Gegevensbescherming in België

Gegevensbescherming stond in 2021 opnieuw hoog op de agenda van beleidsmakers en autoriteiten. In 2021 is het gegevensbeschermingslandschap op verschillende vlakken veranderd of verder verduidelijkt. Ook in 2022 worden nieuwe ontwikkelingen afgewacht, vooral op EU-niveau.

Vrijstelling bestuurlijke boetes voor de publieke sector

Op 14 januari 2021 deed het Belgisch Grondwettelijk Hof uitspraak in een procedure betreffende de nietigheid van een bepaling in de Belgische wetgeving die het sanctiemechanisme onder de Algemene Verordening Gegevensbescherming (AVG) implementeert, waardoor een vrijstelling van boetes voor de openbare sector wordt voorzien. Het Hof herinnerde eraan dat de overheidsinstanties niet zijn vrijgesteld van de verplichtingen van de AVG, maar dat de Belgische wetgever ervoor heeft gekozen om hen geen administratieve boetes op te leggen. De overheid is echter onderworpen aan administratieve niet-financiële sancties, evenals aan strafrechtelijke sancties.

Aanbeveling over biometrische gegevens

Op 6 december 2021 heeft de Gegevensbeschermingsautoriteit een aanbeveling gepubliceerd over de verwerking van biometrische gegevens, met als doel richtlijnen te geven aan verwerkingsverantwoordelijken en verwerkers over de interpretatie en naleving van de AVG bij de verwerking van biometrische gegevens. De aanbeveling erkent slechts twee mogelijke rechtsgronden voor de verwerking van biometrische gegevens in België: uitdrukkelijke toestemming (Artikel 9, lid 2 (a) van de AVG) en zwaarwegend openbaar belang (Artikel 9, lid 2 (g) van de AVG). Vanwege dit en de moeilijkheden bij het verkrijgen van geldige toestemming van werknemers, is de implementatie van biometrische systemen (bijvoorbeeld voor toegangscontrole of tijdregistratie) door organisaties voor gebruik door hun werknemers nogal onzeker geworden.

Klokkenluider

De lidstaten moesten Richtlijn (EU) 2019/1937 van het Europees Parlement en de Raad van 23 oktober 2019 betreffende de bescherming van personen die inbreuken op het Unierecht melden, uitvoeren, waarin de minimumnormen voor een betere bescherming van klokkenluiders worden vastgesteld. blowers, met name door middel van bescherming tegen vergelding en schadeclaims, vóór 17 december 2021. Net als veel andere lidstaten is België er niet in geslaagd de omzetting in nationaal recht voor deze deadline af te ronden, maar er is momenteel een voorontwerp van wet in omloop dat naar verwachting zal worden tegen eind juni 2022 aan het Parlement worden voorgelegd en gestemd. Opgemerkt dient te worden dat er al een klokkenluidersregeling bestaat op het niveau van de Vlaamse overheid.Het is waarschijnlijk dat een dergelijk systeem in overeenstemming moet worden gebracht met de richtlijn en de aanstaande wet die de richtlijn in België implementeert.

IAB Europe’s transparantie- en toestemmingskader (TCF)

Op 2 februari 2022 stelde de Belgische Gegevensbeschermingsautoriteit vast dat het door IAB Europe ontwikkelde Transparency and Consent Framework (TCF) niet voldoet aan een aantal bepalingen van de AVG. De TCF is een wijdverbreid mechanisme dat het beheer van de voorkeuren van gebruikers voor online gepersonaliseerde advertenties vergemakkelijkt, en dat een centrale rol speelt in het zogenaamde Real Time Bidding (RTB)-systeem voor online advertentieruimte. In tegenstelling tot wat IAB Europe beweert, oordeelde de Geschillenkamer van de Gegevensbeschermingsautoriteit dat IAB Europe optreedt als gegevensbeheerder met betrekking tot de registratie van het toestemmingssignaal, de bezwaren en de voorkeuren van individuele gebruikers door middel van een unieke Transparantie en Toestemming (TC) String, die is gekoppeld aan een identificeerbare gebruiker. Dit betekent dat IAB Europe verantwoordelijk kan worden gehouden voor mogelijke schendingen van de AVG.

Procedure tegen Facebook

Op 15 juni 2021 deed het Hof van Justitie van de Europese Unie (HvJ-EU) uitspraak in de sinds 2015 lopende zaak tussen Facebook en de Belgische Gegevensbeschermingsautoriteit.

In 2015 stapte de Privacycommissie (die op 25 mei 2018 de Belgische Gegevensbeschermingsautoriteit werd) naar de rechter tegen Facebook voor wat zij beschouwde als een ernstige inbreuk op de privacy van Belgische burgers: het verzamelen van informatie over het surfgedrag van miljoenen internetters gebruikers in België door cookies op hun computer te plaatsen en deze cookies vervolgens te verzamelen via sociale plug-ins en pixels op de websites die ze bezoeken.

