Plichten

AVG Waarmee moet ik rekening houden?

AVG is van toepassing op elke verwerking van persoonsgegevens en maakt in principe geen uitzonderingen voor KMO’s. 

Ook een KMO moet dus steeds de basisprincipes respecteren, die aan de grondslag liggen van elke rechtmatige verwerking van persoonsgegevens. Dit betekent niet dat de AVG de lat voor elke KMO even hoog legt. Sommige maatregelen hoeft een KMO slechts te nemen indien een verwerking gepaard gaat met bijzondere risico’s, zoals bijvoorbeeld het aanstellen van een functionaris voor de gegevensbescherming (de Data Protection Officer of DPO) of het uitvoeren van Gegevensbeschermings-Effect-Beoordeling (GEB of DPIA Data Protection Impact Assessment) met bepaalde beschermingsmaatregelen afgestemd op de risico’s.
We wijzen op de plichten van de verwerker en de verwerkingsverantwoordelijke, indien die beroep doet op een externe dienstverlener: verwerker via outsourcing.  Het verwerken van gegevens in cloud of datacenter, en het uitbesteden van personeelsadministratie zijn courante voorbeelden van deze externe dienstverleners.
Tot slot moeten KMO’s bijkomende waarborgen in acht nemen bij de doorgifte van persoonsgegevens buiten de Europese Unie en moet u zelf ten allen tijde concreet weten waar uw gegevens effectief naartoe gaan.

Basisprincipes

Beschermingsmaatregelen

Externe dienstverleners

Uw gegevens gaan naar...

1.  Basisprincipes
 
1.1   Rechtsgrond

Elke verwerking van persoonsgegevens moet steunen op één van de rechtsgronden die art. 6 (AVG) opsomt. De AVG onderscheidt zes verschillende rechtsgronden:

  • de toestemming
  • de overeenkomst
  • de naleving van een wettelijke verplichting
  • het gerechtvaardigd belang van de verwerkingsverantwoordelijke of een derde.
  • het uitvoeren van een taak van openbaar belang
  • het behartigen van een vitaal belang
Een KMO zal zich voornamelijk beroepen op de eerste vier.  Al deze rechtsgronden zijn gelijkwaardig en het komt aan de KMO toe, om de rechtsgrond te kiezen die het best aansluit bij haar verwerkingsactiviteiten.
En wanneer u gevoelige gegevens verwerkt, moet u naast een van deze rechtsgronden ook voldoen aan één van de uitzonderingsgronden in art. 9.2 of art. 10 van de AVG.


1.1.1   De toestemming
Een KMO mag persoonsgegevens verwerken indien de betrokkene hierin toestemt. Waarschuwing: de toestemming is geen mirakeloplossing, die samenvalt met een aanvaarding van de algemene voorwaarden! Bovendien mag de betrokkene zijn of haar toestemming altijd en zonder enige motivering intrekken.

Volgens de definitie (art. 4.11 van de AVG) moet iedere toestemming voldoen aan de volgende zes criteria:

            • vrij zijn:   de betrokkenen moeten een echte keuze hebben, zonder dat zij onder druk worden gezet met negatieve gevolgen, indien zij hun toestemming niet zouden geven. Een toestemming die onlosmakelijk verbonden is aan de aanvaarding van algemene voorwaarden, is niet geldig. Bvb.: in de relatie tussen een werkgever en werknemer zal toestemming zelden vrij zijn door de gezagsverhouding die tussen hen beiden bestaat; een KMO ontwikkelt een app die gebruikers ondersteunt om talen te leren. Gebruikers moeten bij de installatie de app de toelating geven om hun GPS-lokalisatie te activeren als voorwaarde om de app te gebruiken. De KMO wendt deze informatie aan voor commerciële doeleinden. Geo-lokalisatie van de gebruiker is echter niet noodzakelijk voor het functioneren van de app. Aangezien de gebruiker de app niet kan gebruiken zonder instemming met de geo-lokalisatie, is de toestemming niet vrij en dus niet toegelaten.
            • specifiek zijn:   dit betekent dat de betrokkene voor ieder afzonderlijk doeleinde de keuze moet hebben om al dan niet in te stemmen. Bvb.: een KMO vraagt één toestemming om klanten op de hoogte te houden van nieuwe aanbiedingen én om hun klantengegevens te delen met commerciële partners. Deze toestemming is niet specifiek omdat je niet afzonderlijk kan instemmen met (één van) beide doelstellingen.
            • geïnformeerd zijn:   dit betekent dat de KMO vooraf in begrijpelijke taal de betrokkene moet uitleggen wie, welke persoonsgegevens voor welke doeleinden zal gebruiken. Een KMO moet de betrokkene altijd wijzen op de mogelijkheid om de toestemming in te trekken. Al deze informatie moet duidelijk te onderscheiden zijn van alle andere informatie of contractsbepalingen. Bvb.: een paragraaf in de algemene voorwaarden met informatie over de verwerking van persoonsgegevens leidt niet logisch tot een geïnformeerde toestemming.
            • positief geactiveerd zijn:   de toestemming mag niet worden afgeleid uit een vooraf aangevinkt vakje op een formulier (opt-out). Daarnaast moet een geldige toestemming voldoen aan een aantal bijkomende vereisten.
Zo moet de toestemming ook:
            • aantoonbaar zijn:   u moet steeds een bewijs bewaren van het verkrijgen van de toestemming.
              • vlot intrekbaar zijn:   zoals ze werd gegeven.  Bij online aankoop stemt een klant in om reclame te ontvangen van de KMO door een vakje aan te kruisen. Om die toestemming in te trekken moet de klant de KMO evengoed opnieuw kunnen klikken ipv op te bellen.  Aangezien de drempel om te bellen hoger is dan een muisklik, is dergelijke toestemming ongeldig. Toestemming die onder de Belgische privacywetgeving werd gegeven, blijft slechts geldig in zoverre die in overeenstemming is met de AVG!


