Handelaar
Background image
Commerçant
Commerçant
Commerçant

Verwerking van persoonsgegevens

Wat is een persoonsgegeven?

Een persoonsgegeven is informatie die een individu, een fysieke persoon, identificeert of toelaat om hem te identificeren. De naam en het adres (zelfs dat van de werkplaats) evenals het elektronische adres worden beschouwd als persoonsgegevens.

Deze notie slaat tevens op een hele reeks informatie waardoor een individu op onrechtstreekse wijze kan worden geïdentificeerd (via vergelijking van gegevens), in het bijzonder door verwijzing naar een identificatienummer of naar een of meerdere specifieke elementen die eigen zijn aan zijn fysieke, psychische, economische, culturele of sociale identiteit. Het kan gaan om de nummerplaat van een voertuig, gegevens vervat in een al dan niet professioneel repertorium van adressen, foto's, onzichtbare gegevens die worden overgedragen bij internetsessies (IP-adressen), enz.

De wetgeving omvat bijvoorbeeld volgende situatie: een fysieke persoon deelt informatie mede die op zichzelf betrekking heeft (in de brede zin, zoals zijn naam, zijn adres, zijn geboortedatum,…) door zich in te schrijven op een site die toebehoort aan een vennootschap die deze gegevens gaat verwerken, ze eventueel opslaat in een bestand en ze desgevallend vervolgens gebruikt voor diverse interne (zoals bijvoorbeeld het updaten van het bestand, ontdubbeling) of externe verrichtingen (zoals de verzending van publicitaire mailings, de mededeling van deze gegevens aan andere vennootschappen…). De door de persoon meegedeelde informatie wordt beschermd door de wet en kan slechts onder bepaalde voorwaarden worden gebruikt.

Wat is verwerking van persoonsgegevens?

Opdat de wetgeving ter bescherming van de persoonsgegevens van toepassing zou zijn, moet er sprake zijn van een verwerking van zulke gegevens. Deze notie slaat op elke verrichting of het geheel van verrichtingen die worden toegepast op persoonsgegevens. De verrichtingen waarover het gaat, zijn bijzonder gevarieerd en omvatten de verzameling, bewaring, gebruik, wijziging, overdracht, enz. van gegevens. Bijvoorbeeld, telkens u een internetgebruiker uitnodigt een online formulier in te vullen om informatie te verzamelen, stemt dit overeen met een verwerking van gegevens.

De wet is van toepassing zodra de verrichtingen worden uitgevoerd op persoonsgegevens, geheel of gedeeltelijk met behulp van geautomatiseerde procedures (dit omvat alle technologieën van informatie : informatica, telematica, communicatienetwerken). Dit betreft bijvoorbeeld een informatica database waarin de klanten van een vennootschap zijn opgeslagen, de elektronische lijst van verrichtingen uitgevoerd op een bankrekening, het geïnformatiseerde personeelsbestand van een onderneming, enz.

De wet is tevens van toepassing indien deze verrichtingen gebeuren zonder beroep te doen op geautomatiseerde procedures van zodra de gegevens, waarop de verrichting of verrichtingen slaan, vatbaar zijn of bestemd zijn om voor te komen in bestanden (dat wil zeggen een gestructureerd geheel waarin de gegevens toegankelijk zijn volgens specifieke criteria, zoals de alfabetische volgorde).

Het is zeer belangrijk dat u weet onder welke voorwaarden u, in de ogen van de wet, zal worden beschouwd als "verantwoordelijke voor de verwerking". Het is immers deze persoon die de last draagt van bijna alle verplichtingen die worden opgelegd door de wet om de bescherming van de verwerkte gegevens te verzekeren. De verantwoordelijke voor de verwerking zal dus verantwoordelijk worden gesteld indien er zich een probleem voordoet. Uit dien hoofde is hij de belangrijkste gesprekspartner tussen de betrokken personen en de controle-autoriteiten.

