Gegevensbescherming in het licht van een no-deal Brexit

Op 23 juni 2016 stemde de bevolking van het Verenigd Koninkrijk over de gezamenlijke toekomst van het Verenigd Koninkrijk en de Europese Unie. Het referendum werd beslecht in het voordeel van diegenen die opteerden voor een zogenaamde Brexit, het uittreden van het Verenigd Koninkrijk uit de Europese Unie. Het uittreden zou op 29 maart 2019 om 23u lokale tijd moeten gebeuren, en vanaf 30 maart 2019 zou het Verenigd Koninkrijk geen deel meer uitmaken van de Europese Unie.

Er is evenwel nog steeds geen duidelijkheid op welke wijze deze uittreding zal gebeuren. Het Britse Lagerhuis raakt het maar niet eens over een Brexit-deal, waardoor de kans dat het Verenigd Koninkrijk de Europese Unie verlaat zonder deal niet onbestaande is. Wat betekent dit scenario eigenlijk voor gegevensbescherming en de transfer van persoonsgegevens van en naar het VK?

Verenigd Koninkrijk als derde-land

Het Verenigd Koninkrijk heeft in zijn European Union (Withdrawal) Act 2018 vastgesteld dat de Algemene Verordening Gegevensbescherming opgenomen zal worden in het nationale recht, in het geval van een no-deal. Dit betekent dat wat betreft de bescherming van persoonsgegevens voor inwoners van het VK dezelfde beschermingsstandaarden gehanteerd zullen worden. Op dit vlak wijzigt er vooralsnog niets.

De transfer van persoonsgegevens naar het Verenigd Koninkrijk wordt evenwel aan andere regels onderworpen, aangezien het VK geen lid meer zal zijn van de Europese Unie en gezien moet worden als een derde-land. De Algemene Verordening Gegevensbescherming wijdt een heel hoofdstuk aan de regelgeving omtrent de doorgiften van persoonsgegevens aan derde landen of internationale organisaties (Hoofdstuk V).

Transfers van persoonsgegevens naar derde landen zijn niet per definitie verboden, maar zijn slechts toegestaan indien de Europese Unie over genoeg garanties beschikt dat een zekere mate van gegevensbescherming voorzien kan worden. Dit is het geval indien er adequaatheidsbesluiten zijn uitgevaardigd door de Europese Commissie (art. 45), er passende waarborgen voorzien zijn (art. 46), er sprake is van bindende bedrijfsvoorschriften (art. 47) of er sprake is van specifieke situaties die afwijkingen toelaten (art. 49).

Adequaatheidsbesluit

Een adequaatheidsbesluit houdt in dat de Europese Commissie het derde land aanmerkt als een land met een passend beschermingsniveau. Er hoeven door een exporteur van gegevens geen extra waarborgen voorzien te worden. Een doorgifte van gegevens naar een land waarvoor een adequaatheidsbesluit geldt, wordt op deze wijze vergelijkbaar met de overdracht van gegevens binnen de Europese Unie. Dergelijk adequaatheidsbesluit bestaat (nog) niet voor het Verenigd Koninkrijk, aangezien dit niet nodig was.

Het is mogelijk dat de EU een adequaatheidsbesluit goedkeurt in de toekomst, al is het wat dat betreft nog koffiedik kijken. Het goedkeuren van een adequaatheidsbesluit zou hoe dan ook nog even op zich laten wachten, aangezien een procedure gevolgd moet worden waarbij verschillende instellingen betrokken zijn. Het moet voorgesteld worden door de Europese Commissie, vervolgens dient de EDPB hierover een opinie te formuleren, daarna dient goedkeuring  verleend te worden door afgevaardigden van de EU-landen en tenslotte moet het besluit aangenomen worden door de Europese Commissie. Zolang zo’n besluit niet bestaat voor het Verenigd Koninkrijk zal de overdracht van gegevens op een andere rechtsgrond moeten berusten.

Passende waarborgen

De overdracht van gegevens naar derde landen mag plaatsvinden indien er passende waarborgen worden geboden met betrekking tot gegevensbescherming en op voorwaarde dat de personen wiens gegevens verwerkt worden over afdwingbare rechten en rechtsmiddelen kunnen beschikken. Er bestaan verschillende instrumenten die garanderen dat er passende waarborgen voor handen zijn.

