Is de GDPR nu even gevaarlijk als ze klinkt in de media?

1. 1
GDPR.
Matthias Dobbelaere-
Welvaert
Et alors?

2. 2
Over
theJurists
theJurists is gespecialiseerd in privacy, digitaal
recht, intellectuele eigendom en
vennootschapsrecht. theJurists gelooft in digital
transformation en artificiële intelligentie, en
werkt hard aan projecten die recht opnieuw
toegankelijk moet maken. Wij staan voor een
open, transparant en innoverend recht.
Gent - Brussel - London - Paris - Amsterdam
theJurists Europe is een eigentijds juridisch
nichekantoor, en speelt sinds acht jaar een
pioniersrol in digitaal recht.

3. • Insert Image
3
Over
Matthias
MATTHIAS DOBBELAERE-WELVAERT
Matthias is de Managing Partner voor theJurists
Europe, met kantoren in Gent, Brussel, Amsterdam,
Parijs en Londen. Hij is lid van de raad van bestuur van
FeWeb en Ghent Web Valley. Hij doceert aan de EHB
‘Copyright and Mediarights’. Hij is gespecialiseerd in
online privacy, cybercrime, en art. 10 EVRM.
theJurists Europe.
MANAGING PARTNER

4. 4
Wat is Privacy?
Elk gegeven dat
kán terugleiden
naar een persoon,
is een persoons
gegeven.

5. 5
art. 8 EVRM
Recht op eerbiediging
van het privé-leven.
Een ieder heeft het recht op respect
voor zijn privé leven, zijn familie- en
gezinsleven, zijn woning en zijn
correspondentie. Geen inmenging
van enig openbaar gezag is
toegestaan in de uitoefening van dit
recht, dan voor zover bij wet is
voorzien en in een democratische
samenleving noodzakelijk is

6. 6

7. 7
De
Privacycommissie
Bart Tommelein, de ex-Staatssecretaris maakte
furore met Facebook aan te klagen, te winnen
in eerste aanleg en dan … te verliezen.
Zijn opvolger, Philippe De Backer, wil nu Google
aanklagen voor vermeende privacyschendingen.
Waar liggen de prioriteiten van de
Privacycommissie?
Mediageile stunter of
daadwerkelijke waakhond?

8. 8
Informatie is
het nieuwe
goud
Een gratis dienst bestaat niet. Is er geen
toegangs- of verkoopprijs, dan is de gebruiker
simpelweg het product. Privacy is een nieuwe
currency. Facebook, Snapchat, Instagram,
Gmail, Twitter, etc. werken allemaal volgens dat
principe. Dezelfde redenering gaat op voor
online wedstrijden. Het doel is altijd (meer)
data.

9. 9
Debat
MEER VAN IETS IS
MINDER VAN HET
ANDER
En, wat mag het zijn
voor u? Privacy of
Veiligheid?

10. 10
Een nieuwe Europese
verordening die de Privacy in
de Europese lidstaten regelt.
De Algemene Verordening Gegevensbescherming
(of: GDPR) is een verordening waarmee de Europese
Commissie de veiligheid van data wil bevorderen.
Het gaat hierbij vooral om het beschermen van
persoonlijke informatie van Europese inwoners, maar
ook om het reguleren van de export van persoonlijke
data buiten de Europese Unie. De Europese
Commissie wil hiermee de controle over persoonlijke
data teruggeven aan het individu.
Wat is de
GDPR?

11. 11
De Algemene Verordening Gegevens-
bescherming is aangenomen in april 2016. Zij
trad in werking op 24 mei 2016 en zal integraal
van toepassing zijn vanaf 25 mei 2018. Dit geeft
Europese overheden en bedrijven twee jaar de
tijd om zich voor te bereiden op de
veranderende regelgeving.
25 mei 2018 De voorganger van de GDPR is de
privacyrichtlijn 95/46/EG die bestaat sinds 1995,
maar niet langer toereikend is in het huidige
digitale tijdperk. De GDPR is echter een
verordening en niet langer slechts een richtlijn.
Een richtlijn moet binnen iedere lidstaat
omgezet worden naar nationale wetten, terwijl
een verordening rechtstreeks geldig is.
De lidstaten mogen wel nog steeds eigen
accenten leggen en de nationale wetgeving
aanpassen aan de eigen gebruiken. Zo zijn er
bijvoorbeeld regionale verschillen in de
maximumleeftijd van kinderen.

12. 12
Toepassings
gebied
De nieuwe privacyverordening of GDPR
vervangt de huidige richtlijn met betrekking tot
privacy. Wanneer jouw onderneming op dit
ogenblik al te maken heeft met nationale
privacywetgeving dan mag je ervan uitgaan dat
ook de nieuwe verordening op jouw
onderneming van toepassing is.

13. 13
Weet je niet zeker of de verordening wel op jou van toepassing is, dan moet je jezelf de vraag stellen:
Verwerkt mijn onderneming persoonsgegevens van EU-burgers?
Verwerk je
gegevens?
Wat is verwerken? Wat zijn persoonsgegevens?

