Ga verder naar de inhoud

Wat is GDPR?

Op 25 mei 2018 trad de General Data Protection Regulation (GDPR) in werking. Die Europese regelgeving, in het Nederlands bekend als de Algemene Verordening Gegevensbescherming (AVG) beoogt – en verplicht – een betere bescherming van de persoonsgegevens in de lidstaten van de EU.

Deel dit artikel

GDPR/AVG definitief in werking getreden

Op 25 mei 2018 trad de General Data Protection Regulation (GDPR), in het Nederlands de Algemene Verordening Gegevensbescherming (AVG) onherroepelijk in werking. 

Die Europese regelgeving werd ontworpen om de bestaande privacywetgeving van de EU-lidstaten klaar te maken voor het huidige digitale tijdperk: enerzijds door de bescherming van de persoonsgegevens op Europees niveau te harmoniseren, anderzijds door de bescherming te versterken via bijkomende verplichtingen voor de verwerkingsverantwoordelijken en verwerkers en uitgebreide rechten voor de betrokkenen (de personen van wie de gegevens verwerkt worden).

Een eerste rechtstreeks gevolg daarvan was dat de Verordening de Europese Gegevensbeschermingsrichtlijn 95/46/EC vervangt, maar ook dat de lidstaten hun Nationale ‘privacy huishouding’ in overeenstemming moesten brengen met de AVG. 

Een Verordening heeft conform artikel 288 van het Verdrag betreffende de werking van de Europese Unie (VWEU) dan wel een algemene strekking, is verbindend in al haar onderdelen en rechtstreeks toepasselijk in elke lidstaat, maar de Europese regelgever bouwde een overgangsperiode in om de Nationale overheden de mogelijkheid te bieden hun regelgeving aan te passen. 

Daarom werd bepaald dat, hoewel de Verordening al op 27 april 2016 werd ondertekend, zij pas van toepassing zou worden vanaf 25 mei 2018.

Ver­ant­woor­de­lijk­heid, trans­pa­ran­tie, informatie en pro­por­ti­o­na­li­teit in het kader van minimale ge­ge­vens­ver­wer­king Ba­sis­prin­ci­pes

De Verordening vormt in zekere zin een stijl- en trendbreuk met tal van de vorige privacyregels en nationale principes inzake de gegevensbescherming, doordat ze de verantwoordelijkheid en verplichtingen van de verwerkingsverantwoordelijkenin aanzienlijke mate opschroeft. 

Dat uit zich onder meer in de afschaffing van de voorafgaande machtiging die een verwerker (of verwerkingsverantwoordelijke) kon opvragen bij de Nationale Privacycommissie (in België de Gegevensbeschermingsautoriteit of GBA) en waardoor zo goed als alle ‘gemachtigde’ verwerkingen een a priori rechtmatigheidskarakter kregen.

Sinds 25 mei bepaalt de Verordening dat de verwerkingsverantwoordelijke zelf moet instaan voor al zijn verplichtingen, en te allen tijde moet kunnen aantonen dat zijn verwerking rechtmatig, doelgericht en -gebonden en proportioneel is. 

Het basisprincipe is dat uitgegaan wordt van een minimale gegevensverwerking, en dat elke afwijking van dat principe onder de verantwoordelijkheid valt van de verwerkingsverantwoordelijke.

Die verantwoordelijkheid komt onder meer tot uiting in de verplichte opmaak van het zogenaamde dataverwerkingsregister. Dat vormt bij wijze van spreken het ‘hart’ van de verwerkingsactiviteiten en vormt een levend archief van alle soorten van verwerkingen die een onderneming uitoefent. Dat register kan in theorie ook steeds opgevraagd worden door de Nationale toezichthoudende autoriteiten (zie infra).

Daarnaast bepaalt de Verordening ook dat bepaalde ondernemingen vanaf een bepaald type van verwerkingen, of voor verwerkingen van een specifieke omvang – in mensentaal gaat het om grootschalige verwerkingen of geautomatiseerde verwerkingen, al dan niet van gevoelige gegevens – verplicht een zogenaamde functionaris voor de gegevensbescherming (beter gekend onder de Engelse benaming als Data Protection Officer, of DPO) moeten aanstellen. 

Vooralsnog stellen de Verordening en de adviezen van de toenmalige Article 29 Working Party (nu hervormd naar de EDPB die op Europees niveau de implementatie van de Verordening in goede banen moet leiden) en onze eigen GBA dat die verplichting in principe niet geldt voor de individuele advocaat of voor kleinere kantoren.