Bindende bedrijfsvoorschriften

Een eerste instrument is het gebruik van bindende bedrijfsvoorschriften (ofwel Binding Corporate rules). Ondernemingen die zich binnen eenzelfde ondernemingsgroep bevinden mogen hierbinnen gegevens uitwisselen, ook al bevinden niet alle ondernemingen zich op het grondgebied van de Europese Unie. Dit is evenwel enkel toegestaan indien er bindende bedrijfsvoorschriften voorhanden zijn en slechts indien ze in overeenstemming zijn met de Algemene Verordening Gegevensbescherming.

De bedrijfsvoorschriften moeten worden goedgekeurd via een omslachtige procedure door zowel de nationale bevoegde autoriteit als het European Data Protection Board (EDPB). Europese ondernemingen die samen in een ondernemingsgroep zitten met ondernemingen uit het Verenigd Koninkrijk kunnen dus op basis van deze bindende bedrijfsvoorschriften toch gegevens overmaken. Het is mogelijk dat voor een ondernemingsgroep reeds bindende bedrijfsvoorschriften golden en er dus geen nieuwe procedure tot goedkeuring moet worden ingesteld.

Standaard contractuele bepalingen

De overdracht van gegevens is ook toegestaan indien er gebruik wordt gemaakt van modelcontractbepalingen die zijn goedgekeurd door de Europese Commissie. De Europese Commissie heeft op dit moment drie categorieën van standaardbepalingen of modelcontracten goedgekeurd. Hier mogen door de partijen geen wijzigingen in aangebracht worden, al mogen ze wel worden opgenomen in een bredere overeenkomst.

Het gebruik van specifieke ad hoc contractuele bepalingen, als aanvullende wijzigingen van de standaardbepalingen, is ook toegestaan. Deze moeten echter wel goedgekeurd worden door de nationale gegevensbeschermingsautoriteit, nadat het EDPB hierover advies heeft gegeven.

Dit betekent dat Europese ondernemingen, willen ze gegevens overdragen naar het Verenigd Koninkrijk en in het geval er geen bindende bedrijfsvoorschriften voor handen zijn, hun bestaande contracten zullen moeten herzien en de standaardbepalingen in hun overeenkomst zullen moeten opnemen. Indien er geopteerd wordt om ad hoc contractuele bepalingen te voorzien dan zullen de gegevens pas overgedragen mogen worden nadat de ad hoc contractuele bepalingen zijn goedgekeurd.

Gedragscode of certificeringsmechanismen

Federaties of sectororganisaties kunnen ook gedragscodes of certificeringsmechanismen voorzien waarin naleving van de Algemene Verordening Gegevensbescherming voorzien wordt. Er zullen wel bindende en afdwingbare toezeggingen opgenomen moeten worden zodat de naleving ook effectief wordt verzekerd. Een grensoverschrijdende gedragscode zal goedgekeurd moeten worden door de Europese Gegevensbeschermingsautoriteit (EDPB).

Het uitwerken van gedragscodes, en de goedkeuring ervan is opnieuw gebonden aan een omslachtige procedure, waardoor dit nog niet meteen het meest flexibele instrument is om te voldoen aan de Algemene Verordening Gegevensbescherming.

Afwijkingen voor specifieke situaties

Tot slot zijn er nog verschillende afwijkingen die het mogelijk maken dat gegevens toch zullen worden overgedragen aan een derde-land zonder dat één van de hierboven beschreven instrumenten gebruikt moet worden.

  • Doorgifte is toegestaan wanneer een betrokken persoon expliciet instemt met de overdracht van persoonsgegevens nadat deze werd ingelicht over de risico’s van de overdracht;
  • Doorgifte is toegestaan indien ze noodzakelijk is voor de uitvoering (of het sluiten) van een overeenkomst tussen de betrokkene en de verwerkingsverantwoordelijke of voor de uitvoer van precontractuele maatregelen op verzoek van de betrokkene;
  • Doorgifte is noodzakelijk wegens zwaarwichtige redenen van algemeen belang;
  • Doorgifte is noodzakelijk voor het instellen of uitoefenen van een rechtsvordering;
  • Doorgifte is noodzakelijk in verband met dwingende en gerechtvaardigde belangen van de organisatie.

Deze afwijkingen zullen altijd geval per geval bekeken moeten worden. Het inwinnen van juridisch advies is aangeraden wegens de complexiteit van de materie.

Import van gegevens in de Europese Unie

De Europese Gegevensbeschermingsautoriteit heeft al laten weten dat er geen wijzigingen zullen optreden wat betreft de gegevensoverdracht van het VK naar de Europese Economische Ruimte, ook niet in het geval van een no-deal. Gegevens uit het VK zullen dus nog steeds mogen worden overgedragen zonder belemmeringen.

Wat kan u doen?

