Organisaties en bedrijven moeten vanaf 25 mei zorgvuldig omspringen met de persoonsgegevens die ze verzamelen. En dat gaat veel verder dan velen denken.
...

Organisaties en bedrijven moeten vanaf 25 mei zorgvuldig omspringen met de persoonsgegevens die ze verzamelen. En dat gaat veel verder dan velen denken.De General Data Protection Regulation - minder bekend onder zijn vertaling Algemene Verordening Gegevensbescherming, AVG - doet consultants, juristen, advocaten en IT-specialisten overuren draaien, zegt Daphné Vanassche van het Kortrijkse strategisch bureau DULL. Patrick Van Eecke van DLA Piper beaamt dat. "De jongste twee jaar is mijn praktijk in privacyzaken uit zijn voegen gebarsten. Het is al GDPR wat de klok slaat." Gert Beeckmans van SD Worx is gematigder: hij noemt GDPR een "evolutie, geen revolutie". Maar de strengere privacywetgeving verzet wel degelijk de bakens. Overheden, bedrijven, zorginstellingen en vzw's moeten vanaf 25 mei aan de Gegevensbeschermingsautoriteit (die nu nog Privacycommissie heet) kunnen aantonen dat ze zorgvuldig omspringen met de persoonsgegevens die ze verzamelen en beheren. De bewijslast wordt omgedraaid. Als iemand schade lijdt door gegevens die in verkeerde handen terechtkomen, is het aan de verwerkingsverantwoordelijke van de gegevens om te bewijzen dat hij zorgvuldig is geweest. 'Persoonsgegevens' zijn 'alle informatie over direct of indirect identificeerbare natuurlijke personen'. Elke organisatie die dat soort informatie verwerkt, moet aan de GDPR voldoen. Dat gaat van feitelijke verenigingen en de lokale sportclub tot multinationals. Allemaal verwerken ze persoonsgegevens van personeel, leden, klanten of leveranciers. Ook het begrip 'verwerking' is breed. Het gaat van verzamelen en registreren tot raadplegen, koppelen, verspreiden en vernietigen. Minstens de bijna 1,14 miljoen zelfstandigen en vennootschappen die bij de RSZ bekend zijn, moeten een register van hun verwerking van persoonsgegevens bijhouden. Als hun verwerking 'risicovol' is - bijvoorbeeld om profielen op te maken, of voor direct marketing - moeten ze vooraf een effectenrapport opmaken. In sommige gevallen zijn ze verplicht een 'functionaris voor gegevensbescherming' aan te stellen. De verordening geldt ook voor verwerkingsverantwoordelijken en verwerkers die buiten de Europese Unie zijn gevestigd wanneer zij producten of diensten aanbieden aan personen in de EU of wanneer zij het gedrag van personen in de EU monitoren. Een van de redenen waarom de privacyregelgeving nu ernstiger wordt genomen dan vroeger zijn de boetes die de Gegevensbeschermingsautoriteit vanaf 25 mei kan opleggen. "Vroeger moest zij daarvoor naar de rechtbank, wat niet zo vaak gebeurde", zegt Gert Beeckmans van SD Worx. Onder de nieuwe regels kunnen de boetes oplopen tot 4 procent van de wereldwijde jaaromzet of tot 20 miljoen euro, welke van de twee het hoogste is. Verschillende organisaties (zie kader Nood aan gedetailleerde informatie?) hebben al stappenplannen uitgewerkt. Een goede handleiding heeft Scwitch, een coöperatie van sociaal-culturele organisaties. Die verwerken vaak 'gevoelige persoonsgegevens'. Het gaat over medische data, politieke of seksuele voorkeur, geloofsovertuiging, etnische afkomst, lidmaatschap van vakbonden enzovoort. Daarvoor gelden speciale verwerkingsvoorwaarden boven op de algemene vereisten van transparantie, proportionaliteit en beveiliging. Scwitch adviseert een logboek bij te houden van wat je doet. Op die manier toon je dat je persoonsgegevensverwerking ernstig neemt en hou je een overzicht van wat er is gedaan en door wie. Voor Scwitch is bewustmaking de eerste stap. Ook Patrick Van Eecke van DLA Piper waarschuwt dat GDPR meer vraagt dan snel even de privacy policy op de website aan te passen. "Het gaat om de manier waarop je persoonsgegevens verzamelt, hoe je die