Privacy en gegevensbescherming:
in conflict met de GBA

Webinar op 25 oktober 2022

 

De webshop juridisch doorgelicht

Webinar op 6 oktober 2022

Service Level Agreements (SLA’s) bij ICT-contracten

Webinar op 25 november 2022

Privacy, gegevensbescherming en arbeidsrecht: de ontwikkelingen van het afgelopen jaar

Webinar on demand

SaaS-contracten: valkuilen en aandachtspunten

Webinar on demand

ICT-contracten en gegevensbescherming

Webinar on demand

Hoe gaat de Inspectiedienst van de GBA te werk? (Mr. Franklin)

Auteur: Olivier Sustronck (Mr. Franklin)

Op 25 mei is de GDPR vier jaar in werking. De meest gestelde vraag die ik mag horen na een lezing of bezoek aan een onderneming is nog steeds of er al veel controles worden uitgevoerd door onze Gegevensbeschermingsautoriteit (hierna GBA) en hoe zo’n controle wordt uitgevoerd.

In de welgesmaakte privacy podcast Dasprive werd in de loop van april 2022 een interview afgenomen van twee leden van de Inspectiedienst van de GBA. In dit interview werden veel interessante vragen beantwoord over de manier van werken van de Inspectiedienst en vooral de punten waar zij aandacht voor hebben of naar vragen bij een controle. Een overzicht:

Op welke manier wordt een inspectie uitgevoerd?

De inspectiedienst heeft veel mogelijkheden. Zo kunnen ze bij ondernemingen langsgaan voor een inspectie ter plaatse, personen identificeren, verhoren en zelfs de bijstand van de politie vragen.

Ook hebben zij toegang tot verschillende databanken en bronnen, zoals de kruispuntbank, het rijksregister en kunnen ze de identiteit opvragen van websites en telefoonnummers bij respectievelijk DNS en de telecomoperatoren.

Schriftelijke procedure

Meestal wordt er gestart met een schriftelijke bevraging. De meeste procedures worden ook volledig schriftelijk gevoerd. Hierbij wordt een specifieke vraag of klacht overgemaakt aan de beklaagde onderneming of overheid. Ze krijgen dan een in de brief bepaalde termijn om hierop te antwoorden.

Indien de voorlegging van documenten worden gevraagd die reeds voorhanden zouden moeten zijn in de onderneming zoals een verwerkingsregister, een privacyverklaring of een verwerkersovereenkomst, dan is de antwoordtermijn beperkt tot zeven dagen.

Indien de vraag een evaluatie vereist, de opzoeking van gegevens of de contactopname met een derde partij zoals een verwerker of een datahandelaar vereist, dan wordt een langere termijn toegestaan die meestal varieert tussen de 3 weken en één maand. Vragen om een verlenging van de antwoordtermijn is mogelijk maar moet gemotiveerd worden. Last-minute aanvragen worden met wantrouwen bekeken.

Inspectie ter plaatse

Een inspectie ter plaatse zal niet onaangekondigd gebeuren. De inspectie zal meestal enkele dagen vooraf worden aangekondigd, zodat de onderneming zich hierop kan voorbereiden en kan verzekeren dat de juiste personen ter plaatse aanwezig zijn en de inspecteurs geen nodeloze verplaatsing maken.

De inspectiedienst zal zich altijd legitimeren via een legitimatiebewijs. Inspecties vinden meestal plaats door twee tot drie personen waarbij zowel een jurist, iemand met een IT-achtergrond en een auditeur aanwezig is. Nieuwe inspecteurs hebben veelal een DPO-achtergrond.

‘Exotische’ bevoegdheden zoals inbeslagname van documenten en servers worden thans nog niet gebruikt.

Controle op camera-beleid

Indien een onderneming camera’s plaatst om haar gebouwen en terreinen te bewaken, moet aan de verplichtingen van de Camerawet worden voldaan. Zo moet een pictogram aangeven dat er camera’s hangen en wie de verwerkingsverantwoordelijke is. De beelden mogen niet langer dan 30 dagen bewaard worden en de camera’s moeten worden aangegeven aan aangiftecamera.be.

Indien hierrond klachten ontstaan, bijvoorbeeld doordat een camera gericht is op de tuin van de buren, maakt de GBA gebruik van de lokale politie om langs te gaan. Zo wordt in dergelijke gevallen de wijkagent ter plaatse gestuurd om het pictogram te controleren, waar de camera’s hangen en hoe zij gericht zijn.

Hoe staat de GBA ten opzichte van een DPO?

De Data Protection Officer wordt aanzien als een bondgenoot van de GBA die haar helpt om haar missie waar te maken. De Inspectiedienst bevestigt dat de rol van de DPO voor haar erg belangrijk is en dat zij een onderzoek steeds opentrekken naar de functie van de DPO, ook al heeft de initiële klacht hier niets mee te maken.

