Of een organisatie optreedt als verwerkingsverantwoordelijke of verwerker, hangt af van de feitelijke omstandigheden. Het onderscheid lijkt soms formalistisch, maar houdt niet te miskennen gevolgen in op vlak van aansprakelijkheid en verplichtingen. Het is dus aangewezen een zorgvuldige beoordeling te maken, om de kwalificatie van partijen correct vast te stellen.

Een verwerkingsverantwoordelijke beslist het doel en de middelen, of anders gezegd waarom en hoe de verwerking van persoonsgegevens plaatsvindt. Dit betekent dat een organisatie bijvoorbeeld als verwerkingsverantwoordelijke zal optreden, voor de verwerkingen in het kader van haar personeelsadministratie.

Een verwerker voert verwerkingen uit in opdracht van een verwerkingsverantwoordelijke. Verder mag deze niets doen met de persoonsgegevens, tenzij op instructie van de verwerkingsverantwoordelijke. Zo zal bv de eerder genoemde personeelsadministratie uitgevoerd worden door een sociaal secretariaat in opdracht van de onderneming.

Het belang van de juiste kwalificatie heeft onder meer te maken met:

• de verantwoordelijkheden die de verwerkingsverantwoordelijke heeft op het gebied van de verwerking van de persoonsgegevens. Zo zal deze o.a. instaan voor het bepalen van een correcte rechtsgrond, het voldoen aan de basisbeginselen van de GDPR zoals de informatieverplichting, bepalen van bewaartermijnen, etc. Verder is deze de eindverantwoordelijke t.a.v. de betrokkenen als iets fout loopt met de verwerking; ook wanneer de problemen te wijten zijn aan de verwerker die wordt ingeschakeld. Net daarom is het voor een verwerkingsverantwoordelijke van belang om een zorgvuldige evaluatie te maken van potentiële verwerkers, alvorens toegang te geven tot persoonsgegevens.
• de verwerker de instructies van de opdrachtgever strikt moet opvolgen, maar zich hier ook toe moet beperken.

De complexiteit van hedendaagse samenwerkingsverbanden zorgt ervoor dat het onderscheid niet altijd eenduidig te maken is. In zo’n gevallen kan een neutrale blik gewenst zijn om de situatie correct te beoordelen. Tot slot is het van belang te weten dat de werkelijke situatie beoordeeld dient te worden, niet wat contractueel bepaald is tussen partijen.

De verplichting tot het al dan niet aanstellen van een DPO is vastgelegd in artikel 37 van de AVG. Doorgaans vloeit de verplichting van een organisatie om over een DPO te beschikken voort uit de activiteiten die het uitoefent. Daarnaast zijn sommige organisaties hiertoe ook verplicht als gevolg van hun rechtspositie. Zo is iedere overheidsinstantie of publieke instantie ertoe gehouden een DPO aan te stellen. Deze verplichting geldt ook voor organisaties die activiteiten uitvoeren in opdracht van zo’n publieke instantie.

Een organisatie is ook verplicht een DPO aan te stellen wanneer haar belangrijkste activiteiten bestaan uit het op grote schaal volgen of controleren van personen. Dat is bijvoorbeeld het geval bij uitgebreid cameratoezicht, het systematisch opvolgen van online gedrag of het monitoren van werknemers. Daarnaast is een DPO verplicht wanneer een organisatie op grote schaal gevoelige persoonsgegevens verwerkt, zoals gezondheidsgegevens, biometrische gegevens of strafrechtelijke gegevens. Bij deze beoordeling wordt gekeken naar hoeveel mensen het betreft, hoeveel en welke gegevens worden verwerkt en hoe lang dit gebeurt.

Kan iedereen de DPO functie uitvoeren? 

Neen, hoewel er geen diplomavereisten zijn of officieel ‘DPO-certificaat’, moet de DPO beschikken over adequate kennis en deskundigheid omtrent gegevensbescherming. Daarnaast moet de DPO zijn taak onafhankelijk kunnen uitoefenen. Dit betekent onder meer dat de overige taken of verantwoordelijkheden binnen een organisatie geen aanleiding mogen geven tot belangenconflicten met de DPO-rol. Deze beoordeling dient geval per geval te worden geëvalueerd, maar doorgaans zijn leidinggevende of commerciële functies niet verzoenbaar met de rol van DPO.

