GDPR WETGEVING VIA DE KMO- PORTEFEUILLE

10 augustus 2021 gdpr

In bepaalde gevallen wordt in de GDPR wetgeving voorzien dat de lidstaten van de EU en afzonderlijk de nationale autoriteiten strengere maatregelen kunnen invoeren. Bij de opleiding voor GDPR wetgeving via de KMO Portefeuille houden wij rekening met;

  • de gewijzigde GDPR wetgeving,
  • de regels opgenomen in de aanbevelingen van de Gegevensbeschermingsautoriteit.

A. De GDPR WETGEVING en Persoonsgegevens via de KMO PORTEFEUILLE?

1. GDPR WETGEVING algemeen

De term persoonsgegevens omvat volgens de GDPR “alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (“de betrokkene”)”.

Dit begrip is dus heel ruim en omvat namen, contactgegevens, persoonlijke kenmerken en gezondheidsgegevens. Er zijn ook contracten en andere documenten die toelaten om een natuurlijke persoon te identificeren.

Het feit dat een natuurlijke persoon niet “geïdentificeerd” is aan de hand van de bepaalde gegevens, houdt niet in dat het geen persoonsgegevens zijn. De gegevens op basis waarvan een natuurlijke persoon “identificeerbaar” is, zijn ook persoonsgegevens.

De GDPR beschouwt iedere natuurlijke persoon dan ook als identificeerbaar wanneer hij direct of indirect kan worden geïdentificeerd. Dit kan door een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van één of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.

2. De GDPR WETGEVING en Bijzondere categorieën van persoonsgegevens

Bepaalde soorten van persoonsgegevens worden door de GDPR wetgeving bijkomend beschermd, zoals bijzondere persoonsgegevens en de persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten.

Onder de bijzondere categorieën van persoonsgegevens of gevoelige gegevens dienen de volgende persoonsgegevens te worden verstaan:

  • ras of etnische afkomst;
  • politieke opvattingen;
  • religieuze of levensbeschouwelijke overtuigingen;
  • het lidmaatschap van een vakbond;
  • genetische gegevens;
  • biometrische gegevens met het oog op de unieke identificatie van een persoon;
  • gegevens over gezondheid;
  • gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid.

De verwerking van deze gegevens is principieel verboden, maar de GDPR wetgeving voorziet in enkele uitzonderingen waarbij de verwerking wel toegestaan is.

De persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten mogen enkel verwerkt worden onder toezicht van de overheid of door een persoon als de verwerking door een wet is toegestaan.

Deze categorieën van persoonsgegevens zijn in het kader van zowel een gegevenslek als de gegevensbeschermingseffectbeoordeling van belang.

B. De GDPR WETGEVING en het Verwerken

“Verwerking” wordt in de GDPR wetgeving gedefinieerd als elke “bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés”.

Deze definitie is zeer ruim en omvat zowel “het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren” als “het afschermen, wissen of vernietigen van gegevens”.

Met andere woorden valt elke mogelijke handeling en een mogelijk gebruik met betrekking tot persoonsgegevens, van het verzamelen tot het vernietigen ervan, onder het toepassingsgebied van de GDPR wetgeving.

C. De GDPR WETGEVING en de Verwerkingsverantwoordelijke versus de verwerker.

Alhoewel de GDPR wetgeving een groot deel van de verplichtingen aan zowel de verwerkingsverantwoordelijke als de verwerker oplegt, hebben zij eveneens ieder hun specifieke verplichtingen. Het is dan ook van belang om te identificeren welke hoedanigheid de onderneming voor specifieke verwerkingen heeft.

1. Opleiding voor de verwerkingsverantwoordelijke via de KMO Portefeuille

Een verwerkingsverantwoordelijke is een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die, alleen of samen met anderen het doel en de middelen van de verwerking van persoonsgegevens vaststelt.

2.De verwerker in de GDPR Wetgeving

Een verwerker is een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.

3. De GDPR Wetgeving en Gezamenlijke verwerkingsverantwoordelijken

Het is mogelijk dat de onderneming samen met een andere onderneming het doel en de middelen van de verwerking bepaalt. In dergelijk geval zijn zij gezamenlijke verwerkingsverantwoordelijken in de GDPR wetgeving.

