Is de GDPR ook voor jouw bedrijf van toepassing?
Er zijn hier wat misverstanden over. Verwerkt je onderneming persoonsgegevens van EU-burgers? Dan is de GDPR van toepassing. Maar wat valt onder het ‘verwerken’ van deze gegevens? Ontdek of jij ook actie moet ondernemen.
GDPR misverstanden uitgeklaard
De GDPR-wetgeving geldt zowel voor online als offline persoonsgegevens van B2B én B2C-contacten. Zowel kleine als grote bedrijven krijgen er mee te maken. Ook als je maar een kleine hoeveelheid data hebt! Je hebt vaak meer persoonsgegevens in huis dan je denkt. Denk bijvoorbeeld aan de gegevens van je personeel. Ook deze moet je beveiligen. Het beperkt zich dus niet tot mailinglijsten.
Verwerken van persoonsgegevens
De GDPR-wetgeving heeft te maken met het verwerken van persoonsgegevens. Zoals je in de vorige blog kon lezen wordt het begrip ‘persoonsgegevens’ ruim ingevuld. Ook het woord ‘verwerken’ wordt breed geïnterpreteerd. Dit verstaat men eronder:
“een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens”
Met andere woorden: zo goed als elke handeling met persoonsgegevens valt hier onder!
Verwerkingsverantwoordelijke en verwerker
- Verwerkingsverantwoordelijke:
Dit is degene die de data bezit en beheert. Hij moet ervoor zorgen dat wat er met de data gebeurt, de verwerking, wettig gebeurt. Werkt hij samen met een verwerker dan moet hij verzekeren dat de verwerker GDPR compliant (in orde met GDPR) is en dat vastleggen in een verwerkingscontract. Er moet bij de verwerking een specifiek, legaal doel zijn en het moet transparant worden uitgevoerd. Men moet dus kunnen nagaan welke data je waarom bezit en hoe je deze gebruikt. - Verwerker:
Dit is de degene die de data verwerkt die door de verwerkingsverantwoordelijke aangeleverd wordt. Het is belangrijk dat deze GDPR compliant is. Maak goede afspraken of zorg voor goede voorzieningen voor de samenwerking van Verwerkingsverantwoordelijke met Verwerker. Leg dit vast in een verwerkingscontract.
De rol van de verwerkingsverantwoordelijke
De verwerkingsverantwoordelijke moet zich aan de GDPR houden en is verantwoordelijk voor eventuele inbreuken op de privacy. Ook wanneer er subverwerkers ingehuurd worden! Dus als je een bedrijf inhuurt, om bijvoorbeeld je e-mails te versturen en het maakt hiervoor gebruik van je database, dan blijf jij verantwoordelijk voor die gegevens.
Wat als je een onderaannemer of verwerker bent?
Wordt je bedrijf in onderaanneming als verwerker ingehuurd om de marketing van een onderneming te verzorgen? Verwerk en verzamel je persoonsgegevens van EU-burgers zoals bijvoorbeeld contactgegevens? Dan is de GDPR-wetgeving dus ook voor jou van toepassing. Ook wanneer je bedrijf buiten de EU is gevestigd.
De kans dat je je moet houden aan de GDPR-wetgeving is dus zeer groot, zowel voor B2B als B2C of je nu een groot of klein bedrijf bent . Elke vorm van verwerken van persoonsgegevens wordt in rekening genomen zowel. Het is dus belangrijk dat je de wettelijke verplichtingen nakomt.
Gemist wat GDPR precies is? Lees onze vorige blog.
Wat zijn de rechten van personen waarvan gegevens verwerkt worden? Dat ontdek je in de volgende blog.