Gegevensbeschermingsrecht

Inleiding
De Belgische wetgeving op het gebied van gegevensbescherming is grotendeels gebaseerd op de Europese Algemene Verordening Gegevensbescherming (AVG), die sinds 25 mei 2018 van toepassing is in de hele EU. De AVG (in het Engels GDPR genoemd) heeft de privacyregels grondig hervormd en legt organisaties strengere verplichtingen op, met potentieel zware boetes bij niet-naleving (tot 20 miljoen euro of 4% van de wereldwijde omzet).

In België wordt de AVG aangevuld door de nationale Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen bij de verwerking van persoonsgegevens. Het toezicht en de handhaving gebeuren door de Gegevensbeschermingsautoriteit (GBA), de onafhankelijke Belgische privacy-toezichthouder. De GBA kan onderzoeken uitvoeren en sancties opleggen, variërend van waarschuwingen en berispingen tot administratieve geldboetes. (Let op: overheidsinstellingen kunnen onder de AVG door de lidstaat vrijgesteld worden van directe geldboetes – in België worden overheden doorgaans niet beboet, al kunnen andere maatregelen worden genomen​.

Voor bedrijven en organisaties is het dus cruciaal om de regels rond gegevensbescherming te begrijpen en na te leven. Hieronder bespreken we de belangrijkste aspecten van het Belgische gegevensbeschermingsrecht. Het doel is om zowel juridische duiding als praktische richtlijnen te bieden, zodat organisaties beter begrijpen wat van hen verwacht wordt en hoe ze in België compliant kunnen zijn met de privacyregels.

AVG: Toepassingsgebied (personeel, materieel en territoriaal)

De Algemene Verordening Gegevensbescherming (AVG) heeft een zeer ruime werkingssfeer. We onderscheiden het materieel, het personele en het territoriale toepassingsgebied:

  • Materieel toepassingsgebied: De AVG is van toepassing op vrijwel alle verwerkingen van persoonsgegevens. Een verwerking is elke bewerking of handeling met persoonsgegevens, geautomatiseerd of handmatig, zoals het verzamelen, opslaan, raadplegen, gebruiken, delen of wissen van data. Uitzonderingen bestaan voor puur persoonlijke of huishoudelijke activiteiten (bv. een privé-adresboek) – die vallen buiten de AVG. Ook bepaalde sectoren hebben eigen regels: zo valt de verwerking van persoonsgegevens voor justitie en politie (strafrechtelijke opsporing) buiten de AVG en onder specifieke wetgeving (de zogenaamde LED-wetgeving). In de praktijk betekent dit dat zodra een bedrijf of organisatie gegevens verwerkt die herleidbaar zijn tot een persoon, de AVG van toepassing is.
  • Personeel (of persoonlijk) toepassingsgebied: De AVG richt zich tot verwerkingsverantwoordelijken en verwerkers. Simpel gesteld: élke organisatie (bedrijf, vereniging, overheid) of persoon die het doel en de middelen van een gegevensverwerking bepaalt, is een verwerkingsverantwoordelijke en moet de AVG-normen volgen. Ook als u gegevens in opdracht van iemand anders verwerkt (u bent dan een verwerker), gelden er verplichtingen. De regels beschermen de rechten van betrokkenen, zijnde de levende natuurlijke personen van wie de gegevens zijn. Gegevens van overleden personen of anonieme gegevens vallen er niet onder. De AVG geldt zowel voor private ondernemingen als voor overheidsinstanties. (Zoals hierboven opgemerkt, kunnen overheden wel vrijgesteld zijn van boetes, maar niet van de nalevingsverplichtingen.) Kortom, ongeacht grootte of sector: als uw organisatie persoonsgegevens verwerkt (van klanten, werknemers, leden, burgers, etc.), valt u onder de AVG.
  • Territoriaal toepassingsgebied: De AVG heeft een ruime geografische reikwijdte. Alle in de EU gevestigde organisaties moeten de AVG naleven voor alle verwerkingen in het kader van hun activiteiten, óók als de feitelijke gegevensverwerking buiten de EU plaatsvindt. Bovendien bindt de AVG ook organisaties zonder vestiging in de EU als zij zich richten op de Europese markt. Concreet: een bedrijf buiten de EU dat goederen of diensten aanbiedt aan personen in België (of de EU) of dat het gedrag van EU-inwoners monitort (bv. via online tracking), valt tóch onder de AVG. Dit zogenaamde “extraterritoriale” effect zorgt ervoor dat bijvoorbeeld Amerikaanse techbedrijven de Europese privacyregels moeten respecteren wanneer ze met data van EU-burgers werken. In België is de GBA in zo’n geval bevoegd als leidende toezichthouder als de onderneming hier haar EU-hoofdvestiging heeft. Zo ontving de GBA een internationale klacht tegen IAB Europe (een brancheorganisatie) over hun advertentie-consent systeem – aangezien IAB Europe in België gevestigd is, moest de GBA de zaak behandelen, ondanks het grensoverschrijdende karakter​. Dit toont dat ook internationaal opererende organisaties aan Belgische/EU-privacyregels onderworpen zijn zodra ze gegevens van Belgische/EU-betrokkenen verwerken.

Praktisch belang: Voor Belgische organisaties betekent dit dat de AVG vrijwel altijd speelt zodra er met persoonsgegevens wordt gewerkt. Zelfs kleine KMO’s, vzw’s of vrije beroepers moeten de basisregels volgen (tenzij het écht om privégebruik gaat). Buitenlandse bedrijven die Belgische klanten hebben, moeten rekening houden met de Belgische/EU-regels. Het territoriale bereik in combinatie met samenwerking tussen EU-toezichthouders (het “één-loket-mechanisme”) zorgt ervoor dat naleving wereldwijd van belang is. Controleer dus steeds of uw gegevensverwerkingen binnen de scope van de AVG vallen – in de meeste gevallen is dat zo.

Basisbegrippen van het gegevensbeschermingsrecht

Een goed begrip van enkele kernbegrippen uit de AVG is essentieel:

  • Persoonsgegevens: Dit is alle informatie die betrekking heeft op een geïdentificeerde of identificeerbare natuurlijke persoon​. Het begrip is zeer breed. Het gaat niet alleen om voor de hand liggende gegevens zoals naam, adres, e-mailadres, telefoonnummer of rijksregisternummer, maar ook om gegevens als IP-adressen, locatiegegevens, beelden (foto’s, CCTV-opnames), en zelfs informatie die indirect naar iemand te herleiden is. Identificeerbaar wil zeggen dat iemand direct of via combineren van gegevens kan worden geïdentificeerd. Zelfs een uniek kenmerk als een klantnummer of nummerplaat kan persoonsgegevens opleveren als daarmee een individueel persoon gekoppeld kan worden. Let op: ook pseudonieme gegevens (waarbij namen zijn vervangen door codes) vallen onder persoonsgegevens zolang re-identificatie mogelijk blijft. Anderzijds zijn echt anonieme gegevens (niet herleidbaar tot een individu) en data van overledenen geen persoonsgegevens onder de AVG. Daarnaast onderscheidt de AVG bijzondere categorieën van persoonsgegevens: gevoelige info zoals gezondheidsgegevens, ras of etnische afkomst, politieke opvattingen, religie, vakbondslidmaatschap, genetische en biometrische data, seksuele geaardheid, etc. Voor die gevoelige gegevens gelden strengere regels (verwerking is in principe verboden, tenzij aan specifieke voorwaarden voldaan – hier komen we op terug bij de rechtsgronden).
  • Verwerking van persoonsgegevens: Een gegevensverwerking is elke bewerking of elk geheel van handelingen met persoonsgegevens​. Dit omvat vrijwel alles wat u met data kunt doen: van het verzamelen en vastleggen, tot het ordenen, bijwerken, raadplegen, gebruiken, verstrekken (doorzenden), combineren, beveiligen en uiteindelijk wissen of vernietigen van gegevens. Het begrip is technologieneutraal – het maakt niet uit of de verwerking geautomatiseerd (bv. in een computersysteem) of manueel in een gestructureerd archief gebeurt. Vrijwel elke omgang met persoonsgegevens binnen een organisatie is dus een verwerking in de zin van de AVG.
  • Betrokkene: De natuurlijke persoon wiens persoonsgegevens verwerkt worden, noemt de AVG de betrokkene. Dit is de individu om wie de data draait – bv. de klant, medewerker, patiënt, student, burger, etc. De betrokkene heeft onder de AVG diverse rechten (zie verder) om controle te houden over zijn/haar gegevens.
  • Verwerkingsverantwoordelijke: Dit is de partij die het doel (“waarom”) en de middelen (“hoe”) van de verwerking bepaalt. Vaak is dit een organisatie of bedrijf – bijvoorbeeld een webshop die klantgegevens verzamelt om bestellingen te verzenden, of een werkgever die persoonsgegevens van werknemers verwerkt voor loonadministratie. De verwerkingsverantwoordelijke draagt de hoofdmoot van de verantwoordelijkheid voor naleving van de AVG. Het kan een rechtspersoon zijn (bv. een NV, vzw, overheidsdienst) of een natuurlijke persoon die een professionele activiteit uitoefent. In sommige gevallen bepalen twee of meer partijen samen het doel en de middelen – zij zijn dan gezamenlijke verwerkingsverantwoordelijken (joint controllers). Denk aan bijvoorbeeld een onderzoeksproject tussen twee organisaties die gezamenlijk besluiten welke data ze verzamelen en hoe ze die gebruiken; ze moeten dan onderling afspraken maken over hun verantwoordelijkheden naar betrokkenen. De AVG verplicht de verwerkingsverantwoordelijke om allerlei maatregelen te nemen om privacy te waarborgen, van het voorzien van de juiste juridische grondslag tot het informeren van betrokkenen en het implementeren van beveiliging.
  • Verwerker: De verwerker is de partij die persoonsgegevens verwerkt in opdracht van een verwerkingsverantwoordelijke. Dit is doorgaans een externe dienstverlener. Bijvoorbeeld: een cloudprovider die in opdracht van uw bedrijf data host, een payrollkantoor dat lonen berekent op basis van uw personeelsgegevens, of een marketingfirma die in uw naam mailings verstuurt naar klanten. De verwerker handelt niet voor eigen doeleinden, maar strikt volgens de instructies van de verantwoordelijke. Hoewel de verwerkingsverantwoordelijke eindverantwoordelijk blijft, legt de AVG ook rechtstreeks verplichtingen op aan verwerkers (zoals het garanderen van voldoende beveiliging en het bijhouden van een verwerkingsregister). Bovendien moet de relatie tussen een verantwoordelijke en verwerker contractueel worden vastgelegd via een verwerkersovereenkomst (hierover later meer). Belangrijk is dat uw organisatie bij uitbesteding van dataverwerking enkel verwerkers inschakelt die voldoende waarborgen bieden op het vlak van privacy-compliance.
  • Ontvanger en derde: Als u persoonsgegevens deelt met andere partijen, noemt de AVG die partijen ontvangers (ongeacht of het verwerkers, andere verwerkingsverantwoordelijken of derde partijen zijn). Een externe partij die geen onderdeel is van de eigen organisatie en geen verwerker is, wordt in AVG-termen vaak als derde aangeduid. Bijvoorbeeld: u als bedrijf bent verantwoordelijke, u heeft een verwerker voor IT, maar u verstrekt ook klantgegevens aan een partnerbedrijf voor gezamenlijke marketing – dat partnerbedrijf is een (zelfstandige) derde/verantwoordelijke en de gegevensverstrekking moet aan AVG-regels voldoen (bv. rechtmatige grondslag, informeren van betrokkenen).

