Zo voldoet u aan de Europese privacyrichtlijn: ‘Hoe minder gegevens u verzamelt, hoe minder u moet doen om ze te beschermen’
GDPR. Laat het letterwoord vallen in het bijzijn van een bedrijfsleider, en hij slaat groen uit. Nochtans moet vanaf 25 mei iedere organisatie, van feitelijke vereniging tot multinational, zich schikken naar de Europese General Data Protection Regulation.
Organisaties en bedrijven moeten vanaf 25 mei zorgvuldig omspringen met de persoonsgegevens die ze verzamelen. En dat gaat veel verder dan velen denken.
De General Data Protection Regulation – minder bekend onder zijn vertaling Algemene Verordening Gegevensbescherming, AVG – doet consultants, juristen, advocaten en IT-specialisten overuren draaien, zegt Daphné Vanassche van het Kortrijkse strategisch bureau DULL.
Patrick Van Eecke van DLA Piper beaamt dat. “De jongste twee jaar is mijn praktijk in privacyzaken uit zijn voegen gebarsten. Het is al GDPR wat de klok slaat.” Gert Beeckmans van SD Worx is gematigder: hij noemt GDPR een “evolutie, geen revolutie”.
Waarover gaat het?
Maar de strengere privacywetgeving verzet wel degelijk de bakens. Overheden, bedrijven, zorginstellingen en vzw’s moeten vanaf 25 mei aan de Gegevensbeschermingsautoriteit (die nu nog Privacycommissie heet) kunnen aantonen dat ze zorgvuldig omspringen met de persoonsgegevens die ze verzamelen en beheren.
De bewijslast wordt omgedraaid. Als iemand schade lijdt door gegevens die in verkeerde handen terechtkomen, is het aan de verwerkingsverantwoordelijke van de gegevens om te bewijzen dat hij zorgvuldig is geweest.
‘Persoonsgegevens’ zijn ‘alle informatie over direct of indirect identificeerbare natuurlijke personen’. Elke organisatie die dat soort informatie verwerkt, moet aan de GDPR voldoen. Dat gaat van feitelijke verenigingen en de lokale sportclub tot multinationals. Allemaal verwerken ze persoonsgegevens van personeel, leden, klanten of leveranciers.
Ook het begrip ‘verwerking’ is breed. Het gaat van verzamelen en registreren tot raadplegen, koppelen, verspreiden en vernietigen. Minstens de bijna 1,14 miljoen zelfstandigen en vennootschappen die bij de RSZ bekend zijn, moeten een register van hun verwerking van persoonsgegevens bijhouden.
Als hun verwerking ‘risicovol’ is – bijvoorbeeld om profielen op te maken, of voor direct marketing – moeten ze vooraf een effectenrapport opmaken. In sommige gevallen zijn ze verplicht een ‘functionaris voor gegevensbescherming’ aan te stellen.
‘Maak van persoonsgegevensbescherming een vast agendapunt’ (Gert Beeckmans, SD Worx)
De verordening geldt ook voor verwerkingsverantwoordelijken en verwerkers die buiten de Europese Unie zijn gevestigd wanneer zij producten of diensten aanbieden aan personen in de EU of wanneer zij het gedrag van personen in de EU monitoren.
Een van de redenen waarom de privacyregelgeving nu ernstiger wordt genomen dan vroeger zijn de boetes die de Gegevensbeschermingsautoriteit vanaf 25 mei kan opleggen.
“Vroeger moest zij daarvoor naar de rechtbank, wat niet zo vaak gebeurde”, zegt Gert Beeckmans van SD Worx. Onder de nieuwe regels kunnen de boetes oplopen tot 4 procent van de wereldwijde jaaromzet of tot 20 miljoen euro, welke van de twee het hoogste is.
Aan de slag
Verschillende organisaties (zie kader Nood aan gedetailleerde informatie?) hebben al stappenplannen uitgewerkt. Een goede handleiding heeft Scwitch, een coöperatie van sociaal-culturele organisaties. Die verwerken vaak ‘gevoelige persoonsgegevens’. Het gaat over medische data, politieke of seksuele voorkeur, geloofsovertuiging, etnische afkomst, lidmaatschap van vakbonden enzovoort. Daarvoor gelden speciale verwerkingsvoorwaarden boven op de algemene vereisten van transparantie, proportionaliteit en beveiliging.
Scwitch adviseert een logboek bij te houden van wat je doet. Op die manier toon je dat je persoonsgegevensverwerking ernstig neemt en hou je een overzicht van wat er is gedaan en door wie.
1 Bewustmaking
Voor Scwitch is bewustmaking de eerste stap. Ook Patrick Van Eecke van DLA Piper waarschuwt dat GDPR meer vraagt dan snel even de privacy policy op de website aan te passen.