14. 14
Persoonlijke data is dus om het even welke
informatie die direct of indirect een natuurlijk
persoon kan identificeren. Dus ook: IP adressen,
human tissue, anonieme vs pseudonieme data:
(enkel bij anonimisering kan men niet meer
spreken over persoonlijke data).
Wat zijn
persoons-
gegevens?
Art. 4.1. GDPR: “alle informatie over een
geïdentificeerde of identificeerbare natuurlijke
persoon („de betrokkene”); als identificeerbaar
wordt beschouwd een natuurlijke persoon die
direct of indirect kan worden geïdentificeerd,
met name aan de hand van een identificator
zoals een naam, een identificatienummer,
locatiegegevens, een online identificator of van
een of meer elementen die kenmerkend zijn
voor de fysieke, fysiologische, genetische,
psychische, economische, culturele of sociale
identiteit van die natuurlijke persoon.”
JUISTE REFLEX

15. 15
Dus: quasi elke handeling met een
persoonsgegeven. Reflex aanleren.
Wat is
verwerken?
Art. 4.2. GDPR: “een bewerking of een geheel
van bewerkingen met betrekking tot
persoonsgegevens of een geheel van
persoonsgegevens, al dan niet uitgevoerd via
geautomatiseerde procedés, zoals het
verzamelen, vastleggen, ordenen, structureren,
opslaan, bijwerken of wijzigen, opvragen,
raadplegen, gebruiken, verstrekken door middel
van doorzending, verspreiden of op andere
wijze ter beschikking stellen, aligneren of
combineren, afschermen, wissen of vernietigen
van gegevens”
JUISTE REFLEX

16. 16
Waar is de
GDPR van
toepassing
Deze verordening is van toepassing op de
verwerking van persoonsgegevens in het kader
van de activiteiten van een vestiging van een
verwerkingsverantwoordelijke of een verwerker
in de Unie, ongeacht of de verwerking in de
Unie al dan niet plaatsvindt.

17. 17
Deze verordening is van toepassing op de verwerking van persoonsgegevens van betrokkenen die zich in
de Unie bevinden, door een niet in de Unie gevestigde verwerkingsverantwoordelijke of verwerker, wanneer
de verwerking verband houdt met:
a) het aanbieden van goederen of diensten aan deze betrokkenen in de Unie, ongeacht of een betaling
door de betrokkenen is vereist; of
b) het monitoren van hun gedrag, voor zover dit gedrag in de Unie plaatsvindt.
Verwerk je
gegevens?

18. 18
Het maakt niet langer uit of de verwerking van de gegevens gebeurt binnen de Europese Unie of niet,
zolang er maar gegevens worden verwerkt van natuurlijke personen die zich in de Unie bevinden. Dit is
een belangrijke vooruitgang voor de privacy van particulieren. Vroeger konden belangrijke internetgiganten
zoals Google en Amazon ontsnappen aan de Europese privacywetgeving aangezien ze een hoofdvestiging
in Silicon Valley hadden, maar wanneer nu persoonsgegevens verwerkt worden van Europese burgers zal
de GDPR ook op hen van toepasing zijn.
Waar?

19. 19
De verplichtingen in de GDPR zijn daarboven niet alleen van toepassing op ondernemingen die
persoonsgegevens verwerken voor eigen doeleinden (verwerkingsverantwoordelijken), maar ook
ondernemingen die persoonsgegevens verwerken ten behoeve van andere ondernemingen (verwerkers).
Wanneer je als onderneming wordt ingehuurd om de marketing van een andere onderneming te
verzorgen en hierbij de contactgegevens van zijn klanten verzamelt, val ook jij dus onder het
toepassingsgebied van de GDPR.
Onder-
aannemer?

20. 20
Je verplichtingen onder de
GDPR: toestemming,
informeren, beveiliging.
De bestaande privacywetgeving legt reeds veel
verplichtingen op die ook in de GDPR aanwezig zijn.
Er zijn echter een aantal bijkomende zaken waar je je
onderneming moet op voorbereiden als je GDPR-
compliant wil handelen.
Wat moet
je doen?