Deze basisbegrippen vormen het fundament: ze bepalen op wie en wat de AVG-eisen van toepassing zijn. Bij elke gegevensverwerking moet u kunnen aanduiden wiens data het betreft (betrokkenen), wie de verantwoordelijke is, of er verwerkers of derden bij betrokken zijn, en welke gegevens precies verwerkt worden.

Doelbinding, dataminimalisatie en bewaartermijnen

De AVG legt een aantal basisprincipes op voor gegevensverwerking (artikel 5 AVG). Hier lichten we er drie belangrijke uit: doelbinding, gegevensminimalisatie en opslagbeperking (bewaartermijnen). Deze principes dwingen organisaties om bewust en spaarzaam met persoonsgegevens om te gaan.

  • Doelbinding: Persoonsgegevens mogen alleen worden verzameld voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden, en later niet op een onverenigbare wijze met die oorspronkelijke doeleinden worden verwerkt. Met andere woorden: gebruik persoonsgegevens enkel voor het doel waarvoor je ze hebt verkregen. Als je data voor een nieuw doel wilt gebruiken, moet dat doel verenigbaar zijn met het oorspronkelijke doel of moet je de betrokkene opnieuw om toestemming vragen of een andere rechtsgrond hebben. Praktisch betekent dit dat bedrijven duidelijk moeten bepalen waarom ze bepaalde data verzamelen. Bijvoorbeeld: een webshop verzamelt adresgegevens om een pakket te leveren – dat doel is levering. Die adresgegevens mag het bedrijf niet zomaar voor heel andere doeleinden gaan gebruiken (bv. doorverkopen aan een adverteerder), tenzij dat verenigbaar is met het oorspronkelijke doel of de persoon hiermee instemt. In België zien we de GBA regelmatig handhaven op dit principe. Een school kreeg bijvoorbeeld een berisping omdat ze een e-mail naar ouders verstuurde met alle e-mailadressen in CC in plaats van BCC, waardoor ieder adres bij alle andere ouders terechtkwam. De GBA oordeelde dat deze praktijk onverenigbaar was met het doel waarvoor de adressen initieel waren verzameld (rechtstreekse communicatie tussen school en ouder), en dus inbreuk maakte op het doelbindingsbeginsel​. Het resultaat was een berisping en een bevel om de praktijk aan te passen. Dit voorbeeld illustreert dat je gegevens niet zomaar voor een nieuw doel (hier: bekendmaking aan anderen) mag aanwenden zonder grondslag.
  • Dataminimalisatie (minimale gegevensverwerking): Verzamel en verwerk niet méér persoonsgegevens dan noodzakelijk is voor het beoogde doel. Dit principe dwingt tot kritisch nadenken: welke informatie heb ik echt nodig? Alles wat overbodig is, zou niet gevraagd of bewaard mogen worden. In de praktijk betekent dit bijvoorbeeld: vraag je bij een inschrijvingsformulier af of je echt geboortedatum, rijksregisternummer of andere detailgegevens nodig hebt, of volstaan naam en contactgegevens? Hoe minder data je opslaat, hoe kleiner het risico bij een eventueel datalek en hoe eenvoudiger compliance wordt. De GBA ziet dataminimalisatie als een fundamenteel principe. Zo werd een school in overtreding bevonden omdat een enquête onder leerlingen te veel persoonlijke informatie vroeg die niet in verhouding stond tot het doel van leerlingenbegeleiding​. In die zaak ging het om gevoelige informatie (o.a. over andere leerlingen, pestgedrag en thuissituaties) die voor het doel overbodig was, waarmee het minimalisatiebeginsel geschonden werd. De les hieruit: denk bij elk gegeven dat je vraagt of opslaat na of het strikt nodig is. Verzamel slechts de minimumset aan data die vereist is om het doel te bereiken. Dit geldt ook voor reeds verzamelde gegevens: bedrijven doen er goed aan regelmatig hun databases op te schonen van overtollige of verouderde informatie.
  • Bewaartermijnen (opslagbeperking): Het principe van opslagbeperking houdt in dat persoonsgegevens niet langer bewaard worden dan nodig is voor de doeleinden waarvoor ze zijn verzameld. Oneindige opslag “voor de zekerheid” is dus niet toegestaan. In België moet je als organisatie zelf redelijke bewaartermijnen bepalen, rekening houdend met wettelijke verplichtingen en aanbevelingen. Zo vereisen fiscale en sociale wetgeving dat bepaalde gegevens (bv. boekhoudingen, loonadministratie) gedurende een minimum aantal jaren worden bijgehouden – je bewaartermijn mag in die gevallen niet korter zijn dan de wettelijke plicht. Maar data die je bijvoorbeeld verzamelt voor een eenmalige actie of waarvoor geen langdurige noodzaak bestaat, dien je te wissen zodra het doel is bereikt. Praktisch voorbeeld: een webshop houdt gegevens van klanten bij. Het is gerechtvaardigd om bestelgegevens te bewaren tot de bestelling is afgehandeld en gedurende de wettelijke garantieperiode (bv. 2 jaar) voor eventuele retouren of geschillen. Daarna moeten de persoonsgegevens gewist of geanonimiseerd worden, tenzij er een ander legitiem doeleinde is (bv. langer bewaren van factuurgegevens voor de fiscus). Veel organisaties werken met een bewaartermijnenbeleid: hierin wordt per categorie van gegevens vastgelegd hoe lang ze worden bewaard en wanneer ze worden gearchiveerd of verwijderd. De GBA verwacht dat organisaties dit kunnen aantonen als onderdeel van hun verantwoordingsplicht. In Belgische context zijn er ook specifieke regels, bijvoorbeeld voor camerabeelden: de Camerawet van 21 maart 2007 bepaalt dat gewone bewakingsbeelden maximaal één maand bewaard mogen blijven, tenzij ze dienen als bewijsmateriaal voor een incident. Algemene tip: stel voor al uw gegevensverzamelingen een bewaartermijn vast (desnoods een range of criteria) en implementeer periodieke verwijdering. Het niet hebben van duidelijke bewaartermijnen kan worden gezien als een schending van het opslagbeperkingsbeginsel.

Praktische richtlijnen: Zorg dat u bij elke verwerking expliciet het doel vastlegt en communiceert (bij voorkeur in een privacyverklaring). Gebruik gegevens niet zomaar voor nieuwe doeleinden zonder te checken of dat mag. Verzamel alleen informatie die u echt nodig heeft – stel formulieren en databanken zo in dat overbodige velden verdwijnen. En houdt een schema bij van bewaartermijnen: dit kan onderdeel zijn van uw verwerkingsregister of intern beleid. Train medewerkers om hier bewust van te zijn: bijvoorbeeld, mailboxen en netwerkschijven opschonen, geen lokale kopieën van hele databases bewaren “voor het geval dat”, etc. Door deze principes na te leven, verkleint u niet alleen het risico op sancties, maar bouwt u ook vertrouwen op bij klanten en medewerkers dat hun gegevens in goede handen zijn.

Rechtsgronden voor verwerking

Om persoonsgegevens rechtmatig te mogen verwerken, moet u zich kunnen baseren op een van de zes toegestane rechtsgronden onder de AVG (artikel 6 AVG). Zonder geldige rechtsgrond is een verwerking onrechtmatig. We sommen de zes grondslagen op en lichten toe:

