Op 31 januari 2020 verscheen aanbeveling 02/2020 van de Gegevensbeschermingsautoriteit (GBA) omtrent de draagwijdte van de verplichting voor de federale publieke sector om protocollen af te sluiten wanneer persoonsgegevens worden medegedeeld. In een vorige blog vertellen we je alles over deze aanbeveling.

In deze blog focussen we op de voorwaarden waaraan moet voldaan zijn opdat een protocol verplicht zou zijn. Wat is precies een federale overheid? En wat als de modaliteiten van een bepaalde gegevensuitwisseling al in de wet werden uitgeschreven? Hoeft dat dan nog, zo’n protocol?

1.  Vijf cumulatieve voorwaarden

Er zijn vijf cumulatieve voorwaarden waaraan moet worden voldaan opdat het afsluiten van een protocol verplicht is:

  1. Het moet gaan om een federale overheid die persoonsgegevens meedeelt in de hoedanigheid van verwerkingsverantwoordelijke;
  2. De mededeling gebeurt ofwel om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust (art. 6, 1. c) AVG) of is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen (art. 6, 1. e) AVG);
  3. De modaliteiten van de mededeling zijn niet voorzien in een wet- of regelgevende norm;
  4. De mededeling gebeurt systematisch of, indien dit niet het geval is, wordt gedaan aan personen of instellingen die niet gerechtigd zijn deze te verkrijgen krachtens een wettelijke opdracht;
  5. De ontvanger van de mededeling bevindt zich in België en ontvangt de persoonsgegevens in de hoedanigheid van verwerkingsverantwoordelijke.

2.  Federale overheid

Het moet gaan om een federale overheid die handelt als verwerkingsverantwoordelijke. Het begrip ‘federale overheid’ omvat

  • de federale staat;
  • de rechtspersonen van publiek recht die van de federale staat afhangen (bv. de Nationale Bank);
  • de rechtspersonen die zijn opgericht met het specifieke doel te voorzien in behoeften van algemeen belang die niet van industriële of commerciële aard zijn én waarvan hetzij de activiteiten in hoofdzaak door de federale staat of één of meer rechtspersonen van publiek recht die ervan afhangen, worden gefinancierd, hetzij het beheer onderworpen is aan toezicht door de federale staat of één of meer rechtspersonen van publiek recht die ervan afhangen, hetzij de leden van het bestuursorgaan, leidinggevend orgaan of toezichthoudend orgaan voor meer dan de helft door de federale staat of één of meer rechtspersonen van publiek recht die ervan afhangen zijn aangewezen (bv. Bpost, NMBS of Skeyes);
  • de verenigingen bestaande uit één of meer van de zonet beschreven overheden.

Tussen twee private ondernemingen moet dus in geen enkel geval een protocol worden afgesloten aangezien een protocol slechts verplicht is wanneer de mededeler een federale overheid is. Een mededeling kan echter wel gebeuren aan een private onderneming, dus indien u als private onderneming persoonsgegevens ontvangt van een federale overheid is het mogelijk dat een protocol verplicht is. Hiervoor leest u best nog even verder.

3.  Grond van doorgifte is ofwel wettelijke verplichting ofwel taak in algemeen belang of uitoefening openbaar gezag

Het afsluiten van een protocol is verplicht wanneer de mededeling gebeurt ofwel om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust of noodzakelijk is voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen. Wanneer in zeer uitzonderlijk geval beroep wordt gedaan op een andere rechtsgrond, is het afsluiten van een protocol niet verplicht.

We brengen graag even in herinnering dat een mededeling van persoonsgegevens steeds moet berusten op een rechtsgrond en de zonet beschreven rechtsgronden zijn twee van de zes mogelijkheden. Overheden kunnen zich ook op andere rechtsgronden beroepen, nl. toestemming, uitvoering van een overeenkomst of bescherming van vitale belangen. De rechtsgrond van het gerechtvaardigd belang kan niet worden ingeroepen door een overheid bij de uitoefening van hun opdrachten van openbare dienst.

Daarnaast brengen we ook graag in herinnering dat een overheid enkel persoonsgegevens mag verwerken (en dus meedelen) wanneer deze mededeling noodzakelijk is voor het naleven van een verplichting die door of krachtens een wettelijke bepaling aan die overheid is opgelegd of als deze mededeling noodzakelijk is voor de uitvoering van een taak van algemeen belang die aan de overheid is toegewezen door of krachtens een wet. Een protocol kan nooit de rechtsgrondslag zijn voor de verwerking van persoonsgegevens.

De overgrote meerderheid van de verwerkingen van persoonsgegevens door een overheid, zullen dus berusten op de verwerkingsgrond van de wettelijke verplichting of de uitvoering van een taak in het algemeen belang of het openbaar gezag. Het kan echter niet volledig worden uitgesloten dat zoals reeds gezegd in bepaalde, zeer uitzonderlijke omstandigheden, een mededeling door een federale overheid toch kan berusten op een andere rechtsgrond. Een protocol zal hier echter niet noodzakelijk zijn.

4.  De modaliteiten van de mededeling zijn niet voorzien in een wet- of regelgevende norm

Wanneer een wet of andere regelgevende norm reeds uitdrukkelijk vastlegt aan wie persoonsgegevens worden doorgegeven, welke categorieën van persoonsgegevens worden doorgegeven, wanneer dit zal gebeuren en waarom, dan hoeft voor deze mededeling geen additioneel protocol te worden opgemaakt. Dit omdat de verwerking (en dus de mededeling) al voldoende in een algemene reglementering werd geregeld.

5.  De mededeling gebeurt systematisch of wordt gedaan aan personen of instellingen die niet gerechtigd zijn deze te verkrijgen krachtens een wettelijke opdracht

Een protocol is verplicht wanneer de mededeling systematisch gebeurt of wanneer de mededeling gedaan wordt aan personen/instellingen die niet gerechtigd zijn deze persoonsgegevens te verkrijgen krachtens een wettelijke opdracht. Dit betekent dat indien de mededeling punctueel en niet systematisch is, een protocol niet verplicht is, behalve indien deze gedaan wordt aan personen/instellingen die niet gerechtigd zijn deze persoonsgegevens te verkrijgen krachtens een wettelijke opdracht. Men spreekt van een punctuele mededeling wanneer deze eenmalig is. Elke mededeling die vaker gebeurt dan eenmalig, dient te worden geformaliseerd in een protocol.

Wanneer een mededeling van persoonsgegevens gebeurt aan personen of instellingen die niet gerechtigd zijn deze te verkrijgen krachtens een wettelijke opdracht, is een protocol steeds verplicht, ook al is deze doorgifte eenmalig.

