Algemene Verordening Gegevensbescherming (GDPR)

A. Waarom is een nieuwe wetgeving nodig?

De nieuwe Algemene Verordening Gegevensbescherming 2016/679 ("de verordening" of "GDPR") werd op 27 april 2016 ondertekend, meer dan 20 jaar na de ondertekening op 24 oktober 1995 van de Richtlijn 95/46/EG betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van gegevens (bekend als de “Richtlijn Gegevensbescherming”).

Deze Richtlijn Gegevensbescherming heeft als doel de bescherming van de fundamentele rechten van personen te verzoenen met de vrije stroom van gegevens van de ene lidstaat naar de andere, en dit in overeenstemming met de artikelen 8 en 10 van het Europees Verdrag voor de Rechten van de Mens van 1950.

De lidstaten waren echter niet allemaal consequent in de uitvoering en toepassing van de Richtlijn Gegevensbescherming, wat resulteerde in aanzienlijke variaties in de huidige nationale privacywetgeving van de lidstaten. Door deze nationale verschillen werd het voor multinationale organisaties te complex om de naleving in meerdere lidstaten te verzekeren, omwille van meer bureaucratie, hogere kosten voor de bedrijven en gebrek aan zekerheid voor de individuen als gevolg.

Samen met de snelle ontwikkeling sinds 1995 van de nieuwe technologieën (cloud computing, social media, smartphones), was een globale herziening van de wetgeving inzake gegevensbescherming dringend noodzakelijk.

De Commissie startte de herziening in 2011 wat resulteerde in de goedkeuring van de nieuwe algemene Verordening Gegevensbescherming op 27 april 2016.

Deze keer heeft de Europese wetgever gekozen voor een verordening, die alle natuurlijke personen in alle lidstaten een consistent niveau van bescherming moet bieden en de verwerkingsverantwoordelijken en verwerkers dezelfde verplichtingen en verantwoordelijkheden.

De nieuwe verordening is ook bekend als de meest gelobbyde tekst in de geschiedenis van de Europese Unie. Hij zal op 25 mei 2018 in België en de andere lidstaten van de EU in werking treden.

B. Wat moeten we onthouden ?

1. Het is een verordening en niet een richtlijn, en dus volledig en rechtstreeks van toepassing

Een richtlijn is een wetgeving die voorziet in doelstellingen, die moeten bereikt worden door de lidstaten door middel van nationale wetten die zij beschouwen als aangepast aan die doelstellingen (via meerdere bronnen van recht).

Dit resulteert in verschillen in interpretatie en uitvoering tussen de lidstaten. De lidstaten vaardigen verschillende wetgevingen uit en ontwikkelen rechtszaken die inhoud geven aan hun nationale wetgeving, die aanzienlijk kunnen afwijken van de nationale wetgeving die in andere lidstaten werd geïmplementeerd.

Met een verordening stellen dergelijke problemen zich niet: een verordening is een wetgeving (één rechtsbron) die in alle lidstaten volledig en rechtstreeks van toepassing is. Een verordening moet niet nog eens geïmplementeerd worden.

Deze RGDP bevat echter nog steeds een groot aantal bepalingen die ruimte laten voor interpretatie en nationale benadering door de nationale lidstaten, afhankelijk van de cultuur, de focus en de prioriteiten van de toezichthoudende overheden.

2. De gegevens betreffende een geïdentificeerde of identificeerbare natuurlijke persoon

Deze verordening heeft betrekking op alle informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon, met inbegrip van indirecte persoonsgegevens. Daar onder worden verstaan online-identificatoren, die persoonsgegevens kunnen zijn.

Bijvoorbeeld een IP-adres (vooral de nieuwe IPv6), een uniek ID van een (persoonlijk) toestel en kredietkaartnummers kunnen allemaal worden beschouwd als informatie over een identificeerbare persoon.

