Op 14 september 2019 eindigde de overgangstermijn voor de nieuwe Europese betaalrichtlijn PSD2, de opvolger van PSD1. Voluit staat PSD voor ‘Payment Services Directive’. Het doel van deze richtlijn is het betaalverkeer vlotter laten verlopen. Los van de evidente toepassing van deze regelgeving in de financiële wereld en de bankensector, heeft PSD2 ook voor vele andere ondernemingen een impact.

De richtlijn werd in Belgisch recht omgezet door de wet van 11 maart 2018 betreffende het statuut van en het toezicht op de betalingsinstellingen en de instellingen voor elektronisch geld, de toegang tot het bedrijf van betalingsdienstaanbieder en tot de activiteit van uitgifte van elektronisch geld, en de toegang tot betalingssystemen.
Een aantal maanden geleden werd echter duidelijk dat het ecosysteem voor e-commerce nog niet klaar is voor de strikte toepassing van de vereisten rond de verplichte sterke klantenauthenticatie (of in het Engels strong customer authentication of SCA) vanaf 14 september 2019. Om die reden heeft de Nationale bank op 27 augustus een transitieperiode aangekondigd. Deze tendens is zichtbaar in heel Europa. Er zal een migratieplan worden uitgewerkt samen met de industrie om het volledige ecosysteem te migreren naar een strike toepassing van deze sterke klantenauthenticatie en dit binnen een meer realistische termijn.
PSD2 wil zorgen voor meer concurrentie en innovatie en wil drempels voor nieuwe toetreders tot de financiële markt wegnemen. Dit eengemaakte juridisch kader moet daarnaast leiden tot een eenvoudiger, efficiënter en veiliger betalingsverkeer binnen de Europese Unie.
Toegang tot betaalrekeningen door derden
Eén van de meest ingrijpende gevolgen van PSD2 is dat een consument aan derde partijen de toestemming kan geven om diens betaalrekeningen in te kijken. Wanneer er sprake is van uitdrukkelijke toestemming, mag de betalingsdienstaanbieder (of in het Engels een payment service provider of PSP) dit niet weigeren en is deze verplicht om de rekeninggegevens en dus zijn data-infrastructuur open te stellen voor derde partijen, mits deze derde partij erkend is door de Nationale Bank. Let wel, het gaat enkel om betaalrekeningen, wat betekent dat bijvoorbeeld spaarrekeningen of beleggingsrekeningen uitgesloten zijn.
Bovenstaande betekent dat het bijvoorbeeld mogelijk is om een overzicht te krijgen van alle rekeningen bij verschillende banken in één app. Dit kan een app van een betalingsdienstaanbieder zijn, maar ook een app van een onderneming die een eigen betaalapp aanbiedt. Dergelijke onderneming noemt men een rekeninginformatiedienstaanbieder (of in het Engels een account information service provider of AISP). Dit maakt de ontwikkeling van nieuwe businessmodellen mogelijk die gebruik van maken van financiële data, iets wat tot nu toe enkel mogelijk was voor banken aangezien deze data exclusief aan hen toebehoorde.
Naast het feit dat betaalrekeningen kunnen worden ingekeken door derde partijen, is het ook mogelijk om als onderneming een licentie te verkrijgen om zelf betaalverkeer rechtstreeks te initiëren. Een onderneming die zelf betalingen van consumenten rechtstreeks initieert noemt men een betalingsinitatiedienstaanbieder (of in het Engels payment initiation service provider of PISP). Denk bijvoorbeeld aan Amazon die dan rechtstreeks de betaling zal kunnen afhandelen via de zichtrekening van de consument. Er wordt verwacht dat vele e-commercespelers deze licentie zullen aanvragen en op die manier betalingen rechtstreeks zullen verwerken. Het verkrijgen van deze licentie is echter niet evident en er zijn hoge beveiligingseisen waaraan moet worden voldaan.

De Gentse school Sint-Bavo wil vanaf dit schooljaar een nieuw betaalsysteem invoeren dat gebruik maakt van de handpalm van leerlingen in plaats van het gebruik van cash geld, kaartjes of bonnetjes. Een drankje kopen of een kopie betalen kunnen leerlingen vanaf oktober doen door middel van het scannen van hun handpalm. Het gebruik van een app of badge werd overwogen maar uiteindelijk niet weerhouden als betaalmogelijkheid. De school stelt dat deze gegevens veilig en conform de GDPR zullen worden opgeslagen in een database van PALMKI, de achterliggende software. De onderhandelingen omtrent het contract met PALMKI bevinden zich in de laatste fase. De school, die het belang van innovatie benadrukt, stelt dat de keuze voor dit systeem weloverwogen is en breed wordt gedragen zowel bij het onderwijzend personeel, de ouders en de ouderraad. In deze blog onze mening waarom het geen goed idee is om leerlingen te laten betalen met handpalm.