  1. Toestemming van de betrokkene: U mag gegevens verwerken als de persoon in kwestie hiervoor vrij, specifiek, geïnformeerd en ondubbelzinnig toestemming heeft gegeven. Dit is bijvoorbeeld het geval bij iemand die zich inschrijft op uw nieuwsbrief en expliciet aanvinkt akkoord te zijn met het ontvangen van mails. Toestemming moet een actieve handeling zijn (niet vooraf aangevinkte vakjes) en mag op ieder moment weer ingetrokken worden. Belangrijk in België: voor kinderen jonger dan 13 jaar is ouderlijke toestemming vereist bij online diensten die hen rechtstreeks worden aangeboden​. (De Belgische wetgever heeft de digitale leeftijdsgrens namelijk op 13 jaar gelegd, terwijl de AVG een standaard van 16 jaar gaf die lidstaten mochten verlagen​). Toestemming is een krachtige grondslag, maar niet altijd de meest praktische: ze vergt onderhoud (bijhouden wie toestemming gaf, mogelijkheid tot intrekken, enz.) en is niet geldig als er sprake is van enige dwang of ongelijkwaardigheid (bv. werkgever-werknemer situaties, waar men beter een andere grondslag zoekt dan toestemming). De GBA ziet er streng op toe dat “toestemming” ook werkelijk geldig is. Zo stelde de GBA bij een onderzoek dat een bedrijf geen geldige toestemming had gevraagd voor het plaatsen van bepaalde cookies – de cookiebanner voldeed niet aan de vereisten. Dit werd als een inbreuk op de toestemmingsplicht beschouwd​. In dat geval ontliep het bedrijf een boete omdat het snel vrijwillig de praktijk aanpaste, maar de waarschuwing was duidelijk. Praktijkadvies: gebruik toestemming vooral wanneer de andere grondslagen niet passen, en zorg dan voor een goed toestemmingsmechanisme (heldere informatie, geen verplichte vinkjes, mogelijkheid tot opt-out).
  2. Noodzakelijk voor de uitvoering van een contract: Verwerking is toegestaan als deze nodig is om een contract met de betrokkene uit te voeren of om op verzoek van de betrokkene vóór het sluiten van een contract iets te doen. Bijvoorbeeld: u verwerkt de adres- en betaalgegevens van een klant om een product te kunnen verkopen en leveren – dat valt onder de uitvoering van de koopovereenkomst. Evenzo mag een werkgever de gegevens van een sollicitant verwerken in het kader van een mogelijk arbeidscontract (precontractuele fase). Let wel: enkel die gegevens verwerken die nodig zijn voor het contract. Als u bij een online bestelling bijvoorbeeld om een rijksregisternummer zou vragen (wat niet nodig is om te leveren of te factureren), kunt u dat niet op deze grond baseren. In de praktijk is deze grondslag erg gebruikelijk voor alle diensten en producten die iemand zelf aanvraagt – de logica is dat zonder de verwerking het contract niet kan worden uitgevoerd.
  3. Naleving van een wettelijke verplichting: Hier gaat het om verwerkingen die nodig zijn om te voldoen aan een verplichting waaraan de verwerkingsverantwoordelijke is onderworpen bij wet, decreet of andere regelgeving. Dit is vaak van toepassing in een context van werkgevers (bijv. verwerking van loongegevens omdat de sociale en fiscale wet dat vereisen), financiën (bewaarplicht van boekhoudkundige stukken), of naleving van andere sectorale wetten. Het moet gaan om een bindende verplichting in het recht (niet louter een contractuele verplichting). Bijvoorbeeld, een bank verwerkt identificatiegegevens van klanten omdat de anti-witwaswetgeving dit vereist; een bedrijf vraagt het rijksregisternummer van werknemers op omdat de sociale zekerheidswet dat oplegt. In België zijn er verschillende wetten die gegevensverwerkingen verplichten of regelen – zoals arbeidswetten, fiscale wetten, de wet op camerabewaking, etc. Als u zich op deze grondslag beroept, moet u kunnen aanwijzen welke wet of bepaling de verwerking noodzakelijk maakt.
  4. Vitaal belang van de betrokkene (of een andere natuurlijke persoon): Deze grondslag is bedoeld voor noodsituaties waarin levens op het spel staan. Het gaat om verwerkingen die noodzakelijk zijn om iemands levensbelang of gezondheid te beschermen en er is geen tijd of mogelijkheid om toestemming te vragen. Denk aan een spoedarts die bewusteloze patiënten hun persoonsgegevens en medische gegevens verwerkt om hen te behandelen, of een situatie waarin iemand onmachtig is en er data gedeeld moeten worden om ernstig letsel of overlijden te voorkomen. Dit wordt in de praktijk niet vaak ingeroepen door gewone bedrijven, behalve misschien in zeer specifieke gevallen (bv. een bedrijf dat in een noodsituatie informatie over een werknemer doorgeeft aan hulpdiensten). Voor de meeste gewone verwerkingen zal deze grond niet van toepassing zijn.
  5. Algemeen belang of uitoefening van openbaar gezag: Dit is een grondslag vooral voor overheidsinstanties of voor organisaties die een taak van algemeen belang vervullen op basis van de wet. Bijvoorbeeld: een gemeente die persoonsgegevens verwerkt voor het uitreiken van identiteitskaarten, een statistiekbureau dat data verzamelt voor bevolkingsstatistieken, of een onderzoeksinstelling die medisch onderzoek doet in het algemeen belang met toestemming van de overheid. In de private sector wordt deze grond niet vaak gebruikt, tenzij een private partij een publieke taak uitvoert krachtens een wettelijke delegatie. Het algemeen belang moet duidelijk omschreven zijn in een wet of regelgeving; je kan je als bedrijf niet zomaar zelf uitroepen tot iets van algemeen belang. Veel publieke gegevensverwerkingen (onderwijsinstellingen, overheidsdiensten, etc.) baseren zich op deze grondslag in combinatie met specifieke regelgeving.
  6. Gerechtvaardigd belang van de verwerkingsverantwoordelijke (of een derde): Dit is een belangrijke en veelgebruikte restgrond voor verwerkingen die niet onder de andere vijf gronden vallen, maar wel noodzakelijk zijn voor de legitieme belangen van de verantwoordelijke of van een derde, mits daarbij de rechten en vrijheden van de betrokkene niet zwaarder wegen. Het vergt dus een belangenafweging: u moet een legitiem (rechtmatig, concreet) belang hebben bij de verwerking, en afwegen of dit belang opweegt tegen de impact op de privacy van de betrokken persoon. Zo ja, dan mag de verwerking – zo nee, dan niet. Voorbeeld: een bedrijf heeft het gerechtvaardigd belang om zijn gebouw en eigendommen te beveiligen; het plaatsen van camerabewaking kan op die grond gerechtvaardigd zijn, zolang de privacy-inbreuk voor bezoekers/werknemers beperkt blijft (en bv. geen gevoelige plekken filmt, duidelijke aanduiding dat er camera’s zijn, enz.). Andere voorbeelden: het voorkomen van fraude, het waarborgen van netwerkbeveiliging, of direct marketing naar bestaande klanten zou men als gerechtvaardigd belang kunnen opvoeren (onder strikte voorwaarden). Deze grondslag is flexibel, maar vereist documentatie: u moet aantonen dat u de afweging hebt gemaakt). Bedenk dat bij protest van de betrokkene (recht van bezwaar) u meestal moet stoppen met een verwerking gebaseerd op gerechtvaardigd belang, zeker als het om direct marketing gaat. Daarnaast is deze grondslag niet beschikbaar voor overheidsinstanties voor verwerkingen in het kader van hun publieke taken – zij moeten dan eerder de grond “openbaar gezag/algemeen belang” gebruiken. In de Belgische handhaving zien we voorbeelden waar bedrijven zich onterecht op gerechtvaardigd belang beriepen. Een Belgische onderneming die na het aflopen van een samenwerking een fanpagina over een artieste bleef beheren, voerde o.a. gerechtvaardigd belang aan om dit te blijven doen. De GBA verwierp dat argument: de pagina focuste op de persoon van de artieste (niet op een project van de onderneming), de samenwerking was stopgezet, en er was geen voldoende legitiem belang meer dat zwaarder woog dan de privacy van de artieste. Het bedrijf had dus géén geldige grondslag meer en moest de pagina verwijderen; bovendien kreeg het een boete opgelegd​. Dit illustreert dat gerechtvaardigd belang reëel en afgewogen moet zijn – het is geen carte blanche.

Naast deze zes “gewone” grondslagen is er een apart regime voor de bijzondere categorieën van persoonsgegevens (gevoelige gegevens zoals gezondheidsinfo, etniciteit, politieke mening, etc.). Dergelijke data mag u in principe niet verwerken, tenzij u aan een van de uitzonderingsvoorwaarden van artikel 9 AVG voldoet (bijvoorbeeld: uitdrukkelijke toestemming, verwerking noodzakelijk voor arbeidsrecht of volksgezondheid, verwerking door een arts onder beroepsgeheim, etc.). In de praktijk moeten organisaties extra voorzichtig zijn bij het omgaan met gevoelige data en vaak aanvullende rechtsgrond en veiligheidsmaatregelen voorzien.

Praktisch voor bedrijven: Ga voor al uw verwerkingen na op basis van welke grondslag u de data verwerkt. Documenteer dit in uw verwerkingsregister of privacybeleid. Veel voorkomende combinaties: klantenbeheer = contractuele noodzaak; personeelsadministratie = wettelijke verplichtingen (sociale wetgeving) + contract; marketing = toestemming (voor niet-klanten) of gerechtvaardigd belang (voor bestaande klanten, tenzij ze bezwaar maken); camerabewaking = gerechtvaardigd belang (veiligheid) mits melding en afweging; medische gegevens werknemers = meestal wettelijke verplichting via de preventiedienst of toestemming van de werknemer voor specifieke zaken (bv. vaccinatie). Zorg dat wanneer u toestemming gebruikt, deze voldoet aan alle vereisten. En bij gerechtvaardigd belang: voer een gedegen belangenafweging uit en leg die vast. Dit voorkomt discussies achteraf met de GBA. Verkeerde of ontbrekende rechtsgrond is een vaak voorkomende inbreuk. Zo deelde de GBA een boete uit aan een bedrijf dat miljoenen persoonsgegevens deelde met commerciële partners zonder geldige toestemming of andere grondslag​. Een robuuste juridische basis voor elke verwerking is dus onmisbaar.

Rechten van betrokkenen

De AVG geeft individuen (de betrokkenen van wie gegevens verwerkt worden) een reeks krachtige rechten om controle te houden over hun persoonsgegevens. Als organisatie moet u deze rechten van betrokkenen respecteren en faciliteren. We overlopen de belangrijkste rechten en hun betekenis:

