Laura Van Gompel – 9 juni 2021 – Bij onze cliënten rijst vaak de vraag “Mag de GBA zich zomaar toegang verschaffen tot ons bedrijf en wat wordt er dan van ons verwacht?”.
Het staat als een paal boven water dat de inspectiedienst van de Belgische Gegevensbeschermingsautoriteit (GBA) verregaande bevoegdheden heeft.
Om te beginnen kan de inspectiedienst zelf beslissen een onderzoek aan te vangen, zelfs zonder dat de geschillenkamer (n.a.v. een klacht) of het directiecomité haar hiertoe de opdracht geeft. Ze kan dat doen als ze ernstige aanwijzingen heeft dat bepaalde GDPR grondbeginselen geschonden zijn of worden.
In het kader van haar onderzoeken beschikt de inspectiedienst bovendien over een heel arsenaal van “onderzoeksmaatregelen” die zij o.m. ter plaatse, binnen de onderneming die zij onderzoekt, kan gebruiken. Zo kan zij de onderneming betreden (zonder voorafgaandelijke machtiging of tussenkomst van een (onderzoeks)rechter (!) ), het personeel verhoren, vaststellingen doen die in een proces-verbaal worden beschreven, toegang tot IT-systemen vragen én zelfs voorwerpen en documenten in beslag nemen.
De inspectiedienst kan ook een kopie nemen van de gegevens uit deze IT-systemen. Wanneer zo een kopie ter plaatse niet mogelijk is, mogen de inspecteurs deze systemen en de gegevens die ze bevatten, in beslag nemen, voor maximum 72uur. De inspectiedienst kan er ook voor kiezen deze zaken te verzegelen.
De gecontroleerde heeft, aldus de wet tot oprichting van de GBA, een medewerkingsplicht. In de mate van het mogelijke (en wettelijke) moet dus worden ingegaan op de vragen en/of verzoeken van de inspecteurs. In een latere fase bij de GBA, nl. voor de geschillenkamer, zal belang gehecht worden aan de mate waarin men effectief naar behoren heeft “meegewerkt”. Bij het bepalen van eventuele sancties zal dit immers een element in de overweging zijn.
Niettemin is de inspectiedienst bij haar onderzoeken geen god op aarde. Hoewel zij een grote appreciatiebevoegdheid heeft, dient het onderzoek binnen het wettelijk kader van de GBA te gebeuren.
In een aantal gevallen heeft de inspectiedienst bijvoorbeeld toestemming van de gecontroleerde entiteit nodig, alvorens de maatregelen te kunnen uitvoeren. Bij gebrek aan toestemming zal de inspectiedienst de onderzoeksmaatregel enkel kunnen doorvoeren indien ze over een voorafgaande machtiging van de onderzoeksrechter beschikt. Dit geldt voor huisbezoek (dus onderzoek aan een woning), het raadplegen van IT-systemen en de gegevens die zij bevatten alsook voor testen van het beschermingsniveau van deze systemen.
Ook beschikt de gecontroleerde over een aantal rechten, zowel tijdens als na het onderzoek. Zij dient terdege geïnformeerd te worden over de scope van het onderzoek en kan beroep doen op een advocaat, voor bijstand. De gecontroleerde kan actief bijdragen aan het onderzoek door zelf bepaalde onderzoeksmaatregelen te vragen en documenten ter staving bij te brengen. Tegen bepaalde onderzoeksmaatregelen kan, bij de geschillenkamer, hoger beroep worden aangetekend.
Dit is bijvoorbeeld relevant wanneer de inspectiedienst beveelt dat een bepaalde verwerking dient te worden opgeschort of beperkt.
Zeker indien die verwerking essentieel is voor de bedrijfsvoering van de gecontroleerde dient hoger beroep snel, mogelijks zelfs tijdens het onderzoek, te worden ingesteld (bijvoorbeeld per instructie van de advocaat, die ter plaatse is bij de cliënt, door zijn collega’s op kantoor).
Stel het betreft een reisbureau dat tijdelijk geen gebruik mag maken van haar software voor klantenbeheer, inclusief de boekingsfiches en persoonlijke voorkeur van de klanten zoals allergieën en/of gebruik van rolstoel.
Wanneer de inspectiedienst voor uw deur staat, is het dus van belang dat u precies weet wat zij mag en wat niet en wat uw rol en rechten daarbij zijn. Zorg er verder voor dat de mensen binnen uw organisatie voldoende geïnformeerd zijn over uw privacy-beleid, uiteraard volgens het gebruik dat zij maken van de gegevens.
- Zorg dat iedereen weet waar en hoe informatieopslag dient te gebeuren.
- Duidelijke, algemene richtlijnen i.v.m. emailbeheer en gebruik van IT-infrastructuur zijn een must.
- Specifiek per afdeling en/of positie zal u moeten indalen qua informatieverstrekking: de verantwoordelijke voor privacy (al dan niet DPO) dient perfect alle verwerkingslijnen binnen uw bedrijf te kennen, uw IT-er (al dan niet intern) moet toelichting kunnen geven over de beschermingsmaatregelen en het -niveau van uw IT-infrastructuur, bij HR moeten ze weten hoe om te gaan met persoonsgegevens van personeel en kandidaat-sollicitanten, etc.
Heeft u hulp nodig bij een aangekondigd onderzoek van de inspectiedienst of wilt u uw bedrijf inspectie-proof maken en de nodige zaken op orde brengen? Anton Van Spaendonck en Laura Van Gompel staan ter beschikking.