 

Hoe zit het met je privacy?

Het is meteen duidelijk dat hier vanuit privacy-oogpunt veel vragen bij te stellen zijn. Net zoals vingerafdrukken zijn handpalmafdrukken biometrische en dus gevoelige gegevens. Voor het gebruik hiervan is toestemming van de betrokkene vereist. Aangezien het merendeel van de leerlingen minderjarig is, zullen de ouders moeten toestemmen in hun plaats. Een belangrijke eigenschap van de toestemming is dat deze ‘vrij’ moet zijn. Wanneer er geen alternatief beschikbaar is en je als het ware wordt gedwongen, kun je niet van vrije toestemming spreken. De school zal dus een alternatief moeten voorzien voor het betalingssysteem met de handpalm, anders kan er geen sprake zijn van een vrije toestemming en worden de persoonsgegevens niet conform de GDPR verwerkt, wat aanleiding kan geven tot sancties.
Een belangrijke wettelijke verplichting bij het verwerken van persoonsgegevens is de beveiliging ervan. De school moet als verwerkingsverantwoordelijke de nodige technische en organisatorische maatregelen nemen om deze gegevens afdoende te beveiligen. Of zoals David Stevens, de voorzitter van de Gegevensbeschermingsautoriteit (GBA) het zegt: “Als uw wachtwoord wordt gestolen, kunt u het altijd wijzigen, maar uw vinger kan u niet vervangen. Daarom is het noodzakelijk om het hoogste veiligheidsniveau voor dit soort gegevens te garanderen en deze nooit lichtzinnig te behandelen.” Of de school hiertoe in staat is, is nog maar de vraag. We denken liever niet aan de -opzettelijk of onopzettelijke- openbaarmaking van honderden handpalmafdrukken van minderjarigen. Eerder deze maand nog werd bekend dat er een datalek had plaatsgevonden bij Suprema: onderzoekers verkregen toegang tot miljoenen biometrische gegevens zoals vingerafdrukken en afbeeldingen die gezichtsherkenning toelaten, waaronder 2000 vingerafdrukken van de werknemers van Adecco in België. Datalekken zijn schering en inslag en dit voorbeeld maakt pijnlijk duidelijk dat ook biometrische gegevens de dans niet ontsnappen. Dit zet de deur open naar identiteitsdiefstal en ondermijnt alle veiligheidssystemen die gebaseerd zijn op biometrische gegevens.

Is dit echt nodig?
De vraag is ook of het verzamelen van deze biometrische persoonsgegevens proportioneel is t.a.v. het nagestreefde doel, met name het uitvoeren van een betaling. Er zijn tientallen andere manieren te bedenken om op een veilige en minder indringende manier hieraan uitvoering te geven en die ook allen innovatiever zijn dan gebruik maken van kaartjes of bonnetjes, zoals bijvoorbeeld een app.
Eind vorig jaar formuleerde de GBA uit eigen beweging een negatief advies omtrent de registratie van vingerafdrukken op de elektronische identiteitskaart. Een parallel kan worden getrokken tussen de registratie van vingerafdrukken en de registratie van een handpalmafdruk. In haar advies wijst de GBA op het principiële verbod op de verwerking van biometrische gegevens. Dit verbod kan slechts worden opgeheven indien de evenredigheid met het nagestreefde doel wordt gewaarborgd en passende en specifieke beschermingsmaatregelen worden getroffen. Deze zijn momenteel nog niet gekend, maar het is reëel dat de risico’s op hacking en misbruik onvoldoende afgeschermd zijn. Daarnaast wijst de GBA er in haar advies op dat er voor dergelijke verwerkingen voorafgaand een gegevensbeschermingseffectbeoordeling (GEB of DPIA) moet worden uitgevoerd. Het is niet duidelijk of dit gebeurde, maar het is evident dat voor een verwerking van dergelijke gevoelige persoonsgegevens op zo’n grote schaal zeker een DPIA dient plaats te vinden.
De directie van Sint-Bavo gaf al aan dat ze zouden bekijken welke alternatieven mogelijk zijn wanneer er bezwaren zouden rijzen. Ons lijkt het, gezien bovenstaande bekommernissen, raadzaam om meteen over te schakelen op deze -hopelijk niet biometrische- alternatieven en het gebruik van de handpalmafdruk te laten voor wat het is.

