FAQs

Privacy FAQs

1. Ik hou thuis een adressenboekje bij en ben secretaris van een plaatselijke vereniging. Moet ik me houden aan de regels van de nieuwe Privacyverordening?

Een persoonlijk adressenboekje valt onder de noemer “persoonlijk en huishoudelijk” gebruik en valt buiten het toepassingsgebied van de Privacyverordening (Art. 2.2.c AVGB). Nog voorbeelden van dergelijk gebruik: voeren van correspondentie, het sociaal netwerken en de online activiteiten die daarmee gepaard gaan.

Indien u ook het ledenbestand van een organisatie bijhoudt – ongeacht de grootte of belang – valt deze verwerking wél onder privacywetgeving. Hoewel in de toelichting gesproken wordt over activiteiten die geen verband houden met professionele activiteiten, valt een belangeloze vereniging toch net buiten de persoonlijke en huishoudelijke sfeer (Ow. 18 AVGB).

 

2. Wanneer gaan de nieuwe regels van de Privacyverordening in voege?

De Privacyverordening werd officieel aangenomen op 27 april 2016 en treedt in werking op 25 mei 2018.

 

3. Moet de Privacyverordening worden toegepast op gegevens die reeds verwerkt worden op datum van inwerkingtreding van deze Privacyverordening?

De Richtlijn 95/46/EC wordt opgeheven door deze verordening. Het verwerken van persoonsgegevens dat reeds plaatsvindt op datum van de inwerkingtreding van deze Privacyverordening moet in overeenstemming worden gebracht met de Privacyverordening en dit binnen een periode van 2 jaar na inwerkingtreding van de Privacyverordening.

Wanneer het verwerken van persoonsgegevens echter gebaseerd is op toestemming van de betrokkene, moet deze niet opnieuw haar of zijn toestemming geven indien de manier waarop de toestemming werd gegeven in lijn is met de vooraarden van deze Privacyverordening, en zal de verantwoordelijke dergelijke verwerking kunnen verder zetten.

 

4. Als onderneming zijn wij gevestigd in de Europese Unie, maar onze data wordt gehost buiten de Europese Unie. Valt dit onder de nieuwe Privacyverordening?

Ja, het volstaat dat de onderneming een vestiging heeft op het grondgebied van de Europese Unie (Art. 3.1 AVGB). Daarbij maakt het niet uit waar de gegevens precies worden bewaard en verwerkt. Het begrip “vestiging” moet ook onder nieuwe Privacyverordening zeer ruim geïnterpreteerd worden.

 

5. Mijn onderneming heeft geen enkele band met de Europese Unie, heeft er geen vestiging, maar verwerkt wel gegevens van enkele Europese onderdanen. Welke regels moet ik respecteren m.b.t. die verwerking?

De nieuwe Privacyverordening is ook van toepassing op de verwerking van persoonsgegevens van personen die zich in de Europese Unie begeven, ongeacht waar de verantwoordelijke voor die verwerking zich bevindt (Art. 3.2 AVGB).

Voorwaarde is wél dat de verwerking verband houdt met het aanbieden van goederen of diensten aan betrokkenen binnen de Europese Unie. De Privacyverordening is ook van toepassing wanneer het gedrag van betrokkenen binnen de Europese Unie gemonitord wordt.

 

6. Wat zijn de voorwaarden voor een afdoende toestemming?

De toestemming van de betrokkene is historisch gegroeid als de belangrijkste grond tot verwerking. Onder de nieuwe Privacyverordening worden de voorwaarden voor die toestemming, alsook voor de verwerking zelf gevoelig verstrengd.

De toestemming van de betrokkene moet alleszins: vrij, specifiek, geïnformeerd en ondubbelzinnig zijn. Logischerwijze moet de toestemming ook voorafgaand aan de verwerking gebeuren.

De verantwoordelijke moet kunnen aantonen dat hij de toestemming van de betrokkene heeft bekomen. Een uitdrukkelijke opt-in is vooralsnog niet vereist, maar de vraag rijst dan naar bewijsvoering.

De toestemming moet geïnformeerd en met kennis van zaken verlopen. De betrokkene moet terdege beseffen dat hij een dergelijke toestemming verleend. De voorwaarden voor de verwerking moeten op een duidelijke, begrijpbare manier worden meegedeeld, gescheiden van eventuele andere voorwaarden (zoals algemene verkoopsvoorwaarden).

