Tag archieven: GDPR

Juistheid van de gegevens, data integriteit en data normalisatie

Geplaatst op door

Een van de beginselen inzake de verwerking van persoonsgegevens is dat de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen moet nemen om de juistheid, de integriteit en de vertrouwelijkheid van de verwerkte persoonsgegevens te kunnen waarborgen.

Integriteit van de persoonsgegevens

Om de integriteit van de verwerkte persoonsgegevens te kunnen waarborgen moeten verwerkingsverantwoordelijken passende beveiligingsmaatregelen nemen tegen ongeoorloofde wijzigingen, verlies en vernietiging van gegevens.

Maar hieronder zult u merken dat dit niet altijd zo eenvoudig is.

Lees verder

Passende technische en organisatorische maatregelen

Geplaatst op door

Een van de verplichtingen die op verwerkingsverantwoordelijken rusten is het nemen van passende technische en organisatorische maatregelen om aan te kunnen tonen dat zij verwerkingen uitvoeren die in overeenstemming zijn met de GDPR.

Maar wat zijn nu precies passende technische en organisatorische maatregelen?

In deze korte blog zal summier worden ingegaan wat deze maatregelen kunnen zijn, en aan welke voorwaarden ze dienen te voldoen.

Passende technische en organisatorische maatregelen

Met passende maatregelen wordt bedoeld maatregelen die rekening houden met de huidige stand van de technologie in de markt, en die toelaten de verwerking(en) die men uitvoert of van plan is uit te voeren optimaal te beveiligen.

Lees verder

Privacy – de holistische benadering

Geplaatst op door

In de praktijk rond privacy komt men doorgaans 2 tendensen tegen.

Enerzijds zijn er de informatici, meestal met een achtergrond in security, zoals CISO gecertificeerde IT-mensen, en anderzijds zijn er de pure regelgeving georiënteerde beoefenaars, doorgaans juristen of advocaten die een certifiering als DPO hebben bekomen.

In de praktijk komt men echter weinig mensen tegen die privacy benaderen vanuit een holistisch perspectief.

M.a.w. mensen die niet enkel rekening houden met security noch met regelgeving, maar ook met organisatie, beleid, processen en cultuur.

Lees verder

Interne versus externe DPO (DPO as a service)

Geplaatst op door

Een van de bepalingen van de GDPR is dat een verwerkingsverantwoordelijke of een verwerker een DPO (Data Protection Officer / Functionaris voor Gegevensbescherming) moeten aanstellen wanneer:

  • de verwerking verrricht wordt door een overheidsinstantie of -orgaan;
  • er sprake is van regelmatige en stelselmatige observatie op grote schaal van personen; of
  • er sprake is van een grootschalige verwerking van bijzondere categorieën van gegevens.

Hierbij kan de verwerkingsverantwoordelijk of de verwerker kiezen tussen een personeelslid als DPO of een DPO in het kader van een dienstverleningsovereenkomst.

De GDPR definieert tevens de positie van de DPO.

Lees verder

Enkel GDPR?

Wanneer we praten over de bescherming van persoonsgegevens dan denkt men doorgaans aan de GDPR (AVG). Maar zijn dit de enige regels die van toepassing zijn?

De GDPR is niet de enige bron waar het verwerken van persoonsgegevens wordt gereglementeerd.

Zo regelt bijvoorbeeld de Telecom wet dat verkooppunten van telecomdiensten geen identificatiegegevens of kopieën van identiteitsdocumenten mag bewaren, of deze gegevens voor een ander doeleinde mag gebruiken dan de identificatie van de telecomabonnee.

Bronnen met regels ter bescherming van persoonsgegevens

Tot de verschillende bronnen waar men regels kan vinden over de bescherming van persoonsgegevens kan men o.a. rekenen:

  • specifieke wetten;
  • beslissingen van de geschillenkamer;
  • beslissingen van de rechtbanken en hoven.

Dit betekent dat naargelang het landschap waarin uw organisatie en activiteit opereert, de complexiteit van regels waaraan u wordt onderworpen complexer wordt.

