Feedback
ella
Nieuwe privacyverordening : Privacycommissie lanceert stappenplan
Losse berichten 16/09/2016
Gepubliceerd op 27/09/2016

Nieuwe privacyregels in 2018

 

In mei trad de nieuwe Europese privacyverordening in werking: de algemene verordening gegevensbescherming (AVG) of de general data protection regulation (GDPR).  Pas in 2018 zullen de nieuwe privacyregels definitief van toepassing zijn, maar bedrijven en organisaties die persoonsgegevens verwerken bereiden zich best nu al voor.

 

De Belgische wetgever zal nog een aantal punten uitwerken (o.a. de sancties). We houden hier de vinger aan de pols.

 

De Privacycommissie werkte op haar website een themadossier uit en een praktisch stappenplan voor bedrijven om zich voor te bereiden op de nieuwe regels. Helemaal nieuw zijn de regels niet, want veel van de principes en concepten zijn dezelfde als die van de huidige Belgische Privacywet van 1992.

 

Implementatie nieuwe verordening in 13 stappen

 

De documentatieplicht van de verwerkingsverantwoordelijke zal belangrijker worden, de genomen maatregelen moeten goed gedocumenteerd worden. Het stappenplan helpt bedrijven en organisaties hun huidig databeschermingsbeleid te evalueren en aan te passen aan de nieuwe vereisten van de AVG.

 

De dertien stappen gaan over:

 

  1. Bewustwording,

  2. Dataregister,

  3. Communicatie,

  4. Rechten van de betrokkene,

  5. Verzoek tot toegang,

  6. Wettelijke grondslag voor het verwerken van persoonsgegevens,

  7. Toestemming,

  8. Kinderen,

  9. Datalekken,

  10. Gegevensbescherming door ontwerp en gegevensbeschermingseffectbeoordeling,

  11. Functionaris voor gegevensbescherming,

  12. Internationaal,

  13. Bestaande contracten

 

Met dit stappenplan kan de werkgever nu reeds aan de slag!

 

FAQ's

 

Binnenkort zal de Privacycommissie het themadossier over de nieuwe verordening aanvullen met antwoorden op de meest gestelde vragen.

Wat betekent dit voor de publieke sector?

Deze verordening en de concretisering ervan in een stappenplan is zowel van belang voor de publieke als voor de private sector.

Bron:
www.privacycommission.be

Juridische inhoud

1. Nieuwe privacyregels in 2018

Op 24 mei 2016 trad de nieuwe Europese privacy verordening in werking: de officiële benaming is "de algemene verordening gegevensbescherming" (AVG) of de "general data protection regulation" (GDPR).  Pas vanaf 25 mei 2018 zullen de nieuwe privacyregels definitief van toepassing zijn, maar bedrijven en organisaties die persoonsgegevens verwerken bereiden zich best nu al voor. Voor de bespreking van de nieuwe verordening: zie JA4422.

 

De lidstaten kunnen nog een groot aantal punten verder uitwerken. Zo zal de Belgische wetgever zeker de sancties verfijnen. Voor het overige is het nog niet duidelijk waar België zal op focussen of waar ze haar eigen invulling zal aan geven.

 

De Europese verordening vereist dat de lidstaten een onafhankelijke autoriteit voor gegevensbescherming inrichten en dat deze autoriteit de bevoegdheid krijgt om administratieve boetes uit te delen die kunnen oplopen tot 4% van de wereldwijde jaaromzet van een bedrijf. De Privacycommissie zal deze rol krijgen en moet bijgevolg hervormd worden tot een onafhankelijke regulator.

 

De Privacycommissie informeert alvast op haar website over de nieuwe regelgeving. Ze werkte een themadossier uit en een praktisch stappenplan voor bedrijven om zich voor te bereiden op de nieuwe regels. Helemaal nieuw zijn de regels evenwel niet, want veel van de principes en concepten zijn dezelfde als die van de huidige Privacywet van 8 december 1992.

2. Implementatie nieuwe verordening in 13 stappen

De documentatieplicht van de verwerkingsverantwoordelijke zal belangrijker worden, de genomen maatregelen moeten goed gedocumenteerd worden. Het stappenplan helpt bedrijven en organisaties hun huidig databeschermingsbeleid te evalueren en aan te passen aan de nieuwe vereisten van de AVG.

