0:00

Kris: Welkom terug bij dJ Talks, de podcast van deJuristen. Ik ben Kris managing partner en één van de juridische experts bij deJuristen, en samen met Duygu, Privacy Chair van het Data Protection team bij deJuristen, verkennen we de GDPR in de praktijk. Duygu: Vandaag gaan we verder met ons boek "Roodlicht of rotonde". We duiken dieper in de GDPR, een 'rondpunt-wetgeving' die kansen biedt voor jouw onderneming. Kris: We behandelen de hoofdstukken van ons boek stap voor stap, met praktijkvoorbeelden om GDPR toegankelijker en duidelijker te maken. Duygu: Laten we beginnen met onze volgende verkenning in de wereld van data protection en recht. Kris: ...En trouwens, een interessant feitje voor onze luisteraars: de scenario’s in deze aflevering zijn gegenereerd door ChatGPT, uiteraard gebaseerd op ons boek, en de voicecloning is gedaan door Elevenlabs. Duygu: Precies, Kris. Dit betekent dat onze dialoog en discussies volledig gegenereerd zijn door AI. Kris: In deze aflevering van dJ Talks gaan we twee cruciale onderdelen van GDPR behandelen. Ten eerste, de DPIA en voorafgaande raadpleging. Dit zijn preventieve waarborgen voor de bescherming van persoonsgegevens. Duygu: De DPIA is een essentieel instrument om vooraf alle mogelijke privacyrisico's te identificeren, vooral voor ingrijpende gegevensverwerkingen. We zullen bespreken hoe bedrijven deze risico's kunnen benoemen en welke maatregelen ze kunnen nemen om ze tegen te gaan. Kris: Daarnaast gaan we het hebben over de gegevensbeschermingsautoriteit en haar bevoegdheden. Duygu: Dit is de toezichthouder die in België verantwoordelijk is voor deze materie. Kris: Laten we beginnen met de DPIA. Dit is een belangrijke tool die de verwerkingsverantwoordelijken helpt om de privacyrisico's van een gegevensverwerking vooraf in kaart te brengen en passende maatregelen te nemen om deze risico's te verkleinen. Duygu: Dat klopt, Kris. Een DPIA geeft inzicht in de privacyrisico’s voor de betrokkenen en de maatregelen die nodig zijn om deze risico's te verminderen. Het is een essentieel onderdeel van proactieve privacybescherming. Kris: En er zijn drie specifieke situaties waarin een DPIA altijd verplicht is. Laten we het voorbeeld nemen van een bedrijf dat zich bezighoudt met profilering op basis van persoonlijke gegevens. Duygu: In dat geval, Kris, brengt het bedrijf een systematische en uitgebreide beoordeling van persoonlijke aspecten van personen, wat een hoge privacyrisico kan opleveren. Een DPIA is dan vereist om deze risico's te identificeren en te verkleinen. Kris: Of neem een gezondheidsapp die gevoelige gezondheidsgegevens op grote schaal verwerkt. Ook hier zou een DPIA verplicht zijn, gezien de gevoeligheid en de schaal van de gegevensverwerking. Duygu: En laten we niet vergeten de grootschalige monitoring van openbare ruimten. Denk aan een stad die CCTV-camera's installeert. Ook hier is een DPIA noodzakelijk om de impact op de privacy van individuen te beoordelen. Kris: En als we het hebben over DPIA's, Duygu, kunnen we niet om het thema profilering heen. Dit is vooral belangrijk wanneer bedrijven automatische beslissingen nemen die een grote impact hebben op betrokkenen. Duygu: Profilering speelt een enorme rol, Kris. Het gaat om het verzamelen en analyseren van persoonsgegevens om aspecten zoals economische situatie, gedrag of locatie van een persoon te voorspellen. Denk bijvoorbeeld aan gepersonaliseerde advertenties of aanbiedingen. Kris: Dat klopt, en het interessante is dat profilering niet alleen door de grote datagiganten zoals Facebook of Google wordt gebruikt. Veel bedrijven passen het toe, vooral in hun marketingstrategieën. Duygu: Inderdaad, en hier komt de DPIA weer om de hoek kijken. Bedrijven moeten transparant zijn over deze verwerkingsactiviteiten en de mogelijke privacyrisico's die ermee gepaard gaan. Kris: En laten we niet vergeten dat het hier gaat om het maken van geautomatiseerde beslissingen. Het is als een soort digitale glazen bol die probeert te voorspellen wat je wilt of nodig hebt, voordat je het zelf weet. Duygu: (lachend) Een digitale glazen bol, daar had ik nog niet aan gedacht! Maar je hebt gelijk, Kris. Het is een krachtige tool, maar met grote verantwoordelijkheid. We moeten ervoor zorgen dat deze technologieën ethisch en in