Privacybescherming

Moet ik steeds de toestemming hebben van de betrokken personen om hun persoonsgegevens te mogen verwerken?

Neen. De toestemming van de betrokkene is maar één van de mogelijke verantwoordingsgronden om persoonsgegevens te mogen verwerken. De wet bevat echter nog een aantal andere grondslagen, waaronder de behartiging van het gerechtvaardigde belang van degene die de doelen en de middelen van de verwerking bepaalt, op voorwaarde dat de inbreuk op de rechten van de betrokkene niet zwaarder weegt dan dit belang.

Deze mogelijkheid is in de praktijk zeer belangrijk: zij laat degene die de verwerking organiseert toe om zelf af te wegen of er een noemenswaardige privacy-inbreuk voortvloeit uit de verwerking, en op basis daarvan te beslissen of het nodig is om de toestemming van de betrokkene te vragen.

Dat neemt natuurlijk niet weg dat de toestemming één van de meest praktische grondslagen is om een verwerking op te baseren, aangezien dit het risico op latere discussies gevoelig verkleint.

Bovendien bevat de wet strengere regels voor bepaalde persoonsgegevens die als bijzonder privacygevoelig worden beschouwd, onder meer met betrekking tot de gezondheid, raciale of etnische afkomst, godsdienst, ideologie, het seksuele leven of gerechtelijke geschiedenis. Voor deze categorieën van gegevens gelden strengere regels, en zal het vaak wel nodig zijn om de toestemming van de betrokkene te vragen.

Neem vrijblijvend contact op

Hoe moeten persoonsgegevens beveiligd worden?

De Privacywet eist dat er gepaste technische en organisatorische maatregelen worden getroffen om de persoonsgegevens te beschermen tegen bepaalde incidenten, waaronder vernietiging, verlies of ongeoorloofde toegang. Het gaat dus om een algemene norm, zodat men bij elke verwerking moet nagaan hoe privacygevoelig de gegevens zijn, welke risico’s er aan de verwerking vasthangen, en wat de gangbare methoden zijn om dergelijke gegevens te beveiligen. Men moet zorgen voor een “passend beveiligingsniveau”, rekening houdend met deze elementen. De wet bevat dus een verplichting tot verantwoord ‘risk management’.

Neem vrijblijvend contact op

Klopt het dat verwerkingen van persoonsgegevens moeten worden aangegeven bij de Privacycommissie?

Dit is inderdaad de basisregel. Om de transparantie van verwerkingen te verzekeren moet elke verwerking in principe vooraf worden aangegeven bij de Privacycommissie, die de aangifte daarna op haar website zal publiceren.  Zowel de aangifteplicht als de publicatie hebben enkel betrekking op de essentiële kenmerken van de verwerking; het is dus niet nodig om de gegevensbestanden zelf aan de Privacycommissie over te dragen. Aangiftes kunnen ook elektronisch gebeuren via deze website.

Op deze basisregel bestaan er echter massa’s uitzonderingen voor verwerkingen die niet bijzonder privacygevoelig zijn (bijvoorbeeld verwerkingen voor loons- of personeelsadministratie, klanten- of ledenbeheer en dergelijke meer). Best wordt dus vooraf nagegaan of een aangifte wel noodzakelijk is.

Neem vrijblijvend contact op

Mag ik de e-mails van mijn werknemers lezen als ik ze ergens van verdenk?

Het antwoord op deze vraag is niet zonder meer positief, en hangt grotendeels af van de maatregelen die werden getroffen door de werkgever om een duidelijk en evenwichtig communicatiebeleid uit te stippelen. De interpretatie van de Privacywet bij het toezicht op e-mailverkeer (of andere elektronische communicatie) wordt in België door een CAO geregeld.

CAO 81 stelt als basisprincipe voorop dat de werknemers correct geïnformeerd moeten worden over het toelaatbaar gebruik van communicatiemiddelen, bijvoorbeeld via een specifieke policy, zodat zij hun rechten en plichten kennen. Is dit gebeurd en worden de voorwaarden van CAO 81 en de Privacywet correct nageleefd, dan zal het nalezen van e-mail veelal als rechtmatig worden beschouwd. Is dat niet het geval, dan bestaat het risico dat een rechter het toezicht als onrechtmatig zal bestempelen, met alle dramatische gevolgen van dien. Voorzichtigheid is dus aangewezen.

Neem vrijblijvend contact op

Ik werk alleen in B2B en dus niet met consumenten. Dan is de Privacywet toch niet van toepassing?

