GDPR: laat uw gegevens niet voor andere doeleinden gebruiken!

Wees waakzaam. Persoonlijke gegevens van klanten, leveranciers, personeelsleden enz. die uw bedrijf heeft opgeslagen, mogen niet voor eender welk doel gebruikt worden. De Algemene Verordening Gegevensbescherming (GDPR) bepaalt dat de verzamelde gegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden moeten worden verwerkt en daarna niet voor doeleinden mogen worden gebruikt die onverenigbaar zijn met de oorspronkelijke doeleinden.


Nathalie Ragheno, COMPETENTIECENTRUM RECHT & ONDERNEMING Arie Van Hoe, COMPETENTIECENTRUM RECHT & ONDERNEMING
22 september 2021

Het doeleinde bepaalt waarvoor uw gegevensbestand zal dienen. Het is aan u om dat te definiëren: uw klantenbestand beheren, personeel aanwerven, de boekhouding ... Het doeleinde geldt voor elk gebruik van uw gegevensbestand. Daarnaast kan u aan de hand van het doeleinde de relevantie bepalen van de gegevens die u verzamelt.

Deze verplichting is allesbehalve een eenvoudig “principe” en heel wat bedrijven kregen al een sanctie omdat ze deze belangrijke GDPR-bepaling niet voldoende nauwgezet respecteerden.

Verantwoordelijkheid van het bedrijf

In april jongstleden werd een kmoveroordeeld tot een boete van 100.000 euro voor de onwettige consultatie en het gebruik van gevoelige persoonsgegevens voor andere doeleinden dan die waarvoor ze verzameld werden. In dit specifieke geval had de secretaresse van de kmo het register van de leningen bij de Nationale Bank geraadpleegd voor privédoeleinden, namelijk om de schuldenlast van de ex-man van een van haar vriendinnen te weten te komen. Daarvoor had ze het wachtwoord van het bedrijf gebruikt. Tegen alle verwachtingen in werd niet de secretaresse, maar wel het bedrijf veroordeeld, omdat het niet over een mechanisme beschikte dat dit soort privéconsultaties kon voorkomen.

In deze zaak beschouwde de Geschillenkamer van de Gegevensbeschermingsautoriteit (GBA) dat de desbetreffende praktijken in overtreding waren met het principe van doeleinde dat in de GDPR verankerd is.

Belangrijk is ook dat een nieuwe verwerking van de persoonsgegevens voor een ander doeleinde dan voor datgene waarvoor ze verzameld werden, enkel is toegestaan indien die nieuwe verwerking in overeenstemming is met de oorspronkelijk vastgelegde doeleinden. U moet dus rekening houden met het verband tussen de oorspronkelijke en de nieuwe doeleinden, met de context waarin de gegevens zijn verzameld, met de mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokken persoon en met het bestaan van passende waarborgen.

Een voorbeeld is beter dan een lange toespraak

In de praktijk is het dus mogelijk om in bepaalde gevallen de gegevens opnieuw te verwerken voor andere dan de oorspronkelijk vastgelegde doeleinden. Neem nu het voorbeeld van een bank die een overeenkomst heeft met een klant voor een bankrekening en een persoonlijke lening. Aan het einde van het eerste jaar gebruikt de bank de persoonsgegevens van de klant om na te gaan of hij in aanmerking komt voor een betere krediet- en spaarregeling. De bank informeert de klant daarover. De bank mag de gegevens van de klant dan opnieuw verwerken omdat de nieuwe doelen verenigbaar zijn met de oorspronkelijke doelen. Als diezelfde bank daarentegen de klantgegevens wil verwerken om ze te delen met verzekeringsmaatschappijen, op basis van dezelfde overeenkomst als voor de bankrekening en de persoonlijke lening, mag ze daarmee niet doorgaan zonder het expliciete akkoord van de klant. Het nieuwe doeleinde is hier dan ook niet verenigbaar met het oorspronkelijke doeleinde waarvoor de gegevens verwerkt waren.

Ook de beslissing van de Geschillenkamer van april dit jaar is belangrijk en benadrukt dat elke verwerkingsverantwoordelijke zich ervan moet vergewissen dat het raadplegen van gegevens van de onderneming enkel kan voor professionele doeleinden. Het is daarom belangrijk dat er in het bedrijf een mechanisme is dat garandeert dat alleen bevoegde personen de gegevens mogen consulteren/gebruiken en enkel voor doelen waarvoor ze verzameld werden. Technische maar ook organisatorische beveiligingsmaatregelen zijn dus onmisbaar.

Nog altijd niet volledig overtuigd van de risico’s bij het overtreden van de GDPR? Nog een cijfer om u te overtuigen: in 2020 brachten de inbreuken op de GDPR 793.000 euro op, alleen al op Belgisch grondgebied.

Onze partners

Actiedomeinen

Een gezond ondernemingsklimaat is essentieel voor een gezonde economie en duurzame groei in België. Als VBO nemen we de verantwoordelijkheid om de motor van onze welvaartsstaat op kruissnelheid te houden. Om dat te bereiken, focussen we op 18 actiedomeinen die bijdragen tot een duurzame groei.


VBO-NIEUWSBRIEVEN EN PERSBERICHTEN

Schrijf u nu in en ontvang wekelijks de laatste artikelen direct in uw mailbox.