Mede door de digitalisering van de maatschappij, worden alle ondernemingen geconfronteerd met diverse stromen van persoonsgegevens. Al die persoonsgegevens dienen in kaart te worden gebracht op het niveau van de onderneming.
De digitalisering van de maatschappij is de laatste jaren in een stroomversnelling terecht gekomen. Dat heeft tot gevolg dat iedere onderneming zijn personeel dient te sensibiliseren op het gebied van gegevensbescherming. Eén van de risico’s van uw organisatie met betrekking tot gegevensbescherming situeert zich voor een groot deel op dit niveau, i.e.: menselijke fouten. Een risiconiveau waarvan u zich als manager vaak niet volledig bewust bent.
De meeste ondernemingen hebben nu een bepaald niveau bereikt waarbij er een bewustzijn bestaat omtrent de reglementering inzake de bescherming van persoonsgegevens.
Eén van de belangrijkste vragen die een onderneming zich dient te stellen, is of er in een bepaald geval (zoals een project) persoonsgegevens worden verwerkt. Persoonsgegevens slaat op de ‘informatie over een geïdentificeerde of identificeerbare natuurlijke (levende) persoon’. Om te bepalen of een persoon identificeerbaar is, dient er rekening te worden gehouden met hoe gemakkelijk het is om de persoon te identificeren -op basis van de vereiste tijd en de noodzakelijke middelen die nodig zijn voor de identificatie.
Met betrekking tot de kwalificatie van de aard van de persoonsgegevens die worden verwerkt, dient ook rekening te worden gehouden met de context. We geven een voorbeeld om dat te illustreren. Persoonsgegevens, zoals een hartslag, die worden verwerkt door een ziekenhuis in het kader van een medisch onderzoek, zijn verschillend van een situatie waarin de hartslag eenmalig wordt gemeten voor entertainmentdoeleinden. Denk hier bijvoorbeeld aan een hartslagmonitor in een technologie pretpark, dit in het kader van een experiment. In het eerste geval kunnen we stellen dat er sprake is van een bijzondere categorie (i.e. medische gegevens) van persoonsgegevens met een hoger risico, alsook een hoger wettelijk voorzien beschermingsniveau. In het tweede geval, i.e. het technologie pretpark, zouden we eerder geneigd zijn om te stellen dat dit niet het geval is.
Ook andere scenario’s zijn mogelijk. Indien uw onderneming adresgegevens zou verwerken en hieruit zou blijken dat het adres van een bepaald persoon geregistreerd is in een psychiatrische instelling, zou dit delicaat kunnen zijn. Het zou kunnen gaan om een professioneel adres, i.e.: de betrokken persoon zou een verpleegkundige kunnen zijn van de instelling. Wanneer we evenwel een stap verder gaan in de analyse, dienen we er rekening mee te houden dat het beroep van de betrokkene mogelijks achterhaald kan worden. Dat kan soms al door een naam in te geven in een zoekmachine. Indien dan blijkt dat de betrokken persoon werkzaam is in een andere onderneming, zouden we kunnen afleiden dat deze persoon hoogstwaarschijnlijk geïnterneerd is. Gaat het in dat geval om een bijzondere categorie van persoonsgegevens? En dient de analyse effectief zo ver te gaan?
Bovenstaande voorbeelden tonen aan hoe delicaat de eerste stap kan zijn in het opzetten van een procedure in het kader van GDPR. Marlex heeft een grondige expertise in de materie omtrent de bescherming van persoonsgegevens. Liesbet, die zich hiervoor inzet, is een gecertificeerd Data Protection Officer.
