Advocaten Algemeen Bedrijfsjuristen Notarissen

Hoe houdt u uw privacy-boekhouding in orde?

Geschreven door CBR

De verantwoordingsplicht in de Algemene Verordening Gegevensbescherming: hoe houdt u uw privacy-boekhouding in orde?

Inleiding – Accountability als centrale innovatie in de AVG

Op 25 mei 2018 zal de Algemene Verordening Gegevensbescherming (AVG, ook vaak aangeduid met zijn Engelse naam en acroniem General Data Protection Regulation of GDPR) in de gehele Europese Unie in werking treden. Op dat moment vervangt de AVG automatisch de oude Europese Privacyrichtlijn uit 1995, evenals het leeuwendeel van de nationale privacywetten, inclusief de Belgische Privacywet uit 1992.

De AVG brengt een aantal nieuwigheden met zich mee: boetes worden verhoogd, sommige organisaties zullen een functionaris voor gegevensbescherming (data protection officer of DPO) moeten aanduiden, en voor potentieel riskante activiteiten zal vooraf een impactanalyse moeten worden uitgevoerd om eventuele privacyrisico’s te identificeren en aan te pakken.

Eén innovatie springt echter minder in het oog, hoewel ze – in tegenstelling tot de voornoemde verplichtingen – welhaast voor elke onderneming relevant zal zijn. De AVG voert een nieuw principe in, dat niet expliciet stond ingeschreven in de bestaande privacywetgeving, namelijk de verantwoordingsplicht (artikel 5.2 van de AVG, ook aangeduid als accountability in de Engelstalige versie van de AVG). In een notendop houdt dit beginsel in dat een organisatie niet enkel de verplichtingen van de AVG moet naleven, maar dat ze deze naleving ook op elk moment moet kunnen aantonen.

Het belang van deze omschakeling kan moeilijk overschat worden. Waar men voorheen niet formeel verplicht was om een volledige geschreven verantwoording van verwerkingsactiviteiten bij te houden, zal dit in de toekomst wel moeten gebeuren. Op die manier worden organisaties verplicht om bewuster om te gaan met hun privacybeschermingsstrategieën.

Een register als privacyboekhouding

De verantwoordingsplicht kan op een aantal plaatsen in de AVG teruggevonden worden, maar de meest expliciete manifestatie ervan is de verplichting om een geschreven register van verwerkingsactiviteiten bij te houden (artikel 30 van de AVG). Ondernemingen worden als het ware verplicht om een boekhouding bij te houden waarin ze onder meer beschrijven over welke persoonsgegevens ze beschikken, waar de gegevens zich bevinden, wat de onderneming ermee doet, hoe ze beveiligd zijn, en vooral een verantwoording van de verwerking. Heeft de onderneming de toestemming gevraagd om de gegevens te gebruiken? Mogen ze bewaard worden op basis van een wettelijke verplichting? Of is er een andere grondslag die het gebruik van de persoonsgegevens verantwoordt?

De registerplicht is geen loutere formaliteit: de toezichthoudende autoriteit – momenteel de Privacycommissie in België, in de toekomst wellicht omgedoopt tot de Gegevensbeschermingsautoriteit – zal toegang tot het register mogen eisen, en kan bij onvolledigheid of onjuistheid ervan sancties opleggen.

Niet elke organisatie moet verplicht zo’n register bijhouden. KMO’s – ondernemingen of organisaties die minder dan 250 personen in dienst hebben – zijn formeel vrijgesteld van de verplichting, tenzij hun verwerkingen een risico inhouden voor de rechten en vrijheden van de betrokken burgers, de verwerking niet incidenteel is, of de verwerking bijzonder gevoelige categorieën van gegevens betreft. Maar het belang van deze vrijstelling moet ook weer niet overschat worden: zelfs wanneer een organisatie formeel geen register hoeft bij te houden, dan nog is zij onderworpen aan de verantwoordingsplicht. Zij zal dus hoe dan ook haar compliance-maatregelen moeten documenteren.

Hoe pakt u het aan?

Het opstellen van een register kan eenvoudig zijn – met name voor kleine organisaties die geen complexe gegevens verwerken – maar kan ook een grote uitdaging vormen wanneer een organisatie nog geen duidelijk overzicht heeft van haar verwerkingsactiviteiten. De Belgische Privacycommissie heeft daarom ook richtlijnen gepubliceerd die verduidelijken wat zij verwacht te vinden in een register, evenals een template die men kan gebruiken om een register op te stellen. Het gebruik van die template is niet verplicht; men kan eveneens gebruik maken van een eigen systeem, of van commerciële systemen die in de markt worden aangeboden. Men moet er daarbij echter wel over waken dat de vereiste informatie wordt opgenomen in het register.

Conclusie

De verantwoordingsplicht uit de AVG, en in het bijzonder de verplichting om een register van verwerkingsactiviteiten bij te houden, is één van de belangrijkste innovaties van de AVG. Ondernemingen talmen dan ook best niet te lang met het opstellen van een dergelijk register: niet alleen is dit verplicht in vele gevallen, het is ook de beste manier om eventuele lacunes proactief te identificeren en aan te pakken.

Om meer te leren over de verantwoordingsplicht kan u zich inschrijven voor de Workshop Verordening Gegevensbescherming van het CBR aan UAntwerpen op 23 februari 2018.

Hans Graux

Hans Graux is een ICT-advocaat bij het Brusselse advocatenkantoor time.lex (www.timelex.eu), dat gespecialiseerd is in telecommunicatie, IT/IP, media en e-business. Het time.lex-team wordt internationaal erkend, en is zowel een Legal 500 Top Tier kantoor voor Information Technology, en een Chambers Europe aanbevolen kantoor voor TMT – Information Technology.

Meer artikels lezen van CBR?

Opmerking plaatsen

X