Tag archieven: Algemene Verordening Gegevensbescherming (AVG)

Mailbox ex-werknemer

Geplaatst op door

Met de digitalisering en de mogelijkheden van thuiswerk beschikken werknemers meer en meer over computerapparatuur, zoals laptops, tablets en smartphones.

In sommige organisaties gebruiken werknemers zelfs hun eigen apparatuur (BYOD), zoals hun persoonlijke smartphone, laptop, ….

In de meeste gevallen echter, wordt er gewerkt met de apparatuur die de werkgever de werknemer ter beschikking stelt, zoals een laptop en een smartphone.

Vroeger was het ter beschikking stellen van bijvoorbeeld een laptop en een smartphone aan werknemers voorbehouden tot personeel in de buitendienst, zoals verkopers, consultants, etc.

Lees verder

Persoonsgegevens verwerken ter uitvoering van een overeenkomst

Geplaatst op door

De GDPR laat toe om persoonsgegevens te verwerken wanneer de deze verwerking noodzakelijk ter uitvoering van een overeenkomst, of wanneer de betrokkene erom verzoekt vòòr de afsluiting van een overeenkomst.

Deze bepaling bevat reeds 2 elementen, namelijk:

  • de verwerking moet noodzakelijk zijn voor de uitvoering van de overeenkomst;
  • wanneer er nog geen overeenkomst is, op verzoek van de betrokkene met het oog op de totstandkoming van een overeenkomst.
Lees verder

Zijn persoonsgegevens handelsgoederen?

Geplaatst op door

In een vorige blogpost, Data als intellectuele eigendom en privacy, werd reeds kort aangehaald dat data meer en meer een ruilmiddel is geworden in de zogenaamde gratis economie.

Hierbij kunnen we denken aan hetgeen gebeurt in het social media landschap, waar online diensten “gratis” ter beschikking worden gesteld aan de gebruiker; maar weliswaar staan deze gebruikers in ruil bepaalde gegevens af aan de aanbieder van deze diensten.

Tot deze gegevens behoren o.a. locatiegegevens, webpage clicks, etc.

Maar soms betreft het ook directe persoonsgegevens, zoals bepaalde voorkeuren, contactgegevens zoals e-mailadressen, mobiele telefoonnummers, etc.

In deze blogpost zal kort worden ingegaan of persoonsgegevens al dan niet kunnen worden vermarkt als handelswaar.

Lees verder

Verwerkingen op grond van een wettelijke verplichting

Geplaatst op door

De GDPR biedt verwerkingsverantwoordelijken meerdere redenen om de rechtmatigheid van hun verwerkingen of voorgenomen verwerkingen van persoonsgegevens op te baseren.

Een van deze redenen is de noodzaak om te voldoen aan een wettelijke verplichting.

Sommige verwerkingsverantwoordelijken zullen daarop een beroep doen wanneer ze geen andere grondslag voor hun verwerkingen weten te vinden.

Maar wat bedoelt de GDPR eigenlijk met het begrip “noodzakelijk om te voldoen aan een wettelijke verplichting”, en kan om het even welke wettelijke regel daarvoor in aanmerking worden genomen?

Lees verder

De vitale belangen van de betrokkene

Geplaatst op door

De GDPR definieert de rechtsgronden die de verwerking van persoonsgegevens toelaten, een daarvan heeft te maken met de bescherming van de vitale belangen van de betrokkene of van een andere natuurlijke persoon (art. 6,1d).

Wanneer kan deze regel gebruikt worden om een verwerking of voorgenomen verwerking van persoonsgegevens in onder te brengen?

Wat zijn eigenlijk vitale belangen, en welke voorwaarden dienen er te worden vervuld om te kunnen spreken over vitale belangen?

Lees verder

Data als intellectuele eigendom en privacy

Geplaatst op door

In een digitale economie is het bezit van data een waardevol goed, dat in sommige sectoren reeds als ruilmiddel wordt gebruikt voor het bekomen en het gebruik van immateriële activa, doorgaans software applicaties, en diensten.

Hiervoor hebben organisaties reeds zwaar in geïnvesteerd; niet enkel voor de aankoop en ontwikkeling van systemen, maar ook in de nodige research daarvoor.