De toepasselijkheid van de Privacywet wordt op de eerste plaats bepaald door de vragen of er persoonsgegevens worden verwerkt, en of deze verwerkingen onder de wet vallen. De draagwijdte van de Privacywet is echter zeker niet beperkt tot transacties met consumenten. Wanneer er in een B2B-context persoonsgegevens worden verwerkt (bijvoorbeeld contactgegevens van andere personen), dan is de Privacywet dus zeker van toepassing.

Neem vrijblijvend contact op

Hoe lang mag ik persoonsgegevens bewaren?

De Privacywet stelt voorop dat persoonsgegevens niet langer mogen worden bewaard dan nodig is voor de verwezenlijking van de doeleinden waarvoor zij werden verkregen of verder worden verwerkt. Aan de hand van deze abstracte regel moet dus worden afgewogen of de bewaring nog wel verantwoord is, rekening houdend met de doeleinden die oorspronkelijk werden vastgelegd. Is dit niet het geval, dan moeten de gegevens worden gewist of geanonimiseerd. De onbepaalde bewaring van persoonsgegevens is dus slechts zeer uitzonderlijk geoorloofd.

Neem vrijblijvend contact op

Is het niet eenvoudiger om de verwerking van persoonsgegevens te outsourcen naar een ander land? Dan is de Belgische wet toch niet meer van toepassing?

De Privacywet probeert dit soort omzeilingsstrategieën te bestrijden door de uitvoer van persoonsgegevens aan banden te leggen. Binnen de E.U. zijn er geen bijzondere problemen, aangezien alle Europese lidstaten over gelijkaardige regels beschikken. Wanneer men gegevens naar een bestemming buiten de E.U. wil verzenden, dan is dit echter enkel toegelaten onder strikte voorwaarden.

In het algemeen is dergelijke export enkel toelaatbaar met de toestemming van de betrokkene, wanneer de E.U. de wetgeving van het land van bestemming als afdoende beschouwt (hetgeen slechts zelden het geval is), of wanneer er een apart regelgevend kader werd voorzien. Zo kunnen internationale ondernemingen bijvoorbeeld gestandaardiseerde akkoorden afsluiten (waaronder de zogenaamde Binding Corporate Rules) op basis waarvan internationale gegevensuitwisseling toegelaten wordt, en kunnen Amerikaanse ondernemingen vrijwillig tot de zogenaamde Safe Harbor regels onderschrijven om Europese persoonsgegevens te mogen verwerken.

Neem vrijblijvend contact op

Mag ik gegevens die op het Internet staan (bijvoorbeeld op een social networking site) vrij gebruiken? Ten slotte heeft de betrokken persoon die zelf bekendgemaakt, dus zijn ze niet vertrouwelijk.

Niet noodzakelijk. De vertrouwelijkheid van de gegevens is niet doorslaggevend om te bepalen of het gebruik ervan toelaatbaar is. Men moet rekening houden met de doeleinden waarvoor de gegevens zijn bekendgemaakt. Op een zakelijke site zal dit bijvoorbeeld zijn met het oog op zakelijke contacten; op een privésite eerder om met kennissen contact te kunnen leggen. Een gebruik van de gegevens dat onverzoenbaar is met deze doeleinden (bijvoorbeeld gegevens automatisch scrapen om een marketingbestand aan te leggen) zal dan niet geoorloofd zijn.

Neem vrijblijvend contact op

Mag ik logbestanden gebruiken om na te gaan wie mijn software of website gebruikt?

Wanneer men gegevens gaat opslaan met het specifieke oogmerk om gebruikers te kunnen identificeren, dan zullen die gegevens wellicht als persoonsgegevens moeten worden aangemerkt. Als men dergelijke gegevens zonder het medeweten van de betrokkenen inzamelt, dan kan dit zeker voor problemen zorgen wanneer dit niet tot de redelijke verwachtingen van de gebruikers behoort. Wil men discussies hierover uitsluiten, dat is het dus aangewezen om minstens in de gebruiksvoorwaarden van de software of dienst aan te geven welke gegevens worden ingezameld en voor welke doeleinden, zodat de gebruiker hierover geïnformeerd is.

Neem vrijblijvend contact op

Mijn bedrijf levert technische diensten aan ondernemingen waarbij wij voor hen persoonsgegevens verwerken. Is de Privacywet dan nog van belang voor mij?

Ja, ook wanneer men voor andermans rekening persoonsgegevens verwerkt is de Privacywet van belang. In dit geval zal men namelijk in de overeenkomst met de opdrachtgever moeten aangeven welke rol men in de verwerking speelt, voor welke doeleinden de gegevens mogen worden verwerkt, en welke beperkingen daarbij in acht moeten worden genomen. Vergeet men dit te doen, dan kan dit later tot moeilijke discussies aanleiding geven als er zich problemen zouden voordoen.

Neem vrijblijvend contact op