Zo’n 17% van de Belgische bedrijven was vorig jaar het slachtoffer van een succesvolle cyberaanval, zo blijkt uit onderzoek van Microsoft. Bedrijven maken zich dan ook terecht zorgen over de risico’s die cyberincidenten met zich mee kunnen brengen. Toch heeft 8 op de 10 paradoxaal genoeg geen plan om met een aanval om te gaan.

Tijdens deze opleiding,die we samen met Voka Oost-Vlaanderen organiseren, bekijken we de verschillende dreigingen, welke risico’s eraan verbonden zijn en hoe u uw bedrijf voldoende kan beschermen.

Op het programma staan:
• Het cybersecuritylandschap: dreigingen en risico’s.
• Beveiligingsmaatregelen a.d.h.v. praktische voorbeelden.
• Hoe sensibiliseer ik mijn medewerkers over de gevaren?
• Compliancy benadering: een wettelijk kader.
• Een vooruitblik: de toekomst van digitale veiligheid en privacy.

Wanneer?
Maandag 23 september 2019 van 13u30 tot 17u00 bij Voka Box in Gent

Inschrijven kan via Voka
Dit seminarie wordt georganiseerd in samenwerking met Voka. Inschrijven kan heel eenvoudig via hun website via deze link.
Indien je er niet bij kan zijn maar wel interesse hebt in deze topic dan kan je uiteraard altijd rechtstreeks contact opnemen met ons voor een vrijblijvend kennismakingsgesprek.
Tot gauw!

Gegevensbescherming in het licht van een no-deal Brexit

Op 23 juni 2016 stemde de bevolking van het Verenigd Koninkrijk over de gezamenlijke toekomst van het Verenigd Koninkrijk en de Europese Unie. Het referendum werd beslecht in het voordeel van diegenen die opteerden voor een zogenaamde Brexit, het uittreden van het Verenigd Koninkrijk uit de Europese Unie. Het uittreden zou op 29 maart 2019 om 23u lokale tijd moeten gebeuren, en vanaf 30 maart 2019 zou het Verenigd Koninkrijk geen deel meer uitmaken van de Europese Unie.

Er is evenwel nog steeds geen duidelijkheid op welke wijze deze uittreding zal gebeuren. Het Britse Lagerhuis raakt het maar niet eens over een Brexit-deal, waardoor de kans dat het Verenigd Koninkrijk de Europese Unie verlaat zonder deal niet onbestaande is. Wat betekent dit scenario eigenlijk voor gegevensbescherming en de transfer van persoonsgegevens van en naar het VK?

Verenigd Koninkrijk als derde-land

Het Verenigd Koninkrijk heeft in zijn European Union (Withdrawal) Act 2018 vastgesteld dat de Algemene Verordening Gegevensbescherming opgenomen zal worden in het nationale recht, in het geval van een no-deal. Dit betekent dat wat betreft de bescherming van persoonsgegevens voor inwoners van het VK dezelfde beschermingsstandaarden gehanteerd zullen worden. Op dit vlak wijzigt er vooralsnog niets.

De transfer van persoonsgegevens naar het Verenigd Koninkrijk wordt evenwel aan andere regels onderworpen, aangezien het VK geen lid meer zal zijn van de Europese Unie en gezien moet worden als een derde-land. De Algemene Verordening Gegevensbescherming wijdt een heel hoofdstuk aan de regelgeving omtrent de doorgiften van persoonsgegevens aan derde landen of internationale organisaties (Hoofdstuk V).

Transfers van persoonsgegevens naar derde landen zijn niet per definitie verboden, maar zijn slechts toegestaan indien de Europese Unie over genoeg garanties beschikt dat een zekere mate van gegevensbescherming voorzien kan worden. Dit is het geval indien er adequaatheidsbesluiten zijn uitgevaardigd door de Europese Commissie (art. 45), er passende waarborgen voorzien zijn (art. 46), er sprake is van bindende bedrijfsvoorschriften (art. 47) of er sprake is van specifieke situaties die afwijkingen toelaten (art. 49).

