[:nl]
A. Update GDPR
De GDPR is bijna 9 maanden van toepassing. Dit is dan ook het de ideale moment om u de stand van zaken met betrekking tot de GDPR mee te geven en de ontwikkelingen op vlak van de privacywetgeving samen te vatten.
In enkele bijdragen zullen wij een statusupdate van de eerste maanden GDPR geven, de principes van de GDPR nogmaals kort toelichten en de belangrijkste (en relevante) punten van de Wet betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegeven (de Gegevensbeschermingswet) uiteenzetten.
B. 6 maanden GDPR: een eerste statusupdate
Eind november 2018 publiceerde de Gegevensbeschermingsautoriteit een balans van de adviesvragen, informatievragen en klachten in de periode tussen 25 mei en 21 november 2018.
Hoewel de Gegevensbeschermingsautoriteit stelt dat er een buitengewone toename is van aanvragen, meldingen, etc., is deze toename aanzienlijk lager dan in onze buurlanden. Dit is een voortzetting van de trend van vóór 25 mei 2018.
Wij geven deze cijfers weer in onderstaand overzicht:
| België | Nederland | Frankrijk | Duitsland | |||||
| Eerste 6 maanden | 2017 | Eerste 6 maanden | 2017 | Eerste 6 maanden | 2017 | Eerste 100 dagen2 | 2017 | |
| Melding Gegevenslekken | 317 | 13 | 17 3111 | 10 009 | 742 | – | 4 254 | – |
| Klachten/ verzoeken | 148 | 76 | 9 661 | 6 000 | 8 360 | 1 020 | – | |
| Informatie-aanvragen | 3 599 | 2 145 | 13 018 | – | – | – | 1 453 | – |
1 Dit omvat alle meldingen van het tweede tot en met het vierde kwartaal, waarbij de Autoriteit gegevensbescherming er een duidelijke stijging waarneembaar was vanaf eind april 2018.
2 De Duitse gegevensbeschermingsautoriteit heeft tot op heden enkel cijfers gepubliceerd met betrekking tot de eerste 100 dagen nadat de GDPR van toepassing geworden is.
Uit deze cijfers blijkt dat er in onze buurlanden een gevoelig grotere belangstelling in en bezorgdheid omtrent privacy leeft bij de burgers én de ondernemingen.
Desalniettemin dient te worden opgemerkt dat het aantal klachten en verzoeken in 2019 nog zal toenemen. De (Belgische) burger is immers meer vertrouwd met de GDPR en heeft een duidelijker zicht op zijn rechten. Bovendien zal de weg naar de Gegevensbeschermingsautoriteit steeds beter gevonden worden, onder meer doordat de contactgegevens van de Gegevensbeschermingsautoriteit in de privacyverklaring vermeld dient te worden.
We stellen ook vast dat de Nederlandse en Franse gegevensbeschermingsautoriteiten sinds 25 mei 2018 reeds diverse sectoren actief doorgelicht hebben op conformiteit met de GDPR. Naar aanleiding hiervan werden aan verschillende ondernemingen belangrijke boetes opgelegd.
De Belgische Gegevensbeschermingsautoriteit heeft echter recent eveneens de eerste inspecties in de gang gezet. Op dit moment hebben wij geen zicht op de draagwijdte van deze inspecties of op welke sectoren deze betrekking hebben.
Op basis van deze cijfers volgt volgens ons dan ook dat het wel degelijk aanwezen is om te zorgen dat uw onderneming GDPR-proof is.
Ondanks het relatief beperkt aantal klachten, is er toch een duidelijke breuk met de situatie pre-GDPR. Bovendien is de Gegevensbeschermingsautoriteit inmiddels in gang getreden, zodat de nodige maatregelen genomen dienen te worden om onaangename verrassingen (i.e. een controle) te vermijden.
Het is dan ook van belang om te weten wanneer de GDPR van toepassing is.
C. Wanneer is de GDPR van toepassing?
Het toepassingsgebied van de GDPR is zeer ruim gedefinieerd, meer bepaald is de GDPR van toepassing “op de geheel of gedeeltelijk geautomatiseerde verwerking, alsmede op de verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen”.
Zowel het begrip “persoonsgegevens” als het begrip “verwerking” worden in de GDPR extensief opgevat.
De term persoonsgegevens omvat volgens de GDPR “alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (“de betrokkene”)”.
Het loutere gegeven dat een natuurlijke persoon niet “geïdentificeerd” is aan de hand van de bepaalde gegevens, houdt niet in dat het geen persoonsgegevens zou uitmaken. De gegevens op basis waarvan een natuurlijke persoon “identificeerbaar” is, zijn tevens persoonsgegevens.
De GDPR beschouwt iedere natuurlijke persoon als identificeerbaar wanneer hij “direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon”.
“Verwerking” wordt in de GDPR gedefinieerd als elke “bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés”.
Deze definitie is zeer ruim en omvat zowel “het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren” als “het afschermen, wissen of vernietigen van gegevens”.
Met andere woorden valt elke mogelijke handeling/elk mogelijk gebruik met betrekking tot persoonsgegevens, van het verzamelen tot het vernietigen ervan, onder het toepassingsgebied van de GDPR.
Rekening houdend met het zeer ruime toepassingsgebied zal iedere onderneming op één of andere manier persoonsgegevens van de betrokkenen verwerken.
Gelet hierop valt principieel elke onderneming onder het toepassingsgebied van de GDPR. Indien een onderneming niet onder het toepassingsgebied valt, zou dit immers betekenen dat zij geen klanten, personeel of leveranciers heeft.
Indien u vragen zou hebben of wanneer u wenst gebruik te maken van onze GDPR-Proof, bel Hans Van Gompel op 011/281.280 of mail naar: hans.vangompel@vangompeladvocaten.be.[:]
