Zes lessen uit de beslissingen van de Gegevensbeschermingsautoriteit
De Belgische Gegevensbeschermingsautoriteit (BGA) heeft sinds 2 april 2019 een tiental beslissingen genomen. Uit deze beslissingen leren we zes lessen:
1. Reageer (tijdig) op verzoek tot inzage, rectificatie, verwijdering
In een zaak omtrent inzagerecht gaf de FOD Volksgezondheid geen gevolg aan een verzoek dat per aangetekend schrijven, gewone post en e-mail, was verzonden, gevolgd door een bevel van de Gegevensbeschermingsautoriteit.
In principe moest de FOD Volksgezondheid als verwerkingsverantwoordelijke op dit verzoek antwoorden binnen dertig dagen na ontvangst. De BGA oordeelde dan ook dat de FOD Volksgezondheid verschillende fouten had gemaakt: onzorgvuldig handelen, het niet beantwoorden van een verzoek tot inzage en het laattijdig verdelen van de interne post. Er werd enkel een berisping opgelegd.
Ook in twee andere zaken die de BGA behandelde, werden verzoeken niet ingewilligd binnen de opgelegde termijn van 30 dagen. Daarbij ging het om een verzoek tot inzage en informatie en een verzoek om gegevens te wissen .
2. Zorg ervoor dat uw klanten zich onder hun correcte naam kunnen registreren.
In de derde zaak werd een verwerkingsverantwoordelijke opgelegd om zijn IT systeem te veranderen omdat een klager zijn naam met accenten niet correct kon ingeven. De naam bevatte letters met accenten die het IT-systeem van de verwerker niet herkende. Desondanks legde de BGA de verplichting op het verzoek in te willigen.
3. Gebruik de data enkel voor het doel waarvoor u ze mocht verwerken
In het kader van een WhatsApp buurtpreventienetwerk bezorgde de klager zijn identiteitsgegevens, telefoonnummer en e-mailadres aan de coördinator van het netwerk. De coördinator gebruikte deze gegevens later om campagne te voeren voor zichzelf met het oog op de gemeenteraadsverkiezingen.
De BGA oordeelde dat de gegevens die de coördinator verkreeg, gebruikt werden met een andere finaliteit dan het oorspronkelijke doel, en oordeelde dat het gebruik een inbreuk vormde op de GDPR en gaf hiervoor een berisping.
4. Wees steeds voorbereid
Een kandidaat werknemer diende klacht in naar aanleiding van een onbeantwoord verzoek tot verwijdering van zijn persoonsgegevens, na een sollicitatie. Het oordeel van de BGA op basis van de klacht was eerder beperkt. Er werd geoordeeld dat het bedrijf niet binnen de correcte termijn had geantwoord op het verzoek en dat hij initieel onvoldoende informatie omtrent de gegevensverwerking had verstrekt.
Wat meer opvalt bij deze zaak is echter dat de inspectiedienst van de BGA werd gevraagd om een onderzoek te verrichten bij het bedrijf. Hierbij ging de inspectiedienst veel verder dan de initiële klacht. Ze onderzochten namelijk de gehele GDPR-conformiteit van het bedrijf. Op verschillende vlakken werden kleine overtredingen vastgesteld door de inspectiedienst, waarop de geschillenkamer een berisping formuleerde.
5. De GDPR is steeds van toepassing, ook wanneer andere wetgeving geldt
Deze zaak ging over een bewakingscamera die werd geplaatst in de gemeenschappelijke delen van studentenkamers. In deze zaak bepaalde de BGA dat de household exemption uit de camerawetgeving niet van toepassing is aangezien het gebruik van de camera geen betrekking heeft op een persoonlijke en huishoudelijke activiteit. Hierdoor kwalificeerde de verhuurder als een verwerkingsverantwoordelijke die naast de camerawetgeving ook de GDPR in acht moet nemen.
6. Verstuur geen kettingmails (data minimisation) en kopieer niet zomaar Identiteitskaarten.
Bij het verzenden van een e-mail naar verschillende klanten, plaatste een bedrijf alle e-mailadressen in het CC veld. Hierdoor kregen alle betrokkenen van elkaar te zien dat ze deze mail hadden ontvangen en werden hun persoonsgegevens met elkaar gedeeld. De BGA oordeelde dat dergelijke e-mails verstuurd moeten worden met de geadresseerden in BCC.
In een andere zaak kopieerde een handelaar bij het aanvragen van een klantenkaart steeds de e-ID van zijn klanten. Hierdoor kreeg de handelaar toegang tot onder andere de foto en het rijksregisternummer van zijn klanten. De handelaar bood geen alternatief om een klantenkaart aan te maken en de klanten hadden geen vrije keuze.
De BGA oordeelde dat dit verder ging dan noodzakelijk. Voor het aanmaken van een klantenkaart is het niet nodig dat een handelaar toegang heeft tot alle gegevens op een e-ID. Bovendien wordt wettelijk bepaald voor eID’s dat deze enkel gelezen of gebruikt mogen worden mits vrije, specifieke en geïnformeerde toestemming. De BGA sanctioneerde de handelaar wegens het ontbreken van toestemming en schending van het principe van data minimization. De handelaar kreeg een boete van €10.000 opgelegd!
De Rode draad
Uit bovenstaande lessen blijkt dat de BGA zeer uiteenlopend aspecten van uw organisatie onder de loep neemt, gaande van sollicitaties, het aanmaken van klantenkaarten tot het plaatsen van camera’s. Als rode draad komt vooral naar voor dat u op elk moment moet kunnen aantonen dat uw interne processen op orde zijn… Daarom geven wij nog enkele tips mee
Leid uw medewerkers op. Menselijke tussenkomst blijkt vaak een zwakte te zijn bij gegevensverwerking. Daarom is het belangrijk dat uw medewerkers weten waarmee ze bezig zijn. Zorg er voor dat zij voldoende opleiding genieten, zodat zij steeds weten hoe ze moeten handelen.
Test uw IT infrastructuur en uw policies. Vaak denken ondernemers dat zij voldoende beschermd zijn tegen dreigingen van buitenaf, datalekken, etc. De praktijk toont echter aan dat vele ondernemingen onvoldoende beschermd zijn. Daarom is het belangrijk dat u uw onderneming laat testen. Denk hierbij aan een IT-penetratietest. Naast de technologische toegang tot persoonsgegevens blijkt ook de fysieke toegankelijkheid vaak een probleem. In vele gevallen is het voor een buitenstaander relatief eenvoudig om toegang te krijgen tot ondernemingen. Ook dit test u best eens, door bijvoorbeeld iemand die onbekend is voor uw werknemers te laten testen waartoe hij/zij toegang krijgt.
Vraag advies. Om voorbereid te zijn op vragen van klanten, leveranciers, sollicitanten, (potentiële) contractpartners en de BGA, moet u beschikken over de juiste documenten, kennisgevingen, toestemmingen, voorbeeldclausules, verwerkingsovereenkomsten en proces registers, zodat u kan aantonen dat de door uw bedrijf bijgehouden persoonsgegevens op een correcte manier worden beheerd.
Hebt u verdere vragen? Neem gerust contact op! info@panderim.jobs
Dit artikel werd mogelijk gemaakt door www.panderim.jobs, www.generaldataprotection.be en www.studio-legale.be