21. 21
Toestemmen
Anders dan vroeger in de GDPR: mag steeds
worden ingetrokken, kan niet worden gegeven
wanneer belangrijk onevenwicht, moet worden
gegeven via actieve handeling.
Toestemming kan enkel door een
actieve handeling worden gegeven. Daaruit
moet blijken dat de dataverstrekker vrijelijk,
specifiek, geïnformeerd en ondubbelzinnig
met de verwerking van persoonsgegevens
instemt. Indien de verwerking meerdere
doeleinden heeft, moet de verstrekker voor
ieder daarvan afzonderlijk toestemming geven.
Bovendien kan hij of zij de toestemming te
allen tijde intrekken én moet dit even
eenvoudig zijn als het geven ervan.ART. 6 GDPR

22. 22
Voor een kind jonger dan 16 jaar geldt de
volgende regel:
De verwerking is enkel rechtmatig wanneer de
toestemming of machtiging tot toestemming
wordt verleend door de persoon die ouderlijke
verantwoordelijkheid over het kind draagt.
Deze leeftijdsgrens kan door andere regionale
autoriteiten verlaagd worden tot 13 jaar, dus
hier kunnen regionale verschillen optreden
ART. 6 GDPR

23. 23
Overeen-
komst
Dit is bijvoorbeeld wanneer je een auto wil
kopen. De verkoper moet jouw naam adres etc
vragen om je de auto te kunnen verkopen.
Toestemming is hier niet vereist.
Wanneer de verkoper vraagt om je hobby’s kan
hij niet op deze rechtvaardigingsgrond steunen.
ART. 6 GDPR

24. 24
Wettelijke
verplichting
Wanneer bijvoorbeeld je werkgever je loon
moet betalen moet hij een deel voor sociale
zekerheid inhouden. Daarvoor moet hij
informatie over werknemer sturen naar de
sociale zekerheid. Een werkgever dient immers
zijn werknemer te betalen en belastingen te
betalen.
1. Noodzakelijk om vitale belangen te
beschermen van betrokkene,
2. Noodzakelijk voor vervulling taak algemeen
belang,
3. Noodzakelijk voor behartiging van
gerechtvaardigde belangen van
verwerkingsverantwoordelijke of een derde
(belangenafweging doen).
ART. 6 GDPR

25. 25
De controller moet
steeds verduidelijken
voor welke doeleinden.
PURPOSE INFORMATIE
Transparantiebeginsel:
Waarom zijn deze
gegevens nodig hier?
Doel &
infor-
matie
Lee & White consultants.

26. 26
Bijzondere persoonsgegevens of gevoelige persoonsgegevens slaan op bepaalde categorieën van gegevens
waarvan de wetgever vindt dat ze extra bescherming nodig hebben. Dit zijn persoonsgegevens waaruit ras
of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het
lidmaatschap van een vakbond blijken, of genetische gegevens, biometrische gegevens met het oog op
de unieke identificatie van een persoon, gegevens over gezondheid of gegevens met betrekking tot
iemands seksueel gedrag of seksuele geaardheid.
Beetje
speciaal
De verwerking van deze gegevens is normaal gezien verboden, maar hier bestaan wel belangrijke
uitzonderingen op.

27. 27
1. Passende beveiligingsmaatregelen nemen,
2. De rechten van het datasubject respecteren,
3. Profilering: datasubject moet zich hiertegen altijd kunnen verzetten.
4. Een aantal bijkomende verplichten ten aanzien van dataprocessors.
En wat nog?

28. 28
Specifieke
verplichtingen
onder de GDPR
De GDPR legt daarnaast ook specifieke nieuwe
verplichtingen op. Zo moeten er DPO’s (Data
Protection Officers) aangenomen worden als de
voorwaarden zijn vervuld, ben je verplicht
melding te geven over een datalek, en is er een
grotere verantwoordingsplicht aanwezig.

29. 29
DPO of Data
Protection Officer
De DPO is ondertussen
al enkele keren
vermeld geweest en
vormt ook een van de
meest ingrijpende
veranderingen die de
verordening met zich
meebrengt. Of toch op
zijn minst voor
sommigen. U bent
namelijk enkel
verplicht om een DPO
aan te duiden indien u
op 1 van volgende
vragen ‘ja’ moet
antwoorden:
Verwerk je meer dan 5000
dataverstrekkers per jaar?
> 5000
OVERHEID
BIJZONDER
OBSERVATIE
Ben je een overheidsinstantie of
-orgaan?
Verwerk je hoofdzakelijk
bijzondere gegevens?
Doe je aan regelmatige
observatie op grote schaal?
1
2
3
4

30. 30
De rol van Data Protection Officier of DPO mag u toekennen aan een bestaande werknemer. Diens andere
verantwoordelijkheden moeten echter compatibel zijn met de verplichtingen die bij de rol van DPO komen
kijken. Hij of zij mag geen tegenstrijdige belangen dienen. Binnen een bedrijvengroep of concern mag één
DPO aangeduid worden, zolang deze voor iedere vestiging gemakkelijk bereikbaar is. Bovendien mag de
DPO als werknemer worden aangenomen door de verwerkingsverantwoordelijke, maar ook zijn taken
vervullen binnen een dienstverleningsovereenkomst.
De rol van
een DPO