6.  De ontvanger van de mededeling bevindt zich in België en ontvangt de persoonsgegevens in de hoedanigheid van verwerkingsverantwoordelijke

De ontvanger ontvangt de gegevens als verwerkingsverantwoordelijke

Opdat een protocol verplicht is, dient de ontvanger van de persoonsgegevens een verwerkingsverantwoordelijke te zijn. De verwerkingsverantwoordelijke is de partij die de doeleinden en de middelen van de verwerking bepaalt en die verwerkers kan inschakelen die op diens instructie handelen. De verwerkingsverantwoordelijke kan een overheidsinstantie of privé-organisatie zijn, maar dient dus steeds op te treden in de hoedanigheid van verwerkingsverantwoordelijke (en niet als verwerker, want dan is geen protocol vereist).

De verplichting om een overeenkomst af te sluiten wanneer persoonsgegevens worden meegedeeld, blijft echter overeind. Wanneer een federale overheid een verwerker inschakelt, zal hiermee een verwerkersovereenkomst moeten worden afgesloten die voldoet aan de voorwaarden zoals bepaald in de AVG. [1] Ook wanneer twee verwerkingsverantwoordelijken optreden als gezamenlijke verwerkingsverantwoordelijke, dient geen protocol maar een andere overeenkomst (in casu een gezamenlijke verwerkingsovereenkomst) te worden afgesloten.[2]

Bepaalde stromen zijn expliciet uitgesloten van het toepassingsgebied van art. 20 WVG dat de verplichting oplegt om een protocol af te sluiten indien aan de voorwaarden is voldaan. Dit zijn de stromen tussen politiediensten, stromen tussen inlichtingen- en veiligheidsdiensten en stromen naar de sociale zekerheidsinstellingen. Dit omdat mededelingen tussen politiediensten niet worden beschouwd als mededelingen naar een andere ontvanger maar als interne mededelingen, inlichtingen- en veiligheidsdiensten geen “ontvanger” zijn zoals gedefinieerd in de AVG en mededelingen aan sociale zekerheidsinstellingen moeten worden goedgekeurd door het informatieveiligheidscomité. We gaven dit graag even mee, een meer vergaande bespreking echter van deze uitzonderingen zou ons in het kader van deze uiteenzetting te ver leiden. Met vragen kunt u uiteraard steeds bij ons terecht.

De ontvanger bevindt zich in België

Wat de doorgifte naar het buitenland betreft: dergelijke mededeling is niet onderworpen aan de protocolverplichting omdat “het vrije verkeer van persoonsgegevens binnen de Unie niet wordt beperkt of verboden om redenen die verband houden met de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens”.[3] De AVG moet uiteraard wel nog steeds worden nageleefd, dus een ander soort overeenkomst die voldoet aan de vereisten gesteld in de AVG, zal nog steeds noodzakelijk zijn en daarnaast moeten ook de bepalingen van hoofdstuk V van de AVG, die handelen over doorgiften naar landen bij de E.E.R., worden nageleefd.

7.  Conclusie

Indien een federale overheid die optreedt als verwerkingsverantwoordelijke systematisch gegevens wil meedelen aan een andere partij die ook optreedt als verwerkingsverantwoordelijke en zich in België bevindt, is een protocol verplicht.

Voor een eenmalige uitwisseling is een protocol in principe niet verplicht, behalve wanneer de ontvanger een persoon of instelling is die niet gerechtigd is deze te verkrijgen krachtens een wettelijke opdracht.

Er zijn dus vele relaties denkbaar binnen dewelke een protocol verplicht zal zijn indien men persoonsgegevens wil uitwisselen. Op zoek naar meer informatie of hulp bij de opmaak van een protocol? Contacteer ons.

 

 

 

[1] Art. 28 AVG

[2] Aanbeveling 02/2020 van de Gegevensbeschermingsautoriteit betreffende de draagwijdte van de verplichting om een protocol te sluiten om de mededelingen van persoonsgegevens door de federale publieke sector te formaliseren

[3] Art. 1 AVG

Op 17 september 2019 legde de Gegevensbeschermingsautoriteit (hierna GBA) een boete van €10 000 op aan een drankenhandel die de eID van diens klanten inlas om een klantenkaart aan te maken. De boete werd opgelegd nadat een klant een klacht had ingediend omdat de drankenhandelaar tweemaal, in verschillende vestigingen, weigerde een klantenkaart aan te maken zonder het inlezen van de eID. Het Marktenhof heeft echter op 19 februari 2020 de drankenhandel in het gelijk gesteld en de beslissing van de GBA vernietigd. In wat volgt, schetsen we kort de klacht, de bestreden beslissing en het beroep bij het Marktenhof. We eindigen met een toelichting over het gebruik van de eID.

De oorspronkelijke klacht en de beslissing van de GBA

Enkele maanden voor het opleggen van de boete schakelde de drankenhandel in kwestie over op een nieuw kassasysteem, wat toeliet om over te stappen van een papieren klantenkaart naar een elektronische klantenkaart. Dit nieuwe kassasysteem liet eveneens toe om de barcode van de eID in te scannen en op die manier de aankopen van de klant te registreren. De drankenhandel kon op die manier een overzicht bijhouden van de aankopen van de klant en kon desgewenst een klantenvoordelen toekennen vanaf een bepaald aankoopbedrag.

De klant die de klacht indiende (hierna de betrokkene) wenste echter haar eID niet laten inlezen en verkoos om de nodige gegevens op papier neer te schrijven om zo de klantenkaart alsnog te kunnen aanmaken. De drankenhandel was hier echter niet mee akkoord en deelde aan de betrokkene mee dat hun werkwijze voor de aanmaak van een klantenkaart het inlezen van de eID is. Dit voorval herhaalde zich tweemaal, in een verschillend filiaal.

De betrokkene was niet akkoord met het tweemaal afwijzen van haar verzoek om de klantenkaart aan te maken, louter omdat ze haar eID niet wenste te laten inlezen. Ze diende op 28 augustus 2018 dan ook klacht in bij de GBA.

De Inspectiedienst van de GBA maakte een inspectieverslag op en maakte dit over aan de Geschillenkamer, die bij beslissing van 17 september 2019 een administratieve geldboete van €10 000 oplegde aan de drankenhandel.

Het inspectieverslag noteerde volgende inbreuken:

  • Inbreuk op het beginsel van de minimale gegevensverwerking (art. 5.1.c) AVG): volgens de GBA was het rijksregisternummer een persoonsgegeven dat niet ter zake diende, alsook de gegevens ‘geslacht’ en ‘geboortedatum’. Daarnaast is het gebruik van de eID onderworpen aan de eID-wetgeving;
  • inbreuk op het beginsel van de rechtmatigheid van de verwerking (art. 6.1 AVG): er was geen rechtsgrond voorhanden voor de desbetreffende verwerking, aangezien men zich volgens de GBA niet op de toestemming kon beroepen aangezien er geen alternatief beschikbaar was;
  • inbreuk op de informatieverplichting (art. 13.1.c), 13.1.e) en art. 13.2.a) AVG): er werd aan de betrokkene onvoldoende informatie verstrekt en deze was ook niet steeds helder.

