NIEUWSBRIEF oktober 2023 | nr. 10 |
| |
|
|
|
| De GBA publiceert een checklist voor het correcte gebruik van cookies |
De GBA had het al aangekondigd: cookies zijn een van haar prioriteiten voor 2023. In dit verband publiceert zij vandaag een overzichtstool waarin stap voor stap een aantal "do's and don'ts" in verband met cookies en soortgelijke trackingmechanismen worden besproken. Zij wijst erop dat alleen strikt noodzakelijke cookies zijn vrijgesteld van toestemming en dat alle andere categorieën van cookies alleen mogen worden geplaatst en gelezen als de gebruiker er vooraf op een vrije, specifieke, geïnformeerde, ondubbelzinnige en actieve manier toestemming voor heeft gegeven. |
| |
|
|
|
►Beslissing betreffende de verwerking van persoonsgegevens in het kader van een fraudeonderzoek |
| |
|
|
|
In een nieuwe beslissing heeft de GBA een berisping opgelegd omwille van verschillende inbreuken. De GBA stelde vast dat er geen uitgewerkt en geïmplementeerd informatieveiligheidsplan betreffende de verwerking van persoonsgegevens voorhanden was. Daarnaast herinnert de GBA eraan dat de privacyverklaring de op basis van art. 13 en 14 AVG vereiste informatie, waaronder de exacte bewaartermijnen, op een overzichtelijke en begrijpelijke wijze moet vermelden. Zij bevestigt ook haar eerder standpunt dat een verwerkingsverantwoordelijke een afweging moet maken bij het opvragen van bijkomende identificatiegegevens, zoals een identiteitskaart in het kader van de uitoefening van de rechten door betrokkenen. Tot slot herhaalt de Geschillenkamer dat de functionaris voor gegevensbescherming dient te rapporteren aan het hoogst leidinggevend niveau. |
| |
|
|
|
►Beslissing betreffende het ontbreken van een onderaannemingsovereenkomst (artikel 28.3. van de AVG) en het gebrek aan voldoende informatie door een overheidsinstantie (artikel 14 van de AVG) |
| |
|
|
|
In beslissing 137/2023 benadrukt de Geschillenkamer dat het sluiten van een verwerkingsovereenkomst verplicht is in geval van een opdracht tot verwerking die door een verwerkingsverantwoordelijke (in dit geval een gemeente) wordt toevertrouwd aan een verwerker (in dit geval een IT-bedrijf), en dat deze verplichting (voorzien in artikel 28, lid 3, van de AVG) op beide partijen rust en niet alleen op de verwerkingsverantwoordelijke. Dit is vooral belangrijk wanneer, zoals in dit geval, een verwerker zijn gespecialiseerde diensten aanbiedt aan een groot aantal verschillende verwerkingsverantwoordelijken. De bepaling inzake terugwerkende kracht in een overeenkomst die is ondertekend na de aangeklaagde feiten kan bovendien het ontbreken van een overeenkomst op het moment van de feiten niet verhelpen. Als een dergelijke terugwerkende kracht zou worden toegestaan, zou dit het de facto mogelijk maken om de sinds 25 mei 2018 vereiste verplichting te omzeilen, ten nadele van de personen van wie de gegevens worden verwerkt en die geen partij zijn bij de genoemde overeenkomst. In de beslissing wordt ook gepreciseerd onder welke voorwaarden een overheidsinstantie kan worden vrijgesteld van het informeren van de personen van wie zij bij het vervullen van haar taken gegevens verwerkt. |
| |
|
|
|
►Hoorzitting bij het Hof van Justitie van de Europese Unie in Luxemburg in de zaak IAB Europe |
| |
|
|
|
Op 21 september 2023 vond in de zaak C-604/22 (IAB Europe tegen de GBA) een hoorzitting plaats bij de vierde kamer van het Hof van Justitie van de Europese Unie in Luxemburg. Het Hof behandelt een tweetal prejudiciële vragen, die gesteld zijn door het Marktenhof in het kader van het beroep tegen de beslissing van de Geschillenkamer van 2 februari 2022, inzake het zogenoemde Transparency & Consent Framework. Het pleidooi van de GBA benadrukte het belang van de zaak voor de bescherming van miljoenen burgers op internet. Dit is geen technische kwestie. Wat betreft de inhoud heeft de GBA uiteengezet, dat naar haar oordeel IAB Europe moet worden beschouwd als een verwerkingsverantwoordelijke: IAB geeft zeer precieze instructies aan de gebruikers van het Framework, met een sanctiemechanisme. Verder moet volgens de GBA de zogenoemde TC String, in combinatie met andere gegevens (zoals IP adres) worden beschouwd als een persoonsgegeven. De Europese Commissie was het in grote lijnen eens met de GBA. De datum van de uitspraak zal binnenkort bekend worden. |
| |
|
|
|
►Adviesmet betrekking tot de oprichting en organisatie van het eHealth-platform en diverse bepalingen |
| |
|
|
|
