Berichten

Op 31 januari 2020 verscheen aanbeveling 02/2020 van de Gegevensbeschermingsautoriteit (GBA) omtrent de draagwijdte van de verplichting voor de federale publieke sector om protocollen af te sluiten wanneer persoonsgegevens worden medegedeeld. In een vorige blog vertellen we je alles over deze aanbeveling.

In deze blog focussen we op de voorwaarden waaraan moet voldaan zijn opdat een protocol verplicht zou zijn. Wat is precies een federale overheid? En wat als de modaliteiten van een bepaalde gegevensuitwisseling al in de wet werden uitgeschreven? Hoeft dat dan nog, zo’n protocol?

1.  Vijf cumulatieve voorwaarden

Er zijn vijf cumulatieve voorwaarden waaraan moet worden voldaan opdat het afsluiten van een protocol verplicht is:

  1. Het moet gaan om een federale overheid die persoonsgegevens meedeelt in de hoedanigheid van verwerkingsverantwoordelijke;
  2. De mededeling gebeurt ofwel om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust (art. 6, 1. c) AVG) of is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen (art. 6, 1. e) AVG);
  3. De modaliteiten van de mededeling zijn niet voorzien in een wet- of regelgevende norm;
  4. De mededeling gebeurt systematisch of, indien dit niet het geval is, wordt gedaan aan personen of instellingen die niet gerechtigd zijn deze te verkrijgen krachtens een wettelijke opdracht;
  5. De ontvanger van de mededeling bevindt zich in België en ontvangt de persoonsgegevens in de hoedanigheid van verwerkingsverantwoordelijke.

2.  Federale overheid

Het moet gaan om een federale overheid die handelt als verwerkingsverantwoordelijke. Het begrip ‘federale overheid’ omvat

  • de federale staat;
  • de rechtspersonen van publiek recht die van de federale staat afhangen (bv. de Nationale Bank);
  • de rechtspersonen die zijn opgericht met het specifieke doel te voorzien in behoeften van algemeen belang die niet van industriële of commerciële aard zijn én waarvan hetzij de activiteiten in hoofdzaak door de federale staat of één of meer rechtspersonen van publiek recht die ervan afhangen, worden gefinancierd, hetzij het beheer onderworpen is aan toezicht door de federale staat of één of meer rechtspersonen van publiek recht die ervan afhangen, hetzij de leden van het bestuursorgaan, leidinggevend orgaan of toezichthoudend orgaan voor meer dan de helft door de federale staat of één of meer rechtspersonen van publiek recht die ervan afhangen zijn aangewezen (bv. Bpost, NMBS of Skeyes);
  • de verenigingen bestaande uit één of meer van de zonet beschreven overheden.

Tussen twee private ondernemingen moet dus in geen enkel geval een protocol worden afgesloten aangezien een protocol slechts verplicht is wanneer de mededeler een federale overheid is. Een mededeling kan echter wel gebeuren aan een private onderneming, dus indien u als private onderneming persoonsgegevens ontvangt van een federale overheid is het mogelijk dat een protocol verplicht is. Hiervoor leest u best nog even verder.

3.  Grond van doorgifte is ofwel wettelijke verplichting ofwel taak in algemeen belang of uitoefening openbaar gezag

Het afsluiten van een protocol is verplicht wanneer de mededeling gebeurt ofwel om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust of noodzakelijk is voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen. Wanneer in zeer uitzonderlijk geval beroep wordt gedaan op een andere rechtsgrond, is het afsluiten van een protocol niet verplicht.

We brengen graag even in herinnering dat een mededeling van persoonsgegevens steeds moet berusten op een rechtsgrond en de zonet beschreven rechtsgronden zijn twee van de zes mogelijkheden. Overheden kunnen zich ook op andere rechtsgronden beroepen, nl. toestemming, uitvoering van een overeenkomst of bescherming van vitale belangen. De rechtsgrond van het gerechtvaardigd belang kan niet worden ingeroepen door een overheid bij de uitoefening van hun opdrachten van openbare dienst.

