30/07/18 GDPR-wet
Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens
Hoofdstuk IV Verwerkingsverantwoordelijke en verwerker
Afdeling 1 Organisatorische en technische maatregelen
Artikel 50
Rekening houdend met de aard, de reikwijdte, de context en de doeleinden van de verwerking, alsmede met de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van natuurlijke personen, treft de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen. Wanneer zulks in verhouding staat tot de verwerkingsactiviteiten, omvatten deze maatregelen de uitvoering van een passend gegevensbeschermingsbeleid door de verwerkingsverantwoordelijke.
De verwerkingsverantwoordelijke kan aantonen dat de verwerking in overeenstemming met de wet wordt uitgevoerd.
Die maatregelen worden geėvalueerd en indien nodig geactualiseerd.
Artikel 51
§ 1
Rekening houdend met de stand van de techniek, de uitvoeringskosten en de aard, de reikwijdte, de context en de doeleinden van de verwerking, alsmede met de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van natuurlijke personen, dienen de technische en organisatorische maatregelen, bedoeld in artikel 50, om de gegevensbeschermingsbeginselen op een doeltreffende manier door te voeren en de nodige waarborgen in de verwerking in te bouwen ter bescherming van de rechten van de betrokkenen, zowel bij de bepaling van de verwerkingsmiddelen als bij de verwerking zelf.
§ 2
De technische en organisatorische maatregelen bedoeld in artikel 50 waarborgen dat in beginsel alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek doel van de verwerkingen.
In het bijzonder waarborgen deze maatregelen dat persoonsgegevens in beginsel niet zonder menselijke tussenkomst voor een onbeperkt aantal natuurlijke personen toegankelijk worden gemaakt.
Afdeling 2 Gezamenlijke verwerkingsverantwoordelijken
Artikel 52
Wanneer twee of meer verwerkingsverantwoordelijken gezamenlijk de doeleinden en middelen van de verwerking bepalen, zijn zij gezamenlijke verwerkingsverantwoordelijken.
Een onderlinge regeling stelt op transparante wijze de respectieve verantwoordelijkheden van de gezamenlijke verwerkingsverantwoordelijken vast, met name met betrekking tot de uitoefening van de rechten van de betrokkene en om de in de artikelen 37 en 38 bedoelde informatie te verstrekken, tenzij hun respectieve verantwoordelijkheden zijn vastgesteld bij de wet, het decreet, de ordonnantie, de Europese regelgeving of de internationale overeenkomst.
In de onderlinge regeling kan één enkel contactpunt voor de betrokkenen worden aangewezen.
Afdeling 3 Verwerker
Artikel 53
§ 1
Indien de verwerking wordt toevertrouwd aan een verwerker, kiest de verwerkingsverantwoordelijke een verwerker die voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de verwerkingen.
§ 2
De verwerker neemt een andere verwerker in dienst met voorafgaande specifieke of algemene schriftelijke toestemming van de verwerkingsverantwoordelijke.
In het geval van algemene schriftelijke toestemming licht de verwerker de verwerkingsverantwoordelijke in over beoogde veranderingen inzake de toevoeging of vervanging van andere verwerkers, waarbij de verwerkingsverantwoordelijke de mogelijkheid wordt geboden tegen deze veranderingen bezwaar te maken.
§ 3
De verwerking door een verwerker wordt geregeld in een overeenkomst of andere rechtshandeling die de verwerker ten aanzien van de verwerkingsverantwoordelijke bindt, en waarin het onderwerp en de duur van de verwerking, de aard en het doel van de verwerking, het type persoonsgegevens en de categorieėn van betrokkenen, en de rechten en verplichtingen van de verwerkingsverantwoordelijke worden omschreven.
Die overeenkomst of andere rechtshandeling bepaalt met name dat de verwerker:
- 1°
- uitsluitend volgens de instructies van de verwerkingsverantwoordelijke handelt;
- 2°
- ervoor zorgt dat personen die gemachtigd zijn de persoonsgegevens te verwerken zich ertoe hebben verplicht geheimhouding in acht te nemen of door een passende wettelijke verplichting van geheimhouding gebonden zijn;
- 3°
- de verwerkingsverantwoordelijke met passende middelen bijstaat om de naleving van de bepalingen betreffende de rechten van de betrokkene te verzekeren;
- 4°
- na afloop van de gegevensverwerkingsdiensten, alle persoonsgegevens wist of die terugbezorgt aan de verwerkingsverantwoordelijke, en bestaande kopieėn verwijdert, tenzij de bewaring van de persoonsgegevens verplicht is bij de wet, het decreet, de ordonnantie, de Europese regelgeving of de internationale overeenkomst;
- 5°
- aan de verwerkingsverantwoordelijke alle informatie ter beschikking stelt die nodig is om de naleving van dit artikel aan te tonen;
- 6°
- aan de in de paragrafen 2 en 3 bedoelde voorwaarden voor indienstneming van een andere verwerker voldoet.