1.1.2   De overeenkomst
Een KMO mag - bij het afsluiten van een contract - de persoonsgegevens van een klant, personeelslid of leverancier verwerken, die noodzakelijk voor de uitvoering van dat contract zijn.  Deze rechtsgrond dekt ook pre-contractuele maatregelen voor zover die op verzoek van de betrokkene worden uitgevoerd. Het initiatief moet dus bij de betrokkene liggen. Deze noodzakelijkheid is niet ruim te interpreteren en beperkt zich tot die persoonsgegevens zonder dewelke de overeenkomst niet uitgevoerd kan worden. Wanneer u gevoelige gegevens verwerkt, kan uw verwerking niet steunen op deze rechtsgrond!  

Bvb.: een KMO moet als werkgever persoonsgegevens van haar werknemers verwerken om het loon uit te betalen. Deze verwerking is noodzakelijk om de arbeidsovereenkomst uit te voeren;  Een klant vraagt een KMO om een offerte. Om deze offerte op te sturen en in afwachting van de aanvaarding ervan mag de KMO op basis van deze rechtsgrond de contactgegevens van de toekomstige klant tijdelijk bewaren;  Bij de online verkoop van goederen mag een KMO persoonsgegevens verwerken zoals bv. de naam, adresgegevens en kredietkaartgegevens om de betaling en levering mogelijk te maken;  Bij de online verkoop van goederen volstaat deze rechtsgrond niet om een gebruikersprofiel op te stellen op basis van het aankoop- en klikgedrag van de gebruiker. Hoewel deze informatie de KMO misschien een economisch voordeel kan opleveren, zijn deze persoonsgegevens niet noodzakelijk voor de uitvoering van de aankoopovereenkomst zelf.


1.1.3   De wettelijke verplichting
Een KMO mag persoonsgegevens verwerken als de wet dit oplegt. Voor een KMO is deze rechtsgrond bvb. van belang om persoonsgegevens van personeelsleden aan te geven bij de fiscus of de instellingen van de sociale zekerheid.

Bvb.: het KB dd. 5/11/2002 tot invoering van een onmiddellijke aangifte van tewerkstelling (DIMONA-aangifte) schrijft voor dat de werkgever persoonsgegevens van een werknemer aan de Rijksdienst voor Sociale Zekerheid communiceert. De overheid gebruikt deze gegevens om bepaalde sociale rechten toe te kennen aan de werknemer.


1.1.4   Het gerechtvaardigde belang van de verwerkingsverantwoordelijke
Een KMO mag persoonsgegevens verwerken als dit noodzakelijk is voor een gerechtvaardigd belang van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en fundamentele vrijheden van de betrokkene zwaarder doorwegen. Dit betekent dat de KMO in de eerste plaats een gerechtvaardigd belang moet nastreven om vervolgens een afweging te maken met de belangen van de betrokkene. Deze rechtsgrond is dus dynamisch en vraagt voor iedere verwerking een bijzondere en gedocumenteerde rechtvaardiging die de noden van de KMO afweegt aan de impact op de betrokkene.

Bvb.: direct marketing is een courante methode om aan klantenprospectie te doen. Als de direct marketing niet frequent en agressief is, mag de KMO binnen een bestaande klantenrelatie contactgegevens gebruiken voor direct marketing om haar eigen diensten of producten aan te prijzen. Let op: e-Privacyrichtlijn (Richtlijn 2002/58/CE) at. 13 legt hier wel een aantal extra voorwaarden op. Bij de inzameling van de contactgegevens moet de KMO de klant expliciet wijzen op het recht om zich tegen direct marketing te verzetten. De KMO moet het gemakkelijk maken om dat recht uit te oefenen (via een duidelijke zichtbare ‘opt-out’ mogelijkheid bij de inzameling van de gegevens en bij iedere direct marketing communicatie).
Bvb.: op basis van dezelfde rechtsgrond mag de KMO persoonsgegevens verwerken die noodzakelijk zijn om factuurfraude te detecteren en hun klanten hiervan op de hoogte te brengen. Als u gevoelige gegevens verwerkt, kan uw verwerking niet steunen op deze rechtsgrond!

1.2   Doeleinde

Het principe van doelbinding is een cruciaal fundament van de AVG. Volgens art. 5b mag u persoonsgegevens uitsluitend verwerken voor doeleinden die vooraf uitdrukkelijk zijn vastgelegd. In beginsel (hierop bestaan uitzonderingen) is het verboden om de verkregen gegevens nadien verder te verwerken voor een ander doel dat oorspronkelijk niet was voorzien. Dit is het basisprincipe van de AVG, doch drie mogelijkheden dienen zich aan, als u persoonsgegevens wil verwerken voor een doeleinde, dat afwijkt van het doeleinde waarvoor u deze gegevens oorspronkelijk verkreeg:

            •   Afzonderlijke toestemming:   u vraagt de toestemming van de betrokkene om de persoonsgegevens te verwerken voor dit nieuwe doeleinde. Deze toestemming vormt dan de rechtsgrond van de verwerking voor dit nieuwe doeleinde; Bvb.: een KMO ontwikkelt een klantenprofiel op basis van het aankoop- en klikgedrag op haar website. De klant stemde hiermee in om zijn gebruikservaring te optimaliseren en op de hoogte te blijven van bijzondere aanbiedingen waarin hij of zij geïnteresseerd zou kunnen zijn.
Als de KMO deze profielen later wil doorverkopen aan een data broker voor advertentiedoeleinden, moet zij hiervoor absoluut zeker apart de expliciete toestemming van de klant vragen.
            •   Wettelijke verplichting:   de verdere verwerking van persoonsgegevens vloeit voort uit een wettelijke verplichting. De wettelijke verplichting maakt in dit geval de rechtsgrond uit van de verdere verwerking;
            •   Verenigbaarheid:   de verwerkingsverantwoordelijke moet beoordelen of het nieuwe doeleinde verenigbaar is met de doeleinden waarvoor de gegevens oorspronkelijk werden verkregen. Zo ja, dan is de verwerking gesteund door de rechtsgrond op basis waarvan u de gegevens oorspronkelijk verkreeg en verwerkte.

Bvb.: een KMO installeert een bewakingscamera aan de ingang van haar winkel. De camera filmt toevallig ook de kassierster die de klanten onthaalt en telefoons aanneemt. De KMO mag die camerabeelden in principe enkel gebruiken bij een veiligheidsincident (bvb. een overval) en niet om de arbeidsprestaties van de kassierster te evalueren. 