verwerkt, hoelang je die bijhoudt, welke veiligheidsmaatregelen je treft, enzovoort. Vaak moet er een opleiding voor het personeel komen om hen te leren bedachtzaam om te springen met persoonsgegevens", schetst Van Eecke. "Maak van persoonsgegevensbescherming een vast agendapunt", adviseert Gert Beeckmans van SD Worx. Welke persoonsgegevens bewaar je? Met welk doel? Op welke juridische basis? Waar bewaar je ze? Wie heeft er toegang toe? Waar komen ze vandaan? Worden ze extern uitgewisseld? Met wie? Die gegevens komen in het verplichte gegevensverwerkingsregister. "Beperk de persoonsgegevens tot het minimum", adviseert Karl Pottie, ICT-expert van de provincie Vlaams-Brabant. "Hoe minder gegevens je verzamelt, hoe minder je moet doen om ze te beschermen. Heb je bepaalde gegevens echt nodig? Nee? Dan moet je ze niet verzamelen. Stel ook een bewaarlimiet in. Vaak worden data nooit verwijderd", geeft Pottie mee. Voor het gegevensverwerkingsregister hoef je niet noodzakelijk specifieke software aan te schaffen. Een rekenblad volstaat. Organisaties zoals Agoria, Unizo, Beltug, Scwitch en anderen hebben modellen op hun websites staan. De GDPR voorziet slechts in één situatie waarin geen gegevensverwerkingsregister nodig: als de verwerking van persoonsgegevens 'incidenteel' is. Denk aan de bakker die een tombola organiseert voor zijn klanten en de gegevens na afloop vernietigt.Na de inventaris neem je je situatie in ogenschouw. Is je gegevensverwerking in overeenstemming met de verordening? Wat te doen om de kloof te overbruggen? "Je kunt zo'n audit door een expert laten uitvoeren, maar je kunt ook gerust zelf stappen uitwerken", adviseert Luk Tas, projectmanager van Scwitch. Danielle Jacobs, de directeur van Beltug, een vzw die opkomt voor ICT-gebruikers, waarschuwt dat een consultant je de overlast niet uit handen neemt. "Adviseurs gaan niet het echte werk voor jou doen", zegt ze. Een belangrijk deel van de inspanning zijn de contracten met diensten waaraan je persoonsgegevens doorgeeft, zoals sociale secretariaten, of met softwareleveranciers en onlineplatformen die je helpen met de verwerking. Die moeten schriftelijk garanderen dat ze GDPR-conform werken. Overheidsdiensten, grootschalige gegevensverwerkers en systematische verwerkers van gevoelige persoonsgegevens moeten een functionaris voor de gegevensbescherming aanstellen. Dat is een interne of externe professional, die een zekere onafhankelijkheid heeft. Hij maakt een jaarlijks rapport voor de bedrijfsleiding en is het contactpunt met de Gegevensbeschermingsautoriteit. Een privacyverklaring moet de personen van wie je de gegevens verwerkt inlichten welke gegevens je van hen verzamelt, hoe, op welke rechtsgrond, met welk doel, met wie ze worden gedeeld en waarom. Als de data dienen voor automatische besluitvorming of profilering, moeten de logica, het belang en de verwachte gevolgen voor de betrokkene worden uitgelegd. Als de gegevens de Europese Unie verlaten, moet dat gemeld worden. De GDPR waarborgt de privacyrechten van alle betrokkenen, ongeacht of zij EU-burgers zijn of niet, en ongeacht waar zij verblijven. De privacyverklaring moet helder en concreet zijn en gemakkelijk beschikbaar. Zij geeft ook concreet aan hoe personen hun recht op inzage, correctie, bezwaar, schrapping, intrekking van toestemming, beperking van verwerking, weigering van geautomatiseerde profilering en overdracht van hun gegevens kunnen uitoefenen. Vage formules als "wij verzamelen deze informatie om u te contacteren voor de marketing van onze producten en diensten en voor uitgekozen derde partijen die u via ons willen contacteren" (de huidige privacyverklaring van een multinationale gegevenshandelaar) volstaan niet. Persoonsgegevens moeten passend beschermd worden. Als er een laptop verdwijnt, kan de verwerkingsverantwoordelijke argumenteren dat de gegevens adequaat