Zoeken

Wanneer de GBA op bezoek komt…

Bijgewerkt: 9 jul 2019

Enkele dagen geleden kondigde David Stevens (voor wie het echt nog niet zou weten: de nieuwe voorzitter van de GBA) aan dat organisaties die persoonsgegevens verwerken zich best dringend in regel stellen met de geldende AVG wetgeving.

Maar wat doe je best wanneer de GBA bij je komt aankloppen?

We hoorden de laatste maanden ronduit onverstandige uitspraken van bedrijfsleiders in de zin van “dat zal toch allemaal niet zo’n vaart lopen” of “we zien wel als het zo ver komt”. Net voor die mensen is dit artikel bedoeld. Een verwittigd man is er twee waard…


Voorafgaand

De GBA kan om heel diverse redenen een onderzoek starten. Vaak zal dit naar aanleiding van een klacht of een verzoek gebeuren. Dit hoeft niet steeds van een betrokkene of een belanghebbende te zijn.

Nadat de klacht op haar ontvankelijkheid werd gecontroleerd zal deze worden doorgegeven aan de geschillenkamer. Daar kan men beslissen om over te gaan tot bemiddeling. Maar men kan evengoed een onderzoek uit eigen beweging opstarten (in dat geval worden de inspectiediensten meteen ingeschakeld).



Knock – knock (of triiiing – triiiing)

Wanneer inspecteurs bij je komen aankloppen, kan je hen vragen zich te identificeren, zodat je kan controleren of zij überhaupt wel bevoegd zijn om op te treden. Je kan hen vragen naar een machtiging van de onderzoeksrechter, als die nodig zou blijken.

De allereerste stap is de Data Protection Officer (of – bij gebrek aan een DPO – de verantwoordelijke voor de gegevensverwerking) op de hoogte brengen van de controle. Hij / zij zal het voortouw nemen tijdens het onderzoek.

Je kan er eveneens voor kiezen een advocaat in te schakelen die gespecialiseerd is in GDPR en informatieveiligheid. Die advocaat kan en mag aanwezig zijn tijdens het onderzoek.

Je kan gerust aan de inspecteurs vragen om te wachten op de komst van een advocaat of de DPO. Zij zijn hiertoe echter niet verplicht. Een tas koffie kan wonderen doen…

Je doet er ook best aan de CEO of de zaakvoerder op de hoogte te brengen en eventueel leden van de Raad van Bestuur te informeren. In elk geval is het van belang om de betrokken personen te waarschuwen en ervoor te zorgen dat ze beschikbaar zijn.

Indien er nog geen plan (Business Incident Policy) werd uitgewerkt (in de zin van “hoe pakken we een controle aan?”), overleg dan zo snel mogelijk met de DPO (of de verantwoordelijke voor de gegevensverwerking) en de advocaat. Bepaal samen met hen wie welke vragen beantwoordt en wat de strategie is.

Willen de inspecteurs toegang krijgen tot systemen of zaken willen kopiëren / verzegelen, betrek dan zeker de CIO of het hoofd van IT (die voldoende de systemen en infrastructuur kent). Je kan bij de inspecteurs steeds polsen naar de reden(en) van het onderzoek, naar wat zij (al dan niet precies) op zoek zijn of welke stappen / acties zij willen ondernemen.


Tijdens het onderzoek

Tijdens het onderzoek doe je er best aan dat minstens twee personen van je organisatie het onderzoek op de voet volgen. Kopieer wat (door de inspecteurs) gekopieerd wordt en inventariseer wat ze bekeken / onderzocht hebben.


Vergeet zeker niet dat er van je verwacht wordt om mee te werken aan het onderzoek. Enkel wanneer je als verwerker werkt voor een verwerkingsverantwoordelijke, kan je een beroep doen op de contractuele zwijgplicht en geheimhoudingsplicht indien het onderzoek gaat over verwerkingen van je klant.


De inspectiediensten mogen volgende handelingen stellen:

· Identificatie van personen

· Verhoor

· Schriftelijke bevraging

· Onderzoek ter plaatse

· Raadpleging en kopie van gegevens van informaticasystemen

· Inbeslagneming en verzegeling

· Voorlopige maatregelen

· Georganiseerd bestuurlijk beroep

Laat bij eventuele conflicten een gerechtsdeurwaarder authentieke vaststellingen doen.



Na het onderzoek

Organiseer na het onderzoek een meeting en een follow-up plan.

Uit het onderzoek kan je elementen halen die je kunnen helpen bij een eventueel volgend onderzoek.



En verder?

Na de behandeling zal de geschillenkamer beslissen wat er met het dossier gebeurt / dient te gebeuren.

De geschillenkamer heeft een waaier aan mogelijkheden:

· de buitenvervolgingstelling

· opschorting van de uitspraak

· de verwerking tijdelijk of definitief bevriezen, beperken of verbieden

· de verwerking moet in overeenstemming worden gebracht

· rechtzetting, beperking of verwijdering van gegevens en kennisgeving hiervanaan de ontvangers van de gegevens

· intrekking van de erkenning van de certificatie-instellingen

· dwangsom

· administratieve geldboete en

· opschorting van grensoverschrijdende gegevensstromen naar een andere staat of internationale instelling


Nawoord

Steeds meer burgers vinden de weg naar de GBA, kennen hun rechten als betrokkenen en gaan over tot het indien van een klacht. Hierdoor zullen de inspectiediensten steeds vaker optreden, waardoor het bewustzijn bij heel wat organisaties ongetwijfeld zal toenemen. En dat willen we toch allemaal, want privacy is immers een mensenrecht…


DPAAS

Lexit heeft gespecialiseerde juristen en advocaten aan boord die bedrijven kunnen bijstaan bij eventuele controles.

Onze DPAAS (Data Protection as a Service) is een abonnementsformule waarbij organisaties voor enkele honderden euro’s per jaar een beroep kunnen doen op onze specialisten voor onder meer volgende diensten:

· nazicht van het huidige GDPR dossier en adviesverlening m.b.t. compliancy

· opstellen van een Business Incident Policy (hoe gaan we te werk bij een onderzoek / controle)

· 24/7 hulp bij bemiddeling met de GBA

· 24/7 hulp bij controle door de inspectiediensten van de GBA

· Opvolging van het onderzoek en aanbevelingen

· Follow-up plan na het onderzoek


Preventie is aan de orde en voorkomt onderzoeken. Een correcte, stipte en vriendelijke communicatie met betrokken (bijvoorbeeld bij verzoeken in het kader van art. 15 AVG) is van uiterst belang. Onze DPAAS omvat bijgevolg ook het behandelen van verzoeken van betrokkenen.


Meer info nodig? Contacteer ons gerust via info@lexit.com of bel ons op 0800-62 608.


Volg ons op https://www.linkedin.com/company/gdpr-masters/?viewAsMember=true 👍


Leonardo da Vincilaan 19A bus 8

1831 Diegem

Korte Gotevlietstraat 9

8000 Brugge

0800 - 62 608

info@lexit.be

  • White LinkedIn Icon
Contacteer ons