Vanaf 25 mei 2018 zal de Algemene Verordening Gegevensbescherming (AVG) van toepassing zijn op alle bedrijven die persoonsgegevens verwerken. Bedrijven hebben nog enkele maanden de tijd om zich voor te bereiden op die nieuwe regelgeving. Verschillende instanties, zoals de "Werkgroep Artikel 29" (WP 29) en de Belgische Privacycommissie, hebben nuttige richtlijnen en aanbevelingen opgesteld waarvan deze bijdrage een overzicht biedt.
Transparantie
Het transparantiebeginsel is een fundamenteel beginsel van gegevensbescherming in de huidige wetgeving en het belang ervan wordt alleen maar verder onderlijnd in de AVG (artikel 5.1.a) en artikel 12 e.v. AVG). Transparantie slaat op de informatie die bedrijven aan personen moeten geven over wat er met hun persoonsgegevens gebeurt, maar ook op de manier waarop die informatie wordt gegeven en de wijze waarop personen hun rechten met betrekking tot hun persoonsgegevens kunnen uitoefenen.
Meer informatie vindt u in de (ontwerp)richtlijnen van de WP 29 (voorlopig enkel in het Engels beschikbaar): Richtlijnen inzake transparantie onder Verordening 2016/679
Toestemming
De toestemming van een persoon vormt één van de zes wettelijke basissen op grond waarvan een bedrijf persoonsgegevens kan verwerken. Een toestemming is maar geldig gegeven voor zover ze vrij werd gegeven, specifiek is, op informatie berust en een ondubbelzinnige uiting vormt van de wil van een persoon (artikel 4.11), artikel 6.1.a) en artikel 7 AVG). Dit betekent bijvoorbeeld dat toestemming niet mag worden afgeleid uit het gebrek aan handelen of het stilzwijgen van een persoon (door bijvoorbeeld een vooraf aangevinkt vakje niet uit te vinken).
Meer informatie vindt u in de (ontwerp)richtlijnen van de WP 29 (voorlopig enkel in het Engels beschikbaar): Richtlijnen inzake toestemming onder Verordening 2016/679
Recht op overdraagbaarheid van gegevens
Artikel 20 AVG introduceert een nieuw recht op gegevensoverdraagbaarheid. Dit recht houdt in dat personen aan een verwerkingsverantwoordelijke zelf een kopie kunnen vragen van hun persoonsgegevens in een gestructureerd, gangbaar en machineleesbaar formaat of kunnen vragen om die kopie aan een andere verwerkingsverantwoordelijke over te dragen.
Meer informatie vindt u in de richtlijnen van de WP 29: Richtlijnen inzake het recht op gegevensoverdraagbaarheid
Geautomatiseerde individuele besluitvorming en profilering
De AVG bevat nieuwe en meer gedetailleerde regels over profilering en geautomatiseerde besluitvorming (artikel 22 AVG). Profilering is een vorm van geautomatiseerde verwerking van persoonsgegevens die worden gebruikt voor bijvoorbeeld het analyseren of voorspellen van iemands interesses, prestaties op het werk, financiële status of gezondheid. Bij geautomatiseerde besluitvorming worden er op basis van de verwerking van persoonsgegevens beslissingen genomen zonder menselijke tussenkomst, zoals bijvoorbeeld bij online kredietaanvragen.
Meer informatie vindt u in de (ontwerp)richtlijnen van de WP 29 (voorlopig enkel in het Engels beschikbaar): Richtlijnen over de geautomatiseerde individuele besluitvorming en profilering
Register van verwerkingsactiviteiten
Artikel 30 AVG verplicht verwerkingsverantwoordelijken en verwerkers om een register van verwerkingsactiviteiten bij te houden. Dit register is een document dat essentiële informatie bevat over elke verwerkingsactiviteit binnen het bedrijf.
Meer informatie vindt u in de aanbeveling van de Privacycommissie: Aanbeveling betreffende het Register van de verwerkingsactiviteiten (artikel 30 AVG)
Meldingsplicht bij inbreuken
De AVG introduceert de verplichting voor verwerkingsverantwoordelijken om inbreuken in verband met persoonsgegevens te melden, bijvoorbeeld in geval van datalekken of wanneer de beveiliging van persoonsgegevens niet langer gewaarborgd is. Deze melding moet gebeuren aan de bevoegde nationale toezichthoudende instantie binnen de 72 uur nadat de verwerkingsverantwoordelijke zich bewust werd van de inbreuk. In sommige gevallen moet er ook een melding gebeuren aan de personen die door de inbreuk zijn getroffen (artikel 33-34 AVG).
Meer informatie vindt u in de (ontwerp)richtlijnen van de WP 29 (voorlopig enkel in het Engels beschikbaar): Richtlijnen inzake de meldingsplicht voor inbreuken in verband met persoonsgegevens
Gegevensbeschermingseffectbeoordelingen
Voortaan moeten verwerkingsverantwoordelijken een Gegevensbeschermingseffectbeoordeling (GEB) uitvoeren voordat ze een nieuwe, risicovolle verwerkingsactiviteit starten. Die beoordelingen vormen een belangrijk instrument in het kader van de verantwoordingsplicht die op de verwerkingsverantwoordelijken rust, omdat ze kunnen helpen om aan te tonen dat een bedrijf passende maatregelen heeft genomen om de naleving van de AVG te waarborgen.