Het scenario van een no-deal Brexit is zeker niet uitgesloten. Het is dan ook ten zeerste aan te raden uw onderneming hierop voor te bereiden. Om blijvende naleving met de Algemene Verordening Gegevensbescherming te garanderen zijn er al verschillende stappen die u kan ondernemen.

Eerst en vooral: creëer een duidelijk overzicht wat betreft uw gegevensflow. Indien u gegevens deelt met het Verenigd Koninkrijk, ga dan na welk instrument het meest geschikt is om in overeenstemming te blijven met de Algemene Verordening Gegevensbescherming. Interne documenten, alsook de privacyverklaring zullen aangepast moeten worden om aan te duiden dat gegevens worden verzonden naar een derde land.

Om onzekerheden omtrent de correcte naleving van de Algemene Verordening Gegevensbescherming te verhelpen, kunt u ons kantoor steeds contacteren voor juridisch advies.

Wout Hendrick

 

Vorige maandag kon je op halfjaarlijkse Big Refresh van Voka van onze experte Justine Simal alles te weten komen over wat nu echt belangrijk is wanneer je als onderneming de GDPR wil implementeren. Het was een geslaagde infosessie met interessante vragen en gesprekken achteraf. Deelnemers deelden hun eigen GDPR ervaringen en vraagstukken met elkaar onder de moderatie van onze GDPR experte.

De GDPR blijft brandend actueel: de hype lijkt voorbij te zijn, maar vele praktische vraagstukken duiken nu pas op. Ondernemingen zien in dat de implementatie van de GDPR het ideale moment is om ook op andere punten orde op zaken te stellen en structuur te integreren en willen graag weten hoe ze dit moeten aanpakken.

De presentatie die Justine gaf kan je hier terugvinden. Deze biedt je informatie en inzichten en reikt je de handvaten aan om zelf aan de slag te gaan.

Wanneer je denkt dat een duwtje in de rug toch nuttig kan zijn en je bent geïnteresseerd in een persoonlijk gesprek om te kijken hoe iFORi jouw onderneming kan ondersteunen in het GDPR traject, neem dan gerust rechtstreeks contact op met Justine Simal via justine.simal@ifori.be.

De volgende editie van de Voka Big Refresh vindt plaats op maandag 16 oktober.

 

Nog niet helemaal mee met de GPDR? Op zoek naar praktische informatie? Kritisch en op zoek naar objectieve cijfers… wordt de GDPR soep wel zo heet gedronken als ze geserveerd wordt? Of wilt u uw eigen GDPR ervaringen en vraagstukken delen met andere ondernemers onder de moderatie van een GDPR experte? Dat kan op amper 2 uur tijd tijdens de ‘The Big Refresh’ van VOKA Oost-Vlaanderen

Tweemaal per jaar organiseert VOKA Oost-Vlaanderen ‘The Big Refresh’, een dag vol actua shots en sessies. Hun voorjaarseditie van 2019 gaat door op 4 februari en focust zich ook op de GDPR die nog steeds actueel blijft. VOKA wil naast informeren ook inspireren en daarom koppelt het ook een rondetafelgesprek aan deze sessie. De bedoeling is dat de deelnemers tijdens deze sessies hun eigen ervaringen delen met andere collega ondernemers.

IFORI verzorgt net zoals in 2017 de infosessie en GDPR experte Justine Simal zal ook het rondetafelgesprek modereren.

Interesse? Meer info kan je vinden op www.voka.be/bigrefresh en schrijf je gratis in!

Kan je niet aanwezig zijn op de infosessie maar heb je wel interesse om de presentatie te ontvangen of wens je een persoonlijk gesprek, neem gerust rechtstreeks contact op Justine Simal: justine.simal@ifori.be

De presentatie kan je ook hier vinden.

De Nederlandse overheid liet een DPIA (Data Protection Impact Assessment) uitvoeren op Microsoft Office ProPlus. Uit deze DPIA bleek dat Microsoft op grote schaal persoonsgegevens verwerkt over het gedrag van gebruikers. De verzameling van die persoonsgegevens gebeurt zonder dat de gebruiker hierover geïnformeerd wordt, zonder toestemming van de gebruiker, zelfs zonder dat de gebruiker dit kan uitschakelen of zelfs nog maar kan zien over welke gegevens het gaat.

Gegevens over gebruik Office

Microsoft slaat gegevens op van het gebruik van Word, Excel, Powerpoint en Outlook (zowel de online versies als de lokaal geïnstalleerde versies). Microsoft heeft een pilot lopende om de gegevens van die programma’s op te slaan in de Microsoft Cloud (via Sharepoint en OneDrive).

