Wat zijn de basisprincipes van GDPR ?
Om de GDPR-vereisten te begrijpen, is het belangrijk om even te kijken naar de basisprincipes van GDPR:
Persoonsgegegevens worden
- op een rechtmatige en behoorlijke en transparate wijze verworven en verwerkt (o.a. duidelijkheid omtrent hoe de persoonsgegevens precies zullen gebruikt worden)
- enkel verzameld voor welbepaalde uitdrukkelijk omschreven en gerechtvaardigde doelen
- beperkt tot het minimum dat nodig is voor de beoogde doelen (en wettelijke bepalingen)
- accuraat bijgehouden en up-to-date gehouden
- niet langer bewaard dan noodzakelijk voor de beoogde doelen (en wettelijke bepalingen)
- door het nemen van passende technische of organisatorische maatregelen op manieren verwerkt die de veiligheid van de persoonsgegevens garandeert
De organisatie, of in de terminologie van GDPR de verwerkingsverantwoordelijke, is verantwoordelijk voor de naleving van bovenstaande basisprincipes en kan deze aantonen. M.a.w de organisatie heeft een verantwoordingsplicht.
Hoe voldoen aan de GDPR-verantwoordingsplicht ?
Wie volgende acties en activiteiten kan voorleggen, kan aantonen dat zijn organisatie GDPR compliant is:
- Opstellen en up-to-date houden van een Data Register ook wel het register van de verwerkingsactiviteiten genoemd (interne documentatieverplichting)
- Enkel het minimum aan persoonsgegevens verwerken, rekening houdend met de beoogde doelen
- Opstellen van een GDPR conform privacy notice (= verklaring die beschrijft hoe de organisatie met persoonsgegevens omspringt)
- Opstellen van een GDPR conform interne policy (om medewerkers te informeren en te sensibiliseren – door hen te ondertekenen)
- Naleven van de GDPR-bepalingen door de eventuele data processors bekomen (a.d.h.v. contracten en eventuele Codes Of Conduct en/of certificaten eisen)
- Implementeren van adequate procedures (o.a. met betrekking tot data subjecten rechten, melden van datalekken, …)
- Indien van toepassing op de organisatie (o.a. afhankelijk van welke persoonsgegevens er worden verwerkt en welke verwerkingen ermee plaatsvinden)
- een Data Protection Officer aanstellen
- Uitvoeren van DPIA’s (waar nodig)
- Implementeren van privacy by design en by default