§ 4
De in paragraaf 3 bedoelde overeenkomst of andere rechtshandeling is gesteld in schriftelijke vorm, daaronder begrepen in elektronische vorm.
§ 5
Indien een verwerker in strijd met deze titel de doeleinden en middelen van de verwerking bepaalt, wordt die verwerker met betrekking tot deze verwerking als de verwerkingsverantwoordelijke beschouwd.
Artikel 54
De verwerker en eenieder die onder het gezag van de verwerkingsverantwoordelijke of van de verwerker handelt en toegang heeft tot persoonsgegevens, verwerkt die uitsluitend in opdracht van de verwerkingsverantwoordelijke, of krachtens de wet, het decreet, de ordonnantie, de Europese regelgeving of de internationale overeenkomst.
Afdeling 4 Verplichtingen
Artikel 55
§ 1
Elke verwerkingsverantwoordelijke en verwerker houdt een register bij van de categorieėn van verwerkingsactiviteiten die onder zijn verantwoordelijkheid worden verricht. Dat register bevat de volgende elementen:
- 1°
- de naam en de contactgegevens van de verwerkingsverantwoordelijke of de verwerker, en van zijn gedelegeerde of vertegenwoordiger;
- 2°
- de naam en de contactgegevens van de functionaris voor gegevensbescherming;
- 3°
- de verwerkingsdoeleinden;
- 4°
- de categorieėn van betrokkenen;
- 5°
- de categorieėn van persoonsgegevens;
- 6°
- de categorieėn van ontvangers;
- 7°
- de doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, met inbegrip van de vermelding van dat derde land of die internationale organisatie en, in voorkomend geval, de documenten getuigen van het bestaan van passende waarborgen;
- 8°
- de beoogde termijnen voor het wissen van de verschillende gegevenscategorieėn;
- 9°
- een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen bedoeld in artikel 50;
- 10°
- het gebruik van profilering;
- 11°
- de rechtsgrondslag;
- 12°
- de categorie van externe bronnen;
- 13°
- het protocol bedoeld in artikel 20 evenals het advies van de functionaris voor gegevensbescherming en de motivering bedoeld in artikel 22.
§ 2
De functionaris voor gegevensbescherming wordt betrokken bij de uitwerking en het bijhouden van het register.
§ 3
Het register wordt ter beschikking gesteld van de bevoegde toezichthoudende autoriteit.
Artikel 56
§ 1
De logbestanden van tenminste de volgende verwerkingen worden bijgehouden in systemen voor geautomatiseerde verwerking: de verzameling, wijziging, raadpleging, bekendmaking, met inbegrip van de doorgiften, de combinatie en de wissing.
De logbestanden van de raadpleging en de bekendmaking maken het mogelijk om het volgende te achterhalen:
- 1°
- de redenen, de datum en het tijdstip van die verwerkingen;
- 2°
- de categorieėn van personen die persoonsgegevens hebben geraadpleegd, en indien mogelijk, de identiteit van de persoon die persoonsgegevens heeft geraadpleegd;
- 3°
- de systemen die deze persoonsgegevens bekendgemaakt hebben;
- 4°
- en de categorieėn van de ontvangers van die persoonsgegevens ontvangen, en indien mogelijk, de identiteit van de ontvangers van die persoonsgegevens.
De Koning kan, bij een besluit vastgesteld na overleg in de Ministerraad en na advies van de bevoegde toezichthoudende autoriteit, andere soorten van verwerking bepalen waarvoor logbestanden moeten worden opgesteld.
§ 2
De logbestanden worden uitsluitend gebruikt om te controleren of de verwerking rechtmatig is, voor interne controles, ter waarborging van de integriteit en de beveiliging van de persoonsgegevens en voor doeleinden bedoeld in artikel 27.
§ 3
De verwerkingsverantwoordelijke en de verwerker stellen de logbestanden desgevraagd ter beschikking van de bevoegde toezichthoudende autoriteit.
Artikel 57
De verwerkingsverantwoordelijke en de verwerker werken op verzoek van de bevoegde toezichthoudende autoriteit met deze laatste samen bij het vervullen van haar opdrachten.
