De 5 basisprincipes in het verwerken van persoonsgegevens

Deze vijf basisprincipes vormen de redenering achter de wetgeving. Het is redelijk droge kost, maar wel nuttig om door te nemen. Al deze informatie komt later ook terug in het stappenplan.

Laat ons met het begin beginnen en de termen ‘verwerken’ en ‘persoonsgegevens’ even duidelijk omlijnen. Met ‘persoonsgegevens’ worden alle gegevens bedoeld van wat de wet ‘natuurlijke personen’ noemt. Mensen van vlees en bloed dus, geen organisaties, verenigingen, vzw’s of bedrijven. Persoonsgegevens zijn gegevens zoals een naam, e-mail en adres, tot je hobby’s, foto’s van jezelf, de samenstelling van je gezin of het IP-adres van je computer. Met ‘verwerken’ bedoelt men alle handelingen die je met die gegevens doet: van ze verzamelen en ze raadplegen, tot ze verspreiden of ze verwijderen. De onderstaande 5 principes zijn een beetje de vuistregels achter de maatregel.


1)    Verzamel enkel wat nodig is, zolang het nodig is

Bekijk grondig waarvoor jij of jouw organisatie gegevens wil verzamelen en wat je met die gegevens wil bereiken. Stel de gegevens die je vraagt van de betrokkene af op wat je nodig hebt. Verzamel je louter gegevens om een nieuwsbrief te versturen? Dan heb je genoeg aan enkel een e-mailadres. Werkt jouw vereniging met een lidmaatschap? Dan heb je uiteraard een naam en voornaam nodig. Stuur je je lidkaart op met de post? Dan heb je een thuisadres nodig. Zijn de aangesloten leden verzekerd via jouw vereniging? Dan heb je de gegevens nodig die de verzekering vraagt, enzovoort. (De verzekeringsmaatschappij mag op haar beurt eveneens enkel de noodzakelijke gegevens vragen.) Zorg dus steeds dat wat je vraagt, relevant is voor het doel dat je voor ogen hebt. Iemands adres en geboortedatum vragen is bijvoorbeeld niet relevant (en ook niet toegestaan) voor het versturen van een nieuwsbrief.
            Het verzamelen van gevoelige persoonsgegevens, zoals religieuze of politieke voorkeuren, etnische afkomst, seksuele geaardheid enz. zijn in verboden, tenzij je uitdrukkelijke toestemming hebt van de betrokkene of er een wettelijke verplichting is. In principe kom je daar als fotograaf, cineast of vereniging niet mee in aanraking.

Wat de bewaarperiode van gegevens betreft, beperk je je best tot hoe lang noodzakelijk of zinvol is. Als iemand zich uitschrijft op je nieuwsbrief, heb je geen reden om zijn of haar e-mailadres nog langer bij te houden in een database. Stel jezelf de vraag hoelang het relevant is om gegevens van een oude klant bij te houden en plak daar een termijn op. Verlaat iemand jouw vereniging? Hoelang hou je diens gegevens nog bij en met welk doel? Wil je bijvoorbeeld alle gegevens van oud-leden bijhouden om ze uit te nodigen voor een vijfjaarlijkse reünie? Dat mag als je duidelijk communiceert hoe lang je ze bijhoudt, aangeeft waarom, en als je nadien ook effectief een reünie organiseert. Er zijn geen concrete richtlijnen over hoelang je gegevens mag bijhouden. Kleef er zelf een voor jou of jouw organisatie relevante tijdsspanne op, communiceer die duidelijk in je privacyverklaring en voer steeds uit wat je voorop stelt.


