Wat u moet weten over de privacywetgeving

1.1. Waar vind ik de geldende privacywetgeving?

Op www.gegevensbeschermingsautoriteit.be/wetgeving-en-normen vind je een goed overzicht.

1.2. Wat zijn persoonsgegevens?

Voor de definitie verwijzen we naar de wetgeving. In praktijk zijn heel wat gegevens persoonsgegevens: gegevens over de identiteit, gezinssamenstelling, financiële gegevens, gegevens over de woning van de betrokken burger, interesses, contactgegevens leden, etc. Sommige gegevens (zoals gegevens betreffende de gezondheid, seksuele leven/geaardheid, …) zijn gevoelige persoonsgegevens, hiermee moet zeer omzichtig worden omgesprongen. Ook het Rijksregisternummer vergt extra voorzichtigheid.

1.3. Wat is een DPO?

DPO staat voor Data Protection Officer, in het Nederlands spreekt men ook soms over een functionaris voor gegevensbescherming. Dit is een nieuwe rol geïntroduceerd door de GDPR. Concreet staat deze persoon in voor het informeren en adviseren over de verplichtingen rond gegevensbescherming alsook toezien op de naleving hiervan. Indien u vragen heeft met betrekking tot de GDPR, kan u dus steeds terecht bij de DPO.

1.4. Wat bedoelt men met “Wettelijke Basis”?

Persoonsgegevens mogen niet zomaar verwerkt worden. Je hebt voor elke verwerking een goede reden nodig, de zogenaamde wettelijke basis. Hiervoor zijn er slechts zes mogelijkheden:

  • Toestemming
  • Contractuele overeenkomst
  • Wettelijke verplichting
  • Vitaal Belang
  • Taak van algemeen belang
  • Gerechtvaardigd belang

Het zogenaamde “gerechtvaardigd belang” is zeer delicaat. Indien je je hier wenst op te beroepen, stem dit dan zeker eerst af met de DPO (Data Protection Officer).

1.5. Welke impact heeft de GDPR op mijn dagelijkse taken?

Concrete gevolgen zijn sterk afhankelijk van de context waarin u omgaat met persoonsgegevens. Het doel van de GDPR is om organisaties bewust en voornamelijk correct te laten omgaan met persoonsgegevens. Om dit te verwezenlijken dienen alle werknemers het belang hiervan in te zien.

Stel u zelf daarom de volgende vragen:

  • Heb ik deze persoonsgegevens écht nodig voor het uitvoeren van deze taak?
  • Zijn deze persoonsgegevens genoeg afgeschermd van personen die er geen toegang toe nodig hebben?
  • Kan ik er van uitgaan dat de betrokkene zich bewust is van het soort verwerking die ik uitvoer met hun persoonsgegevens?
  • Heb ik deze persoonsgegevens voor hun originele doel nog steeds nodig?

1.6. Hoe vermijd ik inbreuken tegen de privacywetgeving?

Een volledig overzicht geven van alle maatregelen zou ons hier veel te ver leiden. Hierboven werd de "wettelijke basis" al toegelicht, vergewis je ervan dat deze voor jouw verwerkingen in orde is. Ook de eerder vermelde impact op de dagelijkse taken geeft je enkele vragen die je je moet stellen. Gegevens voldoende afschermen klinkt misschien vanzelfsprekend, maar is het niet altijd. Denk eraan, je wordt goed omkaderd, maar je bent zelf de voornaamste verantwoordelijke. Doe hierbij in de eerste plaats een beroep op je gezond verstand.

Enkele praktische tips:

  • Indien je vermoed dat je te weinig toegangsrechten hebt, zal je wellicht de betreffende servicedesk contacteren. Doe dit ook indien je vermoed dat je te veel toegangsrechten hebt!
  • Laat je computer of smartphone nooit onbeschermd achter: computer ‘locken’, smartphone bij je houden. Indien je merkt dat een collega haar computer niet heeft gelocked, en deze is nergens in de buurt, doe dit dan voor hem/haar.
  • Het lijkt vanzelfsprekend, maar er wordt toch nog veel te vaak tegen gezondigd: gebruik enkel wachtwoorden die voor iemand anders moeilijk te raden zijn, maar (indien mogelijk) voor jezelf makkelijk te onthouden zijn
  • Kom je toevallig het wachtwoord van een collega te weten, wijs deze op dit feit en vraag om het wachtwoord te veranderen
  • Gebruik voor je professionele account(s) en privé-accounts verschillende wachtwoorden
  • Sluit op het einde van de werkdag je computer volledig af
  • Geef nooit je accountgegevens door aan iemand anders
  • Vraag nooit naar de accountgegevens van iemand anders
  • Laat security-tokens, eIDs enz. nooit rondslingeren
  • Laat USB-sticks niet zomaar rondslingeren
  • Schrijf je wachtwoord nooit neer. Nergens.
  • Laat geen geprinte documenten op de printer liggen
  • Vermijd dat anderen ongevraagd meekijken op je scherm
  • Geef nooit je wachtwoord door aan iemand die jou opbelt (ook niet als deze persoon beweert van een of andere helpdesk te zijn, en echt aandringt)