De wet stelt als verantwoordelijke voor de verwerking die persoon aan die, alleen of samen met anderen, de doeleinden bepaalt (bijvoorbeeld de inzameling van gegevens voor het samenstellen van marketing profiles) en de middelen van verwerking van de persoonsgegevens (online formulieren, cookies, enz.). Het gaat dus om de persoon die de beslissingsmacht uitoefent over de verwerking van de gegevens. U bent dus een "verantwoordelijke voor de verwerking" zodra u persoonsgegevens op uw site inzamelt. Dit is in het bijzonder het geval indien u een inschrijvingsformulier in een newsletter aanbiedt of een formulier van online bestelling van goederen of diensten.

Onder welke voorwaarden kan ik persoonsgegevens verwerken?

Op 25 mei 2018 trad de Algemene Verordening Gegevensbescherming in werking. Hoewel een groot deel van de principes en bepalingen zoals zij van toepassing waren onder de oude wetgeving, behouden blijft, voorziet de Verordening toch in talrijke nieuwigheden. Aangezien wij deze hier niet allemaal kunnen opsommen, verwijzen wij u graag door naar de website van de Gegevensbeschermingsautoriteit (de vroegere Privacycommissie).

De persoonsgegevens kunnen slechts worden verzameld in het kader van welbepaalde, goed gedefinieerde doeleinden (principe van doeleinde van de verwerkingen). Zij kunnen slechts conform deze doeleinden worden gebruikt. Deze doeleinden dienen bovendien legitiem te zijn.
Men kan dus geen persoonsgegevens verzamelen en ze zonder precies doel gebruiken. Het is door dit doel, van bij de aanvang bepaald, dat het verdere vervolg van de verrichtingen zal worden georiënteerd. Het is in functie van het beoogde doeleinde dat men zal weten welke gegevens kunnen worden ingezameld, wat men kan doen met deze gegevens of men ze kan mededelen en aan wie, enz.

Men kan slechts doen hetgeen beantwoordt aan de beoogde doeleinden en ermee verenigbaar is. Men beschouwt in het bijzonder als verenigbaar hetgeen voorzien is door de wet en hetgeen de betrokken persoon redelijkerwijze kan voorzien.

Diegene die niet het, aan het begin aangekondigde, doeleinde respecteert en die gebruik maakt van de gegevens voor andere doeleinden die niet-verenigbaar zijn met dit doeleinde, begaat misbruik van een doeleinde hetgeen kan worden gestraft met een geldboete. Dit zou bijvoorbeeld het geval zijn voor de supermarkt die, zonder de toelating van haar klanten, haar bestand zou verkopen, waarin alle aankopen zijn opgenomen van een klant die houder is van een kaart waarmee getrouwheidspunten kunnen worden bekomen, aan een marketing vennootschap die voor elke geregistreerde persoon zijn voorkeuren zou wensen te kennen op het vlak van voeding, hygiëne, gekochte hoeveelheden, de merken van de gekozen goederen.

Om toegelaten te zijn, dient het doeleinde dat men beoogt door persoonsgegevens te verwerken legitiem te zijn (principe van legitimiteit van de verwerkingen). Dat wil zeggen dat er een evenwicht dient te bestaan tussen het belang van de verantwoordelijke voor de verwerking en de belangen van de personen op wie de verwerkte gegevens betrekking hebben. Een doeleinde dat overdreven schade zou veroorzaken aan de betrokken personen zou niet legitiem zijn.

Bovenop de eerbiediging van de hierboven vermelde principes dient de verwerking te gebeuren in één van volgende hypotheses om toegelaten te zijn :

