Privacy & dataverwerking

De General Data Protection Regulation eenvoudig uitgelegd

Meldplicht datalekken, privacy shield, nieuwe Privacyverordening of Algemene Verordening Bescherming Persoonsgegevens, rechtzaken tegen Facebook, …  Je werd de afgelopen tijd overspoeld met nieuws over privacy en databescherming en het aantal vragen dat bij ons binnenstroomt over privacy-gerelateerde issues is sinds begin 2016 amper bij te houden.

Vanaf 25 mei 2018 is de Europese General Data Protection Regulation of GDPR in werking en deze verandert substantieel de manier waarop bedrijven met “persoonsgegevens” of personal data omgaan.

Dit raakt zowat ALLE bedrijven, verenigingen en overheidsinstanties.  Iedereen heeft immers wel een klantendatabase, een personeelsbestand, een boekhouding, een marketingdatabase of een verzendlijst voor newsletters waarin “persoonsgegevens” worden bijgehouden.  Niet enkel webshops of online bedrijven moeten met andere woorden rekening houden met de nieuwe regels, deze zijn er voor iedereen…

shutterstock_131357474(1)


Wat is de GDPR

Wat is de GDPR?

De huidige Privacywet dateert uit 1992 en is inmiddels dus 27 jaar oud.  De wereld is echter veranderd sedertdien, het internet, de manier waarop we met data omgaan en de ganse economie zijn zelfs ingrijpend veranderd.

Online marketing bestond niet of nauwelijks in 1992.  Big data, profiling, social media, e-commerce, … zijn allemaal begrippen die de voorbije jaren ontstaan zijn en waarmee de oude privacywetgeving geen of onvoldoende rekening kon houden.

Nieuwe wetgeving is dus al enkele jaren een noodzaak en het is bijgevolg logisch dat de Europese Unie precies omwille van de gewijzigde economische en technische wereld waarin we vandaag leven een aangepast wettelijk kader in het leven heeft geroepen in de vorm van de “Algemene Verordening Gegevensbescherming” of “GDPR”.

Doelstellingen van de GDPR?

De nieuwe Algemene Verordening Gegevensbescherming of “General Data Protection Regulation” in het Engels werd gemaakt om een uniforme bescherming van privacyrechten in de huidige technologische realiteit te garanderen. De EU vond dit noodzakelijk omwille van de voortzettende globalisering, de onderlinge verschillen in bescherming  tussen lidstaten in Europa en omwille van de nood aan een vereenvoudiging van administratieve verplichtingen voor bedrijven.

Vanaf wanneer gelden de nieuwe regels?

De definitieve tekst van de GDPR werd goedgekeurd binnen de EU op 8 april 2016 (zie ons blogartikel hier).

De nieuwe regels zijn in werking getreden op 25 mei 2018.  Vanaf die datum moet jouw onderneming voldoen aan deze nieuwe regels.  Er is geen overgangsperiode voorzien en ook alle boetes kunnen theoretisch vanaf dag 1 opgelegd worden.

Voor wie geldt de GDPR?

Het eenvoudige antwoord: de GDPR geldt voor zowat ALLE bedrijven, verenigingen en overheidsinstanties in de EU.

De GDPR geldt voor iedereen die op een geautomatiseerde of een gestructureerde manier persoonsgegevens verwerkt. Persoonsgegevens zijn alle gegevens die toelaten om iemand te identificeren  (bv. een naam, adres, klantennummer, maar ook bvb IP-adressen, online markers, …).

De GDPR is géén IT-regelgeving

Bij heel wat ondernemers leeft ten onrechte de indruk dat de GDPR een IT issue is.  Niets is minder waar.  GDPR compliancy raakt je ganse onderneming.

shutterstock_581985661


Wat betekent de GDPR voor jouw bedrijf

De GDPR breidt de verplichtingen voor bedrijven en de rechten voor datasubjecten aanzienlijk uit. We hebben de voornaamste nieuwigheden waar je rekening mee moet houden samengevat in 5 hoofdstukjes:

1. Onderga een Privacy Impact Assessment

De eerste en belangrijkste taak voor bedrijven is om een Privacy Impact Assessment uit te voeren binnen hun onderneming.

Een Privacy Impact Assessment is eigenlijk een risicoaudit binnen je bedrijf, waarbij in kaart gebracht wordt welke data je gebruikt, waar die zich bevinden binnen de organisatie, wie er toegang toe heeft en waar zich potentiële risico’s op verlies of diefstal bevinden.