D. Basisprincipes GDPR Wetgeving

De rechten van de betrokkene en plichten van de verwerkingsverantwoordelijke en verwerker vloeien voort uit de beginselen inzake de verwerking van persoonsgegevens die in de GDPR wetgeving worden voorzien, zoals:

  • rechtmatigheid, behoorlijkheid en transparantiedoelbinding van de verwerking, minimale gegevensverwerking, juistheid, opslagbeperking, integriteit en vertrouwelijkheid en de verantwoordingsplicht.

Indien een organisatie deze principes naleeft en dit kan aantonen, zal er in principe sprake zijn van compliant te zijn in de GDPR wetgeving.

E. De GDPR WETGEVING en Verplichtingen in het algemeen

De verplichtingen waartoe ondernemingen gehouden zijn, kunnen samengevat worden als volgt:

  • Verantwoordingsplicht,
  • De verplichtingen die corresponderen aan rechten van de betrokkene,
  • Rechtmatigheid van de verwerking,
  • Beveiliging van de verwerking en melding van inbreuken.

1. Verantwoordingsplicht binnen de GDPR Wetgeving

a. Opleiding GDPR Wetgeving

Ondernemingen dienen passende technische en organisatorische maatregelen te nemen zodat kan aangetoond worden dat de door haar uitgevoerde verwerkingen in overeenstemming zijn met de GDPR wetgeving.

De verantwoordingsverplichting binnen de GDPR wetgeving houdt vooral een documentatieverplichting in.

b. De op risico gebaseerde benadering

De verantwoordingsplicht gaat gepaard met een op risico gebaseerde benadering van de verwerking van persoonsgegevens.

Zowel de verwerkingsverantwoordelijke als de verwerker dienen de waarschijnlijkheid en de ernst van de risico’s voor de rechten en vrijheden van personen in te schatten vooraleer zij overgaan tot een verwerking van persoonsgegevens. Daarbij moet rekening gehouden worden met de aard, het toepassingsgebied, de context en de doeleinden van de verwerking.

Dit wil zeggen dat iedere onderneming bij de verwerking van persoonsgegevens maatregelen dient te nemen in functie van het risiconiveau . Hoe hoger het risico, des te strenger de maatregelen.

In het kader van de verantwoordingsplicht is het van belang dat ondernemingen kunnen aantonen dat zij het risiconiveau geëvalueerd hebben en hiervoor de passende maatregelen toegepast hebben.

c. De GDPR Wetgeving en het Register van verwerkingsactiviteiten

De verwerkingsverantwoordelijke en de verwerker dienen een register van verwerkingsactiviteiten bij te houden.

In principe geldt deze verplichting enkel voor ondernemingen met meer dan 250 werknemers maar een KMO zal echter eveneens een register van verwerkingsactiviteiten dienen bij te houden indien aan één van de volgende voorwaarden voldaan is:

  1. De verwerking houdt een risico voor de rechten en vrijheden van de betrokkene(n) in;
  2. De verwerking is niet louter occasioneel;
  3. De verwerking heeft betrekking op bijzondere categorieën van persoonsgegevens of persoonsgegevens in verband met strafrechtelijke veroordelingen en strafbare feiten.

Deze verplichting geldt voor bijna iedere onderneming aangezien er altijd op systematische wijze een klanten- en personeelsbestand bijgehouden wordt.[1]

In het register van verwerkingsactiviteiten dat een onderneming in haar hoedanigheid als verwerkingsverantwoordelijke dient bij te houden, dient volgende informatie te worden opgenomen:

  • de naam en de contactgegevens van de verwerkingsverantwoordelijke en eventuele gezamenlijke verwerkingsverantwoordelijken en in voorkomend geval, de naam van de vertegenwoordiger van de verwerkingsverantwoordelijke en de naam van de functionaris voor gegevensbescherming;
  • de verwerkingsdoeleinden;
  • een beschrijving van de categorieën van betrokkenen en de categorieën van persoonsgegevens;
  • de categorieën van ontvangers aan wie de persoonsgegevens zijn, ontvangers in derde landen of internationale organisaties;
  • doorgiften aan een derde land of een internationale organisatie, met inbegrip van de vermelding van dat land of die organisatie en de documenten inzake de passende waarborgen;
  • de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist;
  • een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.