Alvorens ten gronde uitspraak te doen, heeft het Hof van Beroep van Brussel, dat de zaak onderzocht, beslist om bepaalde vragen voor te leggen aan het HvJ-EU om na te gaan of de Belgische Gegevensbeschermingsautoriteit bevoegd is om haar gerechtelijke stappen tegen Facebook voort te zetten gezien de inwerkingtreding van de AVG en de introductie van een nieuw samenwerkingsmechanisme tussen de Europese toezichthoudende autoriteiten voor gegevensbescherming, de zogenaamde “one-stop-shop”, waarin wordt bepaald dat de autoriteit van het land waar de hoofdvestiging van het betrokken bedrijf is gevestigd zich bevindt (de Ierse Commissie voor gegevensbescherming in het geval van Facebook) is bevoegd om sancties op te leggen.

Volgens het HvJ mag een nationale toezichthouder onder bepaalde voorwaarden (zoals voorzien in de AVG) inderdaad zijn bevoegdheid uitoefenen om een ​​vermeende inbreuk op de AVG onder de aandacht te brengen van de justitiële autoriteiten van een lidstaat, ook als deze toezichthouder is niet de leidende autoriteit voor die verwerking. Het HvJ geeft ook een ruime invulling aan de bevoegdheden van de (nationale) autoriteit die niet de leidende autoriteit is, zoals bepleit door de Belgische Gegevensbeschermingsautoriteit. De Belgische Gegevensbeschermingsautoriteit zal het arrest nu analyseren om de impact ervan op de lopende zaak voor het Brusselse Hof van Beroep beter te begrijpen.

EU Cloud Gedragscode (CoC)

Op 20 mei 2021 keurde de Belgische Gegevensbeschermingsautoriteit de eerste transnationale gedragscode goed die binnen de Europese Unie moet worden aangenomen sinds de inwerkingtreding van de AVG. De EU Cloud CoC heeft tot doel goede gegevensbeschermingspraktijken voor cloudserviceproviders vast te stellen en zal bijdragen aan een betere bescherming van persoonsgegevens die in de cloud in Europa worden verwerkt.

De EU Cloud CoC specificeert verder de vereisten van artikel 28 van de AVG (betreffende de verwerker) – en andere relevante gerelateerde artikelen van de AVG – voor praktische implementatie binnen de cloudmarkt (inclusief IaaS, PaaS en SaaS). Naleving van de EU Cloud CoC is ook haalbaar voor kmo’s die actief zijn in deze sector. Door de goedkeuring van deze code heeft de Belgische Gegevensbeschermingsautoriteit bijgedragen tot een geharmoniseerde interpretatie van de AVG-bepalingen in de cloudsector in de hele EU.

Jurisprudentie van de Gegevensbeschermingsautoriteit

In navolging van het Strategisch Plan 2020-2025 heeft de Geschillenkamer zich gericht op de volgende aspecten van de AVG en heeft zij hierover tal van beslissingen genomen:

  • de rol van de functionaris voor gegevensbescherming (DPO), met bijzondere aandacht voor “pro forma” (externe) DPO’s, de onafhankelijkheid van de DPO (dwz geen belangenconflicten) en bedrijven die een DPO hebben aangesteld zonder de DPO toe te staan handelen in overeenstemming met de AVG;
  • de rechtmatigheid van gegevensverwerkingsactiviteiten, en meer in het bijzonder de (misbruikbare) verwerking van persoonsgegevens op basis van de rechtsgrondslag gerechtvaardigd belang; en
  • de uitoefening van de rechten van betrokkenen, en in het bijzonder de reikwijdte van sommige van deze rechten.

De Autoriteit Persoonsgegevens publiceert jaarlijks een beheersplan waarin zij de strategische doelen uit het Strategisch Plan 2020-2025 omzet in concrete doelstellingen voor het komende jaar. Het beheersplan voor 2022 moet nog worden gepubliceerd.

Onafhankelijkheid van de gegevensbeschermingsautoriteit

2021 was een moeilijk jaar voor de Belgische Gegevensbeschermingsautoriteit. De Europese Commissie zette vraagtekens bij de onafhankelijkheid van de Belgische Gegevensbeschermingsautoriteit en stelde vast dat sommige van haar leden niet als vrij van invloed van buitenaf konden worden beschouwd omdat ze ofwel rapporteren aan een beheerscomité dat afhankelijk is van de Belgische overheid, ofwel deelnamen aan overheidsprojecten om COVID op te sporen -19 contacten, of zijn lid van het Informatiebeveiligingscomité voor de federale overheidssector. Als gevolg hiervan bleef de Autoriteit Persoonsgegevens in 2021 niet vrij van politieke en interne conflicten, waardoor een van de bestuurders van de Autoriteit Persoonsgegevens vrijwillig aftrad. Een wetsvoorstel dat momenteel in behandeling is, zou dit mogelijk in 2022 kunnen oplossen. 