Op basis van deze Privacy Impact Assessment zal je je organisatie moeten bijsturen op organisatorisch, technisch en/of juridisch vlak.

2. Zorg voor geschreven contracten met al je leveranciers (en/of klanten)

De GDPR heeft ook een impact op de diensten en tools die je bedrijf gebruikt.  Zowel contractpartners als software tools of online services waarmee je werkt, moeten in de toekomst GDPR compliant zijn en moeten dit in een schriftelijk contract garanderen.  Dat geldt overigens ook voor allerlei cloud oplossingen.

Controleer dus al je lopende overeenkomsten, zorg voor contracten waar die nog niet bestaan en zorg voor de nodige aanpassingen in de reeds bestaande contracten.

3. Meldplicht datalekken

De GDPR voorziet in een verplichte meldplicht voor datalekken.  Een datalek is overigens niet enkel een hacking van je database.  Elk incident dat impact kan hebben op de veiligheid van je data, zoals diefstal van een laptop of verlies van een USB stick moeten potentieel gemeld worden aan de overheid (of zelfs aan de betrokken personen rechtstreeks in sommige gevallen!) binnen 72 uur.  Wie laattijdig lekken meldt, kan aansprakelijk zijn voor de opgelopen schade.

Je moet dus gepaste procedures invoeren binnen je bedrijf om datalekken zo snel mogelijk op te sporen en te melden.

4. Verstrengde regels rond het verzamelen van data

Je moet rekening houden met een hele reeks nieuwe regels rond de wijze waarop je data verzamelt en verwerkt.  Die nieuwe regels gaan over de wijze waarop je toestemming bekomt van de betrokkene, de wijze waarop je omgaat met minderjarigen, het opbouwen van profielen (voor marketing of andere doeleinden), de rechten van betrokken om zich te verzetten tegen verwerking van hun gegevens of om toegang te krijgen tot hun gegevens, dataportabiliteit, …

Bovendien worden een hele reeks principes ingevoerd die de wijze waarop persoonsgegevens gebruikt worden beperken.  Zo moet elk gebruik beperkt zijn in de tijd, mogen data alleen gebruikt worden voor die specifieke doeleinden die bij het verzamelen van gegevens aan de gebruiker meegedeeld werden, mag alleen die info verzameld worden die strikt noodzakelijk is.

Dit alles wordt aangevuld met algemene principes zoals privacy by design en privacy by default, die vereisen dat elke website, elke app, elk stuk software dat geschreven wordt, steeds uitgaat van de maximale bescherming van de personen wiens gegevens ermee verwerkt zullen worden.

Dit betekent dat een grondig onderzoek van je database(s) zich opdringt om ervoor te zorgen dat een en ander compliant is aan de nieuwe regels.

5. Data Protection Officer

De Data Protection Officer is een persoon die binnen de onderneming verantwoordelijk is voor het toezien op de naleving van privacywetgeving.  Hij zal advies geven over nieuwe software, gebruik van database, etc… Hij zal ook de contactpersoon zijn met de overheid bij bvb datalekken.

Niet elk bedrijf is verplicht om een DPO aan te stellen. Je hebt een DPO nodig in volgende gevallen:

  • Je bedrijf of organisatie is een overheidsinstantie?
  • Je hoofdactiviteit is de verwerking van persoonsgegevens of je verwerkt persoonsgegevens op grote schaal?
  • Je verwerkt bijzondere categorieën van gevoelige gegevens zoals ras, politieke voorkeur, religie of  medische gegevens?

In veel gevallen is het nuttig voor (grotere) bedrijven die buiten deze categorieën vallen om toch een DPO aan te stellen.  De DPO kan overigens een externe dienstverlener zijn en in de meeste gevallen is het zelfs aangeraden om hiervoor iemand extern in te schakelen om redenen van onafhankelijkheid van de persoon in kwestie, maar ook om aansprakelijkheidsredenen.

shutterstock_556962994


Hoe bereid jij je bedrijf voor op de GDPR

Dat de GDPR een grote impact heeft op de werking van je bedrijf, heb je inmiddels begrepen.

Eerst en vooral zal een Privacy Impact Assessment moeten gebeuren, samen met een actieplan om de pijnpunten uit deze PIA weg te werken.

