Op 31 januari 2020 verscheen aanbeveling 02/2020 van de Gegevensbeschermingsautoriteit (GBA) omtrent de draagwijdte van de verplichting voor de federale publieke sector om protocollen af te sluiten wanneer persoonsgegevens worden medegedeeld. In een vorige blog vertellen we je alles over deze aanbeveling.

In deze blog focussen we op de voorwaarden waaraan moet voldaan zijn opdat een protocol verplicht zou zijn. Wat is precies een federale overheid? En wat als de modaliteiten van een bepaalde gegevensuitwisseling al in de wet werden uitgeschreven? Hoeft dat dan nog, zo’n protocol?

1.  Vijf cumulatieve voorwaarden

Er zijn vijf cumulatieve voorwaarden waaraan moet worden voldaan opdat het afsluiten van een protocol verplicht is:

  1. Het moet gaan om een federale overheid die persoonsgegevens meedeelt in de hoedanigheid van verwerkingsverantwoordelijke;
  2. De mededeling gebeurt ofwel om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust (art. 6, 1. c) AVG) of is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen (art. 6, 1. e) AVG);
  3. De modaliteiten van de mededeling zijn niet voorzien in een wet- of regelgevende norm;
  4. De mededeling gebeurt systematisch of, indien dit niet het geval is, wordt gedaan aan personen of instellingen die niet gerechtigd zijn deze te verkrijgen krachtens een wettelijke opdracht;
  5. De ontvanger van de mededeling bevindt zich in België en ontvangt de persoonsgegevens in de hoedanigheid van verwerkingsverantwoordelijke.

2.  Federale overheid

Het moet gaan om een federale overheid die handelt als verwerkingsverantwoordelijke. Het begrip ‘federale overheid’ omvat

  • de federale staat;
  • de rechtspersonen van publiek recht die van de federale staat afhangen (bv. de Nationale Bank);
  • de rechtspersonen die zijn opgericht met het specifieke doel te voorzien in behoeften van algemeen belang die niet van industriële of commerciële aard zijn én waarvan hetzij de activiteiten in hoofdzaak door de federale staat of één of meer rechtspersonen van publiek recht die ervan afhangen, worden gefinancierd, hetzij het beheer onderworpen is aan toezicht door de federale staat of één of meer rechtspersonen van publiek recht die ervan afhangen, hetzij de leden van het bestuursorgaan, leidinggevend orgaan of toezichthoudend orgaan voor meer dan de helft door de federale staat of één of meer rechtspersonen van publiek recht die ervan afhangen zijn aangewezen (bv. Bpost, NMBS of Skeyes);
  • de verenigingen bestaande uit één of meer van de zonet beschreven overheden.

Tussen twee private ondernemingen moet dus in geen enkel geval een protocol worden afgesloten aangezien een protocol slechts verplicht is wanneer de mededeler een federale overheid is. Een mededeling kan echter wel gebeuren aan een private onderneming, dus indien u als private onderneming persoonsgegevens ontvangt van een federale overheid is het mogelijk dat een protocol verplicht is. Hiervoor leest u best nog even verder.

3.  Grond van doorgifte is ofwel wettelijke verplichting ofwel taak in algemeen belang of uitoefening openbaar gezag

Het afsluiten van een protocol is verplicht wanneer de mededeling gebeurt ofwel om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust of noodzakelijk is voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen. Wanneer in zeer uitzonderlijk geval beroep wordt gedaan op een andere rechtsgrond, is het afsluiten van een protocol niet verplicht.

We brengen graag even in herinnering dat een mededeling van persoonsgegevens steeds moet berusten op een rechtsgrond en de zonet beschreven rechtsgronden zijn twee van de zes mogelijkheden. Overheden kunnen zich ook op andere rechtsgronden beroepen, nl. toestemming, uitvoering van een overeenkomst of bescherming van vitale belangen. De rechtsgrond van het gerechtvaardigd belang kan niet worden ingeroepen door een overheid bij de uitoefening van hun opdrachten van openbare dienst.

Daarnaast brengen we ook graag in herinnering dat een overheid enkel persoonsgegevens mag verwerken (en dus meedelen) wanneer deze mededeling noodzakelijk is voor het naleven van een verplichting die door of krachtens een wettelijke bepaling aan die overheid is opgelegd of als deze mededeling noodzakelijk is voor de uitvoering van een taak van algemeen belang die aan de overheid is toegewezen door of krachtens een wet. Een protocol kan nooit de rechtsgrondslag zijn voor de verwerking van persoonsgegevens.

De overgrote meerderheid van de verwerkingen van persoonsgegevens door een overheid, zullen dus berusten op de verwerkingsgrond van de wettelijke verplichting of de uitvoering van een taak in het algemeen belang of het openbaar gezag. Het kan echter niet volledig worden uitgesloten dat zoals reeds gezegd in bepaalde, zeer uitzonderlijke omstandigheden, een mededeling door een federale overheid toch kan berusten op een andere rechtsgrond. Een protocol zal hier echter niet noodzakelijk zijn.

