Bron: Nieuwsbrief KMO – BOOST-project
nr. 1 | maart 2020
FLASH NEWS
COVID-19 en de verwerking van persoonsgegevens op de werkvloer
De Gegevensbeschermingsautoriteit (GBA) publiceerde via FAQ antwoorden op steeds terugkerende vragen over de preventieve maatregelen die bedrijven en werkgevers hebben genomen om het COVID-19-virus te bestrijden en over de voorwaarden waaronder de persoonsgegevens van werknemers – met name gezondheidsgegevens – in dit verband mogen worden verwerkt.
De GBA herinnert aan enkele algemene gegevensbeschermingsbeginselen die zelfs in het kader van preventieve gezondheidsmaatregelen van toepassing zijn, waaronder de rechtmatigheid van de verwerking (Artikel 6.1 AVG) en de beginselen van transparantie (Artikel 5.1 AVG), proportionaliteit en minimale gegevensverwerking (Art. 5.1.c) van de AVG).
Bovendien heeft het Europees Comité voor gegevensbescherming (EDPB) op Europees niveau een verklaring afgelegd waarin de regels inzake gegevensverwerking in het kader van de COVID-19-crisis worden toegelicht. Deze verklaring heeft onder meer betrekking op het gebruik van geolocatiegegevens van personen door de overheid en op het gebruik van gezondheidsgegevens van werknemers door werkgevers.
ACTIES VAN HET BOOST-PROJECT
Vooruitgang van het Boost-project
De werkzaamheden voor het BOOST-project zijn van start gegaan. Ter herinnering: het heeft tot doel de kennis van de Belgische micro-, kleine en middelgrote ondernemingen (KMO) over de Algemene Verordening Gegevensbescherming (AVG) te vergroten en hen te ondersteunen bij de toepassing van deze verordening. Deze eerste nieuwsbrief en de daaropvolgende edities zijn onderdeel van het ondersteunend materiaal dat voor KMO’s zal worden uitgewerkt.
De projectpartners kwamen op 17 januari voor het eerst bijeen om de eerste acties te bespreken. De VUB evalueert momenteel welke de belangrijkste uitdagingen van de AVG zijn die KMO’s het hoofd moeten bieden. Daartoe zijn verschillende bijeenkomsten gepland met de representatieve, sectorale KMO-organisaties.
De partners bestaan uit: De Gegevensbeschermingsautoriteit (GBA), het departement imec-SMIT van de Vrije Universiteit Brussel (VUB), het departement CiTiP van de KU Leuven (KUL) en het departement NADI-CRIDS van de Universiteit van Namen (UNamur).
NATIONAAL NIEUWS
Strategisch plan van de GBA: een toekomstvisie
Sinds 25 mei 2018, de datum van inwerkingtreding van de AVG, is de voormalige Commissie voor de bescherming van de persoonlijke levenssfeer, de Gegevensbeschermingsautoriteit (GBA) geworden. Met deze wijziging begint een nieuw hoofdstuk in de bescherming van de privacy van burgers in België.
In dit geval heeft de GBA in haar strategisch plan KMO’s als een prioriteit voor 2020-2025 aangestipt. Zo krijgen KMO’s speciale aandacht van de GBA, en zal zij zich inspannen om hen met de AVG te begeleiden, te adviseren en te sensibiliseren.
Om deze opdracht tot een goed einde te brengen, streeft de GBA naar een evenwicht tussen enerzijds goed geïnformeerd zijn over de geldende regels en anderzijds de handhaving ervan.
Direct marketing en de AVG
Direct marketing wordt dagelijks door veel actoren gebruikt, waaronder KMO’s en dit met behulp van steeds geavanceerdere technieken. Om de bewuste regels te verduidelijken, publiceerde het Kenniscentrum van de GBA een aanbeveling inzake de verwerking van persoonsgegevens voor direct marketingdoeleinden.
Met zijn alomvattende aanpak behandelt het alle cruciale punten van de AVG in verband met direct marketing, zoals het fenomeen ” data brokers “, profilering en de rechtsgrond van de verwerking. Als u actief bent op dit gebied, raden wij u aan deze aanbeveling te raadplegen om uw rol, de verantwoordelijkheden en verplichtingen in het kader van de AVG te begrijpen.
