30/07/18 GDPR-wet
Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens
Hoofdstuk VII Verplichtingen van de verwerkingsverantwoordelijke en de verwerker
Afdeling 1 Algemene verplichtingen
Artikel 83
De verwerkingsverantwoordelijke:
- 1°
- waakt er nauwlettend over dat de persoonsgegevens worden bijgewerkt, dat de onjuiste, onvolledige en niet terzake dienende gegevens, alsmede die welke zijn verkregen of verder verwerkt in strijd met deze ondertitel, worden verbeterd of verwijderd;
- 2°
- zorgt ervoor dat voor de personen die onder zijn gezag handelen, de toegang tot de persoonsgegevens en de verwerkingsmogelijkheden, beperkt blijven tot wat nuttig is voor de uitoefening van hun opdrachten of voor de behoeften van de dienst;
- 3°
- informeert alle personen die onder zijn gezag handelen over de bepalingen van deze ondertitel en over alle relevante voorschriften inzake de bescherming van de persoonlijke levenssfeer betreffende de verwerking van persoonsgegevens.
Artikel 84
Indien de verwerking wordt toevertrouwd aan een verwerker, moet de verwerkingsverantwoordelijke:
- 1°
- een verwerker kiezen die voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de verwerkingen;
- 2°
- toezien op de naleving van die maatregelen, met name door ze vast te leggen in contractuele bepalingen;
- 3°
- de verantwoordelijkheid van de verwerker vaststellen in de overeenkomst;
- 4°
- met de verwerker overeenkomen dat deze laatste slechts handelt in opdracht van de verwerkingsverantwoordelijke en dat hij is gebonden door dezelfde verplichtingen als deze waartoe de verwerkingsverantwoordelijke in toepassing van deze ondertitel is gehouden;
- 5°
- in een geschrift of op een elektronische drager de elementen van de overeenkomst met betrekking tot de bescherming van de persoonsgegevens en de eisen met betrekking tot de maatregelen bedoeld in de bepalingen onder 3° en 4°, vaststellen.
Artikel 85
De verwerker is gebonden door dezelfde verplichtingen als deze waartoe de verwerkingsverantwoordelijke is gehouden.
De verwerker mag de verwerking van persoonsgegevens niet toevertrouwen aan een andere verwerker, behoudens uitdrukkelijke toestemming van de verwerkingsverantwoordelijke.
Artikel 86
Eenieder die handelt onder het gezag van de verwerkingsverantwoordelijke of van de verwerker, alsmede de verwerker zelf, die toegang heeft tot persoonsgegevens, mag deze slechts in opdracht van de verwerkingsverantwoordelijke verwerken, behoudens op grond van een verplichting door of krachtens een wet.
Afdeling 2 Gezamenlijke verwerkingsverantwoordelijken
Artikel 87
Wanneer twee of meer verwerkingsverantwoordelijken gezamenlijk de doeleinden en middelen van de verwerking bepalen, zijn zij gezamenlijke verwerkingsverantwoordelijken.
Een overeenkomst bepaalt de respectievelijke verantwoordelijkheden van de gezamenlijke verwerkingsverantwoordelijken, met name met betrekking tot de uitoefening van de rechten van de betrokkene en de mededeling van persoonsgegevens, tenzij hun respectievelijke verplichtingen worden bepaald door of krachtens een wet.
In de overeenkomst wordt één contactpunt voor de betrokkenen aangewezen. De gezamenlijke verwerkingsverantwoordelijken nemen dit contactpunt op in het register bedoeld in artikel 90.
Afdeling 3 Beveiliging van persoonsgegevens
Artikel 88
De verwerkingsverantwoordelijke, alsmede de verwerker, treffen de passende technische en organisatorische maatregelen die nodig zijn voor de bescherming van de persoonsgegevens tegen toevallige of ongeoorloofde vernietiging, tegen toevallig verlies, evenals tegen de wijziging van of de toegang tot, en iedere andere niet toegelaten verwerking van persoonsgegevens.
Deze maatregelen verzekeren een passend beveiligingsniveau, rekening houdend, enerzijds, met de stand van de techniek terzake en de kosten voor het toepassen van de maatregelen en, anderzijds, met de aard van de te beveiligen persoonsgegevens en de potentiële risico's.
Artikel 89
§ 1
Indien een inbreuk op de beveiliging een hoog risico voor de rechten en vrijheden van natuurlijke personen inhoudt, meldt de verwerkingsverantwoordelijke deze inbreuk binnen de kortste termijn aan het Vast Comité I en indien mogelijk, 72 uur nadat hij er kennis van heeft genomen.
§ 2
De verwerker verwittigt de verwerkingsverantwoordelijke binnen de kortste termijn van elke inbreuk op de beveiliging.
§ 3
In de in paragrafen 1 en 2 bedoelde melding wordt, op zijn minst, het volgende omschreven of meegedeeld:
- 1°
- de aard van de inbreuk op de beveiliging en indien mogelijk, bij benadering, het aantal betrokkenen en de opgeslagen persoonsgegevens in kwestie;
- 2°
- de naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt bij wie bijkomende informatie kan worden verkregen;
- 3°
- de waarschijnlijke gevolgen van de inbreuk op de beveiliging;
- 4°
- de maatregelen die de verwerkingsverantwoordelijke, of de verwerker heeft genomen of voorgesteld om de inbreuk op de beveiliging aan te pakken, waaronder desgevallend maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.