Daarnaast brengen we ook graag in herinnering dat een overheid enkel persoonsgegevens mag verwerken (en dus meedelen) wanneer deze mededeling noodzakelijk is voor het naleven van een verplichting die door of krachtens een wettelijke bepaling aan die overheid is opgelegd of als deze mededeling noodzakelijk is voor de uitvoering van een taak van algemeen belang die aan de overheid is toegewezen door of krachtens een wet. Een protocol kan nooit de rechtsgrondslag zijn voor de verwerking van persoonsgegevens.

De overgrote meerderheid van de verwerkingen van persoonsgegevens door een overheid, zullen dus berusten op de verwerkingsgrond van de wettelijke verplichting of de uitvoering van een taak in het algemeen belang of het openbaar gezag. Het kan echter niet volledig worden uitgesloten dat zoals reeds gezegd in bepaalde, zeer uitzonderlijke omstandigheden, een mededeling door een federale overheid toch kan berusten op een andere rechtsgrond. Een protocol zal hier echter niet noodzakelijk zijn.

4.  De modaliteiten van de mededeling zijn niet voorzien in een wet- of regelgevende norm

Wanneer een wet of andere regelgevende norm reeds uitdrukkelijk vastlegt aan wie persoonsgegevens worden doorgegeven, welke categorieën van persoonsgegevens worden doorgegeven, wanneer dit zal gebeuren en waarom, dan hoeft voor deze mededeling geen additioneel protocol te worden opgemaakt. Dit omdat de verwerking (en dus de mededeling) al voldoende in een algemene reglementering werd geregeld.

5.  De mededeling gebeurt systematisch of wordt gedaan aan personen of instellingen die niet gerechtigd zijn deze te verkrijgen krachtens een wettelijke opdracht

Een protocol is verplicht wanneer de mededeling systematisch gebeurt of wanneer de mededeling gedaan wordt aan personen/instellingen die niet gerechtigd zijn deze persoonsgegevens te verkrijgen krachtens een wettelijke opdracht. Dit betekent dat indien de mededeling punctueel en niet systematisch is, een protocol niet verplicht is, behalve indien deze gedaan wordt aan personen/instellingen die niet gerechtigd zijn deze persoonsgegevens te verkrijgen krachtens een wettelijke opdracht. Men spreekt van een punctuele mededeling wanneer deze eenmalig is. Elke mededeling die vaker gebeurt dan eenmalig, dient te worden geformaliseerd in een protocol.

Wanneer een mededeling van persoonsgegevens gebeurt aan personen of instellingen die niet gerechtigd zijn deze te verkrijgen krachtens een wettelijke opdracht, is een protocol steeds verplicht, ook al is deze doorgifte eenmalig.

6.  De ontvanger van de mededeling bevindt zich in België en ontvangt de persoonsgegevens in de hoedanigheid van verwerkingsverantwoordelijke

De ontvanger ontvangt de gegevens als verwerkingsverantwoordelijke

Opdat een protocol verplicht is, dient de ontvanger van de persoonsgegevens een verwerkingsverantwoordelijke te zijn. De verwerkingsverantwoordelijke is de partij die de doeleinden en de middelen van de verwerking bepaalt en die verwerkers kan inschakelen die op diens instructie handelen. De verwerkingsverantwoordelijke kan een overheidsinstantie of privé-organisatie zijn, maar dient dus steeds op te treden in de hoedanigheid van verwerkingsverantwoordelijke (en niet als verwerker, want dan is geen protocol vereist).

De verplichting om een overeenkomst af te sluiten wanneer persoonsgegevens worden meegedeeld, blijft echter overeind. Wanneer een federale overheid een verwerker inschakelt, zal hiermee een verwerkersovereenkomst moeten worden afgesloten die voldoet aan de voorwaarden zoals bepaald in de AVG. [1] Ook wanneer twee verwerkingsverantwoordelijken optreden als gezamenlijke verwerkingsverantwoordelijke, dient geen protocol maar een andere overeenkomst (in casu een gezamenlijke verwerkingsovereenkomst) te worden afgesloten.[2]

Bepaalde stromen zijn expliciet uitgesloten van het toepassingsgebied van art. 20 WVG dat de verplichting oplegt om een protocol af te sluiten indien aan de voorwaarden is voldaan. Dit zijn de stromen tussen politiediensten, stromen tussen inlichtingen- en veiligheidsdiensten en stromen naar de sociale zekerheidsinstellingen. Dit omdat mededelingen tussen politiediensten niet worden beschouwd als mededelingen naar een andere ontvanger maar als interne mededelingen, inlichtingen- en veiligheidsdiensten geen “ontvanger” zijn zoals gedefinieerd in de AVG en mededelingen aan sociale zekerheidsinstellingen moeten worden goedgekeurd door het informatieveiligheidscomité. We gaven dit graag even mee, een meer vergaande bespreking echter van deze uitzonderingen zou ons in het kader van deze uiteenzetting te ver leiden. Met vragen kunt u uiteraard steeds bij ons terecht.