Tot slot raden toezichthoudende autoriteiten organisaties, die niet wettelijk verplicht zijn, aan alsnog een DPO aan te wijzen. Dit met het oog op de verantwoordingsplicht waar iedere onderneming aan moet voldoen. Daarbovenop wekt het vertrouwen bij betrokkenen, klanten, etc.

– De DPO-functie is wettelijk verankerd (zie vorige vraag voor meer informatie) in de AVG waarbij een aantal principes nageleefd moet worden. Deze dienen voornamelijk de DPO te beschermen om de rol volledig onafhankelijk te kunnen uitoefenen. In geval dat de DPO rol gecombineerd wordt met een andere functie binnen de organisatie, is deze beschermd tegen ontslag voor handelingen die gesteld werden als DPO. Voorts dient deze aan het hoogste bestuursorgaan van de onderneming te rapporteren. De DPO moet er over waken dat de rechten van betrokkenen beschermd worden en dat er zorgvuldig wordt omgegaan met persoonsgegevens. Hij is als het ware het oog van de toezichthouder in een organisatie en geeft advies op het gebied van gegevensbescherming.

– Een Privacy Manager daarentegen, is niet wettelijk verplicht of geregeld maar wordt vaak intern aangesteld om operationele processen en beleid rond privacy te beheren. Vaak is deze persoon een schakel tussen de business en de DPO, waarbij de privacy manager ook rekening houdt met commerciële belangen van de organisatie. Doordat de rol niet wettelijk erkend is, gelden geen arbeidsrechtelijke afwijkingen t.a.v. andere medewerkers hiervoor.

Een DPIA (Data Protection Impact Assessment) is een voorafgaande analyse waarbij wordt nagegaan welke privacyrisico’s er zijn, hoe groot die zijn en welke maatregelen nodig zijn om ze te beperken.

De GDPR bepaalt 6 criteria om te bepalen of het uitvoeren van een DPIA verplicht is. Het uitgangspunt hiervan is, dat wanneer een verwerking waarschijnlijk kan leiden tot hoge risico’s voor betrokkenen, een DPIA verplicht is.

Het is belangrijk dat organisaties zich bewust zijn van deze verplichting, zodat een DPIA wordt uitgevoerd vóór de start van de verwerking. Een DPIA kan immers privacyrisico’s blootleggen waarvoor bijkomende maatregelen nodig zijn. Door deze maatregelen al in de ontwerpfase van een initiatief (dit kan vb een nieuwe dienst of product zijn waarbij persoonsgegevens worden verwerkt) te voorzien, kunnen risico’s tijdig worden beperkt, wat achteraf vaak niet of slechts moeilijk nog mogelijk is.

Een DPIA mag echter niet gezien worden als een eenmalige oefening. Risico’s en verwerkingen evolueren immers voortdurend, waardoor ook de evaluatie hiervan regelmatig moet herzien worden.

Neen. Toestemming is slechts één van de mogelijke rechtsgronden en is in principe vereist wanneer berichten worden verstuurd naar personen met wie geen bestaande klantrelatie bestaat. Voor bestaande klanten kan, onder strikte voorwaarden, gebruik worden gemaakt van de zogenaamde “soft opt-in” voor het versturen van berichten over eigen, gelijkaardige producten of diensten.

De betrokkene moet hierover duidelijk geïnformeerd worden bij het ingeven van het e-mailadres en in elk bericht de mogelijkheid hebben om zich eenvoudig uit te schrijven. Tot slot moet worden benadrukt dat toestemming steeds een actieve handeling veronderstelt; vooraf aangevinkte vakjes zijn geen geldige manier om toestemming te verkrijgen.

Een ‘one-size fits all‘ pakket van maatregelen om in overeenstemming te zijn met de GDPR is vooralsnog niet mogelijk onder de huidige wetgeving. De maatregelen die een organisatie neemt, dienen evenredig te zijn in verhouding met de hoeveelheid en gevoeligheid van de persoonsgegevens die het verwerkt. Zo wordt van een bank bijvoorbeeld strengere beschermingsmaatregelen verwacht dan van het plaatselijke wassalon.