Gepseudonimiseerde gegevens kunnen persoonsgegevens zijn, afhankelijk van hoe moeilijk het is om het pseudoniem toe te kennen aan een bepaalde individu (bijvoorbeeld door middel van aanvullende informatie).

Anonieme gegevens die geen betrekking hebben op een geïdentificeerde of identificeerbare persoon, of data die dusdanig anoniem worden weergegeven dat het individu niet of niet langer herkenbaar is, zouden buiten de werkingssfeer van persoonlijke gegevens kunnen vallen. De test om te bepalen of een gegeven anoniem is, zou rekening moeten houden met alle middelen die redelijkerwijs kunnen worden gebruikt, rekening houdend met alle objectieve factoren, zoals de kosten van en de hoeveelheid tijd die nodig is voor het identificeren en rekening houdend met de technologie die beschikbaar is op het moment van de verwerking. Pas wanneer deze test wordt doorstaan, worden anonieme gegevens vrijgesteld van de toepassing van de verordening.

Pseudonimisering zal de sleutel zijn, omdat eens gegevens als gepseudonimiseerd worden beschouwd, de verordening een soepelere regeling voorziet in het kader van de melding van een inbreuk.

3. Extra-territoriale toepassing

De verordening heeft hoofdzakelijk betrekking op bedrijven die in de Europese Unie gevestigd zijn.

Indien een bedrijf buiten de EU zich richt tot EU-klanten kan de verwerking van dit bedrijf onderworpen worden aan de GDPR

Anderzijds, indien een bedrijf buiten de EU zich richt tot EU-klanten (bijvoorbeeld door goederen en diensten aan te bieden aan klanten in de EU, zelfs gratis, wanneer het verband houdt met controle op het gedrag van klanten uit de EU, met het aanbieden van een wijziging van taal en het aanvaarden van orders, met de invoering van cookies, met E-Commerce en diensten van de informatiemaatschappij), kan de verwerking van dit bedrijf onderworpen worden aan de verordening (de wetgeving van het land van bestemming is dan van toepassing).

Het idee is dat als u wilt profiteren van de EU-markt, u de EU-regels moet respecteren.

In alle geval zal de verordening alleen van toepassing zijn op de persoonsgegevens van personen in de EU; hun nationaliteit of gewone verblijfplaats is niet relevant.

4. Aansprakelijkheid en verplichtingen van verwerkingsverantwoordelijken en verwerkers

De verordening breidt de verantwoordelijkheid voor verwerkingsverantwoordelijken van de verwerkingsactiviteit uit, en bevat specifieke regels voor de verdeling van aansprakelijkheid tussen de verwerkingsverantwoordelijke en de verwerker.

De regels inzake gegevensbescherming legden van oudsher geen zware lasten op de schouders van de verwerkers (service providers) die een geheimhoudings- en veiligheidsplicht hadden. Verwerkers handelden in opdracht van hun klanten (de verwerkingsverantwoordelijke was de belangrijkste verantwoordelijke voor de verwerking) en moesten aangepaste technische en administratieve maatregelen bieden om de persoonsgegevens te beschermen.

Als gevolg van de huidige complexiteit van de verwerking van gegevens, is het niet langer correct om te zeggen dat de verwerkers zich bevinden buiten de verwerking van gegevens. Cloud providers bijvoorbeeld, spelen een cruciale rol bij de bescherming van gegevens.

Onder de verordening zal de verwerker worden geconfronteerd met een aansprakelijkheid voor de niet-naleving van de verordening of in geval van optreden buiten de instructies en de bevoegdheden verleend door de klant/verwerkingsverantwoordelijke.

Deze nieuwe verantwoordelijkheid zal een impact zal hebben op de contractuele onderhandelingen

Verwacht wordt dat deze nieuwe verantwoordelijkheid een impact zal hebben op de contractuele onderhandelingen (voorwaarden, prijzen en verantwoordelijkheden) tussen  verwerkingsverant-woordelijken en verwerkers en meer bijzonder tussen verwerkers en sub-verwerkers. Zo bijvoorbeeld zouden grote spelers in de cloud-industrie of een zeer kleine sub-processor kunnen terughoudend zijn om aanvullende voorwaarden of verantwoordelijkheden te accepteren.