Microsoft verzamelt diagnostische gegevens over de handelingen van de gebruiker via ingebouwde telemetriesoftware. De verzamelde gegevens worden periodiek in een batch naar de servers van Microsoft in de US gestuurd. Bij online gebruik van diensten (bijvoorbeeld de online versie van Office 365) wordt het gebruik ook vastgelegd in de logbestanden van Microsoft zelf.

Het is echter niet duidelijk welke inhoud van bestanden met deze diagnostische gegevens worden opgeslagen. Zo blijkt dat deze diagnostische gegevens onder andere bevatten welke woorden voor en na een woord dat u wil vertalen komen. Microsoft heeft bijvoorbeeld ook aangegeven dat ze niet de inhoud van e-mails opslaat, maar de logbestanden van Microsoft geven wel de onderwerp-titels van e-mail weer. Voorlopig is het onmogelijk om als gebruiker te zien welke gegevens precies worden verzameld en doorgestuurd.

Onderhandelingen met de Nederlandse overheid

Gezien potentieel heel wat gegevens met een hoog risico op die manier door Microsoft worden verwerkt zonder toestemming of passende garanties is duidelijk dat er actie ondernomen moet worden. De Nederlandse overheid, die gebruik maakt van Microsoft en 300.000 gebruikers uitmaakt, is daarom in onderhandeling getreden met Microsoft om deze problemen te verhelpen.

Microsoft heeft naar aanleiding van de DPIA zero exhaust settings ontwikkeld, waardoor er zo geen telemetriegegevens meer zouden verzameld worden (als de zero exhaust settings aangezet worden). Deze initiatieven zijn wel een begin, maar er blijven nog een aantal problemen over, niet in het minst de reeds gedane verwerkingen van persoonsgegevens.

Wat te doen?

Theoretische technische maatregelen

Ervan uit gaand dat de optie ooit toegankelijk wordt, kan de office beheerder de zero exhaust settings toepassen voor alle gebruikers. Daarnaast kan hij de vrijwillige connected services uitschakelen (zoals de online spellingschecker en vertaalservice). Microsoft vraagt ook om gegevens te delen om Office te verbeteren, maar de beheerder kan uitschakelen dat gebruikers deze melding krijgen (en zo hun gegevens delen).

Het gebruik van de Microsoft Cloud, zoals Sharepoint en OneDrive is op zich problematisch. Het kan aangewezen zijn enkel lokaal geïnstalleerde versies van Office te gebruiken en niet de online versie van Office 365.

Tot slot kan men ook opteren voor alternatieve software. Hierbij moet men natuurlijk wel uitkijken dat deze software niet aan dezelfde gegevensrisico’s is blootgesteld als Office.

Haalbare organisatorische maatregelen

Bovenstaande technische maatregelen laten echter niet toe om het risico bij het gebruik van Office volledig uit te sluiten, noch zijn ze voor iedereen haalbaar. En zoals de Nederlandse overheid zelf in onderhandeling treden met Microsoft lijkt weinig realistisch.

Het is echter geen optie om geheel niks te ondernemen, gezien je dan in de problemen komt met je eigen GDPR-verplichtingen. Deze realiteit moet worden meegenomen in uw risicoanalyse en veiligheidsplan/beleid. Bij stilzitten van Microsoft kan bijvoorbeeld beleidsmatig worden uitgemaakt om op termijn te kijken naar alternatieven. Daarnaast kan men de Gegevensbeschermingsautoriteit raadplegen in het kader van de residuele risico’s die blijken uit de DPIA van de Nederlandse overheid.

 

Audit Vlaanderen kwam tot de conclusie dat heel wat lokale besturen ondermaats scoren bij informatiebeveiliging.

Informatiebeveiliging: “De beveiliging van informatie tegen vernietiging, verlies, wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden of opgeslagen informatie

Het gaat om de beveiliging van alle informatie, waaronder ook persoonsgegevens. De GDPR zelf voorziet principieel dat organisaties de integriteit en vertrouwelijkheid van persoonsgegevens moeten waarborgen!

Persoonsgegevens moeten door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.

Probleempunten

Uit het rapport blijken voornamelijk volgende punten problematisch:

  • Leveranciersrelaties;
  • Bewustzijn van medewerkers;
  • Technisch beheer (cryptografie, onderhoud systemen, …);
  • Incidentenbeheer;

Positieve noot

Er is dus nog heel wat ruimte voor verbetering. Anderzijds merkt het verslag wel op dat er hier en daar wel goed wordt gewerkt: zo is er speciale vermelding voor besturen die medewerkers sensibiliseren en trainen op vlak van privacy & informatieveiligheid.

