De General Data Protection Regulation – afgekort GDPR – zorgde de voorbije maanden al voor heel wat kopzorgen binnen de lokale besturen. En terecht! Meer dan anderhalf jaar na de aanname in het Europees Parlement, nadert de actieve toepassing en handhaving van deze nieuwe “Bijbel der privacy” met rasse schreden. Net iets meer dan 100 dagen resteren alle verwerkingsverantwoordelijken en verwerkers van persoonsgegevens om zich volledig in regel te stellen …
In de aanloop naar de Algemene Verordening Gegevensbescherming (i.e. Nederlands voor GDPR) worden er heel wat inspanningen gevergd van de lokale besturen. Daarbij is het alvast een illusie te denken GDPR-compliant te zijn, wanneer uw bestuur nu reeds werkt in overeenstemming met de beginselen van de Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (i.e. de Privacywet).
Meerdere bestaande verplichtingen worden uitgebreid, meerdere nieuwe verplichtingen worden in het leven geroepen en dit alles op straffe van – aanzienlijke (!) en mogelijks persoonlijke (?) – sancties. Om die reden trachten wij navolgend een overzicht te bieden van de meest prangende plichten waaraan u en uw bestuur best voldoen in het vooruitzicht van de aankomst van de GDPR-trein.
De functionaris voor gegevensbescherming / DPO
Met ingang vanaf 25 mei 2018 – maar idealiter veel eerder – zal uw bestuur verplicht zijn te beschikken over een functionaris voor gegevensbescherming (een zgn. DPO). Deze onafhankelijke en deskundige (contact-)persoon zal voortaan een centrale positie binnen uw bestuur (moeten) bekleden in het kader van de verwerking van persoonlijke en privacygevoelige informatie.
In de rand hiervan dient alvast opgemerkt dat deze functionaris voor gegevensbescherming geenszins kan vereenzelvigd worden met de informatieveiligheidsconsulent die uw bestuur momenteel – naar alle waarschijnlijkheid – rijk is. Beide functies vloeien voort uit onderscheiden wetten met onderscheiden profielen. Zo bepaalt de GDPR dat de functionaris voor gegevensbescherming zal aangewezen worden op grond van zijn professionele kwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming.
In het verleden ontwikkelde de Commissie voor de Bescherming van de Persoonlijke Levenssfeer een jurisprudentie in toepassing waarvan zij een duidelijk onderscheid maakte tussen de functies van veiligheidsconsulent en functionaris voor gegevensbescherming.
Het register van de verwerkingsactiviteiten / het verwerkingsregister
Behoudens (beperkte) uitzondering zal ieder lokaal bestuur voortaan gehouden zijn een – exclusief intern – verwerkingsregister bij te houden. Zoals de naam reeds doet vermoeden bevat het verwerkingsregister géén verwerkte (persoons-)gegevens ut singuli, maar betreft het een register waarin het bestuur een overzicht houdt van al haar persoonsgegevensverwerkingen.
Daarbij schrijft de GDPR voor dat het verwerkingsregister minstens de (6) navolgende “W’s” aan informatie moet bevatten met betrekking tot iedere verwerkingsactiviteit die het bestuur op datum van 25 mei 2018 verricht:
- Wie: naam en contactgegevens van de verwerkingsverantwoordelijke, in voorkomend geval diens vertegenwoordiger en van de functionaris voor gegevensbescherming.
- Waarom: per verwerking wordt een doeleinde geïdentificeerd en op heldere en nauwkeurige wijze omschreven. Doeleinden van verwerking kunnen (o.m.) afvalverzameling, administratie van personeel, de vestiging van lokale belastingen, … zijn;
- Wat: beschrijving van (i) de categorieën van geïdentificeerde / identificeerbare personen (bv. werknemers, belastingplichtigen, …) en (ii) de categorieën van verwerkte persoonsgegevens (bv. identificatiegegevens, financiële data, …). Daarbij wordt aanbevolen de gevoelige gegevens uitdrukkelijk te identificeren aangezien hierop specifieke regels van toepassing zijn;
- Waar: een beschrijving van de categorieën van personen of instanties aan wie/waaraan de persoonsgegevens worden verstrekt;
- Wanneer: de ( al dan niet wettelijk voorziene) termijnen waarbinnen de verschillende categorieën van verwerkte (persoons-)gegevens moeten worden gewist.