Drankenhandel stelt beroep in bij Marktenhof

De drankenhandel was het niet eens met de beslissing van de GBA en stelde beroep in bij het Marktenhof, dat exclusief bevoegd is voor het beroep tegen beslissingen van de geschillenkamer van de GBA (zie hiervoor art. 108, §2 van de GBA-wet) en dat steeds in eerste en laatste aanleg oordeelt.

De drankenhandel werd door het Marktenhof in het gelijk gesteld en dit om de volgende redenen:

  • De GBA verwijst naar de nieuwe eID wetgeving die vereist dat het inlezen van de eID de toestemming van de houder vereist en dat wanneer aan de burger een voordeel of dienst wordt aangeboden via zijn eID, er een alternatief ter beschikking moet worden gesteld. Deze nieuwe eID wetgeving trad echter pas in werking op 23 december 2018, enkele maanden na het indienen van de klacht, en mocht niet retroactief worden toegepast door de GBA. Daarnaast verwijst de GBA ook naar de Aanbeveling nr. 03/2011 over de eID, maar aangezien deze geen wettelijke kracht heeft, aanvaardde het Marktenhof niet dat de GBA zich hierop beriep.
  • De GBA stelt dat er een inbreuk werd gepleegd op het beginsel van de minimale gegevensverwerking omdat het geslacht en de geboortedatum worden gevraagd door de drankenhandel. De betrokkene had echter geweigerd om haar eID te laten inlezen, wat betekent dat deze persoonsgegevens niet werden verwerkt en er dus ook geen inbreuk plaatsvond en kan worden aangetoond.
  • De GBA stelt dat de klantenkaart niet wordt gebruikt ter controle van het verbod van verkoop van alcohol aan minderjarigen en dat de betrokkene nadeel lijdt door het feit dat ze kortingen kan mislopen zonder klantenkaart. Dit zijn volgens het Marktenhof onbewezen assumpties. Dat de betrokkene geen klantenkaart heeft en dus mogelijks kortingen misloopt, is volgens het Hof geen nadeel maar louter het verloren gaan van een mogelijk extra voordeel.
  • De GBA had enkele inbreuken vastgesteld met betrekking tot de informatieverstrekking, waarop de drankenhandel deze toegaf en aangaf bijkomende maatregelen te zullen treffen.

Het Marktenhof was van mening dat de opgelegde boete van €10 000 niet voldoende was gemotiveerd en dat de GBA zich had moeten laten leiden door de criteria van de ernst van de inbreuk, de duur van de inbreuk en de nodige afschrikwekkende werking om nieuwe inbreuken te voorkomen, maar “de GBA bepaalt evidenter wijze zelf welke sanctie volgens haar passend is”, zo stelt het Marktenhof. De GBA had op z’n minst moeten motiveren waarom het opleggen van een minder vergaande sanctie niet mogelijk was.

Het Marktenhof stelt ook nog dat een inbreukpleger voordat hij gesanctioneerd wordt kennis moet krijgen van de aard van de sanctie die de toezichthouder overweegt en van de omvang ervan (in het geval een geldboete wordt overwogen). Een inbreukpleger moet met andere woorden worden gewaarschuwd en moet de mogelijkheid krijgen zich te verdedigen vooraleer een sanctie wordt opgelegd en uitgevoerd.

De opgelegde geldboete is dan ook onwettig, zo besliste het Marktenhof.

Hoe zit het op vandaag met het inlezen van de eID?

Zoals hierboven al staat geschreven, is de wetgeving rond het gebruik van de eID recentelijk gewijzigd (de Wet van 19 juli 1991, zoals gewijzigd door artikel 27 van de Wet van 25 november 2018). Het valt dus te betwisten of het Marktenhof op dezelfde wijze zou oordelen vandaag.

De eID-wetgeving bepaalt dat er een onderscheid moet worden gemaakt tussen gevoeligere en minder gevoelige persoonsgegevens. Zo is het rijksregisternummer en de foto een persoonsgegeven dat als gevoeliger wordt beschouwd en deze mogen dan ook niet zomaar worden verwerkt: de verwerking moet expliciet bij wet, decreet of ordonnantie worden toegelaten. Andere minder gevoelige persoonsgegevens mogen worden verwerkt op voorwaarde dat dit in overeenstemming met de AVG gebeurt.

Daarnaast bepaalt de eID-wetgeving dat voor het gebruik van de eID de toestemming van de betrokkene vereist is. Deze toestemming moet voldoen aan de voorwaarden die de AVG bepaalt en moet dus vrij, specifiek en geïnformeerd zijn. Vrij betekent dat een betrokkene moet kunnen weigeren zonder hiervan een nadeel te ondervinden, wat impliceert dat een alternatief moet worden geboden.

Indien u gebruik wenst te maken van de eID van een betrokkene voor de aanmaak van een klantenkaart of voor het verlenen van een andere dienst, is het van belang om bovenstaande regelgeving op te volgen. Naast het vragen van de toestemming en het bieden van een alternatief is het ook van belang om het beginsel van de minimale gegevensverwerking steeds in het achterhoofd te houden.

Heeft u nog vragen met betrekking tot gegevensverwerking of het gebruik van de eID voor het aanbieden van bepaalde diensten? Contacteer ons.

Over de verwerking van persoonsgegevens voor marketingdoeleinden werd al veel gezegd en geschreven. Toch bleek nog niet alles voldoende duidelijk en om die reden wijdde de Gegevensbeschermingsautoriteit (GBA) op 17 januari van dit jaar haar eerste aanbeveling van het jaar aan dit onderwerp. Het volledige document kan je hier terugvinden. In deze blog behandelen we de kernpunten en geven we een antwoord op de meest gestelde vragen.

1.  Wat is direct marketing?

Laat ons beginnen bij het begin: wat is direct marketing precies? In haar aanbeveling definieert de GBA direct marketing als volgt:

“Elke communicatie, in welke vorm dan ook, gevraagd of ongevraagd, afkomstig van een organisatie of persoon en gericht op de promotie of verkoop van diensten, producten (al dan niet tegen betaling), alsmede merken of ideeën, geadresseerd door een organisatie of persoon die handelt in een commerciële of niet-commerciële context, die rechtstreeks gericht is aan een of meer natuurlijke personen in een privé- of professionele context en die de verwerking van persoonsgegevens met zich meebrengt.”

Het begrip ‘marketing’ moet dus niet noodzakelijk worden opgevat als boodschap met commercieel oogpunt of lucratieve doeleinden. Een e-mail uitgestuurd door een NGO die strijdt tegen vervuiling naar al diens leden om hen te informeren over alle wereldwijde acties de momenteel gevoerd worden, zonder hierbij om financiële ondersteuning te vragen of zonder goederen en diensten te promoten, is een direct marketing e-mail.