4.  De modaliteiten van de mededeling zijn niet voorzien in een wet- of regelgevende norm

Wanneer een wet of andere regelgevende norm reeds uitdrukkelijk vastlegt aan wie persoonsgegevens worden doorgegeven, welke categorieën van persoonsgegevens worden doorgegeven, wanneer dit zal gebeuren en waarom, dan hoeft voor deze mededeling geen additioneel protocol te worden opgemaakt. Dit omdat de verwerking (en dus de mededeling) al voldoende in een algemene reglementering werd geregeld.

5.  De mededeling gebeurt systematisch of wordt gedaan aan personen of instellingen die niet gerechtigd zijn deze te verkrijgen krachtens een wettelijke opdracht

Een protocol is verplicht wanneer de mededeling systematisch gebeurt of wanneer de mededeling gedaan wordt aan personen/instellingen die niet gerechtigd zijn deze persoonsgegevens te verkrijgen krachtens een wettelijke opdracht. Dit betekent dat indien de mededeling punctueel en niet systematisch is, een protocol niet verplicht is, behalve indien deze gedaan wordt aan personen/instellingen die niet gerechtigd zijn deze persoonsgegevens te verkrijgen krachtens een wettelijke opdracht. Men spreekt van een punctuele mededeling wanneer deze eenmalig is. Elke mededeling die vaker gebeurt dan eenmalig, dient te worden geformaliseerd in een protocol.

Wanneer een mededeling van persoonsgegevens gebeurt aan personen of instellingen die niet gerechtigd zijn deze te verkrijgen krachtens een wettelijke opdracht, is een protocol steeds verplicht, ook al is deze doorgifte eenmalig.

6.  De ontvanger van de mededeling bevindt zich in België en ontvangt de persoonsgegevens in de hoedanigheid van verwerkingsverantwoordelijke

De ontvanger ontvangt de gegevens als verwerkingsverantwoordelijke

Opdat een protocol verplicht is, dient de ontvanger van de persoonsgegevens een verwerkingsverantwoordelijke te zijn. De verwerkingsverantwoordelijke is de partij die de doeleinden en de middelen van de verwerking bepaalt en die verwerkers kan inschakelen die op diens instructie handelen. De verwerkingsverantwoordelijke kan een overheidsinstantie of privé-organisatie zijn, maar dient dus steeds op te treden in de hoedanigheid van verwerkingsverantwoordelijke (en niet als verwerker, want dan is geen protocol vereist).

De verplichting om een overeenkomst af te sluiten wanneer persoonsgegevens worden meegedeeld, blijft echter overeind. Wanneer een federale overheid een verwerker inschakelt, zal hiermee een verwerkersovereenkomst moeten worden afgesloten die voldoet aan de voorwaarden zoals bepaald in de AVG. [1] Ook wanneer twee verwerkingsverantwoordelijken optreden als gezamenlijke verwerkingsverantwoordelijke, dient geen protocol maar een andere overeenkomst (in casu een gezamenlijke verwerkingsovereenkomst) te worden afgesloten.[2]

Bepaalde stromen zijn expliciet uitgesloten van het toepassingsgebied van art. 20 WVG dat de verplichting oplegt om een protocol af te sluiten indien aan de voorwaarden is voldaan. Dit zijn de stromen tussen politiediensten, stromen tussen inlichtingen- en veiligheidsdiensten en stromen naar de sociale zekerheidsinstellingen. Dit omdat mededelingen tussen politiediensten niet worden beschouwd als mededelingen naar een andere ontvanger maar als interne mededelingen, inlichtingen- en veiligheidsdiensten geen “ontvanger” zijn zoals gedefinieerd in de AVG en mededelingen aan sociale zekerheidsinstellingen moeten worden goedgekeurd door het informatieveiligheidscomité. We gaven dit graag even mee, een meer vergaande bespreking echter van deze uitzonderingen zou ons in het kader van deze uiteenzetting te ver leiden. Met vragen kunt u uiteraard steeds bij ons terecht.

De ontvanger bevindt zich in België

Wat de doorgifte naar het buitenland betreft: dergelijke mededeling is niet onderworpen aan de protocolverplichting omdat “het vrije verkeer van persoonsgegevens binnen de Unie niet wordt beperkt of verboden om redenen die verband houden met de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens”.[3] De AVG moet uiteraard wel nog steeds worden nageleefd, dus een ander soort overeenkomst die voldoet aan de vereisten gesteld in de AVG, zal nog steeds noodzakelijk zijn en daarnaast moeten ook de bepalingen van hoofdstuk V van de AVG, die handelen over doorgiften naar landen bij de E.E.R., worden nageleefd.

7.  Conclusie

Indien een federale overheid die optreedt als verwerkingsverantwoordelijke systematisch gegevens wil meedelen aan een andere partij die ook optreedt als verwerkingsverantwoordelijke en zich in België bevindt, is een protocol verplicht.