  • Recht op inzage: Een persoon heeft het recht om te weten of u persoonsgegevens van hem/haar verwerkt, en zo ja, om inzage te krijgen in die gegevens en te informeren over het “wat, waarom en hoe”. Concreet kan iemand een kopie van zijn persoonsgegevens opvragen, alsook bijkomende info krijgen over de doeleinden van verwerking, de categorieën data, de ontvangers, de oorsprong van de gegevens, bewaartermijnen, enz. (artikel 15 AVG). . U moet hierop in principe binnen één maand reageren (éénmaal verlengbaar tot max. drie maanden in complexe gevallen), en in de meeste gevallen kosteloos. Dit recht is erg ruim: iemand mag bijvoorbeeld zijn volledige klantenprofiel opvragen, of een werknemer mag zijn personeelsdossier inkijken. Uitzonderingen: Het recht is niet onbeperkt – zo hoeft u geen inzage te geven in persoonsgegevens van andere mensen (die kunnen in documenten voorkomen en moet u eventueel anonimiseren), en herhaalde of excessieve verzoeken mogen geweigerd of betaald worden. Ook bestaan er sectorale beperkingen (bv. in de gezondheidszorg: het inzagerecht loopt soms via een arts). Toch is de algemene regel: transparantie. De GBA heeft organisaties op de vingers getikt die dit niet naleefden. In één case weigerde een werkgever delen van het personeelsdossier (o.a. evaluatienotities) aan een ex-werknemer te tonen, met het argument dat dit de privacy van leidinggevenden zou schaden. De GBA was het daar niet mee eens: de onderneming kon de namen van derden anonimiseren en moest de werknemer inzage geven; er is immers geen Belgische wet die het recht van een werknemer op inzage van zijn gegevens beperkt​. In dat geval moest de werkgever uiteindelijk aantonen dat de betreffende notities gewist waren nadat de werknemer erom gevraagd had​. Een ander voorbeeld: twee bankklanten hadden via hun advocaat inzage gevraagd in alle data die de bank van hen had, maar de bank reageerde pas na 4 maanden en vroeg onnodige verduidelijkingen. De GBA gaf de bank hiervoor een berisping wegens laattijdige en onjuiste afhandeling van het inzagerecht​. Praktisch: Zorg dat u een procedure hebt voor inzageverzoeken. Verifieer de identiteit van de verzoeker (om datamisbruik te voorkomen) maar maak het niet onnodig moeilijk. Stel een duidelijk dossier samen van alle gegevensbronnen en bereid een begrijpelijke toelichting voor. Snelle en volledige antwoorden voorkomen klachten bij de GBA.
  • Recht op rectificatie: Betrokkenen mogen foutieve of onvolledige persoonsgegevens laten corrigeren of aanvullen (artikel 16 AVG). Als organisatie moet u dergelijke verzoeken zonder onredelijke vertraging doorvoeren. Bijvoorbeeld: een klant ontdekt dat zijn naam verkeerd gespeld staat in uw systeem of dat zijn adres verouderd is – hij kan correctie vragen. U moet de gegevens dan aanpassen en idealiter ook zorgen dat eventuele derden aan wie u de oude gegevens doorgaf (voor zover mogelijk) op de hoogte worden gesteld van de correctie. Dit recht lijkt eenvoudig, en voor de meeste organisaties is het routine (mensen laten hun gegevens aanpassen via klantendiensten, HR, self-serviceportalen, etc.). Let wel: soms betwist iemand de juistheid van data die niet objectief “fout” is (bv. iemands meningsuiting in een dossier). U moet dan afwegen of een rectificatie gegrond is. In de context van evaluaties of meningen kan dit lastig zijn – de AVG verplicht niet om uw mening te wijzigen, maar de betrokkene kan wel een verklaring toevoegen. Tip: Houd uw databestanden up-to-date en faciliteer voor gebruikers/klanten een manier om wijzigingen door te geven.
  • Recht op gegevenswissing (“recht om vergeten te worden”): In bepaalde gevallen kan iemand vragen dat zijn/haar persoonsgegevens worden gewist (artikel 17 AVG). Dit recht geldt onder meer als de data niet langer nodig is voor het oorspronkelijke doel, of als de verwerking gebaseerd was op toestemming en die toestemming wordt ingetrokken, of bij onrechtmatige verwerking, etc. Het is niet absoluut – er zijn belangrijke uitzonderingen. Zo hoeft een organisatie data niet te wissen als de bewaring nodig is om aan een wettelijke verplichting te voldoen of voor het instellen of verdedigen van rechtsvorderingen. Bijvoorbeeld, een klant kan vragen zijn account te verwijderen (en doorgaans moet u dat doen als de gegevens niet meer nodig zijn), maar u mag bijvoorbeeld factuurgegevens die u wettelijk 7 jaar moet bewaren niet eerder wissen. Het recht om vergeten te worden is beroemd geworden door Google-zoekresultaten: mensen kunnen onder omstandigheden vragen dat zoeklinks naar privacygevoelige informatie worden verwijderd. In België is Google in 2020 inderdaad verplicht door de GBA om bepaalde zoekresultaten te derefereren op basis van dit recht, gekoppeld aan een boete (een van de hogere boetes toenmalig opgelegd door de GBA). Voor de meeste bedrijven draait dit recht echter om hun eigen databestanden: u moet in staat zijn persoonsgegevens te verwijderen op verzoek, tenzij u een geldige reden hebt om ze te bewaren. Praktisch: Stel interne richtlijnen op voor wanneer u gehoor geeft aan een wissingverzoek en wanneer u het mag weigeren (bv. klantverzoeken honoreren tenzij bewaarplicht van toepassing). Als u data publiek gemaakt heeft (bv. een foto online), moet u redelijke stappen nemen om die bij anderen weg te krijgen als de betrokkene dat vraagt.
  • Recht op beperking van de verwerking: Dit recht (artikel 18 AVG) houdt in dat een betrokkene in bepaalde situaties kan vragen om de verwerking tijdelijk te bevriezen. Bijvoorbeeld: iemand betwist de juistheid van gegevens – gedurende de periode dat u die controleert, moet u op verzoek de verwerking beperken (de data nog bewaren maar even niet verder gebruiken). Of als de verwerking onrechtmatig blijkt maar de persoon wil niet alles gewist hebben (bijv. omdat hij de data nodig heeft voor een rechtsvordering), kan hij beperking vragen in plaats van wissing. Bij beperking mag u de data enkel nog opslaan en niet meer actief verwerken, behalve met toestemming van de betrokkene of voor specifieke juridische doeleinden. Dit recht wordt minder frequent uitgeoefend, maar u moet het wel mogelijk maken. In de praktijk: markeer de betreffende gegevens als “geblokkeerd” in uw systeem als iemand hier met reden om vraagt.
  • Recht op dataportabiliteit: Een relatief nieuw recht (artikel 20 AVG) is dat iemand de persoonsgegevens die hij zelf aan een organisatie verstrekt heeft, in een gestructureerd, gangbaar digitaal formaat mag ontvangen, om ze zo nodig door te geven aan een andere dienstverlener. Dit geldt alleen voor gegevens die u verwerkt op basis van toestemming of contract, en waarbij de verwerking geautomatiseerd gebeurt. In de consumentenpraktijk betekent dit bijvoorbeeld: een klant moet zijn transactiegeschiedenis of profielgegevens bij een bepaalde dienst kunnen downloaden en hergebruiken. Denk aan een muziekstreamingdienst waarvan u een lijst van al uw nummers wilt exporteren, of een sociaal netwerk waar u al uw foto’s en berichten wilt downloaden. Ook kan de betrokkene verzoeken dat u de data rechtstreeks overdraagt aan een nieuwe aanbieder (indien technisch haalbaar). Hoewel dit recht in de praktijk (nog) niet zeer vaak wordt ingeroepen, kan het spelen bij wisselen van leveranciers (bv. van de ene cloud-app naar de andere). Een interessant Belgisch voorbeeld van de creativiteit rond dit recht: de GBA oordeelde in een beslissing dat een artieste het recht had om de beheerrechten van een Facebook-fanpagina over haarzelf over te dragen te krijgen van de voormalige beheerder, op basis van dataportabiliteit​. Met andere woorden, de gegevens (fans, content) op die pagina hadden betrekking op haar, en zij mocht eisen dat ze die “meenam”. Dit gaat ver, maar toont dat dit recht meer is dan enkel een CSV-tabelletje – het gaat om echte controle over je persoonlijke data.
  • Recht van bezwaar: Betrokkenen hebben het recht om bezwaar te maken tegen bepaalde verwerkingen van hun persoonsgegevens (artikel 21 AVG). Dit geldt met name voor verwerkingen op basis van gerechtvaardigd belang of algemeen belang, én voor direct marketing. Bij direct marketing is het bezwaarrecht absoluut: elke persoon kan ten alle tijde en kosteloos bezwaar maken tegen gebruik van zijn gegevens voor marketing, waarna u dat gebruik moet stopzetten. Daarom zie je bij nieuwsbrieven standaard een uitschrijflink en bij callcenters de mogelijkheid om u uit belbestanden te laten halen. Voor gerechtvaardigd belang-verwerkingen moet u bij een bezwaar nagaan of uw belang misschien toch zwaarder weegt; in principe moet u de verwerking staken, tenzij er dwingende gerechtvaardigde gronden zijn die zwaarder wegen dan de rechten van de betrokkene (in de praktijk is dat een hoge drempel, behalve bij bijv. anti-fraude). Een voorbeeld: iemand kan bezwaar maken tegen het feit dat zijn werkgever zijn foto op het intranet plaatst – hier weegt privacy meestal zwaarder dan het (eventuele) belang van de werkgever, dus moet de foto op verzoek verwijderd worden. In België zien we strikte handhaving op het recht van bezwaar, vooral bij marketing. Zo onderzocht de GBA telecomoperator Telenet na klachten dat het moeilijk was om uit hun marketing te stappen. De GBA stelde vast dat Telenet klanten dwong om per kanaal (e-mail, telefoon, sms, post…) afzonderlijk bezwaar te maken en geen eenvoudige, algemene opt-out aanbood. Bovendien was er online geen makkelijke optie, enkel via winkel of klantendienst​. De GBA vond dit onacceptabel en gaf Telenet een berisping wegens schending van het recht van bezwaar, met de aanbeveling om een eenvoudig webformulier te voorzien voor alle vormen van marketing​. Dit toont dat bedrijven het bezwaarrecht serieus moeten nemen en klanten een laagdrempelige “unsubscribe” mogelijkheid moeten bieden. Let op: bij verwerkingen voor wetenschappelijke/historische of statistische doeleinden is bezwaar ook mogelijk, maar dan moet men aantonen dat er zwaarwegende persoonlijke redenen zijn.
  • Recht om niet onderworpen te worden aan geautomatiseerde beslissingen (incl. profilering): Dit recht (artikel 22 AVG) beschermt mensen tegen besluiten die volledig door computers/algoritmen genomen zijn zonder menselijke tussenkomst, als die besluiten rechtsgevolgen of vergelijkbaar significante gevolgen hebben. Bijvoorbeeld: een algoritme dat automatisch een lening weigert, of een sollicitant uitsluit, zonder dat een mens het nog bekijkt. Dergelijke besluiten zijn enkel toegestaan onder bepaalde voorwaarden (noodzakelijk voor een contract, wettelijk toegestaan of gebaseerd op uitdrukkelijke toestemming, en met bijkomende safeguards). Betrokkenen hebben het recht om in zulke gevallen menselijke tussenkomst te vragen, hun standpunt naar voren te brengen, en de beslissing te betwisten. Dit recht is minder direct relevant voor alle bedrijven, behalve wie zware automatisering toepast. Toch is het goed te weten: als uw organisatie AI of profielanalyses inzet die individuen bindt, moet u extra opletten en wellicht dit recht faciliteren.

Tot slot hebben betrokkenen ook het recht om een klacht in te dienen bij de toezichthouder (in België dus de GBA) of naar de rechter te stappen als ze vinden dat hun rechten geschonden zijn. Dit is geen “verzoek aan de verwerkingsverantwoordelijke” maar een escalatierecht.

Verplichtingen voor organisaties: U moet de genoemde rechten actief ondersteunen. Dit begint bij het geven van correcte en volledige informatie aan betrokkenen over hun rechten en over de verwerking (informatievoorziening/ transparantie is op zichzelf al een plicht onder artikelen 13 en 14 AVG). Veel organisaties doen dit via een privacyverklaring. Vervolgens moet u interne procedures hebben om verzoeken efficiënt af te handelen: een aanspreekpunt (bij voorkeur de DPO of privacyverantwoordelijke), templates voor antwoorden, een registratie van verzoeken en afhandelingstermijnen. Belangrijk: reageer tijdig (meestal binnen 1 maand) en gemotiveerd. Als u een verzoek afwijst (bv. omdat een wettelijke uitzondering geldt), leg dan uit waarom en verwijs naar de mogelijkheid om naar de GBA te stappen. Zorg ook voor beveiliging bij de afhandeling – vraag bij gevoelige verzoeken om een bewijs van identiteit zodat gegevens niet aan de verkeerde persoon worden verstrekt. Gebrekkige omgang met deze rechten kan tot sancties leiden, zoals we zagen bij het voorbeeld van de bank (4 maanden vertraging was te lang​. Andersom kan een goede procedure escalaties voorkomen: veel mensen stappen pas naar de GBA als ze bij de organisatie geen gehoor krijgen.

Samenwerking met andere partijen: verwerkersovereenkomsten en gezamenlijke verantwoordelijkheid

In de moderne gegevensverwerkingspraktijk werken organisaties zelden alleen – vaak zijn er andere partijen betrokken bij de verwerking van persoonsgegevens. Denk aan uitbesteding (IT-diensten, cloudsoftware, payroll, marketingbureaus) of samenwerkingen (partners, zusterorganisaties, projecten). De AVG voorziet twee belangrijke concepten voor zulke situaties: de verwerkersovereenkomst en de regeling van gezamenlijke verwerkingsverantwoordelijken.

Verwerkersovereenkomst (Data Processing Agreement, DPA): Als uw organisatie als verwerkingsverantwoordelijke een externe partij inschakelt die als verwerker voor u persoonsgegevens verwerkt, dan bent u verplicht een schriftelijke overeenkomst te sluiten die aan specifieke AVG-voorwaarden voldoet (artikel 28 AVG). Dit wordt de verwerkersovereenkomst genoemd. Hierin moeten onder meer worden vastgelegd: het onderwerp en de duur van de verwerking, de aard en het doel, het type persoonsgegevens en categorieën van betrokkenen, de verplichtingen en rechten van de verantwoordelijke, én vooral de plichten van de verwerker op het vlak van gegevensbescherming. Denk aan bepalingen dat de verwerker gegevens alleen op instructie van de verantwoordelijke mag verwerken, passende beveiligingsmaatregelen treft, geen sub-verwerkers inschakelt zonder toestemming, meewerkt aan de rechten van betrokkenen, bij einde van de dienstverlening de data teruggeeft of wist, etc. Deze contracten zijn cruciaal om duidelijke verantwoordelijkheden af te bakenen en ervoor te zorgen dat de verwerker ook AVG-conform handelt. Praktisch: Stel voor al uw leveranciers die met persoonsgegevens omgaan zo’n contract op (of werk met hun standaard DPA mits die voldoet). Veel cloud- en softwareleveranciers bieden een DPA als onderdeel van hun servicevoorwaarden – controleer of die compleet is. De GBA heeft in minstens één geval expliciet een boete verhoogd omdat er geen verwerkersovereenkomst was afgesloten waar dat wel had gemoeten​. In de zaak van Family Service (het bedrijf achter de “roze dozen”) stelde de GBA vast dat het bedrijf gegevens deelde met partners zonder dat de vereiste contracten aanwezig waren, wat bijdroeg aan de vaststelling van inbreuken​. Kortom: geen verwerkerscontract is vragen om problemen. Zorg ook dat u uw verwerkers due diligence onderwerpt: kies leveranciers die voldoende garanties bieden (certificeringen, goede reputatie, securitymaatregelen) en leg in het contract ook auditrechten of periodieke evaluaties vast. Onthoud dat als de verwerker de regels schendt, ú als verantwoordelijke uiteindelijk aanspreekbaar blijft richting de betrokkene.