31. 31
Uw organisatie en werknemers die persoonsgegevens beheren, van informatie en advies voorzien omtrent
de verplichtingen die bij de GDPR komen kijken;
De correcte naleving van de General Data Protection Regulation monitoren door middel van de Europese
of lokale beschermingsvoorzieningen en de privacy policy van uw organisatie. Dit slaat ook op het trainen
van betrokken werknemers en het uitvoeren van gerelateerde audits;
Uw organisatie adviseren omtrent de verplichte risicoanalyse en de resultaten ervan; • Samenwerken met
de regionale autoriteit en als contactpersoon optreden voor uw organisatie;
Antwoord bieden op alle vragen die te maken hebben met gegevensverwerking en de rechten van de
betrokkenen wiens data verwerkt worden. Dit kunnen uw medewerkers, klanten en dergelijken zijn.
Verplichte
taken (DPO)

32. 32
Melding datalek
Een datalek betekent
dat er een inbreuk is
op de beveiliging die
per ongeluk of op
onrechtmatige wijze
leidt tot de
vernietiging, het verlies,
de wijziging of de
ongeoorloofde
verstrekking van of de
ongeoorloofde toegang
tot persoonsgegevens.
Indien een inbreuk in verband met
persoonsgegevens heeft plaatsgevonden, meldt
de verwerkingsverantwoordelijke deze zonder
onredelijke vertraging en, indien mogelijk, uiterlijk
72 uur nadat hij er kennis van heeft genomen, aan
de Privacycommissie, tenzij het niet waarschijnlijk
is dat de inbreuk in verband met
persoonsgegevens een risico inhoudt voor de
rechten en vrijheden van natuurlijke personen.
Indien de melding aan de toezichthoudende
autoriteit niet binnen 72 uur plaatsvindt, gaat zij
vergezeld van een motivering voor de vertraging.
De verwerker (IT-dienstleverancier) informeert de
verwerkingsverantwoordelijke (klant)zonder
onredelijke vertraging zodra hij kennis heeft
genomen van een inbreuk in verband met
persoonsgegevens.

33. 33
Accountability
De
verantwoordingsplicht
houdt in dat
ondernemingen zelf
moeten nagaan of hun
verwerking van
persoonsgegevens in
lijn is met de GDPR en
ze moeten dit ook op
ieder ogenblik kunnen
aantonen.
Het is een belangrijke wijziging ten aanzien van
de bestaande privacyrichtlijn. Hoewel het concept
‘verantwoordingsplicht’ niet uitdrukkelijk werd
opgenomen in de GDPR worden wel een aantal
verplichtingen opgenomen in de GDPR die onder
het concept kunnen vallen. Bijvoorbeeld:
1. Onderneming moet passende technische en
organisatorische maatregelen nemen om te
waarborgen dat de verwerking GDPR-compliant
is,
2. Elke verwerkingsverantwoordelijke houdt een
register van verwerkingsactiviteiten bij (die
onder zijn verantwoordelijkheid vallen).

34. 34
Pseudonimisering
Pseudonimisering is
een nieuw concept dat
werd geïntroduceerd in
de GDPR. Het betekent
dat gegevens worden
verwerkt op een
zodanige manier dat
de persoonsgegevens
niet meer gekoppeld
kunnen worden aan
het datasubject zonder
dat er aanvullende
gegevens gebruikt
worden.
Deze aanvullende gegevens moeten hiervoor
afzonderlijk bewaard worden en er moeten
‘technische en organisatorische’ maatregelen
genomen worden zodat de gegevens niet kunnen
worden teruggekoppeld aan de persoon.
Data worden door dit proces dus niet volledig
geanonimiseerd (wat een uitsluiting uit de GDPR
zou betekenen) maar men kan het datasubject
ook niet langer direct gaan identificeren. Enkel
de controller heeft de sleutel tot de brondata en er
zijn waarborgen die reïdentificatie gaan
voorkomen. Maar de brondata zijn nog aanwezig,
ze zijn niet vernietigd dus je moet nog aan de
privacywetgeving voldoen. Omdat het privacyrisico
van de betrokkenene echter verminderd is zal de
privacywetgeving zich soepeler opstellen bij de
verwerking van gepseudonimiseerde
persoonsgegevens.

35. 35
Welke
rechten
heeft de
gebruiker?
Onder de GDPR heeft het
datasubject heel wat
rechten.
Indien er persoonsgegevens verwerkt worden
heeft de betrokkene recht op informatie
omtrent (de verwerking van) deze gegevens.
Welke informatie moet verstrekt worden is
afhankelijk van het feit of de persoonsgegevens
rechtstreeks of onrechtstreeks werden
verzameld bij de betrokkene.
Lees artikel 13 GDPR en 14 GDPR.
IN DE WET

36. 36
Recht op
informatie
Bestond al, maar ruimer
gemaakt in de GDPR.
Indien er persoonsgegevens verwerkt worden
heeft de betrokkene recht op informatie
omtrent (de verwerking van) deze gegevens.
Welke informatie moet verstrekt worden is
afhankelijk van het feit of de persoonsgegevens
rechtstreeks of onrechtstreeks werden
verzameld bij de betrokkene.