De ontvanger bevindt zich in België

Wat de doorgifte naar het buitenland betreft: dergelijke mededeling is niet onderworpen aan de protocolverplichting omdat “het vrije verkeer van persoonsgegevens binnen de Unie niet wordt beperkt of verboden om redenen die verband houden met de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens”.[3] De AVG moet uiteraard wel nog steeds worden nageleefd, dus een ander soort overeenkomst die voldoet aan de vereisten gesteld in de AVG, zal nog steeds noodzakelijk zijn en daarnaast moeten ook de bepalingen van hoofdstuk V van de AVG, die handelen over doorgiften naar landen bij de E.E.R., worden nageleefd.

7.  Conclusie

Indien een federale overheid die optreedt als verwerkingsverantwoordelijke systematisch gegevens wil meedelen aan een andere partij die ook optreedt als verwerkingsverantwoordelijke en zich in België bevindt, is een protocol verplicht.

Voor een eenmalige uitwisseling is een protocol in principe niet verplicht, behalve wanneer de ontvanger een persoon of instelling is die niet gerechtigd is deze te verkrijgen krachtens een wettelijke opdracht.

Er zijn dus vele relaties denkbaar binnen dewelke een protocol verplicht zal zijn indien men persoonsgegevens wil uitwisselen. Op zoek naar meer informatie of hulp bij de opmaak van een protocol? Contacteer ons.

 

 

 

[1] Art. 28 AVG

[2] Aanbeveling 02/2020 van de Gegevensbeschermingsautoriteit betreffende de draagwijdte van de verplichting om een protocol te sluiten om de mededelingen van persoonsgegevens door de federale publieke sector te formaliseren

[3] Art. 1 AVG

Op 31 januari 2020 verscheen aanbeveling 02/2020 van de Gegevensbeschermingsautoriteit (GBA) omtrent de draagwijdte van de verplichting voor de federale publieke sector om protocollen af te sluiten wanneer persoonsgegevens worden medegedeeld. Het begrip ‘mededeling’ dient hier breed te worden geïnterpreteerd en gaat bijvoorbeeld ook over het toegang verlenen tot persoonsgegevens.

Deze verplichting ligt vervat in de Wet Verwerking Persoonsgegevens (WVG) en trad in werking op 1 april 2019.[1] Na de inwerkingtreding rezen echt vele vragen en om die reden tracht de GBA met deze nieuwe aanbeveling duidelijkheid te brengen.

In wat volgt, starten we met (1) een korte duiding van de stap van machtiging naar verplicht protocol en gaan we vervolgens dieper in op (2) de voorwaarden waaronder een overheid een protocol moet afsluiten, (3) de inhoud van zo’n protocol, (4) de procedurele eisen voor het afsluiten van een protocol en (5) de temporele werkingssfeer. We eindigen met een beknopte (6) conclusie.

We geven graag van in het begin al mee dat, opdat de verplichting van het afsluiten van een protocol zou gelden, de mededeler steeds een federale overheid moet zijn, maar dat de ontvanger zowel een overheid als een private organisatie kan zijn. De regelgeving rond de protocollen kan dus in vele relaties van toepassing zijn.

1.  Van machtiging naar protocol

In de periode 2003 tot 2018 diende elke elektronische mededeling van gegevens door een federale overheidsdienst of door een overheidsorgaan dat onder de federale regering valt, te worden goedgekeurd door het sectorale comité dat bevoegd was voor die federale overheid.[2] Deze sectorale comités werden opgericht in het kader van de vroegere Privacy Commissie.

