30/07/18 GDPR-wet
Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens
Afdeling 4 Verplichtingen
Artikel 55
§ 1
Elke verwerkingsverantwoordelijke en verwerker houdt een register bij van de categorieėn van verwerkingsactiviteiten die onder zijn verantwoordelijkheid worden verricht. Dat register bevat de volgende elementen:
- 1°
- de naam en de contactgegevens van de verwerkingsverantwoordelijke of de verwerker, en van zijn gedelegeerde of vertegenwoordiger;
- 2°
- de naam en de contactgegevens van de functionaris voor gegevensbescherming;
- 3°
- de verwerkingsdoeleinden;
- 4°
- de categorieėn van betrokkenen;
- 5°
- de categorieėn van persoonsgegevens;
- 6°
- de categorieėn van ontvangers;
- 7°
- de doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, met inbegrip van de vermelding van dat derde land of die internationale organisatie en, in voorkomend geval, de documenten getuigen van het bestaan van passende waarborgen;
- 8°
- de beoogde termijnen voor het wissen van de verschillende gegevenscategorieėn;
- 9°
- een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen bedoeld in artikel 50;
- 10°
- het gebruik van profilering;
- 11°
- de rechtsgrondslag;
- 12°
- de categorie van externe bronnen;
- 13°
- het protocol bedoeld in artikel 20 evenals het advies van de functionaris voor gegevensbescherming en de motivering bedoeld in artikel 22.
§ 2
De functionaris voor gegevensbescherming wordt betrokken bij de uitwerking en het bijhouden van het register.
§ 3
Het register wordt ter beschikking gesteld van de bevoegde toezichthoudende autoriteit.
Artikel 56
§ 1
De logbestanden van tenminste de volgende verwerkingen worden bijgehouden in systemen voor geautomatiseerde verwerking: de verzameling, wijziging, raadpleging, bekendmaking, met inbegrip van de doorgiften, de combinatie en de wissing.
De logbestanden van de raadpleging en de bekendmaking maken het mogelijk om het volgende te achterhalen:
- 1°
- de redenen, de datum en het tijdstip van die verwerkingen;
- 2°
- de categorieėn van personen die persoonsgegevens hebben geraadpleegd, en indien mogelijk, de identiteit van de persoon die persoonsgegevens heeft geraadpleegd;
- 3°
- de systemen die deze persoonsgegevens bekendgemaakt hebben;
- 4°
- en de categorieėn van de ontvangers van die persoonsgegevens ontvangen, en indien mogelijk, de identiteit van de ontvangers van die persoonsgegevens.
De Koning kan, bij een besluit vastgesteld na overleg in de Ministerraad en na advies van de bevoegde toezichthoudende autoriteit, andere soorten van verwerking bepalen waarvoor logbestanden moeten worden opgesteld.
§ 2
De logbestanden worden uitsluitend gebruikt om te controleren of de verwerking rechtmatig is, voor interne controles, ter waarborging van de integriteit en de beveiliging van de persoonsgegevens en voor doeleinden bedoeld in artikel 27.
§ 3
De verwerkingsverantwoordelijke en de verwerker stellen de logbestanden desgevraagd ter beschikking van de bevoegde toezichthoudende autoriteit.
Artikel 57
De verwerkingsverantwoordelijke en de verwerker werken op verzoek van de bevoegde toezichthoudende autoriteit met deze laatste samen bij het vervullen van haar opdrachten.
Artikel 58
Wanneer een soort verwerking, in het bijzonder een verwerking waarbij nieuwe technologieėn worden gebruikt, waarschijnlijk een hoog risico voor de rechten en vrijheden van natuurlijke personen oplevert, verricht de verwerkingsverantwoordelijke vóór de verwerking een beoordeling van het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens.
De in het eerste lid bedoelde beoordeling bevat ten minste een algemene beschrijving van de beoogde verwerkingen, een beoordeling van de risico's voor de rechten en vrijheden van de betrokkenen, de beoogde maatregelen ter beperking van de risico's, de voorzorgsmaatregelen, de beveiligingsmaatregelen en de mechanismen die zijn ingesteld om de persoonsgegevens te beschermen en aan te tonen dat aan deze titel is voldaan, met inachtneming van de rechten en legitieme belangen van de betrokkenen en de andere belanghebbenden.