De AVG somt enkele criteria op die kunnen helpen om na te gaan of het nieuwe doeleinde al dan niet verenigbaar is met het oorspronkelijke doeleinde.  Die criteria gaan na of verdere verwerking redelijkerwijze voorzienbaar was voor de betrokkene.

De KMO moet dus rekening houden met:
     •   het verband tussen de oorspronkelijke doeleinden en de nieuwe doeleinden;
     •   de context waarin de persoonsgegevens werden verkregen en in het bijzonder de relatie tussen de betrokkenen en de verantwoordelijke voor de verwerking;
     •   de gevoeligheid en de aard van de persoonsgegevens, vooral als de verwerking slaat op bijzondere categorieën persoonsgegevens;
     •   de mogelijk gevolgen van de verdere verwerking voor de betrokkenen;
     •   het bestaan van passende waarborgen, waaronder versleuteling of codering.

Bvb.: een KMO levert verse bereide maaltijden met lokale ingrediënten aan huis. Men wil de contactgegevens en aankoopgeschiedenis gebruiken om bijzondere aanbiedingen of een korting op haar eigen maaltijden toe te passen. Dit gebruik is wèl verenigbaar met het oorspronkelijke doeleinde, aangezien er een nauwe band bestaat tussen de dienstverlening en de bijzondere aanbiedingen, de gegevens niet echt gevoelig zijn en de gevolgen voor de klant uitsluitend positief zijn.  Let op: dergelijke analyse kan ook anders uitdraaien indien de KMO gebruik maakt van verregaande profilering of wanneer dit leidt tot prijsdifferentiatie: de KMO moet de klant uitdrukkelijk informeren dat deze het recht heeft om zich tegen de direct marketing te verzetten en het voor de klant gemakkelijk maken om dat recht uit te oefenen. 

Controleer dus altijd of elke verwerking van persoonsgegevens een welbepaald, uitdrukkelijk omschreven en gerechtvaardigd doeleinde heeft en dat, indien die gegevens hergebruikt worden voor een ander doeleinde dan het oorspronkelijke doel, het nieuwe gebruik van deze gegevens verenigbaar is met het eerste gebruik. 

1.3   Juistheid en gegevenskwaliteit

De persoonsgegevens moeten juist en actueel zijn. Zodra een KMO zich bewust wordt van het foutieve of gedateerde karakter van de persoonsgegevens, moet ze deze actualiseren, verbeteren of wissen. Hoewel een KMO niet de eindverantwoordelijkheid draagt, indien een klant of andere betrokkene foute informatie verstrekt, moet ze wel proactieve inspanningen leveren om voor de hand liggende fouten te detecteren en recht te zetten. De betrokkene heeft trouwens ook een recht op de verbetering van zijn persoonsgegevens (rechten van de betrokkene). Dit beginsel heeft ook gevolgen voor de bewaartermijn van persoonsgegevens.

Indien u gegevens te lang bewaart, zijn deze niet langer accuraat. Stippel dus een beleid uit waarbij oude persoonsgegevens systematisch gewist of geactualiseerd worden.

Bvb.: wanneer een klant of personeelslid een wijziging meedeelt, moet de KMO deze wijziging zo snel mogelijk doorvoeren. Die wijziging kan gaan over naam, adres, woonplaats, e-mailadres, telefoonnummer, aantal kinderen ten laste, nummerplaat, enz.

Controleer actief uw klantengegevens om foute e-mailadressen te detecteren en match tussen postcode en straatnaam te verifiëren. Contacteer uw klant als u vermoedt dat er gegevens foutief zijn: pas zo nodig aan.

1.4   Minimale gegevensverwerking

De verzameling en de verwerking van persoonsgegevens moeten zich beperken tot wat strikt noodzakelijk is om de vooropgestelde doeleinden te vervullen. Alle opgevraagde gegevens moeten pertinent zijn.

Dit betekent dat een KMO voor ieder geregistreerd persoonsgegeven moet kunnen aantonen waarom die informatie noodzakelijk is om het concreet doeleinde te bereiken. Kan de KMO dit niet aantonen, dan zijn de persoonsgegevens overbodig en moeten ze gewist worden.  We geven op volgende pag. enkele voorbeelden:

Bvb.: een KMO gebruikt ERP-software (Enterprise Resource Planning) om haar klantenbestand te beheren. De ERP-software voorziet in vrije velden om extra informatie over de relatie met de klant te registreren en de dossieropvolging te vergemakkelijken. Registreer zeker geen excessieve informatie in dit vrije veld!

Bij een betalingsachterstand of een andere problematiek/situatie is bvb. de opgave van de bepaalde redenen hiervoor, zoals “klant is gescheiden” of “klant is werkloos” niet pertinent en dus verboden volgens de AVG;

Bvb.: de KMO die iemand aanwerft moet een aantal gegevens kennen m.b.t. sociale zekerheid, gezinssituatie, behaalde diploma’s. De werkgever mag ook uitsluitend die gegevens bewaren die noodzakelijk zijn voor de professionele band met de medewerker. De KMO mag géén medische gegevens bewaren, zoals bijvoorbeeld dat hij of zij in een welbepaald jaar een longontsteking had en het slachtoffer was van een beenbreuk.  Men mag echter wel het aantal dagen optekenen, tijdens welke de medewerkers afwezig waren wegens ziekte.

Sorteer de verwerkte gegevens en stel steeds de vraag of er nog een werkelijke nood bestaat om de gegevens te verwerken. Misschien kan u hetzelfde doel met minder gegevens of minder gevoelige gegevens bereiken.

1.5   Bewaartermijn

Een KMO mag persoonsgegevens nooit langer bewaren dan noodzakelijk om de vooropgestelde doeleinden te bereiken. Zodra deze doeleinden zijn volbracht of wegvallen, moet een KMO de persoonsgegevens wissen.

Immers, bij gebrek aan een doeleinde valt de noodzaak tot het bewaren en verwerken weg. Daarom moet een KMO maximale bewaartermijnen vastleggen voor al haar persoonsgegevens. Soms heeft de wetgever zelf al een verplichte bewaartermijn vastgelegd.  