  1. indien de betrokken persoon ondubbelzinnig zijn akkoord heeft gegeven. Het akkoord is slechts geldig voor zover dit vrij is gegeven (d.w.z. zonder druk), specifiek (slaande op een precieze verwerking) en na te zijn ingelicht (de persoon heeft de nuttige informatie gekregen in verband met de beoogde verwerking);
  2. indien de verwerking van gegevens noodzakelijk is voor de uitvoering van een overeenkomst of van precontractuele maatregelen die worden gevraagd door de betrokken persoon. Dit is het geval voor het registreren van gegevens teneinde een dienst te kunnen factureren, een krediet toe te kennen een verzekeringsovereenkomst op te stellen, enz.;
  3. indien de verwerking wordt vereist door een wet, een decreet of een ordonnantie. Valt bijvoorbeeld onder deze hypothese de verplichting die wordt opgelegd aan de werkgever om bepaalde gegevens betreffende zijn personeel mee te delen aan de organismen van sociale zekerheid;
  4. indien de verwerking noodzakelijk is om een vitaal belang van de betrokken persoon te beschermen. Dit is bijvoorbeeld het geval voor het bewusteloze slachtoffer over wie men medische gegevens inzamelt teneinde hem te verzorgen ;
  5. indien de verwerking noodzakelijk is om een opdracht van openbaar belang uit te voeren of een opdracht die deel uitmaakt van de openbare macht. Uit dien hoofde is het Bpost toegelaten om een bestand van adreswijzigingen te creëren teneinde de post te kunnen doorsturen in geval van een verhuizing ;
  6. of tenslotte indien de verwerking van gegevens noodzakelijk is voor het realiseren van een legitiem belang van de verantwoordelijke of van een derde op voorwaarde dat het belang of de rechten van de betrokken persoon niet de overhand hebben. Verwerkingen zijn dus toegelaten indien het belang van de samensteller van de gegevens te verwerken hoger is dan het belang van de van de geregistreerde persoon dat zijn gegevens niet verwerkt zouden worden.

In dit stadium benadrukken wij dat het hier gaat om een algemeen stelsel betreffende elke verwerking van persoonsgegevens. Evenwel bestaan er ook specifieke stelsels waarbij in bepaalde hypotheses striktere voorwaarden worden opgelegd voor de verwerking van persoonsgegevens (bijvoorbeeld de verzending van publiciteit via e-mail).

Onder welke voorwaarden kan ik persoonsgegevens verzamelen?

De inzameling dient loyaal te zijn. Dit betekent dat men op transparante wijze dient te handelen : diegene die persoonsgegevens verzamelt, dient de redenen aan te geven waarom hij ze wenst te bekomen. Hij mag niet doen geloven dat hij een doel beoogt terwijl hij de intentie heeft iets anders te doen met de verzamelde informatie. Men mag evenmin handelen zonder medeweten van de personen.

Men dient dus informatie te verschaffen aan de personen van wie men gegevens verzamelt, tenzij deze personen reeds ingelicht zijn.
De wet onderscheidt twee soorten van informatie die aan de betrokken persoon dienen te worden verschaft:

1. De basisinformatie die in alle gevallen verplicht dient te worden verschaft. Het gaat om:

  • de identiteit en het adres van de verantwoordelijke voor de verwerking en desgevallend van zijn vertegenwoordiger in België.
  • de doeleinden van de verwerking van de gegevens die worden verzameld door de verantwoordelijke voor de verwerking via een site. Bijvoorbeeld, indien zowel voor de uitvoering van een overeenkomst (internetabonnement, bestelling van een goed, enz.) als voor de verrichtingen van prospectie gegevens worden verzameld, dient de verantwoordelijke voor de verwerking duidelijk deze twee doeleinden aan te geven.
  • het bestaan, in hoofde van de betrokken persoon, van het recht zich op verzoek en gratis te verzetten tegen de verwerking van zijn persoonsgegevens voor doeleinden van direct marketing (publicitaire handelingen).

2. De bijkomende informatie

In de wet wordt gepreciseerd dat deze informatie niet dient te worden verschaft "indien deze niet nodig is om ten aanzien van de betrokken persoon een loyale verwerking van de gegevens te verzekeren". Evenwel, wetende dat de algemene filosofie van de wet erin bestaat aan de verantwoordelijke voor de verwerking op te leggen zo transparant mogelijk te zijn ten aanzien van de personen wier gegevens zullen worden gebruikt, kunnen wij niets anders dan aanbevelen om hen deze bijkomende informatie te verschaffen.

Bovendien dient niet uit het oog te worden verloren dat de bewijslast steeds op de verantwoordelijke voor de verwerking rust. Het komt dus aan hem toe te rechtvaardigen waarom hij meende dat deze informatie niet noodzakelijk was.