De Autoriteit bracht advies uit omtrent een voorontwerp van wet tot wijziging van (o.m.) de wet van 21 augustus 2008houdende oprichting en organisatie van het eHealth-platform en diverse bepalingen. Het voorontwerp van wet wil de creatie van een verwijzingsrepertorium (houdende aanduiding bij welke actoren in de gezondheidszorg welke types (gezondheids)gegevens van welke patiënt beschikbaar zijn) mogelijk maken zonder de voorafgaande toestemming van de patiënt. Enkel de raadpleging van/vrijgave uit het verwijzingsrepertorium wordt nog afhankelijk gemaakt van de toestemming van de patiënt. De Autoriteit moet besluiten dat het voorontwerp van wet tekort schiet als wettelijke omkadering voor de met het verwijzingsrepertorium gepaard gaande gegevensverwerkingen. Het legaliteits- en voorzienbaarheidsbeginsel worden geschonden, inzonderheid ingevolge onduidelijkheid omtrent een aantal cruciale concepten en begrippen zoals ‘actor in de gezondheidszorg’, ‘deelverwijzingsrepertoria’, … Lezing van het voorontwerp laat niet, noch de Autoriteit, noch de betrokkenen, toe een duidelijk zicht te krijgen op de onderscheiden essentiële verwerkingselementen: doeleinde, types van gegevens, bewaartermijn, verwerkingsverantwoordelijken, derde-ontvangers. Op alle vlakken dringt precisering zich op, waarbij alleszins gebruik voor commerciële doeleinden moet worden uitgesloten en waarbij de toegang voor derden best uitdrukkelijk wordt beperkt tot gezondheidszorgbeoefenaars met een therapeutische relatie met de betrokken patiënt, naar analogie met de wijze waarop deWet inzake de kwaliteitsvolle praktijkvoering in de gezondheidszorgvan 22 april 2019 de toegang tot gezondheidsgegevens regelt. De Autoriteit dringt er alleszins op aan opnieuw voor advies te worden geraadpleegd omtrent een gebeurlijk- in navolging van dit advies - herwerkt (voor)ontwerp van wet. |
| |
|
|
|
►Adviesbetreffende de organisatie van de regionale elektriciteitsmarkt, tot wijziging van het decreet van 19 januari 2017 betreffende de tariefmethodologie die van toepassing is op gas- en elektriciteitsdistributienetbeheerders, en tot wijziging van het decreet van 17 december 2020 betreffende de toekenning van een premie voor de installatie van meet- en stuurapparaten |
| |
|
|
|
Op 8 september jl. bracht het Kenniscentrum van de Autoriteit een advies uit over het voorontwerp van decreet tot wijziging van het decreet van 12 april 2001 betreffende de organisatie van de regionale elektriciteitsmarkt, tot wijziging van het decreet van 19 januari 2017 betreffende de tariefmethodologie die van toepassing is op gas- en elektriciteitsdistributienetbeheerders, en tot wijziging van het decreet van 17 december 2020 betreffende de toekenning van een premie voor de installatie van meet- en stuurapparaten. Bij deze gelegenheid heeft de Autoriteit erop gewezen dat slimme elektriciteitsmeters bijzonder inbreuk makend zijn, aangezien ze het mogelijk maken om potentieel gevoelige gegevens af te leiden over het gedrag van de bewoners van gebouwen waarin dergelijke meters zijn geïnstalleerd, met name als ze gegevens over elektriciteitsverbruik voor korte perioden meedelen. Dit kan het mogelijk maken om precies te bepalen welke soorten elektrische apparatuur (inclusief medische apparatuur) in gebruik zijn, wanneer en hoe lang ze worden gebruikt, het aantal mensen dat in huis aanwezig is, wanneer ze aan het werk of op vakantie zijn of wanneer ze slapen, of ze goed of slecht slapen, wanneer mensen uit eten gaan of een kind alleen thuis laten of gasten thuis ontvangen, in welke huizen er een pasgeboren baby is,... Bijgevolg heeft de Autoriteit aanbevolen dat de wetgever de gedetailleerdheid van de verbruiksgegevens die door slimme meters aan de BDN's kunnen worden meegedeeld, uitdrukkelijk beperkt tot gegevens van elektriciteitsverbruik voor perioden van niet langer dan een kwartier. Er werd ook aanbevolen dat de wetgever, alvorens de mogelijkheid voor energieleveranciers in te voeren om particulieren een tarief per kwartier aan te bieden (wat een impact zal hebben op het gedrag van de mensen), een strikte analyse uitvoert van de evenredigheid van een dergelijke maatregel, door de voordelen ervan af te wegen tegen de aanzienlijke inmenging in de rechten en vrijheden van de betrokkenen die eruit voortvloeit. |
| |
|
|
|
►Adviesbetreffende de oprichting van de gemeenschappelijke gegevensbank “Terrorisme, Extremisme, Radicaliseringsproces” (“T.E.R.”) en tot oprichting van lokale integrale veiligheidscellen inzake radicalisme, extremisme en terrorisme |
| |
|
|
|
Het ontwerp betreft bepalingen met betrekking tot de gemeenschappelijke gegevensbank (waarin de gegevens van entiteiten die betrokken zijn bij terroristische daden, extremisme en gewelddadig radicalisme worden geregistreerd) en de werking van de lokale taskforces (LTF's). De GBA werd gevraagd zich uit te spreken over de bepalingen met betrekking tot gegevensverwerkingen door autoriteiten die buiten de bevoegdheid van het COC en het Comité R vallen. In haar advies wees de GBA er met name op dat, met betrekking tot de regelingen voor toegang van bepaalde autoriteiten tot de gegevens die zij nodig hebben om hun taken uit te voeren, het aan de wetgever is om van technologische oplossingen te eisen dat zij zich aanpassen aan de normen ter bescherming van de fundamentele vrijheden, en niet om de toegang tot onnodige gegevens te legaliseren om zich aan te passen aan de werking van een bestaande technologische oplossing.