Ook belangrijk om in gedachten te houden is dat, wanneer geen persoonsgegevens worden verwerkt, men niet spreekt of ‘direct marketing’ en de GDPR dus geen toepassing zal vinden. Een reclamefolder die in ieders bus wordt gestopt of een banner op een website die aan iedere bezoeker wordt getoond, is geen vorm van direct marketing aangezien er hiervoor geen persoonsgegevens worden verzameld om bepaalde personen te benaderen. Ook mededelingen door overheden voor bepaalde campagnes die ze voeren (bv. vaccinatiecampagnes) of het promoten van diensten waarvoor ze wettelijk verantwoordelijk zijn, is geen direct marketing. Ook marktonderzoek, peilingen en enquêtes zijn geen vorm van direct marketing indien ze geen promotie bevatten en er via deze weg geen gegevens worden ingezameld voor direct marketing doeleinden.

2. Wat met verkoop, verhuur en verrijking van persoonsgegevens?

Bedrijven die persoonsgegevens doorgeven, verkopen of verhuren, zogenaamde data brokers, aan andere bedrijven voor direct marketing doeleinden, zijn verplicht de betrokkenen hierover uitdrukkelijk te informeren én hun voorafgaande toestemming te vragen.

Deze verplichting geldt ook wanneer zij persoonsgegevens verrijken met gegevens afkomstig uit andere databanken. Transparantie is cruciaal om gegevens eerlijk en rechtmatig te kunnen verwerken.

Indien u persoonsgegevens doorgeeft, dient u de ondernemingen aan wie u deze verkoopt of verhuurt, op te nemen in uw privacyverklaring. Indien dit niet mogelijk is, dient u minstens de sector en de verrichte activiteiten te vermelden, alsook concreet de activiteiten die ze van plan zijn om uit te voeren te omschrijven.

Wanneer uw onderneming samenwerkt met data brokers om marketingcampagnes te verbeteren en bij hen persoonsgegevens op te vragen waarover u niet beschikt, bent u verplicht om de betrokkene te informeren (o.a. over de verwerkingsdoeleinden, de identiteit van de verwerkingsverantwoordelijke, …) uiterlijk op het moment van contactname.

Bovendien is het uw verantwoordelijkheid om de kwaliteit van de gegevens na te gaan en met zorg de partners waarmee u samenwerkt te selecteren. Zij dienen u te kunnen garanderen dat de persoonsgegevens eerlijk en rechtmatig werden verzameld. Het is uw taak om de herkomst van de gegevens na te gaan, hoe ze werden verzameld, op welke rechtsgrond, door wie, voor welke doeleinden, gedurende welke termijn en voor welke verwerkingen.

3. Rechtsgrond: toestemming of gerechtvaardigde belangen?

3.1 Rechtsgronden: meerdere opties

Indien u persoonsgegevens verwerkt, dient u te beschikken over een rechtsgrond. De GDPR geeft zes opties: 1) toestemming, 2) uitvoering van een overeenkomst, 3) voldoen aan een wettelijke verplichting, 4) bescherming van vitale belangen, 5) vervulling van een taak van algemeen belang of in het kader van de uitoefening van het openbaar gezag, of 6) gerechtvaardigd belang.

3.2 Toestemming

Voor direct marketing zijn alvast slechts twee gronden mogelijk: de toestemming of het gerechtvaardigd belang. Toestemming is de meest gebruikte optie en is in sommige gevallen ook verplicht en dus de enige optie.

3.3 Gerechtvaardigd belang

In bepaalde gevallen zal u gebruik kunnen maken van de rechtsgrond ‘gerechtvaardigd belang’. Dit betekent dat uw organisatie een gerechtvaardigd belang heeft om bepaalde persoonsgegevens te verwerken voor een bepaalde verwerkingsactiviteit. Dit betekent dat u geen toestemming nodig heeft van de betrokkene. Het gebruik van de rechtsgrond van het gerechtvaardigd belang brengt wel enkele verplichtingen met zich mee: u dient een belangenafweging te maken en deze te documenteren.

Een aanvaard gebruik van het gerechtvaardigd belang als rechtsgrond, is voor het verzenden van marketingcommunicatie aan huidige klanten van wie u de toestemming had verkregen voorafgaand aan de inwerkingtreding van de GDPR. De klanten van wie u toen een geldige toestemming had verkregen, onder de Privacyrichtlijn (in België omgezet in privacywet van 8 december 1992) die aan de GDPR voorafging, mag u op grond van het gerechtvaardigd belang marketingcommunicatie blijven toezenden, op voorwaarde dat 1) de betrokkenen hierover transparant werden ingelicht en 2) zij zich ten allen tijde hiertegen kunnen verzetten. Zoals reeds gezegd, dient u deze belangenafweging te documenteren.

3.4 Redelijke verwachtingen

Bij het gebruik van het gerechtvaardigd belang is het belangrijk dat er sprake is van een relatie met de betrokkene: indien deze louter een prospect was of er is al in heel lange tijd geen contact meer, dan kunt u geen beroep doen op het gerechtvaardigd belang. De reden hiervoor is dat dé graadmeter om de mogelijke toepassing van het gerechtvaardigd belang na te gaan, de redelijke verwachtingen van de ontvanger zijn. Verwacht de ontvanger van deze marketingcommunicatie om deze te ontvangen? Indien het antwoord hier ‘nee’ is, kan het gerechtvaardigd belang niet worden ingeroepen.

De e-Privacyrichtlijn bepaalt dat het elektronisch versturen van ongevraagde direct marketing berichten voor commerciële doeleinden sowieso is onderworpen aan de voorafgaande toestemming. Het gerechtvaardigd belang zal hier in geen geval kunnen worden ingeroepen. De e-Privacyrichtlijn voorziet één uitzondering, deze wordt in de volgende alinea besproken.

4. Ter herinnering: de soft-opt in

Voor e-mails gericht aan klanten die reeds een aankoop deden en die soortgelijke producten of diensten aanprijzen, is in de wet een toepassing van het gerechtvaardigd belang voorzien.

De e-Privacyrichtlijn zoals in België omgezet in de Telecomwet voorziet in een zogenaamde “soft opt-in”-uitzondering voor elektronische post met het oog op direct marketing, gericht aan bestaande klanten van wie een organisatie de elektronische contactgegevens heeft verkregen in het kader van de verkoop van een product of dienst.

Deze soft-opt in uitzondering laat dus toe dat direct marketing e-mails zonder toestemming worden verstuurd op voorwaarde dat:

  • de contactgegevens werden verkregen in het kader van de verkoop van een product of dienst;
  • de e-mail gaat over producten of diensten die soortgelijk zijn aan diegenen die je al hebt verkocht aan die klant;
  • de klant duidelijk en uitdrukkelijk de mogelijkheid wordt geboden om bezwaar te maken;
    • die mogelijkheid wordt geboden op het moment dat de contactgegevens worden verzameld;
    • én op het moment van elk bericht.