U dient dan als bedrijfsleider of verwerkingsverantwoordelijke niet alleen rekening te houden met de GDPR, maar ook met deze andere regels. Uw risico om een inbreuk te plegen op de bescherming van de privé-sfeer van de personen wiens gegevens u verwerkt wordt bij niet naleving van deze specifieke regels vergroot.

Contacteer ons voor meer informatie via Contact Formulier

Bloep, 11 juni 2025.

Data protection officer (DPO)

“De DPO als onafhankelijke bewaker van uw privacy”

Wat is een DPO?

De DPO, functionaris voor gegevensbescherming, is de persoon die de verwerkingsverantwoordelijke of de verwerker zal bijstaan en zal waken dat zij de bepalingen van de Europese verordening inzake het beschermen van de private gegevens van de personen die de verwerkingverantwoordelijke of verwerker verwerkt naleven.

Zo zal hij of zij bijvoorbeeld bij iedere aangelegenheid waarbij persoonsgegevens worden verwerkt worden geconsulteerd en brengt hierover advies uit.

Hij of zij zorgt er tevens voor dat de verwerkingsverantwoordelijke of de verwerker worden geïnformeerd inzake hun verplichtingen met betrekking tot de regels inzake het beschermen van de private gegevens van de betrokkenen.

De DPO zal ook met de toezichthoudende autoriteiten samenwerken, en optreden als contactpunt voor deze laatste inzake verwerkingen van persoonsgegevens.

Deze beperkte opsomming is weliswaar niet limitatief, maar geeft reeds een idee over de taken die de DPO op zich neemt.

Wie moet een DPO aanstellen?

Hoewel aanbevolen moet niet iedere organisatie een DPO aanstellen.

De verordening voorziet in ieder geval dat een organisatie een DPO moet aanstellen in de volgende gevallen:

  • wanneer het gaat om verwerkingen door overheidsinstanties of overheidsorganen, tenzij het gaat om gerechten bij de uitoefening van hun rechterlijke taken;
  • wanneer het gaat om verwerkingen waarvan het doel het op grote schaal een regelmatige en stelselmatige observatie vereist;
  • wanneer het gaat om grootschalige verwerkingen van bijzondere categorieën van persoonsgegevens, zoals bijvoorbeeld medische gegeven.

Onafhankelijkheid van de DPO

Hoewel de DPO een personeelslid van de verwerkingsverantwoordelijke of verwerker kan zijn en andere taken en verplichtingen kan vervullen, moeten zij er wel voor zorgen dat de DPO onafhankelijk is en geen belangenconflict kan hebben.

Een belangenconflict kan bijvoorbeeld ontstaan indien de DPO tevens lid is van het management, en dus het doel en de middelen van de verwerking kan bepalen. Zijn bijvoorbeeld onverenigbare functies met die van DPO binnen een organisatie:

  • hoofd ICT;
  • hoofd audit;
  • hoofd personeel;

Contacteer ons voor meer informatie via Contact Formulier

Bloep, 28 mei 2025.

Historiek

De eerbiediging van het privé-leven en de bescherming van persoonsgegevens is geen nieuw fenomeen.

Reeds in de Belgische grondwet kan men lezen dat ieder recht heeft op de bescherming van zijn privé-leven.

Conventie 1981 ter bescherming bij automatische verwerking van persoonsgegevens

Op 28 januari 1981 werd te Straatsburg de Conventie (Verdrag 108) inzake de bescherming van personen met betrekking tot de automatische verwerking van persoonsgegevens aangenomen. Dit verdrag werd in 2018 gemoderniseerd.

Deze conventie, hoewel niet rechtstreeks van toepassing, legt wel de fundamenten inzake de verwerking van persoonsgegevens in haar 27 artikelen tellende text.

Zo wordt er in art.5 o.a. bepaald dat persoonsgegevens die automatisch worden verwerkt:

  • rechtmatig werden verkregen;
  • opgeslagen voor een rechtmatig doel en gebruikt worden in overeenstemming met dit doel;
  • dat er aan minimale gegevensverwerking wordt gedaan;

De Conventie definieerde ook reeds wat speciale categorieën van persoonsgegevens zijn.

Speciale categorieën van persoonsgegevens zijn o.a. persoonsgegevens die betrekking hebben op:

  • ras;
  • politieke overtuiging of geloof;
  • gezondheid of sexuele orientatie.