De bijkomende informatie is:

  • De bestemmelingen of de categorieën van bestemmelingen van de gegevens (personen waaraan de gegevens worden meegedeeld) : U dient te preciseren of de verzamelde gegevens zullen worden meegedeeld aan derden (commerciële partners, filialen, enz.) en voor welke doeleinden. In dit geval dient de internetgebruiker effectief over de mogelijkheid te beschikken om zich, door middel van het aankruisen van een vakje, online te verzetten tegen de overdracht van gegevens voor andere doeleinden dan het verlenen van de gevraagde dienst.
  • Het al dan niet verplichte karakter van het antwoord, evenals de eventuele gevolgen van een gebrek aan antwoord : U dient de internetgebruikers in te lichten omtrent het facultatieve of verplichte karakter van de antwoorden die zij dienen te verschaffen op bijvoorbeeld een online formulier. De verplichte informatie is deze waarbij, bij gebreke eraan, de gevraagde dienst niet kan worden uitgevoerd. Het feit dat de betrokken persoon niet de facultatieve informatie verschaft, zal hem in geen geval nadelig kunnen zijn.
  • Het bestaan en de modaliteiten van uitoefening van de rechten van toegang, verbetering en intrekking van gegevens.
    In bepaalde specifieke gevallen kan de wet eisen dat bijkomende informatie wordt verschaft. Bijvoorbeeld inzake de verzending van publiciteit via e-mail.

Welke andere informatie kan ik afbeelden op mijn site?

Tenslotte kan nog bepaalde informatie worden toegevoegd aan de door de wet voorziene informatie. Deze toegevoegde informatie maakt a priori geen overdreven last uit en kan bijdragen tot het inwinnen van het vertrouwen van de internetgebruikers, zijnde uw potentiële klanten. Zo kan U bijvoorbeeld vermelden : de naam en de coördinaten van de dienst of van de persoon die belast is met het beantwoorden van vragen betreffende de bescherming van de persoonsgegevens ; de veiligheidsmaatregelen die de authenticiteit van de site verzekeren evenals de integriteit en de vertrouwelijkheid van de informatie die wordt overgemaakt via het netwerk, enz.

Evenzeer zou meer volledige informatie in verband met het beleid ter bescherming van de gegevens (daarbij inbegrepen de modaliteiten van uitoefening van het recht van toegang : te contacteren persoon of dienst om dit recht uit te oefenen, mogelijkheid dit zowel online als op het fysieke adres van de verantwoordelijke voor de verwerking uit te oefenen) rechtstreeks toegankelijk moeten zijn vanaf de homepage van de site (zelfs op elke pagina van de site) evenals vanaf elke plaats waar persoonsgegevens online worden verzameld. Het opschrift van de aan te klikken rubriek dient voldoende duidelijk uit te komen en expliciet en specifiek te zijn opdat de internetgebruiker zich een duidelijk idee kan vormen omtrent de inhoud waarnaar hij wordt verwezen (bijvoorbeeld zou men kunnen preciseren "Wij verzamelen en verwerken persoonsgegevens die op U betrekking hebben. Voor meer informatie, klik hier " of "Bescherming van persoonsgegevens").

In de praktijk dient u ervoor te zorgen dat de verschillende soorten informatie onmiddellijk op het scherm verschijnen voor het verzamelen opdat de loyale verwerking van gegevens wordt gegarandeerd.

Op welk ogenblik moet de betrokken persoon worden geïnformeerd?

Men dient hier twee hypotheses te onderscheiden:

  • Indien de gegevens rechtstreeks bij de betrokken persoon werden bekomen, dient het informeren uiterlijk op het ogenblik waarop deze gegevens worden bekomen te gebeuren;
  • Indien de gegevens niet bij de betrokken persoon werden bekomen, dient het informeren te gebeuren zodra de gegevens worden geregistreerd of, indien een mededeling van gegevens aan derden wordt beoogd, uiterlijk op het ogenblik van de eerste mededeling van gegevens.

Kan ik gegevens via derden bekomen?

U bent niet altijd verplicht zich tot de betrokken personen te richten om gegevens die op hen slaan te bekomen. U kan gegevens bij derden bekomen door u in het bijzonder tot organisaties of vennootschappen te wenden die beschikken over databases die zij mogen meedelen. U kan bijvoorbeeld aan een vennootschap van interimarbeid vragen om een lijst van curriculum vitae van personen die overeenstemmen met het gewenste beroepsprofiel of bestanden van e-mailadressen huren voor direct marketing doeleinden.

