Toegang tot persoonsgegevens: van wetgeving naar concrete acties

Wat?

Op 24 mei 2016 is er een nieuwe regelgeving omtrent gegevensbescherming. Vanaf 25 mei 2018 zal ze van toepassing zijn in alle Europese lidstaten. Die nieuwe Europese regelgeving is bekend onder de Engelse benaming General Data Protection Regulation (GDPR). De regelgeving heeft als doel individuen meer controle te geven over hun persoonlijke gegevens en hen vertrouwen te bieden als zij dergelijke gegevens delen met ondernemingen. Dat dat zeer actueel is, hebben de recente massale wereldwijde cyberaanvallen duidelijk gemaakt. 

Welke rechten?

Privacy en gegevensbescherming zijn in Europa twee te onderscheiden grondrechten. Samuel Warren en Louis Brandeis omschreven de term privacy al in 1890. Zij kwamen tot de volgende definitie: “Privacy is het recht van individuen op bescherming tegen een ongewenst binnentreden in, kennisneming van, verspreiding van gegevens, info over hun persoonlijk leven, in het bijzonder via publicaties.” In die definitie behelst “persoonlijk leven” “persoonlijke emoties, zintuiglijke waarnemingen/ervaringen, gevoelens, gedachten en handelingen, inclusief relaties, geschriften en uitlatingen.”[1]
 
Gegevensbescherming gaat over de verwerking van persoonsgegevens om zo de persoonlijke levenssfeer (privacy) te beschermen. Persoonsgegevens betreffen  alle informatie die leidt tot een geïdentificeerde of identificeerbare persoon. Dat is zeer ruim gedefinieerd, zodat zelfs het bijhouden van IP-adressen kan leiden tot identificatie en dus onder de wet valt.
 
Welke verantwoordingsplicht?
De onderliggende boodschap van de GDPR  is duidelijk: elke organisatie (zowel een kleinere onderneming als een grote onderneming) die persoonsgegevens verwerkt, online of offline, dient te voorzien in een uitgeschreven plan met aanpassingen in zijn interne processen en procedures rond omgang met databases. De GDPR vereist immers dat organisaties niet alleen de regelgeving naleven, maar ook dat zij die naleving kunnen aantonen. Dat wordt de verantwoordingsplicht of de accountability[2] genoemd. De verordening vereist met andere woorden niet enkel dat de verplichtingen omtrent verwerking van persoonsgegevens worden nagekomen, maar ook dat er aangetoond kan worden dat de verplichtingen effectief worden nagekomen[3]. Het uitgeschreven informatieveiligheidsbeleid of de gegevensbeschermingsprocedure[4] wordt dus een wettelijke verplichting onder het nieuwe regime voor bescherming van persoonsgegevens. In de praktijk wordt dat een echt werkdocument binnen de organisatie, dat afgedwongen rolverdelingen, verantwoordelijkheden en gedragsregels omvat. Eveneens is er aandacht nodig voor toezicht en sanctionering bij onrechtmatige verwerking en schending van de hierboven vermelde gedragsregels.
Een belangrijk gevolg daarvan is de verplichting van een volledig dataregister, met andere woorden een overzicht van de datastromen. Dat omvat de aard en het doel van de verwerking, categorieën van betrokkenen, details van datatransfers en hun doel, bewaartermijnen van data en een overzicht van de geïmplementeerde maatregelen ter beveiliging van de gegevens (doel, grond, verantwoordelijke, logging, beveiligingsmaatregelen, etc.).[5]
Organisaties moeten ook voor 2018 een audit uitvoeren om intern in kaart te brengen welke databases zij bezitten, door wie die beheerd worden, hoe data daarin terechtkomen, wie er toegang toe heeft en wat er met die data gebeurt. 
 

Conclusie?

Het is duidelijk dat de GDPR een grote impact zal hebben op hoe ondernemingen in de toekomst met persoonsgegevens omspringen en dat dat zware verplichtingen met zich meebrengt. Bij Decupere & Partners zijn we alvast volop bezig met de implementatie van de processen om de veiligheid van uw persoonsgegevens te garanderen.
 
[1] WARREN, S.D. en BRANDEIS, L.D., The Right to Privacy, H.L.R, 1890, 193-220 [2] Art. 5, 2 Algemene Verordening Gegevensbescherming. [3] Art. 5, 2 Algemene Verordening Gegevensbescherming. [4] D. DIERCKX, Europese privacywetgeving. Handleiding voor een procedure voor gegevensbescherming in zorgvoorzieningen, Zorgnet-Icuro, 2017,1. [5] Art. 30 Algemene Verordening Gegevensbescherming.