De meerderheid van de aansprakelijkheid en verplichtingen liggen echter nog steeds op de verwerkingsverantwoordelijken.

5. Het verantwoordingsbeginsel (accountability)

Verantwoording heeft altijd deel uitgemaakt van de wetgeving inzake gegevensbescherming. Maar toch heeft dit verantwoordingsbeginsel nog een groter belang gekregen in het kader van de verordening. Het verantwoordingsbeginsel van de verordening vereist dat u aantoont dat u voldoet aan de principes en expliciet verklaart dat het uw verantwoordelijkheid is.

Met het oog op de verantwoordingsplicht moeten organisaties:

• Passende technische en organisatorische maatregelen invoeren die aantonen en verzekeren dat de wetgeving wordt toegepast (bijvoorbeeld opleiding van personeel, interne audits van de verwerkingsactiviteiten, nazicht van HR-beleid, het interne beleid gegevensbescherming) (1);
• Gedetailleerde opnames van verwerkingsactiviteiten documenteren en bijhouden (2);
• Een functionaris voor gegevensbescherming (DPO) aanstellen indien nodig (3);
• Maatregelen implementeren die voldoen aan de eis van de privacy by default (gegevensbescherming in te bouwen van bij de start) :
  • door het creëren en verbeteren van de veiligheidsfuncties op een continue basis (gegevensbescherming door ontwerp) (4) 
  • transparantie (5)
  • gegevensminimalisatie (6)
  • pseudonimisering
  • het toelaten aan individuen om de verwerking op te volgen
  • eventueel een evaluatie van de impact van de gegevensbescherming (7)
  • gedragscodes / certificaten (8)

(1) Van bedrijven wordt verwacht dat ze de ontwikkeling van hun producten uitvoeren met respect voor de wettelijke bepalingen. 

Bedrijven moeten begrijpen dat ze verantwoordelijk zijn voor wat ze doen met gegevens. Zij zullen moeten aantonen dat zij passende maatregelen treffen. Bescherming moet worden gewaarborgd door het nemen van redelijke technische en organisatorische maatregelen die rekening houden met de stand van de techniek en een redelijke kostprijs.

(2) Een register bijhouden van de verwerkingsactiviteiten: onder de richtlijn werd van bedrijven verwacht dat zij de overheden, bevoegd voor de gegevensbescherming, in kennis stelden van het feit dat zij gegevens verwerkten. 

Deze meldingsplicht is afgeschaft en wordt vervangen door een verplichting voor de verwerkers en verwerkingsverantwoordelijken om een gedetailleerde verwerkingsregister van veelal dezelfde informatie bij te houden (soorten van gegevens lijsten, informatie over de verwerking, de plaats van verwerking, de individuen, categorieën, het doel van de verwerking, de veiligheidsmaatregelen).

(3) Een functionaris voor gegevensbescherming: bij overheden en organisaties waarvan de kernactiviteiten bestaat in regelmatige en systematische monitoring van personen op een grote schaal, of wanneer de organisatie grootschalige verwerking van bijzondere categorieën van gegevens uitvoert, moet men een functionaris voor gegevensbescherming  benoemen. 

De initiële versie van de RGDP beperkte zich enkel tot de plicht om een functionaris voor gegevensbescherming voor bedrijven met meer dan 250 werknemers aan te duiden. Deze bepaling is niet gehandhaafd in de definitieve versie van de RGDP. 

Bedrijven die gegevens te verwerken hebben van een groot leger bedienden, maar een dergelijke verwerking niet als een kernactiviteit hebben, zijn daar niet toe gehouden. 