De bedoeling van deze machtigingsprocedure was om te kunnen nagaan of enerzijds de mededeling nodig was voor de opdrachten van die federale overheid en anderzijds of deze mededeling in overeenstemming was met de geldende normen inzake de bescherming van de persoonlijke levenssfeer op het vlak van de verwerking van persoonsgegevens. Deze procedure werd opgeheven bij de Wet tot Oprichting van de GBA (WOG).[3]

De WOG voert bij art. 20 de verplichting in voor federale overheden die persoonsgegevens doorgeven aan derden om deze mededeling te formaliseren aan de hand van een protocol. Dit dient te worden afgesloten tussen de overheid die de gegevens doorgeeft en de verwerkingsverantwoordelijke ontvanger van de persoonsgegevens, tenzij een bijzondere wet anders bepaalt.[4]

Deze procedurele wijziging kadert volledig binnen het beginsel van de verantwoordingsplicht dat wordt ingevoerd door de Algemene Verordening Gegevensbescherming (AVG): de verwerkingsverantwoordelijke dient passende maatregelen te nemen om te waarborgen dat de AVG wordt nageleefd én moet dit kunnen aantonen. Een protocol is zo’n verantwoordingsinstrument. Er is dus geen extern orgaan meer dat zich buigt over de wettelijkheid van de desbetreffende mededeling van persoonsgegevens.

2.  De voorwaarden voor het afsluiten van een protocol

Er zijn vijf cumulatieve voorwaarden waaraan moet worden voldaan opdat het afsluiten van een protocol verplicht is:

  1. Het moet gaan om een federale overheid die persoonsgegevens meedeelt in de hoedanigheid van verwerkingsverantwoordelijke;
  2. De mededeling gebeurt ofwel om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust (art. 6, 1. c) AVG) of is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen (art. 6, 1. e) AVG);
  3. De modaliteiten van de mededeling zijn niet voorzien in een wet- of regelgevende norm;
  4. De mededeling gebeurt systematisch of, indien dit niet het geval is, wordt gedaan aan personen of instellingen die niet gerechtigd zijn deze te verkrijgen krachtens een wettelijke opdracht;
  5. De ontvanger van de mededeling bevindt zich in België en ontvangt de persoonsgegevens in de hoedanigheid van verwerkingsverantwoordelijke.

Is het niet helemaal duidelijk wat deze voorwaarden exact inhouden? Wat instanties vallen bijvoorbeeld onder de term ‘federale overheid’? We verduidelijken de voorwaarden voor het afsluiten van een protocol in deze blog.

3.  De inhoud van het protocol

De WVG geeft een facultatieve en niet-limitatieve oplijsting van zaken die kunnen worden opgenomen in een protocol.[5] Zowel de Raad van State als de vroegere Privacycommissie (nu GBA), bekritiseerden het facultatieve karakter van de inhoud. De Gegevensbeschermingsautoriteit beveelt daarom volgende elementen aan:

  • De identificatie van de overheid die de persoonsgegevens doorgeeft en van de verwerkingsverantwoordelijke ontvanger alsook de contactgegevens van hun DPO’s;
  • De doeleinden waarvoor de gegevens oorspronkelijk werden verzameld, de doeleinden waarvoor de gegevens worden doorgegeven en de analyse van de verenigbaarheid van deze doelen (indien de doorgifte van gegevens een verdere verwerking uitmaakt);
  • Het soort van doorgegeven persoonsgegevens;
  • De rechtsgrond voor de mededeling van persoonsgegevens en de rechtsgrond voor de ontvangst ervan;
  • De regels inzake de gebruikte communicatie en een functionele definitie van de genomen beveiligingsmaatregelen om de doorgifte te beveiligen;
  • In voorkomend geval, alle specifieke maatregelen die door verwerkingsverantwoordelijken worden genomen om de mededeling te regelen overeenkomstig het evenredigheidsbeginsel en de vereisten inzake gegevensbescherming door ontwerp en door standaardinstellingen
  • De periodiciteit van de mededeling;
  • De duur van het protocol;
  • De sancties die zullen worden toegepast in geval van niet-naleving van het protocol.

Tot op heden werd er door de federale overheid nog geen model protocol ter beschikking gesteld.