Bovendien stellen uw klanten waarop de marketing zich richt hun vertrouwen in u, wat een concurrentievoordeel blijkt te zijn op de markt. Daarom heeft u er alles bij te winnen dit vertrouwen niet verliezen, door gebruik te maken van hun gegevens met onwettige praktijken.
De nieuwe aanbeveling werd door de GBA voorgesteld ter gelegenheid van het evenement op 6 februari ll., georganiseerd door de vereniging Cap Numérique voor een publiek dat voornamelijk uit KMO’s bestond. Bij deze gelegenheid herinnerde de GBA ook aan de belangrijke verplichtingen voor de KMO’s die in verband staan met de AVG, zoals het rechtmatigheidsbeginsel (Artikel 6 AVG), het beginsel van de geldige toestemming (Overweging 32 en Artikel 7 van de AVG), het opstellen van een privacybeleid (Artikelen 12, 13 en 14 van de AVG) en het bijhouden van een register van de verwerkingsactiviteiten (Artikel 30 AVG).
We nodigen KMO’s uit om de slides van de presentatie te raadplegen die beschikbaar zijn op de website van de organisator. Naast algemeen advies kunt u ook advies vinden over de verwerking van persoonsgegevens voor marketingdoeleinden (bijvoorbeeld in het kader van nieuwsbrieven en publicitaire tracking), het ontwerpen van websites en de relatie tussen de verwerkingsverantwoordelijke en de verwerker.
Gegevensbeschermingseffectbeoordeling (GEB)
De Gegevensbeschermingseffectberoordeling (GEB, ook bekend als “DPIA” in het Engels), waarvan sprake in Artikel 35 AVG, is een procedure om te beoordelen of een verwerking van persoonsgegevens risico’s met zich meebrengt voor de rechten en vrijheden van de persoon wiens gegevens worden verwerkt, en hoe deze risico’s kunnen worden beheerst.
U vraagt zich waarschijnlijk af wanneer een GEB verplicht is? Om deze vraag te beantwoorden heeft de GBA een lijst gepubliceerd met categorieën van verwerkingen van persoonsgegevens waarvoor een GEB vereist is. Laten we eens kijken naar bepaalde soorten verwerkingen die in deze lijst voorkomen en die door een KMO kunnen worden uitgevoerd:
• Grootschalige verwerkingen van gegevens die gegeneerd worden door middel van toestellen met sensoren die via het internet of via een ander medium gegevens versturen (‘internet of things’- toepassingen, zoals slimme televisies, slimme huishoudelijke apparaten, connected toys, smart cities, slimme energiemeters, enz.) en deze verwerking dient om de economische situatie, de gezondheid, de persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag, locatie of verplaatsingen van natuurlijke personen te analyseren of te voorspellen;
• Grootschalige verwerkingen van persoonsgegevens waarbij op systematische wijze via geautomatiseerde verwerking het gedrag van natuurlijke personen geobserveerd, verzameld, vastgelegd of beïnvloed wordt, inclusief voor advertentiedoeleinden.
Als u een van deze verwerkingen die in deze lijst worden genoemd overweegt, is het noodzakelijk dat u een GEB verricht voordat u verder gaat met de verwerking.
EUROPEES NIEUWS
De projecten SMOOTH en STAR II
Net als het BOOST-project zijn er twee andere projecten die met Europese middelen zijn gefinancierd, SMOOTH en STAR II, die eveneens tot doel hebben KMO’s bewust te maken van de AVG en hen instrumenten aan te reiken om in overeenstemming te zijn met de AVG.
Het SMOOTH-project richt zich specifiek op micro-ondernemingen en probeert hun naleving van de AVG te vergemakkelijken door eenvoudige en praktische hulpmiddelen te bieden, zoals een online interactieve handleiding om de AVG beter te begrijpen.
Terwijl het STAR II-project is gericht op KMO’s op Europese schaal, met als doel de KMO bewust te maken van de AVG. Hiertoe werden verschillende initiatieven gelanceerd (buiten België) zoals sensibiliseringscampagnes en een “hot line” voor KMO’s.