Adequaatheidsbesluit

Een adequaatheidsbesluit houdt in dat de Europese Commissie het derde land aanmerkt als een land met een passend beschermingsniveau. Er hoeven door een exporteur van gegevens geen extra waarborgen voorzien te worden. Een doorgifte van gegevens naar een land waarvoor een adequaatheidsbesluit geldt, wordt op deze wijze vergelijkbaar met de overdracht van gegevens binnen de Europese Unie. Dergelijk adequaatheidsbesluit bestaat (nog) niet voor het Verenigd Koninkrijk, aangezien dit niet nodig was.

Het is mogelijk dat de EU een adequaatheidsbesluit goedkeurt in de toekomst, al is het wat dat betreft nog koffiedik kijken. Het goedkeuren van een adequaatheidsbesluit zou hoe dan ook nog even op zich laten wachten, aangezien een procedure gevolgd moet worden waarbij verschillende instellingen betrokken zijn. Het moet voorgesteld worden door de Europese Commissie, vervolgens dient de EDPB hierover een opinie te formuleren, daarna dient goedkeuring  verleend te worden door afgevaardigden van de EU-landen en tenslotte moet het besluit aangenomen worden door de Europese Commissie. Zolang zo’n besluit niet bestaat voor het Verenigd Koninkrijk zal de overdracht van gegevens op een andere rechtsgrond moeten berusten.

Passende waarborgen

De overdracht van gegevens naar derde landen mag plaatsvinden indien er passende waarborgen worden geboden met betrekking tot gegevensbescherming en op voorwaarde dat de personen wiens gegevens verwerkt worden over afdwingbare rechten en rechtsmiddelen kunnen beschikken. Er bestaan verschillende instrumenten die garanderen dat er passende waarborgen voor handen zijn.

Bindende bedrijfsvoorschriften

Een eerste instrument is het gebruik van bindende bedrijfsvoorschriften (ofwel Binding Corporate rules). Ondernemingen die zich binnen eenzelfde ondernemingsgroep bevinden mogen hierbinnen gegevens uitwisselen, ook al bevinden niet alle ondernemingen zich op het grondgebied van de Europese Unie. Dit is evenwel enkel toegestaan indien er bindende bedrijfsvoorschriften voorhanden zijn en slechts indien ze in overeenstemming zijn met de Algemene Verordening Gegevensbescherming.

De bedrijfsvoorschriften moeten worden goedgekeurd via een omslachtige procedure door zowel de nationale bevoegde autoriteit als het European Data Protection Board (EDPB). Europese ondernemingen die samen in een ondernemingsgroep zitten met ondernemingen uit het Verenigd Koninkrijk kunnen dus op basis van deze bindende bedrijfsvoorschriften toch gegevens overmaken. Het is mogelijk dat voor een ondernemingsgroep reeds bindende bedrijfsvoorschriften golden en er dus geen nieuwe procedure tot goedkeuring moet worden ingesteld.

Standaard contractuele bepalingen

De overdracht van gegevens is ook toegestaan indien er gebruik wordt gemaakt van modelcontractbepalingen die zijn goedgekeurd door de Europese Commissie. De Europese Commissie heeft op dit moment drie categorieën van standaardbepalingen of modelcontracten goedgekeurd. Hier mogen door de partijen geen wijzigingen in aangebracht worden, al mogen ze wel worden opgenomen in een bredere overeenkomst.

Het gebruik van specifieke ad hoc contractuele bepalingen, als aanvullende wijzigingen van de standaardbepalingen, is ook toegestaan. Deze moeten echter wel goedgekeurd worden door de nationale gegevensbeschermingsautoriteit, nadat het EDPB hierover advies heeft gegeven.

Dit betekent dat Europese ondernemingen, willen ze gegevens overdragen naar het Verenigd Koninkrijk en in het geval er geen bindende bedrijfsvoorschriften voor handen zijn, hun bestaande contracten zullen moeten herzien en de standaardbepalingen in hun overeenkomst zullen moeten opnemen. Indien er geopteerd wordt om ad hoc contractuele bepalingen te voorzien dan zullen de gegevens pas overgedragen mogen worden nadat de ad hoc contractuele bepalingen zijn goedgekeurd.

Gedragscode of certificeringsmechanismen

Federaties of sectororganisaties kunnen ook gedragscodes of certificeringsmechanismen voorzien waarin naleving van de Algemene Verordening Gegevensbescherming voorzien wordt. Er zullen wel bindende en afdwingbare toezeggingen opgenomen moeten worden zodat de naleving ook effectief wordt verzekerd. Een grensoverschrijdende gedragscode zal goedgekeurd moeten worden door de Europese Gegevensbeschermingsautoriteit (EDPB).