4.  Procedure

De WVG legt twee procedurele verplichtingen vast, nl. (1) de DPO’s moeten worden betrokken bij het opstellen van het protocol door middel van een adviesvraag en deze adviezen worden ook toegevoegd aan het protocol en (2) de protocollen moeten openbaar gemaakt worden op de websites van de verschillende verwerkingsverantwoordelijken om een brede zichtbaarheid te garanderen.

5.  Temporele werkingssfeer

Het artikel dat de protocolverplichting omvat, trad in werking op 1 april 2019. Alle nieuwe mededelingen van persoonsgegevens sinds 1 april 2020 zijn zonder twijfel onderworpen aan de protocolverplichting.

Alle bestaande mededelingen werden in principe gemachtigd door een sectoraal comité dat werd opgericht bij de vroegere Privacycommissie en deze machtigingen behouden hun rechtsgeldigheid.[6] Indien een machtiging had moeten worden aangevraagd, maar dit niet is gebeurd, moeten dergelijke mededelingen alsnog het voorwerp uitmaken van een protocol en dient dit aldus te worden afgesloten.

6.  Conclusie

Indien een federale overheid die optreedt als verwerkingsverantwoordelijke systematisch gegevens wil meedelen aan een andere partij die ook optreedt als verwerkingsverantwoordelijke en zich in België bevindt, is een protocol verplicht. Voor een eenmalige uitwisseling is een protocol in principe niet verplicht, behalve wanneer de ontvanger een persoon of instelling is die niet gerechtigd is deze te verkrijgen krachtens een wettelijke opdracht.

Wat de inhoud van een protocol moet zijn, wordt facultatief en niet-limitatief opgesomd in de wet en om die reden beveelt de GBA dan ook enkele concrete inhoudelijke punten aan (zie punt 3). Daarnaast zijn ook de adviezen van beide DPO’s vereist en moet het uiteindelijke protocol worden gepubliceerd op de websites van beide verwerkingsverantwoordelijken.

Er zijn veel relaties denkbaar waarin een protocol verplicht zal zijn. Wenst u hulp of advies bij de opmaak of onderhandeling van een protocol? Aarzel niet om ons te contacteren.

 

 

 

[1] Art. 20 van de wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens

[2] Overeenkomstig artikel 36bis van de wet van 8 december 1992 betreffende de bescherming van de persoonlijke levenssfeer ten aanzien van de verwerking van persoonsgegevens

[3] Wet van 3 december 2017 tot oprichting van de Gegevensbeschermingsautoriteit

[4] Zo zijn er bijvoorbeeld andere verplichtingen opgelegd voor de mededeling van persoonsgegevens door een instelling van sociale zekerheid.

[5] Art. 20 §1 WVG

[6] Art. 111 van de wet van 3 december 2017 tot oprichting van de GBA

Begin deze maand werd duidelijk dat de regelgeving rond cookies strenger zal worden toegepast. Het Europese Hof van Justitie besliste in het arrest van 1 oktober 2019 (C-673/17, Planet49 GmbH v. Bundesverband der Verbraucherzentralen und Verbraucherverbände — Verbraucherzentrale Bundesverband e. V.) dat toestemming niet rechtsgeldig is verleend wanneer het plaatsen van cookies wordt toegestaan door middel van een standaard aangevinkt selectievakje dat deze gebruiker moet uitvinken ingeval hij weigert zijn toestemming te geven

Duidelijke actieve handeling

Dit betekent dat een gebruiker een actieve handeling moet stellen om zijn instemming met het plaatsen van de cookies aan te duiden. Dit betekent ook dat consent by further browsing, namelijk het impliciet toestemmen met het gebruik van cookies door verder te surfen op de website, niet meer volstaat.

Toestemming zoals gedefinieerd in de GDPR moet ook steeds vrij en geïnformeerd zijn. Dit laatste betekent dat u de betrokkenen helder dient te informeren omtrent welke cookies worden gebruikt en waarom. Een link op een cookiebanner die je laat doorklikken naar een cookiepolicy, is op vandaag niet meer voldoende. Je moet aangeven hoelang de cookies actief blijven en of derden al dan niet toegang tot de cookies kunnen hebben.‘Vrije toestemming’ houdt in dat een bezoeker ook moet kunnen weigeren. Het is meteen duidelijk dat vele websites op vandaag niet mee in de regel zijn.

