Raak wegwijs in de nieuwe privacy wetgeving.
Verzamelen van persoonsgegevens wordt ingeperkt.
Door de opkomst van Facebook, Instagram, en andere online platformen die tal van persoonlijke data verzamelen en daarnaast het wijdverspreide gebruik van cold mailing door televerkoopbedrijven is er heel veel te doen geweest rond de bescherming van persoonlijke gegevens.
De Europese Commissie wil de bestaande misbruiken aan banden leggen met de invoering van de Algemene Verordening Gegevensbescherming – AVG – die van kracht werd op 25 mei 2018. Deze wetgeving wil de burger beter beschermen en creëert een aantal verplichtingen voor overheidsinstanties en bedrijven.
Hierbij wordt er weinig onderscheid gemaakt naargelang de grootte of het soort entiteit. Van zodra je een bestand bijhoudt met persoonsgegevens (rechthebbende, klanten, personeel, leveranciers …), worden deze geraakt door deze regelgeving. De impact van de AVG wordt niet altijd beseft.
Regelgeving
De Algemene Verordening Gegevensbescherming (AVG, of in het Engels GDPR – “General Data Protection Regulation”, voluit de Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG.
Deze Europese Verordening is in werking getreden op 24 mei 2016. De verordening voorzag een overgangstermijn van twee jaar, zodat de nieuwe regels van kracht werden op 25 mei 2018. Maar anno 2020, worden deze regels meer NIET dan wel gevolgd, vooral door websitebouwers en eigenaars.
In tegenstelling tot de vorige Europese regelgeving betreft het een verordening: dat betekent dat de nieuwe regels rechtstreeks toepasselijk zijn in alle lidstaten. De AVG hoeft dus, anders dan een richtlijn, niet in Belgische wetgeving te worden omgezet.
De AVG brengt een aantal wijzigingen mee aan bepaalde federale en Vlaamse regelgevingen:
- De Privacy commissie wordt vervangen door de Gegevensbeschermingsautoriteit (Wet van 3 december 2017 tot oprichting van de Gegevensbeschermingsautoriteit). De Vlaamse Regering keurde op 2 maart 2018 een definitief ontwerp van decreet goed dat andere decreten aanpast aan de AVG (o.a. wijziging Vlaamse Wooncode en decreet Grond- en Pandenbeleid); de parlementaire behandeling loopt nog.
- Er komt ook nog een besluit van de Vlaamse Regering dat andere besluiten aanpast aan de AVG.
Twee luiken:
- Bescherming persoonlijke levenssfeer
- Bescherming persoonsgegevens
Begrippen:
- Betrokkene
- Een geïdentificeerde natuurlijke persoon
- Een natuurlijke persoon die direct of indirect kan worden geïdentificeerd (met naam, locatiegegevens, identificatienummer,…)
Bv. (kandidaat-)huurder, (kandidaat-)verhuurder, (kandidaat-)koper, (kandidaat-)verkoper, ontlener, klant van woonloket, premie-aanvrager, eigenaar etc.
- Persoonsgegevens: iedere informatie over een betrokkene
- Verwerking: elke bewerking van persoonsgegevens, zowel op papier als elektronisch (dit gaat onder andere over het verzamelen, bewaren, vastleggen, ordenen, structureren, bijwerken, opvragen, raadplegen, gebruiken, verspreiden, wissen, vernietigen en zelfs het opslaan van gegevens
- Bv. de invoer van data in softwarepakketten, de opslag of aanpassing in documenten of werkbladen, mails, gebruik van bv. Dropbox of WeTransfer voor de transfer van data.
- Verwerkingsverantwoordelijke: een natuurlijke persoon, rechtspersoon, overheidsinstantie, dienst of ander orgaan die/dat het doel van EN de middelen voor verwerking van persoonsgegevens vaststelt (bepaalt hoe en waarom gegevens worden verwerkt)
Bv. een dienst bevolking van een gemeente, een intergemeentelijk samenwerkingsverband met of zonder rechtspersoonlijkheid, een werkgever. - Verwerker: een natuurlijke persoon, rechtspersoon, overheidsinstantie, dienst of ander orgaan die/da ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt
Daarbij gaat het om allerlei diensten waar men een beroep doet op een andere partij “uitbesteding”, voor de verwerking van persoonsgegevens, zoals een softwareleverancier, systeemadministrators, webdienstleverancier
Op welke basis mag u persoonsgegevens rechtmatig verwerken?
- Wettelijke verplichting
- Algemeen belang of uitoefening openbaar gezag
- Bescherming vitale belangen
- Toestemming (opgelet: die moet vrij, specifiek, geïnformeerd, ondubbelzinnig en expliciet zijn, en kan te allen tijde worden ingetrokken)
- Contractuele relatie (noodzaak voor uitvoering overeenkomst)
OPGELET: Overheidsinstanties kunnen zich NIET beroepen op “gerechtvaardigd belang” in het kader van uitoefenen van hun taken.
Basisbeginselen
De AVG bepaalt dat zowel verwerkers als verwerkingsverantwoordelijken een aantal beginselen moeten naleven bij het verwerken van persoonsgegevens.
Gegevensverwerking moet:
- rechtmatig, behoorlijk en transparant zijn
- een duidelijk omschreven doel hebben (finaliteitsbeginsel))
- beperkt zijn tot het strikt noodzakelijke (minimale gegevensverwerking)
- juiste en geactualiseerde gegevens bevatten (accuraatheid)
- De opslag van gegevens beperken tot zolang als nodig/verplicht (opslagbeperking)
- Gegevens beschermen tegen ongeoorloofde of onrechtmatige verwerking of vernietiging, verlies of beschadiging (integriteit en vertrouwelijkheid)
Bovendien voorziet de AVG een verantwoordingsplicht. De verantwoordingsplicht houdt in dat, anders dan in de huidige privacywetgeving, de verwerker moet kunnen aantonen op welke grond de verwerking heeft plaatsgevonden. De bewijslast wordt in de AVG omgekeerd. Het is dus belangrijk om overeenkomsten, toestemmingen en dergelijke te documenteren.
Rechten van betrokkene:
- Recht op informatie en toegang tot persoonsgegevens: doel verwerking, bewaartermijn, derde ontvangers, rechten betrokkene;
- Recht op inzage: kosteloos en binnen een maand (standaardrapport maken);
- Recht op verbetering van onjuiste gegevens;
- Recht op verwijdering (beter gekend onder de noemer “right to be forgotten”;
- Recht om verwerking te beperken;
- Recht van bezwaar;
- Recht op overdraagbaarheid van gegevens.
Is jouw website in orde? Indien niet, kan dit erg hoge boetes tot gevolg hebben. de GBA kan ook je website offline laten halen door DNS Belgium bij inbreuken op de GDPR.
Bij twijfel kan je een GDPR scan aanvragen. We zullen jouw website en/of andere weboplossingen doorlichten.