 

De werkgever kan de nieuwe verordening in dertien stappen implementeren.

2.1. Bewustmaking

De eerste stap in het proces is ongetwijfeld de sleutelfiguren in het bedrijf op de hoogte brengen van de nieuwe regels. Zij moeten de gevolgen hiervan inschatten en bepalen welke domeinen vandaag mogelijks problematisch kunnen zijn.

 

Indien het bedrijf een risicoregister bijhoudt, kan dit een werkbaar vertrekpunt zijn.

 

Het implementeren van de AVG kan een behoorlijke invloed hebben op de beschikbare middelen, zeker voor wat betreft grote en meer complexe bedrijven of organisatiestructuren.

2.2. Dataregister

De tweede stap bestaat erin om zorgvuldig een aantal gegevens in kaart te brengen:

  • welke persoonsgegevens je bijhoudt, 
  • waar deze vandaan komen,
  • met wie je deze hebt gedeeld.

 

Bovendien is het aangewezen om al je verwerkingen te registreren.

 

De documentatieplicht wordt belangrijker, een bedrijf of organisatie moet immers bewijzen dat ze in overeenstemming met de databeschermingsprincipes handelt.

2.3. Communicatie

Wanneer een bedrijf of organisatie nu reeds persoonsgegevens verwerkt, moet het aan de betrokkene bepaalde informatie verschaffen, zoals de identiteit van de verwerker en de wijze waarop die de gegevens

zal aanwenden. Doorgaans staat deze informatie in een privacyverklaring.

 

De AVG vereist dat je deze privacyverklaring aanvult met nieuwe informatie. Zo zal je voortaan ook het volgende moeten meedelen:

  • de wettelijke grondslag voor de gegevensverwerking, 
  • de termijnen gedurende dewelke je de informatie zal bijhouden, 
  • of je de gegevens uitwisselt buiten de Europese Unie en 
  • de mogelijkheid voor de betrokkene om een klacht in te dienen bij de Privacycommissie indien deze meent dat zijn persoonsgegevens foutief worden verwerkt.

 

De AVG vereist dat deze informatie in beknopte, begrijpbare en duidelijke taal aanwezig is.

2.4. Rechten van de betrokkene

Burgers krijgen een heel aantal nieuwe rechten met betrekking tot hun persoonsgegevens. Ze krijgen meer controle over het gebruik van hun persoonlijke gegevens. Zo krijgen ze het recht:

  • op inzage

  • op correctie,

  • om vergeten te worden,

  • op beperking van de verwerking,

  • op overdraagbaarheid van gegevens,

  • van bezwaar tegen geautomatiseerde besluitvorming en profilering.

 

De werkgever dient na te gaan of de huidige procedures alle rechten voorzien waarop de betrokkene zich kan beroepen, inclusief hoe persoonsgegevens kunnen worden verwijderd of hoe gegevens elektronisch zullen worden meegedeeld.

2.5. Verzoek tot toegang

De AVG voorziet nieuwe regels over hoe met toegangsverzoeken om te gaan. In de meeste gevallen zal gratis en binnen de 30 dagen (i.t.t. de huidige termijn van 45 dagen) gevolg moeten worden gegeven aan het verzoek tot toegang.

 

Manifest ongegronde of overmatige verzoeken kunnen worden aangerekend of worden geweigerd.

 

Op termijn kan het kostenbesparend zijn een systeem te ontwikkelen dat de betrokkene in staat stelt de gegevens zelf online te raadplegen. Bedrijven en organisaties worden aangespoord een kosten/baten analyse uit te voeren van een dergelijk online toegangssysteem.

2.6. Wettelijke grondslag verwerken persoonsgegevens

Volgens de nieuwe privacyverordening kunnen de rechten van de betrokkene variëren naargelang de wettelijke

basis van de gegevensverwerking. Daarom zal het voortaan belangrijk zijn om van de verscheidene types van gegevensverwerkingen de wettelijke grondslag te bepalen.

 

Voorbeeld: de betrokkene heeft een sterker recht om de verwijdering van zijn gegevens te vragen indien zijn toestemming aan de grondslag lag voor de verwerking.

