Toolbox

De Autoriteit stelt hulpmiddelen ter beschikking van verwerkingsverantwoordelijken en verwerkers om bedrijven en organisaties te helpen bij de implementatie van de AVG.


Deze documenten zijn bedoeld als hulp om functionarissen voor gegevensbescherming, ook wel Data Protection Officers (DPO’s) genoemd en verwerkingsverantwoordelijken of verwerkers te helpen bij de praktische toepassing van de verplichtingen inzake gegevensbescherming. De Autoriteit neemt geen standpunt in over de inhoud van deze documenten, met uitzondering van de lijst van rechtspraak van de Geschillenkamer van de GBA, en er rust geen verplichting op verwerkingsverantwoordelijken of verwerkers om deze documenten te gebruiken. Deze documenten laten alle eventuele toekomstige acties van de Gegevensbeschermingsautoriteit onverlet (zoals een eventueel aanvullend verzoek om informatie of een onderzoek door de inspectiedienst). Het is immers de taak van de verwerkingsverantwoordelijken om, overeenkomstig het verantwoordingsbeginsel in artikel 5.2 gelezen in samenhang met artikel 24 van de AVG, na te gaan of en hoe deze documenten concreet worden gebruikt bij het implementeren van de AVG-vereisten binnen de organisatie. Uiteraard kan de DPO  daartoe nuttige adviezen verstrekken (indien er een DPO werd aangewezen).
 

Met behulp van dit 13 stappenplan, en de bijkomstige informatie op de website van de Gegevensbeschermingsautoriteit, kan je een plan van aanpak opstellen. Dit stappenplan helpt bedrijven en organisaties hun huidig gegevensbeschermingsbeleid te evalueren en aan te passen aan de vereisten van de AVG.

Het registermodel dat wij voorstellen bevat meer informatie dan de AVG oplegt. Dit registermodel moet dus echt als een instrument gezien worden omdat het de gebruiker in staat stelt een overzicht te behouden over alle belangrijke informatie die in het licht van de toepassing van de AVG evenzeer van belang zijn.

Wat moet u doen indien u persoonsgegevens ontvangt met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden? Wanneer moet u een protocol volgens artikel 20 van de wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens opstellen? Wat moet u doen indien u persoonsgegevens uitwisselt met sociale zekerheidsinstellingen? Volg dit stappenplan en kom het te weten.

Volgens artikel 20 van de wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens dient er bij bepaalde uitwisselingen van persoonsgegevens door federale overheidsorganisaties een protocol tot stand te komen. Met inbegrip van de aanbeveling nr. 02/2020 van 31 januari 2020 kan u hier een template van dergelijk protocol vinden.

Een 7 stappenplan om uit te leggen hoe scholen persoonsgegevens moeten verwerken en hoe ze hiervoor te werk moeten gaan.

Voor elke verwerking van persoonsgegevens moet er een rechtsgrond zijn (artikel 6 van de AVG). Afhankelijk van de rechtsgrond en in bepaalde gevallen ook de context van de verwerking van persoonsgegevens of het type van verwerking van persoonsgegevens, zijn bepaalde rechten van betrokkenen al dan niet van toepassing. Dit schema geeft een overzicht van welke rechten van betrokkenen al dan niet van toepassing zijn voor verwerkingen van persoonsgegevens gebaseerd op verschillende rechtsgronden. Tot slot is het nuttig om te weten dat de Gegevensbeschermingsautoriteit standaardbrieven aanbiedt aan betrokkenen die hun rechten op het gebied van privacy willen uitoefenen.

Een checklist om organisaties te helpen ervoor te zorgen dat hun cookie-praktijken voldoen aan de huidige regelgeving.
 

Documenten voor de DPO

De functionaris voor gegevensbescherming (DPO) komt soms uitdrukkelijk aan bod in de rechtspraak. In de onderstaande tabel vindt u een niet-limitatief overzicht van arresten en beslissingen over de aanwijzing, de functie en de taken van de DPO.