Verder voorzag ze reeds bepalingen ter bescherming van de natuurlijke personen wiens persoonsgegevens worden verwerkt.

Europese richtlijn 1995 ter bescherming van de verwerking van persoonsgegevens van natuurlijke personen

Op 24 oktober 1995 werd dan door het Europees Parlement en de Raad de Europese Richtlijn 95/46 aangenomen.

Hoewel ook deze richtlijn moest worden omgezet in het recht van de lidstaat, voerde ze nog meer bepalingen en verduidelijkingen in.

Zo werd het begrip functionaris voor de gegevensbescherming ingevoerd; de voorloper van de huidige DPO. Deze functionaris voor de gegevensbescherming moest op een onafhankelijke wijze toezicht uitoefenen op de toepassing van de krachtens de Richtlijn getroffen nationale maatregelen, en een verwerkingsregister bijhouden van de voor de verwerkingsverantwoordelijke verrichte verrichtingen.

Handvest van de Grondrechten van de Europese Unie 2000

Het Handvest van de Grondrechten van de Europese Unie (18 december 2000) maakt melding van de eerbiediging van het privé-leven (art.7) en de bescherming van persoonsgegevens (art.8).

Persoonsgegevens moeten worden verwerkt met bepaalde doeleinden en met de toestemming van de betrokkene of op basis van een gerechtvaardigde grondslag.

De betrokkene wiens persoonsgegevens worden vewerkt heeft recht op toegang tot de over hem of haar verzamelde gegevens en correctie van deze gegevens wanneer deze onjuist zijn.

Een onafhankelijk autoriteit moet toezien dat deze regels worden nageleefd.

Europese verordening 2018 ter bescherming van de verwerking van persoonsgegevens van natuurlijke personen

Voor de komst van wat nu bekend staat als de GDPR (General Data Protection Regulation) of in het Nederlands AVG (Algemene Verordening Gegevensbescherming) was er geen eenvormigheid inzake de wetgevingen binnen de EER. Ieder land van de EER had toen immers zijn eigen wetgeving inzake de bescherming van persoonsgegevens.

Zo had Nederland bijvoorbeeld haar Wet bescherming persoonsgegevens (Wbp), die zoals de wet in België gebaseerd was op de Europese Richtlijn van 1995 (EG 94/46).

Het was voor de inwerkingtreding van de GDPR voor een burger soms ook moeilijk om zijn rechten nageleefd te krijgen door grote organisaties zoals Google. Zie hiervoor de zaak van het Hof van Justitie van de Europese Unie uit 2014 van een Spaanse zakenman tegen Google. Deze zakenman was jaren voordien veroordeeld wegens sociale zekerheidsschulden, maar via de zoekmachine van Google kon men nog steeds een link vinden naar een artikel met betrekking tot zijn veroordeling.

De man vroeg Google Spanje om de link te verwijderen, deze laatste gaf de vraag door aan Google in de Verenigde Staten. Beide wilden echter de link niet verwijderen, en de zaak kwam voor de Spaanse rechtbank. De Spaanse rechter stelde toen een prejudiciële vraag aan het Hof van Justitie van de Europese Unie.

Deze zaak toont aan hoe moeilijk het is voor een individuele rechtzoekende om zijn rechten uit te oefenen tegen grote multinationale spelers zoals Google.

Met de inwerkingtreding van de GDPR zijn de regels binnen de EER hetzelfde, en zullen ook verwerkingsverantwoordelijken die buiten de EER bevinden zich moeten in orde stellen met de Europese regels wanneer zij persoonsgegevens verwerken van Europese burgers.

Tevens voert de GDPR ook meer verduidelijkingen in inzake de verplichtingen in vergelijking met de Europese Richtlijn van 1995. Zo wordt bijvoorbeeld de rol en verantwoordelijkheden van de DPO verduidelijkt en wordt de verantwoordingsplicht ingevoerd.

De sancties worden ook nauwkeuriger omschreven. Zo kunnen verwerkingsverantwoordelijken boetes krijgen tot 20 miljoen Euro of 4% van hun wereldwijde omzet.

Bloep, 10 juni 2025.