Algemene Verordening Gegevensbescherming (AVG)

Raak wegwijs in nieuwe privacy wetgeving: verzamelen van persoonsgegevens wordt ingeperkt

Door de opkomst van Facebook, Instagram, en andere online platformen die tal van persoonlijke data verzamelen en daarnaast het wijdverspreide gebruik van cold mailing door televerkoopbedrijven is er heel veel te doen geweest rond de bescherming van persoonlijke gegevens.

De Europese Commissie wil de bestaande misbruiken aan banden leggen met de invoering van de Algemene Verordening Gegevensbescherming die van kracht wordt op 25 mei 2018. Deze nieuwe wetgeving wil de burger beter beschermen en creëert een aantal nieuwe verplichtingen voor overheidsinstanties en bedrijven.

Hierbij wordt er weinig onderscheid gemaakt naargelang de grootte of het soort entiteit. Van zodra je een bestand bijhoudt met persoonsgegevens (rechthebbende, klanten, personeel, leveranciers ...), worden deze geraakt door deze regelgeving. De impact van de AVG wordt niet altijd beseft.

Regelgeving

De Algemene Verordening Gegevensbescherming (AVG, of in het Engels GDPR - General Data Protection Regulation), voluit de Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG: http://eur-lex.europa.eu/legal-content/NL/TXT/PDF/?uri=CELEX:32016R0679&from=NL

Deze Europese Verordening is in werking getreden op 24 mei 2016. De verordening voorzag een overgangstermijn van twee jaar, zodat de nieuwe regels van kracht worden op 25 mei 2018.

In tegenstelling tot de vorige Europese regelgeving betreft het een verordening: dat betekent dat de nieuwe regels rechtstreeks toepasselijk zijn in alle lidstaten. De AVG hoeft dus, anders dan een richtlijn, niet in Belgische wetgeving te worden omgezet.

De AVG brengt een aantal wijzigingen mee aan bepaalde federale en Vlaamse regelgeving:

  • De Privacycommissie wordt vervangen door de Gegevensbeschermingsautoriteit (Wet van 3 december 2017 tot oprichting van de Gegevensbeschermingsautoriteit). De Vlaamse Regering keurde op 2 maart 2018 een definitief ontwerp van decreet goed dat andere decreten aanpast aan de AVG (o.a. wijziging Vlaamse Wooncode en decreet Grond- en Pandenbeleid); de parlementaire behandeling loopt nogi.
  • Er komt ook nog een besluit van de Vlaamse Regering dat andere besluiten aanpast aan de AVG.

Twee luiken:

  • Bescherming persoonlijke levenssfeer
  • Bescherming persoonsgegevens

Begrippen:

  • Betrokkene
    • Een geïdentificeerde natuurlijke persoon
    • Een natuurlijke persoon die direct of indirect kan worden geïdentificeerd (met naam,  locatiegegevens,– identificatienummer…)
      Bv. (kandidaat-)huurder, (kandidaat-)verhuurder, (kandidaat-)koper, (kandidaat-)verkoper, ontlener, klant van woonloket, premie-aanvrager, eigenaar etc.
  • Persoonsgegevens: iedere informatie over een betrokkene
  • Verwerking: elke bewerking van persoonsgegevens, zowel op papier als elektronisch (dit gaat onder andere over het verzamelen, bewaren, vastleggen, ordenen, structureren, bijwerken, opvragen, raadplegen, gebruiken, verspreiden, wissen, vernietigen en zelfs het opslaan van gegevens…)
  • Bv. de invoer van data in softwarepakketten, de opslag of aanpassing in documenten of werkbladen, mails, gebruik van bv. Dropbox of WeTransfer voor de transfer van data, …

  • Verwerkingsverantwoordelijke: een natuurlijke persoon, rechtspersoon, overheidsinstantie, dienst of ander orgaan die/dat het doel van en de middelen voor verwerking van persoonsgegevens vaststelt (bepaalt hoe en waarom gegevens worden verwerkt)
    Bv. een dienst bevolking van een gemeente, een intergemeentelijk samenwerkingsverband met of zonder rechtspersoonlijkheid, een werkgever….
  • Verwerker: een natuurlijke persoon, rechtspersoon, overheidsinstantie, dienst of ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt
    Daarbij gaat het om allerlei diensten waar men een beroep doet op een andere partij (“uitbesteding”), voor de verwerking van persoonsgegevens, zoals een softwareleverancier, systeemadministrators, webdienstleverancier

Op welke basis mag u persoonsgegevens rechtmatig verwerken?