De toestemming moet ook “vrijlijk” gegeven worden. De betrokkene moet echte, vrije keuze hebben en bij weigering geen nadelige gevolgen ondervinden. De toestemming tot verwerking mag bijvoorbeeld geen absolute voorwaarde zijn om bepaalde goederen of diensten aan te bieden, wanneer de verwerking van bepaalde gegevens niet noodzakelijk zijn voor het leveren van die diensten of producten.

Speciale aandacht moet bovendien geschonken worden aan minderjarige betrokkenen.

 

7. Kan mijn onderneming persoonsgegevens verwerken zonder de toestemming van een betrokkene?

Ja, zowel onder de huidige wetgeving als onder de toekomstige Privacyverordening is het mogelijk om persoonsgegevens te verwerken zonder de toestemming van de betrokkene (Art. 6.1 AVGB).

Een belangrijke verwerkingsgrond is het aantonen van een gerechtvaardigd belang van de verantwoordelijke (of van een derde).

De verwerking van persoonsgegevens is ook rechtmatig in het kader van de naleving van een wettelijke verplichting of het behartigen van het algemene belang. De verwerking kan tenslotte ook rechtmatig zijn, indien het noodzakelijk is voor de uitvoering van een overeenkomst met de betrokkene, op vraag van die betrokkene vóór er een sprake is van een overeenkomst of voor het behartigen van een vitaal belang van die betrokkene.

Opgelet: de mogelijkheden tot verwerking zullen steeds beperkt blijven in functie van de ingeroepen grond.

 

8. Wanneer is er sprake van een gerechtvaardigd belang?

Een verantwoordelijke mag tot verwerking overgaan wanneer deze een gerechtvaardigd belang van zichzelf, of van een derde, kan aantonen (Ow. 47 AVGB). Die afweging maakt deze verwerkingsgrond evenwel minder zeker.

Het ingeroepen gerechtvaardigd belang moet alleszins worden afgewogen met de belangen, grondrechten en vrijheden van de betrokkene. Daarbij moet rekening gehouden worden met de verwachtingen van de betrokkene. De afweging moet worden gedaan op het moment van de inzameling van de gegevens.

Een passende verhouding tussen verantwoordelijke en betrokkene kan een gerechtvaardigd belang uitmaken. In die zin werd reeds geoordeeld dat er sprake kan zijn van een gerechtvaardigd belang bij een klantrelatie of een werkgeversrelatie met de betrokkene. Er moet wel steeds over gewaakt worden dat de verwerking niet verder gaat dan de redelijke verwachtingen van de betrokkene.

 

9. Is direct marketing toegestaan als een gerechtvaardigd belang?

De Privacyverordening stelt dat verwerking voor direct marketing “kan beschouwd worden als uitgevoerd met het oog op een gerechtvaardigd belang”. De Privacyverordening zet hiermee een deur op naar het gebruik van de rechtsgrond, al moet steeds de afwegingstoets worden uitgevoerd.

Onder huidig recht wordt deze grond reeds gebruikt voor direct marketing via de post. Voor direct marketing via e-mail of andere elektronische berichtplatformen, moet thans nog gekeken worden naar de opt-out-regels uit de anti-spamwetgeving (Boek XII WER en ePrivacyrichtlijn).

 

10. Wanneer mogen gevoelige gegevens verwerkt worden?

Als gevoelige gegevens worden beschouwd: raciale of etnische oorsprong, politieke meningen, religieuze of filosofische overtuigingen, lidmaatschap bij vakbonden, genetische en biometrische data, gegevens over gezondheid en seksleven, seksuele geaardheid.

Deze gevoelige gegevens mogen uitsluitend worden verwerkt mits uitdrukkelijke toestemming van de betrokkene, tenzij anders wettelijk bepaald.

Daarnaast bevat de Privacyverordening nog een aantal bijkomende gronden waarin gevoelige gegevens mogen worden verwerkt, zoals ter behartiging van het algemene belang of de vitale belangen van de betrokkene, in het kader van volksgezondheid, in het kader van arbeidsrecht en sociale zekerheid, etc.

