Gedaan met laden. U bevindt zich op: Adviezen en aanbevelingen Vlaamse Toezichtcommissie

Adviezen en aanbevelingen

De Vlaamse Toezichtcommissie voor de verwerking van persoonsgegevens verleent, hetzij uit eigen beweging, hetzij op verzoek van het Vlaams Parlement of de Vlaamse Regering adviezen over elke aangelegenheid met betrekking tot de verwerkingen van persoonsgegevens.

Adviezen wetgevingAdviezen wetgeving
Adviezen diversAdviezen divers
Advies protocolAdvies protocol
Richtlijnen en aanbevelingenRichtlijnen en aanbevelingen
Informatie aanvragenInformatie aanvragen

Overzicht adviezen en aanbevelingen

Per thema

ScholenScholen
CloudCloud

EnergieregelgevingEnergieregelgeving
COVID-19COVID-19

Alle adviezen en aanbevelingen

Overzicht alle adviezen

Terminologie en interpretatie

De Vlaamse Toezichtcommissie geeft hierbij kort uitleg bij begrippen waar verwarring over kan bestaan.

Wat zijn persoonsgegevens?

Een persoonsgegeven is iedere informatie over een geïdentificeerd of identificeerbaar natuurlijk persoon (de “betrokkene” genoemd in de AVG).

Een persoon kan geïdentificeerd worden via de naam, een foto, een telefoonnummer, zelfs een telefoonnummer op het werk, een code, een bankrekeningnummer, een e-mailadres, een vingerafdruk, een IP-adres … of het combineren van deze of andere gegevens. Deze gegevens, identificatoren genoemd, zijn op zich ook al persoonsgegevens.

Er wordt alleen rekening gehouden met de gegevens over een natuurlijk (fysiek) persoon en niet met de gegevens die enkel betrekking hebben op een rechtspersoon of een vereniging (civiele of commerciële vennootschap of een v.z.w.). Verwijst de naam van de rechtspersoon naar identificeerbare natuurlijke personen, bv. Gebroeders Vermeulen bvba, dan kunnen de gegevens van de firma toch persoonsgevens zijn.

Het gaat niet alleen over gegevens die te maken hebben met de persoonlijke levenssfeer (privacy) van personen, maar ook over gegevens die te maken hebben met het professionele of openbare leven van een persoon.

Encryptie is een goede beveiligingsmaatregel, maar geëncrypteerde persoonsgegevens blijven persoonsgegevens. Anonimisering waardoor men achteraf de betrokkene definitief (zo goed als) onmogelijk kan terugvinden maakt dat de gegevens geen persoonsgegevens meer zijn (te onderscheiden van pseudonimisering zoals door codering).

Openbaarheid van bestuursdocumenten en bescherming van persoonsgegevens

De wetgeving inzake bescherming van persoonsgegevens en de wetgeving inzake openbaarheid van bestuursdocumenten zijn niet op elkaar afgestemd. Dat leidt regelmatig tot interpretatieproblemen.

Visie van de Vlaamse Toezichtcommissie bij bepaalde knelpunten:

Controle door beroepsinstantie openbaarheid van bestuur
Hoe kan de beroepsinstantie openbaarheid haar controletaak uitvoeren rekening houdend met de bescherming van persoonsgegevens als een burger een kopie van een groot bestand (eventueel een databank) met persoonsgegevens heeft opgevraagd in het kader van openbaarheid van bestuursdocumenten.

VTC_A_2020_06_nota_openbaarheid_kopie_databank.pdf(PDF bestand opent in nieuw venster)

Rechtmatigheid en wettelijke basis

Artikel 5, AVG, dat de beginselen inzake de verwerking van persoonsgegevens bepaalt, eist dat de verwerking

- rechtmatig gebeurt ten aanzien van de betrokkenen (punt a) “rechtmatigheid”), en

- voor gerechtvaardigde doeleinden gebeurt (punt b).

Artikel 6, AVG bepaalt wat de rechtmatigheid van de verwerking moet inhouden (opschrift en punt 1 van artikel 6)

Voor die rechtmatigheid is het nodig dat er een (rechts)grondslag of juridische grond(slag) is (een van de grondslagen vermeld in artikel 6, zoals toestemming).

Die grondslag neemt de vorm aan van een toelaatbaarheidsgrond, ook rechtvaardigingsgrond genoemd.

Omwille van het legaliteitsbeginsel en het specialiteitsbeginsel voor overheidshandelen vereist deze toelaatbaarheidsgrond voor overheden als aanvulling een wettelijke basis of wettelijke grond.

Kwalificatie van verwerkingsverantwoordelijke en verwerker

Er is veel onduidelijkheid over de kwalificatie van verwerkingsverantwoordelijke en verwerker.

De Vlaamse Toezichtcommissie wil helpen om meer klaarheid te brengen voor de Vlaamse Overheid en de lokale besturen. In samenwerking met de VVSG worden casussen verzameld en besproken. Daarmee bedoelen we de meest voorkomende vragen te beantwoorden. De visie kan evolueren.

Laatste versie van het schema met de verschillende mogelijkheden en de te vervullen formaliteiten(PDF bestand opent in nieuw venster).

Een schema is een vereenvoudiging. Combinaties van de erin vermelde situaties zijn mogelijk.
Vragen waarover we ons nog aan het buigen zijn, zijn o.a. de verzekeraars en de preventiediensten.
Als algemene regel geldt dat aan de kwalificaties van vóór de AVG niets verandert. Ze krijgen alleen meer aandacht wegens de meer uitgewerkte verplichtingen.
Er is onzekerheid over het statuut van gezamenlijke verwerkingsverantwoordelijken. Als u vroeger niet samen met een andere organisatie een verantwoordelijke was, bent u het nu normaal gezien ook niet. Hier komt verdere verduidelijking rond.

Adviezen andere toezichthouders

Hieronder vind je een selectie van de andere toezichthouders.

Europees Comité voor gegevensbescherming (European Data Protection Board/EDPB)

AVG: richtsnoeren, aanbevelingen en best practices(opent in nieuw venster)

Selectie richtsnoeren gegevensbeschermingseffectbeoordeling WP29

Federale Gegevensbeschermingsautoriteit (GBA)

Een selectie van interessante adviezen en aanbevelingen van de GBA en haar voorganger de CBPL (Privacycommissie):

De verplichte aanmaak van een gebruikersaccount bij Microsoft voor het raadplegen van toepassingen van overheidsdiensten(PDF bestand opent in nieuw venster) (6 februari 2019)
Aanvulling op aanbeveling nr. 04/2015 uit eigen beweging met betrekking tot 1) Facebook, 2) de gebruikers van internet en/of Facebook alsook 3) de gebruikers en aanbieders van Facebook diensten, inzonderheid social plug-ins(PDF bestand opent in nieuw venster) (12 april 2017)