Naast eigen incidenten en persaandacht voor incidenten elders blijkt ook het einde van de inwerkingtredingsperiode van de AVG een goede aanleiding om ad-hoc-infosessies te organiseren.

Sensibilisering

IFORI kan uw gemeente of OCMW bijstaan door te voorzien in sensibiliseringssessies omtrent informatieveiligheid en/of privacy. Dit deden we reeds voor lokale besturen, met een positieve vermelding tot gevolg.

Oplossing

Tot slot geeft het rapport enkele aanbevelingen mee waarmee elk lokaal bestuur aan de slag kan om haar informatieveiligheid te verbeteren.

Neem uiteraard gerust contact met ons op indien u zich hierover extern wil laten adviseren door experten op vlak van informatieveiligheid & privacy bij lokale besturen.

Apple heeft onlangs bekend gemaakt dat vanaf 3 oktober 2018 iedereen die een nieuwe App wil lanceren of een bestaande App wil updaten, verplicht een privacy policy moet opnemen in zijn App, alsook in de metadata van de App Store. Apps die niet voldoen aan deze vereiste zullen vanaf dan geweerd worden uit de App Store.

Nieuwe App Store Review Guidelines

Wie dus een App wil lanceren of updaten zal vanaf 3 oktober een privacy policy moeten opstellen. Deze privacy policy zal moeten voldoen aan de nieuwe App store review guidelines. Deze guidelines lijken heel wat van hun mosterd gehaald te hebben bij de GDPR. Apple heeft echter de bepalingen geconcretiseerd voor mobiele applicaties en is soms strenger dan de GDPR.

Zo heeft Apple bijvoorbeeld concrete regels opgesteld voor gezondheidsapps. Ook heeft ze een aantal toepassingen waarvoor locatiegegevens gebruikt kunnen worden uitgesloten. In haar best practices geeft Apple mee hoe purpose strings gebruikt kunnen worden om gebruikers toestemming te laten geven voor het gebruiken van systeemtoepassingen zoals de camera of microfoon.

Google Play

Niet enkel Apple is bezig geweest met haar guidelines te updaten. Google verplicht het opnemen van een privacy policy al langer voor Apps die persoonsgegevens verzamelen. Is uw privacy policy niet in orde, dan zal Google uw App weren uit de Play store. Google vereist ook de naleving van de GDPR door ontwikkelaars die via hun Apps gegevens van personen in de EU verwerken.

GDPR Conform

Ontwikkelaars van Apps moeten naast het naleven van Googles en Apples guidelines vooral ook de GDPR naleven. Wie denkt dat het ergste dat kan gebeuren een exclusie van de Apple App store of Google Play store is, zal mogelijks voor een onaangename verrassing komen te staan.

In Frankrijk heeft de gegevensbeschermingsautoriteit (CNIL) recent nog maar bekend gemaakt dat ze twee ontwikkelaars van marketing-software development kits voor Apps in gebreke heeft gesteld voor het niet-naleven van de verplichtingen die voortvloeien uit de GDPR. Volgens de CNIL waren de gebruikers van de Apps noch op de hoogte dat in de gedownloade App een software development kit geïntegreerd was die hun gegevens verzamelde, noch waarvoor de gegevens zouden gebruikt worden. Er kon dan ook geen rechtmatige toestemming gegeven zijn voor het verwerken van de gegevens. De gebruikers waren daarnaast ook niet op de hoogte van de identiteit van de verwerkingsverantwoordelijke voor hun gegevens.

CONCLUSIE

Zorg voor een geüpdatet privacy policy die in overeenstemming is met de vereisten van de platform-providers en de GDPR. Maar zorg er ook voor dat de inhoud van deze policy is aangepast aan jouw realiteit. Geef informatie over de verwerking die jouw organisatie doet, al dan niet via haar website, bijvoorbeeld: direct marketing, klantenadministratie, leveranciersbeheer, …

Denk ten slotte ook aan de verdere compliance met GDPR waaronder:

  • Heb ik een verwerkingsgrond en pas ik die correct toe? (bv. toestemming, uitvoering overeenkomst, …);
  • Heb ik specifiek overeenkomsten met mijn onderaannemers die ten behoeve van mijn organisatie persoonsgegevens verwerken?
  • Beveilig ik de persoonsgegevens wel voldoende?