In dit geval dient u de betrokken personen te informeren tenzij zij reeds zijn ingelicht. De vereiste informatie is deze die hierboven werd vermeld, maar men dient uw naam en adres te vermelden als nieuwe verantwoordelijke voor de verwerking.

U bent evenwel van deze verplichting vrijgesteld indien het informeren onmogelijk of uiterst moeilijk blijkt. Indien er echter (nadien) een contact is, met één of meerdere betrokken personen, dient men op dat ogenblik alle vereiste informatie te verschaffen.

Indien u de onmogelijkheid inroept of indien u stelt dat er onevenredige inspanningen door u zouden moeten gebeuren om de betrokken personen in te lichten, dient u zich te rechtvaardigen bij de Gegevensbeschermingsautoriteit.

Welke gegevens kan ik verzamelen?

U kan slechts die gegevens verzamelen die pertinent en noodzakelijk zijn, gelet op het beoogde doeleinde.

Een handelaar kan bijvoorbeeld de naam en het adres van zijn klanten vragen teneinde hen facturen toe te zenden of hen te informeren omtrent zijn commerciële activiteiten. Hij heeft evenwel geen reden om de geboortedatum van zijn klanten te vragen, evenmin als hun beroep.

Het is in principe verboden om bepaalde gegevens te verzamelen die van nature gevoelig zijn. Het gaat om gegevens betreffende het ras, de politieke opinies, de religieuze of filosofische overtuigingen, het lidmaatschap van een vakbond, de gezondheid, het seksueel gedrag, de verdenkingen, de vervolgingen of strafrechtelijke of administratieve veroordelingen.

Welke technieken kan ik gebruiken om online persoonsgegevens te verzamelen?

De verzameling van persoonsgegevens kan gebeuren via de tussenkomst van procedés van automatische verzameling van gegevens.
De technologie verschaft immers de nodige instrumenten om impliciet het surfgedrag van een bezoeker van een site te volgen en dit op bijna onzichtbare wijze.

Ten aanzien van de bescherming van de persoonlijke levenssfeer kan het gebruik van cookies problematisch zijn. Een cookie is een bestand dat wordt ingeplant in de computer van de bezoeker van de site dat in bepaalde gevallen een uniek nummer bevat dat door de server van de website wordt toegekend aan de computer van de internetgebruiker. Daar waar bepaalde cookies zich zelf vernietigen zodra de bezoeker de site heeft verlaten, zijn er andere die op min of meer lange termijn kunnen verder bestaan in de computer van de internetgebruiker. Dankzij hun unieke nummer laten de cookies aan de server van de website toe om een veelvoud van informatie op te slagen zoals in het bijzonder : tijdens het vragen van een pagina van de website door de surfer, de bezochte pagina's, de aard van de opzoekingen verricht via een zoekmotor…door uw computer.

Het perverse gevolg van deze techniek is dus dat deze zeer indiscreet kan zijn voor de internetgebruiker. In principe wordt het gebruik van gegevens die zijn verzameld met behulp van cookies, indien deze niet nominatief zijn, niet specifiek geviseerd door de wet. Indien deze gegevens echter kunnen worden gekoppeld aan andere gegevens die u zou hebben verzameld via andere middelen (formulieren, e-mails of andere), wordt de internetgebruiker, indien hij niet altijd duidelijk geïdentificeerd is, minstens identificeerbaar. Volgens de wet is een persoonsgegeven echter informatie betreffende een geïdentificeerde of identificeerbare fysieke persoon. In dit geval zal u de wet moeten respecteren en een toestemming moeten verkrijgen na de internetgebruiker te hebben geïnformeerd.

De verantwoordelijke voor de verwerking dient dus zo transparant mogelijk te zijn en de bezoekers van zijn site in te lichten omtrent de aanwending van deze technieken voorafgaandelijk aan het gebruik ervan.

In het bijzonder dient men:

  • ervoor te zorgen de internetgebruiker te informeren alvorens een cookie op zijn harde schijf op te slaan;
  • zijn identiteit te onthullen (niet enkel zijn URL of e-mail adres, doch tevens zijn coördinaten);
  • te preciseren met welk doel de cookie zal worden gebruikt;
  • het bestaan te melden van een recht van toegang en de uitoefening ervan toe te laten;
  • de toestemming van de internetgebruiker te verzamelen.