 

De wettelijke grondslagen in de AVG zijn quasi identiek aan deze in de huidige Privacywet, met name:

  1. de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;  
  2. de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;  
  3. de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;  
  4. de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;  
  5. de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen;  
  6. de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde.

 

 

2.7. Toestemming

De verwerking is onder andere rechtmatig wanneer de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens voor één of meer specifieke doeleinden.

 

Wanneer de verwerking berust op toestemming, moet de verwerkingsverantwoordelijke kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van de persoonsgegevens. Het verzoek om toestemming moet in een begrijpelijke en gemakkelijk toegankelijke vorm zijn en in duidelijke en eenvoudige taal

 

De toestemming moet door een duidelijke actieve handeling worden gegeven. Daaruit moet blijken dat de betrokkene vrij, specifiek, geïnformeerd en ondubbelzinnig met de verwerking van zijn persoonsgegevens instemt. Dit kan bijvoorbeeld door het klikken op een vakje op een internetwebsite. Stilzwijgen, het gebruik van reeds aangekruiste vakjes of inactiviteit geldt niet als toestemming.

 

De verwerkingsverantwoordelijke moet kunnen aantonen dat toestemming werd gegeven. Evalueer

dus de huidige systemen die toestemming registreren, teneinde een audit trail (controlespoor) te verzekeren.

2.8. Kinderen

Indien een bedrijf gegevens van kinderen onder de 16 jaar verzamelt, zal een ouder of voogd toestemming moeten geven opdat de gegevensverwerking rechtmatig zou zijn. Dit kan aanzienlijke gevolgen teweeg brengen indien een bedrijf gericht is op het aanbieden van diensten aan kinderen en hun persoonsgegevens verzamelt.

 

De toestemming moet controleerbaar zijn en desgevallend moet de privacyverklaring geschreven zijn in voor kinderen begrijpbare taal.

2.9. Datalekken

Bedrijven moeten adequate procedures voorzien om persoonlijke datalekken op te sporen, te rapporteren en te onderzoeken.

 

Hiervoor dienen zij de verscheidene types van persoonsgegevens die ze bijhouden te beoordelen en documenteren

welke binnen de meldingsplicht zouden vallen, ingeval zich een datalek zou voordoen.

 

Niet alle datalekken zullen moeten worden gemeld aan de Privacycommissie – enkel deze waarbij het waarschijnlijk is dat de betrokkene enige vorm van schade zal leiden, bv. als gevolg van een identiteitsdiefstal of het schenden van een geheimhoudingsplicht.

 

De niet naleving van de meldplicht kan resulteren in een geldboete, bovenop de boete voor het datalek zelf.

2.10. Gegevensbescherming door ontwerp en gegevensbeschermings-effectbeoordeling

Gegevensbescherming door ontwerp of 'Privacy by design' betekent dat bij het ontwerpen van nieuwe verwerkingen, de onderneming bescherming van persoonsgegevens vanaf het begin van het proces moet meenemen.

 

De verwerkingsverantwoordelijke moet al in een vroeg stadium, bij het ontwerp, rekening houden met de verplichtingen van gegevensbescherming. Hij moet passende technische en organisatorische maatregelen treffen om de gegevensbeschermingsbeginselen op een doeltreffende manier uit te voeren en de nodige waarborgen in de verwerking in te bouwen.

 

De verwerkingsverantwoordelijke moet vóór de verwerking een beoordeling  uitvoeren van het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens wanneer de verwerking een hoog risico inhoudt. Een hoog risico kan bestaan omwille van de aard, de omvang, de context of de doeleinden van de verwerking.

 

De AVG somt een aantal gevallen op waarin zich dergelijke specifieke risico’s voordoen. Dit is zo bij een grootschalige verwerking van bijzondere categorieën van persoonsgegevens of van gegevens die betrekking hebben op strafrechtelijke veroordelingen en strafbare feiten.

De verordening bepaalt hoe de beoordeling van het effect op de gegevensbescherming moet gebeuren.

Indien er een DPO in de onderneming is aangewezen, moet de verwerkingsverantwoordelijke bij het uitvoeren van deze beoordeling de DPO om advies vragen.