 

11. Worden foto’s beschouwd als gevoelige gegevens, waarop dus strengere regels van toepassing zijn?

Zoals reeds gezegd verdienen persoonsgegevens die van nature bijzonder gevoelig zijn in relatie met rechten en vrijheden, een specifieke bescherming in die zin dat het verwerken ervan een belangrijk risico kan inhouden voor de fundamentele rechten en vrijheden van de betrokkene. Een goed voorbeeld hiervan ligt in gegevens die een etnische oorsprong of ras onthullen. Gevoelige kenmerken van een persoon worden immers zichtbaar op foto.

Toch wordt het verwerken van foto’s of beelden niet systematisch gezien wordt als een gevoelige verwerking. Foto’s vallen bijvoorbeeld wél onder de definitie van biometrische data vallen wanneer zij worden verwerkt door midden van specifieke technische middelen die de unieke identificatie of machtiging van een individu toestaan.

 

12. Geniet ik bescherming van de Privacyverordening als de verantwoordelijke gevestigd is in een andere EU-lidstaat?

Ja, de Privacyverordening zorgt voor een eenvormige harmonisatie op de Europese markt en biedt mogelijkheden aan de betrokkene om klacht neer te leggen en herstel te eisen bij zowel de bevoegde Privacycommissaris als bij de rechterlijke instanties.

 

13. Geniet ik bescherming van de Privacyverordening als de verantwoordelijke of de verwerker gevestigd buiten de Europese Unie?

Indien u zich bevindt in de Europese Unie en de gegevens worden verwerkt in het kader van producten of diensten aangeboden op de Europese markt, valt u eveneens onder de bescherming van de Privacyverordening met betrekking tot het verwerken van uw persoonsgegevens.

 

14. Hoe kan ik weten of een verantwoordelijke of verwerker gevestigd buiten de Europese Unie goederen en diensten aanbiedt binnen de Europese Unie?

Het moet duidelijk zijn dat de verantwoordelijke beoogd om goederen en diensten aan te bieden in een of meerdere lidstaten van de EU.

Het enkele feit van de loutere toegang van de website van de verantwoordelijke (of van een tussenpersoon) in de Europese Unie, een e-mail adres of andere contactgegevens, het gewoonlijk gebruik van een taal in het derde land waar de verantwoordelijke gevestigd is, is onvoldoende om dergelijke intentie aan te tonen.

Een combinatie van aangrijpingspunten kan wel wijzen naar de intentie tot actief aanbieden van productie en diensten binnen de Europese Unie.

 

15. Wat als ik als betrokkene gemonitord wordt van buiten de Europese Unie, bijvoorbeeld via online tracking?

Een betrokkene geniet ook de bescherming van de Privacyverordening wanneer deze zich in de Europese Unie bevindt en wanneer het gedrag van die betrokkene gemonitord wordt, voor zover dat gedrag plaatsvindt binnen de Europese Unie.

Deze regeling houdt ook de eventueel daarop volgende “profiling” van de betrokkene.

 

16. Wat zijn “anonieme” en “pseudonieme” gegevens en wat is de relevantie binnen de Privacyverordening?

Anonieme data bestaat uit gegevens die niet kunnen worden toegewezen aan een bepaald individu. Deze gegevens vallen in principe buiten het toepassingsgebied van de Privacyverordening.

Pseudonimisering is het verwerken van gegevens die in eerste instantie wél persoonsgegevens waren, op een dergelijke wijze dat ze niet langer kunnen worden toegeschreven aan een specifieke betrokkene zonder het gebruik van bijkomende informatie.

Pseudonimisering wordt in de Privacyverordening sterk aanbevolen in het kader van de minimalisering van verwerking en het verlagen van risico’s bij bepaalde verwerking. Er moeten dan wel technische en organisatorische maatregelen getroffen worden opdat gegevens pseudoniem blijven en niet toegeschreven kunnen worden aan een individu.

 

17. Kunnen persoonsgegevens worden verwerkt voor andere doeleinden dat deze waarvoor ze initieel werden verzameld?

Het verwerken van persoonsgegevens voor andere doeleinden dan voor diegene waarvoor de data initieel werd verzameld mag enkel indien de verwerking compatibel is met deze doeleinden waarvoor de gegevens initieel werden verzameld. In dergelijk geval is geen afzonderlijke wettelijke basis nodig anders dan diegene die de verzameling van data heeft toegelaten.