In het register van verwerkingsactiviteiten dat een onderneming in haar hoedanigheid als verwerker dient bij te houden, dient volgende informatie te worden opgenomen:

  • de naam en de contactgegevens van de verwerkers en verwerkingsverantwoordelijken voor rekening waarvan de verwerker handelt, de naam van de vertegenwoordiger van de verwerkingsverantwoordelijke of de verwerker en de naam van de functionaris voor gegevensbescherming;
  • de categorieën van verwerkingen ;
  • doorgiften aan een derde land of een internationale organisatie, met inbegrip van de vermelding van dat land of die organisatie, alsook de documenten inzake de passende waarborgen;
  • een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen.

Het register van verwerkingsactiviteiten komt neer op een deel van de eigenlijke documentatieverplichting die de onderneming heeft. Het dient immers als instrument bij uitstek voor de gegevensbeschermingsautoriteit om de verwerkingsactiviteiten van een onderneming in kaart te brengen. Het register van verwerkingsactiviteiten is een centraal document in het kader van gegevenslekken en de gegevensbeschermingseffecten beoordeling.

2. Gegevensbescherming van bij het ontwerp en door standaardinstellingen

In het kader van de hoger omschreven principes van rechtmatige gegevensverwerking, zijn de begrippen “gegevensbescherming door ontwerp” en “gegevensbescherming door standaardinstellingen”, respectievelijk meestal privacy by design en privacy by default genoemd.

Deze begrippen zijn van belang in het kader van de gegevensbeschermingseffecten beoordeling aangezien zij invloed hebben op het risico.

a. De GDPR wetgeving en Privacy by design of  gegevensbescherming van bij het ontwerp

Bij elke bedrijfsactiviteit dient men rekening te houden met het recht op bescherming van persoonsgegevens en erop toe te zien dat de verwerkingsverantwoordelijke en de verwerker in staat zijn te voldoen aan hun verplichtingen inzake gegevensbescherming.

De verwerkingsverantwoordelijke moet steeds rekening houden met de rechten en vrijheden van natuurlijke personen.

b. De GDPR Wetgeving en Privacy by default of gegevensbescherming door standaardinstellingen

Bij de verwerking van persoonsgegevens in de GDPR wetgeving moet de verwerkingsverantwoordelijke ook passende technische en organisatorische maatregelen treffen om ervoor te zorgen dat er alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek doel van de verwerking.

De verwerkingsverantwoordelijke moet steeds voorzien in de meest privacy-vriendelijke opties bij de uitvoering van de bedrijfsactiviteiten. Deze maatregelen dienen er voor te zorgen dat de persoonsgegevens niet voor iedereen toegankelijk worden gemaakt.

3. De GDPR Wetgeving en de rechten van de betrokkene

De GDPR legt nadere regels op die van toepassing zijn op alle rechten van de betrokkenen.

Toelichting van deze regels:

  1. Duidelijk zijn!

De verwerkingsverantwoordelijke neemt passende maatregelen zodat de betrokkene op de hoogte wordt gebracht. Indien de betrokkene moet ingelicht zijn via bijvoorbeeld de privacyverklaring op een bestaande website.

2. Mogelijkheid om te weigeren informatie door te geven;

De verwerkingsverantwoordelijke faciliteert de uitoefening van de rechten van de betrokkene en kan enkel weigeren hieraan gevolg te geven indien dit voorzien is in de GDPR.

3. Snel zijn;

De verwerkingsverantwoordelijke verstrekt de betrokkene binnen een maand na ontvangst van het verzoek tot informatie.

Wanneer de verwerkingsverantwoordelijke geen gevolg geeft aan het verzoek van de betrokkene, deelt hij deze laatste uiterlijk binnen één maand na ontvangst van het verzoek mee waarom het verzoek zonder gevolg is gebleven. Hij informeert hem over de mogelijkheid om klacht in te dienen bij een toezichthoudende autoriteit en beroep bij de rechter in te stellen.

4. Kosteloos voor de betrokkene;

Het verstrekken van de verplichte informatie naar aanleiding van een verzoek van de betrokkene of in geval van een gegevenslek zijn kosteloos. Wanneer verzoeken van een betrokkene ongegrond of buitensporig zijn mag de verwerkingsverantwoordelijke;

  • een redelijke vergoeding aanrekenen van de administratieve kosten waarmee het verstrekken van de gevraagde informatie of communicatie en het treffen van de gevraagde maatregelen gepaard gaan; ofwel
  • weigeren gevolg te geven aan het verzoek.

Het is aan de verwerkingsverantwoordelijke om de ongegronde of buitensporige aard van het verzoek aan te tonen.

Vraag hier uw KMO-Portefeuille aan voor opleiding in GDPR wetgeving.