Sinds mei 2018 regelt de Algemene Verordening Gegevensbescherming (AVG of GDPR) de verwerking van persoonsgegevens. De AVG verplicht sommige organisaties om een functionaris voor gegevensbescherming -beter bekend als Data Protection Officer (DPO)- aan te stellen. Hij speelt een sleutelrol in het gegevensbeschermingsbeleid van zijn organisatie. Sinds 1 februari is Seppe Vansteelant de DPO van Digitaal Vlaanderen. Hij is ook teamcoach van het Bureau voor Gegevensbescherming, het expertisecentrum van Digitaal Vlaanderen waar Vlaamse entiteiten terecht kunnen voor ondersteuning op het vlak van de verwerking van persoonsgegevens. We spraken met hem over het belang van gegevensbescherming.
Waarom is gegevensbescherming zo’n hot topic? Ik heb toch niks te verbergen.
“Mensen zeggen dat vaak. Ze vinden privacy niet belangrijk. Ze hebben niks te verbergen. Maar niemand wil natuurlijk dat anderen hun Whatsapp-berichten kunnen lezen of dat iedereen zijn bankgegevens kan inkijken. Jij ook niet (lacht). Dus privacy en gegevensbescherming is iets wat iedereen aanbelangt. Al is de ene persoon er wel meer mee bezig dan de andere.”
Is gegevensbescherming hetzelfde als privacy?
“Gegevensbescherming en privacy hebben met elkaar te maken, maar zijn niet helemaal hetzelfde. Privacy staat in onze grondwet. Iedereen heeft recht een privéleven, op het recht om met rust te worden gelaten. Je mag niet continu gevolgd worden, er is briefgeheim. Gegevensbescherming gaat enkel over het beschermen en correct verwerken van gegevens over mensen, persoonsgegevens dus.“
Kan je eens uitleggen wat persoonsgegevens precies zijn?
“Een persoonsgegeven is alle informatie die te linken is aan een persoon. Het gaat om gegevens zoals iemands naam, adres, woonplaats, telefoonnummer en geboortedatum. Maar ook bijvoorbeeld klantnummers, salarisstrookjes, foto’s, zakelijke telefoonnummers, vingerafdrukken, dna”
De Algemene Verordening Gegevensbescherming (AVG of GDPR) regelt de verwerking van persoonsgegevens. Kan je eens wat meer uitleg geven over de AVG?
“Het gaat om een Europese verordening. Dat betekent dat ze rechtstreeks toepasbaar is voor alle lidstaten binnen de EU. Ze moet niet worden omgezet in een nationale wet of een decreet. “
“De AVG bevat gedetailleerde voorschriften voor bedrijven en organisaties over het verzamelen, opslaan en beheren van persoonsgegevens. Die regels gelden voor alle bedrijven en organisaties die gegevens van personen in de EU verwerken. Het maakt niet uit of die bedrijven nu in de EU gevestigd zijn, of daarbuiten. Ook analoge verwerking valt eronder in bepaalde gevallen. Denk bijvoorbeeld aan een brief die wordt ontvangen en geklasseerd in een archief.”
“De AVG gaat enkel over gegevens van levende personen. Gegevens van overleden personen vallen niet onder de AVG. Gegevens over ondernemingen en verenigingen en dergelijke ook niet. “
Wat is jouw taak als DPO?
“Als DPO adviseer en informeer ik over de AVG en zie ik toe op de naleving ervan. Ik zie mezelf niet als een politieagent die zegt wat er allemaal niet mag, maar eerder als een coach die de organisatie begeleidt zodat gegevens goed beschermd zijn en verwerkt worden volgens de bepalingen van de AVG.”
Je bent ook teamcoach van het Bureau voor Gegevensbescherming van Digitaal Vlaanderen. Wat doet dit Bureau precies?
“In de eerste plaats zijn we een expertisecentrum waar Vlaamse entiteiten een beroep op kunnen doen voor ondersteuning bij de vele uitdagingen waarmee ze geconfronteerd worden als ze persoonsgegevens verwerken. We gaan daarvoor op zoek naar de juiste mensen die we vervolgens als DPO of medewerker gegevensbescherming inzetten bij agentschappen en departementen die daar nood aan hebben.”
“Entiteiten kunnen ook een beroep doen op ons ondersteuningsteam voor moeilijke projecten of meer operationele taken, zoals het bijhouden van het verwerkingsregister en de ondersteuning bij het opstellen van een DPIA (een data protection impact assessment is een instrument om vooraf de privacy-risico’s van gegevensverwerking in kaart te brengen, red.).”
Heb je nog advies voor organisaties die bezig zijn met gegevensverwerking?
“Stel zo snel mogelijk een DPO aan (lacht), voor overheidsinstanties is dat zelfs verplicht. Breng ook je verwerkingsactiviteiten in kaart: welke gegevens verwerk je, waarvoor is dat nodig en wat doe je ermee? Zorg ook altijd dat alles goed verantwoord is. Je moet zelf kunnen aantonen dat je voldoet aan de vereisten van de AVG. Anderen moeten niet aantonen dat je ze niet nakomt.”
-/-
KLIK HIER naar het originele interview met extra video materiaal - op de website van Digitaal Vlaanderen.