Op 5 september 2018 werd de ‘wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens’ gepubliceerd in het Belgisch Staatsblad. Deze kaderwet vormt de tenuitvoerlegging van de GDPR (de ‘General Data Protection Regulation’) in Belgische wetgeving. De wet bevestigt hoofdzakelijk de geldende regels van de GDPR en vult een aantal openstaande lacunes in.
Achtergrond Privacywetgeving
De laatste jaren gebruiken steeds meer ondernemingen persoonsgegevens, gelet op het succes van e-commerce en veelvuldige technologische evoluties. Persoonsgegevens bestaan uit informatie die een persoon identificeerbaar maken.
Bij gebrek aan een eenvormige regelgeving over het verzamelen, verwerken en bijhouden van persoonsgegevens, werd de GDPR gelanceerd (die van kracht is binnen de Europese Unie sinds 25 mei 2018). De GDPR biedt een betere bescherming inzake privacy door veiligheidswaarborgen in te bouwen en personen meer controle te geven over het gebruik door ondernemingen en overheden van hun persoonsgegevens. De GDPR liet echter nog (beperkte) ruimte voor nationale overheden om bepaalde begrippen zelf in te vullen. Dit heeft de Belgische wetgever nu verwezenlijkt met de nieuwe kaderwet.
Wat zijn de voornaamste nieuwigheden die deze wet introduceert?
De rechtstreekse impact op personen is beperkt. Zo wordt de leeftijd waarop minderjarigen geldig hun toestemming kunnen geven m.b.t. de verwerking van hun persoonsgegevens vastgelegd op 13 jaar (artikel 7). Voor kinderen jonger dan 13 jaar, is ouderlijke toestemming vereist. Daarnaast bevestigt en verwijst de kaderwet voornamelijk naar de GDPR zelf voor regels omtrent personen.
Verder zijn er enkele nieuwigheden voor ondernemingen. Zij worden bijvoorbeeld verplicht een lijst bij te houden met o.a. namen van personen met toegang tot gezondheidsgegevens of strafrechtelijke gegevens (artikel 8-10).
De grootste gevolgen hebben betrekking op overheden (titel 3). Zo voorziet de wet in verplichtingen voor politie-, inlichtingen -en veiligheidsdiensten. Onjuiste, onvolledige en niet terzake dienende gegevens moeten worden verbeterd of verwijderd. Bovendien moeten steeds passende veiligheidsmaatregelen worden genomen. Wanneer een overheid persoonsgegevens deelt met een andere overheid of instantie geldt een protocolverplichting. Dergelijk protocol bevat een aantal inhoudelijke gegevens, zoals de doeleinden waarvoor de persoonsgegevens worden doorgegeven (artikel 20).
Verder voorziet de wet verschillende rechtsmiddelen (titel 5) en sancties bij schending van de kaderwet of GDPR (titel 6). De geldboetes bedragen minimaal 100 EUR en kunnen oplopen tot 30.000 EUR.
Besluit
De nieuwe kaderwet zorgt voor een aantal bijkomende maatregelen, wat de privacy van particulieren moet garanderen. Hoofdzakelijk houdt de wet bestaande regels aan door te verwijzen naar de GDPR. Door niet veelvuldig af te wijken, maakt de Belgische wetgever duidelijk dat zij instemt met de regels van de GDPR.