Een andere verplichting die geldt, is dat de verwerkingsverantwoordelijken van persoonsgegevens op een transparante wijze moeten communiceren over hun verwerkingen. De meest evidente manier om dat te doen is om te werken via informatiefiches en het gebruik van een privacyverklaring die op een eenvoudige manier te consulteren is

Wanneer een verwerkingsverantwoordelijke geconfronteerd wordt met een datalek of een inbreuk in zijn systemen (bijvoorbeeld door hacking, ransomware of phishing) moet hij dat vanaf nu ook binnen de 72 uur melden aan de Nationale autoriteit voor de gegevensbescherming, en in bepaalde gevallen aan de mogelijks geraakte betrokkenen. 

Meer in het algemeen stelt de Verordening bovendien de verplichtingen inzake een passende en veilige IT-architectuur voor ondernemingen op scherp.

Een onrechtstreekse verplichting, ten slotte, is dat de verwerkingsverantwoordelijke verplicht wordt om tijdig en op gepaste wijze om te gaan met de rechten van de betrokkenen.

‘Nieuwe’ rechten voor de betrokkenen

De Verordening heeft sinds 25 mei 2018 tal van rechten omschreven waarvan een betrokkene gebruik kan maken. Het betreft volgende rechten:

  • Recht op informatie (art. 13-14 AVG)
  • Recht op inzage (art. 15 AVG)
  • Recht op rectificatie/aanvulling (art. 16 AVG)
  • Recht op gegevenswissing/’vergetelheid’ (art. 17 AVG)
  • Recht op verzet (art. 18 en 21 AVG)
  • Recht op overdracht (art. 20 AVG)

Hoewel de perceptie bestaat dat dat allen nieuwe principes zijn, stonden heel wat van die rechten reeds in de Belgische privacywet van 1992. Het verschil is wel dat, sinds 25 mei 2018, verwerkingsverantwoordelijken verplicht zijn om tijdig en gemotiveerd te reageren op de uitoefening van al die rechten. Dat betekent niet dat een verwerkingsverantwoordelijke steeds verplicht zal zijn om gevolg te geven aan een uitgeoefend recht – de Verordening voorziet ook verschillende toepassingsvoorwaarden en uitzonderingen of weigeringsgronden – maar wel dat hij binnen een vastgestelde termijn van 30 dagen (eenmalig verlengbaar met nogmaals 30 dagen) de betrokkene dient te informeren over de al dan niet tegemoetkoming aan het gevraagde.

Bijkomend moet een verwerkingsverantwoordelijke er zich vanaf nu ook van bewust zijn dat betrokkenen steeds een klachtrecht hebben. Dat betekent dat zij zich te allen tijde kunnen wenden tot de nationale Gegevensbeschermingsautoriteit wanneer zij van mening zijn dat hun gegevens niet op rechtmatige wijze verwerkt worden, dan wel dat niet op adequate wijze gevolg werd gegeven aan een verzoek tot uitoefening van een van boven opgesomde rechten.

Nieuwe Ge­ge­vens­be­scher­mings­au­to­ri­teit(en) met verregaande be­voegd­he­den

Een laatste belangrijke innovatie waarop gewezen moet worden, is dat de Verordening op uniforme wijze de installatie en organisatie van de nationale Gegevensbeschermingsautoriteiten regelt. Waar de lidstaten vroeger vrij waren om de structuur, organisatie, bevoegdheden en sanctiemogelijkheden van hun autoriteiten te regelen, wordt dat nu geharmoniseerd – en scherp gesteld – door de AVG.

Dat betekent voor België onder meer dat de bestaande CBPL omgevormd werd – met de wet van 3 december 2017 – tot de Gegevensbeschermingsautoriteit (GBA). Belangrijk is dat die GBA vanaf nu ook een andere structuur meekreeg en over verregaande bevoegdheden beschikt. Zo werden een inspectiedienst en een geschillenkamer opgericht, die respectievelijk als een soort van gerechtelijke privacy politie en een interne rechtbank opereren. De inspectiedienst kan buigen op intrusieve onderzoeksmogelijkheden zoals verhoren, woonstbetredingen, inbeslagnames en verzegelingen. De geschillenkamer beschikt dan weer over een arsenaal aan sanctiemaatregelen – en wordt ook de kamer die zich zal buigen over de klachten van de betrokkenen – waarvan de beruchte monsterboetes de beruchtste zijn.

