Naar aanleiding van de GDPR, krijgen we steeds vaker de vraag van onze gebruikers wat ze moeten doen om compliant te zijn. Als je werkt met persoonsgegevens van betrokkenen in de EU of je hebt activiteiten of bent gevestigd in de EU, dan zijn er wel een aantal zaken waar je rekening mee moet houden. In dit blogartikel proberen we je alvast op weg te helpen.

“Zijn je enquêtes anoniem of maak je gebruik van persoonsgegevens?”

• Als je je enquêtes anoniem verspreidt en geen persoonsgegevens verwerkt, dan hoef je geen rekening te houden met de GDPR. Maar wees voorzichtig, de GDPR interpreteert het begrip ‘persoonsgegevens’ zeer breed! (zie artikel 4.1).
• Gebruik je contacten of vraag je in je enquêtes naar een e-mailadres, naam of andere persoonsgegevens, lees dan verder want de GDPR legt je een aantal verantwoordelijkheden m.b.t. verwerking van persoonsgegevens op.

Zorg dat je rechtmatig persoonsgegevens verwerkt

Volgens Artikel 6 van de GDPR heb je een wettelijke basis nodig om persoonsgegevens te mogen verwerken. De verwerking is alleen rechtmatig als minstens aan aan één van de 6 voorwaarden in de wetgeving wordt voldaan. De meest bekende is toestemming van de betrokkene (bevraagde) zie artikel 7, maar ook andere voorwaarden kunnen van toepassing zijn als je klanten, patiënten, cursisten, leden of dergelijke bevraagt. Mogelijk kan art. 6.b of 6.f dienen: ‘… behartiging gerechtvaardigde belangen verwerkingsverantwoordelijke…’ of ‘… noodzakelijk voor uitvoering van een overeenkomst …’. Uitdrukkelijke toestemming is in dat geval niet nodig. Als verwerkingsverantwoordelijke moet je kunnen aantonen aan welke ‘wettelijke basis’ je voldoet.

Informeer je respondenten

Als verwerkingsverantwoordelijke moet je bij het verzamelen van persoonsgegevens de nodige informatie verschaffen aan de betrokkenen. Check daarom zeker de GDPR-artikels vermeld in huidig blogartikel om te weten welke info je verplicht bent te verstrekken, en welke info onder het ‘recht van inzage’ valt.

• Artikel 13 geeft aan welke informatie je moet verstrekken bij het verzamelen van persoonsgegevens van je betrokkenen om een eerlijke en transparante dataverwerking te waarborgen, waaronder: welke gegevens verzameld worden, wie de gegevens verwerkt, hoelang ze bewaard blijven, met welk doel, enz.
• Daarnaast moeten je respondenten inzage kunnen hebben in hun persoonsgegevens en alle gerelateerde informatie (zie artikel 13 en artikel 15).
• We hebben een functie die je zal helpen om je respondenten te informeren. Je kunt een privacykennisgeving opnemen in je e-mails en enquêtes.

Houd data niet langer bij dan nodig

Artikel 5.1.e van de GDPR, stelt dat persoonlijke gegevens niet langer mogen worden bewaard dan nodig. Dit betekent dat je deze data moet verwijderen wanneer je deze niet meer nodig hebt voor je onderzoek. Het is wel toegestaan om data langer te bewaren als je deze gebruikt voor statistische doeleinden, zoals bijvoorbeeld voor benchmarking, op voorwaarde dat je de nodige maatregelen neemt om deze data veilig te bewaren. En door dataretentie regels in te stellen kan je het verwijderen van contact- en/of respondentgegevens volledig automatiseren voor je CheckMarket enquêtes, welke status deze ook hebben.

Recht op rectificatie en wissing van gegevens

Naast het informatierecht gaat de GDPR nog een stapje verder in artikels 16 en 17. Respondenten hebben naast het “recht van inzage” namelijk ook “recht op rectificatie” en “recht op gegevenswissing (recht op vergetelheid)”. Ze moeten hun persoonsgegevens m.a.w. kunnen aanpassen of aanvullen en moeten in staat zijn deze te verwijderen. Geef dus steeds de te volgen procedures mee en bij wie ze terecht kunnen met vragen. Je kan hiervoor bijvoorbeeld een extra paragraaf toevoegen in de e-mailuitnodiging of de dankpagina.

Houd een register bij van verwerkingsactiviteiten

Conform artikel 30 dien je als verwerkingsverantwoordelijke een register bij te houden van alle verwerkingsactiviteiten. Hierin moeten bepaalde zaken vermeld staan, zoals: de verwerkingsdoeleinden, een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen (indien mogelijk), enz. Lees dus zeker de officiële richtlijnen en houdt alle nodige informatie bij.

Data Processing Agreement

Wanneer je persoonsgegevens deelt met een verwerker, zoals CheckMarket, dan ben je verplicht een Data Processing Agreement (gegevensverwerkingsovereenkomst) met die verwerker aan te gaan. CheckMarket biedt een GDPR-compliant gegevensverwerkingsovereenkomst (DPA) aan met best practice beschermingsbepalingen waarin duidelijk alle privacyverplichtingen zijn opgenomen. Alle op CheckMarket van toepassing zijnde vereisten van de GDPR zijn hierin uiteraard ook gedekt en wat nog belangrijker is, je kunt er zeker van zijn dat we dezelfde voorwaarden inzake gegevensbescherming ook opleggen aan onze subverwerkers, conform de vereisten in artikel 28.4 van de GDPR.

Volgend artikel legt uit hoe de CheckMarket accountbeheerder onze Gegevensbeschermingsovereenkomst (DPA) gemakkelijk kan nalezen en goedkeuren:

• https://nl.checkmarket.com/kb/gegevensverwerkingsovereenkomst/

Data Protection Officer

Sommige organisaties moeten volgens artikel 37 van de GDPR een Data Protection Officer (DPO) aanstellen. Dit is vereist, wanneer:

1. de verwerking wordt verricht door een overheidsinstantie of overheidsorgaan, behalve in het geval van gerechten bij de uitoefening van hun rechterlijke taken;
2. een verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met verwerkingen die vanwege hun aard, hun omvang en/of hun doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen; of
3. de verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met grootschalige verwerking van bijzondere categorieën van gegevens uit hoofde van artikel 9 en van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10.

Heeft jouw organisatie een functionaris voor gegevensbescherming (DPO)? Dan kan jullie CheckMarket accountbeheerder de gegevens van jullie DPO registreren in onze tool.

CheckMarket’s verantwoordelijkheden

Als dataverwerker is de veiligheid van persoonsgegevens garanderen onze grootste prioriteit. Hiervoor hanteren we strenge technische en organisatorische veiligheidsmaatregelen. Zo hebben we o.a. de nodige processen opgezet om datalekken vast te stellen en op te lossen, en maken we gebruik van HTTPS-encryptie.

Meer info over onze veiligheidsmaatregelen vind je in ons privacybeleid en onze gegevensverwerkingsovereenkomst (DPA).

Opgelet: Houd er rekening mee dat niets op deze webpagina bedoeld is als of gebruikt kan worden ter vervanging van juridisch advies. Wij raden uitdrukkelijk aan om zeker ook te rade te gaan bij een jurist voor onafhankelijk advies specifiek afgestemd op jouw situatie.