Gezamenlijke verwerkingsverantwoordelijkheid (Joint Controllers): Soms bepaalt uw organisatie samen met een andere organisatie het doel en de middelen van een verwerking. In zo’n geval spreekt de AVG van gezamenlijke verwerkingsverantwoordelijken (artikel 26 AVG). Dit betekent dat beide partijen verantwoordelijk zijn voor de naleving van de AVG voor die specifieke verwerking. Bijvoorbeeld: een gemeente en een onderzoeksinstituut organiseren samen een bevraging onder burgers en beslissen gezamenlijk welke data worden verzameld en hoe resultaten worden gebruikt – ze zijn joint controllers. De AVG eist dat gezamenlijke verantwoordelijken op transparante wijze bepalen wie van hen welke verplichtingen op zich neemt. In de praktijk sluit men een gezamenlijke regeling of overeenkomst, waarin wordt afgesproken wie bijvoorbeeld de informatie aan betrokkenen verstrekt, wie aanvragen van betrokkenen afhandelt, wie welke beveiligingsmaatregelen neemt, hoe ze de DPA-contact onderhouden, enzovoort. Deze regeling hoeft niet per se openbaar te zijn, maar de essentie (met name hoe de uitoefening van rechten en informatievoorziening is geregeld) moet wel aan de betrokkenen worden medegedeeld. Gezamenlijke verantwoordelijkheid betekent gezamenlijke aansprakelijkheid: een betrokkene kan beide aanspreken op een misser. Onderling kunnen de partijen dan verdelen wie wat vergoedt, maar extern staan ze sterk samen in de verantwoordelijkheid. Praktisch: Inventariseer of er situaties zijn waarin uw organisatie eigenlijk samen met een andere beslist over data. Soms is dit duidelijk (een gezamenlijk project, co-sponsoring van een event waarbij men de deelnemerslijst deelt en samen gebruikt), soms minder duidelijk (bv. plugins op uw website van derde partijen – daar kunt u ook als gezamenlijk verantwoordelijk worden gezien, zoals eerder door het Hof van Justitie is beslist in zaken over Facebook Like-knoppen enz.). In geval van twijfel: overleg met de partner en stel een gezamenlijke controllership-overeenkomst op. Het is beter dat te regelen dan het te negeren, want de GBA zal bij onderzoek toch nagaan hoe de verantwoordelijkheden liggen.

Delen van gegevens met zelfstandige derden: Als u persoonsgegevens doorgeeft aan een andere verwerkingsverantwoordelijke (dus geen verwerker en niet gezamenlijk), bijvoorbeeld een zakenpartner die de data voor eigen doeleinden gebruikt, dan is er geen verplichte AVG-overeenkomst zoals bij verwerkers. Wel moet u zorgen voor een geldige grondslag voor die doorgifte (bv. toestemming of wettelijke bepaling, of eigen gerechtvaardigd belang mits aan voorwaarden voldaan) en moet u de betrokkene informeren dat u hun gegevens aan die derde verstrekt. In feite behandelt u de derde partij als een eigen nieuwe verantwoordelijke stap: die partij is zelf verantwoordelijk voor verdere verwerking. Let op: een berucht voorbeeld is dat van bedrijven die hun klantenbestand “verhuren” of verkopen aan marketingpartners. In de Family Service-case deelde het bedrijf zonder geldige toestemming miljoenen gegevens van jonge ouders met commerciële partners, wat onrechtmatig was​. De boete van €50.000 onderstreept dat dit niet door de beugel kan zonder dat de betrokkenen helder geïnformeerd zijn en akkoord hebben gegeven​. Dergelijke datadeling moet dus met uiterste zorg gebeuren. Zorg voor transparantie (noem in uw privacybeleid welke derden data krijgen), en gebruik bij voorkeur pseudonimisering of minimale data als u iets doorgeeft.

Samengevat praktisch: sluit altijd verwerkersovereenkomsten met uw IT-dienstverleners en andere data-verwerkers. Maak duidelijke afspraken als u met een partner gezamenlijk optrekt in een dataverwerking – leg vast wie wat doet inzake AVG. En bij doorgifte van gegevens aan derden: check uw grondslag en informeer de betrokkenen. Deze contractuele en organisatorische maatregelen zijn onderdeel van de accountability en kunnen bij controles opgevraagd worden. De GBA kijkt hiernaar, zeker als bij incidenten blijkt dat onduidelijk was wie verantwoordelijk was of dat er geen goede contracten waren.

Doorgifte van persoonsgegevens aan derde landen

De bescherming van persoonsgegevens stopt niet bij de EU-grenzen. Wanneer u persoonsgegevens doorstuurt buiten de Europese Economische Ruimte (EER) – dit zijn de EU-lidstaten plus Noorwegen, IJsland en Liechtenstein – spreken we van een doorgifte aan een derde land. De AVG stelt strikte voorwaarden aan zulke doorgiftes (hoofdstuk V AVG). Het achterliggende idee is dat dataexport niet moet leiden tot een lager beschermingsniveau dan binnen Europa geldt.

Situatie: Uw bedrijf gebruikt bijvoorbeeld een Amerikaans cloudplatform, of u stuurt klantgegevens door naar een partner in India, of uw moederbedrijf in de VS wil toegang tot Belgische HR-gegevens. Al deze gevallen zijn internationale dataoverdrachten.

Hoofdregel: Persoonsgegevens mogen alleen naar een land buiten de EER worden gestuurd als er voldoende waarborgen zijn dat de data daar beschermd blijven volgens EU-normen. De AVG biedt hiervoor een paar mechanismen:

  • Adequaatheidsbesluit: De Europese Commissie kan bepaalde landen officieel het predicaat “adequaat beschermingsniveau” geven. Gegevens kunnen dan vrij naar die landen vloeien, net alsof het binnen de EU is. Voorbeelden: Canada (voor commerciële organisaties), Japan, Zwitserland, het Verenigd Koninkrijk (na Brexit heeft de EU de UK adequaat verklaard). Recent is ook de EU-US Data Privacy Framework in het leven geroepen (2023) om een adequaatheidsregeling met de VS te herstellen, na het ongeldig maken van de vorige regeling (Privacy Shield) in 2020. Bedrijven die onder dat framework gecertificeerd zijn in de VS mogen gegevens vanuit de EU ontvangen. Als u dus data doorgeeft aan een partij in een adequaat verklaard land, hoeft u geen bijkomende maatregelen te nemen – wel natuurlijk de algemene AVG-regels blijven volgen.
  • Passende waarborgen: Is er geen adequaatheidsbesluit voor het land in kwestie (zoals bijv. China, India, Brazilië, enz.), dan moet u zelf andere juridische instrumenten gebruiken om de doorgifte te legitimeren. Veruit het meest gebruikt zijn de standaardcontractbepalingen (Standard Contractual Clauses, SCCs) die door de Europese Commissie zijn opgesteld. Dit zijn modelclausules die u opneemt in een contract met de ontvanger in het derde land, waarmee die zich ertoe verbindt de EU-privacyregels na te leven (o.a. wat betreft rechten van betrokkenen, beveiliging, beperking van verdere doorgifte, enz.). Sinds 2021 zijn vernieuwde SCCs beschikbaar die modulair zijn en de GDPR reflecteren. Andere mogelijkheden voor passende waarborgen zijn bijvoorbeeld Bindende Bedrijfsvoorschriften (BCRs) – interne privacyregels voor multinationals, goedgekeurd door toezichthouders, om onderling data uit te wisselen – of sectorale gedragscodes en certificeringsmechanismes (hoewel die laatste in de praktijk nog weinig toegepast worden). Welke waarborg u ook kiest, doorgaans komt het neer op contractuele verplichtingen voor de ontvanger om de data adequaat te beschermen.
  • Uitzonderingen voor specifieke situaties: Als er geen adequaatheid is en geen tijd of mogelijkheid voor passende waarborgen, kunt u in bepaalde gevallen toch een doorgifte doen op basis van uitzonderingen (artikel 49 AVG). Bijvoorbeeld met de uitdrukkelijke toestemming van de betrokkene voor de specifieke doorgifte, of als de doorgifte nodig is voor de uitvoering van een contract (bv. een hotelboeking in een land buiten de EER), of voor het instellen van juridische claims, vitale belangen, enz. Deze uitzonderingen zijn echter beperkt bedoeld – structurele, grootschalige doorgiftes moeten eigenlijk via de waarborg-route geregeld worden en niet steeds via zo’n uitzondering.

Na Schrems II: Een belangrijke ontwikkeling is het arrest “Schrems II” van het Hof van Justitie EU (2020), waarbij het Privacy Shield (de toenmalige EU-VS regeling) ongeldig werd verklaard en benadrukt werd dat bij gebruik van standaardcontractbepalingen men moet verifiëren of de wetgeving van het ontvangende land de contractuele bescherming niet ondermijnt (met name gekeken naar overheids- en inlichtingendiensten toegang). Organisaties die SCCs gebruiken moeten sindsdien een zogeheten transfer impact assessment doen: onderzoek of de data in het bestemmingsland veilig is voor bijv. overheidsinmenging, en zo nodig aanvullende maatregelen nemen (zoals encryptie, pseudonimisering) als ze toch willen doorgeven. Dit heeft ertoe geleid dat veel bedrijven scherper zijn gaan kijken naar o.a. cloudservices in de VS. Met het nieuwe EU-US raamwerk is een deel van die zorgen verlicht, maar niet alle – privacy-activisten betwisten het nieuwe mechanisme alweer.

België: De GBA volgt de Europese lijn. Ze heeft richtsnoeren gepubliceerd samen met de EDPB over internationale doorgifte. In de praktijk komt bij de GBA relatief vaak de vraag of bv. het gebruik van Amerikaanse tools (mailingsoftware, CRM, etc.) mag. Het antwoord is: ja, mits de beschreven voorwaarden (SCCs + evt. bijkomende maatregelen) in orde zijn. Als organisatie moet u weten waar uw data naartoe gaat. Breng uw datastromen in kaart: host u alles in de EU of niet? Heeft uw softwareleverancier servers of support buiten de EU? Stuurt u persoonsgegevens door naar een moederbedrijf buiten Europa? Voor elke dergelijke stroom moet u zorgen dat een adequaatheidsbesluit of een contractuele waarborg van toepassing is. Het niet correct regelen hiervan kan resulteren in een inbreuk. Hoewel de GBA tot nu toe vooral adviseert en waarschuwt op dit punt, sluiten handhavingsacties niet uit, zeker naarmate de tijd vordert sinds Schrems II en bedrijven geacht worden hun zaken op orde te hebben.