Op basis van de resultaten van die PIA, zijn aanpassingen nodig in lopende contracten, privacy policies, arbeidsovereenkomsten, interne bedrijfspolicies, verzekeringspolissen, …

Op basis van diezelfde Privacy Impact Assessment zijn wellicht structurele aanpassingen nodig binnen je teams (toegang tot data beperken, veiligheidsprocedures invoeren, policies voor gebruik van eigen devices, …).

Bovendien zijn er wellicht op IT vlak heel wat aanpassingen vereist.

Een aangepaste data breach procedure moet ingevoegd worden.

Je bedrijf zal een journaal moeten gaan bijhouden van dataverwerkingsactiviteiten.

Sirius Legal begeleidt haar cliënten hierin vanzelfsprekend.  Samen met enkele ervaren IT-partners en BA-partners bieden we compliance trajecten op maat aan voor kleine, middelgrote en grote ondernemingen.


Onze diensten

Compliance audit pakketten

Alle ondernemingen zijn verschillend.  Daarom hebben we bij Sirius Legal compliancediensten op maat van jouw bedrijf, gaande van een eenvoudige zelf te gebruiken toolbox voor kleine ondernemers tot een uitgebreide in house audit voor grote organisaties.

 

Opleiding en training

Een compliance traject heeft pas echt kans op succes als alle stakeholders binnen het bedrijf hun volle medewerking verlenen.  Om dat te bereiken moet iedereen binnen het bedrijf op de hoogte zijn van de oefening die voor de deur staat.  Om daarvoor te zorgen voorzien we bij heel wat van onze cliënten in house trainingen op maat van hun noden:

 

Data Protection Officer diensten

Sirius Legal zorgt ook voor DPO diensten voor kleine en middelgrote ondernemingen.

We bieden professionele bijstand op maat door ervaren en geschoolde advocaten met ervaring in IT en databescherming.

We bekijken graag op individuele basis welke de noden van jouw bedrijf zijn en werken op basis daarvan een aanbod op maat uit.  Onze DPO diensten worden aangeboden in de vorm van samenwerkingen op langere termijn op basis van een beschikbaarheid van een aantal uren per week/maand binnen uw onderneming of op afstand, afhankelijk van uw noden.

 


Contact

Ons team van advocaten beantwoordt graag al je vragen omtrent GDPR en privacy.
Gebruik onderstaand contactformulier of bel ons even op +32 2 721 13 00


Meer achtergrondinfo

Wie nog meer wil weten over privacybescherming in de EU, vindt hieronder enkele nuttige bijkomende topics met achtergrondinformatie over cookies, privacy shield, bescherming van uw privacy ten aanzien van de overheid, etc…


ePrivacy Verordening en de toekomst van de cookiewetgeving

In aanvulling op de GDPR werkt de EU aan een tweede verordening, die een aantal privacygerelateerde onderwerpen moet regelen.

De eerste ontwerpen voor deze ePrivcayverordening werden eind januari bekendgemaakt.  Er is nog heel wat werk aan de winkel om tot een definitieve tekst te komen, maar de bedoeling van de EU is duidelijk om deze ePrivacyverordening in werking te kunnen laten treden samen met de GDPR in mei 2018.

Deze tweede verordening heeft met name een grote impact op de regels rond het gebruik van cookies.  Het ontwerp van de ePrivacy Verordening maakt namelijk komaf met de pop-ups en waarschuwingsplichten.

In de toekomst (als het ontwerp uiteindelijk in zijn huidige vorm goedgekeurd wordt, natuurlijk) zal het niet langer nodig zijn om een expliciet akkoord te bekomen van de bezoeker op het ogenblik dat hij voor het eerst een website bezoekt (en waarvoor de pop-ups nodig waren).

In de plaats daarvan zal de bezoeker de mogelijkheid krijgen om in de settings van zijn internetbrowser aan te geven welke cookies hij wel en niet wil aanvaarden van bepaalde categorieën van websites.  Op die manier geeft hij eens en voor altijd te kennen welke cookies voor hem wel en niet kunnen.  Websites zullen hier vervolgens rekening mee moeten houden wanneer de betrokkene hun site bezoekt.

Een en ander wordt alvast eenvoudiger en minder hinderlijk voor de consument.  Volgens de Europese Commissie zal het voor ondernemingen in de ganse EU bovendien een besparing op compliancekosten betekenen van maar liefst 948,8 miljoen euro…

Meer info kan je lezen op onze blog.