- Wijze: een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen (bv. monitoring, inlogging, …) teneinde een op het risico afgestemd beveiligingsniveau te waarborgen. Daarbij kan het – minstens vanuit pragmatisch oogpunt – aangewezen zijn om de onderscheiden categorieën van (persoons-)gegevens te classificeren, met koppeling van een bepaald beveiligingsniveau en – maatregelen aan iedere dataklasse;
Caveat! Het verwerkingsregister is een levend instrument dat evolueert naarmate de voortschrijdende activiteiten van uw bestuur. De verplichting om een verwerkingsregister bij te houden betreft aldus een dynamische verplichting, zodanig dat de verwerkingsverantwoordelijke en verwerker het moeten bijwerken.
Privacy verklaringen op de gemeentelijke website
Ongetwijfeld zal uw bestuur – als gedigitaliseerde overheid – heden beschikken over een privacy verklaring op de gemeentelijke website met het oog op de voorlichting van de burgers over de verwerkingen van zijn/ haar persoonsgegevens door uw bestuur.
Met de komst van de GDPR wordt deze informatieplicht uitgebreid, zodanig dat uw bestuur – uiterlijk bij het verkrijgen van de gegevens – meer informatie moet meedelen en dit op een eenvoudige, toegankelijke en begrijpelijke wijze. Thans zullen burgers hierin informatie moeten kunnen vinden over het doel van de verwerking, de grondslag voor de verwerking, …
Gezien aan de huidige privacy verklaringen geen inhoudelijke noch formele eisen zijn gesteld, is uit empirisch onderzoek gebleken dat vele privacy verklaringen zijn samengesteld uit ingewikkelde en incoherente tekstblokken. Zodoende zal de uitdaging erin bestaan alle vereiste informatie in de verklaring op te nemen zonder in te boeten aan leesbaarheid voor de gemiddelde Belg.
Een tip om de verklaring begrijpelijk te houden, kan erin bestaan om de verklaring in verschillende lagen op te bouwen, zodat de burger eerst op hoofdlijnen en vervolgens in detail kan teruglezen hoe uw bestuur omgaat met zijn/haar persoonsgegevens.
Overeenkomsten met verwerkers
Wanneer u voor de verwerking van persoonsgegevens heden een beroep wenst te doen op een (externe) verwerker (bv. sociaal secretariaat, …), is uw, onder de Privacywet van 8 december 1992 ressorterend, bestuur (enkel) gehouden om de onderlinge aansprakelijkheidsverhoudingen met deze verwerker vast te stellen in een schriftelijke overeenkomst.
Thans verwacht de GDPR – vanaf 25 mei 2018 – een gedetailleerde, schriftelijke verwerkersovereenkomst met maar liefst 8 (!) verplichte onderdelen, waaronder het onderwerp en de duur van de verwerking, de aard en het doel van de verwerking, het soort persoonsgegevens en de categorieën van betrokkenen, evenals de rechten en plichten van de verwerkingsverantwoordelijke.
Met oog op de initiatie van de GDPR-trein zal het van belang zijn de overeenkomsten die uw bestuur momenteel heeft met (externe) verwerkers te analyseren en desgevallend te herzien, minstens in het licht van de gewijzigde terminologie die in de GDPR wordt weerhouden.
Wees er (niet?) gerust in en zorg er tijdig voor dat de GDPR-trein in uw gemeente kan arriveren in een GDPR-compliant omgeving. Voorschreven plichten zijn immers maar een tipje van de sluier en staan nog los van een lange lijst aan openstaande vragen: Quid met uw webapplicaties en de vereiste van actieve toestemming? Quid met lokale en/of huishoudelijk reglementen die verband houden met een verwerking van persoonsgegevens? Quid met de hoedanigheid van de burgemeester en/of de secretaris als verwerker? Quid met bestaande databanken van persoonsgegevens en de omkering van bewijslast onder de GDPR? Quid met de verhouding tussen de GDPR en de regelgeving inzake de openbaarheid van bestuur?