Op 5 september 2018 is door de wetgever de “wet betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens” gepubliceerd. Zo goed als de gehele de wet is onmiddellijk van kracht gegaan. De wet in kwestie geeft uitvoering aan de GDPR, daarnaast wordt ook de richtlijn over het gebruik van persoonsgegevens door politie en strafrechtelijke autoriteiten erin omgezet.

Uitvoering van de verordening

Minderjarigen

GDPR gaf de lidstaten vrijheid in het vaststellen van de leeftijd waarop minderjarigen geacht worden rechtmatig hun toestemming te kunnen. De wetgever heeft besloten die leeftijd op 13 jaar te leggen. Als de minderjarige jonger is dan 13, zal de wettelijke vertegenwoordiger toestemming moeten geven.

Kinderen vanaf 13 jaar oud kunnen in België gebruik  maken van Facebook of Whatsapp zonder toestemming van hun ouders. (Minstens indien de voorwaarden van de service dit toelaten).

Specifieke verwerkingen

De wetgever heeft ook een lijst opgesteld met verwerkingen die zij als van zwaarwegend algemeen belang ziet. Bijvoorbeeld de verwerking beheerd door de stichting van openbaar nut “Stichting voor Vermiste en Seksueel Uitgebuite Kinderen”. Daarnaast zijn er ook heel wat beperkingen van de rechten van betrokkenen wanneer de verwerking gebeurt door de overheid, politiediensten, veiligheidsdiensten, etc. Ook de maatregelen die moeten genomen worden bij het verwerken van genetische, biometrische of gezondheidsgegevens worden gespecificeerd.

Uitzonderingen voor journalistieke doeleinden

Daarnaast moest het recht op privacy en het recht op informatie en vrijheid van meningsuiting worden afgewogen. De wetgever heeft dan ook specifieke uitzonderingen voorzien voor verwerkingen voor journalistiek en ten behoeve van academische, artistieke of literaire uitdrukkingsvormen.

Zo moet een journalist geen privacyverklaring bezorgen aan zijn geïnterviewde.

Definitie verwerking voor journalistieke doeleinden: “de voorbereiding, het verzamelen, opstellen, voortbrengen, verspreiden of archiveren ten behoeve van het informeren van het publiek, met behulp van elke media en waarbij de verwerkingsverantwoordelijke zich de naleving van journalistieke deontologische regels tot taak stelt”.

Vraag is in welke mate een (professionele) blogger, de naleving van die deontologie nastreeft en dus kan genieten van deze uitzonderingen?

Afdwingen in rechte

De voorzitter van de rechtbank van eerste aanleg is bevoegd om kennis te nemen van (stakings)vorderingen. De rechter waarborgt de afdwingen van deze wet en GDPR. Bijvoorbeeld een vordering tot verwijdering van persoonsgegevens. De procedure verloopt zoals in kortgeding en wordt ingesteld via verzoekschrift op tegenspraak.

We vertelden u all over de mogelijkheid tot een ‘class action‘ door een orgaan, organisatie of VZW . De wet bepaalt dat die actief moet zijn op het gebied van gegevensbescherming sedert ten minste drie jaar.

De Gegevensbeschermingsautoriteit (GBA) kan voortaan ook voor meer GDPR-verplichtingen corrigerende maatregelen nemen.

Strafrecht

Daarnaast bepaalt de wet ook de hoogte van de strafrechtelijke geldboetes die opgelegd kunnen worden voor overtredingen van de regelgeving. De GBA en het College van procureurs-generaal dienen een protocol af te sluiten met werkafspraken voor het geval zowel een administratieve als strafrechtelijke sanctie mogelijk is. Dit om het non bis in idem principe na te leven.

Tot het protocol er is, moet de procureur des Konings binnen de twee maanden na de ontvangst van het proces-verbaal melden aan de GBA of er strafrechtelijk zal vervolgd worden. Gebeurt dit niet, dan is enkel nog een administratieve sanctie mogelijk.

Tot slot verklaart de wet dat alle bepalingen van boek I van het Strafwetboek kunnen worden toegepast op de misdrijven omschreven bij deze wet of bij uitvoeringsbesluiten ervan, inclusief straffen voor deelneming aan een misdrijf en verzachtende omstandigheden.

Vaak vragen organisaties om een kopie van uw elektronische identiteitskaart (eID) om uw identiteit te verifiëren. Maar door gegevensbeschermingswetgeving, waaronder de GDPR, is dit in het merendeel van de gevallen niet zonder meer toegestaan. Organisaties staan voor een praktisch vraagstuk: hoe de identiteit van iemand controleren zonder de regelgeving te overtreden?

