Verwerking persoonsgegevens

“De verwerking van persoonsgegevens naar Belgisch recht in tien sleutelvragen”

Er zijn weinig onderwerpen die zo vaak aanleiding geven tot tandengeknars en eindeloze discussies als privacybescherming. Iedereen erkent het belang van een gedegen bescherming van de persoonlijke levenssfeer, maar het vinden van een evenwicht tussen fundamentele rechten en zakelijke belangen blijkt soms een zware opgave. Weinig sectoren worden hiermee zo vaak geconfronteerd als de ICT-sector, waar de verwerking van persoonsgegevens immers schering en inslag is.

De voornaamste wet met betrekking tot privacybescherming in België is de Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer, kortweg aangeduid als de Privacywet. De Privacywet regelt slechts één specifiek onderdeel van privacybescherming, namelijk de voorwaarden voor een rechtmatige verwerking van zogenaamde persoonsgegevens. Omwille van de brede draagwijdte van dit begrip vallen echter talloze handelingen onder deze wet, inclusief praktijken die vaak niet intuïtief als privacygevoelig worden beschouwd. 

Het begrip ‘persoonsgegeven’ is dan ook complex. De Privacywet omschrijft persoonsgegevens als iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Het doorslaggevende criterium om te bepalen of informatie moet worden beschouwd als persoonsgegevens is dan ook de vraag of het mogelijk is om een link te leggen tussen de informatie en een individu, rekening houdend met de context waarin gegevens worden verwerkt. Typevoorbeelden van persoonsgegevens zijn bijvoorbeeld de naam, het adres, klantennummer enzovoorts van specifieke personen. Ook beeldmateriaal (bijvoorbeeld foto’s) en geluidsfragmenten zijn persoonsgegevens als ze toelaten om het materiaal te linken aan één of meer individuen.

Voor sommige gegevens  is het echter niet zo duidelijk of het om persoonsgegevens gaat. Is een telefoonnummer een persoonsgegeven wanneer ik niet weet aan wie het toebehoort? Of een gebruikersnaam op een website die de betrokken zelf kiest? Of IP-adressen, waarbij er niet noodzakelijk een evidente band is tussen het adres en een persoon? Het beslissingscriterium is steeds of de gegevens met een redelijke inspanning toelaten om een natuurlijke persoon te identificeren. Het volstaat dus om de gegevens te beschouwen in de context van de verwerking en te bepalen of de betrokken persoon in deze context redelijkerwijs geïdentificeerd kan worden.

Voor een telefoonnummer is dit vrijwel steeds het geval: het is immers voor iedereen mogelijk om de eigenaar van het nummer op te bellen en zijn identiteit na te gaan. Gebruikersnamen kunnen persoonsgegevens zijn, bijvoorbeeld wanneer ze pas worden toegekend nadat bepaalde identificatiegegevens in een formulier worden ingevuld. Hetzelfde geldt voor IP-adressen: zij zijn steeds persoonsgegevens voor ISP’s (die immers kunnen nagaan welke abonnee er achter een adres zit, zelfs voor dynamische IP-adressen), maar niet noodzakelijk voor websites die de IP-adressen loggen zonder over andere informatie te beschikken die hen toelaat om dezelfde link te leggen. Men zal dus steeds het mogelijke gebruik van de gegevens in overweging moeten nemen.

Wanneer persoonsgegevens worden ‘verwerkt’– een begrip dat elke mogelijke handeling met betrekking tot die gegevens omvat, inclusief de inzameling, opslag, bewerking of overdracht ervan – dan zal men zich moeten houden aan de voorwaarden van de Privacywet. Een aantal verwerkingen werden echter uitgesloten van de draagwijdte van de wet, zoals verwerkingen voor uitsluitend persoonlijke doeleinden (bijvoorbeeld het bijhouden van een adresboekje). 

In deze bijdrage proberen we in tien concrete vragen om enkele vaak voorkomende misverstanden in verband met de Privacywet uit de wereld te helpen.

1. Moet ik steeds de toestemming hebben van de betrokken personen om hun persoonsgegevens te mogen verwerken? 

Neen. De toestemming van de betrokkene is maar één van de mogelijke verantwoordingsgronden om persoonsgegevens te mogen verwerken. De wet bevat echter nog een aantal andere grondslagen, waaronder de behartiging van het gerechtvaardigde belang van degene die de doelen en de middelen van de verwerking bepaalt, op voorwaarde dat de inbreuk op de rechten van de betrokkene niet zwaarder weegt dan dit belang. Deze mogelijkheid is in de praktijk zeer belangrijk: zij laat degene die de verwerking organiseert toe om zelf af te wegen of er een noemenswaardige privacy-inbreuk voortvloeit uit de verwerking, en op basis daarvan te beslissen of het nodig is om de toestemming van de betrokkene te vragen.