Welke zijn de rechten waarover de betrokken personen beschikken?

Elke fysieke persoon, ongeacht zijn leeftijd, zijn woonplaats en zijn nationaliteit, heeft erkende rechten ten aanzien van de personen die gegevens verwerken die op hem betrekking hebben :

1. Het recht op informatie

In het algemeen kent de wet aan de betrokken persoon een recht op weten toe, dat wil zeggen het recht te worden ingelicht omtrent het gevolg dat wordt voorbehouden aan de gegevens die op hem betrekking hebben. Zo mogen bestanden niet buiten medeweten van personen worden opgericht.

Dienaangaande dient de verantwoordelijke voor de verwerking bepaalde informatie aan de personen te verschaffen op wie de gegevens slaan. Hij dient hen tevens te informeren omtrent hun rechten (toegang, verbetering, verzet, enz.).

2. Het recht op curiositeit

De wet kent aan de particulier het recht toe om elke verantwoordelijke voor de verwerking te ondervragen teneinde te weten of deze gegevens bezit die op hem betrekking hebben.

3. Het recht op toegang

De wet kent aan de particulier het recht toe om op verstaanbare wijze een kopie te bekomen van de gegevens die het voorwerp uitmaken van een verwerking evenals van alle informatie die beschikbaar is omtrent de oorsprong ervan.

Om zijn recht op toegang uit te oefenen, dient de particulier een verzoek daartoe te richten aan de verantwoordelijke voor de verwerking middels bewijs van zijn identiteit. In de praktijk is alle vereiste informatie niet altijd onmiddellijk en gemakkelijk toegankelijk : deze kan voortkomen uit verschillende diensten en zelfs verschillende eenheden binnen dezelfde onderneming of administratie. Dienaangaande geeft de wet aan de verantwoordelijke voor de verwerking een antwoordtermijn van 45 dagen vanaf de ontvangst van het verzoek.

Uiteraard is het ten zeerste aanbevolen om zodra als mogelijk gevolg te verlenen aan zulk verzoek en dit teneinde de betrokken persoon volledige voldoening te schenken. Noteer evenwel dat er geen sprake is dat deze laatste u elke maand zou vragen om de gegevens te controleren waarover u jegens hem beschikt. Immers kent de wet hem dit recht slechts toe na het verstrijken van een redelijke termijn vanaf de datum van een voorgaand verzoek van zijnentwege. Het kan dus nuttig en opportuun zijn om een lijst bij te houden van de reeds ingediende verzoeken.

4. Het recht op verbetering

De gegevens die verzameld zijn, dienen juist te zijn. Desgevallend dient de verantwoordelijke voor de verwerking dus aan de betrokken personen redelijke middelen te verschaffen om ze te verbeteren, uit te wissen of te blokkeren.

5. Het recht op verzet

Behoudens indien de verwerking noodzakelijk is voor het sluiten of het uitvoeren van een overeenkomst of in het kader van de naleving van een wettelijke verplichting, heeft de betrokken persoon het recht zich te verzetten tegen de verwerking van zijn gegevens. Daartoe dient hij ernstige en legitieme redenen aan te voeren die slaan op zijn eigen situatie. Evenwel biedt de wet aan de betrokken persoon de mogelijkheid om zich zonder reden en gratis te verzetten tegen de geplande verwerking indien persoonsgegevens worden verzameld voor direct marketing doeleinden.

6. Het recht op vergeten

De gegevens die de identificatie van personen toelaten, dienen niet langer te worden verzameld dan voor de termijn die nodig is ter realisatie van het aangekondigde doeleinde. Elke persoon heeft tevens het recht om zonder kosten de weglating of het verbod van gebruik van zijn gegevens te bekomen die, gelet op het doel van de verwerking, onvolledig zijn of niet pertinent of waarvan de registratie, de communicatie of de bewaring verboden zijn of die werden bewaard na de toegelaten periode.

Wat dien ik te doen met de verzamelde gegevens?