Rechten van betrokkenen onder GDPR

De GDPR geeft de burger een hele resem rechten waaronder het recht om aan een organisatie inzage te vragen in de persoonsgegevens die de organisatie van de betrokkene verwerkt en heeft men in bepaalde gevallen een recht op gegevenswissing.

Verificatie identiteit?

Om als organisatie in te gaan op de uitoefening van deze rechten door betrokkenen is het noodzakelijk dat u hun identiteit controleert. M.a.w. hoe weet u of de persoon die zijn rechten inroept weldegelijk is wie hij beweert te zijn? De gangbare praktijk is hier om een kopie van de identiteitskaart van de persoon in kwestie te vragen.

Maar de verwerking van kopieën van identiteitskaarten is verboden, behoudens uitzonderingen. De Gegevensbeschermingsautoriteit (GBA) stelt duidelijk enkel de noodzakelijke persoonsgegevens mogen worden verwerkt. Gelet op het risico van identiteitsdiefstal zijn dit soort kopieën van een eID niet proportioneel.

Ironisch genoeg stelt de GBA een modelbrief ter beschikking voor de uitoefening van de rechten van een betrokkene die om een kopie van de identiteitskaart vraagt.

In een andere aanbeveling raadt de GBA wel aan om de niet-relevante gegevens op de kopie te doorstrepen. Hiermee legt ze eigenlijk de verantwoordelijkheid bij de burger. Als organisatie was het ook aangewezen in uw privacyverklaring eveneens deze verplichting op te nemen, om zelf geen onrechtmatige verwerking te doen.

Gierig met persoonsgegevens

Dat er nood is aan een handige tool om deze rompslomp te vermijden besefte ook de Nederlandse overheid en zij ging dan ook over tot het ontwikkelen van de KopieID app. Deze app maakt het mogelijk een foto te nemen van uw identiteitskaart met uw smartphone en onmiddellijk de persoonsgegevens te doorstrepen die niet relevant zijn. De app voorziet de kopie ook van een watermerk om fraude tegen te gaan. Ze vormt een eenvoudig te gebruiken tool die de toepassing van de GDPR in de praktijk heel gemakkelijk maakt (ook wel een Privacy-enhancing Technology of kortweg ‘PET’ genaamd).

Deze app is gratis te downloaden in de Apple App Store, de Google Play Store en voor Windows Phone.

Als verwerkingsverantwoordelijke kan je een verwijzing naar deze tool dan ook gebruiken om de personen van wie u persoonsgegevens verwerkt het makkelijk te maken hun identiteit te bewijzen op een correcte manier.

Neem gerust contact met ons op indien u uw privacyverklaring hierop wil voorzien.

Bron: Ministerie van Binnenlandse Zaken en Koninkrijksrelaties: https://www.rijksoverheid.nl/onderwerpen/identiteitsfraude/vraag-en-antwoord/veilige-kopie-identiteitsbewijs

De Genereral Data Protection Regulation (GDPR) of in het Nederlands de Algemene Verordening Gegevensbescherming (AVG), is een Europese ‘wet’ die gaat over bescherming van persoonsgegevens het is een nieuwe ‘wet’ waar vrijwel iedere onderneming of overheid mee zal worden geconfronteerd.

Op wie is de GPPR van toepassing?

De GDPR is van toepassing op bedrijven en overheden, die persoonsgegevens verwerken in het kader van de activiteiten van een vestiging in de EU. Dit wil zeggen dat zij bepaalde gegevens die betrekking hebben op natuurlijke personen gebruiken. Bijvoorbeeld het opslaan, wissen, doorsturen van die gegevens. Denk bijvoorbeeld aan de HR-gegevens van je eigen personeel of de contactgegevens van je klanten.

Bv. Jouw werknemers verplaatsen zich via een wagen waarvan de geo-locatie door jullie of een derde worden bijgehouden. Wordt er bijgehouden of het is minstens mogelijk te achterhalen wie op welk moment met welke wagen rijdt dan is de GDPR op jou van toepassing.

Maar de GDPR is ook van toepassing op bedrijven die niet in de EU zijn gevestigd indien zij aan personen die zich in de EU bevinden goederen of diensten aanbieden (bv. een Chinees bedrijf via hun webshop) of hun gedrag monitoren (bv. een Amerikaans sociaal netwerk).

Waarom is de GPDR ingevoerd?

Het doel van de GDPR is enerzijds om de betrokkenen terug (meer) controle te geven over die data die op hen betrekking hebben. Hierbij spelen hun fundamentele rechten, zoals het recht op privacy, een belangrijke rol.