37. 37
Recht op
inzage
Bestond al, maar ruimer
gemaakt in de GDPR.
Betrokkene heeft recht om te weten of
gegevens van hem al dan niet verwerkt worden
en wanneer het zo is om inzage hierin te
krijgen en van volgende gegevens ook inzage
krijgt (verwerkingsdoeleinden, categorieën
persoonsgegevens, ontvangers, periode, etc.)

38. 38
Recht op
correctie
Art. 16 en 18 GDPR.
De GDPR erkent uitdrukkelijk het recht om
persoonsgegevens te corrigeren wanneer deze
onjuist of onvolledig zijn.

39. 39
Recht van
verzet
Bestond reeds (uitgebreid
bij profilering).
Het recht om zich te kunnen verzetten tegen
direct marketing, verwerking op basis van
gerechtvaardigde gronden en verwerking voor
wetenschappelijk of historisch onderzoek.
Betrokkenen moeten ook geïnformeerd worden
over dit recht van verzet.

40. 40
Profilering
Expliciete toestemming nu
vereist.
De betrokkene heeft het recht niet te worden
onderworpen aan een uitsluitend op
geautomatiseerde verwerking, waaronder
profilering, gebaseerd besluit waaraan voor
hem rechtsgevolgen zijn verbonden of dat hem
anderszins in aanmerkelijke mate treft.

41. 41
Deze vereiste geldt niet indien de profiling:
a) noodzakelijk is voor de totstandkoming of de uitvoering van een overeenkomst tussen de betrokkene en
een verwerkingsverantwoordelijke;
b) is toegestaan bij een Unierechtelijke of lidstaatrechtelijke bepaling die op de
verwerkingsverantwoordelijke van toepassing is en die ook voorziet in passende maatregelen ter
bescherming van de rechten en vrijheden en gerechtvaardigde belangen van de betrokkene; of
c) c) berust op de uitdrukkelijke toestemming van de betrokkene.
Uitzondering

42. 42
Recht om
vergeten te
worden
Nieuw in de GDPR:
veel rond te doen.
Het recht om vergeten te worden houdt in dat
betrokkenen in sommige gevallen het recht
hebben om de verwijdering van
persoonsgegevens te verkrijgen. Dit recht kan
van toepassing zijn in de volgende gevallen:

43. 43
(1) De gegevens zijn niet langer nodig voor de doeleinden waarvoor de gegevens verzameld werden.
(2) De betrokkene trekt zijn toestemming voor de verwerking van zijn persoonsgegevens in en er is geen
andere rechtsgrond voor de verwerking.
(3) De betrokkene maakt bezwaar tegen de verwerking.
(4) De persoonsgegevens van de betrokkene werden onrechtmatig verwerkt. (
5) De persoonsgegevens moeten gewist om te voldoen aan een wettelijke verplichting volgens het
Unierecht of volgens nationale wetgeving.
(6) De persoonsgegevens werden verzameld in verband met aanbod van diensten aan kinderen.
Wanneer recht
op vergeten?

44. 44
Recht op
portabiliteit
Nieuw in de GDPR: art. 20
Gegevens die verstrekt zijn aan de ene
leverancier, moeten gemakkelijk
recupereerbaar zijn. Op die manier kan
makkelijk van de ene naar de andere
dienstenleverancier gegaan worden.

45. 45
(1)Het moet gaan om een gegevensverwerking die berust op toestemming of op een overeenkomst. De
AVG stelt uitdrukkelijk dat dit recht niet geldig is bij verwerkingen die noodzakelijk zijn om een opdracht
van algemeen belang te vervullen of om het openbaar gezag uit te oefenen.
(2) Er bestaat het recht om de verstrekte persoonsgegevens die aan de verwerkingsverantwoordelijke werd
gegeven, terug te krijgen, en recht om de gegevens door te geven aan een andere
verwerkingsverantwoordelijke of dienstenaanbieder zonder dat de eerste verwerkingsverantwoordelijke,
zich daartegen kan verzetten.
Wanneer recht
op vergeten?

46. 46
By design &
by default
Nieuw in de GDPR. Art. 25
Artikel 25 AVG stelt dat technische en
organisatorische maatregelen genomen
moeten worden. Deze moeten genomen
worden gedurende het gehele proces van het
verwerken van persoonsgegevens.

47. 47
By design &
by default
Zowel op het tijdstip van de bepaling van het verwerkingsmiddel, als tijdens het verwerken zelf. Het
doel van deze technische en organisatorische maatregelen is om de gegevensbeschermingsbeginselen op
een doeltreffende manier uit te voeren. Bijvoorbeeld minimale gegevensverwerking. Daarnaast moeten
de nodige waarborgen in de verwerking ingebouwd worden ter naleving van de AVG en ter bescherming
van de rechten van de betrokkenen.
Wat zijn nu technische en organisatorische maatregelen? Denk aan het pseudonimiseren, transparantie
met betrekking tot de functies en de verwerking van de persoonsgegevens, het in staat stellen van de
betrokkene om controle uit te oefenen op de informatieverwerking en, het in staat stellen van de
verwerkingsverantwoordelijke om beveiligingskenmerken te creëren en te verbeteren.