Maak een inventaris van hoelang u al uw persoonsgegevens bewaart en motiveer steeds waarom u die gegevens nog nodig hebt. Voer ook een bewaarpolitiek in met een gedifferentieerde toegang.

We sommeren hieronder alvast enkele voorbeelden van reële situaties:

Bvb.: persoonsgegevens opgenomen in de boekhouding, moet een KMO pas na 7 jaar wissen. Art. III.88 van het Wetboek Economisch Recht bepaalt dat ondernemingen hun boeken moeten bewaren gedurende 7 jaar. 

Dezelfde redenering geldt voor documenten, zoals facturen, die de KMO moet bewaren door BTW wetgeving of voor directe belastingen;  Een KMO moet tevens de persoonsgegevens van een sollicitant verwijderen van zodra het duidelijk is dat betrokken persoon niet zal worden aangeworven. (Stel dat de KMO deze informatie wil bewaren, dan moet zij de sollicitant informeren en de mogelijkheid geven om zich hiertegen te verzetten);  

Een KMO ontslaat een personeelslid: de KMO mag het personeelsdossier archiveren en bijhouden zolang de verjaringstermijn voor een mogelijke rechtsvordering loopt of de sociale wetgeving dit voorschrijft. Nadien heeft de KMO echter geen reden meer om deze persoonsgegevens nog langer te bewaren en moet zij deze wissen;  

Een headhunter verzamelt CV’s van werkzoekenden om deze te koppelen aan een geïnteresseerde werkgever. Het bureau bewaart deze CV’s gedurende tien jaar. Deze periode is disproportioneel ten opzichte van het doel dat erin bestaat om op korte termijn een job te vinden voor de werkzoekende. Voer een bewaarpolitiek in met een gedifferentieerde toegang. De behandeling van lopende dossiers vereist een bewaring waarbij de gegevens normaal beschikbaar en toegankelijk zijn voor de dossierbeheerder. 

Zodra een dossier kan worden gearchiveerd, moet de KMO kiezen voor een bewaringswijze waarbij de gegevens slechts beperkt beschikbaar en toegankelijk zijn. Die tweede bewaarmethode is verantwoord gelet op doeleinden van verdere bewaring, zoals naleving van wettelijke voorschriften inzake verjaring of verplichte bewaartermijnen.  Wanneer ook die bewaring niet langer nuttig is, moeten de gegevens gewist worden.

1.6   Transparantie

Zonder noodzakelijke informatie over hun rechten, het hoe en waarom van de verwerkingsactiviteit, kunnen de betrokkenen hun rechten niet uitoefenen. Daarom is transparante communicatie cruciaal bij AVG.

Als verwerkingsverantwoordelijke moet de KMO proactief communiceren, zodat betrokkenen precies weten wie de persoonsgegevens verwerkt, waarom en tot wie zij zich kunnen richten bij problemen.

Transparantie is een overkoepelende verplichting en die heeft gevolgen op drie vlakken:

  • de KMO heeft een plicht om de betrokkene proactief te informeren;
  • transparantie verplicht de verwerkingsverantwoordelijke in de KMO om de uitoefening te faciliteren van “de rechten van de betrokkenen”;
  • transparantie heeft gevolgen voor de manier van communiceren: als verwerkingsverantwoordelijke rust op de KMO een plicht om alle communicatie over de verwerking van persoonsgegevens op te stellen in duidelijke en begrijpelijke bewoordingen, afgestemd op het doelpubliek.  De informatie moet bovendien gemakkelijk toegankelijk zijn.  Dit betekent dat het voor de betrokkene onmiddellijk duidelijk moet zijn waar hij of zij de nodige informatie kan vinden.

    Bvb.: het privacy-beleid op de website van een KMO mag géén overmatig juridische taalgebruik bevatten, noch onnodig complexe formuleringen gebruiken;  De weblink naar privacy-beleid moet duidelijk zichtbaar zijn op de website van de KMO. De kleur en een in het oog springende positie kunnen hiertoe bijdragen;  Zinnen zoals “We kunnen uw gegevens gebruiken om nieuwe diensten te ontwikkelen” of “We kunnen uw gegevens gebruiken om gepersonaliseerde diensten aan te bieden” zijn niet transparant en dus verboden, omdat het onduidelijk is welke diensten worden ontwikkeld of wat personaliseren precies inhoudt. 

Lees verder meer over het recht op informatie en de plicht om te informeren, om meer informatie te krijgen over transparantie, binnen de context van het recht op informatie en de plicht om proactief te informeren bij de inzameling van persoonsgegevens.

Zorg ervoor dat je communiceert op transparante wijze naar klanten, personeel en leveranciers over de verwerking van hun persoonsgegevens.  Formuleer alles in bewoordingen, aangepast aan uw doelgroep(en).

1.7   Beveiliging

Elke KMO moet passende technische en organisatorische maatregelen nemen om de veiligheid van de persoonsgegevens te garanderen.

Deze maatregelen zijn zowel organisatorisch als technisch: een kant-en-klaar beveiligingssoftwarepakket aanschaffen volstaat dus niet altijd!  De KMO moet de persoonsgegevens beschermen tegen ongeoorloofde toegang of verwerking, verlies en beschadiging.

De concrete implementatie van deze verplichting kan variëren volgens de risico’s en de omvang van die verwerking, de kost en de technische haalbaarheid.

De AVG verlangt dus niet noodzakelijk dat een bescheiden KMO het neusje van de zalm aanschaft inzake informatiebeveiliging.  Hieronder geven we enkele voorbeelden van organisatorische en technische beschermingsmaatregelen:


1.7.1   Organisatorische maatregelen
Sensibilisering en opleiding:   sensibiliseer het voltallige personeel om hen vertrouwd te maken met de basisbeginselen inzake gegevensbescherming. Met name de personeelsleden met toegang tot de persoonsgegevens zelf moeten opgeleid worden zodat zij die toegang niet (on)bewust misbruiken. Deze laagdrempelige maatregel moet elke KMO invoeren.