 

De werkgever moet nagaan hoe hij deze concepten in de werking van het bedrijf  kan implementeren. Deze kunnen worden gelinkt aan andere organisatorische processen zoals risicobeheer en projectbeheer.  Bedrijven moeten nu reeds die situaties beoordelen waarin het nodig zal zijn dergelijke analyses uit te voeren. Wie zal dit doen? Wie moet hierbij worden betrokken? Gebeurt de analyse centraal of lokaal?

 

2.11. Functionaris voor gegevensbescherming (DPO)

Bepaalde bedrijven zullen een data protection officer (DPO) moeten aanstellen.

 

De verwerkingsverantwoordelijke en de verwerker wijzen een functionaris voor gegevensbescherming aan in volgende gevallen:

  • de verwerking wordt verricht door een overheidsinstantie of overheidsorgaan, behalve in het geval van gerechten bij de uitoefening van hun rechterlijke taken;
  • een verwerkingsverantwoordelijke of de verwerker is hoofdzakelijk belast met verwerkingen die vanwege hun aard, omvang en/of doelstellingen regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen;
  • de verwerkingsverantwoordelijke of de verwerker is hoofdzakelijk belast met grootschalige verwerking van bijzondere categorieën van gegevens (bijvoorbeeld persoonsgegevens waaruit ras, politieke opvattingen of religieuze overtuigingen blijken) en van persoonsgegevens die betrekking hebben op strafrechtelijke veroordelingen en strafbare feiten.

 

Andere bedrijven kunnen een DPO aanwijzen maar zijn hiertoe niet verplicht.

 

Deze functionaris voor gegevensbescherming moet erop toezien of het privacybeleid in overeenstemming is met de AVG en is een adviseur van de verwerkingsverantwoordelijke of de verwerker. Verder moet hij ook optreden als contactpersoon voor de toezichthouder.

 

Een concern kan één DPO benoemen mits hij makkelijk te contacteren is vanuit elke vestiging.

 

Een DPO kan een werknemer van de verwerkingsverantwoordelijke of de verwerker zijn maar kan de taken ook op grond van een dienstverleningsovereenkomst verrichten.

 

De verwerkingsverantwoordelijke of de verwerker moet de contactgegevens van de DPO bekend maken en meedelen aan de Privacycommissie.

2.12. Internationaal

Bedrijven die internationaal actief zijn, moeten bepalen onder welke toezichthoudende autoriteit ze vallen.

 

De AVG voorziet een regeling om te bepalen welke toezichthoudende autoriteit de leiding neemt bij het onderzoek

naar een klacht met een internationaal karakter, bijv. wanneer een gegevensverwerking betrekking heeft op inwoners van meerdere lidstaten. De leidende autoriteit wordt bepaald naargelang waar het bedrijf of de organisatie haar hoofdvestiging heeft of de vestiging waar de beslissingen omtrent de gegevensverwerkingen worden genomen.

 

2.13. Bestaande contracten

Bestaande contracten met verwerkers en onderaannemers zullen moeten beoordeeld worden in het licht van de nieuwe regels. Indien nodig moeten ze aangepast worden.

 

Ook in het geval van outsourcing is het belangrijk te beoordelen of de veiligheidsmaatregelen die werden

voorzien in de bestaande contracten nog steeds toereikend zijn en voldoen aan de vereisten van

de AVG.

3. FAQ's

De Privacycommissie wenst gerichte en duidelijke informatie te verspreiden over deze nieuwe reglementering, daarom geeft ze bedrijven en organisaties de mogelijkheid haar rechtstreeks hun vragen te stellen via een online formulier. De meest voorkomende vragen worden onder de FAQ's van het themadossier op de website opgenomen.

 

 

Oeps,

Onze excuses, er is iets fout gelopen.

Probeert u het later eens opnieuw.

Was deze informatie nuttig voor u?

Ja Nee

Welke van de volgende beschrijft jouw feedback het best?






Jouw feedback

De versie van de browser die U gebruikt is niet optimaal voor deze website. De meeste functies zullen niet goed werken. De versie die u gebruikt wordt ook niet meer ondersteund door Microsoft en hierdoor loopt u security risico’s. Om de veiligheid en privacy van uw data te kunnen blijven garanderen, raden wij aan om zo snel mogelijk naar Internet Explorer 11 te upgraden of de laatste versie van een andere browser te gebruiken.