Het is raadzaam om het verslag van de functionaris van gegevensbescherming te houden bij de hoofdverantwoordelijke (Chief Compliance Officer en General Counsel). 

De functionaris van gegevensbescherming moet het belang van de klant / individu op de eerste plaats stellen, wat niet altijd overeen komt met de economische belangen van de organisatie.

De functionaris van gegevensbescherming moet het belang van de klant / individu op de eerste plaats stellen voor de economische belangen van de organisatie

(4) Gegevensbescherming door ontwerp (by design): dit is rekening houden met gegevensbescherming  tijdens en voor de implementatie van een nieuw product. 

Gegevensbescherming moet onmiddellijk als het  meest essentiële onderdeel worden ingebouwd in de technologie en de systemen in de ontwerpfase, waardoor van meet af aan wordt voorzien in de bescherming van de persoonlijke levenssfeer. 

Gegevensbescherming door ontwerp anticipeert op en voorkomt inbreuken op de privacy voordat ze gebeuren, in plaats van te wachten op een inbreuk. 

Gegevensbescherming door ontwerp betekent dat deze wordt ingebouwd van bij de start (by default) en ingebouwd in het systeem: er zou geen actie van de individuen zelf nodig zijn om hun gegevens te beschermen. 

Gegevensbescherming door ontwerp verwacht ook van organisaties dat ze nadenken over de hele levenscyclus van gegevens; gegevens zouden beschermd moeten worden van bij de start tot de finish.

(5) Transparantie: openheid is ook opgenomen in het principe. Dit betekent dat de belanghebbenden een waarborg moeten krijgen ongeacht de zakelijke praktijk en technologische kwesties. Organisaties moeten open en zichtbaar opereren en volgens het  beloofde privacy beleid en procedures onderworpen aan een onafhankelijke controle.

(6) De dataminimalisatie: organisaties moeten het belang van het individu voor ogen houden door welbepaalde gebruiksvriendelijke maatregelen te nemen zoals sterke privacy standaardinstellingen en aangepast privacybeleid naar de gebruiker toe. 

Organisaties moeten een prioriteit maken van dataminimalisatie, doelbinding, het niet verdelen van de gegevens aan andere personen zonder eerst een afweging van belangen te doen. Dit principe kan in strijd zijn met het concept van big data.

(7) Bedrijven zouden nood kunnen hebben aan een systeem van gegevensbescherming effectenbeoordeling. In het geval van een verwerking en een hoog risico met een nieuwe technologie of een nieuw product dat ontworpen is, moet een gegevensbescherming effectenbeoordeling worden uitgevoerd alvorens het nieuwe product wordt gelanceerd.

(8) Vasthouden aan goedgekeurde gedragscodes en / of certificeringsafspraken: verwacht wordt dat richtsnoeren, certificeringen en goede praktijkcodes zullen worden aangeboden om organisaties te helpen bij de naleving.

6. Toestemming

De toestemming blijft de wettelijke basis om persoonsgegevens over te dragen onder de RGDP. Maar de definitie van toestemming is beperkt.

We spreken nu van een "vrijelijke, specifieke, geïnformeerde en ondubbelzinnige toestemming".

Onder de richtlijn konden verwerkingsverantwoordelijken zich in bepaalde omstandigheden beroepen op impliciete en opt-out toestemming, terwijl de verordening vereist dat het  individu zijn akkoord geeft door middel van een duidelijke actieve handeling. 

Als er enige twijfel bestaat over de vraag of toestemming is gegeven, worden de omstandigheden uitgelegd aan de verwerkingsverantwoordelijke. Het kan nodig zijn, hoewel lastig, om een administratie te houden van de toestemming gegeven door elk afzonderlijk individu. 

Deze toestemming moet zonder enige twijfel voorafgaand aan elke handeling van de verwerking worden gegeven. Er zijn steeds meer verzoeken om intrekking van toestemmingen, die tot praktische problemen aanleiding kunnen geven voor de activiteiten van organisaties, niet alleen voor de stopzetting van de verdere verwerking en dus de waarborg aan het individu dat de gegevens niet langer worden verwerkt.

