De Belgische Gegevensbeschermingsautoriteit (GBA) heeft sinds 2 april 2019 een tiental beslissingen genomen. Uit deze beslissingen leren we zes lessen:
1) Reageer (tijdig) op verzoek tot inzage, rectificatie, verwijdering
In een zaak omtrent inzagerecht gaf de FOD Volksgezondheid geen gevolg aan een verzoek dat per aangetekend schrijven, gewone post en e-mail, was verzonden, gevolgd door een bevel van de Gegevensbeschermingsautoriteit.
In principe moest de FOD Volksgezondheid als verwerkingsverantwoordelijke op dit verzoek antwoorden binnen dertig dagen na ontvangst. De GBA oordeelde dan ook dat de FOD Volksgezondheid verschillende fouten had gemaakt, onzorgvuldig handelen, het niet beantwoorden van een verzoek tot inzage en het laattijdig verdelen van de interne post. Er werd enkel een berisping opgelegd.[1]
Ook in twee andere zaken die de GBA behandelde werden verzoeken niet ingewilligd binnen de opgelegde termijn van 30 dagen. Daarbij ging het om een verzoek tot inzage en informatie[2] en een verzoek om gegevens te wissen[3].
2) Zorg ervoor dat uw klanten zich onder hun correcte naam kunnen registreren.
In deze zaak werd een verwerkingsverantwoordelijke opgelegd om zijn IT systeem te veranderen omdat een klager zijn naam met accenten niet correct kon ingeven. De naam bevatte letters met accenten die het IT-systeem van de verwerker niet herkende.[4] Desondanks legde de GBA de verplichting op het verzoek in te willigen.
3) Gebruik de data enkel voor het doel waarvoor u ze mocht verwerken
In het kader van een ‘WhatsApp buurtpreventienetwerk’ bezorgde de klager zijn identiteitsgegevens, telefoonnummer en e-mailadres aan de coördinator van het netwerk. De coördinator gebruikte deze gegevens later om campagne te voeren voor zichzelf met het oog op de gemeenteraadsverkiezingen.
De geschillenkamer oordeelde dat de gegevens die de coördinator verkreeg, gebruikt werden met een andere finaliteit dan het oorspronkelijke doel. Daarom oordeelde de geschillenkamer dat het gebruik een inbreuk vormde op de GDPR. De coördinator kreeg hiervoor een berisping.[5]
4) Wees steeds voorbereid
Een betrokkene diende klacht in nadat hij naar aanleiding van het uitblijven van het door de verwerkingsverantwoordelijke gevolg aan het verzoek tot verwijdering van zijn persoonsgegevens, verkregen in het kader van een sollicitatie. Het oordeel van de geschillenkamer op basis van de klacht was eerder beperkt. Er werd geoordeeld dat de verwerkingsverantwoordelijke niet binnen de correcte termijn had geantwoord op het verzoek en dat hij initieel onvoldoende informatie omtrent de gegevensverwerking had verstrekt.
Wat meer opvalt bij deze zaak is dat de inspectiedienst van de Gegevensbeschermingsautoriteit door de geschillenkamer werd gevraagd om een onderzoek te verrichten bij de verwerkingsverantwoordelijke. Hierbij ging de inspectiedienst veel verder dan de initiële klacht. Ze onderzochten namelijk de gehele GDPR-conformiteit van de verwerkingsverantwoordelijke. Op verschillende vlakken werden kleine overtredingen vastgesteld door de inspectiedienst, waarop de geschillenkamer een berisping formuleerde ten opzichte van de verwerkingsverantwoordelijke.[6]
5) De GDPR is steeds van toepassing, ook wanneer andere wetgeving geldt
Deze zaak ging over een bewakingscamera die werd geplaatst in de gemeenschappelijke delen van studentenkamers. In deze zaak bepaalde de geschillenkamer dat de zogenaamde ‘household exemption’ niet van toepassing is aangezien het gebruik van de camera geen betrekking heeft op een persoonlijke en huishoudelijke activiteit. Doordat deze uitzondering niet van toepassing was, moest de verhuurder gezien worden als een verwerkingsverantwoordelijke en dus diende hij naast de camerawetgeving ook de GDPR in acht te nemen.[7]
6) Data minimization: verwerk enkel de gegevens die noodzakelijk zijn
Bij het verzenden van een e-mail naar verschillende klanten, plaatste een verwerkingsverantwoordelijke alle e-mailadressen in het CC veld. Hierdoor kregen alle betrokkenen van elkaar te zien dat ze deze mail hadden ontvangen en werden hun persoonsgegevens dus gedeeld met verschillende andere betrokkenen. De geschillenkamer oordeelde dat het in deze situatie aangewezen was om dergelijke e-mails te sturen met de geadresseerden in BCC.[8]
In een andere zaak hanteerde een handelaar de praktijk dat bij het aanvragen van een klantenkaart de eID van de betrokkenen diende gekopieerd te worden. Hierdoor kreeg de handelaar toegang tot onder andere de foto en het rijksregisternummer van de betrokkenen. De handelaar bood geen alternatieve wijze om een klantenkaart aan te maken, waardoor de klanten geen keuzevrijheid hadden.