Cookies

Altijd toestemming?

Wel belangrijk om te weten dat er nog steeds uitzondering bestaan op de verplichting om toestemming te vereisen voor het plaatsen van cookies.

Met name voor het plaatsen van cookies:

  • met uitsluitend doel de verzending van een communicatie via een elektronische-communicatienetwerk uit te voeren, of
  • een uitdrukkelijk door de gebruiker gevraagde dienst te leveren wanneer dit hiervoor strikt noodzakelijk is.

Helaas valt o.m. het gebruik van cookies voor website analytics algemeen niet onder een van deze uitzonderingen.

Cookies en GDPR?

Het gebruik van cookies wordt in wezen niet geregeld door de GDPR, maar door de e-Privacy richtlijn, in België omgezet in de Telecomwet (zie artikel 129). Deze telecomwet vereist in bepaalde gevallen voorafgaande toestemming van de gebruiker voor het plaatsen van cookies. Het begrip toestemming moet evenwel worden uitgelegd zoals bepaald in de GDPR.

Maar, via cookies kan je wel persoonsgegevens verwerken (bv. door persoonsgegevens op te slaan in de cookie). In dat geval is de GDPR uiteraard wel weer van toepassing.

De Gentse school Sint-Bavo wil vanaf dit schooljaar een nieuw betaalsysteem invoeren dat gebruik maakt van de handpalm van leerlingen in plaats van het gebruik van cash geld, kaartjes of bonnetjes. Een drankje kopen of een kopie betalen kunnen leerlingen vanaf oktober doen door middel van het scannen van hun handpalm. Het gebruik van een app of badge werd overwogen maar uiteindelijk niet weerhouden als betaalmogelijkheid. De school stelt dat deze gegevens veilig en conform de GDPR zullen worden opgeslagen in een database van PALMKI, de achterliggende software. De onderhandelingen omtrent het contract met PALMKI bevinden zich in de laatste fase. De school, die het belang van innovatie benadrukt, stelt dat de keuze voor dit systeem weloverwogen is en breed wordt gedragen zowel bij het onderwijzend personeel, de ouders en de ouderraad. In deze blog onze mening waarom het geen goed idee is om leerlingen te laten betalen met handpalm.

 

Hoe zit het met je privacy?

Het is meteen duidelijk dat hier vanuit privacy-oogpunt veel vragen bij te stellen zijn. Net zoals vingerafdrukken zijn handpalmafdrukken biometrische en dus gevoelige gegevens. Voor het gebruik hiervan is toestemming van de betrokkene vereist. Aangezien het merendeel van de leerlingen minderjarig is, zullen de ouders moeten toestemmen in hun plaats. Een belangrijke eigenschap van de toestemming is dat deze ‘vrij’ moet zijn. Wanneer er geen alternatief beschikbaar is en je als het ware wordt gedwongen, kun je niet van vrije toestemming spreken. De school zal dus een alternatief moeten voorzien voor het betalingssysteem met de handpalm, anders kan er geen sprake zijn van een vrije toestemming en worden de persoonsgegevens niet conform de GDPR verwerkt, wat aanleiding kan geven tot sancties.
Een belangrijke wettelijke verplichting bij het verwerken van persoonsgegevens is de beveiliging ervan. De school moet als verwerkingsverantwoordelijke de nodige technische en organisatorische maatregelen nemen om deze gegevens afdoende te beveiligen. Of zoals David Stevens, de voorzitter van de Gegevensbeschermingsautoriteit (GBA) het zegt: “Als uw wachtwoord wordt gestolen, kunt u het altijd wijzigen, maar uw vinger kan u niet vervangen. Daarom is het noodzakelijk om het hoogste veiligheidsniveau voor dit soort gegevens te garanderen en deze nooit lichtzinnig te behandelen.” Of de school hiertoe in staat is, is nog maar de vraag. We denken liever niet aan de -opzettelijk of onopzettelijke- openbaarmaking van honderden handpalmafdrukken van minderjarigen. Eerder deze maand nog werd bekend dat er een datalek had plaatsgevonden bij Suprema: onderzoekers verkregen toegang tot miljoenen biometrische gegevens zoals vingerafdrukken en afbeeldingen die gezichtsherkenning toelaten, waaronder 2000 vingerafdrukken van de werknemers van Adecco in België. Datalekken zijn schering en inslag en dit voorbeeld maakt pijnlijk duidelijk dat ook biometrische gegevens de dans niet ontsnappen. Dit zet de deur open naar identiteitsdiefstal en ondermijnt alle veiligheidssystemen die gebaseerd zijn op biometrische gegevens.