Praktische tips:

  • Inventariseer internationale dataflows: weet welke persoonsgegevens uw organisatie buiten de EER terechtkomen.
  • Gebruik modelclausules waar nodig: Sluit de nieuwste standaardcontractclausules af met elke partner buiten de EER zonder adequaatheid. Veel grote service providers bieden deze standaard aan (check hun Data Processing Addendum).
  • Beoordeel het risico: Doe indien vereist een transfer impact assessment, zeker voor gevoelige data of voor landen met vraagtekens rond toezicht (bv. China, Rusland, … en ook de VS als u niet onder het nieuwe raamwerk valt).
  • Overweeg versleuteling: Versleutel persoonlijke data voor u ze internationaal verstuurt, zodat zelfs bij toegang door derden de inhoud beschermd is.
  • Wees transparant: Informeer betrokkenen in uw privacybeleid over eventuele doorgifte buiten de EER, inclusief welke landen en onder welke waarborgen.
  • Houd ontwikkelingen bij: Internationale dataregimes veranderen (zie de VS-regeling). Volg de guidance van de GBA/EDPB hierover. Bij twijfel kunt u ook advies vragen aan de DPO of zelfs vooraf aan de GBA.

Kortom, grensoverschrijdende gegevensstromen zijn toegestaan, maar niet vrijblijvend. U moet juridisch-technisch “het papierwerk” en de beveiliging op orde hebben om te garanderen dat persoonsgegevens ook over de grens veilig blijven.

Beveiliging van gegevens en datalekken (meldplicht)

Beveiliging (informatiebeveiliging): De AVG verplicht organisaties om passende technische en organisatorische maatregelen te nemen om persoonsgegevens te beveiligen (artikel 32 AVG). Dit omvat bescherming tegen ongeoorloofde of onrechtmatige verwerking, tegen verlies, vernietiging of beschadiging. Wat “passend” is, hangt af van de stand van de techniek, de kosten van implementatie, de aard van de gegevens en de risico’s. Concreet verwacht men dat u redelijke stappen neemt: bijv. IT-maatregelen als firewalls, antivirus, encryptie, back-ups, toegangscontrole (wachtwoorden, twee-factor authenticatie), pseudonimisering van gegevens, etc., maar ook organisatorische zaken zoals een beleid voor veilig omgaan met data, training van personeel, fysieke beveiliging van papierdossiers en serverruimtes, beperken van toegang tot gegevens tot wie het nodig heeft, enz. Er is geen one-size-fits-all: een ziekenhuis moet zwaardere maatregelen treffen (medische gegevens) dan een lokale sportclub (ledenlijst), maar beiden moeten iets doen. Accountability speelt ook hier: u zou moeten kunnen aantonen dat u over beveiliging hebt nagedacht (bijv. via een IT-beveiligingsbeleid, risico-analyse, ISO27001-certificatie, of het aanstellen van een security officer). In België is er ook horizontale wetgeving (zoals de cybersecuritywet voor essentiële diensten, NIS2-richtlijn voor bepaalde sectoren) – maar voor persoonsgegevens blijft artikel 32 de kern. De GBA ziet veiligheidsinbreuken niet licht op: als uit een incident blijkt dat er gebrekkige beveiliging was, kan dat op zichzelf al een grond voor sanctie zijn (los van de eventuele schade door het incident).

Datalekken: Ondanks alle voorzorgen kan er iets misgaan – een verloren USB-stick, een hack, een verkeerd geadresseerde e-mail, een medewerker die ongeoorloofd data kopieert, enz. De AVG definieert een datalek (gegevensinbreuk) als een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot vernietiging, verlies, wijzing, ongeoorloofde verstrekking van of toegang tot persoonsgegevens. Dit omvat dus zowel hacking-aanvallen als domme fouten (bv. een spreadsheet met persoonsgegevens die publiek online komt te staan).

De AVG legt een meldplicht op voor ernstige datalekken:

  • U moet een datalek melden aan de Gegevensbeschermingsautoriteit zonder onredelijke vertraging en binnen 72 uur nadat u er kennis van heeft gekregen, tenzij het onwaarschijnlijk is dat het lek een risico inhoudt voor de rechten en vrijheden van personen (artikel 33 AVG). In de praktijk: is er een reëel risico dat mensen nadeel ondervinden (privacy, financieel, reputatie)? Meld dan. Bij twijfel: beter melden – de GBA ziet liever proactieve meldingen dan verzwijgen. De melding aan de GBA gebeurt via een online formulier en moet info bevatten over de aard van het lek, aantal betrokkenen, getroffen gegevens, likely gevolgen en reeds getroffen maatregelen.
  • Mededeling aan de betrokkenen: Als het lek waarschijnlijk een hoog risico inhoudt voor de personen (bv. gevoelige gegevens zijn uitgelekt, of gegevens die misbruikt kunnen worden voor identiteitsfraude), dan moet u ook de betrokken individuen zelf onverwijld informeren (artikel 34 AVG). U legt dan uit wat er gebeurd is in begrijpelijke taal en wat ze kunnen doen ter bescherming (bv. wachtwoord wijzigen, alert zijn op phishing). U hoeft niet te informeren als u achteraf maatregelen nam die het hoge risico wegnemen (bijv. gestolen laptop met zware encryptie – de data is onleesbaar, dus geen hoog risico), of als informeren onevenredige inspanning kost (dan mag een publieke bekendmaking volstaan).

Meldcultuur: In België is de meldplicht rechtstreeks vanuit de AVG van toepassing; de GBA is aangewezen als de autoriteit waar meldingen naartoe gaan. Bedrijven moeten intern een procedure hebben om datalekken te herkennen, escaleren en binnen de 72 uur (3 dagen) te rapporteren. Let op: 72 uur is kort – het omvat ook weekends en feestdagen. Daarom is het belangrijk dat personeel getraind is om mogelijke incidenten onmiddellijk aan de bevoegde persoon (bijv. DPO of IT/security team) te melden. Beter een voorval te veel escaleren dan een kritieke hack te laat opmerken.

Gevolgen bij inbreuken: Als een datalek ontstaat doordat beveiligingsmaatregelen ontbraken of faalden, kan de GBA naderhand ingrijpen. Bijvoorbeeld, in een zaak kreeg een telecomprovider een boete van €25.000 omdat door een gebrek aan identity checks een klantnummer door een derde kon worden overgenomen, wat leidde tot onbevoegde toegang tot iemands communicatie​. De GBA stelde dat dit een schending was van de integriteit en vertrouwelijkheid en dat de provider ook steken liet vallen in zijn verantwoordelijkheden rond datalekken​. In dat geval had het bedrijf nagelaten voldoende beveiliging (identiteitsverificatie) in te bouwen én kwam het lek (het misbruik van het nummer) aan het licht op een manier die wees op gebrekkige interne controles. Zulke incidenten zijn precies wat de meldplicht beoogt te adresseren.

Praktische tips voor beveiliging en datalekken:

  • Investeer in een degelijke IT-beveiligingsinfrastructuur (firewall, encryptie, updates, toegangsbeheer) passend bij uw risico’s.
  • Train uw medewerkers in privacy en security basics: geen wachtwoorden delen, phishing herkennen, clean desk, etc. Menselijke fouten zijn een grote oorzaak van lekken.
  • Stel een incident response plan op: wie doet wat bij een (vermoed datalek)? Zorg dat iedereen weet wie te contacteren (bijv. de DPO of IT-verantwoordelijke).
  • Documenteer elk beveiligingsincident, ook al is het klein en niet meldplichtig. De AVG vereist dat u alle inbreuken vastlegt (zodat de GBA dat kan controleren achteraf).
  • Als er een potentieel meldplichtig lek is: wees transparant intern, win zo snel mogelijk feiten in en beslis binnen 72 uur over melding. Meld desnoods voorlopig met info die u heeft, u kunt later details bijwerken.
  • Leer van incidenten: evalueer na elk lek hoe herhaling te voorkomen (patch processen, extra training, strengere instellingen).
  • Realiseer dat niet melden als je wel had moeten melden, op zichzelf een overtreding is. De drempel voor melden is daarom bewust laag gehouden (“alleen niet melden als onwaarschijnlijk risico”).

Door proactief met beveiliging en lekken om te gaan, beschermt u niet alleen de betrokkenen maar ook uw organisatie tegen reputatieschade en handhaving. De GBA heeft begrip als er ondanks voorzorgen iets misgaat – niemand is 100% immuun voor hackers of menselijke fouten – maar zal minder mild zijn als blijkt dat men nalatig was of een incident in de doofpot wilde stoppen.

Data Protection Officer (DPO) – Functionaris voor Gegevensbescherming

De Data Protection Officer (DPO), in het Nederlands ook wel Functionaris voor Gegevensbescherming (FG) genoemd, is een aanduiding in de AVG voor een privacy-adviseur/toezichthouder binnen de organisatie. Niet elke organisatie is verplicht een DPO te hebben, maar velen kiezen er vrijwillig voor omdat het loont om iemand met kennis het privacybeleid te laten bewaken.

Verplichting tot aanstelling: Artikel 37 AVG schrijft voor dat bepaalde organisaties verplicht een DPO moeten aanstellen:

  • Alle overheidsinstanties en -organen (op enkele uitzonderingen na, zoals rechtbanken in hun rechterlijke functie) moeten een DPO hebben. Dit betekent dat alle ministeries, gemeenten, overheidsdiensten, maar ook onderwijsinstellingen en overheidsbedrijven typisch een DPO aan boord moeten hebben.
  • Daarnaast moeten ook niet-overheidsorganisaties een DPO aanstellen als hun kernactiviteiten bestaan uit (a) grootschalige, regelmatige en stelselmatige observatie van betrokkenen (bv. een bedrijf dat mensen op grote schaal online volgt, een marketingdata-broker, of misschien een beveiligingsfirma met talloze camera’s) óf (b) grootschalige verwerking van bijzondere categorieën van gegevens of strafrechtelijke gegevens. Dit laatste is bijvoorbeeld van toepassing op ziekenhuizen (veel medische gegevens), bepaalde laboratoria, grote verzekeraars (gezondheidsinfo), of wellicht een sociale media-bedrijf (grootschalige profilering). Ook een bedrijf dat op grote schaal locatiegegevens verwerkt zou hieronder kunnen vallen.
    In de praktijk hebben veel organisaties onduidelijkheid of ze een DPO “moeten”. Twijfelgevallen zijn bijvoorbeeld KMO’s die geen kerndatahandelaar zijn – die zijn meestal niet verplicht. Maar grote multinationals, techbedrijven, financiële instellingen enz. wel. België heeft dit criterium niet extra uitgebreid in nationale wet (sommige landen, zoals Duitsland, hebben een lagere drempel ingesteld, bv. vanaf 20 medewerkers die regelmatig data verwerken is al DPO-plicht – België heeft dat niet, we volgen puur de AVG-criteria).

Vrijwillige DPO: Ook als u niet verplicht bent, mág u natuurlijk altijd een DPO aanstellen. Dit toont goede wil en zorgt dat er intern iemand is met focus op privacy. Let wel: als u er vrijwillig één aanstelt, moeten de AVG-bepalingen rond de DPO dan ook nageleefd worden (dus niet zomaar iemand DPO noemen zonder de waarborgen te geven).