Toestemming is niet de enige rechtvaardiging voor de verwerking van de persoonsgegevens van een individu. Toestemming zal alleen bruikbaar blijven ingeval de verwerking optioneel is, dat wil zeggen, indien u gemakkelijk kunt afzien van de verwerking van persoonlijke gegevens wanneer het individu weigert zijn toestemming te geven of zijn toestemming intrekt.

'Vrijelijk' houdt in dat het individu een echte keuze moet hebben. 'Vrijelijk' betekent ook dat het individu een optie heeft om zijn toestemming in te trekken zonder te lijden aan enig vooroordeel, met andere woorden, aan geen enkele voorwaarde moet voldoen.

7. De rechten van het individu 'worden versterkt’

Een individu heeft het recht om toegang te krijgen, corrigeren, verwijderen en blokkeren van zijn gegevens. Een individu heeft ook het recht zich te verzetten tegen direct marketing. De verordening behoudt deze rechten, en introduceert het nieuwe "recht om te worden vergeten" en het "recht op gegevensoverdraagbaarheid".

• Het recht om te worden vergeten: 
  het individu heeft het recht om de schrapping of verwijdering van zijn persoonsgegevens te vragen wanneer er geen dwingende reden bestaat voor de voortdurende verwerking ervan (denk aan de persoon die wil dat zijn gegevens uit de resultaten van zoekmachines verwijderd worden) of wanneer het individu bezwaar heeft tegen de verwerking en er zijn geen dwingende legitieme redenen om deze verwerking te rechtvaardigen. 
  
  Niet alleen zoekmachines; ieder individu kan u schrijven en vragen om zijn persoonlijke gegevens te verwijderen. 
  
  Organisaties kunnen weigeren de gegevens te verwijderen voor specifieke redenen, zoals het recht van vrijheid op meningsuiting en informatie, om te voldoen aan een wettelijke verplichting voor het uitvoeren van een taak van algemeen belang of de uitoefening van het openbaar gezag, ten behoeve van de volksgezondheid in het algemeen belang, voor archiveringsdoeleinden in het algemeen belang en voor de uitoefening of de verdediging van juridische claims.
• Gegevensoverdraagbaarheid: 
  het recht op gegevensoverdraagbaarheid stelt individuen in de gelegenheid om hun persoonlijke gegevens te verkrijgen en te hergebruiken voor hun eigen doeleinden over verschillende diensten heen (bijvoorbeeld van Facebook naar een nieuwe provider). 
  
  Organisaties moeten de persoonlijke gegevens op een gestructureerde, veelgebruikte en de machine leesbare vorm ter beschikking stellen. Organisaties moeten in principe binnen een maand reageren. Een organisatie kan worden gevraagd om de gegevens rechtstreeks door te geven aan een andere organisatie indien dit technisch haalbaar is.
• Profiel en geautomatiseerde besluitvorming: 
  individuen hebben het recht niet te worden onderworpen aan automatisch gemaakte beslissingen die rechtsgevolgen hebben of een aanzienlijke invloed hebben op het individu. 
  
  Een toestemming zal nodig zijn als een geautomatiseerd besluit een juridische of soortgelijke significante impact heeft ten gevolge van profilering. 
  
  Organisaties zullen verplicht worden om ervoor te zorgen dat een individu zelf kan ingrijpen, zijn standpunt kenbaar kan maken, een toelichting kan ontvangen en de beslissing in vraag kan stellen. 
  
  Deze toestemming en rechten zijn niet van toepassing op geautomatiseerde beslissingen op basis van profilering en 
  (i) noodzakelijk zijn voor het aangaan of uitvoeren van een overeenkomst tussen de organisatie en het individu, 
  (ii) door de wet en 
  (iii) gebaseerd zijn op een uitdrukkelijke toestemming.
  