“Het gaat om de manier waarop je persoonsgegevens verzamelt, hoe je die verwerkt, hoelang je die bijhoudt, welke veiligheidsmaatregelen je treft, enzovoort. Vaak moet er een opleiding voor het personeel komen om hen te leren bedachtzaam om te springen met persoonsgegevens”, schetst Van Eecke. “Maak van persoonsgegevensbescherming een vast agendapunt”, adviseert Gert Beeckmans van SD Worx.
2 Inventaris
Welke persoonsgegevens bewaar je? Met welk doel? Op welke juridische basis? Waar bewaar je ze? Wie heeft er toegang toe? Waar komen ze vandaan? Worden ze extern uitgewisseld? Met wie? Die gegevens komen in het verplichte gegevensverwerkingsregister.
“Beperk de persoonsgegevens tot het minimum”, adviseert Karl Pottie, ICT-expert van de provincie Vlaams-Brabant. “Hoe minder gegevens je verzamelt, hoe minder je moet doen om ze te beschermen. Heb je bepaalde gegevens echt nodig? Nee? Dan moet je ze niet verzamelen. Stel ook een bewaarlimiet in. Vaak worden data nooit verwijderd”, geeft Pottie mee.
Voor het gegevensverwerkingsregister hoef je niet noodzakelijk specifieke software aan te schaffen. Een rekenblad volstaat. Organisaties zoals Agoria, Unizo, Beltug, Scwitch en anderen hebben modellen op hun websites staan.
De GDPR voorziet slechts in één situatie waarin geen gegevensverwerkingsregister nodig: als de verwerking van persoonsgegevens ‘incidenteel’ is. Denk aan de bakker die een tombola organiseert voor zijn klanten en de gegevens na afloop vernietigt.
3 Audit
Na de inventaris neem je je situatie in ogenschouw. Is je gegevensverwerking in overeenstemming met de verordening? Wat te doen om de kloof te overbruggen? “Je kunt zo’n audit door een expert laten uitvoeren, maar je kunt ook gerust zelf stappen uitwerken”, adviseert Luk Tas, projectmanager van Scwitch. Danielle Jacobs, de directeur van Beltug, een vzw die opkomt voor ICT-gebruikers, waarschuwt dat een consultant je de overlast niet uit handen neemt. “Adviseurs gaan niet het echte werk voor jou doen”, zegt ze.
Een belangrijk deel van de inspanning zijn de contracten met diensten waaraan je persoonsgegevens doorgeeft, zoals sociale secretariaten, of met softwareleveranciers en onlineplatformen die je helpen met de verwerking. Die moeten schriftelijk garanderen dat ze GDPR-conform werken.
Overheidsdiensten, grootschalige gegevensverwerkers en systematische verwerkers van gevoelige persoonsgegevens moeten een functionaris voor de gegevensbescherming aanstellen. Dat is een interne of externe professional, die een zekere onafhankelijkheid heeft. Hij maakt een jaarlijks rapport voor de bedrijfsleiding en is het contactpunt met de Gegevensbeschermingsautoriteit.
4 Transparantie
Een privacyverklaring moet de personen van wie je de gegevens verwerkt inlichten welke gegevens je van hen verzamelt, hoe, op welke rechtsgrond, met welk doel, met wie ze worden gedeeld en waarom.
Als de data dienen voor automatische besluitvorming of profilering, moeten de logica, het belang en de verwachte gevolgen voor de betrokkene worden uitgelegd. Als de gegevens de Europese Unie verlaten, moet dat gemeld worden. De GDPR waarborgt de privacyrechten van alle betrokkenen, ongeacht of zij EU-burgers zijn of niet, en ongeacht waar zij verblijven.
De privacyverklaring moet helder en concreet zijn en gemakkelijk beschikbaar. Zij geeft ook concreet aan hoe personen hun recht op inzage, correctie, bezwaar, schrapping, intrekking van toestemming, beperking van verwerking, weigering van geautomatiseerde profilering en overdracht van hun gegevens kunnen uitoefenen.
Vage formules als “wij verzamelen deze informatie om u te contacteren voor de marketing van onze producten en diensten en voor uitgekozen derde partijen die u via ons willen contacteren” (de huidige privacyverklaring van een multinationale gegevenshandelaar) volstaan niet.
5 Wat bij een lek?
Persoonsgegevens moeten passend beschermd worden. Als er een laptop verdwijnt, kan de verwerkingsverantwoordelijke argumenteren dat de gegevens adequaat versleuteld of anoniem gemaakt waren.