In wezen komen deze vereisten overeen met een afweging van het gerechtvaardigd belang, met name dat er bij de betrokkene een redelijke verwachting is voor het ontvangen van die direct marketing.

5. Transparantie

Tot slot: wees transparant. Om in lijn te zijn met de GDPR is het van uiterst belang om transparant te zijn ten opzichte van de betrokkenen. Communiceer steeds in heldere en eenvoudige taal. Een privacyverklaring moet vlot leesbaar én vlot vindbaar zijn. Ze moet daarnaast ook alle informatie bevatten die art. 13-14 GDPR bepaalt.

Indien u persoonsgegevens inzamelt bij de betrokkene zelf, dient u deze te informeren op het moment van de inzameling. Indien u persoonsgegevens niet rechtstreeks van de betrokkene verkrijgt, dient u de info te verstrekken binnen een redelijke termijn, uiterlijk binnen één maand na de verkrijging van de persoonsgegevens en op het moment van het eerste contact met de betrokkene, indien de persoonsgegevens zullen worden gebruikt voor communicatie met de betrokkene.

Op 14 september 2019 eindigde de overgangstermijn voor de nieuwe Europese betaalrichtlijn PSD2, de opvolger van PSD1. Voluit staat PSD voor ‘Payment Services Directive’. Het doel van deze richtlijn is het betaalverkeer vlotter laten verlopen. Los van de evidente toepassing van deze regelgeving in de financiële wereld en de bankensector, heeft PSD2 ook voor vele andere ondernemingen een impact.

De richtlijn werd in Belgisch recht omgezet door de wet van 11 maart 2018 betreffende het statuut van en het toezicht op de betalingsinstellingen en de instellingen voor elektronisch geld, de toegang tot het bedrijf van betalingsdienstaanbieder en tot de activiteit van uitgifte van elektronisch geld, en de toegang tot betalingssystemen.
Een aantal maanden geleden werd echter duidelijk dat het ecosysteem voor e-commerce nog niet klaar is voor de strikte toepassing van de vereisten rond de verplichte sterke klantenauthenticatie (of in het Engels strong customer authentication of SCA) vanaf 14 september 2019. Om die reden heeft de Nationale bank op 27 augustus een transitieperiode aangekondigd. Deze tendens is zichtbaar in heel Europa. Er zal een migratieplan worden uitgewerkt samen met de industrie om het volledige ecosysteem te migreren naar een strike toepassing van deze sterke klantenauthenticatie en dit binnen een meer realistische termijn.
PSD2 wil zorgen voor meer concurrentie en innovatie en wil drempels voor nieuwe toetreders tot de financiële markt wegnemen. Dit eengemaakte juridisch kader moet daarnaast leiden tot een eenvoudiger, efficiënter en veiliger betalingsverkeer binnen de Europese Unie.
Toegang tot betaalrekeningen door derden
Eén van de meest ingrijpende gevolgen van PSD2 is dat een consument aan derde partijen de toestemming kan geven om diens betaalrekeningen in te kijken. Wanneer er sprake is van uitdrukkelijke toestemming, mag de betalingsdienstaanbieder (of in het Engels een payment service provider of PSP) dit niet weigeren en is deze verplicht om de rekeninggegevens en dus zijn data-infrastructuur open te stellen voor derde partijen, mits deze derde partij erkend is door de Nationale Bank. Let wel, het gaat enkel om betaalrekeningen, wat betekent dat bijvoorbeeld spaarrekeningen of beleggingsrekeningen uitgesloten zijn.
Bovenstaande betekent dat het bijvoorbeeld mogelijk is om een overzicht te krijgen van alle rekeningen bij verschillende banken in één app. Dit kan een app van een betalingsdienstaanbieder zijn, maar ook een app van een onderneming die een eigen betaalapp aanbiedt. Dergelijke onderneming noemt men een rekeninginformatiedienstaanbieder (of in het Engels een account information service provider of AISP). Dit maakt de ontwikkeling van nieuwe businessmodellen mogelijk die gebruik van maken van financiële data, iets wat tot nu toe enkel mogelijk was voor banken aangezien deze data exclusief aan hen toebehoorde.
Naast het feit dat betaalrekeningen kunnen worden ingekeken door derde partijen, is het ook mogelijk om als onderneming een licentie te verkrijgen om zelf betaalverkeer rechtstreeks te initiëren. Een onderneming die zelf betalingen van consumenten rechtstreeks initieert noemt men een betalingsinitatiedienstaanbieder (of in het Engels payment initiation service provider of PISP). Denk bijvoorbeeld aan Amazon die dan rechtstreeks de betaling zal kunnen afhandelen via de zichtrekening van de consument. Er wordt verwacht dat vele e-commercespelers deze licentie zullen aanvragen en op die manier betalingen rechtstreeks zullen verwerken. Het verkrijgen van deze licentie is echter niet evident en er zijn hoge beveiligingseisen waaraan moet worden voldaan.

De Gentse school Sint-Bavo wil vanaf dit schooljaar een nieuw betaalsysteem invoeren dat gebruik maakt van de handpalm van leerlingen in plaats van het gebruik van cash geld, kaartjes of bonnetjes. Een drankje kopen of een kopie betalen kunnen leerlingen vanaf oktober doen door middel van het scannen van hun handpalm. Het gebruik van een app of badge werd overwogen maar uiteindelijk niet weerhouden als betaalmogelijkheid. De school stelt dat deze gegevens veilig en conform de GDPR zullen worden opgeslagen in een database van PALMKI, de achterliggende software. De onderhandelingen omtrent het contract met PALMKI bevinden zich in de laatste fase. De school, die het belang van innovatie benadrukt, stelt dat de keuze voor dit systeem weloverwogen is en breed wordt gedragen zowel bij het onderwijzend personeel, de ouders en de ouderraad. In deze blog onze mening waarom het geen goed idee is om leerlingen te laten betalen met handpalm.

 

Hoe zit het met je privacy?

