U weet het maar al te goed, sedert 25 mei 2018 gelden er nieuwe privacyregels in lidstaten van de Europese Unie ten gevolge van de inwerkingtreding van de General Data Protection Regulation/ Algemene Verordening Gegevensbescherming (hierna: GDPR/AVG). Aangezien het om een verordening gaat, is dit instrument rechtstreeks van toepassing in ons land en heeft ze voorrang op de Belgische wetgeving ter zake.
Daarnaast laat de verordening echter nog ruimte voor een beperkte invulling op nationaal niveau, van de zogenaamde ‘open clauses’.
Dit heeft de Belgische wetgever dan ook op verschillende vlakken gedaan met de Kaderwet van 30 juli 2018, die grotendeels in werking is getreden op 5 september 2018.
Wij lichten er hier kort twee interessante nieuwigheden voor u uit.
De verplichte aanstelling van een DPO voor privéorganen die persoonsgegevens met een hoog risicoprofiel ontvangen van en/of verwerken voor rekening van een federale overheid
De GDPR
De verplichte aanstelling van een functionaris voor gegevensbescherming/ data protection officer (hierna: DPO) is niet nieuw: onder de GDPR werd deze verplichting voor welbepaalde gevallen reeds in het leven geroepen.
Onder de GDPR was het inderdaad al verplicht om een DPO aan te stellen in 3 gevallen:
1) Wanneer de verwerking verricht wordt door een overheidsinstantie of overheidsorgaan.[1]
2) Wanneer de verwerkingsverantwoordelijke of verwerker hoofdzakelijk belast is met verwerkingen die een grootschalige, regelmatige en stelselmatige observatie van betrokkenen vereisen.
3) Wanneer de verwerkingsverantwoordelijke of verwerker hoofdzakelijk belast is met de grootschalige verwerking van bijzondere categorieën van persoonsgegevens[2] en/of van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten.
De nieuwe wet van 30 juli 2018
Artikel 37.4 van de GDPR laat lidstaten echter toe om bijkomende gevallen in het leven te roepen, waarin de aanstelling van een DPO verplicht is.
De Belgische wetgever heeft van deze open clausule gebruik gemaakt in de wet van 30 juli 2018.
Ze verplicht nu namelijk bedrijven om ook een DPO aan te stellen van zodra ze persoonsgegevens verwerken voor of ontvangen van een federale overheid, indien de verwerking van deze persoonsgegevens een hoog risico kan inhouden voor de rechten en vrijheden van natuurlijke personen.[3]
Wie of wat vallen onder de nieuwe categorie?
Het gaat om een bijkomstige categorie, waarin bedrijven slechts aan 2 (cumulatieve) voorwaarden moeten voldoen om de verplichte aanstelling van een DPO te ‘triggeren’, met name :
1. De ontvangst of verwerking van persoonsgegevens van/voor de overheid;
2. Een hoog risico dat gepaard gaat met de verwerking.
Dit betekent een serieuze drempelverlaging m.b.t. de verplichte aanstelling van een DPO.
Enerzijds vormen “persoonsgegevens met een hoog risicoprofiel” immers een bredere categorie dan de bijzondere persoonsgegevenscategorieën en/of persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten, die vermeld worden in de GDPR.
Anderzijds is het niet vereist dat de bedrijven in kwestie hoofdzakelijk belast zijn met verwerkingen die een grootschalige, regelmatige en/of stelselmatige observatie van betrokkenen inhouden. De vereisten van de hoofdzakelijkheid van de verwerking en het grootschalige, regelmatige en stelselmatige karakter van de observatie van de betrokken zijn niet opgenomen in de nieuwe, nationaal bepaalde categorie.
De enige bijkomende vereiste naast het hoge risicoprofiel van de persoonsgegevensverwerking is dus dat de ontvangst of verwerking van de persoonsgegevens in een relatie met de federale overheid plaatsvindt.
Dit betekent concreet dat de nieuwe wet een uitbreiding van de verplichting tot aanstelling van een DPO teweegbrengt en dat veel bedrijven die voordien niet onder die verplichting vielen, dat nu mogelijks wel doen.
Als u een bedrijf bent dat persoonsgegevens uitwisselt met de federale overheid, kijkt u dus best eens na of er een hoog risico gemoeid is met die uitwisseling (en die kans is niet bepaald klein): u zou wel eens wettelijk verplicht kunnen zijn om een DPO aan te stellen!
Wat is een hoog risico?
De beoordeling van het feit of de verwerking van persoonsgegevens in een concreet geval (potentieel) een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, gebeurt in het kader van de parameters van de GDPR[4] en een zogenaamde gegevensbeschermingseffectbeoordeling of Data Protection Impact Assessment (DPIA).
“Gegevensverwerkingen met een hoog risico” hebben betrekking op verwerkingen waarvan het waarschijnlijk is dat zij wezenlijke negatieve gevolgen zullen of kunnen hebben voor de fundamentele rechten en vrijheden van natuurlijke personen.
De Groep 29 (het overkoepelende Europese orgaan waarin de verschillende nationale toezichthoudende autoriteiten vertegenwoordigd zijn) stelde negen criteria op waarmee men rekening moet houden als verwerkingsverantwoordelijke, om te beoordelen of een verwerking al dan niet een (potentieel) hoog risico inhoudt.
Enkele voorbeelden zijn: activiteiten van matching of samenvoeging van datasets, gegevensverwerking met betrekking tot kwetsbare betrokkenen of gevoelige gegevens, gevallen waarin ten gevolge van de verwerking zelf de betrokkenen een recht niet kunnen uitoefenen of geen beroep kunnen doen op een dienst of een overeenkomst, gevallen waarin de gegevensverwerking leidt tot evaluatie of scoretoekenning (met inbegrip van profilering en voorspellingen), etc.
De introductie van gegevensverwerkingsprotocollen
Daarnaast voorziet de nieuwe wet dat wanneer de federale overheid persoonsgegevens doorgeeft aan privé ondernemingen of andere overheden, deze overdracht steeds (i.e. bij elk verwerkingstype) geformaliseerd dient te worden middels een protocolakkoord tussen de zogenaamde oorspronkelijke verwerkingsverantwoordelijke enerzijds en de verwerkingsverantwoordelijke-ontvanger van de persoonsgegevens anderzijds.
In dergelijke protocolakkoorden wordt er o.a. melding gemaakt van de identiteit van de overheidsinstantie in kwestie en de verwerkingsverantwoordelijke(n), de verwerkingsdoeleinden, de contactgegevens van de DPO’s, de aard van de overgedragen persoonsgegevens, de wettelijke grondslag voor de overdracht, de frequentie van de overdracht en de sancties bij niet-naleving.
Auteur: Vincent Vandersmissen
[1] Behalve in het geval van gerechten bij de uitoefening van hun rechterlijke taken.
[2] Gegevens m.b.t. ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, lidmaatschap van een vakbond, genetische gegevens, biometrische gegevens, gegevens over gezondheid, gegevens met betrekking tot iemands seksueel gedrag of seksuele oriëntatie.
[3] Zie Art. 21 van de Wet van 30 juli 2018
[4] Zie Art. 35 van de GDPR