De GDPR voorziet in het recht voor de betrokkene om zijn persoonsgegevens over te laten dragen, hetzij aan zichzelf hetzij rechtstreeks aan een andere verwerkingsverantwoordelijke die de betrokkene aanduidt.
Maar om welke persoonsgegevens gaat het dan precies, in welke vorm moeten ze worden overgedragen; en is de ontvangende verwerkingsverantwoordelijke wel verplicht deze persoonsgegevens te aanvaarden en te verwerken?
Lees verderBij het bezoeken van een website of het maken van een bestelling via een website wordt men soms gevraagd, om toegang te krijgen tot bijkomende informatie of diensten, een online gebruikersaccount aan te maken.
Bij het aanmaken van een dergelijke gebruikersaccount vraagt de website de bezoeker of toekomstige klant om persoonsgegevens in te vullen, zoals naam, voornaam, adres, telefoonnummer, e-mailadres, geboortedatum, etc.
De vraag die men zich hierbij kan stellen is of dit eigenlijk allemaal wel zomaar kan, en op welke wettelijke grondslag?
Lees verderAangestelden, zoals bijvoorbeeld medewerkers, kunnen in sommige omstandigheden zelfstandig bepaalde beslissingen nemen die een invloed hebben op het vlak van de privacyafdruk van een organisatie.
Zo kan het voorkomen dat deze aangestelden zelfstandig bepalen dat om een bepaald doel, bijvoorbeeld een marketing doel, te bereiken er bijkomend bepaalde persoonsgegevens moeten worden verwerkt en met welke middelen via welke weg men deze gegevens het best opvraagt.
In sommige gevallen wordt de eis van deze bijkomend gevraagde persoonsgegevens, al dan niet bewust, nergens gedocumenteerd.
Dit kan de verantwoordelijkheid van de verwerkingsverantwoordelijke-aansteller verzwaren.
Lees verderWebsites maken soms, al dan niet bewust, gebruik van technieken om meer (persoons)gegevens van bezoekers en gebruikers te ontfutselen dan strikt nodig is voor het beoogde doel.
Wanneer bijvoorbeeld het beoogde doel het leveren van via de website bestelde goederen is dan moet de site, in principe, niet weten wat het geslacht of de wat leeftijd van de persoon is die de bestelling heeft geplaatst.
Echter sommige websites vragen, al dan niet indirect, wel naar deze persoonsgegevens, hoewel die persoonsgegevens helemaal niet nodig zijn voor de levering van de bestelde goederen.
Lees verderIn het huidig economisch leven wordt het opstellen van profielen, cohorten en categorieën van mensen in marketingmiddens als een normale praktijk beschouwd.
Deze techniek wordt doorgaans aangeduid met de term het segmenteren van de markt.
Organisaties en marketingafdelingen beschikken immers over beperkte budgetten, waarvan niet steeds kan worden vastgesteld welke impact het uitgegeven geld heeft op de bottom line van een organisatie.
Om de impact van het uitgegeven geld te maximaliseren is het voor marketingafdelingen belangrijk hun markt te segmenteren, door profielen, categorieën en cohorten op te stellen.
Voor het opstellen van deze profielen is er veel data nodig, waaronder persoonsgegevens.
Lees verderOrganisaties krijgen soms, al dan niet toevallig, naar aanleiding van een interactie het e-mailadres van hun klanten in hun bezit.
De verleiding bestaat dan om dat ontvangen e-mailadres te gebruiken voor andere doeleinden dan waarvoor het e-mailadres werd bekomen.
Bijvoorbeeld krijgt een organisatie of een bedrijf het e-mailadres naar aanleiding van een klacht van zijn klant, en wilt dat e-mailadres dan gebruiken om bijvoorbeeld nieuwsbrieven te sturen of om promotionele acties te voeren.
Mag een organisatie of een bedrijf dat een e-mailadres van een klant heeft gekregen dit eigenlijk ook gebruiken voor een ander doel dan het doel waarvoor het e-mailadres werd bekomen?
Lees verderOrganisaties zijn in bepaalde gevallen verplicht een functionaris voor gegevensbescherming, ook wel Data Protection Officer of DPO genoemd, aan te stellen.
Dit is o.a. het geval wanneer de verwerkingen van persoonsgegevens:
Hoewel zij daar wettelijk niet toe verplicht zijn kunnen organisaties ook op vrijwillige basis een DPO aanstellen.
Lees verderHet gebruiken van blockchaintechnologie biedt heel wat voordelen voor wat betreft het garanderen van de integriteit (tamperproof) van de data die per blok in de keten van de blockchain worden bijgehouden.
Het verwijderen van gegevens bij een node kan dan de integriteit van de volledige keten compromiteren, waardoor men gemakkelijk kan achterhalen dat er met de gegevens werd geknoeid.
Maar het gebruiken van blockchaintechnologieën voor de verwerking van persoonsgegevens biedt ook heel wat uitdagingen, met betrekking tot de toepassing van de GDPR.
Sommige van die uitdagingen kunnen zelfs helemaal niet worden weggenomen door gebruik te maken van een blockchain architectuur.
Lees verderDe GDPR definieert in haar art.6,1 de voorwaarden voor een rechtmatige verwerking van persoonsgegevens.
Een van deze voorwaarden is de toestemming.
Maar wat is nu eigenlijk een toestemming?
Bij lectuur van de GDPR wordt het duidelijk dat men enkel kan spreken over een toestemming wanneer aan een aantal voorwaarden wordt voldaan.
Dit betekent dat niet om het even wat kan gelden als een toestemming, bovendien zal de verwerkingsverantwoordelijke ook moeten kunnen aantonen dat de betrokkene toestemming heeft gegeven en dat aan de voorwaarden voor een geldige toestemming werd voldaan.
Lees verderOrganisaties geven werknemers, aangestelden en mandatarissen (laten we ze kortweg mandatarissen noemen) de bevoegdheid om bepaalde persoonsgegevens van de natuurlijke personen die ze verwerken te mogen consulteren en verwerken.
Had kader waarbinnen de mandataris handelt kan drievoudig zijn:
In sommige gevallen kan het voorkomen dat deze mandatarissen hun bevoegdheden te buiten gaan, door verwerking, met inbegrip van consultaties uit te voeren of goed te keuren waar ze geen bevoegdheid voor hebben.
Lees verder