 
2)    Wees transparant in je communicatie

Communiceer steeds op een heldere, transparante manier met de betrokkenen over wat je met de gegevens doet, waarom en hoelang je ze bijhoudt. Als je iemands leeftijd vraagt omdat je dit moet weten voor de verzekering, geef de betrokkene dan ook deze informatie mee. Zo heeft hij of zij een beter zicht op wat er met zijn gegevens gebeurt.
            Onder transparant valt ook dat de persoon actief zijn toestemming moet geven om je zijn gegevens te laten gebruiken. Een vakje ‘schrijf me in op de nieuwsbrief’ dat al op voorhand aangevinkt is, mag dus niet. De persoon moet zelf bewust de keuze maken om het vakje aan te vinken, zodat je er niemand kan ‘inluizen’ om je nieuwsbrief te ontvangen. Je hebt vanzelfsprekend ook op voorhand iemands toestemming nodig om zijn of haar gegevens te mogen gebruiken. Je mag dus niet zomaar iemand een nieuwsbrief sturen met daarin de oproep zich in te schrijven op je nieuwsbrief. Eenmaal je de toestemming hebt om iemands gegevens mag gebruiken, hoef je dit niet telkens opnieuw te vragen.

 


3)    Zorg voor een wettelijke basis voor de gegevens die je verzamelt

Om gegevens te mogen verzamelen heb je een wettelijke basis nodig. Hiervoor zijn er zes wettelijke basissen die je toelaten persoonsgegevens te verzamelen. Vooral de eerste vier zijn voor verenigingen of zelfstandige fotografen/cineasten van toepassing. Neem deze wettelijke basis ook op in je privacyverklaring en in je register.

  • Contractuele basis: om een contract of een overeenkomst na te kunnen leven, heb je bepaalde gegevens nodig, bijvoorbeeld om je klant foto’s op te sturen heb je zijn adres nodig en mag je dat ook gebruiken. Door deze verbintenis aan te gaan heeft de klant zich er akkoord mee verklaard zijn gegevens voor dit doel te gebruiken.
  • Wettelijke verplichting: de gevraagde gegevens zijn nodig om als organisatie de wet te kunnen naleven. Het verwerken van deze gegevens is dus opgelegd door de overheid.
  • Toestemming: de betrokkene heeft je zijn actieve en ondubbelzinnige toestemming gegeven om zijn gegevens te verwerken. Dit moet een vrije toestemming zijn, waarbij er dus geen sprake mag zijn van machtsverhoudingen (bv. in een verhouding als werkgever/werknemer, professor/student). Deze toestemming is telkens specifiek, voor een bepaald doel. Je mag de gegevens dus niet voor een ander doel gebruiken (bv. als je een e-mailadres krijgt van een klant voor een offerte of een factuur, geeft je dat niet de toestemming die persoon ook je nieuwsbrief te sturen). Tot slot moet de toestemming controleerbaar zijn (via een contract, via een mailtje, door hun adres op te geven op een site,…). Een mondelinge toestemming kan dus enkel wanneer er een opname is als bewijs. Als toestemming de wettelijke basis is om bepaalde gegevens te verwerken, heeft de betrokkene altijd het recht om die toestemming in te trekken.
  • Gerechtvaardigd belang: er is sprake van een gerechtvaardigd belang wanneer het voordeel voor de organisatie beduidend groter is in verhouding met het inboeten van de privacy door het individu. Dit is een vage omschrijving, waar betwisting mogelijk kan zijn. Stel jezelf als organisatie de vraag of je ook op een andere manier je doel kan bereiken. Als dat niet het geval is, kan je je op dit gerechtvaardigd belang roepen. Vanaf dit de betrokkenen schaadt, is dit niet van toepassing.
  • Vitale belangen: ‘vitaal belang’ is vooral van toepassing in een medische context, waar je een patiënt mag behandelen en diens gegevens opzoeken, zonder toestemming, wanneer diens leven op het spel staat.
  • Algemeen belang: het verzamelen van gegevens is bijvoorbeeld opgelegd door de politie of de wet. Voor het flitsen van autonummerplaten bij snelheidsovertredingen is bijvoorbeeld geen toestemming van de bestuurder nodig.