48. 48
Als onderneming werkt men vaak samen met, of in opdracht voor, andere ondernemingen. Wanneer men
regelmatig persoonsgegevens uitwisselt met andere ondernemingen dan moet men een aantal zaken in
het achterhoofd houden. Eerst en vooral is het belangrijk dat er steeds met ondernemingen waaraan
gegevens worden doorgegeven, een verwerkersovereenkomst sluit.
In dergelijke overeenkomsten maakt men vervolgens afspraken over de duur, beschrijving en doeleinden
van de gegevensverwerking, de beveiligingsmaatregelen die zullen genomen worden, etc. Er zijn
duidelijke richtlijnen opgenomen in de GDPR over wat dergelijke overeenkomsten moeten inhouden.
Data
overdragen

49. 49
Daarnaast dient er ook steeds nagegaan worden of de onderneming waarmee men samenwerkt een
passend beschermingsniveau kan waarborgen, indien de betrokken onderneming zich niet in België
bevindt. De lijst van derde landen die een passend beschermingsniveau waarborgen kan je vinden op de
website van de Europese Commissie. Indien men het betrokken land niet terugvindt op deze lijst kan een
passende bescherming ook gewaarborgd worden aan de hand van een overeenkomst of via bepaalde
uitzonderingen die toelaten om persoonsgegevens te versturen naar dit land. Een dergelijke uitzondering
bestaat er bijvoorbeeld wanneer de betrokkene expliciet toestemming heeft gegeven voor de doorgifte
van zijn persoonsgegevens.

50. 50
De
sancties.
Iedereen heeft het erover:
de enorme GDPR-sancties.
De GDPR zal de Privacycommissie in België de
bevoegdheid geven om een administratieve
geldboete op te leggen. De maximumboete
(bijv voor het niet rechtmatig verkrijgen van
toestemming of niet voldoen aan de regels
omtrent data-uitwisseling met niet EU-landen)
is 20 miljoen euro of 4% van de wereldwijde
omzet. Hoewel het gaat om maximale
bedragen bepaalt de GDPR wel dat de
Privacycommissie ervoor moet zorgen dat de
geldboete afschrikkend moet zijn. Een inbreuk
‘afkopen’ zal dus niet zomaar gaan. Belangrijk
dus om bewust te zijn van alle persoons-
gegevens die verwerkt worden!

51. 51
Cookies,
een
vergeten
smaakje.
De cookiewetgeving lijkt
elke dag een beetje meer
dood.
In Nederland volgen alle websites en webshops
stringent de cookiewetgeving. In België was dit
bij aanvang al helemaal niet het geval. De
Belgische Privacycommissie was te laks in haar
advies en opvolging, wat niet kan gezegd
worden van andere Europese
privacywaakhonden.
Lees artikel 13 GDPR en 14 GDPR.
IN DE WET

52. 52
Een cookie.
Een cookie is een klein tekstbestandje, dat
door de server op een pc wordt geplaatst.
Er ontstond grote heisa rond de
cookiewetgeving. Websites en webwinkels
zouden grote verliezen draaien omwille van de
vervelende pop-ups.
Wat is het nu het doel van de cookie? Het doel
van dergelijke cookies is zeer divers, gaande van
onschuldige technische doeleinden (het vullen
van een winkelmandje of het onthouden van
een taalkeuze), tot minder onschuldige zaken
als het volgen van een gebruiker op het web.
DE ENE COOKIE IS DE
ANDERE NIET.

53. 53
Men dient een onderscheid te maken tussen
niet-technische cookies en technische
cookies. Dit is belangrijk voor de
cookiestatement, die een integraal deel
uitmaakt van een privacystatement.
Technische cookies zijn onschuldig en de
gebruiker hoeft hiervoor geen toestemming te
geven via een cookiebanner.
Niet-technische cookies vallen wel onder de
toestemmingsvereiste. Voorbeelden hiervan zijn
analytics-cookies, tracking cookies, et cetera.
Ook de duur van de cookie speelt een rol.
Hoelang een cookie immers bewaard mag
worden op het device van de gebruiker, moet
aangeduid worden in de cookie statement.
Sommige cookies worden onmiddellijk
verwijderd (sessiecookies), andere blijven soms
jaren op het toestel aanwezig.
We moeten ons natuurlijk de vraag stellen: weet
de consument het wel?

54. 54
Wat weet de gebruiker
zoal over cookies?
Ook de duur van de cookie speelt een rol.
Hoelang een cookie immers bewaard mag
worden op het device van de gebruiker, moet
aangeduid worden in de cookie statement.
Sommige cookies worden onmiddellijk
verwijderd (sessiecookies), andere blijven soms
jaren op het toestel aanwezig.
We moeten ons natuurlijk de vraag stellen: weet
de consument het wel?