Veiligheidsbeleid uitstippelen:   dit betekent dat het bedrijfsmanagement een uitdrukkelijk beleid uitdenkt en implementeert. Dit beleid omvat op zijn minst de volgende punten:
               procedures in het leven roepen bij aankomst en vertrek van gebruikers;
               het verspreiden van een algemene gedragscode voor het ICT-gebruik;
               het aanduiden van een verantwoordelijke voor informatiebeveiliging;
               het regelmatig plannen en getrouw uitvoeren van veiligheidsaudits;
               een toegangsbeleid uitdenken dat uitsluitend toegang verleent tot persoonsgegevens op een “need-to-know”- basis;
               het opstellen van interne procedures om klachten te behandelen en adequaat te reageren op incidenten zoals gegevenslek;


1.7.2   Technische maatregelen
Een aantal laagdrempelige maatregelen kunnen eenvoudig worden uitgerold in de IT-infrastructuur van de meeste KMO’s, zoals:
               gebruik een virusscanner en update deze systematisch en tijdig;
               maak systematisch een back-up om te beschermen tegen verlies;
               update systematisch en automatisch al uw softwareprogramma’s;
               laat uw website functioneren via een beveiligde https-verbinding;
               installeer een “firewall”(zowel hard- als software);
               garandeer de fysieke veiligheid van servers door alleen geautoriseerd personeel hier toe te laten (bv. aan de hand van badges);
               voer een toegangssysteem in met een uniek identificatiemiddel (login) voor elke gebruiker met een authenticatiemechanisme.

2.  Beschermingsmaatregelen afgestemd op de risico's

De AVG stelt de rechten van de betrokkene centraal en wil de risico’s waarmee een verwerking gepaard gaat, identificeren en inperken. De AVG zet de KMO op weg om die noodzakelijke risicoanalyse door te voeren en reikt een aantal middelen aan om dit proces te vergemakkelijken. Bovendien helpen deze maatregelen om de naleving van de AVG proactief te garanderen. In dit hoofdstuk doorlopen we de volgende stappen:

               Stap 1 : het register van de verwerkingsactiviteiten: breng verwerkingen in kaart;
               Stap 2 : duid een functionaris voor de gegevensbescherming (DPO) aan;
               Stap 3 : voer een Gegevensbeschermings-Effect-Beoordeling (GEB) uit;

Stappen 2 en 3 moet de KMO slechts te nemen als aan bepaalde voorwaarden is voldaan. In geval van twijfel moet de KMO dit best documenteren waarom zij van mening was dat die stappen niet noodzakelijk waren.

2.1   Eerste stap:  maak een overzicht met het register van de verwerkingsactiviteiten

Het opstellen van een overzicht van alle verwerkingen van persoonsgegevens is een onmisbare stap in de beoordeling van het risico. De AVG verplicht iedere verwerkingsverantwoordelijke en verwerker om een interne documentatie bij te houden van de verwerkingsactiviteiten die onder hun verantwoordelijkheid plaatsvinden. Met dit register krijgen zij inzicht in de verwerkingen die zij verrichten. Dit register moet schriftelijk (elektronisch of op papier), helder en begrijpelijk zijn.

Het register bevat een overzicht van de verwerkingsactiviteiten, niet van de persoonsgegevens zelf en moet op zijn minst de volgende informatie vermelden:

  • Wie: naam en contactinformatie van de verwerkingsverantwoordelijke en functionaris (DPO);
  • Waarom: per verwerking vermeldt het register in detail de verwerkingsdoeleinden;  
  • Wat: per verwerking vermeldt het register de soorten van persoonsgegevens en betrokkenen;
  • Waar: het register vermeldt alle ontvangers van de persoonsgegevens, de doorgiftes naar een land buiten de Europese Unie en de eventuele passende waarborgen voor zo een doorgifte;  
  • Bewaartermijn: indien mogelijk, de termijn waarbinnen men persoonsgegevens moet wissen;  
  • Beveiliging: indien mogelijk, een algemene beschrijving van de beveiligingsmaatregelen.

Het register vervult een cruciale rol in de naleving van de AVG. Het is een basisinstrument om tal van andere plichten te kunnen vervullen zoals het informeren van betrokkenen en het efficiënt omgaan met verzoeken om hun rechten uit te oefenen (zoals inzage, verbetering en uitwissing).

Toch voorziet de AVG in een zeer beperkte uitzondering voor KMO’s:
       een organisatie met minder dan 250 personen in dienst moet geen register houden, tenzij:
    • de verwerking van persoonsgegevens niet incidenteel is;  
    • de verwerking een risico inhoudt voor de rechten en vrijheden van de betrokkenen;
    • de verwerking betrekking heeft op gevoelige gegevens.


Hieronder volgt korte verduidelijking van deze situaties waarin een KMO toch een register moet bijhouden:

       als de verwerking gewoonlijk is (niet incidenteel): incidenteel betekent dat de verwerking van persoons-gegevens niet systematisch plaatsvindt binnen de KMO. Indien de verwerking ingebed is in het normale functioneren van de KMO zal de KMO, minstens voor deze verwerking, een register moeten bijhouden.

Binnen een KMO zijn alle verwerkingen die verband houden met het klantenbeheer, leveranciersbeheer personeelsbeheer NIET incidenteel.

       als de verwerking een risico inhoudt voor de rechten en vrijheden van de betrokkenen: dit is een catch-all bepaling die een omzeiling van de risico-gebaseerde aanpak wil voorkomen. Overweging 75 van de AVG somt enkele situaties op waarin sprake is van dergelijk risico: het toebrengen van een financieel of maatschappelijk nadeel, profilering, de onmogelijkheid voor de betrokkene om zijn of haar rechten uit te oefenen, de hoeveelheid van persoonsgegevens, het aantal betrokkenen en de verwerking van gegevens van kwetsbare personen (bv. kinderen). Bvb.: Een kinderdagverblijf dat gegevens van de opgevangen kinderen registreert, moet hiervoor een register aanleggen.
       bij de verwerking van gevoelige gegevens: verwerking van bepaalde gevoelige gegevens brengt een hoger risico op later misbruik met zich mee. Bvb.: Een huisartsenpraktijk, die medische gegevens verwerkt van haar patiënten moet een register aanleggen.