Is dit echt nodig?
De vraag is ook of het verzamelen van deze biometrische persoonsgegevens proportioneel is t.a.v. het nagestreefde doel, met name het uitvoeren van een betaling. Er zijn tientallen andere manieren te bedenken om op een veilige en minder indringende manier hieraan uitvoering te geven en die ook allen innovatiever zijn dan gebruik maken van kaartjes of bonnetjes, zoals bijvoorbeeld een app.
Eind vorig jaar formuleerde de GBA uit eigen beweging een negatief advies omtrent de registratie van vingerafdrukken op de elektronische identiteitskaart. Een parallel kan worden getrokken tussen de registratie van vingerafdrukken en de registratie van een handpalmafdruk. In haar advies wijst de GBA op het principiële verbod op de verwerking van biometrische gegevens. Dit verbod kan slechts worden opgeheven indien de evenredigheid met het nagestreefde doel wordt gewaarborgd en passende en specifieke beschermingsmaatregelen worden getroffen. Deze zijn momenteel nog niet gekend, maar het is reëel dat de risico’s op hacking en misbruik onvoldoende afgeschermd zijn. Daarnaast wijst de GBA er in haar advies op dat er voor dergelijke verwerkingen voorafgaand een gegevensbeschermingseffectbeoordeling (GEB of DPIA) moet worden uitgevoerd. Het is niet duidelijk of dit gebeurde, maar het is evident dat voor een verwerking van dergelijke gevoelige persoonsgegevens op zo’n grote schaal zeker een DPIA dient plaats te vinden.
De directie van Sint-Bavo gaf al aan dat ze zouden bekijken welke alternatieven mogelijk zijn wanneer er bezwaren zouden rijzen. Ons lijkt het, gezien bovenstaande bekommernissen, raadzaam om meteen over te schakelen op deze -hopelijk niet biometrische- alternatieven en het gebruik van de handpalmafdruk te laten voor wat het is.

Audit Vlaanderen kwam tot de conclusie dat heel wat lokale besturen ondermaats scoren bij informatiebeveiliging.

Informatiebeveiliging: “De beveiliging van informatie tegen vernietiging, verlies, wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden of opgeslagen informatie

Het gaat om de beveiliging van alle informatie, waaronder ook persoonsgegevens. De GDPR zelf voorziet principieel dat organisaties de integriteit en vertrouwelijkheid van persoonsgegevens moeten waarborgen!

Persoonsgegevens moeten door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.

Probleempunten

Uit het rapport blijken voornamelijk volgende punten problematisch:

  • Leveranciersrelaties;
  • Bewustzijn van medewerkers;
  • Technisch beheer (cryptografie, onderhoud systemen, …);
  • Incidentenbeheer;

Positieve noot

Er is dus nog heel wat ruimte voor verbetering. Anderzijds merkt het verslag wel op dat er hier en daar wel goed wordt gewerkt: zo is er speciale vermelding voor besturen die medewerkers sensibiliseren en trainen op vlak van privacy & informatieveiligheid.

Naast eigen incidenten en persaandacht voor incidenten elders blijkt ook het einde van de inwerkingtredingsperiode van de AVG een goede aanleiding om ad-hoc-infosessies te organiseren.

Sensibilisering

IFORI kan uw gemeente of OCMW bijstaan door te voorzien in sensibiliseringssessies omtrent informatieveiligheid en/of privacy. Dit deden we reeds voor lokale besturen, met een positieve vermelding tot gevolg.

Oplossing

Tot slot geeft het rapport enkele aanbevelingen mee waarmee elk lokaal bestuur aan de slag kan om haar informatieveiligheid te verbeteren.

Neem uiteraard gerust contact met ons op indien u zich hierover extern wil laten adviseren door experten op vlak van informatieveiligheid & privacy bij lokale besturen.

