AXA gebruikt cookies om een vlotter bezoek aan de website mogelijk te maken. Akkoord Meer informatie
Cookies. Blijkbaar accepteert uw browser geen cookies. Opgelet, het blokkeren van bepaalde cookies verhindert het correct functioneren van de website. Meer informatie
  Welkom bij AXA
Sign In

GDPR: in welke mate zijn de openbare instellingen betrokken?

Frédéric Dechamps, advocaat, beantwoordt onze vragen.

Kunt u de doelstellingen van deze Europese verordening nog eens op een rijtje zetten?

Het gaat erom de bescherming van de rechten en vrijheden van de personen van wie de gegevens worden behandeld, te verhogen en de materie te harmoniseren binnen de Europese Unie.

De Verordening wil immers dat natuurlijke personen opnieuw controle krijgen over hun persoonsgegevens.

Welke zaken moeten het dringendst worden aangepakt of ingevoerd in het kader van deze verordening?

De eerste stap is waarschijnlijk in kaart brengen hoe persoonsgegevens worden verwerkt en een register aanleggen om een duidelijk beeld te krijgen van het gebruik ervan. Dit register moet een overzicht geven van alle verwerkingen, types gegevens, doelstellingen, beveiligingsinformatie, eventuele onderaannemers, ... Er worden verschillende informaticatools aangeboden om deze registers aan te maken.

Aan de hand van deze informatie kunnen de nodige modaliteiten worden bepaald zoals, bijvoorbeeld, het opstellen van een charter privéleven, de invoering van een intern vertrouwelijkheidsbeleid, enz.

Nemen we het voorbeeld van een gemeente: daar worden tal van persoonsgegevens verwerkt in het kader van hun dienstverlening aan de bevolking. Er is dus een “gerechtvaardigd belang”. Wat moet er desondanks veranderen?

De GDPR heeft de discussie rond de verwerking van persoonsgegevens omgekeerd: ze verplicht om de verwerking van persoonsgegevens te baseren op een van de zes juridische grondslagen die ze opsomt (artikel 6).

In geval van een Gemeente zijn de verwerkingen gerechtvaardigd, onder meer op de juridische grondslagen van de naleving van een wettelijke verplichting en de uitvoering van een opdracht van openbaar belang of die valt onder de opdracht van de openbare overheid (in het kader van wat het gemeentelijk belang betreft).

Daarentegen, wanneer een persoonsgegeven wordt verwerkt door een Gemeente buiten de uitvoering van een wettelijke verplichting of de uitvoering van een opdracht van openbaar belang, moet ze gebaseerd zijn op een andere juridische grondslag zoals de toestemming van de betrokken persoon bijvoorbeeld.

Waaraan moet het meeste aandacht worden besteed, wat wordt beschouwd als gevoelige informatie?

De beveiliging van de persoonsgegevens is fundamenteel in de zin van de nieuwe verordening en er kan aan de entiteiten worden gevraagd om aan te tonen dat er een voldoende veiligheidsniveau is wat betreft de bescherming van deze gegevens.

De zogenaamde gevoelige gegevens zijn bepaald in artikel 9 van de Verordening en is de verwerking van deze gegevens in principe verboden. Het betreft onder andere informatie over het ras of de etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, genetische of biometrische gegevens, gegevens over de gezondheid, het seksueel gedrag of de seksuele geaardheid.

Er bestaan uitzonderingen op dit verbod tot verwerking die de Gemeenten kunnen inroepen, zoals “de verwerking is noodzakelijk om redenen van algemeen belang, waarbij de evenredigheid met het nagestreefde doel wordt gewaarborgd” maar er moet worden voorzien in passende en specifieke maatregelen ter bescherming van de grondrechten en de fundamentele belangen van de betrokkene.

Zijn de openbare entiteiten verplicht om een DPO-verantwoordelijke aan te stellen? Kunt u ons daar meer over zeggen?

Er moet inderdaad een DPO of ‘Data Privacy Officer’ worden aangesteld wanneer het gaat om een openbare overheid of een openbare instelling. De DPO kan intern worden benoemd of kan worden uitbesteed en, in het kader van de openbare overheden of openbare instellingen is bepaald dat er één DPO kan worden aangesteld voor “verschillende overheden of instellingen, rekening houdend met hun organisatorische structuur en hun omvang”.

De rol van deze DPO is divers, hij moet de verwerkingsverantwoordelijke adviseren, toezien op de naleving van de regelgeving, zorgen voor de samenwerking met de controle-overheid, het bestuur adviseren over bepaalde bijzondere verplichtingen (onder meer impactanalyse) maar vooral, het contactpunt zijn van de burgers met betrekking tot de verwerking van hun gegevens.

Lopen de Gemeenten het risico op sancties? Hoe zullen de controles verlopen?

Net als alle andere entiteiten die onderworpen zijn aan de reglementering, zijn de Gemeenten onderhevig aan de sancties die bepaald zijn in de Verordening en die worden opgelegd door de Belgische controle-overheid inzake gegevensbescherming.

We zijn echter van mening dat de controle-overheid wat dit betreft, in eerste instantie, alvorens de entiteiten die zich niet zouden houden aan de reglementering te sanctioneren, een adviserende rol zou moeten spelen.

Hoe zit het met OCMW’s, ziekenhuizen, politiezones? Aan welke specifieke elementen moet aandacht worden besteed?

De beveiliging van de gegevens die deze entiteiten in bezit hebben, is een bijzonder aandachtspunt met betrekking tot de vertrouwelijkheid en het belang ervan voor de betrokken personen.

Een tweede aandachtspunt is de opleiding en bewustmaking van de bedienden en arbeiders met betrekking tot de nieuwe regels inzake bescherming van persoonsgegevens. De Europese wetgever hecht er immers bijzonder belang aan.

Wat de OCMW’s betreft, moet worden gewezen op een aandachtspunt met betrekking tot de gevoelige gegevens die de OCMW’s moeten verwerken in het kader van hun opdracht. Ze moeten erop letten dat ze in een van de uitzonderingen vallen die bepaald zijn in de Verordening, want, zoals eerder aangehaald, de verwerking van deze gegevens is in principe verboden.

Wat ziekenhuizen betreft en omwille van het medische geheim, is de veiligheid van de gegevens al een prioriteit op informaticavlak.

Wat de politiezones en politiemachten betreft, is het belangrijk dat eventuele onderaannemers voldoende garanties kunnen voorleggen inzake de beveiliging van de gegevens.

Frédéric Dechamps & Nathan Vanhelleputte

Advocaten

www.lex4u.com

fd@lex4u.com