Voor een eenmalige uitwisseling is een protocol in principe niet verplicht, behalve wanneer de ontvanger een persoon of instelling is die niet gerechtigd is deze te verkrijgen krachtens een wettelijke opdracht.

Er zijn dus vele relaties denkbaar binnen dewelke een protocol verplicht zal zijn indien men persoonsgegevens wil uitwisselen. Op zoek naar meer informatie of hulp bij de opmaak van een protocol? Contacteer ons.

 

 

 

[1] Art. 28 AVG

[2] Aanbeveling 02/2020 van de Gegevensbeschermingsautoriteit betreffende de draagwijdte van de verplichting om een protocol te sluiten om de mededelingen van persoonsgegevens door de federale publieke sector te formaliseren

[3] Art. 1 AVG

Op 31 januari 2020 verscheen aanbeveling 02/2020 van de Gegevensbeschermingsautoriteit (GBA) omtrent de draagwijdte van de verplichting voor de federale publieke sector om protocollen af te sluiten wanneer persoonsgegevens worden medegedeeld. Het begrip ‘mededeling’ dient hier breed te worden geïnterpreteerd en gaat bijvoorbeeld ook over het toegang verlenen tot persoonsgegevens.

Deze verplichting ligt vervat in de Wet Verwerking Persoonsgegevens (WVG) en trad in werking op 1 april 2019.[1] Na de inwerkingtreding rezen echt vele vragen en om die reden tracht de GBA met deze nieuwe aanbeveling duidelijkheid te brengen.

In wat volgt, starten we met (1) een korte duiding van de stap van machtiging naar verplicht protocol en gaan we vervolgens dieper in op (2) de voorwaarden waaronder een overheid een protocol moet afsluiten, (3) de inhoud van zo’n protocol, (4) de procedurele eisen voor het afsluiten van een protocol en (5) de temporele werkingssfeer. We eindigen met een beknopte (6) conclusie.

We geven graag van in het begin al mee dat, opdat de verplichting van het afsluiten van een protocol zou gelden, de mededeler steeds een federale overheid moet zijn, maar dat de ontvanger zowel een overheid als een private organisatie kan zijn. De regelgeving rond de protocollen kan dus in vele relaties van toepassing zijn.

1.  Van machtiging naar protocol

In de periode 2003 tot 2018 diende elke elektronische mededeling van gegevens door een federale overheidsdienst of door een overheidsorgaan dat onder de federale regering valt, te worden goedgekeurd door het sectorale comité dat bevoegd was voor die federale overheid.[2] Deze sectorale comités werden opgericht in het kader van de vroegere Privacy Commissie.

De bedoeling van deze machtigingsprocedure was om te kunnen nagaan of enerzijds de mededeling nodig was voor de opdrachten van die federale overheid en anderzijds of deze mededeling in overeenstemming was met de geldende normen inzake de bescherming van de persoonlijke levenssfeer op het vlak van de verwerking van persoonsgegevens. Deze procedure werd opgeheven bij de Wet tot Oprichting van de GBA (WOG).[3]

De WOG voert bij art. 20 de verplichting in voor federale overheden die persoonsgegevens doorgeven aan derden om deze mededeling te formaliseren aan de hand van een protocol. Dit dient te worden afgesloten tussen de overheid die de gegevens doorgeeft en de verwerkingsverantwoordelijke ontvanger van de persoonsgegevens, tenzij een bijzondere wet anders bepaalt.[4]

Deze procedurele wijziging kadert volledig binnen het beginsel van de verantwoordingsplicht dat wordt ingevoerd door de Algemene Verordening Gegevensbescherming (AVG): de verwerkingsverantwoordelijke dient passende maatregelen te nemen om te waarborgen dat de AVG wordt nageleefd én moet dit kunnen aantonen. Een protocol is zo’n verantwoordingsinstrument. Er is dus geen extern orgaan meer dat zich buigt over de wettelijkheid van de desbetreffende mededeling van persoonsgegevens.

2.  De voorwaarden voor het afsluiten van een protocol

Er zijn vijf cumulatieve voorwaarden waaraan moet worden voldaan opdat het afsluiten van een protocol verplicht is:

  1. Het moet gaan om een federale overheid die persoonsgegevens meedeelt in de hoedanigheid van verwerkingsverantwoordelijke;
  2. De mededeling gebeurt ofwel om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust (art. 6, 1. c) AVG) of is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen (art. 6, 1. e) AVG);
  3. De modaliteiten van de mededeling zijn niet voorzien in een wet- of regelgevende norm;
  4. De mededeling gebeurt systematisch of, indien dit niet het geval is, wordt gedaan aan personen of instellingen die niet gerechtigd zijn deze te verkrijgen krachtens een wettelijke opdracht;
  5. De ontvanger van de mededeling bevindt zich in België en ontvangt de persoonsgegevens in de hoedanigheid van verwerkingsverantwoordelijke.

