Op 31 januari 2020 verscheen aanbeveling 02/2020 van de Gegevensbeschermingsautoriteit (GBA) omtrent de draagwijdte van de verplichting voor de federale publieke sector om protocollen af te sluiten wanneer persoonsgegevens worden medegedeeld. Het begrip ‘mededeling’ dient hier breed te worden geïnterpreteerd en gaat bijvoorbeeld ook over het toegang verlenen tot persoonsgegevens.

Deze verplichting ligt vervat in de Wet Verwerking Persoonsgegevens (WVG) en trad in werking op 1 april 2019.[1] Na de inwerkingtreding rezen echt vele vragen en om die reden tracht de GBA met deze nieuwe aanbeveling duidelijkheid te brengen.

In wat volgt, starten we met (1) een korte duiding van de stap van machtiging naar verplicht protocol en gaan we vervolgens dieper in op (2) de voorwaarden waaronder een overheid een protocol moet afsluiten, (3) de inhoud van zo’n protocol, (4) de procedurele eisen voor het afsluiten van een protocol en (5) de temporele werkingssfeer. We eindigen met een beknopte (6) conclusie.

We geven graag van in het begin al mee dat, opdat de verplichting van het afsluiten van een protocol zou gelden, de mededeler steeds een federale overheid moet zijn, maar dat de ontvanger zowel een overheid als een private organisatie kan zijn. De regelgeving rond de protocollen kan dus in vele relaties van toepassing zijn.

1.  Van machtiging naar protocol

In de periode 2003 tot 2018 diende elke elektronische mededeling van gegevens door een federale overheidsdienst of door een overheidsorgaan dat onder de federale regering valt, te worden goedgekeurd door het sectorale comité dat bevoegd was voor die federale overheid.[2] Deze sectorale comités werden opgericht in het kader van de vroegere Privacy Commissie.

De bedoeling van deze machtigingsprocedure was om te kunnen nagaan of enerzijds de mededeling nodig was voor de opdrachten van die federale overheid en anderzijds of deze mededeling in overeenstemming was met de geldende normen inzake de bescherming van de persoonlijke levenssfeer op het vlak van de verwerking van persoonsgegevens. Deze procedure werd opgeheven bij de Wet tot Oprichting van de GBA (WOG).[3]

De WVG voert bij art. 20 de verplichting in voor federale overheden die persoonsgegevens doorgeven aan derden om deze mededeling te formaliseren aan de hand van een protocol. Dit dient te worden afgesloten tussen de overheid die de gegevens doorgeeft en de verwerkingsverantwoordelijke ontvanger van de persoonsgegevens, tenzij een bijzondere wet anders bepaalt.[4]

Deze procedurele wijziging kadert volledig binnen het beginsel van de verantwoordingsplicht dat wordt ingevoerd door de Algemene Verordening Gegevensbescherming (AVG): de verwerkingsverantwoordelijke dient passende maatregelen te nemen om te waarborgen dat de AVG wordt nageleefd én moet dit kunnen aantonen. Een protocol is zo’n verantwoordingsinstrument. Er is dus geen extern orgaan meer dat zich buigt over de wettelijkheid van de desbetreffende mededeling van persoonsgegevens.

2.  De voorwaarden voor het afsluiten van een protocol

Er zijn vijf cumulatieve voorwaarden waaraan moet worden voldaan opdat het afsluiten van een protocol verplicht is:

1. Het moet gaan om een federale overheid die persoonsgegevens meedeelt in de hoedanigheid van verwerkingsverantwoordelijke;
2. De mededeling gebeurt ofwel om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust (art. 6, 1. c) AVG) of is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen (art. 6, 1. e) AVG);
3. De modaliteiten van de mededeling zijn niet voorzien in een wet- of regelgevende norm;
4. De mededeling gebeurt systematisch of, indien dit niet het geval is, wordt gedaan aan personen of instellingen die niet gerechtigd zijn deze te verkrijgen krachtens een wettelijke opdracht;
5. De ontvanger van de mededeling bevindt zich in België en ontvangt de persoonsgegevens in de hoedanigheid van verwerkingsverantwoordelijke.

Is het niet helemaal duidelijk wat deze voorwaarden exact inhouden? Wat instanties vallen bijvoorbeeld onder de term ‘federale overheid’? We verduidelijken de voorwaarden voor het afsluiten van een protocol in deze blog.

