Het algemeen reglement gegevensbescherming (GDPR)

Het algemeen reglement gegevensbescherming (GDPR) legt de regels vast voor de verwerking van je persoonsgegevens door een verwerkingsverantwoordelijke. Maar wat betekent het precies? 

Persoonsgegevens

Een persoonsgegeven is alle informatie over een geïdentificeerde of identificeerbare persoon, rechtstreeks of onrechtstreeks, op basis van één gegeven of van een kruising van gegevens. 

Het betreft dus informatie over een persoon die kan worden gelinkt aan deze persoon, bijvoorbeeld een naam, een adres, een bankrekeningnummer, lokalisatiegegevens, enz. Opgelet: ook informatie die niet toelaat om een persoon rechtstreeks te identificeren (bv. een naam), maar wel onrechtstreeks (bv. een nummerplaat) is een persoonsgegeven. Ook als een persoon niet kan worden geïdentificeerd aan de hand van één gegeven (bv. de geboortedatum), maar wel aan de hand van een kruising van gegevens (een vrouw die in die bepaalde wijk woont en op die datum geboren werd), gaat het om een persoonsgegeven. 

Gegevensverwerking

Elke verwerking (of geheel van verwerkingen) die wordt uitgevoerd op persoonsgegevens. 

Het verzamelen, registreren, bewaren, raadplegen, wijzigen, meedelen, organiseren, onderling verbinden, vernietigen van persoonsgegevens zijn voorbeelden van gegevensverwerking.

Verwerkingsverantwoordelijke

De verwerkingsverantwoordelijke is de natuurlijke of rechtspersoon (bijvoorbeeld: onderneming, vereniging, gemeente, enz.) die het doel en de middelen voor de verwerking vaststelt.

Het betreft dus de organisatie of persoon die beslist waarom en hoe je persoonsgegevens worden verwerkt: de bakker bij wie je een klantenkaart op naam hebt, je ziekenfonds, een online webshop, een sociaal netwerk, enz. 

Doel van de gegevensverwerking

Het doel waarvoor je persoonsgegevens worden verwerkt. 

Het betreft de reden waarom je gegevens worden verwerkt, bijvoorbeeld het loonbeheer van een onderneming, de bewaking van een lokaal, de verzending van gepersonaliseerde commerciële aanbiedingen, enz.

Betrokkene

De betrokkene is de persoon op wie de persoonsgegevens betrekking hebben. 

Evenredigheidsbeginsel

Het evenredigheidsbeginsel dat is vastgelegd in de GDPR is het beginsel dat stelt dat alleen gepaste, relevante en niet-overdreven persoonsgegevens, ten opzichte van het doel waarvoor ze worden verkregen, kunnen worden verwerkt. 

Het is bijvoorbeeld normaal dat een website je naam en e-mailadres vraagt om je een elektronische offerte te kunnen sturen, maar er is a priori geen enkele reden om ook de naam van je vrienden te vragen. 

Wettelijke basis (rechtmatigheid)

De wettelijke basis van een verwerking is een voorwaarde die de uitvoering van een bewerking mogelijk maakt. Deze basis geeft een persoon of organisatie het recht om persoonsgegevens te verwerken. 
Er zijn 6 mogelijke wettelijke basissen: 

  • toestemming;
  • contract;
  • wettelijke verplichting;
  • bescherming van de vitale belangen;
  • algemeen belang;
  • gerechtvaardigd belang. 

Zonder een van deze basissen is een verwerking niet rechtmatig, dus niet toegestaan. Elke bewerking moet steunen op een wettelijke basis. 

De wet verplicht de werkgever bijvoorbeeld om bepaalde persoonsgegevens van zijn werknemers mee te delen aan de Rijksdienst voor Sociale Zekerheid (RSZ). Voor deze gegevensverwerking is de wettelijke basis, d.w.z. de juridische grond die deze verwerking toelaat, dus de wettelijke verplichting.