GDPR: om welke gegevens gaat het nu juist en hoe lang mag je ze bewaren?
Tine - De Digitale Versnelling / L’Accélération Digitale - 12 januari 2021
De hype rond GDPR is intussen overgewaaid, maar het blijft belangrijk om in orde te zijn met de privacywetgeving. Ook voor zelfstandigen en kleine ondernemingen. Er staan immers hoge boetes op het verkeerd verzamelen en bewaren van persoonsgegevens. Maar om welke gegevens gaat het nu juist? En hoe lang mag je die info bewaren?
GDPR: Om welke gegevens gaat het?
De GDPR-privacywet (General Data Protection Regulation) beschermt alle gegevens die iets over jou als persoon zeggen. Van je naam, telefoonnummer, je adres, e-mailadres, maar ook de inhoud van je online winkelkarretje en wat je sharet op sociale media. Onder ‘bijzondere persoonsgegevens’ vallen gevoelige gegevens die extra bescherming nodig hebben, zoals godsdienst, politieke opvattingen of info over gezondheid.
Hoe worden persoonsgegevens beschermd door de GDPR?
Als onderneming mag je niet zomaar persoonsgegevens verzamelen en gebruiken à volonté. Enkel voor een specifiek doel mag het als het nodig is voor een goede dienstverlening.
Stel: je baat een restaurant uit. Wanneer klanten online willen reserveren, vraag jij hun e-mailadres zodat je hen de bevestiging per mail kan bezorgen. Bij het vragen van hun e-mailadres ben je dus verplicht om hen het doel daarvan uit te leggen. Daarnaast moet je ook uitleggen hoe lang je die gegevens zal bewaren. En dat is serious business, want ondernemingen die de privacywetgeving niet respecteren, riskeren torenhoge boetes: tot twintig miljoen euro of 4 procent van de wereldwijde jaaromzet (afhankelijk van welk bedrag het hoogste is).
Goed om te weten: Je mag je klanten bijvoorbeeld niet zomaar naar hun adres of geboortedatum vragen, tenzij je kan aangeven wat je met die info zal doen om hen een betere dienstverlening te bieden.
Hoelang mag je gegevens bewaren volgens de GDPR?
Het korte antwoord op deze vraag luidt: “zo kort mogelijk”. Dat lichten we even toe! Zodra je onderneming persoonsgegevens vraagt aan klanten, moet je er niet enkel bij vertellen waarvoor je die zal gebruiken maar ook hoe lang je ze precies zal bewaren. Je mag de gegevens niet langer bewaren dan nodig voor het doel dat je op dat moment meedeelt.
Goed om te weten: de bewaartermijn hoef je niet per se uit te drukken in x aantal dagen, maanden of jaren. Een formulering dat bepaalde gegevens worden bewaard “gedurende de uitvoering van de overeenkomst” is ook geldig. Een andere optie is het opnemen van een formulering als “de gegevens worden bewaard tot 5 jaar na het laatste klantencontact”.
En wat na de bewaartermijn? Ah, vernietigen natuurlijk! De persoonsgegevens moeten volledig verwijderd worden uit de systemen van je onderneming.
Hoelang mag je een cv bewaren volgens de GDPR-richtlijnen?
Sollicitatiebrieven, cv’s, resultaten van een medische keuring of psychologisch onderzoek … Tijdens een sollicitatieprocedure verzamel je heel wat informatie over de kandidaten. Omdat ook die gegevens persoonsgegevens zijn, vallen ze onder de GDPR-wetgeving. Werf je nieuwe medewerkers aan? Zorg dan dat je het volgens de privacyregels doet. Sturen geïnteresseerden hun cv in voor een bestaande of toekomstige functie? Dan mag je dat bewaren op voorwaarde dat je de sollicitant daarvan op de hoogte brengt.
Goed om te weten: Je mag enkel gegevens verzamelen die relevant zijn voor de sollicitatie en die info mag niet langer dan noodzakelijk bewaard worden. Al kan je natuurlijk aan de kandidaten toestemming vragen om hun gegevens een jaar te bewaren. Vervolgens kan je hen opnieuw benaderen om hun toestemming te verlengen (en eventueel hun gegevens te updaten).
Ben je nog niet in orde met de GDPR-privacywetgeving?
Maak dan snel je zaak in 5 stappen GDPR-proof.
Hulp nodig? De GDPR-regels maken het je niet makkelijk. Om snel GDPR-proof te worden, kan je een freelance DPO (Data Protection Officer) inschakelen. Zo ben je snel in regel zonder te hoge kosten.
Bronnen: Ubora, De Europese Commissie en Randstad.