Als het onwaarschijnlijk is dat het lek ‘een risico inhoudt voor de rechten en vrijheden’ van de betrokken personen, hoeft de verwerkingsverantwoordelijke het voorval niet te melden aan de Gegevensbeschermingsautoriteit. Anders moet dat binnen 72 uur. Als er een ‘hoog risico’ op schade is voor de individuen, moeten die ‘onverwijld’ worden ingelicht.
Zes gegronde redenen
Persoonsgegevens mogen voortaan slechts om welbepaalde redenen verzameld en gebruikt worden. De Algemene Verordening Gegevensverwerking somt er zes op:
– voor de uitvoering van een contract (bijvoorbeeld levering van goederen);
– wettelijke verplichting (bv. loonadministratie);
– algemeen belang of openbaar gezag (bv. scholen, politie);
– vitaal belang (bv. medische behandeling);
– ondubbelzinnige toestemming;
– gerechtvaardigd belang.
Wie zich op ‘ ondubbelzinnige toestemming‘ wil baseren voor de verwerking van persoonsgegevens, moet om een ‘duidelijke bevestigende handeling’ vragen. Het op voorhand aangeduide vinkje bij ‘ik ga akkoord met uw privacybeleid’ volstaat niet. De toestemming moet ‘vrijelijk, specifiek, geïnformeerd en ondubbelzinnig’ zijn.
‘Vrij’ betekent dat er geen onredelijke druk mag worden uitgeoefend. Als een zaklamp-app alleen werkt als je haar toegang geeft tot je contacten, dan is de toelating niet als ‘vrij’. ‘Specifiek’ betekent dat elk van de doelen van de verwerking duidelijk moeten zijn. ‘Geïnformeerd’ vereist dat de vraag in begrijpelijke taal is gesteld.
“De toestemming moet ook controleerbaar zijn”, onderstreept Danny Van Assche, gedelegeerd bestuurder van Unizo. De zelfstandigenorganisatie adviseert daarom naar adressen die aangekocht zijn bij een directmarketingbedrijf een mail te sturen met een vraag: een bevestiging dat het marketingbureau het adres mocht doorverkopen, en de toestemming om het adres voor welomschreven doeleinden te gebruiken.
“Hou de toestemmingsverklaring, de registratietijd en het IP-adres bij, net als de inhoud en het tijdstip van de bevestigingsmail”, spoort Unizo aan.
Toestemming voor gegevensverwerking krijgen wordt met dat alles omslachtiger, en dus zoeken marketeers andere rechtsgronden om gegevens te verwerken. “Bedrijven willen zekerheid en stabiliteit. Toestemming garandeert die niet langer”, stelt Johan Vandendriessche van Erkelens Law. “‘
Gerechtvaardigd belang‘ is een alternatief. Dat vereist dat de belangen van de verwerkingsverantwoordelijke opwegen tegen de belangen van de betrokken personen. In België kan die afweging zich beroepen op de vrijheid van ondernemen. Op Europees niveau staat vrijheid van ondernemen op dezelfde hoogte als het recht op de bescherming van persoonsgegevens.”
‘Beperk de persoonsgegevens tot het minimum. Hoe minder gegevens je verzamelt, hoe minder je moet doen om ze te beschermen’ (Karl Pottie, ICT-expert Vlaams-Brabant)
“Gerechtvaardigd belang inroepen betekent dat je je elke keer moet afvragen of er wel een evenwicht is tussen de rechten van de betrokken personen en onze rechten”, zegt Dominique Pissoort, juridisch adviseur van Bisnode Belgium, een van de grootste data-analisten op de Belgische consumentenmarkt. “Wij moeten hen dus heel transparant informeren over de verschillende manieren waarop hun gegevens worden gebruikt.”
Filip Champagne, de marketingdirecteur van Bisnode, is nieuwsgierig naar de manier waarop Google, Apple, Facebook of Amazon zich aan de GDPR zullen aanpassen. “Zij hebben lang geleden een soort toestemming van de consumenten gevraagd. Die weten ondertussen niet meer waarvoor ze hun fiat hebben gegeven. Dat kan beschouwd worden als een carte blanche, waardoor de GDPR hun positie nog versterkt.”
Bovendien ziet hij de hoge kosten verbonden aan de Europese verordening in het nadeel spelen van de kmo’s. “De verplichtingen zijn voor een klein bedrijf even streng als voor een groot.” Bisnode Belgium – 15 miljoen toegevoegde waarde in 2016 – investeert “een getal in zeven cijfers” (minstens 1 miljoen dus) in zijn aanpassing aan de GDPR, volgens Champagne.