1.6.1. Wat betreft social media:

  • Gebruik sociale netwerksites zoals Facebook, LinkedIn, en Twitter tijdens de werkuren enkel voor professionele redenen.
  • Buiten de werkuren dien je rekening mee te houden dat je nog steeds dezelfde identiteit hebt als binnen de werkuren. Wees dus nog steeds voorzichtig met wat je schrijft in verband met persoonsgegevens, waar je op klikt, enzoverder.
  • Soms worden accounts gehackt, ga er dus niet automatisch van uit dat een berichtje afkomstig is van wie de afzender beweert te zijn. Zeker als je een verdacht berichtje krijgt is het best bijzonder alert te zijn.
  • Accepteer niet roekeloos elk ‘friend’-verzoek. Hackers geven zich via een vals profiel immers vaak uit voor een ander (iemand die je kent). Verifieer dat het verzoek wel degelijk komt van een bekende.
  • Gebruik geen (Facebook-)Apps tenzij je de gevolgen ervan zeer goed kent. Dergelijke apps doen immers vaak veel meer dan ze laten uitschijnen (zoals het ongewild publiek maken van persoonlijke informatie)
  • Sommige software - in het bijzonder tablet/smartphone-apps - gebruiken je sociale media account(s) zoals Twitter en Facebook om berichten te versturen. Sta dit niet toe indien je de mogelijkheid hiertoe hebt (wordt meestal gevraagd tijdens de installatie, maar je kan dit ook achteraf aanpassen).
  • Klik niet roekeloos op links. Door de muis over de link te bewegen (‘hoveren’) kan je vaak zien naar welke site de link je leidt. Ken je deze site niet, of komt deze verdacht over, klik dan niet verder.

1.6.2. Wat betreft e-mail:

  • Wees alert bij het versturen van een e-mail:
  • Kloppen de bestemmelingen? (door type-ahead-achtige functies kan er soms een verkeerd e-mailadres tussen de bestemmelingen sluipen)
  • Indien je een bijlage toevoegt, is het wel het correcte document?
  • Is alle informatie wel voor alle bestemmelingen bedoeld? (let vooral op met lange reply- of forward-threads)
  • Gebruik je werk-email-adres niet voor privé-zaken (ook bij het registreren op niet-professionele websites, bijvoorbeeld)
  • Klik niet roekeloos op links. Door de muis over de link te bewegen (‘hoveren’) kan je vaak zien naar welke site de link je leidt. Ken je deze site niet, of komt deze verdacht over, klik dan niet verder.
  • Ga nooit in op e-mails van onbekenden met (over)aantrekkelijke voorstellen (iets wat te mooi is om waar te zijn, is het dat meestal ook). Wens je dit toch te doen, doe dit dan in je vrije tijd, vanop je privé-account, en volledig onder je eigen verantwoordelijkheid.

1.6.3. Wat betreft smartphones:

  • Installeer geen apps die je smartphone omvormen tot een wireless hotspot. Heb je dit toch gedaan, schakel deze functie dan zeker uit vooraleer je de werkvloer betreedt.
  • Installeer geen apps die je smartphone omtoveren tot een serverapplicatie die ongewild je foto's of andere persoonsgegevens deelt (heel wat apps doen dit om aldus binnen je thuisnetwerk gegevens makkelijk te kunnen delen).

1.6.4. Wat betreft websites:

  • Sommige hackers bouwen een website na met de bedoeling van jouw gebruikersnaam en wachtwoord te onderscheppen (in de volksmond ‘phishing’ genoemd). Indien je inlogt in een account, kijk dan goed na of je je wel degelijk op de correcte website bevindt (zie het webadres bovenaan in de browser). In geval van twijfel, ga er dan niet verder op in.
  • Blijf weg van sites met dubbelzinnige of dubieuze bedoelingen. De kans is immers reëel dat je computer of smartphone wordt besmet met een virus, trojan, of dergelijke.