55. 55
Dit zijn allen voorbeelden van technische
cookies. Een taalkeuze, het bewaren van de
winkelwagen of het mogelijk maken om in te
loggen.
Technische cookies.

56. 56
Het grootste probleem met de
cookiewetgeving, is het ontbreken van een
gemeenschappelijk Europees kader. Elk
Europees land heeft de cookiewetgeving op
haar eigen manier ingevuld, wat zorgt voor
verschillende regelingen per land.
Dit is natuurlijk onvergefelijk in de e-
commerce en technische sector, waar
grensoverschrijdend handelen meer de regel
dan de uitzondering is geworden.
Ook de duur van de cookie speelt een rol.
Hoelang een cookie immers bewaard mag
worden op het device van de gebruiker, moet
aangeduid worden in de cookie statement.
Sommige cookies worden onmiddellijk
verwijderd (sessiecookies), andere blijven soms
jaren op het toestel aanwezig.
We moeten ons natuurlijk de vraag stellen: weet
de consument het wel?

57. 57
De banner hiernaast gezien? Dit is een
voorbeeld van een tracking cookie.
Ook de duur van de cookie speelt een rol.
Hoelang een cookie immers bewaard mag
worden op het device van de gebruiker, moet
aangeduid worden in de cookie statement.
Sommige cookies worden onmiddellijk
verwijderd (sessiecookies), andere blijven soms
jaren op het toestel aanwezig.
We moeten ons natuurlijk de vraag stellen: weet
de consument het wel?

58. 58
Toestemming
Er zijn vier
voorwaarden alvorens
van een geldige
toestemming kan
worden gesproken.
Denk hierbij aan de
cookiebanner of -
lightbox die de
gebruiker vraagt om
akkoord te gaan.
De toestemming moet
voorafgaandelijk gebeuren.
VOORAFGAANDELIJK
GEÏNFORMEERD
VRIJ
SPECIFIEK
De gebruiker moet voldoende
geïnformeerd worden.
De toestemming moet vrij
gebeuren, geen cookiewall.
De toestemming moet voor
een welbepaalde site zijn.
1
2
3
4

59. 59
Opt-out of
opt-in?
Veel discussie bij juristen.
Moet je via een expliciete opt-in toestemming
vragen aan je gebruiker voor cookies? Niet alle
juristen zijn het eens, maar het lijkt alleszins de
meest veilige én wetconforme optie. deJuristen
raadt alleszins aan om een expliciete opt-in via
lightbox of banner te gebruiken. Daarin moet
de bezoeker de mogelijkheid hebben om
cookies aan en uit te vinken, alsook de cookie
statement te consulteren.

67. 67
De cookie-
statement.
In een cookiestatement moet vermeld worden:
1. Welke cookies de site gebruikt,
2. Wat hun doel is, en de tijdsduur,
3. Waarom de site deze cookies gebruikt,
4. Hoe kan de bezoeker deze cookies weigeren?
DE ENE COOKIE IS DE
ANDERE NIET.

68. 68
Tijd om
zelf te
oefenen.
Enkele casussen.

69. 69
Casus 1
Een Chinees
kwam eens robots
verkopen in de EU.

70. 70
Ik ben een Chinese producent voor robots. Ik zou graag mijn webshop opstarten met een
distributiecentrum in Nederland om mijn robots te verkopen aan om te beginnen Belgische
consumenten. Ik wil het mijn klanten zo gemakkelijk mogelijk maken en vraag dan ook maar hun
mailadres en hun lievelingsdier voor identificatie bij hun aankoop. Maar met hun mailadres en de
adressenlijst zou ik wel gerichte marketing willen doen, door een analyse en eventueel een doorverkoop
van deze mailadressen. Zo verdien ik misschien ook wel bijkomend wat geld aan de mailadressen op zich.
Waar moet ik allemaal op letten om helemaal GDPR-compliant te zijn?
De opdracht

71. 71
Hoe wordt de Chinees GDPR-compliant?
China: niet-Europees, dus valt niet onder GDPR? Toch wel, want hij richt zijn activiteiten middels een vestiging/’establishment’ in een
lidstaat van de EU (Nederland). Ook richt hij zijn activiteiten op Belgische consumenten en dus onderdanen en dus verwerkt hij
gegevens van Europese onderdanen.
Puur hun mailadres: persoonsgegevens zijn gegevens die direct of indirect een natuurlijke persoon zouden kunnen identificeren.
Enkel mailadressen zoals ‘info@, contact@, team@’ zullen als te onpersoonlijke worden beschouwd. De andere mailadressen vallen
wel onder de GDPR.
Hun lievelingsdier: het principe van data minimisation stelt dat enkel gegevens mogen verzameld worden die strikt noodzakelijk zijn
voor de beoogde doelen van de verwerking. Het vragen naar hun lievelingsdier is een verzameling van gegevens die niet noodzakelijk
is voor de aankoop van een robot en zal dus ook niet langer toegelaten worden door de GDPR.
Gerichte marketing + doorverkoop van deze lijst: dit zijn de doeleinden waaromtrent de betrokkene duidelijke informatie over moet
verkrijgen. Hij dient op de hoogte te worden gesteld (via een privacy policy of in de algemene voorwaarden) van de redenen van
verwerking. Deze dienen zo specifiek mogelijk opgesteld te worden. Per doeleinde moet dit vermeld worden, dus verschil loutere
marketing versus echte doorverkoop, moet anders vermeld worden. Voor deze vorm van marketing moet er ook expliciete
toestemming worden gegeven in de algemene voorwaarden.
Verdere GDPR compliant: redelijke en adequate beveiligingsmaatregelen nemen tegen mogelijke datalekken op basis van
inschatting ernst lek en graad van beveiliging. Dataregister opstellen en bijhouden van welke gegevens worden verwerkt.
Toestemming voor verwerking kan gegeven worden in de algemene voorwaarden.
Het
antwoord.