Afdeling 4 Registers
Artikel 90
§ 1
De verwerkingsverantwoordelijke houdt een register bij, geclassificeerd in de zin van de wet van 11 december 1998, van de gegevensbanken van de inlichtingen- en veiligheidsdiensten en deze die aan hem ter beschikking worden gesteld.
Dit register bevat de volgende gegevens:
- 1°
- voor de gegevensbanken van de inlichtingen- en veiligheidsdiensten:
- a)
- de contactgegevens van de verwerkingsverantwoordelijke en, desgevallend, van de gezamenlijke verwerkingsverantwoordelijken, en van de functionaris voor gegevensbescherming;
- b)
- de verwerkingsdoeleinden;
- c)
- de categorieën van ontvangers waaraan persoonsgegevens meegedeeld kunnen worden;
- d)
- indien mogelijk, de beoogde termijnen voor het verwijderen van de persoonsgegevens;
- e)
- indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen bedoeld in artikel 88;
- 2°
- voor gegevensbanken die aan de inlichtingen- en veiligheidsdiensten ter beschikking gesteld worden:
- a)
- de contactgegevens van de verwerkingsverantwoordelijke en, indien mogelijk voor de landen buiten de Europese Unie de dienst die de gegevensbank beheert en, desgevallend, van de gezamenlijke verwerkingsverantwoordelijken, en van de functionaris voor gegevensbescherming;
- b)
- de verwerkingsdoeleinden van de inlichtingen- en veiligheidsdiensten.
§ 2
Elke verwerker houdt een register bij, geclassificeerd in de zin van de wet van 11 december 1998, van alle categorieën van verwerkingsactiviteiten die zij ten behoeve van een verwerkingsverantwoordelijke hebben verricht.
Dit register bevat de volgende elementen:
- 1°
- de contactgegevens van de verwerker en van de verwerkingsverantwoordelijke voor rekening waarvan de verwerker handelt, en, desgevallend, van de functionaris voor gegevensbescherming;
- 2°
- de categorieën van verwerkingen die voor rekening van de verwerkingsverantwoordelijke zijn uitgevoerd;
- 3°
- indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen bedoeld in artikel 88.
§ 3
De in de paragrafen 1 en 2 bedoelde registers worden in schriftelijke vorm, met inbegrip van elektronische vorm, opgesteld.
§ 4
De verwerkingsverantwoordelijke stelt het register ter beschikking van het Vast Comité I op diens vraag.
De verwerker stelt het register ter beschikking van de verwerkingsverantwoordelijke en stelt het eveneens ter beschikking van het Vast Comité I op diens vraag.
Afdeling 5 Functionaris voor gegevensbescherming
Artikel 91
§ 1
De verwerkingsverantwoordelijke, en desgevallend de verwerker, wijzen een functionaris voor gegevensbescherming aan. Deze beslissing wordt meegedeeld aan het Vast Comité I.
De functionaris voor gegevensbescherming is titularis van een veiligheidsmachtiging “zeer geheim”, in de zin van de wet van 11 december 1998.
§ 2
De functionaris voor gegevensbescherming kan niet gestraft worden voor het uitoefenen van zijn functie. Hij kan evenmin van zijn functie ontheven worden omwille van de uitvoering van zijn opdrachten, behalve indien hij een zware fout heeft begaan of de voorwaarden noodzakelijk voor het uitoefenen van zijn functie niet langer vervult.
De functionaris voor gegevensbescherming kan zich tot het Vast Comité I wenden om deze beslissing aan te vechten.
§ 3
Hij is, op een onafhankelijke wijze, belast met:
- 1°
- het toezien op de naleving van deze ondertitel bij elke verwerking van persoonsgegevens;
- 2°
- het adviseren over alle nuttige maatregelen teneinde de veiligheid van de opgeslagen gegevens te verzekeren;
- 3°
- het informeren en adviseren van de verwerkingsverantwoordelijke, en desgevallend de verwerker, het diensthoofd en de personeelsleden van de betrokken dienst die de verwerking verrichten over hun verplichtingen op grond van deze ondertitel;
- 4°
- het verstrekken van adviezen of aanbevelingen aan de verwerkingsverantwoordelijke, en desgevallend aan de verwerker of het diensthoofd;
- 5°
- het uitvoeren van andere opdrachten die hem door de verwerkingsverantwoordelijke, en in voorkomend geval de verwerker of het diensthoofd toevertrouwd zijn.
De functionaris voor gegevensbescherming is de contactpersoon voor het Vast Comité I met betrekking tot de toepassing van deze ondertitel.
§ 4
De verwerkingsverantwoordelijke en, desgevallend, de verwerker zien erop toe dat hun functionaris voor gegevensbescherming tijdig en naar behoren wordt betrokken bij alle aangelegenheden die met de bescherming van persoonsgegevens verband houden.
De verwerkingsverantwoordelijke, en desgevallend, de verwerker zien erop toe dat de functionaris voor gegevensbescherming de benodigde middelen ter beschikking heeft voor het vervullen van zijn opdrachten.
De functionaris voor gegevensbescherming kan worden bijgestaan door één of meerdere adjuncten.
§ 5
Desgevallend kunnen nadere regels voor de werking, de aanwijzing en de vereiste bevoegdheden door de Koning worden bepaald.