  • Wettelijke verplichting
  • Algemeen belang of uitoefening openbaar gezag
  • Bescherming vitale belangen
  • Toestemming (opgelet: die moet vrij, specifiek, geïnformeerd, ondubbelzinnig en expliciet zijn, en kan te allen tijde worden ingetrokken)
  • Contractuele relatie (noodzaak voor uitvoering overeenkomst)

OPGELET: Overheidsinstanties kunnen zich NIET beroepen op “gerechtvaardigd belang” in het kader van uitoefenen van hun taken [1].

Basisbeginselen

De AVG bepaalt dat zowel verwerkers als verwerkingsverantwoordelijken een aantal beginselen moeten naleven bij het verwerken van persoonsgegevens.

Gegevensverwerking moet:

  • rechtmatig, behoorlijk en transparant zijn
  •  een duidelijk omschreven doel hebben (finaliteitsbeginsel))
  • beperkt zijn tot het strikt noodzakelijke (minimale gegevensverwerking)
  • juiste en geactualiseerde gegevens bevatten (accuraatheid)
  • De opslag van gegevens beperken tot zolang als nodig/verplicht (opslagbeperking)
  • Gegevens beschermen tegen ongeoorloofde of onrechtmatige verwerking of vernietiging, verlies of beschadiging (integriteit en vertrouwelijkheid)

Bovendien voorziet de AVG een verantwoordingsplicht. De verantwoordingsplicht houdt in dat, anders dan in de huidige privacywetgeving, de verwerker moet kunnen aantonen op welke grond de verwerking heeft plaatsgevonden. De bewijslast wordt in de AVG omgekeerd. Het is dus belangrijk om overeenkomsten, toestemmingen en dergelijke te documenteren.

Rechten van betrokkene:

  • Recht op informatie en toegang tot persoonsgegevens: doel verwerking, bewaartermijn, derde ontvangers, rechten betrokkene;
  • Recht op inzage: kosteloos en binnen een maand (standaardrapport maken);
  • Recht op verbetering van onjuiste gegevens;
  • Recht op verwijdering (beter gekend onder de noemer “right to be forgotten”);
  • Recht om verwerking te beperken;
  • Recht van bezwaar;
  • Recht op overdraagbaarheid van gegevens.

Meer info:

  • Een verklarende PowerPoint, geconverteerd naar pdf: PDF icon avg_gdpr.pdf

 


[1] Art. 6, 1° AVG

Vaak gestelde vragen

Het delen van persoonsgegevens tussen de Sociale Huisvestingsmaatschappijen en Agentschap Wonen Vlaanderen

Op 25 mei 2018 trad de "Algemene Verordening Gegevensbescherming", internationaal beter bekend onder de naam GDPR (General Data Protection Regulation), in werking. Het doel van de GDPR is een betere bescherming te verlenen aan de natuurlijke personen bij de verwerking van hun persoonlijke gegevens.

Een van de regels die de GDPR oplegt heeft betrekking op het doorgeven van gegevens. Wanneer een verwerkingsverantwoordelijke (diegene die het doel en de middelen bepaalt) persoonsgegevens verstrekt aan een verwerker (diegene die ten behoeve van de verwerkingsverantwoordelijke gegevens verwerkt) is er een verplichting om overeenkomst af te sluiten. In deze overeenkomst worden de verantwoordelijkheden bij de verwerking van persoonsgegevens geregeld.

Agentschap Wonen  Vlaanderen (afdeling Toezicht) werkt niet in opdracht van de Sociale Huisvestingsmaatschappijen, en deelt bovendien zelf zijn activiteiten in. Er is dus tussen Agentschap Wonen Vlaanderen en de Sociale huisvestingsmaatschappijen  geen sprake van een verhouding verwerker-verwerkingsverantwoordelijke. Beide actoren functioneren als onafhankelijke verwerkingsverantwoordelijken. Om die reden hoeft er geen verwerkersovereenkomst wordt afgesloten met Agentschap Wonen Vlaanderen.

Meer vragen