In stap 6 hebben we gezien hoe belangrijk het is om een dataregister op te stellen. Dit register bevat immers een schat aan informatie inzake persoonsgegevens, zoals de bronnen van persoonsgegevens, de verwerkingen, het type persoonsgegevens, de bewaartermijn, enz. Dit register is wel steeds uitsluitend voor intern gebruik bestemd. Desalniettemin moeten niet alleen de werknemers, maar ook de betrokkenen op de hoogte worden gesteld van de verwerking van persoonsgegevens. Hoe wordt hun informatie verzameld en waarom wordt het verwerkt? Transparantie is een van de grondbeginselen van persoonsgegevensbescherming (naast proportionaliteit en finaliteit) en houdt in dat u als lokaal bestuur klare taal spreekt over het beleid rond persoonsgegevens. Daarom is het uw plicht om t.a.v. de betrokkene een antwoord te formuleren op volgende vragen:
De bovenstaande vragen kunt u in de privacyverklaring opnemen. Dit extern document is het communicatiemiddel bij uitstek om de betrokkenen te informeren over de persoonsgegevensbescherming binnen uw lokaal bestuur. Een “good practice” is het gemakkelijk toegankelijk maken van de privacyverklaring voor betrokkenen. Zet het daarom bv. op een centrale plaats op uw website. Wanneer uw werking rond persoonsgegevens wijzigt, of er komen belangrijke wijzigingen in het desbetreffende beleid, dan is het een goed idee om de privacyverklaring overeenkomstig aan te passen.
Hieronder wordt elk onderdeel van de privacyverklaring kort toegelicht.
Waarom zijn persoonsgegevens belangrijk voor uw lokaal bestuur?
Het is belangrijk dat de betrokkene inziet waarom u als lokaal bestuur waarde hecht aan de verzameling en verwerking van persoonsgegevens, de beveiliging ervan en het voeren van een transparant beleid daaromtrent. Als de betrokkene de logica snapt achter de stappen die u zet om zijn persoonsgegevens te beveiligen, dan zal hij ook meer vertrouwen hebben in de verzameling en verwerking ervan.
Wie is de verantwoordelijke voor de gegevensverwerking? Is er een DPO of een contactpunt voor vragen omtrent gegevensverwerking?
De betrokkene moet geïnformeerd worden over de exacte naam van uw lokaal bestuur en het volledige adres van de zetel. Als de organisatie een Data Protection Officer (DPO) heeft aangesteld, dan moet de privacyverklaring ook vermelden hoe deze gecontacteerd kan worden. Het is niet nodig de naam van deze persoon te geven, maar wel minstens een adres, telefoonnummer of mailadres waarmee hij kan bereikt worden. Als er geen DPO is, moet er toch verwezen worden naar een contactpunt voor persoonsgegevensbescherming.
Welke persoonsgegevens worden verzameld en op welke manier?
Hieronder volgen enkele voorbeelden van verzamelmethodes voor persoonsgegevens:
Side note: big data lijkt op het eerste gezicht weinig met persoonsgegevens te maken te hebben. Niets is echter minder waar. Net omdat er zoveel data bijeengesprokkeld wordt, wordt het veel gemakkelijker om verschillende databases met elkaar te linken. Gegevens worden in dat opzicht veel sneller als ‘persoonsgegeven’ aanzien omdat het eenvoudiger wordt om met dat welbepaalde gegeven een individu als uniek te identificeren. Daarom is het belangrijk dat er goede richtlijnen en afspraken komen rond deze vorm van dataverzameling, bv. dat camerabeelden worden gebruikt om algemene vaststellingen te doen en niet om individuen zomaar te traceren.
Op welke manier worden de persoonsgegevens gebruikt?
Met andere woorden: welke verwerkingen voert het lokaal bestuur uit? Som in detail de verwerkingen per finaliteit op. Met welke bedoeling worden gegevens verzameld? Welke categorieën van gegevens verwerkt u? Over welke categorieën van personen gaat het? Welke verwerkingen steunen er op welke rechtsgrond? Het verwerkingsregister is hier een belangrijke bron van informatie.
Categorieën van persoonsgegevens: maak het onderscheid tussen ‘gewone’ persoonsgegevens en ‘speciale categorieën’ persoonsgegevens (in feite gevoelige persoonsgegevens). De AVG somt de speciale categorieën op:
Onthoud vooral dat gevoelige persoonsgegevens in principe niet mogen verwerkt worden, tenzij er aan een van de volgende voorwaarden is voldaan:
De 6 gronden waarop verwerking mag gebeuren zijn de volgende:
Voor een gedetailleerd overzicht van de betekenis en praktische invulling van elke rechtsgrond, zie stap 12 van de securityreeks.
Enkele voorbeelden van doelen voor verwerking:
Doet u aan datamining? Dit is een complexe computertechniek waarbij patronen worden opgespoord in big data. Dit is ook een vorm van verwerking aangezien u werkt met persoonsgegevens. Als u hiervan gebruikmaakt, vermeld dit dan ook in de privacyverklaring.