Is het niet helemaal duidelijk wat deze voorwaarden exact inhouden? Wat instanties vallen bijvoorbeeld onder de term ‘federale overheid’? We verduidelijken de voorwaarden voor het afsluiten van een protocol in deze blog.

3.  De inhoud van het protocol

De WVG geeft een facultatieve en niet-limitatieve oplijsting van zaken die kunnen worden opgenomen in een protocol.[5] Zowel de Raad van State als de vroegere Privacycommissie (nu GBA), bekritiseerden het facultatieve karakter van de inhoud. De Gegevensbeschermingsautoriteit beveelt daarom volgende elementen aan:

  • De identificatie van de overheid die de persoonsgegevens doorgeeft en van de verwerkingsverantwoordelijke ontvanger alsook de contactgegevens van hun DPO’s;
  • De doeleinden waarvoor de gegevens oorspronkelijk werden verzameld, de doeleinden waarvoor de gegevens worden doorgegeven en de analyse van de verenigbaarheid van deze doelen (indien de doorgifte van gegevens een verdere verwerking uitmaakt);
  • Het soort van doorgegeven persoonsgegevens;
  • De rechtsgrond voor de mededeling van persoonsgegevens en de rechtsgrond voor de ontvangst ervan;
  • De regels inzake de gebruikte communicatie en een functionele definitie van de genomen beveiligingsmaatregelen om de doorgifte te beveiligen;
  • In voorkomend geval, alle specifieke maatregelen die door verwerkingsverantwoordelijken worden genomen om de mededeling te regelen overeenkomstig het evenredigheidsbeginsel en de vereisten inzake gegevensbescherming door ontwerp en door standaardinstellingen
  • De periodiciteit van de mededeling;
  • De duur van het protocol;
  • De sancties die zullen worden toegepast in geval van niet-naleving van het protocol.

Tot op heden werd er door de federale overheid nog geen model protocol ter beschikking gesteld.

4.  Procedure

De WVG legt twee procedurele verplichtingen vast, nl. (1) de DPO’s moeten worden betrokken bij het opstellen van het protocol door middel van een adviesvraag en deze adviezen worden ook toegevoegd aan het protocol en (2) de protocollen moeten openbaar gemaakt worden op de websites van de verschillende verwerkingsverantwoordelijken om een brede zichtbaarheid te garanderen.

5.  Temporele werkingssfeer

Het artikel dat de protocolverplichting omvat, trad in werking op 1 april 2019. Alle nieuwe mededelingen van persoonsgegevens sinds 1 april 2020 zijn zonder twijfel onderworpen aan de protocolverplichting.

Alle bestaande mededelingen werden in principe gemachtigd door een sectoraal comité dat werd opgericht bij de vroegere Privacycommissie en deze machtigingen behouden hun rechtsgeldigheid.[6] Indien een machtiging had moeten worden aangevraagd, maar dit niet is gebeurd, moeten dergelijke mededelingen alsnog het voorwerp uitmaken van een protocol en dient dit aldus te worden afgesloten.

6.  Conclusie

Indien een federale overheid die optreedt als verwerkingsverantwoordelijke systematisch gegevens wil meedelen aan een andere partij die ook optreedt als verwerkingsverantwoordelijke en zich in België bevindt, is een protocol verplicht. Voor een eenmalige uitwisseling is een protocol in principe niet verplicht, behalve wanneer de ontvanger een persoon of instelling is die niet gerechtigd is deze te verkrijgen krachtens een wettelijke opdracht.

Wat de inhoud van een protocol moet zijn, wordt facultatief en niet-limitatief opgesomd in de wet en om die reden beveelt de GBA dan ook enkele concrete inhoudelijke punten aan (zie punt 3). Daarnaast zijn ook de adviezen van beide DPO’s vereist en moet het uiteindelijke protocol worden gepubliceerd op de websites van beide verwerkingsverantwoordelijken.

Er zijn veel relaties denkbaar waarin een protocol verplicht zal zijn. Wenst u hulp of advies bij de opmaak of onderhandeling van een protocol? Aarzel niet om ons te contacteren.

 

 

 

[1] Art. 20 van de wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens

[2] Overeenkomstig artikel 36bis van de wet van 8 december 1992 betreffende de bescherming van de persoonlijke levenssfeer ten aanzien van de verwerking van persoonsgegevens

[3] Wet van 3 december 2017 tot oprichting van de Gegevensbeschermingsautoriteit

[4] Zo zijn er bijvoorbeeld andere verplichtingen opgelegd voor de mededeling van persoonsgegevens door een instelling van sociale zekerheid.