Iedereen die persoonsgegevens verwerkt, dient zich dus bewust te zijn dat de GBA weldegelijk het potentieel heeft om hardhandig op te treden, maar uiteraard in eerste instantie ook zal trachten om minder verregaandere oplossingen te vinden, zoals bemiddeling en dergelijke.

Op Vlaams niveau werd door de Vlaamse Regering bovendien ook een Vlaamse Toezichtscommissie (VTC) opgericht, die op gelijkaardige manier over dezelfde bevoegdheden beschikt.

Nieuwe wind, geen orkaan?

In de aanloop naar de inwerkingtreding van de AVG, werd de nodige ruchtbaarheid gegeven aan de nieuwe vloedgolf van verplichtingen en regels waaraan ondernemingen dienden te voldoen vanaf 25 mei. In samenloop met een in gebreke blijven van adequate adviesverlening door de toenmalige CBPL, zorgt dat voor vaak onnodige paniekreacties. Nu de storm wat is gaan liggen, blijven vooral veel vragen over, en het besef dat ook onze eigen Belgische wetgever niet klaar is met implementatie. Niettemin geldt sinds 25 mei dat een verwittigd man er twee waard is, en bent u als advocaat-ondernemer maar beter voorbereid.

De OVB heeft van in het begin de vinger aan de pols gehouden van de ontwikkelingen van de GDPR en de overige relevante wetgeving, en maakte daarvan via diverse meldingen en opleidingen gewag. Bovendien werden heel wat modellen, voorbeelden, adviezen en nota’s aan de advocatuur ter beschikking gesteld.

Gerelateerd nieuws

Deze berichten verschenen recent:
GDPR Kantoororganisatie Witwaspreventie
donderdag 20 juni 2024

Nu ook een modelovereenkomst en informatieformulieren voor advocaten en cliënten (niet-consumenten)

We introduceren niet alleen een modelovereenkomst tussen de advocaat en de private cliënt (consument), maar ook een modelovereenkomst voor de samenwerking met de cliënt (niet-consument). Daarnaast bieden we u diverse formulieren aan die specifiek zijn ontworpen om te voldoen aan uw informatieverplichtingen.

Meer lezen
GDPR
donderdag 02 mei 2024

GDPR-wijzer geactualiseerd

De GDPR-wijzer is een volledige toolkit voor u als advocaat over de praktische implementatie van de GDPR. De GDPR is geen statisch document. De interpretatie ervan en de concrete to do’s die daaruit volgen hebben daarom soms nood aan een herziening met een frisse blik. Om die reden zijn er recent tien GDPR-wijzeronderwerpen geüpdatet en is één extra onderwerp toegevoegd. Elk onderwerp bestaat uit een beknopte toelichting, concrete to do’s, praktische modellen en antwoorden op uw veelgestelde vragen.

Meer lezen
GDPR Kantoororganisatie Witwaspreventie
vrijdag 26 januari 2024

Herziene modelovereenkomst en informatieformulieren voor advocaten en cliënten

We actualiseerden de modelovereenkomst tussen advocaat en private cliënt (consument). Daarnaast stellen we een bijgewerkte versie ter beschikking van diverse formulieren om te voldoen aan uw informatieverplichtingen die voortvloeien uit het Wetboek van Economisch Recht, de GDPR, de witwaspreventiewet, de Codex Deontologie en het Gerechtelijk Wetboek.

Meer lezen
GDPR Digitalisering Podcast
vrijdag 21 april 2023

Hoe kunnen advocaten intelligent omspringen met artificiële intelligentie?

Digitalisering is een van de speerpunten in het beleidsplan van de OVB, ontwikkelingen zoals ChatGPT doen advocaten nadenken over een zinvol en vooral verantwoord gebruik van artificiële intelligentie in de uitoefening van hun beroep. In deze podcast Ten Gronde schetst Olivier Sustronck, advocaat maar ook gecertificeerd Data Protection Officer de digitale toekomst van de advocatuur.

Meer lezen
Gerechtelijk recht GDPR
Persoonsgegevens
Europees & internationaal recht GDPR
Europees & internationaal recht GDPR
Europees & internationaal recht GDPR
vrijdag 06 mei 2022

GDPR-wijzer: Rijksregister

Meer lezen
Europees & internationaal recht GDPR