GDPR

GDPR – General data protection regulation

Hieronder volgt een beknopte introductie tot GDPR.

Achtergrond

Het Europees Parlement keurde op 16 april 2016 de regels goed van de algemene verordening gegevensbescherming (AVG) ofwel de general data protection regulation (GDPR) ofwel de nieuwe wet op de privacy.

De verordening is in werking getreden op 24 mei 2016 en zal vanaf 25 mei 2018 rechtstreeks, zonder omzetting in nationale wetgeving, van toepassing zijn in al de lidstaten.

De AVG is van toepassing op de verwerking van persoonsgegevens van betrokkenen die zich in de Unie bevinden.

Naast de harmonisering van de bescherming van de grondrechten en de fundamentele vrijheden van natuurlijke personen in verband met verwerkingsactiviteiten, wil de AVG burgers meer controle geven over het gebruik van hun persoonlijke gegevens en de administratieve lasten verlagen voor organisaties.

Enkele principes zijn hierbij van toepassing:

  • de persoonsgegevens moeten rechtmatig, eerlijk en op een transparante wijze verwerkt worden
  • slechts een minimum aan gegevens noodzakelijk voor een bepaald doeleinde mogen verwerkt worden
  • een passende beveiliging moet gewaarborgd zijn
  • bescherming tegen
    • ongeoorloofde of rechtmatige verwerking
    • onopzettelijk verlies, vernietiging of beschadiging

Verplichtingen voor bedrijven

Hieronder volgen in het kort de verplichtingen waaraan bedrijven gaan moeten voldoen om GDPR-compliant te zijn.

  1. Aanstellen Data Protection Officer (DPO)
    • Zeker wanneer meer dan 250 werknemers
    • Of als de data het noodzakelijk maken
  2. Striktere toestemming
    • De verwerking is rechtmatig wanneer de betrokkene toestemming heeft gegeven voor één of meer specifieke doeleinden
      • De verwerker moet kunnen aantonen dat de betrokkene toestemming heeft gegeven
      • De toestemming moet door een duidelijke actieve handeling gegeven worden
      • Voor elk van de doeleinden moet toestemming verleend worden
      • De betrokkene kan toestemming heel eenvoudig ten allen tijden intrekken
  3. Privacy by design
    • De onderneming moet bij het ontwerpen van nieuwe verwerkingen de bescherming van persoonsgegevens vanaf het begin van het proces mee opnemen
  4. Privacy by default
    • De verwerking heeft als standaardinstelling dat de privacy zoveel mogelijk gewaarborgd is. Slechts een minimum aan noodzakelijke gegevens mogen verzameld en bijgehouden worden. Deze verplichting geldt voor
      • De hoeveelheid verzamelde persoonsgegevens
      • De mate waarin zij worden verwerkt
      • De termijn waarvoor zij worden opgeslagen
      • De toegankelijkheid daarvan
  5. Maken van impactanalyse
    • De verwerkingsverantwoordelijke moet VOOR de verwerking een beoordeling uitvoeren van het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens wanneer de verwerking een hoog risico inhoudt.
      • Een hoog risico kan bestaan omwille van de aard, omvang, context of doeleinden van de verwerking
  6. Voorafgaande raadpleging
    • Wanneer uit de impactanalyse blijkt dat de verwerking een hoog risico kan opleveren, moet de verwerkingsverantwoordelijke de Privacy Commissie raadplegen voorafgaand aan de verwerking
  7. Meer transparantie
    • Er moeten passende maatregelen genomen worden opdat betrokkenen de informatie en communicatie mbt de verwerking van hun persoonsgegevens in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal ontvangen
      • Op z’n minst
        • De identiteit en contactgegevens van de verwerkingsverantwoordelijke
        • De contactgegevens van de DPO
        • De verwerkingsdoeleinden waarvoor de persoonsgegevens zijn bestemd en de rechtsgrond voor de verwerking
  8. Register aanleggen van verwerkingsactiviteiten. Dit register omvat volgende gegevens
    • De identiteit en contactgegevens van de verwerkingsverantwoordelijke
    • De contactgegevens van de DPO
    • De verwerkingsdoeleinden
    • Een beschrijving van de categorieën van betrokkenen en van de categorieën van de persoonsgegevens
    • De naam en contactgegevens van de verwerkers
      • Op elk moment moet er een courante inventaris van verwerkingen zijn
      • Dit register is niet noodzakelijk bij bedrijven < 250 personen tenzij het risico op schending reëel is of de verwerking regelmatig is, of de verwerking bijzondere categorieën van gegevens betreft.
  9. Meldplicht inbreuk
    • Aan de Privacy Commissie
      • Binnen de 72 uur na inbreuk
        • Indien geen risico, geen melding
    • Aan de verwerkingsverantwoordelijke
      • Alle inbreuken moeten gedocumenteerd zijn (feiten, gevolgen en de genomen corrigerende maatregelen)
    • Aan de betrokkene
      • Indien hoog risico
        • Tenzij één van volgende voorwaarden vervuld is
          • De verwerkingsverantwoordelijke passende technische en organisatorische beschermingsmaatregelen genomen heeft en deze maatregelen toegepast zijn op de persoonsgegevens waarop de inbreuk betrekking heeft en welke de persoonsgegevens onbegrijpelijk maken voor onbevoegden zoals versleuteling
          • De verwerkingsverantwoordelijke achteraf maatregelen getroffen heeft om ervoor te zorgen dat het hoge risico waarschijnlijk niet meer zal voordoen.
          • De mededeling onevenredige inspanningen vergen

