architect in de praktijk

Nieuwe privacyregels: 'Geen heksenjacht op vrije beroepers'

Matthias Vanheerentals • 2 februari 2018

“De Privacycommissie, die vanaf mei 2018 instaat voor de controle op de naleving van de nieuwe privacyregels, zal geen heksenjacht op de vrije beroeper organiseren.” Dat zegt Willem Debeuckelaere, huidig voorzitter van de Vlaamse en Nationale Privacycommissie. Dat betekent niet dat vrije beroepers zich niet in regel moeten stellen. Want ook al wordt het geen heksenjacht, controles zijn zeker mogelijk.

Vanaf 25 mei 2018 moet elke onderneming in Europa voldoen aan de General Data Protection Regulation (GDPR) of Algemene Verordening Gegevensbescherming (AVG). Deze Verordening legt nieuwe en meer uitgebreide wettelijke verplichtingen rond privacy op die ondernemingen moeten naleven. Die gelden ook voor vrije beroepen.

 

"Het grote voordeel van de GDPR is dat je het heft in eigen handen kan nemen", zegt Debeuckelaere. "Elke vrije beroeper moet nagaan wat de risico’s zijn, voor zichzelf en de patiënt of cliënt. Veel hangt af binnen welke context je de persoonlijke gegevens gebruikt. Als je de persoonsgegevens in de normale uitoefening van je job verwerkt en het normale verwachtingspatroon volgt, dan is er geen probleem. Wie echter met gevoelige gegevens werkt, zoals gezondheidsgegevens of gegevens over seksuele geaardheid, zal heel wat meer beveiliging moeten voorzien. Je mag de persoonsgegevens maar bewaren zo lang je die nodig hebt."

 

Wie in overtreding is, krijgt de nodige tijd om zich in orde te stellen In ons land wordt de Privacycommissie bevoegd om controles uit te voeren op de naleving van de GDPR. Ook vrije beroepers kunnen zich mogelijk aan aangekondigde of onaangekondigde controles verwachten, zelfs van op afstand. "Als we je controleren, dan moet je kunnen verantwoorden welke maatregelen je genomen hebt', zegt Debeuckelaere. "Wie in overtreding is, zal in het begin de nodige tijd krijgen om te kunnen corrigeren en bij te stellen. Maar zorg dan dat je met alles in orde bent. Want als we na een paar maanden nog altijd vaststellen dat de regels met voeten getreden worden, dan leggen we boetes op."

 

De boete bedraagt maximaal 4 procent van de jaarlijkse omzet. Door het beperkte personeelsbestand van om en bij de 60 werknemers kan de Privacycommissie echter niet iedereen zomaar willekeurig gaan controleren. "We zijn niet van plan om blindelings boetes te gaan uitschrijven. Er moet altijd wel een concrete aanleiding zijn om tot een controle over te gaan. We gaan pas controleren als er zich een serieus incident heeft voorgedaan. Meestal gebeurt dat als er ook sprake is van een strafbaar feit, zoals misbruik van vertrouwen, hacking, valsheid in geschrifte, of schending van het beroepgeheim. Dan treedt meestal ook de correctionele rechtbank in actie."

 

Kleine zelfstandigen geen prioriteit

 

De voorzitter van de Privacycommissie benadrukt dat het niet de bedoeling is om een heksenjacht op vrije beroepers te organiseren. "We gaan ze niet viseren en hen het leven zuur of lastig maken. En ik ben daar ook niet rouwig voor om dat zo nadrukkelijk te beklemtonen. Onze prioriteit gaat niet uit naar de kleine zelfstandigen. Het is niet de slager om de hoek die de grootste bedreiging vormt voor de privacy. Met de GDPR gaan we prioritair de grote bedrijven aanpakken die zondigen tegen de privacywetgeving, zoals Facebook dat voortdurend doet. Die willen we in de eerste plaats tot de orde roepen. Zij zetten de standaard en de bakens uit en bepalen wat er gebeurt. Zij hebben de meeste tools in handen qua hardware en software."

Maar hoe denken vrije beroepers er zelf over? Waar zien zij problemen in de dagdagelijkse uitoefening van hun vrij beroep? Kati Lamens, voorzitter Netwerk Architecten Vlaanderen NAV, legde haar vragen voor aan Willem Debeuckelaere. Ze onthoudt vooral dat de GDPR geen onderscheid maakt tussen papieren of digitale gegevens, dat je informatie altijd beveiligd en geëncrypteerd moet versturen en je die niet zomaar aan derden mag geven.

 

Kati Lamens: “We gebruiken bijvoorbeeld het programma Dropbox (een clouddienst voor het online opslaan van bestanden, nvdr) om plannen met aannemers en leveranciers uit te wisselen. Daar kan bijvoorbeeld ook persoonlijke informatie instaan, zoals hoe iemand woont en leeft en welke ruimtes die allemaal heeft. We vragen ons als architecten dan ook af of deze clouddienst nog kan gebruikt worden als de GDPR van kracht is.”

 

Debeuckelaere: “Dropbox is enkel veilig als je een contract afsluit en ervoor betaalt. Het is dus belangrijk dat je altijd goed nagaat op welke manier het systeem beveiligd is. Je moet altijd goed controleren wat je provider of softwareleverancier precies aanbiedt en of het dus beveiligd is of niet. Zeker als er persoonlijke of gevoelige informatie moet uitgewisseld worden, is het cruciaal dat dit op een beveiligde en dus geëncrypteerde manier gebeurt.”

 

Lamens: “Is alles wat enkel op papier wordt bijgehouden ook onderworpen aan de nieuwe privacywetgeving? Ik geef een voorbeeld. We vragen aan onze bouwheer een papieren kopie van zijn paspoort met daarop een rijksregisternummer, wat dus een persoonlijk gegeven is. Zelf digitaliseer ik deze informatie niet. Ik zet ze ook niet in onze digitale computersystemen, maar voer ze rechtstreeks in op het onlineloket van de overheid. Wat zegt de GDPR daarover?”

 

Debeuckelaere: “De nieuwe privacywetgeving maakt geen onderscheid of iets digitaal of op papier wordt bijgehouden. Alles wat gestructureerde informatie is, blijft onderworpen aan deze wetgeving. De wetgeving is van toepassing op persoonlijke informatie die op een georganiseerde manier wordt bijgehouden, zoals in een computer en fichebak. Zelfs de oude ponskaarten van vroeger kunnen daaronder vallen. Maar ongestructureerde data vallen daar niet onder. Ook uw volstrekt eigen persoonlijke gegevens, zoals uw familiekalender of uw persoonlijke agenda vallen niet onder de wet. Professionele wel. Gevoelige persoonlijke informatie, zoals medische gegevens of informatie over seksuele geaardheid, mag trouwens niet zomaar verwerkt worden zonder toelating van de betrokkene, een contract of wettelijke opdracht. Wees daar alert voor.”

Nuttige links
www.privacycommission.be

De Privacycommissie organiseert zelf informatiesessies voor vrije beroepers en dit in samenwerking met de verschillende beroepsorganisaties.

www.unizo.be/privacy

Ook UNIZO en de Federatie Vrije Beroepen organiseren webinars, informatiesessies en ontwikkelden heel wat nuttige publicaties over de GDPR, waaronder een leidraad in 10 stappen. De Federatie Vrije Beroepen werkt samen met de aangesloten sectoren aan richtlijnen op maat die de goedkeuring verkrijgen van de privacycommissie.