Het uitwerken van gedragscodes, en de goedkeuring ervan is opnieuw gebonden aan een omslachtige procedure, waardoor dit nog niet meteen het meest flexibele instrument is om te voldoen aan de Algemene Verordening Gegevensbescherming.

Afwijkingen voor specifieke situaties

Tot slot zijn er nog verschillende afwijkingen die het mogelijk maken dat gegevens toch zullen worden overgedragen aan een derde-land zonder dat één van de hierboven beschreven instrumenten gebruikt moet worden.

  • Doorgifte is toegestaan wanneer een betrokken persoon expliciet instemt met de overdracht van persoonsgegevens nadat deze werd ingelicht over de risico’s van de overdracht;
  • Doorgifte is toegestaan indien ze noodzakelijk is voor de uitvoering (of het sluiten) van een overeenkomst tussen de betrokkene en de verwerkingsverantwoordelijke of voor de uitvoer van precontractuele maatregelen op verzoek van de betrokkene;
  • Doorgifte is noodzakelijk wegens zwaarwichtige redenen van algemeen belang;
  • Doorgifte is noodzakelijk voor het instellen of uitoefenen van een rechtsvordering;
  • Doorgifte is noodzakelijk in verband met dwingende en gerechtvaardigde belangen van de organisatie.

Deze afwijkingen zullen altijd geval per geval bekeken moeten worden. Het inwinnen van juridisch advies is aangeraden wegens de complexiteit van de materie.

Import van gegevens in de Europese Unie

De Europese Gegevensbeschermingsautoriteit heeft al laten weten dat er geen wijzigingen zullen optreden wat betreft de gegevensoverdracht van het VK naar de Europese Economische Ruimte, ook niet in het geval van een no-deal. Gegevens uit het VK zullen dus nog steeds mogen worden overgedragen zonder belemmeringen.

Wat kan u doen?

Het scenario van een no-deal Brexit is zeker niet uitgesloten. Het is dan ook ten zeerste aan te raden uw onderneming hierop voor te bereiden. Om blijvende naleving met de Algemene Verordening Gegevensbescherming te garanderen zijn er al verschillende stappen die u kan ondernemen.

Eerst en vooral: creëer een duidelijk overzicht wat betreft uw gegevensflow. Indien u gegevens deelt met het Verenigd Koninkrijk, ga dan na welk instrument het meest geschikt is om in overeenstemming te blijven met de Algemene Verordening Gegevensbescherming. Interne documenten, alsook de privacyverklaring zullen aangepast moeten worden om aan te duiden dat gegevens worden verzonden naar een derde land.

Om onzekerheden omtrent de correcte naleving van de Algemene Verordening Gegevensbescherming te verhelpen, kunt u ons kantoor steeds contacteren voor juridisch advies.

Wout Hendrick

 

Op 5 september 2018 is door de wetgever de “wet betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens” gepubliceerd. Zo goed als de gehele de wet is onmiddellijk van kracht gegaan. De wet in kwestie geeft uitvoering aan de GDPR, daarnaast wordt ook de richtlijn over het gebruik van persoonsgegevens door politie en strafrechtelijke autoriteiten erin omgezet.

Uitvoering van de verordening

Minderjarigen

GDPR gaf de lidstaten vrijheid in het vaststellen van de leeftijd waarop minderjarigen geacht worden rechtmatig hun toestemming te kunnen. De wetgever heeft besloten die leeftijd op 13 jaar te leggen. Als de minderjarige jonger is dan 13, zal de wettelijke vertegenwoordiger toestemming moeten geven.

Kinderen vanaf 13 jaar oud kunnen in België gebruik  maken van Facebook of Whatsapp zonder toestemming van hun ouders. (Minstens indien de voorwaarden van de service dit toelaten).

Specifieke verwerkingen

De wetgever heeft ook een lijst opgesteld met verwerkingen die zij als van zwaarwegend algemeen belang ziet. Bijvoorbeeld de verwerking beheerd door de stichting van openbaar nut “Stichting voor Vermiste en Seksueel Uitgebuite Kinderen”. Daarnaast zijn er ook heel wat beperkingen van de rechten van betrokkenen wanneer de verwerking gebeurt door de overheid, politiediensten, veiligheidsdiensten, etc. Ook de maatregelen die moeten genomen worden bij het verwerken van genetische, biometrische of gezondheidsgegevens worden gespecificeerd.