 


4)    Beveilig de gegevens voldoende

Elke persoon of organisatie die persoonsgegevens verzamelt, staat zelf in voor de beveiliging ervan. Dit beveiligen moet je echter in proportie zien met je organisatie en de gegevens die je verzamelt. Een bank- en verzekeringsgigant acteert hier op een heel ander niveau dan een lokale vereniging. Zorg er voor dat maar een beperkt aantal mensen in je vereniging toegang heeft tot de persoonsgegevens en dat deze zeker niet op een openbare plaats staan. Werk met een paswoord, zorg voor back-ups en update geregeld je systeem.
            Bij een datalek moet je dit binnen de 48 uur melden bij de 'Commissie voor bescherming van de persoonlijke levenssfeer', via een daarvoor voorzien formulier. Een datalek is wanneer je databank zou worden gehackt, maar evengoed wanneer je op de trein een laptop of USB-stick met gegevens zou vergeten.  Een lek melden doe je hier.
 


5)    Respecteer de rechten van de betrokkenen

De betrokkene, wiens persoonsgegevens je gebruikt, heeft een heleboel rechten die jij als verwerker van de gegevens moet respecteren. We zetten ze even op een rijtje:

  • Recht op informatie: de betrokkene moet op de hoogte zijn dat zijn gegevens worden verzameld, voor welke doeleinden en voor hoelang. Deze geef je mee in je privacyverklaring.
  • Recht op inzage en kopie: de betrokkene heeft het recht om zijn gegevens in te kijken en er een kopie van te krijgen. De vraag en meerwaarde voor de betrokkene moet wel in verhouding zijn met de moeite die het kost voor de organisatie. Dit is om te voorkomen dat mensen willekeurig hun gegevens zouden gaan opvragen en dat organisaties veel werkuren moeten spenderen aan het opsporen van oude gegevens, zonder dat dit veel meerwaarde heeft.
  • Recht op correctie: als er een fout in de gegevens van de betrokkene zit, heeft deze het recht om je te vragen deze aan te passen.
  • Recht op bezwaar: de betrokkene mag bepaalde gegevens laten weghalen.   
  • Recht op vergetelheid: de betrokkene heeft het recht om ‘vergeten’ te worden en kan dus vragen al zijn gegevens te wissen. In bepaalde gevallen mag je zo’n verzoek wel weigeren, bijvoorbeeld omdat jij zelf wettelijk verplicht bent om bepaalde gegevens bij te houden (bv. voor de belastingsinspectie of zo).
  • Recht om je toestemming in te trekken: als de wettelijke basis voor het verzamelen van je gegevens toestemming is, heb je altijd het recht die toestemming in te trekken.
  • Recht op overdraagbaarheid: de betrokkene heeft altijd het recht zijn gegevens te laten overdragen naar een andere verwerker.
  • Recht op weigering van automatische besluitvorming (profilering): profilering betekent dat profielen worden geanalyseerd en geëvalueerd op basis van informatie uit de persoonsgegevens (bv. enkel mensen met een vaste job), waardoor er zogezegd ‘goede’ en ‘slechte’ profielen ontstaan. Als er sprake is van geautomatiseerde besluitvorming op basis van profilering, dan moet je vermelden waarom dit gedaan wordt en wat de verwachte gevolgen daarvan zijn voor de betrokkene. Iedere betrokkene heeft het recht dit te weigeren.
  • Zorg voor duidelijke communicatie rond de uitoefening van deze rechten: de informatie moet in heldere, begrijpelijke taal zijn. 

Als een betrokkene zich op één van bovenstaande rechten beroept, moet je als organisatie binnen de maand reageren. Eventueel is nadien nog een uitstel van 2 maanden mogelijk, naar gelang de complexiteit van de vraag. Bij een wijziging of verwijdering van gegevens moet de organisatie zelf er voor zorgen dat deze aanpassingen ook worden doorgevoerd bij eventuele derden aan wie de gegevens doorgegeven zijn.