Om een eerste inschatting te maken, kan je jezelf de volgende vraag stellen: “Kunnen we alle maatregelen die we treffen i.h.k.v. GDPR / bescherming van persoonsgegevens eenvoudig aantonen?”. Het belang van aantoonbaarheid wordt immers vaak over het hoofd gezien. Zo is het enerzijds niet voldoende om in overeenstemming met de GDPR te handelen, een organisatie moet proactief aantoonbaar bewijs kunnen voorleggen dat het in overeenstemming met de GDPR handelt. Anderzijds gaat GDPR-compliance verder dan het louter formeel voldoen aan de wettelijke vereisten. Als beide onderdelen voldoende zijn uitgewerkt, kan een onafhankelijke audit worden overwogen om de doeltreffendheid van de maatregelen te toetsen. Op die manier bewerkstelligt een organisatie het principe van continue verbetering.

Tot slot is voor bepaalde verwerkingen met een hoog risico de uitvoering van een DPIA vereist.

In de praktijk gebeurt het vaak dat websites toch persoonsgegevens verwerken, soms zelfs zonder dat men zich daarvan bewust is. Daarom is in de meeste gevallen een cookiebanner nodig, behalve in enkele uitzonderlijke situaties. Het gebruik van cookies gaat namelijk verder dan het verzamelen van namen of e-mailadressen en kan ook andere gegevens omvatten, zoals online identificatoren. Voor deze cookies gelden specifieke informatie- en toestemmingsregels op basis van de ePrivacywetgeving (in België de Telecomwet).

Cookies kunnen onderverdeeld worden in verschillende categorieën, maar het uitgangspunt is eenvoudig:

• niet-essentiële cookies (tracking, analytics, advertenties) → toestemming vereist van de gebruiker
• essentiële cookies (nodig voor de goede werking van de website) → geen toestemming vereist van de gebruiker
  • Echter, regelmatig verwerkt men ook persoonsgegevens d.m.v. deze essentiële cookies (bv. winkelmandje bij een webshop zodat je artikelen niet kwijt bent als je site verlaat, hierbij kan een IP-adres verwerkt worden). Dit heeft tot gevolg dat de websitebezoeker hierover geïnformeerd moet worden.

Voer daarom steeds een grondige controle uit van cookies en andere tracking technologieën op uw website. Door website onderhoud uit te besteden aan een externe leverancier, gebeurt het weleens dat de eigenaar van de website niet op de hoogte is van alle cookies en trackers op de site. Als deze leverancier daarbij ook persoonsgegevens verwerkt, kan de vraag gesteld worden of deze een toegevoegde waarde heeft voor de organisatie, of enkel een compliance risico inhoudt.

Of een organisatie optreedt als verwerkingsverantwoordelijke of verwerker, hangt af van de feitelijke omstandigheden. Het onderscheid lijkt soms formalistisch, maar houdt niet te miskennen gevolgen in op vlak van aansprakelijkheid en verplichtingen. Het is dus aangewezen een zorgvuldige beoordeling te maken, om de kwalificatie van partijen correct vast te stellen.

Een verwerkingsverantwoordelijke beslist het doel en de middelen, of anders gezegd waarom en hoe de verwerking van persoonsgegevens plaatsvindt. Dit betekent dat een organisatie bijvoorbeeld als verwerkingsverantwoordelijke zal optreden, voor de verwerkingen in het kader van haar personeelsadministratie.

Een verwerker voert verwerkingen uit in opdracht van een andere partij. Verder mag deze niets doen met de persoonsgegevens, tenzij op instructie van de verwerkingsverantwoordelijke. Bv. een organisatie die beroep doet op een externe firma voor beheer van het badgesysteem van de kantoren. Die laatste partij beslist niet over het doel en de middelen van de verwerking, dat doet de organisatie (de verwerkingsverantwoordelijke) die de verwerking uitbesteedt.

Het belang van de juiste kwalificatie heeft onder meer te maken met:

– de verwerkingsverantwoordelijke die instaat voor het bepalen van een correcte rechtsgrond, het voldoen aan de basisbeginselen zoals de informatieverplichting, bepalen van bewaartermijnen, etc. Voorts is dit de eindverantwoordelijke t.a.v. de betrokkenen als iets fout loopt met de verwerking; ook wanneer de problemen te wijten zijn aan de verwerker die wordt ingeschakeld. Net daarom is het voor een verwerkingsverantwoordelijke van belang om een zorgvuldige evaluatie te maken van potentiële verwerkers, alvorens toegang te geven tot persoonsgegevens.