Kort samengevat: dit betekent dat de verplichting tot het houden van een register slechts in een heel beperkt aantal situaties wegvalt. Daarom raden we alle verwerkingsverantwoordelijken en verwerkers aan om altijd een register te houden, zelfs al zou dit strikt genomen niet verplicht zijn. Voor een KMO met een beperkt aantal gegevensverwerkingen is dit geen onoverkomelijke taak. Bovendien is het opstellen van dit register onontbeerlijk om een correcte inschatting te maken van de verplichtingen die voortvloeien uit de AVG.
 
REGISTER VAN DE VERWERKINGSACTIVITEITEN:

       Het registermodel dat wij voorstellen bevat meer informatie dan de AVG oplegt. Dit registermodel moet dus echt als een instrument gezien worden omdat het de gebruiker in staat stelt een overzicht te behouden over alle belangrijke informatie die in het licht van de toepassing van de AVG evenzeer van belang zijn.

       De informatie die absoluut in het Register moet worden vermeld, zoals bepaald in de AVG, is in het rood gekleurd. Wanneer u dus de andere kolommen weglaat en slechts de rode velden behoudt, verkrijgt u een Register dat het minimum aan informatie bevat dat de AVG vereist.

       Het registermodel laat toe een historiek van de gegevensverwerkingen op te bouwen door onder de rubriek "status" de velden "einddatum verwerking" en "plaatsvervangende verwerking" in te vullen. Dit kan nuttig zijn om een overzicht te hebben van de belangrijke aspecten van de verwerkingen die een organisatie in het verleden heeft verricht.

       Het registermodel bevat 5 tabbladen:

  • Tabblad "Identificatie van de verwerkingsverantwoordelijke": identificatie van de organisatie die het register beheert en desgevallend de identificatie van de functionaris voor de gegevensbescherming;
  • Tabblad "register": het eigenlijke register waar de verschillende soorten gegevensverwerkingen worden ingevuld;
  • Tabblad "lijsten": lijsten met voorbeeldwaarden als hulp bij het invullen van het Register;
  • Tabblad "handleiding register": hier wordt uitgelegd hoe u het Register moet invullen.
  • Tabblad "mapping aangifte": met dit tabblad kunt vergelijken en dus gemakkelijk de informatie overnemen die u desgevallend al invulde in uw voorafgaande aangifte van de verwerking. Kolom A herneemt de categorieën van het Register en kolom B geeft het equivalent dat u in uw aangifte kunt terugvinden.
Dit model is géén officieel document, u mag dus een ander Register gebruiken, zoals bvb. voorgesteld door uw eigen sectorfederatie, zelfs in een andere format (een andere software, ... ) zolang het basisdoel van het Register behouden blijft: een volledig overzicht bieden van alle verrichte persoonsgegevensverwerkingen.

2.2   Tweede stap:  duid een functionaris aan voor de gegevensbescherming (DPO)

Sommige verwerkingsverantwoordelijken en gegevensverwerkers moeten een functionaris voor gegevens-bescherming (data protection officer of DPO) aanduiden.

De functionaris heeft als taak om:
               te informeren en te adviseren om de AVG na te leven;
               op vraag advies te verlenen met betrekking tot de GEB;
               te controleren of verwerkingen de AVG respecteren;
               op te treden als contactpunt voor de toezichthoudende autoriteit;


2.2.1   Moet ik een functionaris voor gegevensbescherming aanstellen?
Niet iedere KMO moet een functionaris voor gegevensbescherming aanduiden. Dat is verplicht in 3 gevallen:

               de KMO is hoofdzakelijk belast met grootschalige, regelmatige en stelselmatige observatie van natuurlijke personen; zoals bvb. de geo-lokalisatie via een mobiele app, profilering en observatie door middel van bewakingscamera’s zijn mogelijke voorbeelden van stelselmatige observatie.
               de KMO is hoofdzakelijk belast met grootschalige verwerking van gevoelige gegevens.
               een overheidsinstantie verricht de verwerking;  

De begrippen “hoofdzakelijk” en “grootschalig” zijn cruciaal om te bepalen of een bepaalde KMO een DPO moet aanstellen. Hoofdzakelijk betekent dat de verwerking voortvloeit uit de hoofdactiviteiten van de KMO en niet uit een louter ondersteunende nevenactiviteit zoals het uitbetalen van personeel of IT support. Grootschaligheid kan zowel slaan op het volume van de gegevens, het aantal betrokkenen, de duurtijd als de geografische dekking en laat zich niet zomaar herleiden tot een welbepaald cijfer.
 
Bvb.: een KMO verzamelt en combineert als hoofdactiviteit persoonsgegevens uit verschillende bronnen, om klantenprofielen op te stellen en nadien door te verkopen aan adverteerders. Deze profilering is een vorm van stelselmatige observatie. Tot slot zal in concreto moeten beoordeeld worden of de verwerking grootschalig is of niet. Zo ja, is de aanduiding van een DPO noodzakelijk;  Een KMO installeert 1 bewakingscamera die gericht is op de kassa van de winkel. Het filmen leidt tot een stelselmatige observatie van natuurlijke personen. De verwerking is echter niet grootschalig en het filmen voor veiligheidsdoeleinden is geen hoofdactiviteit van de KMO. In dit geval hoeft de KMO geen DPO aan te duiden;  Een KMO beheert de website waarmee ziekenhuizen met huisartsen uit de hele provincie medische informatie kunnen uitwisselen. De hoofdactiviteit van de KMO bestaat in het uitwisselen van gevoelig gegevens. De regionale ontplooiing van deze website is voldoende grootschalig om de aanduiding van een DPO te verplichten.

U mag trouwens altijd vrijwillig een functionaris voor gegevensbescherming aanduiden, zelfs als dit juridisch niet verplicht is. Opgepast: Indien u vrijwillig een functionaris voor gegevensbescherming aanduidt, moet u alle regels naleven van de AVG over de taken en de positie van de functionaris. Let dus op met een lichtzinnig gebruik van de functietitel DPO of functionaris!

Gebruik die titel alleen als het gaat om een échte functionaris voor gegevensbescherming in de zin van AVG.