Immers, op basis van data kan men inzichten hebben in een bepaald onderwerp om gevolgen te voorspellen, beslissingen te nemen met een relatief gering risico, de klantenervaring verbeteren, etc.

Momenteel wordt er gedacht aan het beschermen van data als intellectuele eigendom.

Een dergelijke wetgeving blijkt bijvoorbeeld reeds te bestaan in Azië, of in ieder geval men is er reeds mee bezig.

Het doel is om de bescherming en het te gelde maken van data mogelijk te maken.

Lees verder

Persoonsgegevens bij fusies en overnames

Geplaatst op door

Bij een fusie of een overname kunnen persoonsgegevens betrokken zijn.

Bijvoorbeeld een (buitenlandse) organisatie koopt een vermogensbestanddeel van een in de Unie gevestigde organisatie.

Quid met bijvoorbeeld de aanwezige persoonsgegevens, bijvoorbeeld de klantenlijsten met hun vertegenwoordigers, die de aankopende organisatie verwerft bij de aankoop?

In een dergelijk geval zal men een onderscheid moeten maken tussen wat er precies werd aangekocht, of de overnemer al dan niet gevestigd is in de Unie en of de overnemer zelf deze persoonsgegevens gaat verwerken, en dus verwerkingsverantwoordelijke wordt.

Lees verder

DPIA en DTIA

Geplaatst op door

De GDPR legt verwerkingsverantwoordelijken in bepaalde gevallen de verplichting op een Data Protection Impact Assessment (DPIA), of in het Nederlands een Gegevensbeschermingseffectbeoordeling uit te voeren.

Die verplichting geldt wanneer de verwerking betrekking heeft op:

  • een geautomatiseerde verwerking die dienen om beslissingen te nemen met rechtsgevolgen voor de betrokkene;
  • grootschalige verwerking van gevoelige persoonsgegevens, zoals bijvoorbeeld medische gegevens;
  • een systematische en grootschalige monitoring van mensen in publieke ruimten, zoals bijvoorbeeld supermarkten.

Maar de GDPR legt dit ook op wanneer de (voorgenomen) verwerking van persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de betrokkenen.

Dit is o.a. het geval wanneer er sprake is van nieuwe technologieën.

DPIA

Zoals reeds aangegeven moet een verwerkingsverantwoordelijke in bepaalde gevallen een DPIA opmaken, maar dit is evenwel niet altijd het geval.

In sommige gevallen kan de GBA voor bepaalde activiteiten de verplichting uitsluiten om een DPIA op te maken.

Net zoals de lijst waarbij het opmaken van een DPIA niet verplicht is, moet de lijst van activiteiten waarbij het opmaken van een DPIA wel verplicht is door de GBA openbaar zijn gemaakt.

Inhoud van een DPIA

De DPIA is een document dat tot doel heeft risico’s en mogelijke risico’s van de voorgenomen verwerkingen en verwerkingen van persoonsgegevens in kaart te brengen.

Er bestaat geen officieel model of lijst van wat er in een DPIA moet worden opgenomen. De GDPR somt wel een minimum aantal zaken op.

Zo bevat een DPIA minimaal:

  • een systematische beschrijving van de (voorgenomen) verwerkingen;
  • de verwerkingsdoeleinden;
  • indien van toepassing de gerechtvaardigde belangen van de verwerkingsverantwoordelijke;
  • of de voorgenomen verwerkingen noodzakelijk en evenredig zijn voor het beoogde doel;
  • de risico’s van deze (voorgenomen) verwerkingen voor de data subjecten;
  • de voorgenomen maatregelen om deze risico’s te remediëren.

Los van het feit dat in sommige gevallen het opmaken van een DPIA verplicht is, kan dit document ook dienst doen als management document van de (voorgenomen) verwerking; door er bekomende elementen aan toe te voegen.

Hierbij kunnen we o.a. denken aan BPMN-, UML-, ERD-documentatie.

DTIA

Hoewel niet expliciet gedefinieerd in de GDPR is een Data Transfer Impact Assessment (DTIA) een soort DPIA, maar dan voor de doorgiften van persoonsgegevens naar derde landen.

Bij het opmaken van een DTIA zal zorgvuldig moeten worden nagegaan welke garanties er aan de data subjecten wordt geboden en of het derde land naar waar de persoonsgegevens worden doorgegeven vergelijkbare garanties biedt als degene die voorzien zijn in de GDPR.