COVID-19

De afgelopen twee jaar hebben de toezichthoudende autoriteiten zich mede gericht op de COVID-19-gezondheidscrisis. De Europese Commissie, de Europese Raad voor Gegevensbescherming (EDPB) en enkele nationale toezichthoudende autoriteiten, waaronder de Belgische Gegevensbeschermingsautoriteit, hebben het volgende gepubliceerd:

  • begeleiding bij het wettelijk kader voor het opsporen van apps als een van de instrumenten van een bredere reeks maatregelen ter bestrijding van het virus; en
  • een aantal adviezen over wetsontwerpen of koninklijke besluiten die bijvoorbeeld het gebruik van het Covid Safe Ticket (CST) of gezichtsmaskers op openbare plaatsen opleggen.

Algemene verplichtingen van verwerkingsverantwoordelijken onder de AVG, zoals transparantie en integriteit, zullen moeten worden nageleefd, en volksgezondheidsinstanties en werkgevers moeten altijd rechtsgronden hebben voor de verwerking van persoonsgegevens.

Bovendien publiceerde de Belgische Gegevensbeschermingsautoriteit een analyse van de verwerking van vaccinatiegegevens. Aangezien vaccinatie in België vrijwillig is, is het opvragen en registreren van de vaccinatiestatus van een persoon in principe verboden, tenzij de verwerkingsverantwoordelijke zich kan beroepen op een uitzondering voorzien in artikel 9, lid 2 van de AVG, zoals de uitdrukkelijke toestemming van de betrokkene of een wettelijke verplichting.

In een arbeidscontext kan de verwerking van persoonsgegevens noodzakelijk zijn om te voldoen aan een wettelijke verplichting die op de werkgever rust, zoals verplichtingen met betrekking tot gezondheid en veiligheid op de werkplek, of die verband houden met het algemeen belang, zoals het toezicht op ziekten en andere bedreigingen voor de gezondheid. De werkgever kan werknemers vragen om een ​​medisch onderzoek te ondergaan (bijv. temperatuurcontrole), maar niet op algemene of systematische basis en alleen wanneer dit vereist is vanwege de gezondheid en veiligheid (bijv. voor werknemers die terugkeren uit risicogebieden). Meer recentelijk heeft de Geschillenkamer besloten om de mondelinge verificatie door een ziekenhuisnetwerk van de vaccinatiestatus van kandidaten voor aanwerving tijdelijk op te schorten, aangezien er geen wettelijke basis was voor een dergelijke verwerking.

Internationale gegevensoverdracht

De impact van het HvJ-EU op het gegevensbeschermingslandschap in de afgelopen jaren kan niet worden onderschat, aangezien veel verwerkingsverantwoordelijken worstelen met de gevolgen van het Schrems II-besluit, dat het privacyschild ongeldig maakte en de geldigheid van standaardcontractbepalingen (en andere adequate vrijwaringsmechanismen) in twijfel trok. voor doorgifte van persoonsgegevens naar de VS en andere derde landen.

Organisaties zijn verplicht om hun gegevensoverdrachten naar derde landen opnieuw te evalueren als ze gebaseerd zijn op SCC’s (en andere adequate beschermingsmechanismen) en om een ​​”Transfer Impact Assessment” (TIA) uit te voeren. Of de SCC’s (en andere adequate vrijwaringsmechanismen) voldoende waarborgen bieden voor overdrachten naar bepaalde derde landen, zal nader moeten worden onderzocht. In de VS is het bijvoorbeeld moeilijk in te zien hoe de door het HvJ-EU geuite zorgen met betrekking tot het Privacy Shield niet van toepassing zouden zijn wanneer de SCC’s in het geding zijn en soortgelijke organisaties.

Regelgevingsontwikkelingen in de EU

“Een Europa dat geschikt is voor het digitale tijdperk” is een van de zes prioriteiten van de Europese Commissie voor 2019-2024. Aangezien digitale technologie steeds meer invloed heeft op het leven van mensen, is de digitale strategie van de EU erop gericht om deze transformatie voor mensen en bedrijven te laten werken en tegelijkertijd de EU-doelstelling van een klimaatneutraal Europa tegen 2050 te helpen verwezenlijken.

In het kader van de digitale strategie van de Europese Commissie zijn al verschillende initiatieven genomen, waaronder een reeks nieuwe – en vaak gedurfde – wetgevingsvoorstellen, die een materiële impact zullen hebben op bedrijven en organisaties binnen (en vaak ook buiten) de EU:

  • de Wet Digitale Diensten (Wbp);
  • de Wet Digitale Markten (DMA);
  • de Wet bestuur dataverkeer;
  • de Datawet;
  • de Verordening Kunstmatige Intelligentie;
  • de Omnibus-richtlijn (reeds aangenomen maar nog niet geïmplementeerd in de Belgische wetgeving); en
  • de Wet Digitale Operationele Weerbaarheid (DORA).

Tegelijkertijd worden bestaande wettelijke kaders opnieuw beoordeeld en geactualiseerd, zoals de herziening van de Richtlijn Netwerk- en Informatiesystemen (NIS) en de e-Privacy Verordening.