Het is meteen duidelijk dat hier vanuit privacy-oogpunt veel vragen bij te stellen zijn. Net zoals vingerafdrukken zijn handpalmafdrukken biometrische en dus gevoelige gegevens. Voor het gebruik hiervan is toestemming van de betrokkene vereist. Aangezien het merendeel van de leerlingen minderjarig is, zullen de ouders moeten toestemmen in hun plaats. Een belangrijke eigenschap van de toestemming is dat deze ‘vrij’ moet zijn. Wanneer er geen alternatief beschikbaar is en je als het ware wordt gedwongen, kun je niet van vrije toestemming spreken. De school zal dus een alternatief moeten voorzien voor het betalingssysteem met de handpalm, anders kan er geen sprake zijn van een vrije toestemming en worden de persoonsgegevens niet conform de GDPR verwerkt, wat aanleiding kan geven tot sancties.
Een belangrijke wettelijke verplichting bij het verwerken van persoonsgegevens is de beveiliging ervan. De school moet als verwerkingsverantwoordelijke de nodige technische en organisatorische maatregelen nemen om deze gegevens afdoende te beveiligen. Of zoals David Stevens, de voorzitter van de Gegevensbeschermingsautoriteit (GBA) het zegt: “Als uw wachtwoord wordt gestolen, kunt u het altijd wijzigen, maar uw vinger kan u niet vervangen. Daarom is het noodzakelijk om het hoogste veiligheidsniveau voor dit soort gegevens te garanderen en deze nooit lichtzinnig te behandelen.” Of de school hiertoe in staat is, is nog maar de vraag. We denken liever niet aan de -opzettelijk of onopzettelijke- openbaarmaking van honderden handpalmafdrukken van minderjarigen. Eerder deze maand nog werd bekend dat er een datalek had plaatsgevonden bij Suprema: onderzoekers verkregen toegang tot miljoenen biometrische gegevens zoals vingerafdrukken en afbeeldingen die gezichtsherkenning toelaten, waaronder 2000 vingerafdrukken van de werknemers van Adecco in België. Datalekken zijn schering en inslag en dit voorbeeld maakt pijnlijk duidelijk dat ook biometrische gegevens de dans niet ontsnappen. Dit zet de deur open naar identiteitsdiefstal en ondermijnt alle veiligheidssystemen die gebaseerd zijn op biometrische gegevens.

Is dit echt nodig?
De vraag is ook of het verzamelen van deze biometrische persoonsgegevens proportioneel is t.a.v. het nagestreefde doel, met name het uitvoeren van een betaling. Er zijn tientallen andere manieren te bedenken om op een veilige en minder indringende manier hieraan uitvoering te geven en die ook allen innovatiever zijn dan gebruik maken van kaartjes of bonnetjes, zoals bijvoorbeeld een app.
Eind vorig jaar formuleerde de GBA uit eigen beweging een negatief advies omtrent de registratie van vingerafdrukken op de elektronische identiteitskaart. Een parallel kan worden getrokken tussen de registratie van vingerafdrukken en de registratie van een handpalmafdruk. In haar advies wijst de GBA op het principiële verbod op de verwerking van biometrische gegevens. Dit verbod kan slechts worden opgeheven indien de evenredigheid met het nagestreefde doel wordt gewaarborgd en passende en specifieke beschermingsmaatregelen worden getroffen. Deze zijn momenteel nog niet gekend, maar het is reëel dat de risico’s op hacking en misbruik onvoldoende afgeschermd zijn. Daarnaast wijst de GBA er in haar advies op dat er voor dergelijke verwerkingen voorafgaand een gegevensbeschermingseffectbeoordeling (GEB of DPIA) moet worden uitgevoerd. Het is niet duidelijk of dit gebeurde, maar het is evident dat voor een verwerking van dergelijke gevoelige persoonsgegevens op zo’n grote schaal zeker een DPIA dient plaats te vinden.
De directie van Sint-Bavo gaf al aan dat ze zouden bekijken welke alternatieven mogelijk zijn wanneer er bezwaren zouden rijzen. Ons lijkt het, gezien bovenstaande bekommernissen, raadzaam om meteen over te schakelen op deze -hopelijk niet biometrische- alternatieven en het gebruik van de handpalmafdruk te laten voor wat het is.

Zo’n 17% van de Belgische bedrijven was vorig jaar het slachtoffer van een succesvolle cyberaanval, zo blijkt uit onderzoek van Microsoft. Bedrijven maken zich dan ook terecht zorgen over de risico’s die cyberincidenten met zich mee kunnen brengen. Toch heeft 8 op de 10 paradoxaal genoeg geen plan om met een aanval om te gaan.

Tijdens deze opleiding,die we samen met Voka Oost-Vlaanderen organiseren, bekijken we de verschillende dreigingen, welke risico’s eraan verbonden zijn en hoe u uw bedrijf voldoende kan beschermen.

Op het programma staan:
• Het cybersecuritylandschap: dreigingen en risico’s.
• Beveiligingsmaatregelen a.d.h.v. praktische voorbeelden.
• Hoe sensibiliseer ik mijn medewerkers over de gevaren?
• Compliancy benadering: een wettelijk kader.
• Een vooruitblik: de toekomst van digitale veiligheid en privacy.

Wanneer?
Maandag 23 september 2019 van 13u30 tot 17u00 bij Voka Box in Gent

Inschrijven kan via Voka
Dit seminarie wordt georganiseerd in samenwerking met Voka. Inschrijven kan heel eenvoudig via hun website via deze link.
Indien je er niet bij kan zijn maar wel interesse hebt in deze topic dan kan je uiteraard altijd rechtstreeks contact opnemen met ons voor een vrijblijvend kennismakingsgesprek.
Tot gauw!

Gegevensbescherming in het licht van een no-deal Brexit

Op 23 juni 2016 stemde de bevolking van het Verenigd Koninkrijk over de gezamenlijke toekomst van het Verenigd Koninkrijk en de Europese Unie. Het referendum werd beslecht in het voordeel van diegenen die opteerden voor een zogenaamde Brexit, het uittreden van het Verenigd Koninkrijk uit de Europese Unie. Het uittreden zou op 29 maart 2019 om 23u lokale tijd moeten gebeuren, en vanaf 30 maart 2019 zou het Verenigd Koninkrijk geen deel meer uitmaken van de Europese Unie.

Er is evenwel nog steeds geen duidelijkheid op welke wijze deze uittreding zal gebeuren. Het Britse Lagerhuis raakt het maar niet eens over een Brexit-deal, waardoor de kans dat het Verenigd Koninkrijk de Europese Unie verlaat zonder deal niet onbestaande is. Wat betekent dit scenario eigenlijk voor gegevensbescherming en de transfer van persoonsgegevens van en naar het VK?

Verenigd Koninkrijk als derde-land

Het Verenigd Koninkrijk heeft in zijn European Union (Withdrawal) Act 2018 vastgesteld dat de Algemene Verordening Gegevensbescherming opgenomen zal worden in het nationale recht, in het geval van een no-deal. Dit betekent dat wat betreft de bescherming van persoonsgegevens voor inwoners van het VK dezelfde beschermingsstandaarden gehanteerd zullen worden. Op dit vlak wijzigt er vooralsnog niets.

De transfer van persoonsgegevens naar het Verenigd Koninkrijk wordt evenwel aan andere regels onderworpen, aangezien het VK geen lid meer zal zijn van de Europese Unie en gezien moet worden als een derde-land. De Algemene Verordening Gegevensbescherming wijdt een heel hoofdstuk aan de regelgeving omtrent de doorgiften van persoonsgegevens aan derde landen of internationale organisaties (Hoofdstuk V).