Artikel 59
§ 1
De verwerkingsverantwoordelijke of zijn verwerker raadpleegt de bevoegde toezichthoudende autoriteit van de verwerkingsverantwoordelijke voordat de verwerking van persoonsgegevens in een nieuw bestand wordt opgenomen:
- 1°
- indien uit een gegevensbeschermingseffectbeoordeling als bedoeld in artikel 58 blijkt dat de verwerking een hoog risico zou opleveren indien de verwerkingsverantwoordelijke geen maatregelen neemt om het risico te beperken; of
- 2°
- indien de aard van de verwerking, in het bijzonder wanneer wordt gebruikgemaakt van nieuwe technologieėn, mechanismen of procedures, een hoog risico voor de rechten en vrijheden van de betrokkenen met zich meebrengt.
De bevoegde toezichthoudende autoriteit wordt geraadpleegd bij het opstellen van een wet, een decreet of een ordonnantie, of een daarop gebaseerde reglementaire maatregel in verband met de verwerking.
§ 2
De bevoegde toezichthoudende autoriteit kan een lijst opstellen van de verwerkingen waarvoor overeenkomstig paragraaf 1 een voorafgaande raadpleging moet plaatsvinden.
§ 3
De verwerkingsverantwoordelijke verstrekt de bevoegde toezichthoudende autoriteit de gegevensbeschermingseffectbeoordeling krachtens artikel 58 en, op verzoek, alle andere informatie op grond waarvan de bevoegde toezichthoudende autoriteit de conformiteit van de verwerking en met name de risico's voor de bescherming van de persoonsgegevens van de betrokkene en de betrokken waarborgen kan beoordelen.
§ 4
Wanneer de bevoegde toezichthoudende autoriteit van oordeel is dat de in paragraaf 1 bedoelde voorgenomen verwerking indruist tegen deze titel, met name wanneer de verwerkingsverantwoordelijke het risico onvoldoende heeft onderkend of beperkt, geeft ze binnen de zes weken na ontvangst van het verzoek om raadpleging een niet bindend schriftelijk advies aan de verwerkingsverantwoordelijke en in voorkomend geval aan de verwerker, en kan ze al haar bij de wet verleende bevoegdheden uitoefenen. Die termijn kan, naargelang de complexiteit van de voorgenomen verwerking, met een maand worden verlengd. De bevoegde toezichthoudende autoriteit stelt de verwerkingsverantwoordelijke en, in voorkomend geval, de verwerker binnen een maand na ontvangst van het verzoek om raadpleging in kennis van elke verlenging, alsook van de redenen voor de vertraging.
Artikel 60
§ 1
De verwerkingsverantwoordelijke en de verwerker nemen passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, met name met betrekking tot de verwerking van persoonsgegevens bedoeld in artikel 34 van deze wet en rekening houdend met de stand van de techniek, de uitvoeringskosten en de aard, de reikwijdte, de context en de doeleinden van de verwerking, alsmede met de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van natuurlijke personen, om een op het risico afgestemd beveiligingsniveau te waarborgen.
§ 2
Ten aanzien van de geautomatiseerde verwerking neemt de verwerkingsverantwoordelijke of de verwerker, na beoordeling van het risico, maatregelen om:
- 1°
- te verhinderen dat onbevoegden toegang krijgen tot de verwerkingsapparatuur;
- 2°
- te verhinderen dat onbevoegden de gegevensdragers kunnen lezen, kopiėren, wijzigen of verwijderen;
- 3°
- te verhinderen dat onbevoegden persoonsgegevens invoeren of opgeslagen persoonsgegevens inzien, wijzigen of verwijderen;
- 4°
- te verhinderen dat onbevoegden geautomatiseerde verwerkingssystemen gebruiken met behulp van datatransmissieapparatuur;
- 5°
- ervoor te zorgen dat personen die bevoegd zijn om een geautomatiseerd verwerkingssysteem te gebruiken, uitsluitend toegang hebben tot de persoonsgegevens waarop hun toegangsbevoegdheid betrekking heeft;
- 6°
- ervoor te zorgen dat kan worden nagegaan en vastgesteld aan welke organen persoonsgegevens zijn of kunnen worden doorgezonden of beschikbaar gesteld met behulp van datatransmissieapparatuur;
- 7°
- ervoor te zorgen dat later kan worden nagegaan en vastgesteld welke persoonsgegevens wanneer en door wie in geautomatiseerde verwerkingssystemen zijn ingevoerd;
- 8°
- te verhinderen dat onbevoegden persoonsgegevens kunnen lezen, kopiėren, wijzigen of verwijderen bij de doorgifte van persoonsgegevens of het vervoer van gegevensdragers;
- 9°
- ervoor te zorgen dat de geļnstalleerde systemen in geval van storing opnieuw kunnen worden ingezet;
- 10°
- ervoor te zorgen dat de functies van het systeem werken, dat eventuele functionele storingen worden gesignaleerd en dat de bewaarde persoonsgegevens niet kunnen worden beschadigd door het verkeerd functioneren van het systeem.