[5] Art. 20 §1 WVG

[6] Art. 111 van de wet van 3 december 2017 tot oprichting van de GBA

GBA legt recordboete op wegens belangenconflict: DPO mag geen functie bekleden waarbij hij doel en middelen van de verwerking van persoonsgegevens bepaalt

De beslissing van de GBA

Achtergrond

De zaak waar de GBA in haar beslissing van 28 april 2020 een uitspraak over doet, werd aanhangig gemaakt naar aanleiding van een gegevenslek bij de verweerder: een reeks uitnodigingen om over te schakelen van een papieren factuur naar een elektronische factuur belandden niet bij de correcte klant maar bij administratieve of technische contactpersonen voor deze klant. Wanneer de GBA hiervan op de hoogte wordt gebracht, beslist zij om de aanpak van gegevenslekken door de verweerder verder te laten onderzoeken. De Geschillenkamer van de GBA onderzoekt in deze beslissing vier mogelijke inbreuken, maar moet voor drie van de vier vaststellen dat er geen sprake is van een inbreuk.

Belangenconflict DPO

De laatste vermeende inbreuk die door de Inspectiedienst wordt opgeworpen is echter erg relevant en betreft de positie van de DPO (art. 38 AVG). De DPO van de verweerder is naast DPO ook hoofd van meerdere departementen binnen de onderneming.

Artikle 38 (6) GDPR. De functionaris voor gegevensbescherming kan andere taken en plichten vervullen. De verwerkingsverantwoordelijke of de verwerker zorgt ervoor dat deze taken of plichten niet tot een belangenconflict leiden.

Richtlijnen belangenconflict

De Geschillenkamer verwijst in haar beoordeling naar de Richtlijnen van de WP29 voor functionarissen voor gegevensbescherming die stellen dat de DPO binnen de organisatie geen functie kan bekleden waarbij hij de doelstellingen van en de middelen voor de verwerking van persoonsgegevens moet bepalen.

DPO’s kunnen binnen een organisatie andere taken op zich kunnen nemen dan louter de (wettelijke) taken van de DPO. De organisatie moet er echter voor zorgen dat deze taken of plichten niet tot een belangenconflict leiden. Dit is iets dat geval per geval moet worden beoordeeld. Als vuistregel worden bepaalde functies als een belangenconflict beschouwd, zoals de functies in het hoger management (CEO, CFO, head of HR, head of IT). Maar ook andere functies binnen de organisatie kunnen functies met een belangenconflict zijn wanneer deze de doelstellingen en de middelen voor de verwerking van gegevens bepalen.

Boete

De Geschillenkamer besloot in deze zaak dat er sprake is van een “wezenlijk belangenconflict” omdat “de rol van verantwoordelijke van een departement niet valt te rijmen met de functie van functionaris voor gegevensbescherming die zijn taken onafhankelijk moet kunnen uitvoeren.”

Door het samenvoegen van de functie van afdelingshoofd en de functie van DPO, wat in deze zaak het geval was, ontbreekt volgens de Geschillenkamer voor de desbetreffende departementen elk mogelijk onafhankelijk toezicht door de DPO. De Geschillenkamer besluit dan ook dat er sprake is van een belangenconflict en dat de inbreuk op art. 38.6 AVG is bewezen. De GBA legt hiervoor een administratieve geldboete van €50 000 op.

De verweerder kan tegen deze uitspraak nog in hoger beroep gaan, dus het valt nog af te wachten of deze erg strikte interpretatie van de GBA zal standhouden.

Wat nu met de functie van DPO?

Strikte interpretatie

Dat bepaalde functies uitdrukkelijk worden bestempeld als zijnde niet-verenigbaar met de rol van DPO, heeft ertoe geleid dat vele organisaties die niet van plan waren om een fulltime DPO aan te nemen, het head of compliance/legal aanstelden als DPO, aangezien deze functie niet expliciet werd uitgesloten. De keuze voor het head of compliance/legal als DPO is ook niet zo’n vreemde keuze: het is meestal iemand die wordt geraadpleegd maar geen finale beslissingen neemt m.b.t. de belangrijkste verwerkingsactiviteiten zoals de verwerking van personeelsdata of klantendata. Daarnaast is het ook iemand die, indien deze nog niet volledig vertrouwd was met de wetgeving over gegevensbescherming, zich hier waarschijnlijk wel snel in kan inwerken.

Deze uitspraak van de GBA zet de wettelijkheid hiervan op losse schroeven en zorgt ervoor dat vele organisaties hoge boetes riskeren en “ernstige nalatigheid” kan worden verweten. De GBA lijkt deze uitspraak verder te gaan dan wat wordt bepaald in de richtlijnen van de WP29, door te stellen dat de functie van afdelingshoofd van eender welke afdeling in geen enkel geval te verenigen valt met de functie van DPO. De term belangenconflict wordt heel erg strikt geïnterpreteerd door de GBA met verregaande consequenties.

KMO: Beter geen DPO?

Het is wel duidelijk dat er zich pas een probleem stelt wanneer een DPO officieel is aangesteld als DPO en dus zijn aanstelling ook is medegedeeld aan de GBA. Wanneer men als organisatie niet verplicht is om een DPO aan te stellen maar dit wel doet, valt men binnen het toepassingsgebied en moet men de regels respecteren (o.m. artikel 38 GDPR m.b.t. positie van die DPO).