72. 72
Casus 2
Een Belg
gebruikte eens
een Chinese robot.

73. 73
Ik ben een Belgische software-producent voor Japanse robots die gebruikt worden als begroetinghost bij
vestigingen van AXA Belgium. Voor AXA heeft de software als doel om Belgische consumenten te
begroeten en om reeds enkele gegevens van hen op te vragen om het inleidend gesprek vlotter te doen
verlopen met de verzekeringsmakelaar. De robot vraagt naar hun naam, mailadres, adres en reeds enkele
vragen voor risico-analyse.
Ben ik als software ontwikkelaar verantwoordelijk voor de GDPR-verplichtingen of is het AXA Belgium die
GDPR-compliant moet zijn? Wie is aansprakelijk bij datalekken?
De opdracht

74. 74
De Belgische software-producent gaat hier via de software die hij produceert persoonsgegevens verwerken ten behoeve van een
andere onderneming, AXA Belgium. In deze casus is de software-producent de processor/verwerker en AXA de
verwerkingsverantwoordelijke (AXA bepaalt immers voor welke uiteindelijke doeleinden de gegevens verwerkt moeten worden:
verzekeringsdoeleinden).
In het ander geval ligt het anders: indien gebruikers gegevens steken in de robot, die gegevens komen in een databank terecht, deze
databank is op poten gezet door de IT’er, maar nu is de vraag of het beheer van die databank wordt geoutsourced naar de IT’er of
rechtstreeks door AXA (hoogstwaarschijnlijk doet AXA dat zelf). Indien AXA zelf de databank beheert en host is het AXA die de
verzamelde gegevens verwerkt en controleert. Als de IT’er gewoon puur software op poten zet en dan volledig erbuiten blijft en dus
niet de gegevens eerst zelf moet verwerken dan is hij geen processor.
Indien de IT’er ook nog instaat voor de hosting van het platform, met updates en beschikbaar houden van servers en bandwidth, valt
de IT’er wel onder de term verwerker. Dan verwerkt het gegevens in opdracht van de controller. Belangrijk zal zijn dat een
verwerkersovereenkomst wordt gesloten tussen AXA en de softwareontwikkelaar. Wanneer dit niet wordt gedaan staan hier hoge
boetes op. Hierin moeten afspraken gemaakt worden over het soort persoonsgegevens dat verwerkt wordt, doeleinden van de
gegevensverwerking, wat er door de softwareontwikkelaar ondernomen zal worden bij een datalek etc.
Het
antwoord (1).

75. 75
Onder de huidige richtlijn worden de verplichtingen voornamelijk gefocust op de verwerkingsverantwoordelijke, maar niet onder
GDPR: verwerkers krijgen ook meer verplichtingen en kunnen nu ook verantwoordelijk worden gesteld wanneer ze niet compliant zijn
met de GDPR. Beide moeten dus compliant zijn.
Qua aansprakelijkheid: de IT’er zal moeten instaan voor veilige technische maatregelen die datalekken tegenhouden. Alles zal
afhangen van context of dat in de opdracht zat inbegrepen. Men zou kunnen verwachten dat de IT’er een veilig platform/software op
poten moet stellen. Tenzij AXA zelf volledig instaat voor de hosting en updating/beveiliging van de software. Verder moet zowel de
controller als de verwerker een dataregister bijhouden en moet de meldingsplicht bij een datalek overeengekomen worden in een
verwerkersovereenkomst.
Het
antwoord (2).

76. 76
Er is nog even de tijd.
2017
Wat is jouw GDPR-vraag?
25
Mei
2018

77. theJurists
77
theJurists Europe.
GENT (BELGIUM)
HQ
Brussel & London.
AMSTERDAM, PARIS,
+
5 offices in 4 European
Countries.

78. 78
Get in
touch.
We’ll love to help you out.
Webchat & Slack app
contact@dejuristen.be
Chat & E-mail
!
Heernislaan 19
B-9000 GENT
Address
"
+32 9 298 04 58
Phone