Bij de beoordeling of een derde land vergelijkbare garanties biedt kan men een onderscheid maken tussen die gevallen waarbij wel en degene waarbij geen toestemming is vereist van de GBA.

Deze materie heeft vele nuances. Hierna wordt slechts zeer summier en in algemene termen de situaties genoemd waarbij wel of geen toestemming vereist is voor een doorgifte aan derde landen, gebieden of sectoren.

Geen toestemming nodig

Doorgiften mogen zonder toestemming naar die derde landen, gebieden of een of meerdere sectoren van een derde land plaatsvinden wanneer een adequaatheidsbesluit voorhanden is, dat niet door de Commissie werd ingetrokken.

Deze lijst is publiek beschikbaar, en wordt op geregelde tijdstippen bijgewerkt.

Ook wanneer er passende waarborgen worden geboden, die voldoen aan bepaalde eisen van de GDPR zoals bijvoorbeeld standaardbepalingen inzake gegevensbescherming die door de Commissie zijn vastgesteld, is er doorgaans geen toestemming nodig voor de doorgifte van persoonsgegevens.

Wel toestemming nodig

Wanneer de doorgifte gebaseerd wordt op bindende bedrijfsvoorschriften, dan moeten deze eerst zijn goedgekeurd door de bevoegde toezichthoudende autoriteit.

Ook kunnen doorgiften van persoonsgegevens naar derde landen o.a. plaatsvinden indien de betrokkene zelf heeft toegestemd, mits hij of zij volledig op de hoogte werd gesteld inzake de risico’s van deze beslissing wanneer er geen adequaatheidsbesluit of passende waarborgen beschikbaar zijn.

Verhouding met eerder afgesloten verdragen

Een apart geval zijn doorgiften op basis van reeds gesloten en nog in werking zijnde internationale verdragen.

Indien een dergelijk verdrag aanwezig is, dan is een doorgifte op basis van dat internationale verdrag nog steeds mogelijk.

Een voorbeeld hiervan zijn de doorgiften op basis van het FATCA-verdrag voor fiscale administraties en financiële instellingen.

Eindnoot

Organisaties hebben er alle belang bij hun verwerkingen grondig te documenteren. Het vormt de basis waarop eventuele verdere analyses inzake comformiteit van de verwerkingen met de GDPR zullen gebeuren.

Het niet beschikken over dergelijke documentatie zal een signaal kunnen geven dat men nooit heeft nagedacht over de verwerkingen van persoonsgegevens die men uitvoert.

Dit is nu niet bepaald de situatie waarop men als organisatie moet op zitten te wachten.

Bloep, 21 december 2025.

GDPR en toestemming

Geplaatst op door

De GDPR bepaalt dat het verwerken van persoonsgegevens rechtmatig moet zijn, en gebaseerd kan zijn op een toestemming van de betrokkene.

Een toestemming wordt door de GDPR gedefinieerd als een vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting, waarmee de betrokkene akkoord gaat met een bepaalde vewerking van zijn of haar persoonsgegevens.

Een geldige toestemming is weliswaar onderworpen aan enkele voorwaarden, waar het niet altijd duidelijk is wanneer daaraan voldaan wordt.

Het is aan de verwerkingsverantwoordelijke om aan te tonen dat de betrokkene zijn toestemming heeft gegeven voor bepaalde verwerkingen van zijn of haar persoonsgegevens.

Lees verder

Certificeringen voor gegevensbescherming en hun waarde

Geplaatst op door

De GDPR bepaalt dat verwerkingsverantwoordelijken en verwerkers zich vrijwillig kunnen laten certificeren door daartoe bevoegde certificeringsorganen, die over de nodige deskundigheid beschikken met betrekking tot gegevensbescherming.

Certificeringsorganen die kunnen certificeren in het kader van de GDPR moeten geaccrediteerd zijn door een daartoe gevoegde instantie, zoals een bevoegde toezichthoudende autoriteit of een nationale accreditatie-instantie conform het Europees recht.

Bekomen van een certificering

Om een certificering te krijgen dat de verwerkingsverantwoordelijke of verwerker toelaat aan te tonen dat hij verwerkingen uitvoert conform de GDPR, moet de verwerkingsverantwoordelijke of de verwerker een transparant proces doorlopen.

Lees verder