Positie en rol van de DPO: De DPO is eigenlijk een interne (of externe) toezichthouder/consultant op privacyvlak. Belangrijke kenmerken:

  • Onafhankelijkheid: De DPO mag geen instructies krijgen over hoe hij/zij de taken uitvoert inzake gegevensbescherming, en mag niet worden benadeeld of ontslagen vanwege het uitvoeren van die taken (artikel 38(3) AVG). De DPO rapporteert meestal aan het hoogste management.
  • Geen belangenconflict: De DPO mag geen functie uitoefenen die leidt tot een belangenconflict. Concreet betekent dit dat de DPO niet zelf de doeleinden en middelen van verwerkingen mag bepalen binnen de organisatie. Dus rollen als CEO, IT-manager, HR-manager, of marketingdirecteur combineren met DPO is conflictueus: die posities bepalen immers de gegevensverwerkingen. De GBA heeft dit nadrukkelijk bevestigd. In een zaak kreeg telecomoperator Proximus een boete van €50.000 omdat hun DPO tegelijk directeur was van de afdelingen Audit, Risk & Compliance – zo iemand bepaalt (mede) de middelen/doelen van verwerkingen en kan zichzelf niet onafhankelijk controleren​. De GBA stelde dat een leidinggevende functie binnen een departement onverenigbaar is met het DPO-schap​. Zorg dus dat de DPO een rol heeft die voldoende onafhankelijk is in de structuur.
  • Deskundigheid: De DPO moet over de nodige professionele kwaliteiten beschikken, vooral op het gebied van wetgeving en praktijk inzake gegevensbescherming. Er is geen formeel diploma vereist, maar ervaring of opleiding in privacyrecht en informatiebeveiliging is aan te raden.
  • Taken: Artikel 39 AVG somt de taken op. De DPO informeert en adviseert de organisatie en de medewerkers over hun verplichtingen onder de AVG en andere privacywetten. Hij toeziet op de naleving ervan (audit, monitoren van processen, etc.). Hij adviseert over gegevensbeschermingseffectbeoordelingen (DPIA’s) en houdt toezicht op de uitvoering daarvan. Verder fungeert de DPO als aanspreekpunt voor de toezichthouder (GBA) en voor betrokkenen (individuen kunnen de DPO contacteren met vragen of klachten). De DPO moet ook vertrouwelijkheid kunnen bewaren over zijn werkzaamheden.

Externe of interne DPO: Een DPO hoeft geen werknemer te zijn; het mag ook een externe consultant of firma zijn die deze rol vervult via een dienstverleningscontract. Zeker bij KMO’s die geen fulltime DPO nodig hebben, wordt vaak een externe specialist benoemd. Het voordeel is expertise en parttime inzet; nadeel kan zijn dat de externe DPO minder voeling heeft met interne processen tenzij die goed geïntegreerd wordt.

Meldingsplicht: In België moet u de aanstelling van een DPO melden aan de GBA (via hun website kan men de DPO-gegevens registreren). Dit is zowel zodat de GBA weet dat er een aanspreekpunt is, alsook een wettelijke vereiste uit de nationale uitvoeringswet.

Betrokkenheid in de organisatie: De DPO moet “tijdig en behoorlijk” betrokken worden bij alle aangelegenheden die met persoonsgegevens te maken hebben (artikel 38(1) AVG). Dat betekent bijvoorbeeld dat bij nieuwe projecten, IT-systemen of beleidswijzigingen die impact op privacy hebben, de DPO geconsulteerd moet worden. Ook bij een datalek moet de DPO onmiddellijk betrokken zijn in de beoordeling en melding. In het verleden is het misgegaan als de DPO te laat of onvoldoende werd betrokken. In de Proximus-case signaleerde de GBA ook dat de DPO niet werd betrokken bij besprekingen over een concreet gegevenslek – men had een incident afgehandeld zonder de DPO erin te kennen​, wat aantoonde dat de DPO niet serieus in het proces zat.

Praktisch voor bedrijven die een DPO hebben/aanstellen: Zorg dat de DPO een duidelijke positionering heeft (charter of functieomschrijving), rechtstreeks toegang heeft tot het management, en vooral dat er een cultuur is waarin men de DPO tijdig betrekt. De DPO moet toegang hebben tot alle benodigde informatie en systemen om zijn taak te doen. Geef de DPO ook genoeg middelen (tijd, budget voor opleiding, ondersteuning). En communiceer aan uw personeel wie de DPO is en dat ze bij privacyvragen of vermoedelijke incidenten bij hem/haar terecht kunnen. Extern kunt u de DPO vermelden in uw privacyverklaring als contactpunt.

Voor organisaties zonder DPO: Overweeg of een vrijwillige DPO nuttig is, of op zijn minst wijs intern iemand aan als privacy-verantwoordelijke. Ook als u formeel niet een DPO hoeft, moet u immers nog steeds alle regels naleven – iemand moet dus het voortouw nemen. Een DPO (al dan niet verplicht) is vaak een goede investering om boetes en imagoschade te voorkomen door proactieve compliance.

Verantwoordingsplicht en register van verwerkingsactiviteiten

De AVG introduceert het principe van “accountability” of verantwoordingsplicht (artikel 5(2) AVG): organisaties moeten niet alleen de regels naleven, maar ook kunnen aantonen dat ze deze naleven. Dit heeft geleid tot een aantal documentatie- en organisatorische verplichtingen die essentieel zijn voor compliance.

Verwerkingsregister: Een centraal instrument hiervoor is het register van verwerkingsactiviteiten (artikel 30 AVG). Elke verwerkingsverantwoordelijke (en verwerker) moet zo’n register bijhouden, met daarin per gegevensverwerking een beschrijving van wat er gebeurt. Voor de verwerkingsverantwoordelijke omvat het register onder meer: de naam en contactgegevens van de organisatie (en DPO indien van toepassing); de doeleinden van elke verwerking; de categorieën van betrokkenen en persoonsgegevens; de categorieën van ontvangers aan wie data verstrekt wordt; of gegevens naar derde landen worden doorgegeven (en welke waarborg er is); de beoogde bewaartermijnen per categorie gegevens; en een globale beschrijving van de getroffen beveiligingsmaatregelen. Voor verwerkers is de lijst wat beperkter (hun opdrachtgevers en de categorieën verwerkingen die zij voor hen doen). Uitzondering: organisaties met minder dan 250 medewerkers hoeven niet per se een register bij te houden, tenzij de verwerking niet incidenteel is, gevoelige gegevens bevat of risico inhoudt voor rechten van betrokkenen. In de praktijk valt bijna elke organisatie wel onder een van die uitzonderingen (want vrijwel niemand verwerkt nu écht “incidenteel” – klant- en personeeldata zijn al doorgaand). Het is sterk aangeraden dat ook KMO’s een register hebben, desnoods beknopt.

Het register is intern bedoeld, maar de toezichthouder kan erom vragen bij een controle. Het is eigenlijk de ruggengraat van uw privacy-administratie: het geeft overzicht en dwingt na te denken over alle verwerkingen. Bovendien helpt het bij het voldoen aan andere verplichtingen (rechtsgronden bijhouden, bewaartermijnen vastleggen, etc.). De GBA heeft organisaties op de vingers getikt die geen register bleken te hebben. Zo werd bij een onderzoek naar cameragebruik geconstateerd dat de verantwoordelijke geen register van verwerkingen had, wat zowel onder de AVG als onder de specifieke Camerawet verplicht is – dit werd aangemerkt als een inbreuk​. Een berisping volgde, hetgeen duidelijk maakt dat het register een must is.

Documentatie van beoordelingen en procedures: Naast het register verlangt de verantwoordingsplicht dat u allerlei keuzes en analyses documenteert. Enkele belangrijke:

  • Data Protection Impact Assessment (DPIA): Voor verwerkingen met waarschijnlijk hoog risico (bv. inzet van nieuwe technologie voor grootschalige monitoring, verwerking van gevoelige data op grote schaal, profilering met grote impact) moet u vooraf een gegevensbeschermingseffectbeoordeling uitvoeren (artikel 35 AVG). In België heeft de GBA lijsten opgesteld met situaties die zeker een DPIA vereisen (zoals grootschalige verwerking van locatiegegevens, gebruik van biometrie voor identificatie, enz.). De DPIA-documentatie beschrijft de beoogde verwerking, beoordeelt de noodzaak en proportionaliteit, analyseert risico’s voor betrokkenen en formuleert maatregelen om die risico’s te mitigeren. Als uit een DPIA blijkt dat er ondanks maatregelen een hoog risico blijft, moet u de GBA consulteren vóór u begint. DPIA’s moeten schriftelijk zijn (en kunnen op verzoek aan de GBA getoond worden).
  • Beleid en procedures: U doet er goed aan om interne privacy- en beveiligingspolicies op papier te hebben. Bijvoorbeeld een informatiebeveiligingsbeleid, een datalekprocedure, richtlijnen voor bewaartermijnen, protocol voor omgang met rechten van betrokkenen, etc. Dit toont aan dat u systematisch met privacy omgaat.
  • Trainingen en bewustmaking: Houd bij wanneer personeel privacytraining krijgt, welke instructies zijn verspreid. Dit kan helpen te bewijzen dat u “in control” bent.
  • Bewijs van grondslagen en toestemmingen: Documenteer de juridische basis van elke verwerking (bv. in het register). Als u werkt met toestemming, bewaar dan de registratie van gegeven toestemmingen (bijv. logs van aanmeldformulieren).
  • Contracten en overeenkomsten: Zoals eerder vermeld, zorg dat verwerkersovereenkomsten aanwezig zijn en archiveer ze. Voor gezamenlijke verwerkingsverantwoordelijkheid, leg de afspraken vast. Deze documenten tonen ook accountability.
  • Meldingen en communicatie: Noteer wanneer u de verplichte informatie hebt verstrekt aan betrokkenen (bijv. copy van privacyverklaring versies). Houd bij wanneer datalekken zijn gemeld (in een incident register).

Eigenlijk geldt: als u iets doet op privacyvlak, schrijf het op. Dit klinkt bureaucratisch, maar in audits is het van onschatbare waarde.

Verantwoording naar de GBA en proactieve controles: De GBA kan altijd vragen om bewijs van compliance. Ze kan bij een onderzoek uw register opvragen, bewijs van uitgevoerde DPIA’s, securitybeleid, etc. Onlangs (2022) heeft de GBA aangekondigd actiever te zullen controleren of organisaties een verwerkingsregister hebben, juist omdat dit zo’n basisvereiste is. Zorg dus dat dit op orde is voordat de vraag komt.

Nationale nuances: Naast de AVG-verplichtingen heeft België een paar specifieke registerplichten in wetten. Bijvoorbeeld de eerder genoemde Camerawet eist een register/logboek voor camerabeveiliging; de telecomwetgeving heeft verplichtingen voor telco’s rond dataverkeer, etc. Maar als u het AVG-register netjes bijhoudt, dekt dat vaak al grotendeels deze aspecten (hoewel soms extra informatie vereist is, zoals locaties van camera’s in het cameraregister).

Kort samengevat praktisch: Stel een verwerkingsregister op – lijst al je verwerkingen, vul de verplichte kolommen in. Dit hoeft geen roman te zijn; een tabel of spreadsheet volstaat vaak zolang de informatie compleet is. Update dit register wanneer je nieuwe verwerkingen start of bestaande verandert. Daarnaast: hou intern een privacy-dossier bij met alle relevante documenten (beleid, overeenkomsten, DPIA’s, meldingen). Zie het als uw “bewijsmap” voor privacy. Dit helpt niet alleen voor de toezichthouder, maar ook intern om overzicht te bewaren en naleving te managen. Veel bedrijven integreren dit in een compliance-tool of gewoon in gedeelde mappen waar legal/IT/HR bij kunnen. Vergeet niet het register en aanverwante documenten ook te gebruiken, niet enkel te hebben: bijvoorbeeld, raadpleeg het register als iemand inzage vraagt (staat die persoon in ons register, welke data hebben we?), gebruik het bij DPIA’s, etc. Zo wordt het een levend instrument in plaats van een papieren tijger.