Meer informatie vindt u:
- in de richtlijnen van de WP 29: Richtlijnen voor gegevensbeschermingseffectbeoordelingen en bepaling of een verwerking "waarschijnlijk een hoog risico inhoudt" in de zin van Verordening 2016/679, en
- in de (ontwerp)aanbeveling van de Privacycommissie: Ontwerp van aanbeveling uit eigen beweging met betrekking tot de gegevensbeschermingseffectbeoordeling en voorafgaande raadpleging voorgelegd voor publieke bevraging
Functionaris voor gegevensbescherming
De aanduiding van een functionaris voor gegevensbescherming (Data Protection Officer of DPO) wordt verplicht wanneer een bedrijf specifieke verwerkingsactiviteiten uitvoert (zoals regelmatige en systematische observatie op grote schaal van betrokkenen of grootschalige verwerking van gevoelige gegevens) en wordt aanbevolen voor elk bedrijf dat persoonlijke gegevens verwerkt. De functionaris voor gegevensbescherming speelt een sleutelrol in elk programma om persoonsgegevens te beschermen (artikel 37-39 AVG).
Meer informatie vindt u:
- in de richtlijnen van de WP 29: Richtlijnen voor functionarissen voor gegevensbescherming (Data Protection Officer, DPO) en
- in de aanbeveling van de Privacycommissie: Aanbeveling betreffende de aanwijzing van een functionaris voor gegevensbescherming in toepassing van de Algemene Verordening Gegevensbescherming (AVG) en in het bijzonder de toelaatbaarheid van de cumulatie van deze functie met andere functies waaronder die van veiligheidsconsulent
Bindende bedrijfsvoorschriften
Persoonsgegevens mogen niet zonder meer buiten de Europese Economische Ruimte worden doorgegeven (artikel 44 e.v. AVG). Extra waarborgen zijn nodig, bijvoorbeeld onder de vorm van een het sluiten van een modelcontract van de Europese Commissie tussen de gegevensexporteur en de gegevensimporteur. Bindende bedrijfsvoorschriften waarbij een soort van gedragscode inzake gegevensbescherming wordt gemaakt binnen een groep van bedrijven vormt een andere manier om gegevensdoorgiftes buiten de EER te legitimeren. In het verleden heeft de WP 29 hierover verschillende werkdocumenten uitgevaardigd die zij recent heeft geactualiseerd.
Meer informatie vindt u in de werkdocumenten inzake bindende bedrijfsvoorschriften die hier en hier beschikbaar zijn.
Leidende toezichthoudende autoriteit
De AVG versterkt de grensoverschrijdende samenwerking tussen gegevensbeschermingsautoriteiten door de invoering van een één-loketsysteem met een leidende toezichthoudende autoriteit en één of meer betrokken toezichthoudende autoriteit(en). Bedrijven die verwerkingsactiviteiten uitvoeren in verschillende lidstaten moeten hun leidende toezichthoudende autoriteit bepalen op basis van het land van hun hoofdvestiging (artikel 51 en volgende AVG).
Meer informatie vindt u in de richtlijnen van de WP 29: Richtlijnen voor het bepalen van de leidende toezichthoudende autoriteit van de verwerkingsverantwoordelijke of de verwerker
Administratieve geldboeten
De administratieve boetes voor inbreuken op de AVG zijn ongetwijfeld één van de nieuwigheden die bedrijven het meest vrezen. De boetes kunnen oplopen tot 20.000.000 EUR of 4% van de totale wereldwijde jaaromzet van een onderneming tijdens het voorgaande boekjaar (artikel 83 AVG). In recente richtlijnen ging de WP 29 in op de vraag hoe toezichthoudende autoriteiten de meest geschikte corrigerende maatregelen moeten vaststellen in geval van een inbreuk om zo een gemeenschappelijke aanpak tussen alle Europese toezichthoudende autoriteiten tot stand te brengen.
Meer informatie vindt u in de richtlijnen van de WP 29 (voorlopig enkel in het Engels beschikbaar): Richtlijnen inzake de toepassing en het bepalen van administratieve geldboeten
Verwerking van persoonsgegevens op de werkvloer
De verwerking van persoonsgegevens op de werkvloer is een belangrijke uitdaging voor elk bedrijf en in dit verband verschenen er eerder al verschillende richtlijnen van de WP 29 over gegevensverwerkingen op het werk. WP 29 heeft onlangs zijn eerdere richtlijnen bijgewerkt in het licht van de nieuwigheden die volgen uit de AVG.
Meer informatie vindt u in een standpunt van de WP 29 (voorlopig enkel in het Engels beschikbaar): Standpunt WP 29 inzake de verwerking van persoonsgegevens op de werkvloer
Te verwachten richtlijnen
In de komende maanden mogen we meer richtlijnen verwachten van de WP 29. In een recent persbericht heeft de WP 29 aangekondigd om tussen nu en februari 2018 nog richtlijnen te zullen publiceren over toestemming, transparantie, gegevensdoorgiftes en certificering.