3.  De inhoud van het protocol

De WVG geeft een facultatieve en niet-limitatieve oplijsting van zaken die kunnen worden opgenomen in een protocol.[5] Zowel de Raad van State als de vroegere Privacycommissie (nu GBA), bekritiseerden het facultatieve karakter van de inhoud. De Gegevensbeschermingsautoriteit beveelt daarom volgende elementen aan:

• De identificatie van de overheid die de persoonsgegevens doorgeeft en van de verwerkingsverantwoordelijke ontvanger alsook de contactgegevens van hun DPO’s;
• De doeleinden waarvoor de gegevens oorspronkelijk werden verzameld, de doeleinden waarvoor de gegevens worden doorgegeven en de analyse van de verenigbaarheid van deze doelen (indien de doorgifte van gegevens een verdere verwerking uitmaakt);
• Het soort van doorgegeven persoonsgegevens;
• De rechtsgrond voor de mededeling van persoonsgegevens en de rechtsgrond voor de ontvangst ervan;
• De regels inzake de gebruikte communicatie en een functionele definitie van de genomen beveiligingsmaatregelen om de doorgifte te beveiligen;
• In voorkomend geval, alle specifieke maatregelen die door verwerkingsverantwoordelijken worden genomen om de mededeling te regelen overeenkomstig het evenredigheidsbeginsel en de vereisten inzake gegevensbescherming door ontwerp en door standaardinstellingen
• De periodiciteit van de mededeling;
• De duur van het protocol;
• De sancties die zullen worden toegepast in geval van niet-naleving van het protocol.

Tot op heden werd er door de federale overheid nog geen model protocol ter beschikking gesteld.

4.  Procedure

De WVG legt twee procedurele verplichtingen vast, nl. (1) de DPO’s moeten worden betrokken bij het opstellen van het protocol door middel van een adviesvraag en deze adviezen worden ook toegevoegd aan het protocol en (2) de protocollen moeten openbaar gemaakt worden op de websites van de verschillende verwerkingsverantwoordelijken om een brede zichtbaarheid te garanderen.

5.  Temporele werkingssfeer

Het artikel dat de protocolverplichting omvat, trad in werking op 1 april 2019. Alle nieuwe mededelingen van persoonsgegevens sinds 1 april 2020 zijn zonder twijfel onderworpen aan de protocolverplichting.

Alle bestaande mededelingen werden in principe gemachtigd door een sectoraal comité dat werd opgericht bij de vroegere Privacycommissie en deze machtigingen behouden hun rechtsgeldigheid.[6] Indien een machtiging had moeten worden aangevraagd, maar dit niet is gebeurd, moeten dergelijke mededelingen alsnog het voorwerp uitmaken van een protocol en dient dit aldus te worden afgesloten.

6.  Conclusie

Indien een federale overheid die optreedt als verwerkingsverantwoordelijke systematisch gegevens wil meedelen aan een andere partij die ook optreedt als verwerkingsverantwoordelijke en zich in België bevindt, is een protocol verplicht. Voor een eenmalige uitwisseling is een protocol in principe niet verplicht, behalve wanneer de ontvanger een persoon of instelling is die niet gerechtigd is deze te verkrijgen krachtens een wettelijke opdracht.

Wat de inhoud van een protocol moet zijn, wordt facultatief en niet-limitatief opgesomd in de wet en om die reden beveelt de GBA dan ook enkele concrete inhoudelijke punten aan (zie punt 3). Daarnaast zijn ook de adviezen van beide DPO’s vereist en moet het uiteindelijke protocol worden gepubliceerd op de websites van beide verwerkingsverantwoordelijken.

Er zijn veel relaties denkbaar waarin een protocol verplicht zal zijn. Wenst u hulp of advies bij de opmaak of onderhandeling van een protocol? Aarzel niet om ons te contacteren.

[1] Art. 20 van de wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens

[2] Overeenkomstig artikel 36bis van de wet van 8 december 1992 betreffende de bescherming van de persoonlijke levenssfeer ten aanzien van de verwerking van persoonsgegevens

[3] Wet van 3 december 2017 tot oprichting van de Gegevensbeschermingsautoriteit

[4] Zo zijn er bijvoorbeeld andere verplichtingen opgelegd voor de mededeling van persoonsgegevens door een instelling van sociale zekerheid.

[5] Art. 20 §1 WVG

[6] Art. 111 van de wet van 3 december 2017 tot oprichting van de GBA