Publieke handhaving: de rol van de GBA, sancties en Belgische beslissingen

De Gegevensbeschermingsautoriteit (GBA) is in België verantwoordelijk voor het toezicht op de toepassing van de AVG en de aanvullende nationale bepalingen. De GBA (voorheen de “Privacycommissie”) is een onafhankelijk orgaan met onderzoeks- en sanctioneringsbevoegdheden. Voor organisaties is het belangrijk te weten hoe de GBA te werk gaat en welke consequenties er kunnen zijn bij overtredingen.

Organisatie van de GBA in een notendop: De GBA bestaat uit o.a. de Eerstelijnsdienst (voor vragen/klachtenadvies), de Inspectiedienst (die onderzoeken uitvoert, vergelijkbaar met een onderzoekscel) en de Geschillenkamer (die als quasi-rechtbank optreedt en beslissingen neemt, inclusief sancties). Er is ook een kenniscentrum dat aanbevelingen en adviezen geeft (bijv. over nieuwe wetten). Een klacht van een burger kan leiden tot een bemiddeling of advies, of tot een formeel onderzoek. De GBA kan ook uit eigen beweging onderzoeken starten (bijvoorbeeld thematische controles).

Bevoegdheden: De GBA heeft verreikende bevoegdheden die grotendeels uniform zijn door de AVG (artikel 58 AVG): ze kan waarschuwingen geven, verwerkingen opschorten of verbieden, bevelen geven om praktijken aan te passen binnen een bepaalde termijn, en administratieve boetes opleggen. Boetes kunnen hoog oplopen (maxima van €10 miljoen/2% omzet of €20 miljoen/4% omzet afhankelijk van de inbreukcategorie, zoals bepaald in artikel 83 AVG). In de praktijk kijkt de GBA – net als andere toezichthouders – naar proportionaliteit en hanteert zij een escalatiemodel: kleine eerste overtredingen kunnen met een waarschuwing of berisping afgedaan worden, terwijl ernstige of volhardende inbreuken boetes krijgen. De GBA heeft ook de bevoegdheid dwangsommen op te leggen (bijvoorbeeld: “pas binnen 1 maand je praktijk aan, anders x euro per dag vertraging”).

Sanctiebeleid en Belgische cases: Sinds de AVG van kracht werd, heeft de GBA al een reeks beslissingen genomen die richtinggevend zijn. Enkele opvallende Belgische handhavingsvoorbeelden:

  • Boete voor onrechtmatige direct marketing (“roze dozen” case): Een van de eerste grote boetes was €50.000 voor Family Service, dat gegevens van (toekomstige) moeders verzamelde via “roze dozen” en die data doorverkocht aan adverteerders zonder geldige toestemming. De GBA zag schendingen van transparantie, rechtsgrond (toestemming ontbrak of was ongeldig), onvoldoende maatregelen en geen verwerkersovereenkomsten. Naast de boete kreeg het bedrijf ook het bevel de verwerkingen binnen 6 maanden in lijn met de AVG te brengen​. Deze zaak benadrukte dat handel in persoonsgegevens zonder duidelijke basis hard wordt aangepakt.
  • Boete voor DPO-belangenconflict (Proximus case): Zoals eerder genoemd, legde de GBA €50.000 boete op aan Proximus omdat hun interne DPO ook andere functies bekleedde die een belangenconflict vormden​. Bovendien werd de DPO niet goed betrokken bij incidenten​. De GBA gaf hiermee een duidelijk signaal dat de rol van DPO serieus moet worden ingevuld en dat onafhankelijke positie geen loze eis is. Proximus moest ook binnen 3 maanden de situatie rechtzetten​.
  • Boete voor gebrekkige beveiliging (telecomnummer case): Een telecomprovider kreeg €25.000 boete omdat een klant zijn telefoonnummer was overgenomen door een derde door gebrek aan identiteitscontrole bij de provider. Dit werd gezien als schending van het integriteits- en vertrouwelijkheidsbeginsel en van de verplichting passende technische en organisatorische maatregelen te nemen​. Tevens werd aangerekend dat dit incident wees op falen in de omgang met gegevenslekken. De provider moest zijn procedures (vooral rond klantidentificatie) herzien​
  • Berisping voor schending doelbinding (BCC-e-mail case): In de zaak van een school die ouders in CC mailde in plaats van BCC, oordeelde de GBA dat dit een onrechtmatige verwerking was, in strijd met doelbinding en dataminimalisatie​. De school kreeg een berisping en een bevel om dit aan te passen​. Hoewel hier geen geldboete volgde, toont het dat zelfs vrij alledaagse fouten kunnen leiden tot een officiële sanctie (zij het mild in dit geval).
  • Recht van bezwaar en cookies (Telenet case): Telenet werd niet beboet maar wel gewaarschuwd/berispt voor tekortkomingen: het recht van bezwaar tegen direct marketing was te omslachtig ingericht en de oorspronkelijke cookie-toestemming was niet geldig verkregen​. Omdat Telenet meewerkte en verbeterde, bleef het bij een berisping (en het werd gezien als een inbreuk op transparantie)​. Deze zaak toont het graduele optreden: de GBA geeft gelegenheid om te verbeteren als de organisatie bereidwillig is.
  • Overheid/politiek: Ook politici en overheden zijn al in beeld geweest. Zo kreeg een lijsttrekker een boete (€5.000) omdat hij voor verkiezingspropaganda gebruikmaakte van adressen uit een intern gemeentebestand (personeelslijst) i.p.v. de officiële kiezerslijst – dit was onverenigbaar met het doel waarvoor die personeelsgegevens verzameld waren (namelijk personeelsadministratie) en er was geen geldige grondslag voor die verwerking​. Dit betrof misbruik van overheidsinformatie voor privaat (politiek) gewin en werd afgestraft.
  • Kleine organisaties en particulieren: Zelfs particulieren of kleine verenigingen kunnen onder GBA-toezicht vallen als ze systematisch inbreuken plegen. Er is bijvoorbeeld een geval waar een koppel €1.500 boete kreeg wegens het plaatsen van camera’s die ook de openbare weg filmden en het delen van die beelden met derden – daarmee overtraden ze de camerawet en AVG (geen gerechtvaardigd belang om de openbare weg continu te filmen, schending privacy voorbijgangers). Dit illustreert dat de GBA ook optreedt in burenruziesfeer waar privacy in het geding is.

Procedure en rechten: Bij een onderzoek krijgt de betrokken organisatie meestal eerst vragen of een inspectie. U heeft recht op verdediging: u kunt uw standpunt en verantwoording indienen. De uiteindelijke beslissing van de Geschillenkamer wordt u bezorgd en kan gepubliceerd worden (anoniem of soms met naam als dat in publiek belang is). Er is beroepsmogelijkheid tegen GBA-beslissingen bij het Marktenhof (het Hof van Beroep te Brussel). In de Smartschool-enquête zaak bijvoorbeeld, is de boete deels herzien na beroep (van €2.000 naar €1.000)​, al bleef de vaststelling van inbreuken overeind (en de verplichting tot compliance).

Sanctiebeleid: De GBA houdt bij boetebepaling rekening met factoren als de ernst van de inbreuk, aantal betrokkenen, mate van opzet of nalatigheid, eerdere inbreuken, genomen maatregelen, mate van medewerking, etc. In België zien we tot op heden boetes die relatief gematigd zijn vergeleken met sommige andere landen (waar soms tientallen miljoenen worden opgelegd). Dat betekent niet dat men laks is – maar de GBA kiest soms voor berispingen of matige boetes om gedrag te corrigeren, zeker bij kleinere actoren of eerste overtredingen. Bij recidive of zware schending (bv. bewuste datahandel in strijd met de wet) zal een harde lijn volgen.

Richtsnoeren en aanbevelingen: Naast het bestraffende luik geeft de GBA ook richtsnoeren uit (bijv. aanbevelingen over direct marketing, cookies, gebruik van camera’s, enz.) en adviseert ze wetgevers over nieuwe regelgeving. Deze publicaties zijn nuttig om te volgen, want ze geven aan hoe de GBA tegen bepaalde onderwerpen aankijkt. Zo is er een beroemde aanbeveling over het gebruik van camera’s door politiediensten, of richtsnoeren over cookies die samen met de overige EU-autoriteiten (in de EDPB) zijn ontwikkeld.

Conclusie voor organisaties: Zorg dat u ervoor werkt, niet tegen de GBA. Dit betekent: wees compliant en transparant, dan heeft u van de toezichthouder weinig te vrezen. Mocht de GBA toch aankloppen (bv. naar aanleiding van een klacht van een klant), reageer dan tijdig en volledig. Toon dat u bereid bent te corrigeren wat mis is. Vaak zal de GBA dan mild zijn in de afhandeling. Negeer je echter verzoeken of overtreed je willens en wetens de regels, dan kunnen de sancties zeer gevoelig zijn – financieel én qua reputatie (beslissingen worden dikwijls gepubliceerd, wat media-aandacht kan genereren).

Enkele laatste tips:

  • Volg de GBA-website en nieuws: zo blijft u op de hoogte van nieuwe beslissingen en kunt u leren van fouten van anderen. De GBA publiceert samenvattingen van uitspraken​en persberichten.
  • Documenteer uw inspanningen. Mocht u ooit in een procedure belanden, is het belangrijk te kunnen tonen dat u privacy serieus neemt, zelfs al is er ergens iets misgegaan.
  • Raadpleeg bij twijfel uw DPO of juridisch adviseur. Soms is preventief advies goedkoper dan achteraf een boete. De GBA zelf is ook benaderbaar voor informele vragen via de eerstelijnsdienst.

Gegevensbeschermingsrecht in België is dus een combinatie van strikt juridische vereisten en praktische maatregelen. De AVG vormt het kader, aangevuld met lokale accenten en gehandhaafd door de GBA. Door de principes zoals doelbinding en dataminimalisatie te respecteren, een passende rechtsgrond voor elke verwerking te hebben, de rechten van betrokkenen vlot te faciliteren, goede afspraken te maken met partners, internationale regels te volgen bij export van data, sterke beveiliging te implementeren, een alerte houding te hebben rond datalekken, en interne accountability (met eventueel een DPO) te organiseren, kunnen bedrijven en organisaties compliant blijven. Dit is niet alleen een wettelijke plicht, maar ook een investering in het vertrouwen van klanten, werknemers en het publiek. Privacy is anno 2025 een waarde die geen enkel bedrijf kan negeren – in België zijn de contouren duidelijk, en met de kennis van regelgeving én de lessen uit GBA-cases kunnen organisaties zich adequaat wapenen. Compliance is een continu proces, maar met de juiste ingesteldheid is het beheersbaar en voorkomt het problemen. Zoals de GBA graag benadrukt: gegevensbescherming is niet bedoeld om ondernemingen te dwarsbomen, maar om veilig en eerlijk gebruik van informatie te bevorderen – iets waar uiteindelijk iedereen bij wint.

Contact

Vragen? Advies nodig?
Neem contact op met Advocaat Joris Deene.

Telefoon: 09/280.20.68
E-mail: joris.deene@everest-law.be

Topics