Op de 13de editie van de conferentie “Computers, Privacy and Data Protection (CPDP2020)” op 22 januari van dit jaar werden deze twee projecten voorgesteld, alsook met opmerkingen over de moeilijkheden die KMO’s ondervinden bij de toepassing van de AVG.
Arrest« Fashion ID » van het EHvJ
In zijn arrest “Fashion ID”, heeft het Europese Hof van Justitie (EHvJ) het begrip “gezamenlijke verwerkings-verantwoordelijken” (Artikel 26 van de AVG) verduidelijkt. Het EHvJ heeft met name bepaald dat een onlineverkoopbedrijf dat de “Like”-button (ook wel “third party plugin” genoemd) van Facebook op zijn website heeft geïntegreerd, samen met Facebook aansprakelijk is voor de persoonlijke gegevens van de gebruikers van de website. Deze gezamenlijke aansprakelijkheid is echter beperkt tot die verrichtingen die verband houden met het verzamelen van gegevens via de website en de overdracht ervan naar Facebook.
Hieruit volgt dat elke KMO die dit soort “plug-in” op haar website invoert, verplicht is om:
• aan de gebruikers de vereiste informatie mee te delen over de verwerkingen op hun gegevens, en
• wanneer dit vereist is, de toestemming te verkrijgen van de gebruikers vooraleer de gegevens worden ingezameld en doorgegeven.
Dus wees heel voorzichtig als u van plan bent om dit soort “plug-in” te gebruiken!
Arrest “Planet 49” van het EHvJ
Ditmaal is het Hof van Justitie in zijn arrest “Planet 49″ van mening dat voor het plaatsen van cookies de actieve toestemming van de gebruikers van een website vereist is. De toestemming is niet geldig als deze wordt verkregen door middel van een standaard aanvinkvakje dat gebruikers moeten uitvinken om te weigeren hun toestemming te geven (ook wel ” opt-out ” genoemd).
Daarom zullen KMO’s die actief zijn in de digitale wereld hun cookiebeleid moeten herzien om te voldoen aan de strenge toestemmingsvereisten. Dit laatste is noodzakelijk voor alle cookies (met uitzondering van functionele cookies) en het moet het resultaat zijn van een expliciete handeling (actief en niet passief gedrag) van de gebruikers, anders kan hun toestemming niet als geldig worden beschouwd.
Er zij op gewezen dat dit punt meer in detail wordt behandeld in de aanbeveling betreffende de verwerking van persoonsgegevens voor direct-marketingdoeleinden.
Strategieën voor de digitale toekomst
Tegen de achtergrond van een wereldwijde wedloop om steeds geavanceerdere technologieën te ontwikkelen, heeft de Europese Commissie (EC) haar strategieën onthuld voor gegevens en kunstmatige intelligentie (KI) om de digitale toekomst van Europa vorm te geven. Dit omvat een Europese datastrategie (COM(2020) 66 final) en een witboek over kunstmatige intelligentie (COM(2020) 65 final). Hun doel? Zij stellen acties voor om een toekomstig regelgevend kader voor gegevensbeheer in te voeren en de ontwikkeling van ethische en betrouwbare KI op te zetten en tegelijkertijd de risico’s van het verzamelen van persoonsgegevens te beperken.
De Europese datastrategie heeft tot doel een enkele markt voor gegevens tot stand te brengen om ongebruikte gegevens te mobiliseren, waardoor het vrije verkeer van deze gegevens binnen de Unie en tussen de sectoren mogelijk wordt, wat onder meer ten goede komt aan het bedrijfsleven. In het KI-witboek wordt getracht de katalysatoren te creëren om de invoering en toepassing van KI mogelijk te maken.
Bovendien wordt bij de actiemiddelen die in deze twee initiatieven worden voorgesteld, rekening gehouden met de behoeften van KMO’s en wordt ernaar gestreefd de participatie van KMO’s in de digitale toekomst te ondersteunen.
Wenst u deze nieuwsbrieven te ontvangen, gelieve u dan aan te melden via de homepage van de website van de GBA (helemaal onderaan de pagina):
https://www.gegevensbeschermingsautoriteit.be/