Veiligheid

Het is belangrijk de gegevens te beschermen tegen schadelijke nieuwsgierigheid die van binnen of van buiten komt en tegen niet-toegelaten manipulaties. De risico's op lekken en aantastingen van de integriteit van de gegevens zijn heden ten dage te reëel.
Als verantwoordelijke voor de verwerking legt de wet u op een reeks van bijzondere veiligheidsmaatregelen te treffen. Onder deze dient u alle technische, juridische en organisatorische maatregelen te nemen die vereist zijn om de gegevens te beschermen tegen toevallige vernietiging evenals tegen elk toevallig verlies, wijziging of niet- toegelaten toegang.
Om de te treffen maatregelen juist te bepalen, dient men dienaangaande rekening te houden met de stand van de techniek in deze materie, de kosten verbonden aan de toepassing van deze maatregelen, de aard van de te beschermen gegevens en de potentiële risico's.
De Commissie voor de bescherming van de persoonlijke levenssfeer heeft een nota gepubliceerd die gewijd is aan de veiligheid.

Kwaliteit

De gegevens die u verwerkt, dienen juist te zijn en, indien nodig, up-to-date.
U dient alle redelijke maatregelen te treffen om de onjuiste of onvolledige gegevens te verbeteren of uit te wissen. U kan in het bijzonder periodiek contact opnemen met uw klanten om hen te vragen hun gegevens na te kijken, of tijdens een nieuwe online bestelling.

Vertrouwelijkheid

Als verantwoordelijke voor de verwerking dient u ervoor te zorgen de toegang tot de gegevens te beperken evenals de mogelijkheid van verwerking ervan voor het personeel dat deze verwerking nodig heeft in de uitoefening van zijn functies. Er is geen sprake van dat de personeelsleden toegang kunnen hebben tot die gegevens die voor hen niet nodig zijn.
U dient bovendien uw personeel in te lichten omtrent de diverse bepalingen van de wet op de bescherming van de persoonlijke levenssfeer en het uitvoeringsbesluit ervan.

Bewaring

De persoonsgegevens dienen niet te worden bewaard onder een vorm die toelaat de personen langer te identificeren dan nodig, rekening houdend met het beoogde doeleinde.

Men dient deze dus uit te wissen of ze anoniem te maken.

Kan ik persoonsgegevens overmaken aan een ander land?

Het internationale karakter van het netwerk heeft een frequente circulatie van persoonsgegevens van particulieren tussen verschillende landen tot gevolg, soms zelfs zonder dat de bestemming van de gegevens wordt geïdentificeerd door de betrokken persoon.
In principe kan u de in uw bezit zijnde persoonsgegevens slechts overmaken naar landen die een bescherming van gegevens verzekeren die overeenstemt met deze zoals verzekerd op het grondgebied van de Europese Unie.

Elke verantwoordelijke voor de verwerking die persoonsgegevens buiten de Europese Unie wenst te exporteren, dient zich dus af te vragen of het land van bestemming een gepast niveau van bescherming biedt. Men dient dezelfde garanties terug te vinden dan deze die voorzien zijn op het Europese grondgebied. De Europese Commissie stelt de lijst van deze landen op.

In tegengesteld geval zal de overdracht slechts kunnen worden verricht mits de strikte eerbiediging van bepaalde voorwaarden. Dit zal het geval zijn indien de verantwoordelijke voor de verwerking de ondubbelzinnige toestemming van de betrokken persoon met de overdracht bekomt of nog indien garanties worden geboden door het aannemen van gepaste contractuele clausules tussen de uitvoerder en de invoerder van gegevens. De Europese Commissie heeft contractuele typeclausules opgesteld die dienen te worden gehanteerd in geval van overdrachten van gegevens naar landen die geen voldoende niveau van bescherming bieden. Deze clausules bevinden zich op de site http://ec.europa.eu/justice/data-protection/international-transfers/index_en.htm

Indien in België gegevens worden verzameld vanuit een derde land, zijn de bepalingen van de Belgische wet van toepassing in precieze omstandigheden. Dit zal in het bijzonder het geval zijn indien de verantwoordelijke voor de werking de persoonsgegevens doet verwerken, door al dan niet geautomatiseerde middelen, op het Belgisch grondgebied. In zulke hypothese kan de betrokken persoon die in België woont, genieten van de bescherming geboden door de Belgische wet ten aanzien van de verantwoordelijke voor de verwerking.