Dat neemt natuurlijk niet weg dat de toestemming één van de meest praktische grondslagen is om een verwerking op te baseren, aangezien dit het risico op latere discussies gevoelig verkleint.

Bovendien bevat de wet strengere regels voor bepaalde persoonsgegevens die als bijzonder privacygevoelig worden beschouwd, onder meer met betrekking tot de gezondheid, raciale of etnische afkomst, godsdienst, ideologie, het seksuele leven of gerechtelijke geschiedenis. Voor deze categorieën van gegevens gelden strengere regels, en zal het vaak wel nodig zijn om de toestemming van de betrokkene te vragen.

2. Hoe moeten persoonsgegevens beveiligd worden? 

De Privacywet eist dat er gepaste technische en organisatorische maatregelen worden getroffen om de persoonsgegevens te beschermen tegen bepaalde incidenten, waaronder vernietiging, verlies of ongeoorloofde toegang. Het gaat dus om een algemene norm, zodat men bij elke verwerking moet nagaan hoe privacygevoelig de gegevens zijn, welke risico’s er aan de verwerking vasthangen, en wat de gangbare methoden zijn om dergelijke gegevens te beveiligen. Men moet zorgen voor een “passend beveiligingsniveau”, rekening houdend met deze elementen. De wet bevat dus een verplichting tot verantwoord ‘risk management’.

3. Klopt het dat verwerkingen van persoonsgegevens moeten worden aangegeven bij de Privacycommissie? 

Dit is inderdaad de basisregel. Om de transparantie van verwerkingen te verzekeren moet elke verwerking in principe vooraf worden aangegeven bij de Privacycommissie, die de aangifte daarna op haar website zal publiceren.  Zowel de aangifteplicht als de publicatie hebben enkel betrekking op de essentiële kenmerken van de verwerking; het is dus niet nodig om de gegevensbestanden zelf aan de Privacycommissie over te dragen. Aangiftes kunnen ook elektronisch gebeuren via deze website.

Op deze basisregel bestaan er echter massa’s uitzonderingen voor verwerkingen die niet bijzonder privacygevoelig zijn (bijvoorbeeld verwerkingen voor loons- of personeelsadministratie, klanten- of ledenbeheer en dergelijke meer). Best wordt dus vooraf nagegaan of een aangifte wel noodzakelijk is. 

4. Mag ik de e-mails van mijn werknemers lezen als ik ze ergens van verdenk?

Het antwoord op deze vraag is niet zonder meer positief, en hangt grotendeels af van de maatregelen die werden getroffen door de werkgever om een duidelijk en evenwichtig communicatiebeleid uit te stippelen. De interpretatie van de Privacywet bij het toezicht op e-mailverkeer (of andere elektronische communicatie) wordt in België door een CAO geregeld. 

CAO 81 stelt als basisprincipe voorop dat de werknemers correct geïnformeerd moeten worden over het toelaatbaar gebruik van communicatiemiddelen, bijvoorbeeld via een specifieke policy, zodat zij hun rechten en plichten kennen. Is dit gebeurd en worden de voorwaarden van CAO 81 en de Privacywet correct nageleefd, dan zal het nalezen van e-mail veelal als rechtmatig worden beschouwd. Is dat niet het geval, dan bestaat het risico dat een rechter het toezicht als onrechtmatig zal bestempelen, met alle dramatische gevolgen van dien. Voorzichtigheid is dus aangewezen.

5. Ik werk alleen in B2B en dus niet met consumenten. Dan is de Privacywet toch niet van toepassing?

De toepasselijkheid van de Privacywet wordt op de eerste plaats bepaald door de vragen of er persoonsgegevens worden verwerkt, en of deze verwerkingen onder de wet vallen. De draagwijdte van de Privacywet is echter zeker niet beperkt tot transacties met consumenten. Wanneer er in een B2B-context persoonsgegevens worden verwerkt (bijvoorbeeld contactgegevens van andere personen), dan is de Privacywet dus zeker van toepassing.

