De handhavende gegevensbeschermingsautoriteit komt op (kruis-)snelheid: Praeparatus Esto!

26 juni 2020

De Belgische Gegevensbeschermingsautoriteit (vroeger: Privacycommissie) kondigde al aan in de komende jaren zijn focus te vestigen op (o.m.) de overheids-, de onderwijs- en de telecommunicatiesector, met daarbij een bijzondere aandacht voor de legitimiteit van persoonsgegevensverwerkingen en het borgen van de rechten van burgers. Op basis van een aantal beslissingen in de voorbije maanden blijkt de Gegevensbeschermingsautoriteit de daad alvast bij het woord te voegen en steeds actiever (en strenger) op te treden.

Zo dient vastgesteld dat de Gegevensbeschermingsautoriteit in de voorbije 2 à 3 maanden maar liefst 14 beslissingen (n.a.v. individuele klachten van betrokkenen) online bekendmaakte (i.t.t. een 13-tal beslissingen over heel 2019). Opmerkelijk is daarbij dat een aantal van deze recente beslissingen duidelijk maken dat de invloed en rol van de Gegevensbeschermingsautoriteit steeds verder uitdijt in een steeds breder wordende context van persoonsgegevensverwerkingen.

Van belang voor onder andere de (lokale-) besturen in Vlaanderen zijn (o.m.) de volgende recente beslissingen van de Gegevensbeschermingsautoriteit:

  • De verplichting tot het (tijdig) sluiten van een verwerkersovereenkomst (ref. 22/2020): In deze beslissing oordeelde de Gegevensbeschermingsautoriteit ten gronde dat er voorafgaand aan de verwerking van persoonsgegevens door een verwerker niet alleen een (volledige-) verwerkersovereenkomst moet zijn opgesteld, maar eveneens moet zijn ondertekend door alle betrokken partijen.

    Dit in casu des te meer nu de verwerking van persoonsgegevens een kernactiviteit van de betrokken verwerkingsverantwoordelijke betrof, waarvan verwacht mocht worden dat deze zich op zorgvuldige wijze had voorbereid op de invoering van de Algemene Verordening Gegevensbescherming;

  • Het gebruik van Smartschool voor het uitvoeren van een enquête ‘welbevinden’ bij minderjarige leerlingen zonder toestemming van de ouders (ref. 31/2020): In deze beslissing oordeelde de Gegevensbeschermingsautoriteit ten gronde dat het richten van een enquête aan een leerling jonger dan 13 jaar door middel van Smartschool slechts op legitieme wijze kan gebeuren mits toestemming van de ouders van deze leerling(en).

    Aanvullend wijst de Gegevensbeschermingsautoriteit er tevens op dat de verwerkingsverantwoordelijke, ingevolge de gerichte vraagstellingen van de enquête, eveneens gegevens verwerkt over andere leerlingen, over pesten, over thuissituaties, … welke niet alleen ontdaan zijn van het vereiste verband met de decretale taakstellingen van de onderwijsinstellingen (nl. leerlingenbegeleiding), maar -des te belangrijker- dat de afname van een gelijkaardige enquête in de toekomstanoniem in de zin van de Algemene Verordening Gegevensbescherming georganiseerd dient te worden.

  • Een gebrek aan transparantie in de privacyverklaring (ref. 24/2020): In deze beslissing oordeelde de Gegevensbeschermingsautoriteit ten gronde dat de privacyverklaring alle betrokkenen op een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vormt dient te informeren over de rechtsgrond(en) van de persoonsgegevensverwerkingen die worden nagestreefd. Daarbij acht de Gegevensbeschermingsautoriteit het noodzakelijk een duidelijk onderscheid te maken (lees: in de privacyverklaring) voor wat betreft de rechtsgrondslag(en) voor de verwerking van bijzondere persoonsgegevens enerzijds en de verwerking van gewone persoonsgegevens anderzijds.

Bovenstaande beslissingen vormen slechts een (beperkte-) greep uit de recente besluitvormingspraktijk van de Gegevensbeschermingsautoriteit, waaruit een duidelijke tendens kan ontwaard worden dat de tijd van (enkel) zalven op zijn laatste benen loopt. De Gegevensbeschermingsautoriteit toont steeds vaker haar (handhavende en bevelende-) tanden, hetgeen niet zelden de (lokale-) overheidssector in haar werking treft.

In dit verband is het alvast nuttig (ook) op te merken dat Exello.net recent het signaal ontving dat er voor de lokale besturen in Vlaanderen nog steeds cofinancieringsbudget beschikbaar is vanuit de Vlaamse Overheid om een onafhankelijke en deskundige audit op het vlak van informatieveiligheid te laten uitvoeren.

Zowel met privacy als gegevensbescherming wordt in de huidige digitale tijden, waarin telewerken een nieuwe norm lijkt te worden en fake newsitems schering en inslag zijn, niet (langer) lichtzinnig omgesprongen…

GD&A Advocaten staat alleszins klaar om lokale besturen en ondernemingen, als de vooraanstaande voorlichters van correcte communicatie en gegevensbescherming, te ondersteunen in deze materie en mee te denken over een gepast plan van aanpak.