Onderwerp Bron Korte commentaar
De functionele onafhankelijkheid van de DPO is essentieel (= toepassing van artikel 38 AVG) Hof van Justitie, arrest in de zaak C‑453/21 van 9 februari 2023

De functionele onafhankelijkheid van de DPO is essentieel en moet worden gewaarborgd door zijn werkgever of cliënt. De leden 3, 5 en 6 van artikel 38 AVG dragen daartoe bij.

Er is sprake van een belangenconflict bij de DPO in de zin van artikel 38.6 AVG als de DPO taken krijgt waarbij hij de doeleinden en middelen van de verwerking bepaalt.

De DPO wordt beschermt tegen ontslag en sancties voor de uitvoering van zijn taken (= toepassing van artikel 38.3 AVG) Hof van Justitie, arrest in de zaak C‑534/20 van 22 juni 2022 De DPO mag worden ontslagen door zijn werkgever of cliënt als hij niet meer beschikt over de voor de uitvoering van zijn taken noodzakelijke professionele kwaliteiten of als hij zijn taken niet overeenkomstig de Algemene verordening gegevensbescherming uitvoert.
De DPO brengt rechtstreeks verslag uit aan de hoogste leidinggevende van de verwerkingsverantwoordelijke of de verwerker (= toepassing van artikel 38.3 AVG)

Gegevensbeschermingsautoriteit, Beslissing ten gronde nr. 136/2023 van 28 september 2023 inzake de verwerking van persoonsgegevens in het kader van een fraudeonderzoek

Via een dergelijke verslaggeving wordt verzekerd dat het hogere management (bijvoorbeeld de raad van bestuur) op de hoogte is van het advies en de aanbevelingen die de functionaris voor gegevensbescherming verstrekt in het kader van zijn taak om de verwerkingsverantwoordelijke of de verwerker te informeren en te adviseren.

De DPO moet naar behoren en tijdig betrokken worden (= toepassing van artikel 38.1 AVG). De DPO moet adviseren en controleren (= toepassing van artikel 39.1 AVG)

Elk van de opgesomde elementen in de paragraaf voorafgaand aan punt 62 geeft aanleiding tot de vaststelling van een inbreuk op artikel 39, lid 1, van de AVG, aangezien uit deze punten blijkt dat de verwerkingsverantwoordelijke onvoldoende waarborgt dat de taken door de DPO adequaat worden uitgevoerd.

De DPO moet betrokken worden bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens. Het volstaat niet de DPO er pas bij te betrekken wanneer de Gegevensbeschermingsautoriteit contact opneemt.

De regels inzake de DPO helpen de DPO om zijn taken uit te voeren.

De organisatie moet haar DPO actief ondersteunen (= toepassing van artikel 38.2 AVG)

De volgende aspecten moeten in aanmerking worden genomen:

  • Actieve ondersteuning van de functie van de DPO door het hoger management;
  • Voldoende tijd voor de DPO om zijn taken uit te voeren;
  • Adequate ondersteuning in termen van financiële middelen, infrastructuur (bedrijfsruimten, uitrustingen, apparatuur) en personeel, in voorkomend geval;
  • Officiële bekendmaking van de aanwijzing van de DPO aan alle personeelsleden ;
  • Noodzakelijke toegang tot andere diensten, zoals personeelszaken, de juridische dienst, IT, veiligheid, enz.;
  • Voortgezette opleiding;

Gezien de omvang en de structuur van de organisatie kan het nodig zijn een DPO-team (een DPO met personeel) in te stellen

Een belangenconflict bij de DPO is verboden (= toepassing van artikel 38.6 AVG)

De DPO van een organisatie kan niet tegelijk directeur van die organisatie zijn.

De cumulatie van de functies van DPO en CISO (wat een afkorting is voor Chief Information Security Officer) leidt niet tot een belangenconflict als de DPO of CISO niet verantwoordelijk is voor een operationele afdeling.