Kleine ondernemingen en organisaties die niet verplicht zijn om een DPO aan te stellen en dit enerzijds wel willen maar anderzijds moeite hebben om binnen de organisatie iemand te vinden om de functie uit te oefenen die geen C-level functie heeft of geen afdelingshoofd is, kunnen er dus goed aan doen om geen officiële interne DPO te benoemen. Een externe DPO behoort wel nog steeds tot de mogelijkheden.

Wat betekent dit voor uw organisatie?

Betekent dit dat u meteen op zoek moet naar een nieuwe DPO wanneer uw afdelingshoofd de functie van DPO uitoefent? Volgens ons niet. Maar er zijn wel enkele zaken die u best op orde brengt, zoals de opmaak van een beleid of procedure over belangenconflicten en hoe deze te vermijden. Ook kunt u ervoor kiezen om een back-up DPO aan te stellen die de zaken even overneemt wanneer er sprake zou zijn van een belangenconflict.

De WP29 geeft in haar richtlijnen voor DPO’s nog enkele concrete tips mee om belangenconflicten te vermijden en we raden dan ook aan deze zeker in dit beleid op te nemen:

  • Identificeer de posities die incompatibel kunnen zijn met de functie van DPO;
  • Verklaar t.o.v. de hele organisatie dat de DPO geen belangenconflict heeft in zijn functie als DPO om op deze manier alle medewerkers voor deze vereiste te sensibiliseren;
  • Zorg ervoor dat de functieomschrijving van de DPO voldoende gepreciseerd en gedetailleerd is, ook wanneer er hiervoor een (interne) vacature zou worden uitgeschreven.

Heeft u nog vragen over mogelijke onverenigbaarheden met de functie van DPO of met betrekking tot een correct beleid om belangenconflicten te vermijden? Contacteer ons.

De e-Gov Awards, georganiseerd door Agoria in samenwerking met TMAB, worden jaarlijks uitgereikt aan overheidsdiensten uit alle beleidsdomeinen en beleidsniveaus (Europese instellingen, federale overheid, gewesten en gemeenschappen, provincies, steden en gemeenten) die unieke e-gov-projecten hebben uitgewerkt (en gerealiseerd).

Op dit event kon IFORI niet ontbreken. De laatste jaren bouwde ons kantoor immers een ijzersterke reputatie op binnen de overheid op het vlak van IP, ICT & privacy recht. We werken ondermeer rond
– de implementatie van nieuwe regelgeving binnen overheidsorganen (GDPR, PNR, AML, etc.), alsook het uitvoeren van compliance audits en studies, ondermeer bij gegevensuitwisseling;
– het vervullen van de rol van Data Protection Officer (DPO) met een unieke multidisciplinaire aanpak (zowel juridisch als IT technisch)
– het adviseren rond AI (privacy, ethics, freedom to operate, etc.), ook samen met onze partner Reimagine
– het adviseren rond blockchain
– het adviseren rond de digitale ontsluiting van museumcollecties,
– het adviseren rond openbaarheid van bestuur;
– het adviseren rond co-development met privé-partners
– het geven van opleidingen en organiseren van awareness campagnes rond ondermeer privacy, data & cyber security
– etc.

Op onze referentielijst staan ondermeer: het Vlaams Agentschap Overheidspersoneel, de Kansspelcommissie, FOD Economie, Kalmthout, FOD Binnenlandse Zaken, de Nationale Bank, Koninklijk Museum voor Midden-Afrika, POM West-Vlaanderen, etc.

Met dit partnership willen we onze ambitie kenbaar maken om ook in de toekomst die vertrouwenspartner te zijn voor overheidsdiensten op het vlak van IP, ICT & privacy recht.

 

Begin deze maand werd duidelijk dat de regelgeving rond cookies strenger zal worden toegepast. Het Europese Hof van Justitie besliste in het arrest van 1 oktober 2019 (C-673/17, Planet49 GmbH v. Bundesverband der Verbraucherzentralen und Verbraucherverbände — Verbraucherzentrale Bundesverband e. V.) dat toestemming niet rechtsgeldig is verleend wanneer het plaatsen van cookies wordt toegestaan door middel van een standaard aangevinkt selectievakje dat deze gebruiker moet uitvinken ingeval hij weigert zijn toestemming te geven

Duidelijke actieve handeling

Dit betekent dat een gebruiker een actieve handeling moet stellen om zijn instemming met het plaatsen van de cookies aan te duiden. Dit betekent ook dat consent by further browsing, namelijk het impliciet toestemmen met het gebruik van cookies door verder te surfen op de website, niet meer volstaat.

Toestemming zoals gedefinieerd in de GDPR moet ook steeds vrij en geïnformeerd zijn. Dit laatste betekent dat u de betrokkenen helder dient te informeren omtrent welke cookies worden gebruikt en waarom. Een link op een cookiebanner die je laat doorklikken naar een cookiepolicy, is op vandaag niet meer voldoende. Je moet aangeven hoelang de cookies actief blijven en of derden al dan niet toegang tot de cookies kunnen hebben.‘Vrije toestemming’ houdt in dat een bezoeker ook moet kunnen weigeren. Het is meteen duidelijk dat vele websites op vandaag niet mee in de regel zijn.