6. Hoe lang mag ik persoonsgegevens bewaren?

De Privacywet stelt voorop dat persoonsgegevens niet langer mogen worden bewaard dan nodig is voor de verwezenlijking van de doeleinden waarvoor zij werden verkregen of verder worden verwerkt. Aan de hand van deze abstracte regel moet dus worden afgewogen of de bewaring nog wel verantwoord is, rekening houdend met de doeleinden die oorspronkelijk werden vastgelegd. Is dit niet het geval, dan moeten de gegevens worden gewist of geanonimiseerd. De onbepaalde bewaring van persoonsgegevens is dus slechts zeer uitzonderlijk geoorloofd.

7. Is het niet eenvoudiger om de verwerking van persoonsgegevens te outsourcen naar een ander land? Dan is de Belgische wet toch niet meer van toepassing? 

De Privacywet probeert dit soort omzeilingsstrategieën te bestrijden door de uitvoer van persoonsgegevens aan banden te leggen. Binnen de E.U. zijn er geen bijzondere problemen, aangezien alle Europese lidstaten over gelijkaardige regels beschikken. Wanneer men gegevens naar een bestemming buiten de E.U. wil verzenden, dan is dit echter enkel toegelaten onder strikte voorwaarden.

In het algemeen is dergelijke export enkel toelaatbaar met de toestemming van de betrokkene, wanneer de E.U. de wetgeving van het land van bestemming als afdoende beschouwt (hetgeen haast nooit het geval is), of wanneer er een apart regelgevend kader werd voorzien. Zo kunnen internationale ondernemingen bijvoorbeeld gestandaardiseerde akkoorden afsluiten (waaronder de zogenaamde Binding Corporate Rules) op basis waarvan internationale gegevensuitwisseling toegelaten wordt, en kunnen Amerikaanse ondernemingen vrijwillig tot de zogenaamde Safe Harbor regels onderschrijven om Europese persoonsgegevens te mogen verwerken.

8. Mag ik gegevens die op het Internet staan (bijvoorbeeld op een social networking site) vrij gebruiken? Ten slotte heeft de betrokken persoon die zelf bekendgemaakt, dus zijn ze niet vertrouwelijk.

Niet noodzakelijk. De vertrouwelijkheid van de gegevens is niet doorslaggevend om te bepalen of het gebruik ervan toelaatbaar is. Men moet rekening houden met de doeleinden waarvoor de gegevens zijn bekendgemaakt. Op een zakelijke site zal dit bijvoorbeeld zijn met het oog op zakelijke contacten; op een privésite eerder om met kennissen contact te kunnen leggen. Een gebruik van de gegevens dat onverzoenbaar is met deze doeleinden (bijvoorbeeld gegevens automatisch scrapen om een marketingbestand aan te leggen) zal dan niet geoorloofd zijn.

9. Mag ik logbestanden gebruiken om na te gaan wie mijn software of website gebruikt? 

Wanneer men gegevens gaat opslaan met het specifieke oogmerk om gebruikers te kunnen identificeren, dan zullen die gegevens wellicht als persoonsgegevens moeten worden aangemerkt. Als men dergelijke gegevens zonder het medeweten van de betrokkenen inzamelt, dan kan dit zeker voor problemen zorgen wanneer dit niet tot de redelijke verwachtingen van de gebruikers behoort. Wil men discussies hierover uitsluiten, dat is het dus aangewezen om minstens in de gebruiksvoorwaarden van de software of dienst aan te geven welke gegevens worden ingezameld en voor welke doeleinden, zodat de gebruiker hierover geïnformeerd is.

10. Mijn bedrijf levert technische diensten aan ondernemingen waarbij wij voor hen persoonsgegevens verwerken. Is de Privacywet dan nog van belang voor mij?

Ja, ook wanneer men voor andermans rekening persoonsgegevens verwerkt is de Privacywet van belang. In dit geval zal men namelijk in de overeenkomst met de opdrachtgever moeten aangeven welke rol men in de verwerking speelt, voor welke doeleinden de gegevens mogen worden verwerkt, en welke beperkingen daarbij in acht moeten worden genomen. Vergeet men dit te doen, dan kan dit later tot moeilijke discussies aanleiding geven als er zich problemen zouden voordoen.

Hans Graux is advocaat aan de balie van Brussel en partner in het advocatenkantoor time.lex, dat gespecialiseerd is in ICT-recht.

Deze tekst werd gepubliceerd met toestemming van de auteur.