Het feit dat deze materie voor de Europese wetgever prioritair is blijkt uit de monsterboetes: tot € 20.000.000 of 4% van de wereldwijde jaaromzet.

Anderzijds maakt de GPDR het ook eenvoudiger voor bedrijven, doordat van een uniform wettelijk kader werd uitgewerkt dat geldt voor heel de Europese Unie.

Wanneer wordt de GDPR van kracht?

De GDPR treedt in werking op 25 mei 2018. Op die datum moet je in overeenstemming zijn met de nieuwe verplichtingen van de wet, of je stelt je bloot aan sancties.

Hoe kan ik voldoen aan de nieuwe verplichtingen van de GDPR?

De belangrijkste nieuwe verplichten van de GDPR kan je vinden in onze blog.

Twijfels of vragen over de toepassing van de GDPR?

Neem vrijblijvend contact op en we kunnen je snel duidelijkheid geven over toepassing en/of betekenis van de General  Data Protection Regulation voor jouw bedrijf of organisatie.

De GDPR en de Privacywet hebben beide betrekking op de verwerking van persoonsgegevens. Op termijn komt de Europese ‘wet’ die de GDPR is, de verouderde Belgische wet te vervangen.

Hieronder vind je de 5 belangrijkste verschillen tussen de beide:

1.    Het toepassingsgebied van de GDPR is veel ruimer

Op territoriaal vlak geldt de GDPR als verordening binnen de hele Europese Unie (hierna ‘EU’). Bovendien kunnen zelfs niet Europese bedrijven onder het toepassingsgebied vallen indien zij producten of diensten aanbieden aan Europese onderdanen. Ook inhoudelijk is dezelfde tekst (inclusief de vertaling in de 24 talen van de EU) de enige geldende regel voor de hele EU. Er is nog amper marge voor de lidstaten om af te wijken van de Europese norm.

De Privacywet daarentegen is zoals de naam het zelf zegt een wet, en geldt uitsluitend in België. De Privacywet is wel het gevolg van een Europese Richtlijn van 1995, die ervoor zorgt dat de grote lijnen van gegevensbeschermingswetgeving binnen de EU inhoudelijk hetzelfde zijn. Maar de verschillen waar toch groot genoeg om de Europese wetgever ertoe aan te zetten in te grijpen met het oog op het vrij verkeer van gegevens binnen de EU.

2.    Hogere sancties

De toezichthoudende autoriteit (in België de Privacy Commissie) is onder de Privacywet maar een papieren tijger. Middels de GDPR zal zij administratieve monsterboetes tot € 20.000.000 of 4% van de wereldwijde jaaromzet kunnen opleggen. Daarnaast verkrijgt zij nu ook meer middelen om effectief situaties te onderzoeken en corrigeren, zoals de mogelijkheid tot onderzoek ter plaatse.

Betrokkenen kunnen 25 mei 2018 ook eenvoudiger klacht neerleggen tegen de verwerkingsverantwoordelijke en verwerker, zo kan dat vanaf dan ook via een soort ‘class action’.

3.    Gegevenslekken

Tenzij je een telecomoperator bent bestaat er in België onder het huidige regime geen verplichting om gegevenslekken te melden aan de Privacy Commissie. Dit verandert fundamenteel met de komst van de GDPR: bij een gegevenslek moet je dit binnen de 72 uur melden en in sommige gevallen moet je de betrokkenen zelf ook inlichten dat er een lek van hun gegevens heeft plaatsgevonden.

4.    De GDPR viseert nu ook loutere leveranciers (verwerkers)

Waar de Privacywet enkel verplichtingen oplegt aan verwerkingsverantwoordelijken, worden nu ook loutere verwerkers geviseerd. Verzamelt bijvoorbeeld een bedrijf jouw contactgegevens jou nieuwsbrieven te versturen, gebeurt het vaak dat het bedrijf de eigenlijke verzending hiervan uitbesteedt aan een marketing of communicatiebureau. Dit bureau zal onder de GDPR zich ook aan bepaalde regels moeten houden, bv. het garanderen van informatieveiligheid.

5.    Het aanstellen van een DPO

De GDPR roept een nieuwe functie in het leven, namelijk die van Data Protection Officer (‘DPO’, of in het Nederlands iets wat onhandig functionaris gegevensbescherming). Dit is een persoon die verantwoordelijk zal zijn voor de compliance met de GDPR binnen een bepaald bedrijf of overheid. Wil je weten of je een verplicht een DPO moet aanstellen? Maak gebruik van onze handige DPO-checker.