– de verwerker de instructies van de opdrachtgever strikt moet opvolgen, maar zich hier ook toe moet beperken.

De complexiteit van hedendaagse samenwerkingsverbanden zorgt ervoor dat het onderscheid niet altijd eenduidig te maken is. In zo’n gevallen kan een neutrale blik gewenst zijn om de situatie correct te beoordelen. Tot slot is het van belang te weten, dat de werkelijke situatie beoordeeld dient te worden, niet wat contractueel bepaald is tussen partijen.

Ja, ongeacht waar een organisatie zicht vestigt, is de GDPR van toepassing van zodra gegevens  van betrokkenen die zich in de EU bevinden worden verwerkt. Een organisatie in de EU moet de GDPR naleven zodra zij persoonsgegevens verwerkt, ook als die gegevens betrekking hebben op personen buiten de EU.

Verder is het van belang te weten dat bijkomende regels gelden als een organisatie haar data buiten de EU bewaart of verwerkt (bv. IT-dienstverlener met data centers buiten de EU). De GDPR bepaalt immers dat gegevens enkel uitgewisseld mogen worden, met landen die een gelijkwaardig niveau van bescherming bieden. Zo niet, moeten extra maatregelen ervoor zorgen dat een gelijkwaardig niveau van bescherming aanwezig is.

Een duidelijk overzicht van landen waarnaar gegevenstransfers plaatsvinden, verhoogt ook de controle over data en verkleint de kans op onaangename verrassingen.

Absoluut, een voorbeeld ter vergelijking: Iemand die nooit een ongeval heeft met de wagen, neemt nog steeds een verzekering. Dat geldt ook voor organisaties in hun omgang met incidenten. Een degelijk en gepast beleid is de meest voordelige manier om risico’s, downtime en reputatieschade te beperken. Als een datalek zich voordoet, is de tijd om te handelen immers beperkt. Op zo’n moment zorgt een duidelijk behandelingsplan voor de nodige rust en orde; o.m. om te beoordelen of de GDPR-meldplicht van 72uur van toepassing is. Want niet onbelangrijk, niet elk beveiligingsincident, is een datalek of meldplichtig. Bovendien is het niet ongewoon dat zonder uitgewerkt proces of awareness datalekken niet opgemerkt worden. We hebben nog nooit een datalek gehad betekent in de praktijk vaak we hebben het nooit opgemerkt. Detectie is geen blaam, het demonstreert juist maturiteit en accountability.

Waarom is het zinvol?

• Duidelijke en snellere besluitvorming
• Lagere impact & kosten
• Verwachtingen van klanten (of verzekeraars)
• Bewijs van compliance
• Leren uit het verleden

Kortom, het is hoe dan ook beter om hierop voorbereid te zijn: Noah bouwde zijn ark ook wanneer het nog droog was.

Ja, zodra je persoonsgegevens uitwisselt met een klant of leverancier (zelfs als ze niet meteen zichtbaar zijn), zijn contractuele afspraken een belangrijk aspect van GDPR-compliance. Doorgaans neemt dit de vorm aan van een verwerkersovereenkomst tussen een verwerkingsverantwoordelijke en een verwerker.

Welke afspraken moeten geregeld worden in zo’n verwerkersovereenkomst of GDPR-contract?

• Rol en verantwoordelijkheid: Afbakening welke partij verwerkingsverantwoordelijke of verwerker is.
• Doel en duurtijd van de verwerking: Waarvoor mogen de persoonsgegevens gebruikt worden en voor hoelang?
• Beveiligingsmaatregelen: Technische en organisatorische maatregelen ter bescherming van persoonsgegevens.
• Subverwerkers: Afspraken over het inschakelen van onderaannemers door de verwerker, aangezien de verwerkingsverantwoordelijke eindverantwoordelijke blijft t.a.v. betrokkenen.
• Verplichte bijstand van verwerker: De verwerker is verplicht ondersteuning te bieden aan de verwerkingsverantwoordelijke zodat die zijn verplichtingen t.a.v. betrokkenen of de Gegevensbeschermingsautoriteit kan nakomen.
• Vertrouwelijkheid: Het spreekt voor zich dat de verwerker vertrouwelijk moet omspringen met de respectievelijke persoonsgegevens.
• Modaliteiten bij einde van de opdracht: Het contract moet afspraken bevatten wat de verwerker moet doen met de persoonsgegevens bij het einde van de opdracht (teruggeven, verwijderen, etc).