De kwalitatieve vereisten voor de DPO moeten worden gerespecteerd (= toepassing van artikel 37, lid 5 AVG)

Een uitgebreide kennis van de interne informatiesystemen en kennis van alle bedrijfsprocessen kunnen een meerwaarde betekenen voor de uitoefening van de functie van DPO. Kennis van de wetgeving inzake gegevensbescherming is echter een vereiste, zeker met het oog op de uitoefening van de taken van de DPO.

De verwerkingsverantwoordelijke en de verwerker moeten hun keuze voor een DPO verantwoorden. De verwerkingsverantwoordelijke en de verwerker hebben immers de plicht te voldoen aan artikel 37.5 van de AVG waarin is bepaald dat de DPO wordt aangewezen op grond van zijn professionele kwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming.

Als functionaris voor gegevensbescherming (DPO) moet u goed op de hoogte blijven van wetgeving, rechtspraak en praktijk inzake gegevensbescherming. In de onderstaande tabel vindt u een niet- limitatief overzicht van gratis toegankelijke websites met informatie over gegevensbescherming.

Website Korte commentaar

Europese Commissie

Deze website biedt informatie over de Europese wetgeving inzake gegevensbescherming.

Hof van Justitie van de Europese Unie

Deze website geeft toegang tot de arresten van het Hof van Justitie inzake gegevensbescherming.
Europees Comité voor gegevensbescherming (European Data Protection Board, afgekort “EDPB”)

De EDPB zorgt ervoor dat de algemene verordening gegevensbescherming en de rechtshandhavingsrichtlijn consequent worden toegepast en zorgt voor Europese samenwerking, onder meer op het gebied van rechtshandhaving.

De richtsnoeren, aanbevelingen en best pratices van de EDPB bevatten zeer nuttige analyses en commentaren. Zo bevatten de Guidelines on Data Protection Officers ('DPO'), WP243 rev.01 concrete aanbevelingen en commentaren inzake de DPO.

Europese Toezichthouder voor gegevensbescherming (European Data Protection Supervisor, afgekort “EDPS”)

Een van de belangrijkste opdrachten van de EDPS Is het toezicht houden op de instellingen van de EU om hen te helpen een voorbeeldrol te spelen inzake de verwerking van persoonsgegevens.

In de praktijk gaat het met name om het publiceren van richtlijnen, het onderzoeken van klachten, het antwoorden op raadplegingen van de instellingen van de EU en het uitvoeren van audits op het gebied van gegevensbescherming.

Academische bronnen Korte commentaar
CiTiP blog Deze blog bevat academische teksten over gegevensbescherming.
CRIDS Privacy & Data Protection Deze webpagina bevat academische teksten over gegevensbescherming.

 

Welke regels zijn van toepassing voor een DPO? Wanneer moet een DPO aangesteld worden? Wie aanduiden? Wat zijn de verplichtingen? Lees het in ons document over de 10 basisregels betreffende de functionaris voor gegevensbescherming (DPO).

Een van de taken van de DPO is advies verlenen over alle aangelegenheden inzake gegevensbescherming. Afhankelijk van de context (organisatie, type verwerking, …) kan het aangewezen zijn om de volgende checklist te gebruiken. Zo ziet u als DPO geen beginsel of verplichting van de AVG over het hoofd bij uw adviesverlening. In het document wordt per rubriek in cursief meer uitleg gegeven.

Een van de taken van de DPO is advies verlenen over alle aangelegenheden inzake gegevensbescherming. Afhankelijk van de context (organisatie, type verwerking, …) kan het aangewezen zijn om de volgende template te gebruiken die de organisatie dient in te vullen voordat u als DPO of functionaris voor gegevensbescherming advies verleent. Op die manier kan de organisatie meer gerichte informatie geven, die u kunt gebruiken bij de adviesverlening.

Een van de taken van de DPO is om medewerkers van verwerkingsverantwoordelijken en verwerkers te informeren over de verplichtingen en beginselen van de AVG. Deze presentatie met puzzel over de beginselen van de AVG kan daarvoor gebruikt worden. Lees zeker ook de notities in de presentatie voor meer duiding over hoe de presentatie kan gebruikt worden.