Voor het overige hadden de belangrijkste opmerkingen betrekking op: - de voorspelbaarheid van sommige bepalingen (bijvoorbeeld wat betreft de hoedanigheid waarin een burgemeester waarschijnlijk ontvanger is van de in het ontwerp bedoelde persoonsgegevens); - het feit dat het kader niet alleen betrekking moest hebben op een gegevensbank, maar op alle door het ontwerp beoogde verwerkingen; en - de tekortkomingen die zijn vastgesteld bij het aantonen van de noodzaak en evenredigheid van een maatregel (bijvoorbeeld met betrekking tot de registratie van gegevens van biologische of geadopteerde kinderen van een terrorist fighter, die tussen 0 tot 18 jaar oud zijn, om voor "de opvolging" te zorgen, of met betrekking tot de loutere vermelding van een rechtszaak, hoe tragisch ook, om een grotere inmenging te rechtvaardigen). De GBA heeft ook aangegeven het wetgevingskader voor LTF's toe te juichen. |
| |
|
|
|
Aanbevelingenom gegevensinbreuken te voorkomen |
De GBA wil erop wijzen dat wanneer men datasets in online testomgevingen plaatst, deze testomgevingen op een afdoende wijze dienen afgeschermd te worden voor onbevoegden. Het afschermen kan men onder andere bekomen door de implementatie van authenticatiemechanismen; logging van wie zich wanneer aanmeldt en of toegang verschaft tot de online testomgeving; en andere maatregelen. De GBA wil er ook op wijzen dat het een goede praktijk is om ook de testomgeving te testen, dit veronderstelt dat men voordat men de testomgeving online plaatst ook effectief nakijkt of de technische maatregelen naar behoren functioneren en werden geïmplementeerd.
De GBA wil erop wijzen dat, net zoals er risico’s verbonden zijn aan het verwerken van persoonsgegevens via technologische toepassingen, er ook risico’s verbonden zijn aan het verwerken van persoonsgegevens die in een papieren bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen (art. 2.1in fine AVG). Het bijhouden van codes van kluizen waar huissleutel zich in bevindt (huissleutel enkelvoud), kan hoge risico’s met zich meebrengen indien deze papieren bestanden verloren gaan of worden gestolen. In dergelijke gevallen zal er hoogstwaarschijnlijk een hoog risico aanwezig zijn voor de rechten en vrijheden van betrokkenen. Naast de gestolen papieren bestanden kan men zich mogelijks ook onrechtmatig toegang verschaffen tot andermans eigendom. In dergelijke gevallen dienen de betrokkenen zo snel als mogelijk, de AVG spreekt van onverwijld (art. 34 AVG), op de hoogte te worden gebracht teneinde maatregelen te kunnen nemen ter vrijwaring van hun rechten en vrijheden. Daarnaast moeten codes van kluizen net zoals pincodes, wachtwoorden, gebruikersaccounts en andere gegevens waarmee (digitaal en fysiek) toegang kan worden van een passende beveiliging voorzien zijn (art. 32. leden 1 en 2 AVG).
De GBA wil verwerkingsverantwoordelijken aanmanen waakzaam te blijven opdat eventueel verdacht gedrag in hun informaticasystemen gedurende de feest- en rouwdagen snel kan vastgesteld worden en hierop adequaat kan worden ingegrepen. Aan de hand van statistische analyse blijkt namelijk dat cybercriminelen graag gebruik maken van een eventuele lagere personeelsbezetting gedurende deze dagen om hun slag te slaan. |
| |
|
|
|
Wij zoekenmomenteel Nederlandstalige contractuele rechtskundig adviseurs voor de Gegevensbeschermingsautoriteit - voltijdse contract voor onbepaalde duur bij de Geschillenkamer.
De kandidaturen moeten ten laatste op 29/10/2023 worden ingediend. |
| |
| |
|
|
|
