De gegevensbeschermingsautoriteit heeft recent een rapport gepubliceerd over de kennis en het begrip van KMO’s inzake de Algemene Verordening Gegevensbescherming (AVG), wellicht beter bekend onder de Engelse benaming General Data Protection Regulation (GDPR). Dit kadert in het bredere onderzoeksproject BOOST, dat tot doel heeft om bij KMO’s in België bewustwording te creëren en kennis te vergroten omtrent de AVG, gelet op het belang ervan.
Uit het rapport van de gegevensbeschermingsautoriteit blijkt dat een groot aantal van de bevraagde ondernemingen over voldoende theoretische kennis beschikt met betrekking tot (de verwerking van) persoonsgegevens op grond van de AVG, doch dat de kennis en het begrip van de KMO’s niet op alle domeinen even sterk zijn.
Nochtans is het van groot belang om op de hoogte te zijn van deze regelgeving, aangezien de boete voor een inbreuk op de verordening kan oplopen tot maar liefst 20 miljoen euro. Zo werd Proximus recent nog veroordeeld tot een boete van 20.000 euro wegens het niet wissen van de persoonsgegevens
Het rapport toont aan dat de huidige knelpunten bij KMO’s hoofdzakelijk betrekking hebben op
1) het transparantiebeginsel
2) de begrippen ‘verwerkingsverantwoordelijke’ en ‘verwerker’
3) de gegevensbeschermingseffectbeoordeling.
Ook Ingentia Advocaten merkt dat ondernemingen hieromtrent moeilijkheden ervaren en verschaft daarom in deze blog graag meer duidelijkheid.
Het transparantiebeginsel.
De persoonsgegevens moeten op een transparante wijze worden verwerkt, hetgeen bepaald wordt in overweging 39 bij de AVG: “Overeenkomstig het transparantiebeginsel moeten informatie en communicatie in verband met de verwerking van persoonsgegevens eenvoudig toegankelijk en begrijpelijk zijn, en moet duidelijke en eenvoudige taal worden gebruikt”. Dit houdt in dat het voor de betrokkene onmiddellijk duidelijk moet zijn waar en hoe de informatie te vinden is, zonder dat hij dit zelf moet uit- of opzoeken.
De AVG stelt dat de informatie schriftelijk of met andere middelen, met inbegrip van elektronische middelen, wordt verstrekt. In de digitale context, en in het licht van het volume aan informatie dat aan de betrokkene moet worden verstrekt, kan een gelaagde aanpak gevolgd worden in het geval geopteerd wordt voor een combinatie van methoden om transparantie te waarborgen.
Teneinde informatiemoeheid te voorkomen, wordt aanbevolen om zogenaamde privacy statements te gebruiken. Dit houdt in dat er links geplaatst worden naar de verschillende categorieën van informatie die aan de betrokkenen moeten worden verstrekt, in plaats van alle informatie in één enkele nota op het scherm weer te geven. Op die manier wordt er niet gewerkt met een omvangrijke – en dus onbegrijpelijke – informatie, maar met informatie die in lagen wordt aangeboden. Deze werkwijze laat toe dat de betrokkenen rechtstreeks kunnen navigeren naar het onderdeel van de nota dat ze willen lezen.
De begrippen ‘verwerkingsverantwoordelijke’ en ‘verwerker’.
De AVG maakt een onderscheid tussen de rol van verwerkingsverantwoordelijke enerzijds en die van de verwerker anderzijds. Het onderscheid tussen beide rollen is van groot belang, aangezien de verwerkingsverantwoordelijke meer verantwoordelijkheid draagt en meer verplichtingen moet nakomen dan de verwerker.
De verwerkingsverantwoordelijke stelt alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vast. Hij treft passende technische en organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met de AVG wordt uitgevoerd.
De verwerker wordt omschreven als degene die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt. Werken ten behoeve van betekent dat in het belang van iemand anders wordt gewerkt, en verwijst naar het juridische begrip ‘delegatie’. In het kader van de AVG dient een verwerker de aanwijzingen van de verwerkingsverantwoordelijke op te volgen, in ieder geval waar het gaat om het doel van en de middelen voor de verwerking.
Het onderscheid tussen beiden kan geïllustreerd worden aan de hand van volgend voorbeeld: een websiteontwikkelaar ontwikkelt websites in opdracht van ondernemingen. De websiteontwikkelaar registreert in opdracht van de ondernemingen de gegevens van de bezoekers. Indien de gegevens uitsluitend voor de ondernemingen worden verwerkt, wordt de websiteontwikkelaar beschouwd als de verwerker. De ondernemingen zijn dan de verwerkingsverantwoordelijke.
De gegevensbeschermingseffectbeoordeling.
Overeenkomstig overweging 84 bij de AVG dient een gegevensbeschermingseffectbeoordeling te worden verricht indien de verwerking van persoonsgegevens waarschijnlijk gepaard gaat met hoge risico’s in verband met de rechten en vrijheden van natuurlijke personen. Of dat het geval is, moet blijken uit de vragen hoe ernstig de gevolgen van een incident kunnen zijn en hoe groot de kans is dat dergelijk incident voorvalt.
Om de specifieke waarschijnlijkheid en de ernst van de risico’s te beoordelen, dient er rekening te worden gehouden met de aard, omvang, context en doelen van de verwerking en de bronnen van de risico’s. Er moet met name worden gekeken naar de geplande maatregelen, waarborgen en mechanismen om dat risico te beperken, de persoonsgegevens te beschermen en aan te tonen dat aan de AVG is voldaan.
De AVG somt drie specifieke gevallen op waarin een gegevensbeschermingseffectbeoordeling in elk geval verplicht is, zijnde:
- Systematische en uitgebreide beoordeling van persoonlijke aspecten
- Grootschalige verwerking van bijzondere categorieën van persoonsgegevens
- Stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten
Dit betreft een niet-limitatieve opsomming. Er zijn aldus ook verwerkingen die niet onder deze lijst vallen, doch vergelijkbare hoge risico’s inhouden, met als gevolg dat ook deze verwerkingen aan een gegevensbeschermingseffectbeoordeling moeten worden onderworpen.
Ingentia Advocaten helpt u graag indien u vragen heeft over één van bovenstaande aspecten, of over GDPR in het algemeen. Neem gerust contact op met één van onze advocaten door te mailen op [email protected] of bel op 013/29.61.24.