Transfers van persoonsgegevens naar derde landen zijn niet per definitie verboden, maar zijn slechts toegestaan indien de Europese Unie over genoeg garanties beschikt dat een zekere mate van gegevensbescherming voorzien kan worden. Dit is het geval indien er adequaatheidsbesluiten zijn uitgevaardigd door de Europese Commissie (art. 45), er passende waarborgen voorzien zijn (art. 46), er sprake is van bindende bedrijfsvoorschriften (art. 47) of er sprake is van specifieke situaties die afwijkingen toelaten (art. 49).

Adequaatheidsbesluit

Een adequaatheidsbesluit houdt in dat de Europese Commissie het derde land aanmerkt als een land met een passend beschermingsniveau. Er hoeven door een exporteur van gegevens geen extra waarborgen voorzien te worden. Een doorgifte van gegevens naar een land waarvoor een adequaatheidsbesluit geldt, wordt op deze wijze vergelijkbaar met de overdracht van gegevens binnen de Europese Unie. Dergelijk adequaatheidsbesluit bestaat (nog) niet voor het Verenigd Koninkrijk, aangezien dit niet nodig was.

Het is mogelijk dat de EU een adequaatheidsbesluit goedkeurt in de toekomst, al is het wat dat betreft nog koffiedik kijken. Het goedkeuren van een adequaatheidsbesluit zou hoe dan ook nog even op zich laten wachten, aangezien een procedure gevolgd moet worden waarbij verschillende instellingen betrokken zijn. Het moet voorgesteld worden door de Europese Commissie, vervolgens dient de EDPB hierover een opinie te formuleren, daarna dient goedkeuring  verleend te worden door afgevaardigden van de EU-landen en tenslotte moet het besluit aangenomen worden door de Europese Commissie. Zolang zo’n besluit niet bestaat voor het Verenigd Koninkrijk zal de overdracht van gegevens op een andere rechtsgrond moeten berusten.

Passende waarborgen

De overdracht van gegevens naar derde landen mag plaatsvinden indien er passende waarborgen worden geboden met betrekking tot gegevensbescherming en op voorwaarde dat de personen wiens gegevens verwerkt worden over afdwingbare rechten en rechtsmiddelen kunnen beschikken. Er bestaan verschillende instrumenten die garanderen dat er passende waarborgen voor handen zijn.

Bindende bedrijfsvoorschriften

Een eerste instrument is het gebruik van bindende bedrijfsvoorschriften (ofwel Binding Corporate rules). Ondernemingen die zich binnen eenzelfde ondernemingsgroep bevinden mogen hierbinnen gegevens uitwisselen, ook al bevinden niet alle ondernemingen zich op het grondgebied van de Europese Unie. Dit is evenwel enkel toegestaan indien er bindende bedrijfsvoorschriften voorhanden zijn en slechts indien ze in overeenstemming zijn met de Algemene Verordening Gegevensbescherming.

De bedrijfsvoorschriften moeten worden goedgekeurd via een omslachtige procedure door zowel de nationale bevoegde autoriteit als het European Data Protection Board (EDPB). Europese ondernemingen die samen in een ondernemingsgroep zitten met ondernemingen uit het Verenigd Koninkrijk kunnen dus op basis van deze bindende bedrijfsvoorschriften toch gegevens overmaken. Het is mogelijk dat voor een ondernemingsgroep reeds bindende bedrijfsvoorschriften golden en er dus geen nieuwe procedure tot goedkeuring moet worden ingesteld.

Standaard contractuele bepalingen

De overdracht van gegevens is ook toegestaan indien er gebruik wordt gemaakt van modelcontractbepalingen die zijn goedgekeurd door de Europese Commissie. De Europese Commissie heeft op dit moment drie categorieën van standaardbepalingen of modelcontracten goedgekeurd. Hier mogen door de partijen geen wijzigingen in aangebracht worden, al mogen ze wel worden opgenomen in een bredere overeenkomst.

Het gebruik van specifieke ad hoc contractuele bepalingen, als aanvullende wijzigingen van de standaardbepalingen, is ook toegestaan. Deze moeten echter wel goedgekeurd worden door de nationale gegevensbeschermingsautoriteit, nadat het EDPB hierover advies heeft gegeven.

Dit betekent dat Europese ondernemingen, willen ze gegevens overdragen naar het Verenigd Koninkrijk en in het geval er geen bindende bedrijfsvoorschriften voor handen zijn, hun bestaande contracten zullen moeten herzien en de standaardbepalingen in hun overeenkomst zullen moeten opnemen. Indien er geopteerd wordt om ad hoc contractuele bepalingen te voorzien dan zullen de gegevens pas overgedragen mogen worden nadat de ad hoc contractuele bepalingen zijn goedgekeurd.

Gedragscode of certificeringsmechanismen

Federaties of sectororganisaties kunnen ook gedragscodes of certificeringsmechanismen voorzien waarin naleving van de Algemene Verordening Gegevensbescherming voorzien wordt. Er zullen wel bindende en afdwingbare toezeggingen opgenomen moeten worden zodat de naleving ook effectief wordt verzekerd. Een grensoverschrijdende gedragscode zal goedgekeurd moeten worden door de Europese Gegevensbeschermingsautoriteit (EDPB).

Het uitwerken van gedragscodes, en de goedkeuring ervan is opnieuw gebonden aan een omslachtige procedure, waardoor dit nog niet meteen het meest flexibele instrument is om te voldoen aan de Algemene Verordening Gegevensbescherming.

Afwijkingen voor specifieke situaties

Tot slot zijn er nog verschillende afwijkingen die het mogelijk maken dat gegevens toch zullen worden overgedragen aan een derde-land zonder dat één van de hierboven beschreven instrumenten gebruikt moet worden.

  • Doorgifte is toegestaan wanneer een betrokken persoon expliciet instemt met de overdracht van persoonsgegevens nadat deze werd ingelicht over de risico’s van de overdracht;
  • Doorgifte is toegestaan indien ze noodzakelijk is voor de uitvoering (of het sluiten) van een overeenkomst tussen de betrokkene en de verwerkingsverantwoordelijke of voor de uitvoer van precontractuele maatregelen op verzoek van de betrokkene;
  • Doorgifte is noodzakelijk wegens zwaarwichtige redenen van algemeen belang;
  • Doorgifte is noodzakelijk voor het instellen of uitoefenen van een rechtsvordering;
  • Doorgifte is noodzakelijk in verband met dwingende en gerechtvaardigde belangen van de organisatie.

Deze afwijkingen zullen altijd geval per geval bekeken moeten worden. Het inwinnen van juridisch advies is aangeraden wegens de complexiteit van de materie.

Import van gegevens in de Europese Unie

De Europese Gegevensbeschermingsautoriteit heeft al laten weten dat er geen wijzigingen zullen optreden wat betreft de gegevensoverdracht van het VK naar de Europese Economische Ruimte, ook niet in het geval van een no-deal. Gegevens uit het VK zullen dus nog steeds mogen worden overgedragen zonder belemmeringen.

Wat kan u doen?