Cookies

Altijd toestemming?

Wel belangrijk om te weten dat er nog steeds uitzondering bestaan op de verplichting om toestemming te vereisen voor het plaatsen van cookies.

Met name voor het plaatsen van cookies:

  • met uitsluitend doel de verzending van een communicatie via een elektronische-communicatienetwerk uit te voeren, of
  • een uitdrukkelijk door de gebruiker gevraagde dienst te leveren wanneer dit hiervoor strikt noodzakelijk is.

Helaas valt o.m. het gebruik van cookies voor website analytics algemeen niet onder een van deze uitzonderingen.

Cookies en GDPR?

Het gebruik van cookies wordt in wezen niet geregeld door de GDPR, maar door de e-Privacy richtlijn, in België omgezet in de Telecomwet (zie artikel 129). Deze telecomwet vereist in bepaalde gevallen voorafgaande toestemming van de gebruiker voor het plaatsen van cookies. Het begrip toestemming moet evenwel worden uitgelegd zoals bepaald in de GDPR.

Maar, via cookies kan je wel persoonsgegevens verwerken (bv. door persoonsgegevens op te slaan in de cookie). In dat geval is de GDPR uiteraard wel weer van toepassing.

De Nederlandse overheid liet een DPIA (Data Protection Impact Assessment) uitvoeren op Microsoft Office ProPlus. Uit deze DPIA bleek dat Microsoft op grote schaal persoonsgegevens verwerkt over het gedrag van gebruikers. De verzameling van die persoonsgegevens gebeurt zonder dat de gebruiker hierover geïnformeerd wordt, zonder toestemming van de gebruiker, zelfs zonder dat de gebruiker dit kan uitschakelen of zelfs nog maar kan zien over welke gegevens het gaat.

Gegevens over gebruik Office

Microsoft slaat gegevens op van het gebruik van Word, Excel, Powerpoint en Outlook (zowel de online versies als de lokaal geïnstalleerde versies). Microsoft heeft een pilot lopende om de gegevens van die programma’s op te slaan in de Microsoft Cloud (via Sharepoint en OneDrive).

Microsoft verzamelt diagnostische gegevens over de handelingen van de gebruiker via ingebouwde telemetriesoftware. De verzamelde gegevens worden periodiek in een batch naar de servers van Microsoft in de US gestuurd. Bij online gebruik van diensten (bijvoorbeeld de online versie van Office 365) wordt het gebruik ook vastgelegd in de logbestanden van Microsoft zelf.

Het is echter niet duidelijk welke inhoud van bestanden met deze diagnostische gegevens worden opgeslagen. Zo blijkt dat deze diagnostische gegevens onder andere bevatten welke woorden voor en na een woord dat u wil vertalen komen. Microsoft heeft bijvoorbeeld ook aangegeven dat ze niet de inhoud van e-mails opslaat, maar de logbestanden van Microsoft geven wel de onderwerp-titels van e-mail weer. Voorlopig is het onmogelijk om als gebruiker te zien welke gegevens precies worden verzameld en doorgestuurd.

Onderhandelingen met de Nederlandse overheid

Gezien potentieel heel wat gegevens met een hoog risico op die manier door Microsoft worden verwerkt zonder toestemming of passende garanties is duidelijk dat er actie ondernomen moet worden. De Nederlandse overheid, die gebruik maakt van Microsoft en 300.000 gebruikers uitmaakt, is daarom in onderhandeling getreden met Microsoft om deze problemen te verhelpen.

Microsoft heeft naar aanleiding van de DPIA zero exhaust settings ontwikkeld, waardoor er zo geen telemetriegegevens meer zouden verzameld worden (als de zero exhaust settings aangezet worden). Deze initiatieven zijn wel een begin, maar er blijven nog een aantal problemen over, niet in het minst de reeds gedane verwerkingen van persoonsgegevens.

Wat te doen?

Theoretische technische maatregelen

Ervan uit gaand dat de optie ooit toegankelijk wordt, kan de office beheerder de zero exhaust settings toepassen voor alle gebruikers. Daarnaast kan hij de vrijwillige connected services uitschakelen (zoals de online spellingschecker en vertaalservice). Microsoft vraagt ook om gegevens te delen om Office te verbeteren, maar de beheerder kan uitschakelen dat gebruikers deze melding krijgen (en zo hun gegevens delen).

Het gebruik van de Microsoft Cloud, zoals Sharepoint en OneDrive is op zich problematisch. Het kan aangewezen zijn enkel lokaal geïnstalleerde versies van Office te gebruiken en niet de online versie van Office 365.

Tot slot kan men ook opteren voor alternatieve software. Hierbij moet men natuurlijk wel uitkijken dat deze software niet aan dezelfde gegevensrisico’s is blootgesteld als Office.