Het is belangrijk om duidelijke afspraken te hebben hierover vóór het begin van de opdracht. Zo vermijdt men potentiële aansprakelijkheden of juridische geschillen i.g.v. onenigheid.

De voordelen van GDPR-compliance zijn niet altijd meteen zichtbaar, maar de nadelen van een laks beleid zijn dat vaak wél. Hoge boetes krijgen de meeste media aandacht, maar zijn slechts één aspect van het risico van non-conformiteit. Belangrijke kosten van niet-naleving zijn onder meer:

• tijdrovende onderzoeken: Inspecties van door toezichthouders of afhandeling van datalekken kunnen maanden tot zelfs jaren duren;
• reputatieschade: Ook zonder boete kan een klacht, datalek of onderzoek met bijhorende media-aandacht het vertrouwen schaden;
• verlies van kansen: Samenwerkingen en overheidsopdrachten vereisen steeds vaker aantoonbare GDPR-conformiteit;
• Herstelkosten: Problemen onder tijdsdruk oplossen is doorgaans erger dan ze preventief en gestructureerd aan te pakken;
• Operationele hinder: Door onder tijdsdruk problemen te moeten oplossen zijn er onvermijdelijk andere activiteiten die achteruit worden geschoven.

Conclusie: Hoewel zeer hoge boetes in België minder frequent voorkomen, brengen ook andere factoren aanzienlijke risico’s met zich mee bij het niet naleven van de GDPR. Het is daarom belangrijk te benadrukken dat GDPR-naleving geen vrijblijvende keuze is, maar een wettelijke verplichting. Een kosten-batenanalyse kan enkel betrekking hebben op de proportionaliteit en efficiëntie van de te nemen maatregelen, niet op het al dan niet naleven van de wet. Op middellange termijn wegen de inspanningen om conform de GDPR te handelen ruimschoots op tegen het uitblijven van maatregelen, onder meer door een verhoogd vertrouwen van klanten, vlottere commerciële trajecten en een efficiëntere werking.

Het gebruik van camera’s op de werkvloer is strikt gereguleerd en mag enkel wanneer dit noodzakelijk en proportioneel is voor een welbepaald doel, zoals veiligheid of bescherming van eigendommen. Werkgevers moeten werknemers vooraf duidelijk informeren over het cameragebruik, onder meer over het doel, de werking, de bewaartermijn en hun rechten. Camerabewaking mag niet worden ingezet voor permanente controle van werknemers en moet steeds het minst ingrijpende middel zijn. Transparantie staat hierbij centraal: werknemers moeten op een duidelijke en begrijpelijke manier weten waar, wanneer en waarom camera’s worden gebruikt.

De mailbox van een ex-werknemer moet niet noodzakelijk onmiddellijk worden verwijderd, maar mag ook niet onbeperkt blijven bestaan. Het tijdelijk behouden van de mailbox kan gerechtvaardigd zijn om de continuïteit van de dienstverlening te waarborgen. Daarbij moeten wel duidelijke waarborgen worden voorzien: de ex-werknemer moet vooraf geïnformeerd zijn, de toegang tot de mailbox moet beperkt zijn, en de inhoud mag enkel worden geraadpleegd voor strikt noodzakelijke professionele doeleinden.

Privéberichten mogen in principe niet worden ingezien. Er wordt ook een onderscheid gemaakt in het bekijken van e-mails die ontvangen werden voor dat de werknemer vertrokken is of nadien. Na een redelijke overgangsperiode moet de mailbox worden afgesloten en definitief verwijderd (normaal binnen 1 maand).

Ja, het is goed om hierop te anticiperen en een proactieve houding aan te nemen aangezien de GDPR en de AI Act allebei enige mate van geletterdheid verwachten van gebruikers en aanbieders van AI-systemen.