De geschillenkamer oordeelde dat het verwerken van deze gegevens verder ging dan wat noodzakelijk was. Voor het aanmaken van een klantenkaart is het niet vereist dat de handelaar toegang heeft tot alle gegevens op de eID. In het bijzonder wordt wettelijk bepaald voor, onder andere, eID’s dat deze enkel gelezen of gebruikt mag worden mits vrije, specifieke en geïnformeerde toestemming van de betrokkene. De GBA sanctioneerde de handelaar wegens het ontbreken van toestemming en schending van het principe van data minimization. De handelaar kreeg een boete van €10.000 opgelegd.[9]
Wat nu?
Na het lezen van het voorgaande weet u welke lessen u moet leren uit de reeds genomen beslissingen van de Gegevensbeschermingsautoriteit. Deze lessen echter toepassen in uw organisatie is niet altijd eenvoudig. Daarom geven wij nog enkele tips mee om uw organisatie in overeenstemming te brengen met de GDPR.
- Leidt uw medewerkers op. Menselijke tussenkomst blijkt vaak een zwakte te zijn bij gegevensverwerking. Daarom is het belangrijk dat uw medewerkers weten waarmee ze bezig zijn. Zorg er voor dat zij voldoende opleiding genieten, zodat zij steeds weten hoe ze moeten handelen.
- Test uw IT infrastructuur en policies. Vaak denken ondernemers dat zij voldoende beschermd zijn tegen dreigingen van buitenaf, datalekken, etc. De praktijk toont echter aan dat vele ondernemingen onvoldoende beschermd zijn. Daarom is het belangrijk dat u uw onderneming laat testen. Denk hierbij bijvoorbeeld aan een IT-penetratietest. Naast de technologische toegang tot persoonsgegevens blijkt ook de fysieke toegankelijkheid vaak een probleem. In vele gevallen is het voor een buitenstaander relatief eenvoudig om toegang te krijgen tot ondernemingen. Ook dit test u best eens, door bijvoorbeeld iemand die onbekend is voor uw werknemers te laten testen waartoe hij/zij toegang krijgt.
- Vraag advies. Het is niet steeds eenvoudig om in overeenstemming te zijn met de GDPR. Daarom is het belangrijk om zowel juridisch als technisch advies in te winnen. Door middel van dit advies kan u geholpen worden de juiste documenten te voorzien, uw gegevens correct te beschermen,… Op die manier bent u beter voorbereid op vragen van betrokkenen, (potentiële) contractpartners en de Gegevensbeschermingsautoriteit.
Zoals blijkt is het belangrijk dat uw interne processen op elk moment in overeenstemming zijn met de GDPR . Indien u advies of begeleiding wenst kan u steeds contact opnemen met ons.
Dit artikel werd mogelijk gemaakt door www.panderim.jobs, www.generaldataprotection.be en www.studio-legale.be
[1] https://www.gegevensbeschermingsautoriteit.be/sites/privacycommission/files/documents/BETG05-2019_web.pdf
[2] https://www.gegevensbeschermingsautoriteit.be/sites/privacycommission/files/documents/Be03-2019ANO.pdf#overlay-context=beslissingen-van-de-geschillenkamer
[3] https://www.gegevensbeschermingsautoriteit.be/sites/privacycommission/files/documents/Be02-2019ANO.pdf#overlay-context=beslissingen-van-de-geschillenkamer
[4] https://www.gegevensbeschermingsautoriteit.be/sites/privacycommission/files/documents/Be01-2019ANO.pdf#overlay-context=beslissingen-van-de-geschillenkamer
[5] https://www.gegevensbeschermingsautoriteit.be/sites/privacycommission/files/documents/BETG01-2019ANO.pdf#overlay-context=beslissingen-van-de-geschillenkamer
[6]https://www.gegevensbeschermingsautoriteit.be/sites/privacycommission/files/documents/Beslissing_TG_08-2019_GK.pdf
[7] https://www.gegevensbeschermingsautoriteit.be/sites/privacycommission/files/documents/BETG03-2019ANO.pdf#overlay-context=beslissingen-van-de-geschillenkamer
[8] https://www.gegevensbeschermingsautoriteit.be/sites/privacycommission/files/documents/BETG02-2019ANO.pdf#overlay-context=beslissingen-van-de-geschillenkamer
[9] https://www.gegevensbeschermingsautoriteit.be/sites/privacycommission/files/documents/BETG06-2019_web.pdf#overlay-context=nieuws/GBA-sanctioneert-een-handelaar-voor-het-gebruik-van-de-eid-om-klantenkaart-aan-te-maken