Haalbare organisatorische maatregelen

Bovenstaande technische maatregelen laten echter niet toe om het risico bij het gebruik van Office volledig uit te sluiten, noch zijn ze voor iedereen haalbaar. En zoals de Nederlandse overheid zelf in onderhandeling treden met Microsoft lijkt weinig realistisch.

Het is echter geen optie om geheel niks te ondernemen, gezien je dan in de problemen komt met je eigen GDPR-verplichtingen. Deze realiteit moet worden meegenomen in uw risicoanalyse en veiligheidsplan/beleid. Bij stilzitten van Microsoft kan bijvoorbeeld beleidsmatig worden uitgemaakt om op termijn te kijken naar alternatieven. Daarnaast kan men de Gegevensbeschermingsautoriteit raadplegen in het kader van de residuele risico’s die blijken uit de DPIA van de Nederlandse overheid.

 

De GDPR voorziet expliciet dat een Data Protection Officer  een externe consultant kan zijn. Dit heeft als voordeel dat hij met de nodige afstand en onafhankelijk kan opereren t.o.v. van het bedrijf.

Ontslag DPO

Bovendien vereist de GDPR dat de DPO geen instructies mag ontvangen van de onderneming in de uitvoeringen van zijn taken en worden ontslagen (of blootgesteld aan andere disciplinaire acties) vanwege de uitvoering van zijn taken als DPO. Dit heeft belangrijke implicaties indien men een werknemer aanstelt als DPO, o.a. dat het moeilijk te combineren zal zijn met de functie van een werknemer die per definitie onder het gezag van zijn werkgever staat.

Onafhankelijkheid DPO

Bovendien zullen in het geval van een interne DPO ook de nodige structuren dienen te worden aangepast om hem voldoende macht en onafhankelijkheid te geven. En moet de organisatie voorzien in training en opleiding van de DPO. Dit zal in veel meerdere mate het geval zijn bij een externe DPO die op dat vlak zal kunnen terugvallen op zijn eigen organisatie.

Een instantie als DPO

Bovendien kan de externe consultant ook een organisatie zijn, waardoor zij verschillende personen kunnen inzetten om met hun gedeelde expertise de functie van DPO in te vullen. In dat geval moet er wel worden voorzien in een heldere taakverdeling, met een centrale contactpersoon.

Vertrouwensfunctie DPO

Personen wiens gegevens worden verwerkt hebben meer vertrouwen in een externe DPO instantie buiten iemand die binnen het bedrijf zelf werkzaam is.

Continuïteit

De werkgever zal vaak investeringen moeten doen in opleidingen, softwarepakketten en organisatie om zijn interne DPO in staat te stellen zijn functie naar behoren uit te laten oefenen. Hierbij bestaat er een reëel risico op afwervingvan die persoon, zeker gezien deze nieuwe functie zeer gevraagd zal zijn.

Vlakke functie

De functie van DPO is een vlakke functie die er door een bepaalde medewerker zal moeten worden bijgenomen en is op zich dus een vlakke functie die de betrokkene weinig doorgroeimogelijkheden zal bieden.

De GDPR voorziet dat in bepaalde gevallen organisaties verplicht zijn een DPO aan te stellen. Wil je weten of je verplicht een DPO moet aanstellen? Gebruik onze DPO-checker tool. Maar ook indien het niet wettelijk verplicht is, kan het toch bijzonder nuttig zijn om een DPO aan te stellen.

De voordelen van een vrijwillig aangestelde DPO

  • Het is een duidelijk signaal dat je privacy en gegevensbescherming ernstig neemt en bevordert een positief imago;
  • Een DPO helpt u in ieder geval bij het tegemoetkomen aan de (nieuwe) verplichtingen uit de GDPR, zoals o.m.:
    • Helpen bij het implementeren van principes van Privacy by Design & Default;
    • Informatie verstrekking en advisering op vlak van de verplichtingen die voortvloeien uit de GDPR;
    • Toezien compliance (wettelijk en eigen beleid);
    • Uitvoeren en advies verstrekken m.b.t. tot gegevensbeschermingseffectbeoordelingen (in het Engels Privacy Impact Assessment of PIA);
    • Samenwerken met de toezichthoudende autoriteit (in België de Privacy Commissie);
  • Hij is het aanspreekpunt zowel intern als extern voor wat betreft databescherming, wat het vertrouwen bij alle betrokken partijen enkel vergroot.

Schaduw-DPO

Heb je intern al een DPO aangesteld, dan ondersteunen wij hem graag bij het uitvoeren van zijn taken. Zo kunnen wij op korte termijn hem up-to-date brengen met deze nieuwe wetgeving of op lange termijn ondersteuning bieden aangaande de juridische aspecten. Als bijkomend voordeel hebben wij als derde een objectieve kijk op de interne uitdagingen en kunnen nieuwe of andere oplossingen worden aangereikt.