Prijskaartje van 40.000 euro
Novado, de Brugse softwarebouwer uit de Vanden Broele Groep, bereidt zich al meer dan een jaar voor op de GDPR. Het team van vier – op een totaal van twintig – dacht eerst alles zelf aan te pakken, maar heeft intussen een juridisch adviseur in de arm genomen. Novado verwerkt klassieke marketinggegevens, maar ook kritische authentieke overheidsbronnen zoals het rijks- en strafregister.
“Zowel de interne als de externe documenten moeten aangepast worden”, zegt general manager Bram Van Impe. “Je moet de procedures voor thuiswerk herzien – wat kan nog lokaal, wat niet? Je moet systematisch encrypteren. Je klanten weten te weinig over de Euroepse verordening. Je moet hen informeren. Pragmatiek is nodig. Hoe breng je ‘het recht vergeten te worden’ in een tien jaar oude toepassing?”
De contracten met onderaannemers en partners zijn een zware dobber. “Alles moet je herbekijken. Het bedrijf waar je toepassingen host, moet nu ook bijhouden welke gegevens je op hun servers bewaart. Je moet bijna elke klant en elke leverancier aanspreken. De keten van de verwerkingsactiviteiten moet van het begin tot het einde juridisch kloppen. Lastig is dat jij documenten opstelt, maar je klanten ook. Standaardteksten zouden dat vergemakkelijken, maar zelfs bij de overheid krijgen we verschillende formuleringen.”
Van Impe verwacht dat het prijskaartje voor Novado rond de 40.000 euro zal liggen, waarvan 15.000 euro voor extern advies.
Het wordt nog strenger
“De GDPR is niet het eindpunt van de privacy-saga. Er komt nog een stukje Europese wetgeving dat als een torpedo kan inslaan bij een groot aantal bedrijven. Dat is de ePrivacy-verordening, nu nog bekend als de cookiewetgeving. De Europese regelgever breidt die uit en maakt ze scherper.
Niet alleen het gebruik van cookies, ook het verzamelen van gebruikersinformatie op smartphones, onder meer via bluetooth, wordt geregeld. Veel ondernemingen in de advertentie-industrie moeten zich dan afvragen of hun bedrijfsmodel nog houdbaar is”, meent Patrick Van Eecke van DLA Piper.
Nood aan gedetailleerde informatie ?
Privacycommission.be, de website van de Gegevensbeschermingsautoriteit, is het eerste referentiepunt met zijn uitgebreide sectie ‘veelgestelde vragen’. “Maar we kunnen op dit moment nog niet alle vragen beantwoorden”, meldt ze, onder meer omdat de gegevensbeschermingsautoriteiten van de EU-lidstaten hun interpretaties nog stroomlijnen.
De ondernemersorganisatie Unizo biedt een privacychecklist aan die vorige week 471 keer was ingevuld. Voor de leden is er een toolkit. Voor het GDPR-vormingsprogramma is er een wachtlijst.
Beltug, de vzw van ‘digitale technologieleiders’, heeft voor zijn leden modeldocumenten uitgewerkt: een gegevensverwerkingsregister, een overeenkomst met ICT-leveranciers, vragenlijsten om de AVG-conformiteit van hr-dienstverleners en ICT-leveranciers te checken, en zo meer.
Scwitch.be/toolkit van de vzw-organisatie Scwitch is gemakkelijk toegankelijk. De ‘GDPR Compass’ toepassing van Agoria vertelt u welke acties u moet ondernemen om GDPR-conform te zijn.
Een lijn van dominosteentjes
Dat persoonsgegevensbescherming in grote bedrijven snel complex kan worden, toont Peter Van Rompaey van Engie Benelux met het voorbeeld van de tankkaart. De werkgever is de verwerkingsverantwoordelijke, maar besteedt die dienst meestal uit aan een shared service centre. Dat laat het operationele beheer aan een fleetmanager over, die op zijn beurt het beheer van de tankkaart uitbesteedt aan een tankkaartenbedrijf.
De laatste verwerker in de rij is het tankstation. Dat verzamelt uiteindelijk de gegevens over de tankbeurten en rapporteert die aan de werkgever. Die controleert zo de factuur, maar krijgt ook zicht op wie waar en wanneer is geweest, welke rijstijl iemand heeft, enzovoort.
Van Rompaey: “Elke verwerker moet een register bijhouden. Als een verwerker een onderaannemer wil vervangen, moet hij daarvoor toestemming vragen van de verwerkingsverantwoordelijke. Dat zal niet eenvoudig te organiseren zijn. Bovendien kan je argumenteren dat het tankkaartenbedrijf of het tankstation een aparte verwerkingsverantwoordelijke is. Dat moet je bepalen aan de hand van de feitelijke omstandigheden. Ga ervanuit dat er over al die punten discussies zullen zijn.”
Fout opgemerkt of meer nieuws? Meld het hier