Op 5 september 2018 is door de wetgever de “wet betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens” gepubliceerd. Zo goed als de gehele de wet is onmiddellijk van kracht gegaan. De wet in kwestie geeft uitvoering aan de GDPR, daarnaast wordt ook de richtlijn over het gebruik van persoonsgegevens door politie en strafrechtelijke autoriteiten erin omgezet.

Uitvoering van de verordening

Minderjarigen

GDPR gaf de lidstaten vrijheid in het vaststellen van de leeftijd waarop minderjarigen geacht worden rechtmatig hun toestemming te kunnen. De wetgever heeft besloten die leeftijd op 13 jaar te leggen. Als de minderjarige jonger is dan 13, zal de wettelijke vertegenwoordiger toestemming moeten geven.

Kinderen vanaf 13 jaar oud kunnen in België gebruik  maken van Facebook of Whatsapp zonder toestemming van hun ouders. (Minstens indien de voorwaarden van de service dit toelaten).

Specifieke verwerkingen

De wetgever heeft ook een lijst opgesteld met verwerkingen die zij als van zwaarwegend algemeen belang ziet. Bijvoorbeeld de verwerking beheerd door de stichting van openbaar nut “Stichting voor Vermiste en Seksueel Uitgebuite Kinderen”. Daarnaast zijn er ook heel wat beperkingen van de rechten van betrokkenen wanneer de verwerking gebeurt door de overheid, politiediensten, veiligheidsdiensten, etc. Ook de maatregelen die moeten genomen worden bij het verwerken van genetische, biometrische of gezondheidsgegevens worden gespecificeerd.

Uitzonderingen voor journalistieke doeleinden

Daarnaast moest het recht op privacy en het recht op informatie en vrijheid van meningsuiting worden afgewogen. De wetgever heeft dan ook specifieke uitzonderingen voorzien voor verwerkingen voor journalistiek en ten behoeve van academische, artistieke of literaire uitdrukkingsvormen.

Zo moet een journalist geen privacyverklaring bezorgen aan zijn geïnterviewde.

Definitie verwerking voor journalistieke doeleinden: “de voorbereiding, het verzamelen, opstellen, voortbrengen, verspreiden of archiveren ten behoeve van het informeren van het publiek, met behulp van elke media en waarbij de verwerkingsverantwoordelijke zich de naleving van journalistieke deontologische regels tot taak stelt”.

Vraag is in welke mate een (professionele) blogger, de naleving van die deontologie nastreeft en dus kan genieten van deze uitzonderingen?

Afdwingen in rechte

De voorzitter van de rechtbank van eerste aanleg is bevoegd om kennis te nemen van (stakings)vorderingen. De rechter waarborgt de afdwingen van deze wet en GDPR. Bijvoorbeeld een vordering tot verwijdering van persoonsgegevens. De procedure verloopt zoals in kortgeding en wordt ingesteld via verzoekschrift op tegenspraak.

We vertelden u all over de mogelijkheid tot een ‘class action‘ door een orgaan, organisatie of VZW . De wet bepaalt dat die actief moet zijn op het gebied van gegevensbescherming sedert ten minste drie jaar.

De Gegevensbeschermingsautoriteit (GBA) kan voortaan ook voor meer GDPR-verplichtingen corrigerende maatregelen nemen.

Strafrecht

Daarnaast bepaalt de wet ook de hoogte van de strafrechtelijke geldboetes die opgelegd kunnen worden voor overtredingen van de regelgeving. De GBA en het College van procureurs-generaal dienen een protocol af te sluiten met werkafspraken voor het geval zowel een administratieve als strafrechtelijke sanctie mogelijk is. Dit om het non bis in idem principe na te leven.

Tot het protocol er is, moet de procureur des Konings binnen de twee maanden na de ontvangst van het proces-verbaal melden aan de GBA of er strafrechtelijk zal vervolgd worden. Gebeurt dit niet, dan is enkel nog een administratieve sanctie mogelijk.

Tot slot verklaart de wet dat alle bepalingen van boek I van het Strafwetboek kunnen worden toegepast op de misdrijven omschreven bij deze wet of bij uitvoeringsbesluiten ervan, inclusief straffen voor deelneming aan een misdrijf en verzachtende omstandigheden.