De Network Information Security (NIS) Richtlijn

Naast de GDPR werd vorig jaar een Network Information Systems Security Richlijn goedgekeurd met daarin maatregelen om op EU niveau de netwerk- en informatieveiligheid te waarborgen (afgekort NIS).

De doelstelling van de richtlijn is om een hoog gemeenschappelijk niveau te waarborgen voor de beveiliging van de netwerken en informatiesystemen binnen de Europese Unie teneinde de werking van de interne markt te verbeteren.

De voorziene maatregelen beogen de doeltreffendheid van de digitale informatiesystemen te verbeteren, de cybercriminaliteit te bestrijden en het internationaal beleid inzake cybersecurity en de cyberdefensie van de EU te versterken.

De richtlijn verplicht alle lidstaten, exploitanten van kritieke diensten (actoren in de domeinen van energie, transport, banken, gezondheidszorg en drinkbaar water) en de leveranciers van digitale diensten (online markt, online zoekmachines, clouddiensten) om in de volledige EU te zorgen voor een veilige en betrouwbare digitale omgeving.

Daarvoor gelden de volgende regels:

  • De richtlijn legt verplichtingen vast voor alle lidstaten wat betreft de goedkeuring van een nationale strategie inzake beveiliging van de netwerk- en informatiesystemen
  • De richtlijn richt een samenwerkingsgroep op om de strategische samenwerking en de informatie-uitwisseling tussen de lidstaten te bevorderen en te vereenvoudigen en het wederzijdse vertrouwen te versterken
  • De richtlijn richt een netwerk op van responsteams voor incidenten die de digitale veiligheid schaden (CSIRT) om bij te dragen aan de versterking van het vertrouwen tussen de lidstaten en om een snelle en effectieve samenwerking te bevorderen op operationeel niveau
  • De richtlijn stelt vereisten op inzake veiligheid en kennisgeving voor de exploitanten van kritieke diensten en voor de leveranciers van digitale diensten
  • De richtlijn legt verplichtingen vast voor de lidstaten voor de aanduiding van bevoegde nationale autoriteiten, unieke loketten en CSIRT belast met taken met betrekking tot de beveiliging van de netwerk- en informatiesystemen.

Verplichtingen voor België als land

Voor België zelf betekent de nieuwe richtlijn hoofdzakelijk twee dingen. Enerzijds zal men de nationale cyberstrategie van 2012 herzien in het licht van de NIS-richtlijn. De nieuwe strategie moet concrete doelstellingen vooropstellen en in de nodige regelgevende initiatieven voorzien om binnen België een hoog niveau van netwerk- en informatieveiligheid te kunnen garanderen.

Bovendien zal België een bevoegde autoriteit moeten aanwijzen die hiervoor verantwoordelijk is. In België zal het Centrum voor Cybersecurity België deze taak op zich nemen.

Verplichtingen voor bepaalde bedrijven

De richtlijn voorziet niet alleen in bijkomende verplichtingen voor lidstaten, maar ook voor bedrijven die verantwoordelijk zijn voor kritieke infrastructuren, zoals de bedrijven uit de energie-, de bank- en de transportsector, en voor de leveranciers van digitale diensten zoals e-commerce platformen, zoekmotoren en cloud computing diensten.

Deze ondernemingen zullen op basis van de richtlijn, voor zover ze dit vandaag al niet doen, verplicht worden om adequate veiligheidsmaatregelen te nemen om de veiligheid en de continuïteit van hun netwerken en de informatie te garanderen.

Daarnaast voert de richtlijn een meldplicht in voor deze bedrijven. Wanneer de richtlijn in werking treedt (mei 2018) zullen deze ondernemingen ook verplicht zijn om ernstige cyberincidenten te melden aan de nationale autoriteiten.

 


EU Richtlijn Privacy bij onderzoek en vervolging

De bescherming van individuen met betrekking tot het verwerken van persoonsgegevens door bevoegde autoriteiten met als doel preventie, onderzoek, detectie of vervolging van strafrechtelijke inbreuken of de uitvoering van strafrechtelijke straffen -inclusief  het beveiligen van personen en de preventie van bedreigingen van de publieke veiligheid- en het vrij verkeer van dergelijke gegevens, is voorwerp van een specifiek wettelijk instrument, zijnde een Richtlijn.

