Het meest voorkomende misverstand als het gaat om gegevens privacy is dat het gaat om wat voor soort persoonlijke gegevens je opslaat. Hoewel het type gegevens dat door een applicatie wordt opgeslagen intuïtief prima of indringend kan lijken voor je privacy, kun je niet beoordelen of een service rechtmatig gegevens verwerkt door alleen maar naar de gegevensset te kijken. Ik krijg vaak vragen over de Europese General Data Protection Regulation (GDPR) en daarom heb ik deze korte blog post samengesteld om enkele van de meest gestelde vragen te beantwoorden.
Wanneer is gegevensverwerking rechtmatig?
Er zijn zes wettelijke redenen om persoonlijke gegevens te verwerken, maar zevereisen allemaal een doel.
- Toestemming
- Uitvoering van een contract
- Wettelijke vereiste
- Gerechtvaardigd belang
- Vitaal belang
- Publiek belang
Een op toestemming gebaseerde benadering van rechtmatigheid is vaak het meest geschikt. Maar het is belangrijk om te onthouden dat er nog andere redenen zijn waarom een organisatie uw gegevens kan verwerken. Elke verwerking moet echter een duidelijk omschreven, transparant doel hebben om rechtmatig te zijn.
Welke persoonlijke gegevens mag een organisatie verwerken?
GDPR werkt volgens het principe van gegevensminimalisatie. Het verzamelen van een naam en e-mail zou dus prima moeten zijn. Het verzamelen van Informatie over het geslacht van een persoon zou onwettig zijn, omdat het doel van de verwerking geen noodzaak aangeeft.
Welk type beveiliging is nodig om de gegevens te beschermen?
Als je het doel begrijpt, samen met de soorten persoonlijke gegevens die je opslaat, krijg je een goede indicatie van het beveiligingsniveau dat nodig is. Wat is het ergste dat er kan gebeuren als iemand je database hackt en alle abonnees als kattenliefhebbers ontmaskert? En welke voorzorgsmaatregelen moet je nemen om dat te voorkomen? Hoewel ons voorbeeld misschien triviaal lijkt, is het misbruiken van e-mailadressen een van de meest voorkomende manieren om fraude te plegen en kan het gemakkelijk Koppeling een persoon naar andere sets van persoonlijke gegevens leiden. Zorg er dus voor dat je Maken een oplossing kiest met de juiste beveiligingen, of selecteer een gerenommeerde leverancier met goede beveiliging.
Hoe persoonlijke gegevens verzamelen en Personen informeren?
Het doel zal het uitgangspunt zijn voor het informeren van Personen. Niemand mag de indruk krijgen dat dit een mailinglijst voor hondenliefhebbers is, alleen maar om gespamd te worden met kattenvideo's. Het uitgangspunt is dat je verwerking transparant moet zijn.
Wanneer moet een organisatie Verwijderen persoonlijke gegevens gebruiken?
De meeste doeleinden hebben een begin en een einde. Als het doel niet langer geldig is of als de verwerking niet langer rechtmatig is, moet je Verwijderen de Informatie. Aangezien dit een opt-in systeem is, zou het doel eindigen zodra de toestemming wordt ingetrokken, of als de organisatie de dienst helemaal afsluit.
Als u, als Persoon, zich zorgen maakt over de soorten persoonlijke gegevens die een service over u verwerkt, is dit wat u moet uitzoeken:
- Waarom verwerkt deze service mijn gegevens?
- Wat is de wettelijke reden voor het verwerken van de gegevens?
- Lijkt de leverancier mijn gegevens op een geruststellende manier te beschermen?
- Lijken de gegevens die ik moet indienen redelijk in het licht van de punten 1, 2 en 3?
Het mooie van GDPR is dat het voorschrijft dat verwerkingsverantwoordelijken deze Informatie eenvoudig beschikbaar moeten maken voor Personen van de service. Hopelijk zullen we veel meer transparantie zien met betrekking tot de doeleinden van gegevensverwerking en een betere bescherming van onze persoonlijke gegevens.
itslearning is een van de eerste LMS-aanbieders die GDPR-compliant is geworden. Ga voor meer Informatie naar onze GDPR-pagina.
Oorspronkelijk gepubliceerd op 9 april 2018. Bijgewerkt 19 okt 2021