  Teneinde dergelijk risico te verminderen of zelfs uit te sluiten, kunnen geautomatiseerde beslissingen niet worden getroffen betreffende kinderen, en kunnen ze geen discriminerende effecten (bijvoorbeeld met verschillende prijzen aan verschillende personen) veroorzaken. Voor bijzondere categorieën gegevens, moet de organisatie de uitdrukkelijke toestemming van het individu hebben.

8. Nieuwe pro-actieve aanpak van de melding

Voor de verordening was er geen algemene meldingsplicht. Sommige lidstaten hadden wel al meldingsregels (Duitsland bijvoorbeeld).

Deze verordening voorziet in een verplichting voor alle organisaties om bepaalde vormen van inbreuk op gegevens te melden aan de bevoegde toezichthoudende overheid, en in sommige gevallen aan de personen die betrokken zijn. Een inbreuk is meer dan alleen het verlies van persoonsgegevens; het betekent ook een inbreuk op de beveiliging die kan leiden tot de vernietiging, verlies, wijziging, niet-geautoriseerde vrijgave van of toegang tot persoonsgegevens.

De overheid die verantwoordelijk is voor de gegevensbescherming (Belgische Privacycommissie), moet in kennis gesteld worden wanneer het waarschijnlijk is dat een inbreuk zal resulteren in een risico voor de rechten en vrijheden van het individu (bijvoorbeeld het risico van identiteitsdiefstal, discriminatie, reputatieschade, financieel verlies, verlies van vertrouwelijkheid of een andere belangrijke economisch of sociaal nadeel). 

Melding moet normaal gesproken gebeuren binnen 72 uur. 

Sommige organisaties kunnen overwegen niet aan te melden omdat ze claims van particulieren vrezen. Het is hen geraden rekening te houden met de grotere schade die aan personen zou kunnen worden veroorzaakt als ze niet worden gewaarschuwd over de inbreuk.

Ondanks waarborgen, is het belangrijk om voorbereid te zijn op een inbreuk op de beveiliging, want zelfs met een redelijke bescherming, kunnen datalekken optreden. Het is ook belangrijk om de verzekering van het bedrijf te evalueren om te bepalen of een inbreukincident wordt gedekt door een polis.

9. Export van gegevens zal niet gemakkelijker worden

Onder de RGDP, kunnen persoonsgegevens alleen worden overgedragen aan landen met een "passend beschermingsniveau" van persoonsgegevens. De EU heeft tot nu toe niet aangenomen dat de VS een aangepast niveau van bescherming te bieden heeft.

De Safe Harbour afspraak was een creatie waarbij bedrijven in de VS vrijwillig kunnen instemmen zich te houden aan een reeks van gegevensbeschermingsvoorschriften die door de Amerikaanse Federal Trade Commission werden afgedwongen. De student Schrems vond dat de Safe Harbour afspraak geen passende beperkingen voorzag op het overheidstoezicht door de Amerikaanse overheid van persoonsgegevens. Vandaar dat het Europees Hof van Justitie de Safe Harbour regeling vernietigd heeft.

Na de doodverklaring van de EU-VS Safe Harbour, werd op 12 juli 2016 een nieuw EU-VS Privacy Shield aangenomen Dit Privacy Shield maakt geen revolutie uit, noch een nieuwe fantastische oplossing en er werden ook geen nieuwe mechanismen ingevoerd. (Lees meer hierover door hier te klikken.)

Onafgezien van (i) de toestemming, (ii) bindende bedrijfs-voorschriften, (iii) de EU-VS Privacy Shield, heeft het (iv) regime van de modelclausuleovereenkomst nog steeds de voorkeur.

10. Significante boetes

De boete voor het overtreden van de RGDP zal 4% van de totale wereldwijde omzet van een onderneming zijn of 20 miljoen euro, afhankelijk van welk bedrag hoger is.