De verantwoordelijke moet bij de beoordeling elke link tussen de aanvankelijke doelstelling en deze voor de verdere verwerking overwegen, alsook de context waarin gegevens werden verzameld. In het bijzonder moet gekeken worden naar de redelijke verwachtingen van de betrokkenen, gebaseerd op hun relatie met de verantwoordelijke voor wat het verder gebruik van hun gegevens betreft, de aard van de persoonsgegevens, de gevolgen van de vooropgestelde verdere verwerking voor de datasubjecten en het bestaan van gepaste waarborgen in zowel de initiële als de verdere verwerkingsoperaties.

In ieder geval moet de betrokkene geïnformeerd worden wanneer hij beoogt gegevens te verwerken voor een ander doel dan waarvoor de gegevens werden verzameld voorafgaand aan die verdere verwerking en iedere andere noodzakelijke informatie.

 

18. Wat is een “inbreuk”?

De verordening definieert een inbreuk in verband met persoonsgegevens als inbreuk op de beveiliging van die gegevens die leidt tot e vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.

Onder de nieuwe Privacyverordening moet zowel de betrokkene als de bevoegde Privacycommissaris op de hoogte gebracht worden bij eventuele datalekken of andere inbreuken m.b.t. persoonsgegevens.

 

19. Wat is “profiling” en is het toegestaan?

Profiling wordt in de Privacyverordening gedefinieerd als elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd.

De Privacyverordening verwijst met name naar de evaluatie van beroepsprestaties, de economische situatie, de gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen van een individu. Profiling lijkt ook een bepaalde finaliteit in te houden, zoals het analyseren of voorspellen van het gedrag van het individu.

Profiling is toegelaten, maar het individu heeft steeds het recht om bezwaar te maken tegen profiling om gerechtvaardigde redenen. In geval van profiling voor direct marketing-doeleinden moet het bezwaar niet gerechtvaardigd worden en is het steeds kosteloos.

Tevens heeft de betrokkene het recht om niet onderworpen te worden aan geautomatiseerde beslissingen, waar profiling eveneens onder begrepen wordt.

 

20. Wat zijn de aandachtspunten bij “profiling”?

Net zoals bij andere vormen van verwerking moet er ook voor profiling een legitieme basis bestaan, zoals de toestemming van de betrokkene, een wettelijke grondslag of de gerechtvaardigde belangen van de verwerker.

Daarnaast moet de betrokkene uitdrukkelijk worden geïnformeerd over de gevoerde profiling, maar ook over de gehanteerde logica, het belang en de verwachte gevolgen van de profiling – dit alles bovenop de andere informatieverplichtingen.

 

21. Welke recht heeft een betrokkene in geval van geautomatiseerde beslissingen?

Een betrokkene heeft het recht om niet onderworpen te worden aan een beslissing die het resultaat is van een geautomatiseerde verwerking, daarin begrepen profiling, wanneer die beslissing rechtsgevolgen heeft voor de betrokkene of wanneer die beslissing hem in “aanmerkelijke” mate treft.

Wat precies bedoeld wordt met die “rechtsgevolgen” of de “aanmerkelijke” invloed op de betrokkene is niet geheel duidelijk, maar het uitsluiten van een overeenkomst of het sluiten van een contract aan aanzienlijk hogere voorwaarden kan hier onder vallen.

Het recht geldt niet wanneer de geautomatiseerde beslissing noodzakelijk is voor de totstandkoming of uitvoering van een overeenkomst, wanneer het bij wet wordt geregeld of wanneer een individu zijn uitdrukkelijke toestemming heeft gegeven.

Alleszins moet de verantwoordelijke zorgen voor de vrijwaring van belangen, de rechten en vrijheden van de betrokkene en minstens voorzien in een mogelijkheid voor de betrokkene om een menselijke tussenkomst te vragen, om gehoord te worden en om het besluit aan te vechten.

Speciale regels gelden voor de gevoelige gegevens bij geautomatiseerde besluitvorming, waar enkel de uitdrukkelijke toestemming of redenen van zwaarwichtig algemeen belang aan ten grondslag kunnen liggen.


For more information contact