Doet u aan profilering? Dit is een geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, met de bedoeling zaken als de betrouwbaarheid, het gedrag, de locatie of verplaatsingen van die persoon te analyseren of te voorspellen. Profilering is een vorm van geautomatiseerde besluitvorming, een type besluitvorming waarbij de AVG de betrokkene extra beschermt (specifiek recht van betrokkene ‘recht op verzet tegen profiling en geautomatiseerde besluitvorming’, zie ook stap 12 van deze reeks). Als u doet aan profiling, vermeld het dan hier.
Wie kan de persoonsgegevens inkijken?
M.a.w. wie moet er in het kader van de verwerking de persoonsgegevens inkijken? Wie kan er de informatie inkijken? Vermeld enerzijds welke interne medewerkers bij de verwerking betrokken zijn en dus inzicht hebben in de informatie, en anderzijds welke externe partijen deelnemen aan de verwerking. Als u informatie doorgeeft aan derden, dan moet u dit hier zeker ook expliciet vermelden. U mag dit in algemene bewoordingen gieten zoals ‘zustermaatschappijen’ of ‘partners’. Men kan immers niet verwachten dat u hier de namen van alle partners deelt (vertrouwelijkheid, maar ook een onredelijk grote inspanning van uw kant).
Is er doorgifte van persoonsgegevens naar landen buiten de EU?
Aansluitend bij de vorige vraag kunnen we ons de vraag stellen of de gegevens stromen naar landen of organisaties buiten de EU. Dit is belangrijk omdat de AVG dan niet langer van toepassing is, maar wel andere, buitenlandse (privacy)wetgeving. De privacy van de betrokkene is dus minder goed afgeschermd en de rechten van de betrokkene worden niet langer gegarandeerd.
Als er effectief doorgifte is naar een land buiten Europa, specificeer dan waar de gegevens naartoe gaan en welke bescherming er van toepassing is. Neem voor alle zekerheid de nodige extra beveiligingsmaatregelen en vermeld die hier. De betrokkene kan dan voor zichzelf uitmaken of zijn gegevens voldoende veilig worden verwerkt.
Welke maatregelen worden er genomen om de persoonsgegevens te beschermen?
Enkele voorbeelden:
Meer info hierover vindt u in stap 7.
Wat is de bewaartermijn van de persoonsgegevens?
Volgens de AVG mag u persoonsgegevens enkel voor een welbepaald doel verzamelen en gebruiken, en mag u ze niet langer bewaren dan nodig voor dat doel. Bovendien moet u als verwerkingsverantwoordelijke instaan voor de kwaliteit van de gegevens: is deze correct, zijn ze niet achterhaald?
Vermeld telkens per doel van verwerking de overeenkomstige bewaartijd. U kunt zich baseren op de info op volgende pagina’s van de Vlaamse overheid:
https://overheid.vlaanderen.be/informatiemanagement/bewaartermijnen
https://overheid.vlaanderen.be/aan-de-slag/geadviseerde-bewaartermijnen
Welke rechten hebben betrokkenen en hoe kunnen ze er een beroep op doen?
Hier nog even de rechten van betrokkenen opgesomd:
Een extra recht is het recht op klacht bij de toezichthoudende autoriteit (= Gegevensbeschermingsautoriteit).
De betrokkene moet, indien hij daarom vraagt, bij het lokaal bestuur info kunnen bekomen omtrent de verwerkingen die gebruikmaken van zijn persoonsgegevens.
Vermeld de procedure die de betrokkene kan volgen om zijn rechten toe te passen. Zo kan er bijvoorbeeld een standaardformulier ter beschikking worden gesteld waarmee de betrokkene zijn recht op inzage kan toepassen.
Voor meer info over wat elk recht inhoudt: zie stap 10 procedures betrokkenen.
Zijn er nog extra zaken die ik kan vermelden aansluitend bij de privacyverklaring?
We kunnen communicatie natuurlijk ook in de brede zin van het woord zien en verder kijken dan louter de privacyverklaring. Hoe communiceren we intern de maatregelen genomen door de informatieveiligheidscel? Sturen we regelmatig intern een mailing uit met tips rond persoonsgegevensbescherming of met een waarschuwing voor nieuwe dreigingen? De bewustmakingssessies (zie stap 4) sluiten hier mooi bij aan. Vraag u af hoe u de medewerkers op de hoogte wil houden van de laatste nieuwtjes m.b.t. persoonsgegevensbescherming.
Kan V-ICT-OR mij helpen om een privacyverklaring uit te werken?
Aan een privacyverklaring gaat enig denkwerk vooraf. Je moet immers een verklaring voorleggen die spreekt voor de werking van verschillende diensten binnen het lokaal bestuur. Vooral bij een premiumlidmaatschap kan V-ICT-OR de nodige tijd nemen om met u een degelijke privacyverklaring op te zetten.