Rechten voor burgers

De burgers hebben volgende rechten:

  1. Recht op inzage
    • Van de persoonsgegevens
    • De verwerkingsdoeleinden
    • De betrokken categorieën van persoonsgegevens
  2. Recht op rectificatie
  3. Recht om vergeten te worden
    • De betrokkene heeft het recht om zijn persoonsgegevens te laten verwijderen indien
      • De persoonsgegevens niet langer nodig zijn voor de doeleinden
      • De betrokkene zijn toestemming intrekt en er is geen andere rechtsgrond
      • De persoonsgegevens onrechtmatig verwerkt zijn
  4. Recht op beperking van de verwerking
  5. Recht op overdraagbaarheid van gegevens
  6. Recht van bezwaar
  7. Recht om een klacht in te dienen

Wettelijke grondslag

De bepaling van de wettelijk basis is zeer belangrijk omdat dit deels bepaalt welke rechten de gebruiker of betrokkene heeft en er mogen alleen maar persoonsgegevens verzameld worden als daarvoor een doel bepaald is. Tevens moet er ook bepaald worden op welke termijn de gegevens in bewaring zullen blijven.

Deze wettelijke basis moet opgenomen worden in de privacyverklaring en moet verduidelijkt worden bij ieder verzoek tot toegang van de persoonsgegevens.

Het doel moet:

  1. Welbepaald zijn
    • we mogen geen gegevens verzamelen zonder dat we het doel ervan duidelijk bepaald hebben. De gegevens mogen wel verzameld worden om meerdere doelen te bereiken.
  2. Duidelijk omschreven zijn
    • het doel moet beschreven zijn VOORDAT begonnen wordt met het verzamelen. Het doel mag tijdens het verwerkingsproces niet aangepast of uitgebreid worden.
  3. Gerechtvaardigd zijn
    • bij het inrichten van de gegevensverwerking moet steeds nagegaan worden of het verwerken van deze gegevens noodzakelijk is voor het doel. Dat houdt in dat we moeten afvragen of we met minder gegevens hetzelfde doel kunnen bereiken.

Er zijn zes grondslagen. De gegevensbewerking moet steeds kunnen gebaseerd worden op één van deze zes grondslagen. Is dit niet het geval dan is het verwerken van persoonsgegevens niet toegestaan.

  1. ondubbelzinnige toestemming. Dit houdt in dat
    1. De betrokkene zijn wil in vrijheid heeft geuit
    2. De toestemming van de betrokkene gericht moet zijn op bepaalde gegevensverwerking
    3. De toestemming moet ondubbelzinnig zijn
      • De bewijslast voor het verkrijgen van ondubbelzinnige toestemming ligt volledig bij “ons”: wij moeten kunnen bewijzen dat we toestemming gekregen hebben, waarvoor we de toestemming hebben en dat dit uit vrije wil is. Een betrokkene kan altijd zijn toestemming intrekken waardoor dit minder stabiel is.
  2. noodzakelijk voor de uitvoering van een overeenkomst.
    • Als we met iemand een overeenkomst hebt gesloten, mogen we de persoonsgegevens van diegene verwerken voor zover dat noodzakelijk is om de overeenkomst uit te kunnen voeren. Ook als u geen partij bent bij de overeenkomst maar het voor de uitvoering van een overeenkomst tussen twee andere partijen wel noodzakelijk is dat we persoonsgegevens verwerken, is die verwerking toegestaan. De betrokkene zelf moet wel partij zijn bij de overeenkomst.Voorbeeld: Zo mag de uitgever van een krant de persoonsgegevens van abonnees verwerken omdat dat noodzakelijk is om de krant te kunnen bezorgen en mag de bank van de uitgever van de krant de persoonsgegevens van een abonnee verwerken voor het afwikkelen van de betaling.
  3. de verwerking is noodzakelijk ter uitvoering van een wettelijke plicht van de verantwoordelijke
    • Het moet redelijkerwijs niet goed mogelijk zijn de wettelijke plicht uit te voeren zonder het verwerken van persoonsgegevens. Er moet een evident verband bestaan tussen het verwerken van persoonsgegevens en de wettelijke plicht. De plicht hoeft niet te gelden op grond van een “echte” wet maar kan ook gelden op grond van bijvoorbeeld een gemeentelijke verordening. Deze grondslag kan alleen van toepassing zijn als we als verantwoordelijke zelf onderworpen zijn aan deze plicht, wat dus niet het geval is aangezien we steeds de verwerker zijn en niet de verantwoordelijke.
  4. het verwerken van persoonsgegevens is noodzakelijk ter vrijwaring van een vitaal belang van de betrokkene
    • Als het voor een vitaal belang van de betrokkene noodzakelijk is zijn of haar persoonsgegevens te verwerken, is die verwerking op de vierde grondslag toegestaan. U moet hierbij met name denken aan een dringende medische noodzaak. Het verdient overigens altijd de voorkeur om toestemming van de betrokkene te vragen. Alleen als dat niet meer mogelijk is, bijvoorbeeld omdat de betrokkene buiten bewustzijn is, mag u op deze vierde grondslag persoonsgegevens verwerken.
  5. het verwerken van gegevens is noodzakelijk voor de goede vervulling van een publiekrechtelijke taak
    • U mag persoonsgegevens verwerken op basis van de vijfde grondslag als het verwerken van gegevens noodzakelijk is voor de goede vervulling van een publiekrechtelijke taak door uzelf als bestuursorgaan of door een bestuursorgaan waaraan de gegevens worden verstrekt. U kunt op deze grondslag dus persoonsgegevens verwerken als u zelf bestuursorgaan bent en de verwerking noodzakelijk is voor de goede vervulling van uw eigen publiekrechtelijke taak. Maar ook als niet-bestuursorgaan kunt u persoonsgegevens op deze grondslag verwerken, mits dat noodzakelijk is voor de goede vervulling van een publiekrechtelijke taak door het bestuursorgaan waaraan u de gegevens verstrekt.Met een publiekrechtelijke taak wordt bedoeld een taak die bij of krachtens de wet is opgedragen. Het gaat dus om taken die specifiek bij een bestuursorgaan zijn neergelegd. De betrokkene kan tegen een verwerking op basis van deze grondslag verzet aantekenen in verband met zijn bijzondere persoonlijke omstandigheden.
  6. het verwerken van persoonsgegevens is noodzakelijk voor de behartiging van een gerechtvaardigd belang
    • U mag op basis van de zesde grondslag persoonsgegevens verwerken als dat noodzakelijk is voor een gerechtvaardigd belang van u (de verantwoordelijke) of een derde, tenzij de belangen of de fundamentele rechten van de betrokkene prevaleren.U moet een gerechtvaardigd belang hebben.

      Als u uw activiteiten niet goed kunt uitoefenen zonder het verwerken van persoonsgegevens, dan hebt u een gerechtvaardigd belang. U hebt geen gerechtvaardigd belang als u alvast vooruitlopend op een nog onbekend belang in de toekomst gegevens gaat verwerken, omdat die gegevens misschien ooit van pas zullen komen.

      Een gerechtvaardigd belang om persoonsgegevens te verwerken, is bijvoorbeeld een goede bedrijfsvoering. Het gaat daarbij niet alleen om externe activiteiten, maar ook om uw interne organisatie. Het gerechtvaardigd belang is ook niet beperkt tot uw kernactiviteiten, zoals bijvoorbeeld het verkopen van producten. Het kan ook betrekking hebben op activiteiten die daarmee nauw verweven zijn, zoals het sturen van reclame over nieuwe producten. Ook dan hebt u een gerechtvaardigd belang.

      U moet het verwerken van persoonsgegevens wel kunnen rechtvaardigen ten aanzien van een individuele persoon. U mag dus niet al uw werknemers afluisteren om te achterhalen of bedrijfsgeheimen aan derden worden verstrekt wanneer slechts bepaalde werknemers een risico vormen.

      De gegevensverwerking moet verder noodzakelijk zijn voor uw gerechtvaardigd belang

      Dat betekent dat u zich moet afvragen of u (i) met minder gegevens of (ii) via een minder ingrijpende weg hetzelfde resultaat kunt bereiken. Zo moet u in het hiervoor genoemde voorbeeld nagaan of u kunt volstaan met het steekproefsgewijs afluisteren van de desbetreffende werknemers.

      De belangen of de fundamentele rechten van de betrokkene mogen in het concrete geval niet prevaleren. Bij iedere verwerking zult u uitdrukkelijk een afweging moeten maken tussen uw gerechtvaardigde belang en het belang van de betrokkene om gevrijwaard te blijven van inbreuken op (onder meer) zijn privacy. In die afweging spelen de gevoeligheid van de door u verwerkte gegevens en de maatregelen die u hebt genomen ter bescherming van de privacy van de betrokkene een rol. Hoe minder gevoelig de gegevens voor de betrokkene zijn en hoe meer beveiligingsmaatregelen u bijvoorbeeld neemt, hoe eerder het verwerken van persoonsgegevens is toegestaan.

      Wanneer een onderneming bijvoorbeeld haar klantenbestand gebruikt om die klanten informatie toe te sturen over een nieuw product, kan die verwerking worden gebaseerd op deze grondslag. Het “vermarkten” van nieuwe producten is een gerechtvaardigd belang van de onderneming dat in de regel opweegt tegen de geringe inbreuk op de persoonlijke levenssfeer van de klanten.

      Tegen een verwerking op basis van deze zesde grondslag kan de betrokkene verzet aantekenen in verband met zijn bijzondere persoonlijke omstandigheden.

De betrokkene heeft het recht van verzet als het verwerken van zijn persoonsgegevens plaatsvindt op de grondslag dat de verwerking:

  1. noodzakelijk is voor de goede vervulling van een door u of door een ander bestuursorgaan verrichte publiekrechtelijke taak; of
  2. noodzakelijk is voor een gerechtvaardigd belang van u (de verantwoordelijke) of een derde.

De betrokkene kan tegen een verwerking op basis van deze grondslagen verzet aantekenen in verband met zijn bijzondere persoonlijke omstandigheden. U moet als verantwoordelijke (of bestuursorgaan) binnen vier weken na ontvangst van het verzet beoordelen of het verzet terecht is. Is dat het geval, dan moet u de verwerking onmiddellijk beëindigen. De betrokkene heeft ook een recht van verzet als het verwerken van zijn persoonsgegevens geschiedt voor direct marketingdoeleinden. In dit geval moet de desbetreffende verwerking altijd onmiddellijk beëindigd worden.

Data protection officer of DPO

De functionaris voor de gegevensbescherming is een interne toezichthouder. Alleen een natuurlijk persoon kan functionaris zijn. Alleen een persoon die over voldoende kennis beschikt en voldoende betrouwbaar is, kan in aanmerking komen. Het gaat hier om kennis van de privacyregelgeving van uw organisatie of branche, en van de gegevensverwerkingen binnen die organisatie of branche.

Hebt u een functionaris benoemd, dan kunt u hem wat betreft zijn taken als functionaris voor de gegevensbescherming geen aanwijzingen meer geven: hij moet zijn taken onafhankelijk en naar behoren kunnen uitoefenen. U moet hem daartoe in staat stellen door hem de benodigde bevoegdheden te geven. Die (interne) bevoegdheden moeten gelijkwaardig zijn aan de bevoegdheden waarover de toezichthouders van onder andere het College bescherming persoonsgegevens beschikken. Het gaat dan bijvoorbeeld om de bevoegdheid:

  1. ruimtes te betreden;
  2. inlichtingen te vragen; en
  3. inzage te vorderen in gegevens en stukken.

De functionaris mag van de uitoefening van zijn taak geen nadeel ondervinden. U mag het “gewone” werk van de functionaris bijvoorbeeld niet slechter beoordelen dan het is, om zo invloed uit te oefenen op zijn functioneren als functionaris voor de gegevensbescherming. Naar het zich laat aanzien, krijgt de functionaris voor de gegevensbescherming ontslagbescherming die vergelijkbaar is met die van bijvoorbeeld een ondernemingsraadslid. U moet ten slotte het benoemen van een functionaris voor de gegevensbescherming aanmelden bij het College bescherming persoonsgegevens. Het College houdt een lijst bij van aangemelde functionarissen. Betrokkenen kunnen aan de hand daarvan nagaan of op een bepaalde gegevensverwerking toezicht wordt gehouden door een functionaris.

De functionaris heeft een aantal taken en bevoegdheden.

  1. De functionaris moet er op toezien dat u persoonsgegevens verwerkt in overeenstemming met de wettelijke regels.
    • Zijn toezicht beperkt zich uiteraard tot uw verwerking van persoonsgegevens. Is hij aangesteld door een organisatie van verantwoordelijken, dan beperkt het toezicht zich tot de verwerkingen van de aangesloten verantwoordelijken.
  2. Het ligt voor de hand dat betrokkenen zich tot de functionaris zullen wenden met klachten of verzoeken. De functionaris is verplicht tot geheimhouding van alles wat hem in dat verband bekend wordt, tenzij de betrokkene instemt met bekendmaking.
  3. De functionaris moet uw melding in ontvangst nemen en een register bijhouden van de gegevensverwerkingen die bij hem zijn gemeld. Is een gegevensverwerking van melding vrijgesteld, dan hoeft u die verwerking uiteraard ook niet bij de functionaris te melden.
  4. De functionaris moet ten slotte ieder jaar een verslag opstellen van zijn werkzaamheden en bevindingen.
    • In dat verslag, maar ook daarbuiten, kan hij aanbevelingen doen om te komen tot een betere bescherming van de gegevens die worden verwerkt.
  5. Uiteraard kan de functionaris desgewenst overleggen met het College bescherming persoonsgegevens.
  6. Bijhouden logboek data- of gegevenslekken

Binnen CIRCULI is Jan Huybrecht hiervoor verantwoordelijk. U kunt hem bereiken via mobiel nummer: +32 473 78 13 32 of mail: jan.huybrecht@circuli.be

BE 0563.828.237