Artikel 58
Wanneer een soort verwerking, in het bijzonder een verwerking waarbij nieuwe technologieėn worden gebruikt, waarschijnlijk een hoog risico voor de rechten en vrijheden van natuurlijke personen oplevert, verricht de verwerkingsverantwoordelijke vóór de verwerking een beoordeling van het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens.
De in het eerste lid bedoelde beoordeling bevat ten minste een algemene beschrijving van de beoogde verwerkingen, een beoordeling van de risico's voor de rechten en vrijheden van de betrokkenen, de beoogde maatregelen ter beperking van de risico's, de voorzorgsmaatregelen, de beveiligingsmaatregelen en de mechanismen die zijn ingesteld om de persoonsgegevens te beschermen en aan te tonen dat aan deze titel is voldaan, met inachtneming van de rechten en legitieme belangen van de betrokkenen en de andere belanghebbenden.
Artikel 59
§ 1
De verwerkingsverantwoordelijke of zijn verwerker raadpleegt de bevoegde toezichthoudende autoriteit van de verwerkingsverantwoordelijke voordat de verwerking van persoonsgegevens in een nieuw bestand wordt opgenomen:
- 1°
- indien uit een gegevensbeschermingseffectbeoordeling als bedoeld in artikel 58 blijkt dat de verwerking een hoog risico zou opleveren indien de verwerkingsverantwoordelijke geen maatregelen neemt om het risico te beperken; of
- 2°
- indien de aard van de verwerking, in het bijzonder wanneer wordt gebruikgemaakt van nieuwe technologieėn, mechanismen of procedures, een hoog risico voor de rechten en vrijheden van de betrokkenen met zich meebrengt.
De bevoegde toezichthoudende autoriteit wordt geraadpleegd bij het opstellen van een wet, een decreet of een ordonnantie, of een daarop gebaseerde reglementaire maatregel in verband met de verwerking.
§ 2
De bevoegde toezichthoudende autoriteit kan een lijst opstellen van de verwerkingen waarvoor overeenkomstig paragraaf 1 een voorafgaande raadpleging moet plaatsvinden.
§ 3
De verwerkingsverantwoordelijke verstrekt de bevoegde toezichthoudende autoriteit de gegevensbeschermingseffectbeoordeling krachtens artikel 58 en, op verzoek, alle andere informatie op grond waarvan de bevoegde toezichthoudende autoriteit de conformiteit van de verwerking en met name de risico's voor de bescherming van de persoonsgegevens van de betrokkene en de betrokken waarborgen kan beoordelen.
§ 4
Wanneer de bevoegde toezichthoudende autoriteit van oordeel is dat de in paragraaf 1 bedoelde voorgenomen verwerking indruist tegen deze titel, met name wanneer de verwerkingsverantwoordelijke het risico onvoldoende heeft onderkend of beperkt, geeft ze binnen de zes weken na ontvangst van het verzoek om raadpleging een niet bindend schriftelijk advies aan de verwerkingsverantwoordelijke en in voorkomend geval aan de verwerker, en kan ze al haar bij de wet verleende bevoegdheden uitoefenen. Die termijn kan, naargelang de complexiteit van de voorgenomen verwerking, met een maand worden verlengd. De bevoegde toezichthoudende autoriteit stelt de verwerkingsverantwoordelijke en, in voorkomend geval, de verwerker binnen een maand na ontvangst van het verzoek om raadpleging in kennis van elke verlenging, alsook van de redenen voor de vertraging.
Artikel 60
§ 1
De verwerkingsverantwoordelijke en de verwerker nemen passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, met name met betrekking tot de verwerking van persoonsgegevens bedoeld in artikel 34 van deze wet en rekening houdend met de stand van de techniek, de uitvoeringskosten en de aard, de reikwijdte, de context en de doeleinden van de verwerking, alsmede met de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van natuurlijke personen, om een op het risico afgestemd beveiligingsniveau te waarborgen.