2.2.2   Positie van de functionaris voor gegevensbescherming
De KMO moet de functionaris voor gegevensbescherming goed ondersteunen, door toegang te verlenen tot persoonsgegevens en verwerkingen. Ook moeten de nodige middelen ter beschikking gesteld worden voor het vervullen van zijn taken (tijd, training, faciliteiten en financieel). De functionaris moet toegang hebben tot het hoge management om problemen aan te kaarten.

De functionaris voor gegevensbescherming moet ook onafhankelijk zijn. Dit betekent dat de KMO:

  • de functionaris geen instructies mag geven over de uitvoering van zijn/haar taken; 
  • de functionaris niet mag straffen of ontslaan voor de uitvoering van zijn/haar taken;
Om de onafhankelijkheid te waarborgen mag de functionaris voor gegevensbescherming slechts andere taken of functies opnemen indien die bijkomende verantwoordelijkheden niet leiden tot een belangenconflict. Dit houdt in dat de functionaris geen positie mag hebben waarin hij/zij het doel en de middelen van de verwerking van persoonsgegevens bepaalt. Conflicterende functies omvatten vooral directieposten (hoofd HR, hoofd IT, gedelegeerd bestuurder) maar kunnen ook slaan op lagere functies.

De AVG voorziet in de mogelijkheid om een externe functionaris voor gegevensbescherming aan te wijzen in het raam van een dienstverleningscontract.

Concreet doet u volgende zaken en taken:

  • Ga na of uw KMO een functionaris voor gegevensbescherming moet aanduiden en documenteer bij twijfel waarom u wel of niet een DPO aanstelt. 
  • Ga na of uw functionaris voor gegevensbescherming geen andere interne taken opneemt, die de onafhankelijkheid van zijn positie ondermijnen (belangenconflict).  
Zelfs als u geen DPO aanstelt, raden we aan om een persoon aan te duiden die de naleving van de AVG controleert en optreedt als contactpersoon voor betrokkenen die hun rechten uitoefenen. Geef deze persoon niet de titel ‘DPO’ of ‘functionaris voor de gegevensbescherming’!

2.3   Derde stap:  voer een Gegevensbeschermings-Effect-Beoordeling uit (GEB)

De GEB is een voortdurend proces dat dient om risico’s voor de rechten en vrijheden van natuurlijke personen te detecteren, evalueren en uiteindelijk te beheersen. De GEB is uitsluitend verplicht wanneer de verwerking een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Men heeft een lijst van een negental factoren opgesteld, die helpen om te beoordelen wanneer er een hoog risico is.

Hoe meer factoren aanwezig zijn in de verwerking, des te groter de kans dat er sprake is van een hoog verwerkingsrisico. U moet geval per geval beoordelen of het risico hoog en een GEB dus noodzakelijk is. De KMO moet de GEB uitvoeren voor de verwerking begint en moet nadien deze evaluatie op gezette tijdstippen overdoen zodat de risicobeoordeling en de bijhorende maatregelen up-to-date blijven.

Een GEB omvat ten minste:

  • een gedetailleerde en duidelijke beschrijving van de verwerkingen en de doeleinden;
  • een beoordeling van de proportionaliteit van de verwerkingen t.o.v. die doeleinden;
  • een beoordeling van de risico’s voor de rechten en vrijheden van betrokkenen;
  • de beoogde maatregelen om die risico’s aan te pakken.

voorbeeld: een KMO observeert het surfgedrag van haar personeel om overmatig privégebruik tijdens de werkuren te voorkomen. Er is sprake van stelselmatige observatie en een evaluatie. Bovendien bevinden de werknemers zich in een ondergeschikte - dus kwetsbare - positie ten aanzien van de werkgever. Het risico is in dit geval hoog en een GEB is hoogst waarschijnlijk noodzakelijk. 

De GBA zal in de toekomst ook een lijst opstellen van soorten verwerkingen waarvoor een GEB automatisch verplicht is. In een aantal gevallen vindt de AVG zelf dat het risico per definitie hoog is en moet u sowieso een GEB uitvoeren:

               bij een systematische en uitgebreide beoordeling van persoonlijke aspecten van natuurlijke personen, waaronder profilering, indien dit leidt tot beslissingen die de betrokkene aanzienlijk treffen; Bvb.: de KMO maakt gebruik van een online wervingsplatform dat op basis van een automatische lezing van CV, kandidaten automatisch selecteert of afwijst. 
               bij de grootschalige verwerking van gevoelige persoonsgegevens zoals in de zin van artikel 9 en 10 AVG; Bvb.: een start-up ontwikkelt een health-app op basis van een open platform (bijv. Android) dat gegevens over slaap-, eetgewoonten en fysieke activiteit verzamelt. 
               bij de stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten.
Soms volstaan maatregelen die u neemt in het kader van de GEB niet om het hoge risico afdoend in te perken. Indien na het uitvoeren van de GEB het residuele risico - dit is het risico dat overblijft ondanks de maatregelen die u neemt in het kader van de GEB - nog steeds hoog blijft, moet u het advies van de GBA inwinnen.
 
TE ONDERNEMEN ACTIE: beoordeel de noodzaak tot het uitvoeren van een GEB:

            1)   bevindt u zich in een van de drie gevallen die een GEB vereisen?
            2)   indien niet: voert de KMO verwerkingen uit die een hoog risico kunnen vormen voor de rechten en vrijheden van natuurlijke personen?  
            3)   indien niet: een GEB is niet nodig maar de KMO zal haar beslissing moeten rechtvaardigen en documenteren.

3.  Externe dienstverleners

Om kosten te besparen op de installatie van een autonome IT-infrastructuur doen KMO’s vaak beroep op externe dienstverleners (verwerkers) om persoonsgegevens op te slaan of bepaalde diensten te bekomen (outsourcing). Beroep doen op externe dienstverleners is toegelaten, maar moet steeds gepaard gaan met een aantal waarborgen. Deze waarborgen moeten er voor zorgen dat de KMO voldoende controle behoudt over wat er met de persoonsgegevens gebeurt en dat die behoorlijk beveiligd zijn. Het opslaan en verwerken van gegevens in de cloud is een courante vorm van outsourcing.  De KMO zal in de keuze van de Cloud Service Provider (CSP) rekening moeten houden met o.a. de veiligheid van de uitgewisselde persoonsgegevens. Het machtsonevenwicht in de contractuele relatie ontslaat de KMO niet van haar verantwoordelijkheid om alleen contractuele voorwaarden te aanvaarden die in overeenstemming zijn met de AVG.  Let hier dus goed op!

