnen bewijzen.
Deze vliegen sla ik in één klap. Een verwerker is een partij die persoonsgegevens verwerkt namens iemand anders. Denk aan een ICT-bedrijf dat voor zorginstellingen gegevens opslaat op een server. Of aan een bedrijf dat tools biedt om klantprofielen op te bouwen.
De verwerkingsverantwoordelijke is de partij die daadwerkelijk beslist over het gebruik van die gegevens (het doel en de middelen om ze te verwerken).
Om aan de nieuwe wet te voldoen, moeten zij afspraken maken over hoe ze met de data omgaan in een verwerkersovereenkomst.
Wanneer ziet de GDPR het gebruik van persoonsgegevens eigenlijk als verwerking? Nou, al heel snel. Eigenlijk is alles wat je met persoonlijke data doet al verwerking. Van verzamelen tot opslaan tot delen tot analyseren. De wet is hier kraakhelder in.
Of: register van verwerkingsactiviteiten. Een document waarin organisaties nauwkeurig moeten bijhouden welke gegevens ze verwerken van welke doelgroepen en met welk doel. En dan nog wat andere zaken, zoals de datum waarop ze die gegevens zullen wissen, partijen waarmee ze de gegevens delen en de manieren waarop ze de gegevens beveiligen.