Lidstaten kunnen echter bevoegde autoriteiten binnen de betekenis van bovenvermelde Richtlijn met andere taken belasten die niet noodzakelijk de met deze Richtlijn beoogde doelstellingen nastreven. Het verwerken van persoonsgegevens voor deze andere doeleinden, voor zover ze onder het Unierecht vallen,  vallen onder het toepassingsgebied van “General Data Protection Regulation”.


Het EU-US Privacy Shield

Binnen België, en bij uitbreiding de Europese Unie, zou een vrij verkeer van gegevens gewaarborgd moeten kunnen worden. Harmonisatie zou er immers garant voor moeten staan dat het beschermingsniveau voor betrokkenen in alle EU-lidstaten gelijk(waardig) is.

Datauitvoer buiten de Europese Unie

Voor de uitvoer van data buiten de Europese Unie, valt men – onder het huidige recht – buiten het controlegebied van Europees privacyrecht. Om een rechtmatige uitvoer van data te bewerkstelligen, moet ook buiten de Europese Unie een gelijk(waardig) beschermingsniveau gegarandeerd worden.

De Europese Commissie kan een onderzoek voeren naar het beschermingsniveau in bepaalde landen. Bij een afdoend beschermingsniveau vaardigt de Commissie een “adequacy decision” uit en mag eenieder ervan uitgaan dat uitvoer naar die bepaalde landen veilig is. In die zin heeft de Europese Commissie een passend beschermingsniveau erkend voor: Zwitserland, Canada (voor verwerkingen onderworpen aan de Canadese “Personal Information Protection and Electronic Documentation Act”), Andorra, Argentinië, de Verenigde Staten (voor gegevens van luchtvaartpassagiers), Guernesey, het eiland Man, de Faeröereilanden, Jersey, Australië (voor gegevens van luchtvaartpassagiers), Israël, Nieuw-Zeeland en Uruguay.

Voor meer informatie over territoria met passend beschermingsniveau, zie website Europese Commissie.

Datauitvoer naar de Verenigde Staten

De Verenigde Staten worden algemeen beschouwd als een territorium waar geen passend beschermingsniveau wordt geboden – behoudens dan voor de gegevens van luchtvaartpassagiers. Nochtans zijn de Verenigde Staten een belangrijk invoermarkt, gelet op de vele (internet) service providers en hosters van Amerikaanse origine.

Het “Safe Harbor”-verdrag moest hieraan tegemoetkomen. Amerikaanse actoren die zich conformeerden aan de “Safe Harbor”-principes, werden als veilig beschouwd en werden opgenomen in een lijst van “veilige dataontvangers”.

Het Schrems-arrest van het Europees Hof van Justitie (C-362/14 – Maximillian Schrems / Data Protection Commissioner) heeft hieraan een einde gesteld door te oordelen dat “Safe Harbor” geen passend beschermingsniveau kan bieden en heeft het systeem volledig onderuit gehaald. Een analyse van het arrest vindt u hier.

Van Safe Harbor naar Privacy Shield

De Europese Commissie was al enige tijd bezig met een heronderhandeling van het “Safe Harbor”-akkoord, maar door het Schrems-arrest kwam e.e.a. in een stroomversnelling.

Op 29 februari 2016 werd een ontwerp van “adequacy decision” voor het nieuwe Privacy Shield voorgesteld. Daarna werd voorzien in diepgaande monitorings van Amerikaanse verwerkers, maakte de Amerikaanse overheid zich sterk om geen indiscriminate mass surveillance te zullen voeren en kregen Europese burgers een gebruiksvriendelijk klachtenmechanisme.

De Europese Privacycommissarissen, verenigd in WP29, waren echter niet enthousiast over het eerste ontwerp. Er is een gebrek aan transparantie en coherentie in de tekst met de Europese privacyprincipes en er wordt geen afdoende dekking gegeven voor onward transfers. De garanties om de indiscriminate mass surveillance uit te sluiten zouden onvoldoende zijn en ook de nieuwe figuur van de ombudsman moet meer middelen krijgen om de taken afdoende uit te voeren.

Privacy Shield inmiddels actief

Niettemin is het Privacy Shield afgelopen zomer wel degelijk in werking getreden.  Meer info over de inhoud en de toepassing vindt u op onze blogpagina.

Voor de tekst van het ontwerp van de adequacy decision, klik hier. Voor een analyse, klik door naar dit artikel.

Voor de tekst van Opinie 01/2016 van WP29, klik hier. Meer toelichting vindt u in dit artikel.