Hierbij heeft de Inspectiedienst aandacht voor twee specifieke punten:

Verenigbaarheid en onafhankelijkheid van de functie

Een DPO moet steeds onafhankelijk haar functie kunnen uitvoeren. Zo geeft de Inspectiedienst aan dat naast de juridische dienst, de marketing manager of iemand van de IT afdeling, ook de functie van Complicane Officer niet te vereenzelvigen is met de functie van DPO. Ook een juniorprofiel zal onvoldoende gewicht in de schaal kunnen leggen om werkelijk onafhankelijk de functie te kunnen uitoefenen en te kunnen rapporteren naar het hoogste orgaan binnen een onderneming. Om voldoende onafhankelijkheid van een DPO te controleren wordt de organigram opgevraagd bij een onderzoek.

Aandacht voor de risico’s van de betrokkenen

In de uitoefening van haar functie mag de DPO niet alleen oog hebben voor de belangen van haar cliënt of werknemer maar moet hij hoofdzakelijk aandacht hebben voor de risico’s van de betrokkenen en rekening houden met de rechten en vrijheden van medewerkers, personeelsleden en klanten van een onderneming.

Belang van de verantwoordingsplicht

Eén van de belangrijkste principes van de GDPR is de verantwoordingsplicht, waarbij de verwerkingsverantwoordelijke zelf haar privacy beleid actief moet verantwoorden. Hierop worden vaak inbreuken vastgesteld.

Verwerkingsregister

Het verwerkingsregister is een verplicht op te maken document, zowel voor de verwerkingsverantwoordelijke als voor de verwerker. Een verwerkingsregister moet aanzien worden als een praktisch document dat laat nadenken over de verwerkingen die gebeuren binnen een onderneming en als perfect hulpmiddel kan dienen om aan de verantwoordingsplicht te voldoen. De praktijk wijst echter uit dat bij veel onderneming dit register onbestaande of erg gebrekkig is.

Gebruik van het gerechtvaardigd belang als verwerkingsgrond

Het is niet voldoende om te stellen dat een verwerking onder de verwerkingsgrond van het gerechtvaardigd belang plaatsvindt. De keuze voor deze verwerkingsgrond moet steeds verantwoord worden en er moet een balansoefening gebeuren voorafgaandelijk aan de verwerking, die moet voorgelegd kunnen worden. Uit de praktijk blijkt dat deze balansoefening veelal niet kan voorgelegd worden en dat zelfs bij een uitdrukkelijke vraag hiertoe, ondernemingen in gebreke blijven om een voldoende verantwoording te produceren.

Belang van een conforme website

De website is naar buiten toe steeds meer het gezicht van een onderneming. De website is echter ook het gezicht van het privacy beleid van een onderneming. Het is erg eenvoudig om vast te stellen of een privacyverklaring up-to-date is of nog een verwijzing bevat naar de wet van ’92. Ook via de cookie banner en de cookie policy kan eenvoudig nagekeken worden of de onderneming actief bezig is met hoe zij omgaat met persoonsgegevens.

Net zoals bepaalde klanten, investeerders of dienstverleners hier aandacht voor zullen hebben is dit één van de eerste punten waar ook de Inspectiedienst naar kijkt bij de start van een onderzoek. Daarenboven wijst de Inspectiedienst op het belang van versiebeheer en het noteren van de datum van de laatste versie van een policy.

Belang van medewerking en evolutie in het privacy beleid

Tot slot haalt de Inspectiedienst het belang aan om mee te werken aan onderzoeken. Stipt antwoorden en correcte informatie geven zorgt ervoor dat onderzoeken niet snel escaleren of er geen zwaardere onderzoeksmaatregelen worden genomen.

Daarenboven is het belangrijk om een verbetering of evolutie aan te kunnen tonen in het gevoerde privacy beleid van de beklaagde onderneming. Proactief actie onderneming om de situatie recht te zetten of structureel te verbeteren is hierin erg belangrijk en wordt in rekening gebracht bij de uiteindelijke aanklacht, beslissing en strafmaat.

Conclusie en punt van kritiek

Het is geen verrassing dat de focus van de Inspectiedienst ligt bij de verantwoordingsplicht van een onderneming. Ook de oppuntstelling van een website wordt niet verrassend als een belangrijk punt aanzien, daar dit enerzijds gemakkelijk consulteerbaar is en veelal een goede indicatie geeft of een onderneming voldoende aandacht besteedt aan haar privacy beleid. Er is ook veel aandacht voor de manier van medewerking van de beklaagde onderneming in het onderzoek.

In het interview geeft de Inspectiedienst eveneens aan dat zij bij een inspectie veelal de specifieke klacht opentrekken naar andere punten zoals de functie van de DPO of de informatieplicht. Hoewel dit belangrijke punten zijn zorgt dit ervoor dat een onderzoek nodeloos complexer wordt en de focus van de specifieke aanklacht verloren gaat voor de klager. Deze werkwijze is zowel nadelig voor de klager als de beklaagde en kan in vraag gesteld worden ten opzichte van de principes van het recht van verdediging daar voor de Geschillenkamer de verschillende aanklachten waarover uiteindelijk geconcludeerd moet worden niet steeds duidelijk zijn. Daarenboven zou een gefocuste inspectie en afhandeling van dossiers ruimte vrijmaken om meer dossiers te behandelen en het gebrek aan middelen waar de Inspectiedienst waarschijnlijk terecht over klaagt, deels verhelpen.

Bron: Mr. Franklin