De GDPR? Die gaat ondertussen al even mee. En toch, ervaring leert ons dat bepaalde basisconcepten uit de wetgeving soms moeilijk te vatten, en daardoor ook moeilijk te implementeren zijn. Daarom slaan CRANIUM en Dasprive de handen in elkaar om duidelijkheid te scheppen met een nieuwe reeks: GDPR 101. Geen juridisch jargon, maar wel begrijpelijke taal. Deze week hebben we het over:
De Basisprincipes van de GDPR
De basisprincipes van de GDPR (ook gekend als de Algemene Verordening Gegevensbescherming) zijn altijd van toepassing wanneer je persoonsgegevens verwerkt. Met “verwerken” bedoelen we niet alleen het gebruik van gegevens, maar ook het opslaan, raadplegen, en zelfs het verwijderen van persoonsgegevens. Hieronder bespreken we de zeven principes.
Rechtmatigheid, behoorlijkheid en transparantie
Rechtmatigheid: Mag je wel persoonsgegevens verwerken? Om persoonsgegevens te mogen verwerken, heb je een juridische grond nodig. Dit is een belangrijk onderwerp dat verder wordt uitgelegd in een aparte sessie.
Behoorlijkheid: Is het eerlijk om deze gegevens te gebruiken? Is het fair? Is dit iets dat iemand zou verwachten als je ze vertelt dat je het gaat doen?
Transparantie: Zijn de betrokkenen goed geïnformeerd? Begrijpen de personen hoe en waarom je hun persoonsgegevens verwerkt? Dit moet je op een transparante manier communiceren.
Doelbinding van de verwerking
Je moet duidelijk zeggen waarom je gegevens verwerkt. Dit doel mag je niet halverwege veranderen. Het moet specifiek en concreet zijn, zodat de betrokkene (de persoon van wie jij de gegevens verwerkt) precies weet waarvoor je de persoonsgegevens gebruikt.
Data minimalisatie
Verzamel altijd énkel de gegevens die je daadwerkelijk nodig hebt om het doel dat je vooropstelt te bereiken. Dit kan soms in conflict staan met andere afdelingen, zoals marketing of IT, die misschien liever wat meer persoonsgegevens zouden verzamelen. Pas hier toch mee op. Volgens de GDPR mag dat niet.
Juistheid van de gegevens
Je moet ervoor zorgen dat de gegevens die je gebruikt correct zijn. Foute gegevens kunnen schadelijke gevolgen hebben voor de betrokkenen, zoals het missen van uitkeringen of andere verworven rechten. Hoe groter het risico op schade, hoe meer moeite je moet doen om de gegevens juist te houden.
Dit is vooral belangrijk in het huidig tijdperk van AI. AI-systemen leren van de gegevens waarmee ze worden getraind. Als deze gegevens onjuist zijn, kunnen de beslissingen die de AI neemt ook verkeerd zijn. Dit kan leiden tot grotere fouten en onrechtvaardigheden. Daarom is het essentieel om zorgvuldig om te gaan met gegevens en ervoor te zorgen dat ze juist zijn. Hoe groter de negatieve gevolgen, hoe zorgvuldiger je moet zijn in het waarborgen van die juistheid.
Opslagbeperking
Je mag persoonsgegevens niet langer bewaren dan nodig is. Iedere keer dat je gegevens gebruikt, moet je kunnen aangeven hoe lang je ze bewaart. Soms is er een wettelijke termijn, maar vaak moet je dit zelf onderbouwen. Een CV 10 jaar bewaren is niet acceptabel; meestal is 1 of 2 jaar redelijk.
Integriteit, vertrouwelijkheid en beschikbaarheid van persoonsgegevens
Dit principe zorgt ervoor dat alleen de juiste mensen toegang hebben tot de gegevens (vertrouwelijkheid), dat de gegevens niet zijn aangepast en dat we de gegevens kunnen vertrouwen (integriteit), en dat ze beschikbaar zijn wanneer je ze nodig hebt zonder dat er problemen zijn (beschikbaarheid). Daarom is het bijvoorbeeld aanbevolen om back-ups te maken.
De verantwoordelijkheidsplicht
De verantwoordelijke, de persoon of organisatie die de gegevens verwerkt, moet kunnen aantonen dat ze de principes naleven. Dit gebeurt door documentatie en bewijsvoering.
Door deze zeven basisprincipes toe te passen, ben je goed op weg naar GDPR-compliance.
Deze videoreeks is een samenwerking met dasprive, de vzw die privacy een stem geeft. Wil je meer bijleren over alles wat met GDPR te maken heeft op een laagdrempelige manier? Volg onze socials om mee te blijven met de reeks, of stuur je eigen idee in via info@cranium.eu. Wie weet beantwoordt Bart in het volgende filmpje jouw vraag.