overeenstemming met GDPR worden gebruikt. Kris: Inderdaad, Duygu, en om de impact van profilering nog duidelijker te maken, laten we eens kijken naar een praktisch voorbeeld. Stel je voor, een bedrijf gebruikt geautomatiseerde systemen om sollicitanten te evalueren, contractsvoorwaarden te bepalen of kredietverlening te beoordelen. Duygu: Dat is een interessant punt, Kris. Dit soort besluitvorming kan een aanzienlijke impact hebben op de rechten van personen, vooral als het gaat om gevoelige categorieën. Kris: Precies. En een ander voorbeeld is het aanbieden van hogere prijzen aan bepaalde personen op basis van geautomatiseerde profilering. Dit soort praktijken is onder GDPR alleen toegestaan als het noodzakelijk is voor de uitvoering van een overeenkomst, zoals bij een verzekeringspolis, of als de betrokkene expliciet toestemming heeft gegeven. Duygu: Dit toont aan hoe belangrijk het is om de regels van GDPR na te leven bij profilering. De rechten van betrokkenen moeten altijd voorop staan en er moet duidelijke transparantie zijn over hoe hun gegevens worden gebruikt. Kris: Zeker, en het benadrukt ook het belang van het verkrijgen van uitdrukkelijke toestemming en het waarborgen van rechtvaardigheid in het gebruik van dergelijke technologieën. Duygu: Dat brengt ons bij een ander cruciaal aspect, Kris - camerabewaking in openbare ruimten. Dit is een perfect voorbeeld van de uitdagingen die we tegenkomen bij grootschalige monitoring. Kris: Inderdaad, Duygu. Stel je voor dat je in de stad rondloopt en overal gevolgd wordt door camera's. Met de huidige technologie, zoals gezichtsherkenning, roept dit serieuze privacyvragen op. Duygu: En hier speelt GDPR een belangrijke rol. Elke organisatie die overweegt cameratoezicht te implementeren, vooral in openbare ruimten, moet vooraf een DPIA uitvoeren om de impact op de privacy te beoordelen. Kris: Dat is een goed punt. Het gaat niet alleen om het inzetten van de technologie, maar ook om te begrijpen hoe deze technologie de privacy van individuen beïnvloedt en welke maatregelen nodig zijn om hun rechten te beschermen. Duygu: Juist. En in tijden van crisis, zoals tijdens de Covid-19 situatie, zagen we het gebruik van slimme camera's om mensenmassa's te monitoren. Ook in zulke gevallen is een DPIA essentieel. Kris: Duygu, dat brengt ons bij een ander belangrijk punt: de 'internet of things', of IoT. We hebben het over slimme huishoudelijke apparaten, connected toys, smart cities, en slimme energiemeters. Allemaal voorbeelden waarbij een DPIA cruciaal is. Duygu: Deze IoT-toepassingen zijn inderdaad interessant, Kris. Ze genereren en verwerken grootschalige gegevens, vaak via sensoren die verbonden zijn met het internet of andere netwerken. Kris: En wat belangrijk is, is dat deze toestellen gegevens verzamelen die gebruikt kunnen worden om persoonlijke aspecten zoals economische situatie, gezondheid, voorkeuren, betrouwbaarheid, gedrag, locatie of verplaatsingen van personen te analyseren of te voorspellen. Duygu: Dat klopt. En dat is waarom een DPIA voor deze IoT-toepassingen verplicht is. Het gaat niet alleen om de technologie zelf, maar ook om de potentiële privacyrisico’s die het met zich meebrengt. Kris: Het is een kwestie van het identificeren en beoordelen van deze risico's en het implementeren van maatregelen om de privacy van individuen te beschermen. Duygu: Dat is een essentieel punt, Kris. En het is belangrijk om te benadrukken dat in bepaalde gevallen een DPIA niet alleen aanbevolen, maar ook verplicht is. Wanneer de verwerking van persoonsgegevens waarschijnlijk een hoog privacyrisico inhoudt, is een DPIA een vereiste voordat je überhaupt met de verwerking begint. Kris: Dat klinkt als een duidelijke richtlijn. Dus in feite, als er een kans is op significante risico's voor de privacy van betrokkenen, is het de verantwoordelijkheid van de verwerkingsverantwoordelijke om eerst een DPIA uit te voeren. Duygu: Absoluut, Kris. En het is de taak van de verwerkingsverantwoordelijke om te bepalen of een DPIA noodzakelijk is. Bij twijfel is het altijd beter om veilig te spelen en een DPIA uit te voeren. Kris: En laten we niet vergeten dat als er een Data Protection Officer of DPO is aangesteld, hun advies cruciaal is bij het uitvoeren van een DPIA. Dit zorgt voor extra zekerheid