Doorgaans zijn er twee lagen om rekening mee te houden: GDPR (privacy) en de EU AI Act (AI-risico’s). De AI Act vormt een aanvulling op de bescherming die de GDPR al biedt. Deze regelgevingen moeten dus in samenhang gelezen en geïmplementeerd worden. 

1. GDPR – Altijd van toepassing i.g.v. persoonsgegevens van EU burgers.

• Doel en rechtsgrond: Leg duidelijk vast waarom de verwerking van persoonsgegevens nodig is, welke persoonsgegevens nodig zijn per use-case en op basis van welke rechtsgrond de verwerking plaatsvindt (bv. in het kader van HR zal toestemming zelden een geldige rechtsgrond zijn);
• Transparantie en rechten: Betrokkenen moeten duidelijk geïnformeerd worden over de verwerking van hun persoonsgegevens door AI (transparantiebeginsel) en moeten ook op de hoogte zijn over  welke rechten ze beschikken volgens de GDPR. 
• DPIA: Afhankelijk van de modaliteiten van de verwerking en de daarmee gepaard gaan de risico’s voor betrokkenen, dient vóór ingebruikname van de AI-toepassing een Data Protection Impact Assessment of DPIA uitgevoerd worden. Deze proactive houding voor DPIA’s draagt ook bij aan de data-governance binnen uw organisatie;
• Contractuele afspraken: Sluit verwerkersovereenkomsten met externe partijen waarop beroep gedaan wordt voor het AI-systeem. Controleer als verwerkingsverantwoordelijke ook steeds of een verwerker gebruik maakt van subverwerkers (onderaannemers); wat hun rol is en waar deze gevestigd zijn. Er wordt van uw organisatie verwacht om voldoende controle te behouden over de gegevens die u heeft verzameld.

• Vermijd verboden toepassingen: Bepaalde AI-toepassingen zijn hoe dan ook verboden onder de AI Act (bv. emotie-herkenning op de werkvloer, social scoring, permanente monitoring van personen, etc.);
• Controleer of de toepassing ‘hoog risico’ is: Evalueer of de data die je gebruikt representatief en correct is, dat er naast AI steeds een menselijke beoordeling is en dat er een logboek beschikbaar is van versies en beslissingen (voorbeelden van hoog risico AI-systemen: AI bij aanwerving en cv-screening, analyse van kredietwaardigheid o.b.v. AI, etc.). Dit vloeit  voort uit het GDPR, namelijk de transparantie verplichting en het verbod op volledig geautomatiseerde besluitvorming;
• Weet wat je leverancier precies doet: In de verwerkersovereenkomst wordt de werking van de leverancier van het AI-systeem besproken. Neem ook de privacy verklaring door.
• Test vooraf en documenteer: Gebruik in de testfase een selectieve groep medewerkers en hou rekening met de bevindingen uit te testfase in de risicoanalyse.
• Interne afspraken: Werk een AI-policy uit met eenvoudige richtlijnen om medewerkers duidelijk te maken waarvoor ze AI mogen gebruiken.

Ja, de GDPR is ook van toepassing op organisaties die zich uitsluitend richten op de B2B markt. De verordening heeft immers betrekking op de verwerking van persoonsgegevens en maakt hierbij geen onderscheid tussen B2B of B2C activiteiten. Bovendien is een veelvoorkomende denkfout dat B2B-organisaties geen persoonsgegevens zouden verwerken. De eerste betrokkenen die bescherming verdienen zijn immers de persoonsgegevens van eigen medewerkers die worden verwerkt. Professionele gegevens (zoals e-mailadressen van werknemers) kunnen immers even goed gekwalificeerd worden als een persoonsgegeven.

Hieruit volgt dat de GDPR eveneens van toepassing is op organisaties die uitsluitend actief zijn in de B2B-markt. Het verschil kan enkel liggen in de zwaarwichtigheid van bepaalde maatregelen, afhankelijk van de risicogebaseerde aanpak. De GDPR gaat uit van de idee: “Hoe hoger het risico, hoe robuuster de maatregelen moeten zijn”. Zijn uw klanten eenmanszaken? Ook deze worden in de GDPR gezien als persoonsgegevens.