§ 2
Ten aanzien van de geautomatiseerde verwerking neemt de verwerkingsverantwoordelijke of de verwerker, na beoordeling van het risico, maatregelen om:
- 1°
- te verhinderen dat onbevoegden toegang krijgen tot de verwerkingsapparatuur;
- 2°
- te verhinderen dat onbevoegden de gegevensdragers kunnen lezen, kopiėren, wijzigen of verwijderen;
- 3°
- te verhinderen dat onbevoegden persoonsgegevens invoeren of opgeslagen persoonsgegevens inzien, wijzigen of verwijderen;
- 4°
- te verhinderen dat onbevoegden geautomatiseerde verwerkingssystemen gebruiken met behulp van datatransmissieapparatuur;
- 5°
- ervoor te zorgen dat personen die bevoegd zijn om een geautomatiseerd verwerkingssysteem te gebruiken, uitsluitend toegang hebben tot de persoonsgegevens waarop hun toegangsbevoegdheid betrekking heeft;
- 6°
- ervoor te zorgen dat kan worden nagegaan en vastgesteld aan welke organen persoonsgegevens zijn of kunnen worden doorgezonden of beschikbaar gesteld met behulp van datatransmissieapparatuur;
- 7°
- ervoor te zorgen dat later kan worden nagegaan en vastgesteld welke persoonsgegevens wanneer en door wie in geautomatiseerde verwerkingssystemen zijn ingevoerd;
- 8°
- te verhinderen dat onbevoegden persoonsgegevens kunnen lezen, kopiėren, wijzigen of verwijderen bij de doorgifte van persoonsgegevens of het vervoer van gegevensdragers;
- 9°
- ervoor te zorgen dat de geļnstalleerde systemen in geval van storing opnieuw kunnen worden ingezet;
- 10°
- ervoor te zorgen dat de functies van het systeem werken, dat eventuele functionele storingen worden gesignaleerd en dat de bewaarde persoonsgegevens niet kunnen worden beschadigd door het verkeerd functioneren van het systeem.
Artikel 61
§ 1
De verwerkingsverantwoordelijke meldt de inbreuk op de beveiliging zonder onnodige vertraging en indien mogelijk niet meer dan 72 uur nadat hij er kennis van heeft genomen aan de bevoegde toezichthoudende autoriteit. Die verplichte kennisgeving is niet van toepassing wanneer het waarschijnlijk is dat de inbreuk op de beveiliging geen risico voor de rechten en vrijheden van natuurlijke personen met zich brengt.
Wanneer de kennisgeving aan de bevoegde toezichthoudende autoriteit niet binnen 72 uur plaatsvindt, gaat ze vergezeld van een motivering voor de vertraging.
§ 2
De verwerker verwittigt de verwerkingsverantwoordelijke zonder onnodige vertraging en uiterlijk binnen 72 uur zodra hij kennis heeft genomen van een inbreuk op de beveiliging.
§ 3
In de in paragraaf 1 bedoelde melding wordt met name het volgende omschreven of meegedeeld:
- 1°
- de aard van de inbreuk op de beveiliging, met inbegrip van, indien mogelijk de categorieėn van betrokkenen en gegevensbestanden in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensbestanden in kwestie;
- 2°
- de naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;
- 3°
- de waarschijnlijke gevolgen van de inbreuk op de beveiliging;
- 4°
- de maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk op de beveiliging aan te pakken, met inbegrip, in voorkomend geval maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.
§ 4
Indien en voor zover het niet mogelijk is alle informatie gelijktijdig te verstrekken, kan de informatie zonder onnodige verdere vertraging in stappen worden verstrekt.
§ 5
Wanneer de inbreuk op de beveiliging betrekking heeft op persoonsgegevens die zijn doorgezonden door of aan de verwerkingsverantwoordelijke van een andere lidstaat van de Europese Unie, wordt de in paragraaf 3 bedoelde informatie zonder onnodige vertraging aan de verwerkingsverantwoordelijke van die lidstaat meegedeeld.
§ 6
De verwerkingsverantwoordelijke documenteert alle in paragraaf 1 bedoelde inbreuken op de beveiliging, met inbegrip van de feiten, de gevolgen ervan en de genomen corrigerende maatregelen. Die documentatie moet de bevoegde toezichthoudende autoriteit ertoe in staat stellen de naleving van dit artikel te controleren.
Artikel 62
§ 1
Wanneer de inbreuk op de beveiliging waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, deelt de verwerkingsverantwoordelijke de betrokkene de inbreuk op de beveiliging onverwijld mee.
§ 2
De in paragraaf 1 bedoelde mededeling aan de betrokkene bevat een omschrijving, van de aard van de inbreuk op de beveiliging en ten minste de in artikel 61, § 3, 2° tot 4°, bedoelde gegevens en maatregelen.
§ 3
De in paragraaf 1 bedoelde mededeling aan de betrokkene is niet vereist wanneer een van de volgende voorwaarden is vervuld:
- 1°
- de verwerkingsverantwoordelijke heeft passende technische en organisatorische beschermingsmaatregelen genomen en deze maatregelen zijn toegepast op de persoonsgegevens waarop de inbreuk op de beveiliging betrekking heeft, met name die welke de persoonsgegevens onbegrijpelijk maken voor onbevoegden, zoals versleuteling;
- 2°
- de verwerkingsverantwoordelijke heeft achteraf maatregelen genomen om ervoor te zorgen dat het in paragraaf 1 bedoelde hoge risico voor de rechten en vrijheden van betrokkenen zich waarschijnlijk niet meer zal voordoen;
- 3°
- de mededeling zou onevenredige inspanningen vergen.
