WABLIEFT?! Op 75 lokale besturen geeft (vooralsnog) geen enkele uitvoering aan de protocolregeling van 26 juni 2018! Zijn de Vlaamse besturen werkelijk niet bevreesd voor eventuele, substantiŽle sancties?!

WABLIEFT?! Op 75 lokale besturen geeft (vooralsnog) geen enkele uitvoering aan de protocolregeling van 26 juni 2018!  Zijn de Vlaamse besturen werkelijk niet bevreesd voor eventuele, substantiële sancties?! 

18 maart 2019

In het verleden dienden instanties (lokale besturen, Vlaamse instanties, ...) die systematisch, elektronisch persoonsgegevens uitwisselden in principe over een machtiging van de Vlaamse Toezichtcommissie of van één of meerdere Sectorale Comités te beschikken. Voormelde regeling werd recentelijk herzien via het AVG-decreet / Bestuursdecreet, die de protocolregeling invoerden.

Voormelde betekent in concreto dat indien u (als één van voormelde instanties) vandaag elektronisch persoonsgegevens uitwisselt met andere  instanties, u zich in principe (enkele uitzonderingen - bv. inzake sociale gegevens - niet nader besproken) dient aan te sluiten bij één van de bestaande algemene machtigingen (cfr. die  geldig kunnen blijven, doch in principe niet meer kunnen worden gewijzigd)  of -een protocol tot gegevensuitwisseling dient op te maken.

Ter illustratie, enkele voorbeelden van gegevensuitwisselingen: het inkijken van het bevolkingsregister door een ander(e) bestuur / instantie, de gegevensuitwisseling tussen het OCMW en de Vlaamse maatschappij voor sociaal wonen, de gegevensuitwisseling tussen het Agentschap voor Onderwijsdiensten en de VDAB, de gegevensuitwisseling tussen de stad en een welzijnsvereniging, .... Om (voorals)nog maar niet in te gaan op de  integratie tussen OCMW en stad / gemeente ... Het moge duidelijk zijn, u wisselt meer persoonsgegevens uit dan u denkt!

Voor de goede orde, nuanceren wij evenwel dat:

de protocolregeling zich enkel richt tot georganiseerde gegevensuitwisselingen, die systematisch / niet-occasioneel plaatsvinden.
Opgelet, aan voormelde voorwaarde is sneller voldaan dan u denkt; een eenmalige uitwisseling van een omvangrijke databank wordt bijvoorbeeld ook als systematisch gekwalificeerd;

interne gegevensuitwisselingen, tussen twee afdelingen, vallen in principe niet onder de protocolverplichting, doch zijn wel onderworpen aan andere verplichtingen (bijvoorbeeld, het voorafgaandelijk advies van de DPO (Data Protection Officer));

ook voor gegevensuitwisselingen op papier dient u geen protocol op te stellen.

Wat houdt dergelijk protocol in? In een protocol geeft u - na advies van uw DPO en (eventueel) na vrijblijvend advies van de Vlaamse toezichtcommissie -  aan dat u voor de betreffende uitwisseling de principes van de GDPR respecteert. Zo moet uw protocol onder meer identificatiegegevens, doeleinden, wettelijke grondslagen, termijnen, beveiligingsmaatregelen, garanties, sancties, specifieke maatregelen, categorieën van ontvangers en derden, categorieën en omvang van persoonsgegevens, en verenigbaarheidsanalyses bevatten.

In tegenstelling tot de machtigingen - die werden gepubliceerd op de website van het orgaan die deze verleende - moeten de protocollen gepubliceerd worden op de website van de betrokken besturen.

Schiet u als lokaal bestuur tekort aan voormelde publicatieplicht, schendt u niet enkel voormelde, bijzonder regelgeving, maar maakt u mogelijks ook een inbreuk op de kennisgevingsplicht van de GDPR. Beschikt u helemaal niet over een protocol (wanneer vereist), verwerkt u op onrechtmatige wijze persoonsgegevens.

Onder meer, corrigerende maatregelen (bv. een verbod op verwerking van persoonsgegevens) of strafrechtelijke geldboetes die kunnen oplopen tot 15.000 euro lijken in voormelde gevallen een reëel risico (!)

Dit gezegd zijnde, komen wij tot de vaststelling, waarom u (wellicht) deze nieuwsbrief begon te lezen. Wij selecteerden willekeurig 75 lokale besturen én dienen vast te stellen dat geen enkele een protocol heeft gepubliceerd op haar website. Het moge duidelijk zijn dat - rekening houdende met de gangbare praktijken binnen besturen - die vaststelling talloze inbreuken zal weerspiegelen.   

*Ter volledigheid: voormelde vaststelling staat niet alleen; eerder konden wij ook reeds vaststellen dat het grote merendeel van de lokale besturen evenmin van een behoorlijke privacy- en cookieverklaringen is voorzien (zie:  http://www.gdena-advocaten.be/documents/news-items/20180822_breaking-meer-dan-80-van-de-lokale-besturen-blijkt-niet-in-orde-met-de-gdpr-en-cookieregels-toch-lijkt-een-eerste-beproeving-nabij.xml?lang=nl )

Verontrustende vaststellingen, wetende dat in onze buurlanden, reeds volop sancties worden toegepast, in het kader van schendingen van de data- en privacyregelgeving. Voor de goede orde: daar werden niet enkel de Googles en Ubers van deze wereld geviseerd, maar bijvoorbeeld ook de Nederlandse politie. 
GD&A Advocaten volgt voormelde materie op de voet én kan uw bestuur-/onderneming daarin perfect bijstaan. Voor meer informatie-/inlichtingen, aarzel zeker niet om één van onderstaande advocaten / DPO's (geheel vrijblijvend-) te contacteren

Meer info?
Contacteer Willem Mariën

Advocaat
t 015/40 49 40 of willem.marien@gdena-advocaten.be

Contacteer Wouter Rubens
Advocaat
t 015/40 49 40 of wouter.rubens@gdena-advocaten.be

Contacteer Bert De Keyser
Advocaat-vennoot
t 015/40 49 40 of bert.dekeyser@gdena-advocaten.be