versleuteld of anoniem gemaakt waren. Als het onwaarschijnlijk is dat het lek 'een risico inhoudt voor de rechten en vrijheden' van de betrokken personen, hoeft de verwerkingsverantwoordelijke het voorval niet te melden aan de Gegevensbeschermingsautoriteit. Anders moet dat binnen 72 uur. Als er een 'hoog risico' op schade is voor de individuen, moeten die 'onverwijld' worden ingelicht. Persoonsgegevens mogen voortaan slechts om welbepaalde redenen verzameld en gebruikt worden. De Algemene Verordening Gegevensverwerking somt er zes op: - voor de uitvoering van een contract (bijvoorbeeld levering van goederen); - wettelijke verplichting (bv. loonadministratie); - algemeen belang of openbaar gezag (bv. scholen, politie); - vitaal belang (bv. medische behandeling); - ondubbelzinnige toestemming; - gerechtvaardigd belang. Wie zich op ' ondubbelzinnige toestemming' wil baseren voor de verwerking van persoonsgegevens, moet om een 'duidelijke bevestigende handeling' vragen. Het op voorhand aangeduide vinkje bij 'ik ga akkoord met uw privacybeleid' volstaat niet. De toestemming moet 'vrijelijk, specifiek, geïnformeerd en ondubbelzinnig' zijn. 'Vrij' betekent dat er geen onredelijke druk mag worden uitgeoefend. Als een zaklamp-app alleen werkt als je haar toegang geeft tot je contacten, dan is de toelating niet als 'vrij'. 'Specifiek' betekent dat elk van de doelen van de verwerking duidelijk moeten zijn. 'Geïnformeerd' vereist dat de vraag in begrijpelijke taal is gesteld. "De toestemming moet ook controleerbaar zijn", onderstreept Danny Van Assche, gedelegeerd bestuurder van Unizo. De zelfstandigenorganisatie adviseert daarom naar adressen die aangekocht zijn bij een directmarketingbedrijf een mail te sturen met een vraag: een bevestiging dat het marketingbureau het adres mocht doorverkopen, en de toestemming om het adres voor welomschreven doeleinden te gebruiken. "Hou de toestemmingsverklaring, de registratietijd en het IP-adres bij, net als de inhoud en het tijdstip van de bevestigingsmail", spoort Unizo aan. Toestemming voor gegevensverwerking krijgen wordt met dat alles omslachtiger, en dus zoeken marketeers andere rechtsgronden om gegevens te verwerken. "Bedrijven willen zekerheid en stabiliteit. Toestemming garandeert die niet langer", stelt Johan Vandendriessche van Erkelens Law. "' Gerechtvaardigd belang' is een alternatief. Dat vereist dat de belangen van de verwerkingsverantwoordelijke opwegen tegen de belangen van de betrokken personen. In België kan die afweging zich beroepen op de vrijheid van ondernemen. Op Europees niveau staat vrijheid van ondernemen op dezelfde hoogte als het recht op de bescherming van persoonsgegevens." "Gerechtvaardigd belang inroepen betekent dat je je elke keer moet afvragen of er wel een evenwicht is tussen de rechten van de betrokken personen en onze rechten", zegt Dominique Pissoort, juridisch adviseur van Bisnode Belgium, een van de grootste data-analisten op de Belgische consumentenmarkt. "Wij moeten hen dus heel transparant informeren over de verschillende manieren waarop hun gegevens worden gebruikt." Filip Champagne, de marketingdirecteur van Bisnode, is nieuwsgierig naar de manier waarop Google, Apple, Facebook of Amazon zich aan de GDPR zullen aanpassen. "Zij hebben lang geleden een soort toestemming van de consumenten gevraagd. Die weten ondertussen niet meer waarvoor ze hun fiat hebben gegeven. Dat kan beschouwd worden als een carte blanche, waardoor de GDPR hun positie nog versterkt." Bovendien ziet hij de hoge kosten verbonden aan de Europese verordening in het nadeel spelen van de kmo's. "De verplichtingen zijn voor een klein bedrijf even streng als voor een groot." Bisnode Belgium - 15 miljoen toegevoegde waarde in 2016 - investeert "een getal in zeven cijfers" (minstens 1 miljoen dus) in zijn aanpassing aan de GDPR, volgens Champagne.