Euro­pe­se dag van de Pri­va­cy: pri­o­ri­tei­ten van GBA voor 2025

Elk jaar publiceert de Gegevensbeschermingsautoriteit (GBA) een beheersplan waarin de doelstellingen van haar verschillende organen voor het komende jaar worden toegelicht. In het beheersplan worden onder andere de prioriteiten van de Inspectiedienst uiteengezet. De Inspectiedienst van de GBA is verantwoordelijk voor de onderzoeken naar mogelijke inbreuken op de privacywetgeving, zowel op verzoek van de Geschillenkamer naar aanleiding van klachten, als op eigen initiatief bij aanwijzingen van schendingen. De dienst controleert hierbij niet alleen de naleving van de Algemene Verordening Gegevensbescherming (“AVG” of “GDPR”), maar ook de Belgische wetgeving waaronder de Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens.

In deze publicatie bespreken we de drie belangrijkste prioriteiten van de Inspectiedienst voor het jaar 2025:

1. De Functionaris voor Gegevensbescherming (DPO)
2. Transparante informatie voor betrokken natuurlijke personen
3. Het gebruik van cookies op je website

1. De Functionaris voor Gegevensbescherming (DPO)

Een Functionaris voor Gegevensbescherming, ook wel DPO (“Data Protection Officer”) genoemd, is belast met het toezicht op de naleving van de privacywetgeving binnen de dagelijkse bedrijfsvoering. De kerntaken van een DPO omvatten onder andere:

• het informeren en adviseren van de onderneming inzake gegevensbescherming;
• het coördineren van gegevensverwerkingsactiviteiten;
• het fungeren als contactpunt voor zowel de GBA als betrokken natuurlijke personen.

Niet alle ondernemingen moeten verplicht een DPO aanstellen. Deze verplichting geldt uitsluitend voor ondernemingen:

• waarvan de kerntaken bestaan uit de verwerking van persoonsgegevens die stelselmatige en grootschalige observatie van natuurlijke personen vereisen OF
• waarvan de kerntaken bestaan uit grootschalige verwerking van gevoelige persoonsgegevens, inclusief strafrechtelijke veroordelingen en strafbare feiten.

Ben je als onderneming niet verplicht om een DPO aan te stellen? Dan kan je daar wel steeds vrijwillig voor kiezen.

De GBA blijft de DPO beschouwen als een essentiële schakel in de dagdagelijkse bescherming van persoonsgegevens binnen een onderneming. Hoewel steeds meer ondernemingen de regelgeving rond deze essentiële rol naleven, is er volgens de Inspectiedienst nog veel ruimte voor verbetering.

2. Transparante informatie voor betrokken natuurlijke personen

De Inspectiedienst blijft ook inzetten op de verplichting van verwerkingsverantwoordelijken om natuurlijke personen op een toegankelijke manier te informeren over de verwerking van hun persoonsgegevens. Hierbij ligt de focus op het voorzien van een rechtsgeldige privacyverklaring en, indien van toepassing, een cookieverklaring op de website van de verwerkingsverantwoordelijke.

Zowel een privacyverklaring als een cookieverklaring moeten op een duidelijke wijze bepaalde informatie verschaffen aan de bezoekers van je website. Een privacyverklaring biedt inzicht in de specifieke verwerkingen van persoonsgegevens en de rechten van de bezoeker. Een cookieverklaring licht onder andere toe welke cookies worden gebruikt, met welk doel, en hoe de bezoeker eventueel verzamelde gegevens kan laten verwijderen.

Alle vereisten voor een rechtsgeldige privacy- en cookieverklaring kan je nalezen in deze publicatie.

3. Het gebruik van cookies op je website

De derde prioriteit van de Inspectiedienst zijn de “cookiedossiers”, zoals bijvoorbeeld het op een geldige manier verkrijgen van toestemming van websitebezoekers voor het plaatsen van cookies op hun apparaten.

Er moet een onderscheid worden gemaakt tussen essentiële en niet-essentiële cookies. Essentiële cookies, noodzakelijk voor de werking van de website, vereisen geen toestemming. Niet-essentiële cookies, zoals analytische of advertentiecookies, zijn daarentegen niet cruciaal voor het functioneren van de website en mogen pas geplaatst worden nadat de bezoeker vrij, specifiek, geïnformeerd, actief en ondubbelzinnig toestemming heeft gegeven.

Het gebruik van een cookiebanner bij het betreden van een website is de meest geschikte oplossing voor het verkrijgen van voormelde toestemming. Via een banner kan de bezoeker voorafgaand toestemming geven door actief een checkbox aan te vinken. Daarnaast bevat de banner bij voorkeur ook een hyperlink naar de volledige cookieverklaring.

Bij het ontwerpen van een cookiebanner moet worden opgelet dat geen technieken worden gebruikt die door de GBA als “deceptive design” worden beschouwd, zoals het gebruik van opvallende kleuren voor ‘alles aanvaarden’ in vergelijking met ‘alles weigeren’. Dit kan bezoekers namelijk beïnvloeden om sneller cookies te accepteren dan te weigeren.

Conclusie

De privacywetgeving is nog steeds brandend actueel. Nu de GBA steeds strenger optreedt tegen overtredingen is het voor ondernemingen belangrijker dan ooit om deze wetgeving na te leven. Het aanstellen van een DPO (al dan niet verplicht), het voorzien van geldige privacy- en cookieverklaringen en het implementeren van een cookiebanner zijn al enkele stappen in de goede richting.

DELEN: