GDPR (of ook Algemene Verordening Gegevensbescherming – AVG genoemd) gaat over het beheer en de beveiliging van persoonlijke gegevens van Europese burgers. Als organisatie moet u vanaf 25 mei 2018 kunnen aantonen welke persoonsgegevens u verzamelt, hoe u deze data gebruikt en hoe u ze beveiligt (of u dit nu in uw datacenter of in de cloud buiten de EU beheert).

GDPR in het kort:

  • Bescherming van persoonlijke data van de Europese burger
  • Maatregelen tegen hackers en datalekken
  • In voege op 25 mei 2018
  • Procedure voor dataverzameling en -opslag van persoonlijke gegevens
  • Toestemming vragen om gegevens te verzamelen en gebruiken
  • Individu heeft het recht om ‘vergeten te worden’
  • Verhoogde security maatregelingen zijn nodig
  • Datalek moet u kunnen melden binnen 72 uur
  • De Nationale Autoriteiten kunnen boetes toepassen
  • In grote organisaties moet een DPO (Data Protection Officer) aangesteld worden

Basisbeginselen van de gegevensbescherming

De basisbeginselen zijn de kern van de gegevensbescherming. Ze bestaan al in het huidig recht maar worden in de AVG aanzienlijk versterkt. Iedere verwerkingsverantwoordelijke moet deze beginselen eerbiedigen.

Rechtmatige, behoorlijke en transparante verwerking

Dit beginsel leert ons dat de gegevens rechtmatig, behoorlijk en transparant moeten worden verwerkt ten aanzien van de betrokkene.

Overweging 30 verduidelijkt het begrip transparantie: het moet voor de individuen perfect duidelijk zijn dat hun gegevens zijn ingezameld, gebruikt, geraadpleegd of anders verwerkt. Het transparantiebeginsel vereist dat alle informatie of communicatie met betrekking tot een gegevensverwerking gemakkelijk toegankelijk is en gemakkelijk te begrijpen is.

Er moet dus gebruik gemaakt worden van een duidelijke en eenvoudige taal. Dit gaat vooral over de informatie over de identiteit van de verwerkingsverantwoordelijke en de doeleinden van de verwerking. Dit gaat eveneens over de bijkomende informatie die kan verstrekt worden zodat een gerechtvaardigde en transparante verwerking verzekerd is. De individuen moeten verwittigd worden van de risico’s, de regels, garanties en rechten die verband houden met de verwerking alsook de manier om hun rechten uit te oefenen.

Dit beginsel is verbonden met artikel 6 van de verordening dat de redenen opsomt waarop een verwerking kan berusten. Dit artikel bepaalt de grondslagen waarop kan worden beoordeeld of een verwerking al dan niet rechtmatig is. U vindt meer informatie over dit artikel 6 onder het punt over de rechtmatigheid van de verwerking.

Juistheid

De gegevens moeten juist zijn en zo nodig worden bijgewerkt. Alle redelijke maatregelen moeten worden genomen om onnauwkeurige of onvolledige gegevens die – uitgaande van de doeleinden waarvoor zij worden verkregen of waarvoor zij verder worden verwerkt – uit te wissen of te verbeteren.

Integriteit en vertrouwelijkheid

De gegevens moeten volgens een afdoend veiligheidsniveau worden verwerkt door gebruik te maken van passende, technische en organisatorische maatregelen.
Dit houdt een bescherming in tegen iedere niet toegelaten of onwettige verwerking, tegen verlies, vernietiging of kwaliteitsverlies van de gegevens.

Overweging 39 verduidelijkt dat de gegevens moeten worden verwerkt op een wijze die instaat voor afdoende veiligheid en vertrouwelijkheid van de gegevens. Dit betekent dat iedere niet toegelaten toegang of gebruik van de gegevens of uitrusting die voor de verwerking wordt aangewend, moet worden voorkomen.

Wat verandert er?
Het feit dat dat moet worden ingestaan voor de veiligheid van de verwerkingen, bestond reeds in de Richtlijn 95/46 maar werd niet vernoemd als basisbeginsel van de gegevensbescherming. We zien een wijziging in het concept gegevensbescherming, dat technischer is geworden.

Welbepaald doeleinde

Dit basisbeginsel bepaalt dat de persoonsgegevens moeten worden verkregen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden en niet verder mogen worden verwerkt op een manier die onverenigbaar is met die doeleinden.

De verdere verwerking van persoonsgegevens voor archiveringsdoeleinden voor openbaar belang, voor historisch of wetenschappelijk onderzoek of voor statistische doeleinden, wordt overeenkomstig artikel 89.1 van de AVG, niet beschouwd als onverenigbaar met de oorspronkelijke doeleinden.
Het doelbindingsprincipe bestaat reeds in het huidige recht.

Wat verandert er?
De AVG machtigt in artikel 6.4 de verwerking van persoonsgegevens voor andere doeleinden dan die waarvoor de persoonsgegevens aanvankelijk zijn verzameld, maar enkel als die verwerking verenigbaar is met de doeleinden waarvoor de persoonsgegevens aanvankelijk zijn verzameld. In dat geval is er geen andere afzonderlijke rechtsgrond vereist dan die op grond waarvan de verzameling van persoonsgegevens werd toegestaan.
Om na te gaan of een doel van verdere verwerking verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld, moet de verwerkingsverantwoordelijke, nadat hij aan alle voorschriften inzake rechtmatigheid van de oorspronkelijke verwerking heeft voldaan, een verenigbaarheidsoefening uitvoeren.

Het is de bedoeling om de verwerkingsverantwoordelijke in staat te stellen om zelf te beoordelen of het hergebruik van persoonsgegevens voor andere doeleinden, al dan niet verenigbaar is.

Daartoe zal rekening moeten worden gehouden met:

  • het eventueel bestaan van een verband tussen de doeleinden waarvoor de gegevens werden verkregen en de doeleinden van de voorgenomen verdere verwerking;
  • de context waarin de persoonsgegevens werden verkregen, in het bijzonder gelet op de relatie tussen de betrokkenen en de verantwoordelijke voor de verwerking;
  • de aard van de persoonsgegevens, vooral als de verwerking slaat op bijzondere categorieën persoonsgegevens, overeenkomstig artikel 9, of als de gegevens betreffende veroordelingen en strafrechtelijke inbreuken worden verwerkt overeenkomstig artikel 10;
  • de mogelijke gevolgen van de voorgenomen, verdere verwerking voor de betrokkenen;
  • het bestaan van passende waarborgen, waaronder eventueel versleuteling of pseudonimisering.

Wanneer echter de betrokkene zijn toestemming heeft gegeven of wanneer de verwerking gebaseerd is op Unierecht of lidstatelijk recht, mag de verwerkingsverantwoordelijke de persoonsgegevens verder verwerken, ongeacht of dat verenigbaar is met de doeleinden.

Minimale gegevensverwerking

Volgens het beginsel van de minimale gegevensverwerking moeten persoonsgegevens toereikend, ter zake dienend en beperkt zijn tot wat noodzakelijk is voor het doeleinde waarvoor de gegevens worden verwerkt.

Het is hier de bedoeling dat de verwerkingsverantwoordelijke uitsluitend die gegevens verwerkt die noodzakelijk zijn voor de vastgestelde doeleinden. Verwerk dus enkel het strikte minimum.

Overweging 39 brengt meer duidelijkheid: dit beginsel vereist met name dat de verwerkingsverantwoordelijke er voor instaat dat de bewaartermijn van de gegevens tot een strikt minimum beperkt wordt. De persoonsgegevens mogen maar worden verwerkt als het doeleinde van de verwerking niet op een andere manier kan worden gerealiseerd.

Dit beginsel had in de Richtlijn 95/46 niet deze naam maar het bestond wel al.

Beperkte bewaartermijn

De gegevens moeten worden bewaard in een vorm die het mogelijk maakt de betrokkenen te identificeren en niet langer worden bewaard dan noodzakelijk is voor de verwezenlijking van de doeleinden waarvoor zij worden verwerkt.

De gegevens kunnen voor een langere periode worden bewaard indien ze uitsluitend worden verwerkt voor archiveringsdoeleinden voor openbaar belang, voor historisch of wetenschappelijk onderzoek of voor statistische doeleinden. Deze verwerking moet in overeenstemming zijn met artikel 89 van de AVG.

U moet dus de bewaartermijn van de gegevens die u verwerkt duidelijk vaststellen en mechanismen invoeren waarmee u kunt verifiëren of de persoonsgegevens wel degelijk ontoegankelijk geworden zijn nadat de vastgestelde bewaartermijn is afgelopen.


Bereid je voor in 13 stappen

Bewustmaking

Zorg dat de sleutelfiguren en beleidsmakers in jouw bedrijf of organisatie op de hoogte zijn van de nieuwe regelgeving. Zij moeten de gevolgen hiervan inschatten en aanwijzen welke domeinen vandaag mogelijks problematisch kunnen zijn in het licht van de AVG. Indien jouw bedrijf of organisatie over een risicoregister beschikt, kan dit een werkbaar vertrekpunt zijn. Het implementeren van de AVG kan een behoorlijke invloed hebben op de beschikbare middelen, zeker voor wat betreft grote en meer complexe bedrijven of organisatiestructuren. Gebruik de tweejarige overgangsperiode dus allereerst om medewerkers te informeren over de aankomende veranderingen. Stel dit niet uit tot de laatste minuut.

Dataregister

Breng zorgvuldig in kaart welke persoonsgegevens je bijhoudt, waar deze vandaan komen en met wie je deze hebt gedeeld. Je doet er goed aan al je verwerkingen te registreren. Mogelijks dien je hiervoor een informatie-audit te organiseren. Dit kan dan van het volledige bedrijf of enkel van welbepaalde afdelingen. De AVG introduceert enkele vernieuwde rechten, specifiek op maat van de netwerkwereld. Wanneer jouw bedrijf bijv. onnauwkeurige persoonsgegevens bijhoudt, en heeft gedeeld met andere organisaties, zal je deze laatste moeten inlichten over de onnauwkeurigheid zodat deze een correctie kan aanbrengen in haar eigen register. Deze documentatieplicht helpt je bovendien de verantwoordelijkheidsvereiste uit de AVG na te leven. Volgens dit principe dient een bedrijf of organisatie te bewijzen dat ze in overeenstemming met de databeschermingsprincipes handelt.

Communicatie

Evalueer je bestaande privacyverklaring en plan noodzakelijke wijzigingen hieraan in het licht van de AVG. Wanneer jouw bedrijf of organisatie nu reeds persoonsgegevens verwerkt, dien je aan de betrokkene bepaalde informatie te verschaffen, zoals de identiteit van de verwerker en de wijze waarop die de gegevens zal aanwenden. Doorgaans wordt deze informatie verstrekt in de vorm van een privacyverklaring. De AVG vereist dat deze privacyverklaring wordt aangevuld met nieuwe informatietypes. Zo zal je voortaan de wettelijke grondslag voor de gegevensverwerking moeten meedelen, de termijnen gedurende dewelke je de informatie zal bijhouden, of je de gegevens uitwisselt buiten de Europese Unie en de mogelijkheid voor de betrokkene om een klacht in te dienen bij de Privacycommissie indien deze meent dat zijn persoonsgegevens foutief worden verwerkt. De AVG vereist dat deze informatie wordt verschaft in beknopte, begrijpbare en duidelijke taal.

Rechten van de betrokkene

Je dient na te gaan of de huidige procedures in je bedrijf of organisatie alle rechten voorzien waarop de betrokkene zich kan beroepen, inclusief hoe persoonsgegevens kunnen worden verwijderd of hoe gegevens elektronisch zullen worden meegedeeld. De AVG voorziet o.a. in de volgende rechten voor de betrokkene:

  • Informatie en toegang tot persoonsgegevens
  • Correctie en uitwissing van de gegevens
  • Bezwaar tegen direct marketingpraktijken
  • Bezwaar tegen geautomatiseerde besluitvorming en profilering
  • Overdraagbaarheid van de gegevens

Meer algemeen, geniet de betrokkene onder de AVG dezelfde rechten als onder de huidige Belgische Privacywet, mits enkele aanzienlijke verbeteringen. Indien jouw bedrijf of organisatie nu reeds voldoende is uitgerust om in deze individuele rechten te voorzien, dan zal de overgang naar de AVG relatief vlot verlopen. Het is nu een goed moment om jouw bestaande procedures te evalueren en na te gaan hoe je voortaan te werk zal gaan wanneer iemand zijn of haar recht wil uitoefenen. Wie neemt de beslissing? Zijn je systemen hiertoe uitgerust?

Het recht op overdraagbaarheid van de gegevens is een nieuwigheid. Dit is een verbeterde vorm van toegang waarbij de betrokkene het recht heeft de persoonsgegevens die op hem van toepassing zijn in een gestructureerde, gangbare en elektronische vorm te verkrijgen. De meeste bedrijven en organisaties doen dit al, maar indien je nog steeds gebruik maakt van papieren print-outs of een ongebruikelijke elektronische vorm, dan is het nu een goed moment om dit te herzien.

Verzoek tot toegang

Voorzie een update van je bestaande toegangsprocedures en bedenk hoe je verzoeken tot toegang voortaan zal behandelen onder de nieuwe termijnen in de AVG.

De AVG voorziet nieuwe regels over hoe met toegangsverzoeken om te gaan. In de meeste gevallen zal gratis en binnen de 30 dagen (i.t.t. de huidige termijn van 45 dagen) gevolg moeten worden gegeven aan het verzoek tot toegang. Manifest ongegronde of overmatige verzoeken kunnen worden aangerekend of worden geweigerd. Indien jouw bedrijf of organisatie in staat wil zijn om toegangsverzoeken te weigeren, dien je het beleid en de procedures dusdanig aan te passen. Je dient de betrokkene die om toegang verzoekt bepaalde bijkomstige informatie te verschaffen, zoals de termijnen gedurende dewelke je informatie bijhoudt en het recht om onnauwkeurige gegevens te laten verbeteren. Indien jouw bedrijf of organisatie een groot aantal toegangsverzoeken behandelt zullen de wijzigingen die de AVG voorziet een aanzienlijke impact teweeg brengen. Het moet logistiek mogelijk zijn om alle verzoeken binnen de voorziene tijdspanne te verwerken en de betrokkene van de noodzakelijke informatie te voorzien. Hierover moet zorgvuldig worden nagedacht.

Op termijn kan het kostenbesparend zijn een systeem te ontwikkelen dat de betrokkene in staat stelt de gegevens zelf online te raadplegen. Bedrijven en organisaties worden aangespoord een kosten/baten analyse uit te voeren van een dergelijk online toegangssysteem.

Algemene verordening gegevensbescherming kinderen

Start vandaag met de ontwikkeling van systemen die de leeftijd van de betrokkene nagaan en die de ouder(s) of voogd(en) om toestemming vragen voor de gegevensverwerking van minderjarige kinderen. Voor het eerst zal de AVG speciale bescherming bieden aan de persoonsgegevens van kinderen, in het bijzonder in de context van commerciële internetdiensten zoals sociale netwerken. Kortweg, indien jouw bedrijf of organisatie gegevens van kinderen – onder de 16 jaar – verzamelt, zal een ouder of voogd toestemming moeten geven opdat de gegevensverwerking rechtmatig zou zijn. Dit kan aanzienlijke gevolgen teweeg brengen indien jouw bedrijf of organisatie gericht is op het aanbieden van diensten aan kinderen en als dusdanig hun persoonsgegevens verzamelt. Onthoud dat de toestemming controleerbaar moet zijn en dat desgevallend de privacyverklaring moet geschreven zijn in voor kinderen begrijpbare taal.

Datalekken

Voorzie adequate procedures om persoonlijke datalekken op te sporen, te rapporteren en te onderzoeken. Beoordeel hiervoor de verscheidene types van persoonsgegevens die je bijhoudt en documenteer welke binnen de meldingsplicht zouden vallen, ingeval zich een datalek zou voordoen. In sommige gevallen moet je de betrokkene die het voorwerp uitmaakt van het datalek rechtstreeks verwittigen, bv. wanneer het lek aanleiding kan geven tot persoonlijke financiële verliezen. Grotere bedrijven of organisaties zullen een beleid en procedures moeten ontwikkelen om datalekken te beheren – hetzij op centraal, hetzij op lokaal niveau. Niet alle datalekken zullen moeten worden gemeld aan de Privacycommissie – enkel deze waarbij het waarschijnlijk is dat de betrokkene enige vorm van schade zal leiden, bv. als gevolg van een identiteitsdiefstal of het schenden van een geheimhoudingsplicht. Noteer dat de niet naleving van de meldplicht kan resulteren in een geldboete, bovenop de boete voor het datalek zelf.

Gegevensbescherming door ontwerp en gegevensbeschermingseffectbeoordeling

Maak je nu reeds vertrouwd met de begrippen “gegevensbescherming door ontwerp” en “gegevensbeschermingseffectbeoordeling”, beter gekend als Privacy by design en Privacy impact assessment (PIA). Ga na hoe je deze concepten in de werking van jouw bedrijf of organisatie kan implementeren. Deze kunnen worden gelinkt aan andere organisatorische processen zoals risicobeheer en projectbeheer. Beoordeel nu reeds die situaties waarin het nodig zal zijn dergelijke analyses uit te voeren. Wie zal dit doen? Wie moet hierbij worden betrokken? Gebeurt de analyse centraal of lokaal? Het behoort tot de “good practices” van een bedrijf of organisatie om gegevensbescherming van bij de start in te bouwen en als onderdeel hiervan een effectbeoordeling uit te voeren. Dit was voordien slechts een impliciete vereiste van de databeschermingsprincipes. De AVG maakt hiervan een duidelijke wettelijke vereiste. Noteer dat je niet steeds een effectbeoordeling moet uitvoeren. Deze is enkel vereist in hoge risicosituaties, bijv. wanneer een nieuwe technologie wordt geïmplementeerd of wanneer een profileringsoperatie een aanzienlijk effect kan teweegbrengen voor de betrokkenen. Wanneer de PIA aangeeft dat de gegevensverwerking een “hoog risico” inhoudt, is het noodzakelijk het advies in te winnen van de Privacycommissie omtrent de wetmatigheid van de verwerking in het licht van de AVG.

Wettelijke grondslag voor het verwerken van persoonsgegevens

Documenteer de verscheidene types van gegevensverwerkingen die je uitvoert en identificeer de wettelijke grondslag voor elk van hen. Veel bedrijven en organisaties hebben destijds wellicht geen wettelijke grondslag bepaald voor de gegevensverwerkingen die ze uitvoeren. Onder de huidige wetgeving heeft dit weinig of geen praktische gevolgen. Dit verandert evenwel onder de AVG omdat de rechten van de betrokkene kunnen variëren naargelang de wettelijke basis van de gegevensverwerking. Het meest voor de hand liggende voorbeeld is dat de betrokkene een sterker recht heeft om de verwijdering van zijn gegevens te vragen indien zijn toestemming aan de grondslag lag voor de verwerking. Het is belangrijk om de gekozen wettelijke grondslag voor de gegevensverwerking te verduidelijken in de privacyverklaring en telkens wanneer je een toegangsverzoek beantwoordt. De wettelijke grondslagen in de AVG zijn quasi identiek aan deze in de huidige Privacywet. Kijk dus na welke gegevensverwerkingen je uitvoert, bepaal de wettelijke basis en documenteer dit zorgvuldig in het licht van de verantwoordelijkheidsvereiste.

Toestemming

Evalueer de wijze waarop je toestemming vraagt, verkrijgt en registreert, en wijzig waar nodig. De AVG vermeldt “toestemming” en “expliciete toestemming”. Het onderscheid is niet echt duidelijk, aangezien de toestemming in beide gevallen vrij, specifiek, geïnformeerd en ondubbelzinnig moet zijn. De toestemming moet ook blijken uit een actieve indicatie van akkoord. M.a.w. de toestemming kan niet worden afgeleid uit een stilzwijgen, een vooraf aangevinkt vakje of uit een niet-handelen. Indien je rekent op de toestemming van de betrokkene om diens gegevens te verwerken, zorg dan zeker dat die toestemming voldoet aan de vereisten van de AVG. Indien dit nu nog niet het geval is, wijzig dan je toestemmingsmechanisme of ga op zoek naar een alternatief voor toestemming als grondslag voor de gegevensverwerking. Noteer dat de toestemming controleerbaar moet zijn en dat de betrokkene doorgaans meer rechten heeft wanneer je vertrouwd op toestemming als grondslag voor de gegevensverwerking. De AVG verduidelijkt dat de verwerkingsverantwoordelijke in staat moet zijn om aan te tonen dat toestemming werd gegeven. Evalueer dus de huidige systemen die toestemming registreren, teneinde een audit trail (controlespoor) te verzekeren