Artikel 61
§ 1
De verwerkingsverantwoordelijke meldt de inbreuk op de beveiliging zonder onnodige vertraging en indien mogelijk niet meer dan 72 uur nadat hij er kennis van heeft genomen aan de bevoegde toezichthoudende autoriteit. Die verplichte kennisgeving is niet van toepassing wanneer het waarschijnlijk is dat de inbreuk op de beveiliging geen risico voor de rechten en vrijheden van natuurlijke personen met zich brengt.
Wanneer de kennisgeving aan de bevoegde toezichthoudende autoriteit niet binnen 72 uur plaatsvindt, gaat ze vergezeld van een motivering voor de vertraging.
§ 2
De verwerker verwittigt de verwerkingsverantwoordelijke zonder onnodige vertraging en uiterlijk binnen 72 uur zodra hij kennis heeft genomen van een inbreuk op de beveiliging.
§ 3
In de in paragraaf 1 bedoelde melding wordt met name het volgende omschreven of meegedeeld:
- 1°
- de aard van de inbreuk op de beveiliging, met inbegrip van, indien mogelijk de categorieėn van betrokkenen en gegevensbestanden in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensbestanden in kwestie;
- 2°
- de naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;
- 3°
- de waarschijnlijke gevolgen van de inbreuk op de beveiliging;
- 4°
- de maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk op de beveiliging aan te pakken, met inbegrip, in voorkomend geval maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.
§ 4
Indien en voor zover het niet mogelijk is alle informatie gelijktijdig te verstrekken, kan de informatie zonder onnodige verdere vertraging in stappen worden verstrekt.
§ 5
Wanneer de inbreuk op de beveiliging betrekking heeft op persoonsgegevens die zijn doorgezonden door of aan de verwerkingsverantwoordelijke van een andere lidstaat van de Europese Unie, wordt de in paragraaf 3 bedoelde informatie zonder onnodige vertraging aan de verwerkingsverantwoordelijke van die lidstaat meegedeeld.
§ 6
De verwerkingsverantwoordelijke documenteert alle in paragraaf 1 bedoelde inbreuken op de beveiliging, met inbegrip van de feiten, de gevolgen ervan en de genomen corrigerende maatregelen. Die documentatie moet de bevoegde toezichthoudende autoriteit ertoe in staat stellen de naleving van dit artikel te controleren.
Artikel 62
§ 1
Wanneer de inbreuk op de beveiliging waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, deelt de verwerkingsverantwoordelijke de betrokkene de inbreuk op de beveiliging onverwijld mee.
§ 2
De in paragraaf 1 bedoelde mededeling aan de betrokkene bevat een omschrijving, van de aard van de inbreuk op de beveiliging en ten minste de in artikel 61, § 3, 2° tot 4°, bedoelde gegevens en maatregelen.
§ 3
De in paragraaf 1 bedoelde mededeling aan de betrokkene is niet vereist wanneer een van de volgende voorwaarden is vervuld:
- 1°
- de verwerkingsverantwoordelijke heeft passende technische en organisatorische beschermingsmaatregelen genomen en deze maatregelen zijn toegepast op de persoonsgegevens waarop de inbreuk op de beveiliging betrekking heeft, met name die welke de persoonsgegevens onbegrijpelijk maken voor onbevoegden, zoals versleuteling;
- 2°
- de verwerkingsverantwoordelijke heeft achteraf maatregelen genomen om ervoor te zorgen dat het in paragraaf 1 bedoelde hoge risico voor de rechten en vrijheden van betrokkenen zich waarschijnlijk niet meer zal voordoen;
- 3°
- de mededeling zou onevenredige inspanningen vergen.
In het geval bedoeld in het eerste lid, 3°, komt er daarvan een openbare mededeling of een soortgelijke maatregel waarbij de betrokkenen even doeltreffend worden geļnformeerd.
§ 4
Indien de verwerkingsverantwoordelijke de inbreuk op de beveiliging nog niet aan de betrokkene heeft gemeld, kan de bevoegde toezichthoudende autoriteit, na beraad over de kans dat de inbreuk op de beveiliging een hoog risico met zich meebrengt, de verwerkingsverantwoordelijke daartoe verplichten of besluiten dat aan een van de in paragraaf 3 bedoelde voorwaarden is voldaan.
§ 5
De in paragraaf 1 bedoelde mededeling aan de betrokkene kan worden uitgesteld, beperkt of achterwege worden gelaten onder de voorwaarden en om de redenen bedoeld in artikel 37, § 2.