dat de DPIA de risico’s adequaat weergeeft. Duygu: Een belangrijk punt om aan te vullen, Kris, gaat over de situatie waarbij een DPIA een hoog privacyrisico aan het licht brengt en je geen effectieve maatregelen vindt om dit risico te beperken. In zulke gevallen is voorafgaande raadpleging met de Gegevensbeschermingsautoriteit verplicht. Kris: Dus, als je als verwerkingsverantwoordelijke of DPO voor een dergelijke uitdaging staat, moet je een verzoek indienen bij de GBA voordat je met de verwerking begint? Duygu: Ja, dit verzoek is cruciaal. En zolang de GBA het verzoek niet heeft beoordeeld, mag de gegevensverwerking niet starten. Normaal gesproken geeft de GBA binnen acht weken schriftelijk advies, maar in complexe gevallen kan deze termijn verlengd worden tot veertien weken. Kris: Dat is een belangrijke procedure om rekening mee te houden. Het zorgt ervoor dat bedrijven de risico's serieus nemen en de nodige stappen ondernemen om de privacy van betrokkenen te beschermen. Duygu: Absoluut. Deze voorafgaande raadpleging is een essentieel onderdeel van het GDPR-proces, vooral in complexe of risicovolle situaties. Het toont aan dat GDPR niet alleen over compliance gaat, maar ook over het actief managen en mitigeren van privacyrisico's. Kris: Nu we het toch over de GBA hebben, Duygu, realiseer ik me dat sommige van onze luisteraars misschien niet helemaal weten wat dat inhoudt. Laten we dat eens verder uitdiepen. Duygu: Goed idee, Kris. De GBA, ook wel Gegevensbeschermingsauthoriteit genoemd, is niet zomaar een bureaucratische instantie. Het is eigenlijk de waakhond van de GDPR in België. Ze houden een oogje in het zeil om ervoor te zorgen dat organisaties zich aan de regels houden. Kris: Wanneer de GBA een inbreuk op de GDPR vaststelt, kunnen ze besluiten een administratieve geldboete op te leggen, en die kunnen behoorlijk hoog zijn. Duygu: Inderdaad, Kris. Maar interessant genoeg, voor kleinere overtredingen kan de GBA kiezen voor een milder optreden en corrigerende maatregelen opleggen in plaats van een geldboete. Kris: Dat klinkt als een evenwichtige aanpak. En in sommige gevallen kunnen ze zelfs besluiten om een geldboete te combineren met corrigerende maatregelen, afhankelijk van de situatie. Duygu: Dat klopt. De GBA bepaalt niet willekeurig wat ze oplegt. Alles wat ze doen moet passend, noodzakelijk en evenredig zijn met de naleving van de GDPR. En ze houden rekening met de specifieke omstandigheden van elk geval. Kris: En belangrijk om te weten, voordat een maatregel wordt genomen, moet de betrokken persoon de kans krijgen om gehoord te worden. De GBA zorgt ervoor dat onnodige kosten en ongemakken voor de betrokken personen worden vermeden. Duygu: Over corrigerende maatregelen gesproken, de GBA heeft een reeks opties om correctief op te treden tegen verwerkers of verwerkingsverantwoordelijken. Dit kan variëren van waarschuwingen en berispingen tot het gelasten van specifieke acties om de verwerking in overeenstemming te brengen met GDPR. Kris: Dus, als een bedrijf in strijd is met GDPR, kunnen ze bijvoorbeeld opdracht krijgen om bepaalde verwerkingen aan te passen of zelfs te stoppen? Duygu: Juist, en ze kunnen ook verplicht worden om rectificatie of verwijdering van persoonsgegevens uit te voeren. In ernstige gevallen kunnen ze zelfs een verwerkingsverbod opleggen. Kris: Dat is een uitgebreid arsenaal aan maatregelen. Het laat zien dat de GBA serieuze bevoegdheden heeft om naleving van de GDPR af te dwingen. Duygu: En als het gaat om het opleggen van administratieve geldboetes door de GBA, is het belangrijk te weten dat elke beslissing op een reeks factoren is gebaseerd om ervoor te zorgen dat de boete doeltreffend, evenredig en afschrikkend is. Kris: Dat klinkt als een doordachte aanpak. Dus, ze kijken niet alleen naar de inbreuk zelf, maar ook naar factoren als hoe lang de inbreuk heeft geduurd, het aantal getroffen personen, en de ernst van de schade. Duygu: En andere factoren zoals of de inbreuk gevoelige gegevens betreft, of er financieel voordeel is behaald, en of er eerdere inbreuken zijn geweest, spelen ook een rol bij het bepalen van de boete. Kris: Dit toont aan dat de GBA elke zaak individueel beoordeelt. Het is niet alleen een kwestie van het opleggen van boetes, maar het zorgen voor een