Uitzonderingen voor journalistieke doeleinden

Daarnaast moest het recht op privacy en het recht op informatie en vrijheid van meningsuiting worden afgewogen. De wetgever heeft dan ook specifieke uitzonderingen voorzien voor verwerkingen voor journalistiek en ten behoeve van academische, artistieke of literaire uitdrukkingsvormen.

Zo moet een journalist geen privacyverklaring bezorgen aan zijn geïnterviewde.

Definitie verwerking voor journalistieke doeleinden: “de voorbereiding, het verzamelen, opstellen, voortbrengen, verspreiden of archiveren ten behoeve van het informeren van het publiek, met behulp van elke media en waarbij de verwerkingsverantwoordelijke zich de naleving van journalistieke deontologische regels tot taak stelt”.

Vraag is in welke mate een (professionele) blogger, de naleving van die deontologie nastreeft en dus kan genieten van deze uitzonderingen?

Afdwingen in rechte

De voorzitter van de rechtbank van eerste aanleg is bevoegd om kennis te nemen van (stakings)vorderingen. De rechter waarborgt de afdwingen van deze wet en GDPR. Bijvoorbeeld een vordering tot verwijdering van persoonsgegevens. De procedure verloopt zoals in kortgeding en wordt ingesteld via verzoekschrift op tegenspraak.

We vertelden u all over de mogelijkheid tot een ‘class action‘ door een orgaan, organisatie of VZW . De wet bepaalt dat die actief moet zijn op het gebied van gegevensbescherming sedert ten minste drie jaar.

De Gegevensbeschermingsautoriteit (GBA) kan voortaan ook voor meer GDPR-verplichtingen corrigerende maatregelen nemen.

Strafrecht

Daarnaast bepaalt de wet ook de hoogte van de strafrechtelijke geldboetes die opgelegd kunnen worden voor overtredingen van de regelgeving. De GBA en het College van procureurs-generaal dienen een protocol af te sluiten met werkafspraken voor het geval zowel een administratieve als strafrechtelijke sanctie mogelijk is. Dit om het non bis in idem principe na te leven.

Tot het protocol er is, moet de procureur des Konings binnen de twee maanden na de ontvangst van het proces-verbaal melden aan de GBA of er strafrechtelijk zal vervolgd worden. Gebeurt dit niet, dan is enkel nog een administratieve sanctie mogelijk.

Tot slot verklaart de wet dat alle bepalingen van boek I van het Strafwetboek kunnen worden toegepast op de misdrijven omschreven bij deze wet of bij uitvoeringsbesluiten ervan, inclusief straffen voor deelneming aan een misdrijf en verzachtende omstandigheden.

De federale minsterraad keurde recent een voorontwerp van wet goed over de hervorming van de Commissie voor de bescherming van de persoonlijke levenssfeer (de Privacycommissie). Nadat het voorontwerp voor advies is voorgelegd aan de Raad van State (afdeling wetgeving) en desgevallend aangepast, wordt het wetsontwerp ingediend in de Kamer. Wij houden u op de hoogte wanneer het wetsontwerp beschikbaar wordt.

Privacycommissie wordt Gegevensbeschermingsautoriteit (GBA)

Vanwege de veranderende digitale wereld en het binnenkort van toepassing worden van de General Data Protection Regulation (Lees onze blogpost voor meer informatie over de GDPR) is een hervorming van de Privacycommissie noodzakelijk geworden. De structuur van de Privacycommissie zal fundamenteel wijzigen.

Meest in het oog springende verandering is de naamswijziging, binnenkort spreken we over de Gegevensbeschermingsautoriteit (GBA).

Wat zal de GBA doen?

Onderzoeksorgaan

De rol van de Privacycommissie als onderzoeksorgaan wordt versterkt. In de toekomst zal de GBA actief toezien op de bescherming van het grondrecht dat bescherming van persoonsgegevens is. Dit betekent dat het meer middelen en mogelijkheden zal krijgen om onderzoeksdaden te verrichten en klachten te behandelen.

Er wordt een getrapte procedure voorzien om organisaties aan te manen:

Escalatiemechanisme GBA

Escalatiemechanisme GBA – Bron: Presscenter.org

De overige taken van de GBA blijven grotendeels dezelfde

  • Begeleiding en advisering via guidelines
  • Sanctionering (wel met hogere boetes zoals voorzien in de GDPR)

Dit geeft volgende structuur:

GBA Structuur

Structuur GBA – Bron: Presscenter.org