Het scenario van een no-deal Brexit is zeker niet uitgesloten. Het is dan ook ten zeerste aan te raden uw onderneming hierop voor te bereiden. Om blijvende naleving met de Algemene Verordening Gegevensbescherming te garanderen zijn er al verschillende stappen die u kan ondernemen.

Eerst en vooral: creëer een duidelijk overzicht wat betreft uw gegevensflow. Indien u gegevens deelt met het Verenigd Koninkrijk, ga dan na welk instrument het meest geschikt is om in overeenstemming te blijven met de Algemene Verordening Gegevensbescherming. Interne documenten, alsook de privacyverklaring zullen aangepast moeten worden om aan te duiden dat gegevens worden verzonden naar een derde land.

Om onzekerheden omtrent de correcte naleving van de Algemene Verordening Gegevensbescherming te verhelpen, kunt u ons kantoor steeds contacteren voor juridisch advies.

Wout Hendrick

 

Op 5 september 2018 is door de wetgever de “wet betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens” gepubliceerd. Zo goed als de gehele de wet is onmiddellijk van kracht gegaan. De wet in kwestie geeft uitvoering aan de GDPR, daarnaast wordt ook de richtlijn over het gebruik van persoonsgegevens door politie en strafrechtelijke autoriteiten erin omgezet.

Uitvoering van de verordening

Minderjarigen

GDPR gaf de lidstaten vrijheid in het vaststellen van de leeftijd waarop minderjarigen geacht worden rechtmatig hun toestemming te kunnen. De wetgever heeft besloten die leeftijd op 13 jaar te leggen. Als de minderjarige jonger is dan 13, zal de wettelijke vertegenwoordiger toestemming moeten geven.

Kinderen vanaf 13 jaar oud kunnen in België gebruik  maken van Facebook of Whatsapp zonder toestemming van hun ouders. (Minstens indien de voorwaarden van de service dit toelaten).

Specifieke verwerkingen

De wetgever heeft ook een lijst opgesteld met verwerkingen die zij als van zwaarwegend algemeen belang ziet. Bijvoorbeeld de verwerking beheerd door de stichting van openbaar nut “Stichting voor Vermiste en Seksueel Uitgebuite Kinderen”. Daarnaast zijn er ook heel wat beperkingen van de rechten van betrokkenen wanneer de verwerking gebeurt door de overheid, politiediensten, veiligheidsdiensten, etc. Ook de maatregelen die moeten genomen worden bij het verwerken van genetische, biometrische of gezondheidsgegevens worden gespecificeerd.

Uitzonderingen voor journalistieke doeleinden

Daarnaast moest het recht op privacy en het recht op informatie en vrijheid van meningsuiting worden afgewogen. De wetgever heeft dan ook specifieke uitzonderingen voorzien voor verwerkingen voor journalistiek en ten behoeve van academische, artistieke of literaire uitdrukkingsvormen.

Zo moet een journalist geen privacyverklaring bezorgen aan zijn geïnterviewde.

Definitie verwerking voor journalistieke doeleinden: “de voorbereiding, het verzamelen, opstellen, voortbrengen, verspreiden of archiveren ten behoeve van het informeren van het publiek, met behulp van elke media en waarbij de verwerkingsverantwoordelijke zich de naleving van journalistieke deontologische regels tot taak stelt”.

Vraag is in welke mate een (professionele) blogger, de naleving van die deontologie nastreeft en dus kan genieten van deze uitzonderingen?

Afdwingen in rechte

De voorzitter van de rechtbank van eerste aanleg is bevoegd om kennis te nemen van (stakings)vorderingen. De rechter waarborgt de afdwingen van deze wet en GDPR. Bijvoorbeeld een vordering tot verwijdering van persoonsgegevens. De procedure verloopt zoals in kortgeding en wordt ingesteld via verzoekschrift op tegenspraak.

We vertelden u all over de mogelijkheid tot een ‘class action‘ door een orgaan, organisatie of VZW . De wet bepaalt dat die actief moet zijn op het gebied van gegevensbescherming sedert ten minste drie jaar.

De Gegevensbeschermingsautoriteit (GBA) kan voortaan ook voor meer GDPR-verplichtingen corrigerende maatregelen nemen.

Strafrecht

Daarnaast bepaalt de wet ook de hoogte van de strafrechtelijke geldboetes die opgelegd kunnen worden voor overtredingen van de regelgeving. De GBA en het College van procureurs-generaal dienen een protocol af te sluiten met werkafspraken voor het geval zowel een administratieve als strafrechtelijke sanctie mogelijk is. Dit om het non bis in idem principe na te leven.

Tot het protocol er is, moet de procureur des Konings binnen de twee maanden na de ontvangst van het proces-verbaal melden aan de GBA of er strafrechtelijk zal vervolgd worden. Gebeurt dit niet, dan is enkel nog een administratieve sanctie mogelijk.

Tot slot verklaart de wet dat alle bepalingen van boek I van het Strafwetboek kunnen worden toegepast op de misdrijven omschreven bij deze wet of bij uitvoeringsbesluiten ervan, inclusief straffen voor deelneming aan een misdrijf en verzachtende omstandigheden.

De federale minsterraad keurde recent een voorontwerp van wet goed over de hervorming van de Commissie voor de bescherming van de persoonlijke levenssfeer (de Privacycommissie). Nadat het voorontwerp voor advies is voorgelegd aan de Raad van State (afdeling wetgeving) en desgevallend aangepast, wordt het wetsontwerp ingediend in de Kamer. Wij houden u op de hoogte wanneer het wetsontwerp beschikbaar wordt.

Privacycommissie wordt Gegevensbeschermingsautoriteit (GBA)

Vanwege de veranderende digitale wereld en het binnenkort van toepassing worden van de General Data Protection Regulation (Lees onze blogpost voor meer informatie over de GDPR) is een hervorming van de Privacycommissie noodzakelijk geworden. De structuur van de Privacycommissie zal fundamenteel wijzigen.

Meest in het oog springende verandering is de naamswijziging, binnenkort spreken we over de Gegevensbeschermingsautoriteit (GBA).

Wat zal de GBA doen?

Onderzoeksorgaan

De rol van de Privacycommissie als onderzoeksorgaan wordt versterkt. In de toekomst zal de GBA actief toezien op de bescherming van het grondrecht dat bescherming van persoonsgegevens is. Dit betekent dat het meer middelen en mogelijkheden zal krijgen om onderzoeksdaden te verrichten en klachten te behandelen.

Er wordt een getrapte procedure voorzien om organisaties aan te manen:

Escalatiemechanisme GBA

Escalatiemechanisme GBA – Bron: Presscenter.org

De overige taken van de GBA blijven grotendeels dezelfde

  • Begeleiding en advisering via guidelines
  • Sanctionering (wel met hogere boetes zoals voorzien in de GDPR)

Dit geeft volgende structuur:

GBA Structuur

Structuur GBA – Bron: Presscenter.org