Persoonlijk Identificeerbare Informatie
Waar moet u aan denken vanuit het oogpunt van persoonlijk identificeerbare informatie?
Privacy data zijn alle persoonlijk identificeerbare informatie (PII) van alle gegevens die kunnen worden gebruikt om een individu te identificeren. Burgerservicenummers, post- of e-mailadressen en telefoonnummers worden als PII beschouwd, maar de technologie heeft de reikwijdte van PII behoorlijk uitgebreid. Een IP-adres, inlog-ID’s, geolocatie-, biometrische en gedragsgegevens, posts op sociale media of digitale afbeeldingen bevatten ook PII en worden daarom ook geclassificeerd als zodanig.
De belangrijkste vereisten zijn:
- Verzamel alleen persoonsgegevens die echt nodig zijn;
- Gebruik deze persoonsgegevens ook alleen waarvoor ze verzameld zijn;
- Deel deze persoonsgegevens alleen met die mensen die het moeten weten;
- Bewaar deze gegevens alleen zolang ze nodig zijn;
- Zorg dat u deze gegevens veilig houdt;
- Zorg dat de bewaarde gegevens accuraat zijn en houdt ze up-to-date;
- Ben transparant in wat er wordt verzameld van een persoon en om welke reden.
Persoonsgegevens worden bijna in alle bedrijfsprocessen gebruikt, en daarom kan dit een behoorlijk complex proces zijn.
Hieronder vindt u een overzicht van overwegingen die u moet maken tijdens de verschillende fasen van de levenscyclus van persoonsgegevens.
Wanneer u persoonsgegevens aanmaakt of verzamelt:
- Zorg ervoor dat u een gerechtvaardigde reden hebt (rechtsgrond).
- Zorg voor een legitiem doel en communiceer dit.
- Zorg ervoor dat u alleen verzamelt wat u echt nodig heeft (dataminimalisatie).
Wanneer u persoonsgegevens gebruikt of inziet:
- Zorg ervoor dat u de gegevens gebruikt voor het juiste doel (doelbinding).
- Zorg ervoor dat u de gegevens van de eigenaar van de gegevens verkrijgt.
- Zorg ervoor dat de gegevens die u gebruikt nauwkeurig en up-to-date zijn.
Wanneer u persoonsgegevens opslaat:
- Zorg ervoor dat u de gegevens op een goedgekeurde opslaglocatie opslaat.
- Zorg ervoor dat u alleen gegevens opslaat voor een beperkte tijd (opslagbeperking).
- Zorg ervoor dat u het aantal downloads of kopieën minimaliseert.
Wanneer u persoonsgegevens deelt of overdraagt:
- Zorg ervoor dat u de persoonsgegevens veilig deelt.
- Intern: zorg ervoor dat de personen met wie u de persoonsgegevens deelt een need-to-know hebben.
- Extern: zorg voor een need-to-know en een contractuele overeenkomst.
Wanneer u persoonsgegevens verwijdert of vervreemdt:
- Zorg ervoor dat er geen contractuele of wettelijke verplichting is om de gegevens te bewaren (gegevensbewaring).
- Zorg ervoor dat u fysieke en digitale kopieën verwijdert zoals beschreven in de regels voor informatieverwerking.
- Zorg ervoor dat u andere personen die kopieën kunnen bewaren op de hoogte hebt gesteld om de persoonlijke gegevens te verwijderen.
Gegevens beschermen
- Zorg ervoor dat de toegangsrechten zijn ingesteld op die mensen die het moeten weten (need-to-know).
- Zorg ervoor dat gegevens (wachtwoord) zijn beveiligd wanneer ze worden gedeeld.
Vergeet niet: uw organisatie is verplicht verantwoording af te leggen over de gegevensverwerkingen wanneer de Autoriteit Persoonsgegevens (AP) daar om vraagt.