Functionaris voor gegevensbescherming

Duid, indien nodig, een functionaris voor gegevensbescherming aan, of iemand die de verantwoordelijkheid draagt voor het naleven van de databeschermingsregels. Beoordeel welke plaats deze inneemt binnen de structuur en het beleid van jouw bedrijf of organisatie. De AVG vereist voor sommige bedrijven en organisaties dat zij een functionaris voor gegevensbescherming aanwijzen, bijvoorbeeld voor openbare overheden of verwerkers wiens taak bestaat uit het regelmatig en stelselmatig observeren van betrokkenen op grote schaal. Het is van belang dat, hetzij iemand in de organisatie, het zij een externe adviseur, verantwoordelijkheid neemt voor het naleven van de databeschermingsprincipes en dat iemand de kennis, medewerking en bevoegdheid heeft om dit te doen. Daarom moet je nu reeds beoordelen of op jouw bedrijf of organisatie de plicht rust een dergelijke functionaris aan te stellen. Zo ja, evalueer of de huidige aanpak in lijn is met de vereisten van de AVG.

Internationaal

Indien jouw bedrijf of organisatie internationaal actief is, dien je te bepalen onder welke toezichthoudende autoriteit je valt. De AVG voorziet een enigszins complexe regeling om te bepalen welke toezichthoudende autoriteit de leiding neemt bij het onderzoek naar een klacht met een internationaal karakter, bijv. wanneer een gegevensverwerking betrekking heeft op inwoners van meerdere lidstaten. De leidende autoriteit wordt bepaald naargelang waar het bedrijf of de organisatie haar hoofdvestiging heeft of de vestiging waar de beslissingen omtrent de gegevensverwerkingen worden genomen. Voor een traditionele hoofdzetel is dit vrij eenvoudig vast te stellen. Moeilijker wordt het voor complexe, multi-site bedrijven of organisaties waarbij beslissingen omtrent diverse verwerkingsactiviteiten op verschillende plaatsen worden genomen. Om duidelijkheid te krijgen over welke toezichthoudende autoriteit de leiding heeft over jouw bedrijf of organisatie kan het raadzaam zijn in kaart te brengen waar jouw organisatie haar meest belangrijke beslissingen omtrent gegevensverwerkingen neemt. Dit zal je helpen bij het bepalen van jouw “hoofdvestiging” en dus ook van de bevoegde toezichthoudende autoriteit.

Bestaande contracten

Beoordeel je bestaande contracten, hoofdzakelijk met verwerkers en onderaannemers, en breng tijdig de noodzakelijke veranderingen aan. De AVG creëert een intelligent systeem die de verhouding tussen de verwerkingsverantwoordelijke en de verwerkers behelst. Het bepaalt zelfs de voorwaarden die van toepassing zijn op onderaanneming activiteiten. Opdat je deze voorwaarden zou aantreffen, moet je bestaande contracten beoordelen en de nodige wijzigingen aanbrengen. De AVG benadrukt het belang van op databanken toepasselijke veiligheidsmaatregelen. Ook in het geval van outsourcing is het belangrijk te beoordelen of de veiligheidsmaatregelen die werden voorzien in de bestaande contracten nog steeds toereikend zijn en voldoen aan de vereisten van de AVG.


Tot slot

Zo! Dat was een hele kluif!

Ik kan me voorstellen dat dit artikel meer vragen dan antwoorden heeft opgeleverd. De regels zijn voor elk bedrijf hetzelfde maar elk bedrijf heeft zo zijn eigen uitzonderingen. Heb je hulp nodig met het stappenplan? Hulp nodig met je cookie policy op je website? Heb je gewoon nog enkele vragen of opmerkingen? Bel ons dan op 043 3 270 270 of stuur ons even een berichtje.

NEEM CONTACT OP