GDPR en enquêtes

We krijgen bij CheckMarket steeds vaker de vraag van onze gebruikers wat ze moeten doen om GDPR (of AVG) compliant te zijn.

CheckMarket

Werk je in enquêtes met persoonsgegevens, dan zijn er wel een aantal zaken waar je rekening mee moet houden.

  • Als je enquêtes anoniem verspreidt en geen persoonsgegevens verwerkt, dan hoef je geen rekening te houden met de GDPR. Maar wees voorzichtig, de GDPR interpreteert het begrip ‘persoonsgegevens’ zeer breed! (zie art 4.1).
  • Gebruik je contactgegevens of vraag je in je enquêtes naar een e-mailadres, naam of andere persoonsgegevens, dan legt de GDPR je een aantal verantwoordelijkheden m.b.t. verwerking van persoonsgegevens op.

Zorg dat je rechtmatig persoonsgegevens verwerkt

Als verwerkingsverantwoordelijke moet je kunnen aantonen aan welke 'wettelijke basis' je voldoet om persoonsgegevens te mogen verwerken (zie artikel 6 van de GDPR).

Zorg dat je minstens aan één van de 6 voorwaarden in de wetgeving voldoet. De meest bekende is toestemming van betrokkene (artikel 7), maar mogelijke zijn art.6.b of 6.f van toepassing als je klanten, patiënten, cursisten, leden, enz. bevraagt. Uitdrukkelijke toestemming is in dat geval niet nodig. 

Informeer je respondenten

Als verwerkingsverantwoordelijke moet je bij verzameling van persoonsgegevens verplicht de nodige informatie verschaffen aan de betrokkenen.

  • Artikel 13 geeft aan welke informatie je moet verstrekken bij het verzamelen van persoonsgegevens om een eerlijke en transparante dataverwerking te waarborgen, waaronder: welke gegevens verzameld worden, wie deze verwerkt, hoe lang ze bewaard blijven, met welk doel, enz.
  • Daarnaast moeten je respondenten inzage kunnen hebben in hun persoonsgegevens en alle gerelateerde informatie (zie artikels 13 en 15).

Recht op rectificatie en wissing van gegevens

De GDPR gaat nog een stapje verder in artikels 16 en 17. Respondenten hebben naast het “recht van inzage” ook recht op “rectificatie” en “gegevenswissing (vergetelheid)” en moeten hun persoonsgegevens m.a.w. kunnen aanpassen, aanvullen of verwijderen. Geef dus steeds de te volgen procedures mee.

Bewaar data niet langer dan nodig

Artikel 5.1.e stelt dat persoonlijke gegevens niet langer mogen worden bewaard dan nodig. Je moet deze data dus verwijderen wanneer je ze niet meer nodig hebt voor je onderzoek. Gebruik je de data voor statistische doeleinden, zoals bijvoorbeeld benchmarking, dan mag je deze wel langer bewaren, op voorwaarde dat je de nodige beveiligingsmaatregelen neemt. Door dataretentieregels in te stellen kan je verwijdering van contact- en/of respondentgegevens volledig automatiseren voor je CheckMarket enquêtes.

Houd een register bij van verwerkingsactiviteiten

Conform artikel 30 moet je als verwerkingsverantwoordelijke een register bijhouden van alle verwerkingsactiviteiten, met daarin o.a. de verwerkingsdoeleinden, beschrijving van categorieën van betrokkenen en categorieën van persoonsgegevens, een algemene beschrijving technische en organisatorische beveiligingsmaatregelen, enz. Lees zeker de officiële richtlijnen en houdt alle nodige informatie bij.

Data Processing Agreement

Deel je persoonsgegevens deelt met een verwerker, zoals bijvoorbeeld een enquête tool provider? Dan ben je verplicht een Data Processing Agreement met die verwerker te sluiten. Zorg ervoor dat de verwerker een gegevensverwerkingsovereenkomst aanbiedt die duidelijk al hun privacy-verplichtingen omschrijft.

Data Protection Officer

Sommige organisaties moeten volgens artikel 37 van de GDPR een Data Protection Officer (DPO) aanstellen. Dit is vereist wanneer:

  1. de verwerking wordt verricht door een overheidsinstantie of overheidsorgaan, behalve in het geval van gerechten bij uitoefening van hun rechterlijke taken;
  2. een verwerkingsverantwoordelijke of de verwerker hoofdzakelijk is belast met verwerkingen die vanwege hun aard, omvang en/of doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen; of
  3. de verwerkingsverantwoordelijke of verwerker hoofdzakelijk is belast met grootschalige verwerking van bijzondere categorieën van gegevens uit hoofde van artikel 9 en van persoonsgegevens m.b.t. strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10.

Verantwoordelijkheden verwerker

Als dataverwerker is de veiligheid van persoonsgegevens garanderen de grootste prioriteit. Bij CheckMarket hanteren we strenge technische en organisatorische veiligheidsmaatregelen. Zo hebben we o.a. de nodige processen opgezet om datalekken vast te stellen en op te lossen, en maken we gebruik van HTTPS-encryptie.

Opgelet: Niets op deze webpagina kan gebruikt worden ter vervanging van juridisch advies. Wij raden uitdrukkelijk aan om te rade te gaan bij een jurist voor onafhankelijk advies specifiek afgestemd op jouw situatie.

Je eigen enquêtes maken die ook GDPR compliant zijn? Probeer de CheckMarket tool gratis uit.

Reacties:

Ook een reactie plaatsen? Word lid van Adformatie!

Word lid van Adformatie → Login →
Gerrit
Volgens mij heeft KPMG ook een unit gericht op het mkb inzake gpdr:
https://home.kpmg.com/nl/nl/home/services/advisory/technology/cyber-security-services/data-privacy.html
Lees meer Lees minder
**Bold** _italic_
Uw emailadres wordt uitsluitend gebruikt om mogelijk contact met u op te nemen naar aanleiding van uw bericht en is alleen zichtbaar voor de redactie.