Bvb.: een brouwerij doet beroep op een sociaal secretariaat om de loonadministratie te beheren. De brouwerij communiceert de details van de betaling zoals tijdstip, loonstijgingen of een ontslag.  Het sociaal secretariaat gebruikt haar eigen IT-infrastructuur om de personeelsgegevens op te slaan en de loonadministratie waar te nemen.  Het sociaal secretariaat is de verwerker en de brouwerij is verwerkingsverantwoordelijke. 
 
De volgende maatregelen moet u nemen, wanneer u beroep doet op een externe verwerker:

3.1   Sluit een contract af


3.1.1   Selecteer zorgvuldig
KMO’s mogen uitsluitend beroep doen op verwerkers die afdoende garanties bieden opdat de verwerking aan de vereisten van de AVG zou voldoen en de rechten van de betrokkene gewaarborgd blijven. De garanties moeten onder meer betrekking te hebben op de beveiliging en het toepassen van passende technische en organisatorische maatregelen (cfr. beveiliging).


3.1.2   Sluit een schriftelijke overeenkomst af
Wanneer verwerking van persoonsgegevens aan een verwerker wordt toevertrouwd, moeten beide partijen een “verwerkersovereenkomst” afsluiten. Dit contract moet uitdrukkelijk bepalen dat de dienstverlener de persoonsgegevens uitsluitend op basis van de schriftelijke instructies van de KMO mag verwerken. De overeenkomst moet zeker de volgende elementen bevatten:

  • onderwerp en duur van de overeenkomst, de doeleinden en aard van de verwerking, het soort gegevens, de categorieën van betrokkenen en de rechten en verplichtingen van beide partijen;
  • de verwerker garandeert dat hij de persoonsgegevens enkel op basis van de schriftelijke instructies van de KMO zal verwerken en niet voor enige andere doeleinde zal aanwenden (behoudens een uitdrukkelijke wettelijke verplichting);
  • de verwerker garandeert om passende technische en organisatorische maatregelen te zullen nemen om een op het risico afgestemd beveiligingsniveau te waarborgen;
  • de verwerker belooft geen andere verwerker (onderaannemer) in dienst te nemen zonder voorafgaande schriftelijke toestemming van de KMO. Als de verwerker toch een onderaannemer inschakelt moet de verwerker alle verplichtingen die voortvloeien uit de eerste verwerkings-overeenkomst tussen de KMO en de eerste verwerker opleggen aan de onderaannemer;
  • de verwerker waarborgt dat personen die door hem gemachtigd zijn tot het verwerken van de persoonsgegevens (bijv. technici belast met het beheer van de dienst) zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden;
  • de verwerker gaat akkoord om de KMO voor zover mogelijk bijstand te verlenen bij het vervullen van diens plicht om aan de verzoeken om uitoefening van de rechten van de betrokkenen te beantwoorden;
  • de verwerker verklaart zich bereid om, waar passend, aan de KMO bijstand te verlenen bij het doen nakomen van haar verplichtingen wat betreft beveiliging, melding en/of mededeling van een inbreuk in verband met persoonsgegevens of een GEB;
  • de gegevens worden niet buiten de Europese Unie doorgegeven naar bestemmingen die geen adequaat beschermingsniveau bieden of zonder bijkomende passende waarborgen die eerst met de KMO zullen worden afgesproken;
  • de verwerker waarborgt dat na afloop van de dienstverlening alle persoonsgegevens veilig gewist of aan de KMO terugbezorgd zullen worden, en bestaande kopieën verwijderd zullen worden;
  • de verwerker gaat akkoord om aan de KMO alle informatie ter beschikking te stellen die nodig is om de nakoming van diens verplichtingen aan te tonen en audits, waaronder inspecties, door de KMO of een door de KMO gemachtigde controleur mogelijk te maken en eraan bij te dragen.


3.1.3   Controleer de naleving van de afspraken
De KMO moet erover waken dat de externe dienstverlener de gemaakte afspraken daadwerkelijk naleeft.
Vandaar dat de verwerkersovereenkomst ook dient te bepalen dat de dienstverlener aan de KMO alle informatie ter beschikking moet stellen die nodig is om de nakoming van diens verplichtingen aan te tonen.

4.  Waar gaan uw gegevens naartoe?

Soms verkrijgt een KMO persoonsgegevens in België, maar doet zij voor verdere verwerking hiervan beroep op diensten van een verwerker waarvan servers zich bevinden in het buitenland.  Binnen de Europese Unie mogen alle persoonsgegevens vrij circuleren. Als de gegevensverwerking plaatsvindt in bvb. Duitsland, dan hoeft de KMO geen extra waarborgen te eisen. Vindt de gegevensverwerking plaats buiten de Europese Unie dan mag de doorgifte van de persoonsgegevens enkel en alleen plaatsvinden onder strikte voorwaarden!

De doorgifte naar een “derde land” buiten de Europese Unie is toegelaten:

               wanneer die bestemming door de Europese Commissie erkend is als een bestemming met een gelijkaardig beschermingsniveau (een adequaatheidsbesluit). De lijst van erkende bestemmingen is heden al: Andorra, Argentina, Canada, Faroe Islands, Guernsey, Israel, Isle of Man, Jersey, New Zealand, Switzerland, Uruguay en USA.  Er lopen vergevorderde onderhandelingen met Japan en Zuid-Korea.
               wanneer de verwerker in de overeenkomst bijkomende passende waarborgen biedt om een gelijkaardig beschermingsniveau op contractuele wijze tot stand te brengen. Dit kan door modelbepalingen toe te voegen die de EC of GBA heeft goedgekeurd (https://ec.europa.eu/info/law/law-topic/data-protection_en);

Deze mechanismen garanderen de veiligheid van persoonsgegevens en zorgen ervoor dat betrokkenen hun rechten kunnen uitoefenen, ook al vindt verwerking plaats in een land met andere soort privacywetgeving.