In het geval bedoeld in het eerste lid, 3°, komt er daarvan een openbare mededeling of een soortgelijke maatregel waarbij de betrokkenen even doeltreffend worden geļnformeerd.
§ 4
Indien de verwerkingsverantwoordelijke de inbreuk op de beveiliging nog niet aan de betrokkene heeft gemeld, kan de bevoegde toezichthoudende autoriteit, na beraad over de kans dat de inbreuk op de beveiliging een hoog risico met zich meebrengt, de verwerkingsverantwoordelijke daartoe verplichten of besluiten dat aan een van de in paragraaf 3 bedoelde voorwaarden is voldaan.
§ 5
De in paragraaf 1 bedoelde mededeling aan de betrokkene kan worden uitgesteld, beperkt of achterwege worden gelaten onder de voorwaarden en om de redenen bedoeld in artikel 37, § 2.
Afdeling 5 Functionaris voor gegevensbescherming
Artikel 63
De verwerkingsverantwoordelijke wijst een of meerdere functionarissen voor gegevensbescherming aan.
De functionaris voor gegevensbescherming wordt aangewezen op grond van zijn professionele kwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming en zijn vermogen de in artikel 65 bedoelde taken te vervullen.
Het is mogelijk om voor verschillende bevoegde overheden of verwerkingsverantwoordelijken, rekening houdend met hun organisatiestructuur en omvang, één functionaris voor gegevensbescherming aan te wijzen.
De verwerkingsverantwoordelijke maakt de contactgegevens van de functionaris voor gegevensbescherming openbaar en deelt die mee aan de bevoegde toezichthoudende autoriteit.
De nadere regels voor de werking, de aanwijzing en vereiste competenties worden door de Koning bepaald.
Artikel 64
De verwerkingsverantwoordelijke ziet erop toe dat de functionaris voor gegevensbescherming tijdig en naar behoren bij alle aangelegenheden die met de bescherming van persoonsgegevens verband houden, wordt betrokken.
De verwerkingsverantwoordelijke stelt de functionaris voor gegevensbescherming de benodigde middelen ter beschikking voor het vervullen van die opdrachten en verschaft hem toegang tot de persoonsgegevens en de verwerkingen, en biedt hem de mogelijkheid zijn deskundigheid op peil te houden.
De verwerkingsverantwoordelijke ziet erop toe dat de functionaris voor gegevensbescherming geen instructies ontvangt met betrekking tot de uitvoering van die taken. De functionaris voor gegevensbescherming brengt rechtstreeks verslag uit aan de hoogste leidinggevende van de verwerkingsverantwoordelijke.
Behalve bij toepassing van de artikelen 41 en 44 kunnen de betrokkenen met de functionaris voor gegevensbescherming contact opnemen over alle aangelegenheden die verband houden met de verwerking van hun gegevens en met de uitoefening van hun rechten.
De functionaris voor gegevensbescherming is met betrekking tot de uitvoering van zijn opdrachten tot geheimhouding of vertrouwelijkheid gehouden.
De functionaris voor gegevensbescherming kan andere taken en plichten vervullen. De verwerkingsverantwoordelijke zorgt ervoor dat deze taken of plichten niet tot een belangenconflict leiden.
Artikel 65
De functionaris voor gegevensbescherming vervult in het bijzonder de volgende opdrachten:
- 1°
- de verwerkingsverantwoordelijke en de werknemers die de verwerking verrichten informeren en adviseren over hun verplichtingen met betrekking tot de bescherming van persoonsgegevens;
- 2°
- toezien op de naleving van de regelgeving en de interne regels van de verwerkingsverantwoordelijke met betrekking tot de bescherming van persoonsgegevens, met inbegrip van de toewijzing van verantwoordelijkheden, de bewustmaking en de opleiding van het bij de verwerking betrokken personeel en de betreffende audits;
- 3°
- desgevraagd advies verstrekken met betrekking tot de gegevensbeschermingseffectbeoordeling en toezien op de uitvoering daarvan in overeenstemming met artikel 58;
- 4°
- met de bevoegde toezichthoudende autoriteit samenwerken;
- 5°
- optreden als contactpunt voor de bevoegde toezichthoudende autoriteit inzake met de verwerking verband houdende aangelegenheden, met inbegrip van de in artikel 59 bedoelde voorafgaande raadpleging, en, in voorkomend geval, overleg plegen over enige andere aangelegenheid.