rechtvaardige en proportionele reactie op elke inbreuk. Duygu: Precies, Kris. En om verder te gaan over de handhavingsmaatregelen van de GBA, zij delen inbreuken op in twee categorieën. Voor de eerste categorie van inbreuken kan de boete oplopen tot 10 miljoen euro of tot 2% van de totale wereldwijde jaaromzet van de onderneming. Kris: Dat zijn aanzienlijke bedragen. Kun je voorbeelden geven van wat onder deze eerste categorie valt? Duygu: Zeker. Deze categorie omvat situaties waarin je als verwerkingsverantwoordelijke of verwerker niet voldoet aan bepaalde GDPR-verplichtingen. Bijvoorbeeld, het niet houden van een register van verwerkingsactiviteiten, of het niet nemen van voldoende technische en organisatorische maatregelen om persoonsgegevens te beveiligen. Kris: Dus basisprincipes zoals het bijhouden van een register en het zorgen voor adequate beveiliging zijn essentieel om zware boetes te vermijden. Duygu: En het gaat ook over het aanwijzen van een DPO wanneer dit vereist is, het uitvoeren van een DPIA in verplichte gevallen, of het doen van voorafgaande raadpleging met de GBA wanneer nodig. Kris: Naast deze eerste categorie van inbreuken, Duygu, is er nog een tweede categorie die zo fundamenteel is dat het tot nog hogere administratieve geldboetes kan leiden, soms tot wel 20 miljoen euro of 4% van de wereldwijde jaaromzet. Duygu: Dat zijn serieuze cijfers. En die tweede categorie omvat inbreuken op de algemene beginselen van gegevensverwerking, zoals het ontbreken van een wettelijke verwerkingsgrond, of wanneer toestemming niet voldoet aan de voorwaarden van de GDPR. Kris: Inderdaad, en ook wanneer gevoelige gegevens worden verwerkt zonder dat dit is gebaseerd op een van de uitzonderingsgronden van de verordening. Of wanneer de rechten van betrokkenen, zoals het recht op vergetelheid, niet worden gerespecteerd. Duygu: En laten we niet vergeten, als er eerdere door de GBA opgelegde corrigerende maatregelen niet worden nageleefd. In het geval van meerdere inbreuken, is de totale boete niet hoger dan die voor de zwaarste inbreuk. Kris: Dit laat zien hoe de GBA streeft naar een evenwichtige maar strenge handhaving van de GDPR, waarbij ze de ernst en aard van elke inbreuk serieus neemt. Kris: Dus, Duygu, we hebben vandaag veel terrein bestreken over de GDPR. Het is duidelijk dat privacybewustzijn geen eenmalige actie is, maar een doorlopend proces dat al begint bij de conceptfase en gedurende de gehele periode van gegevensverwerking aanwezig moet zijn. Duygu: Absoluut, Kris. En zoals we hebben gezien, gaat het om een gebalanceerde benadering van wikken en wegen, waarbij goede documentatie van cruciaal belang is om aan te tonen dat je GDPR-compliant bent. Kris: En laten we niet vergeten de mogelijke gevolgen van GDPR-inbreuken. Vooral voor bedrijven die grote hoeveelheden persoonsgegevens verwerken of met gevoelige gegevens werken, kunnen de boetes astronomisch zijn. Duygu: Precies. Dit benadrukt het belang van het serieus nemen van GDPR-compliance. Het is niet alleen een juridische verplichting, maar ook een investering in de betrouwbaarheid en integriteit van je onderneming. Kris: Zoals Duygu terecht benadrukt, is GDPR-compliance cruciaal. Dit brengt ons bij het thema van onze volgende aflevering: aansprakelijkheid in de GDPR. We gaan diep in op de complexe relaties tussen verwerkers, verwerkingsverantwoordelijken en degenen die schade lijden. Duygu: Inderdaad, Kris. We zullen onderzoeken wie aansprakelijk is voor de schade: de verwerker, de verwerkingsverantwoordelijke, of beide? En hoe kunnen zij hun aansprakelijkheid contractueel inperken? Dit is een vitaal onderwerp voor elke onderneming die met persoonsgegevens werkt. Kris: Dus mis onze volgende aflevering niet, en met dat gezegd, willen we onze luisteraars bedanken voor het afstemmen op deze aflevering van dJ Talks. We hopen dat jullie nuttige inzichten hebben verkregen over GDPR en hoe het toe te passen in jullie dagelijkse zakelijke praktijken. Vergeet niet om ons te volgen op onze sociale media kanalen voor meer inzichten en updates. Zoek naar 'DeJuristen' op Instagram en LinkedIn. Duygu: En als je vragen hebt of meer wilt weten, stuur ons gerust een bericht via [email protected]. We helpen je graag verder! Kris: Bedankt voor het luisteren, en tot ziens!