Het verantwoordingsbeginsel binnen de GDPR (VDV Advocaten)

Auteur: Maarten Verhaghe (VDV Advocaten)

Publicatiedatum: 02/02/2018

De GDPR voorziet niet in een draaiboek van hoe, wat, wanneer, welke maatregel en beveiliging van toepassing dient te zijn. De regels zijn vaak vaag en dienen te worden ingevuld aan de hand van het verantwoordingsbeginsel.

In de praktijk zullen de ondernemingen, overheden, … een blijvende afweging moeten maken tussen de gegevens van de betrokkenen en de genomen beveiligingsmaatregelen, zonder dat deze wettelijk opgelegd worden.

Het zal er op neer komen iedere beleidsbeslissing goed te documenteren, een adequate beveiliging van de gegevens te voorzien (die aangepast is aan de tijdsgeest) en bewustwording door te geven aan alle personen binnen de onderneming die in contact komen met persoonsgegevens.

De GDPR voorziet een wettelijke verantwoordelijkheid. Deze wordt bij de verwerkingsverantwoordelijken (de Belgische ondernemingen, overheden, vzw’s, …) gelegd. Op dit punt verschilt de GDPR van de wetgeving die we tot op heden kennen.

Dit verantwoordingsbeginsel is onopvallend in de verordening verwerkt. Zodat er bij een eerste lezing quasi geen acht op wordt geslagen. In de praktijk zorgt het wel voor grote en verregaande gevolgen.

Verantwoordelijkheid van de verwerkingsverantwoordelijke

1. De verwerkingsverantwoordelijke dient via passende technische, organisatorische maatregelen en waarborgen aan te kunnen tonen dat de verwerking in overeenstemming gebeurt met de verordening. De verantwoordelijke houdt hierbij rekening met de aard, de omvang, de context en het doel van de verwerking.  Ook moeten de zeer uiteenlopende risico’s (qua waarschijnlijkheid en ernst) voor de rechten en vrijheden van de natuurlijke personen ingecalculeerd worden.  Continue evaluatie en indien nodig actualisatie van deze  maatregelen is een must..

2. Als zulks in verhouding staat tot de verwerkingsactiviteiten, dan omvatten de hierboven in punt 1 bedoelde maatregelen een passend gegevensbeschermingsbeleid dat door de verwerkingsverantwoordelijke wordt uitgevoerd.

3. De verwerkingsverantwoordelijke zorgt voor aansluiting bij goedgekeurde gedragscodes als bedoeld in artikel 40 van GDPR  of goedgekeurde certificeringsmechanismen als bedoeld in artikel 42.

4. Afhankelijk van het risico, rond de rechten en vrijheden van de betrokkene, die de verwerking met zich meebrengt zal een vergaand privacy beleid nodig zijn. Of zal zelfs een minder ingrijpend privacy beleid, voldoende zijn om aan de GDPR te voldoen.

Er kunnen aldus verschillende verantwoordelijkheden van de verwerkingsverantwoordelijke afgeleid worden uit artikel 24 GDPR: 

De verwerkingsverantwoordelijke is verplicht gepaste maatregelen te voorzien die in verhouding staan met de verwerking (verzameling, ordening, gebruik, doorgave, …) van persoonsgegevens. Enkel voorzien in deze maatregelen is zeker niet voldoende.

De maatregelen dienen ruim gedocumenteerd te worden en op verzoek van de Gegevensbeschermingsautoriteit (GBA) beschikbaar gesteld worden, ten einde de “privacy compliance” aan te tonen. Doch dient er op gewezen te worden dat de opdracht hier niet stopt. Iedere genomen privacy maatregel (zowel technisch als organisatorisch) moet op geregelde tijdstippen geëvalueerd en indien nodig aangepast worden.

Meer nog, de basisbeginselen Privacy by Design en Privacy by Default zijn rechtstreeks in verband te brengen met het verantwoordingsbeginsel.

Privacy by Design

• Om de naleving van de GDPR aan te tonen zal de verwerkingsverantwoordelijke bij de ontwikkeling en uitwerking van toepassingen en diensten rekening moeten houden met een gepast beveiligingsniveau en met de rechten van de betrokkenen wiens gegevens verwerkt worden.
• Een latere aanpassing van de verwerking om deze te optimaliseren is niet voldoende.
• Hierbij  moet men ook rekening houden met de stand van de techniek, de uitvoeringskosten, de aard, de omvang en het doel van de verwerking. Daarnaast moet  de ernst van een mogelijke inbreuk op de rechten en vrijheden ook in acht genomen worden.

Privacy by Default

• De verwerkingsverantwoordelijke dient de nodige technische en organisatorische maatregelen te treffen die ervoor zorgen dat enkel de gegevens verwerkt worden die noodzakelijk zijn voor het doel van de verwerking. De opdracht is dataminimalisatie, enkel verzamelen wat echt nodig is.
• De keuze van de woorden in bovenstaand artikel 24 “passende technische en organisatorische maatregelen” geven een niet te miskennen en blijvende verplichting van de verwerkingsverantwoordelijke weer: de beveiliging van de persoonsgegevens up-to-date te houden en aan te passen aan de tijdsgeest. Dit houdt in dat ondernemingen, overheden, enz. gehouden zijn  om in te spelen op verschillende (nieuwe) beveiligingsproblemen zoals authenticatieprocedures, bring your own device, biometerie, vingerafdrukken, irisscan, ….

Het verantwoordingsbeginsel heeft aldus een evolutief karakter die de verwerkingsverantwoordelijken er zal toe aanzetten hun privacy beleid op geregelde tijdstippen te evalueren (dit zowel qua gedocumenteerd beleid als op beveiligings-/technisch beleid) en zodoende aan te passen aan de heersende normen.