GDPR en dienstverlening in de private veiligheid

De GDPR (General Data Protection Regulation) of AVG (Algemene Verordening Gegevensbescherming) heeft sinds haar invoering op 25 mei 2018 een belangrijke impact gehad op heel wat maatschappelijke actoren. De private spelers in de veiligheidsmarkt zijn daar een belangrijk voorbeeld van. Op het webinar ‘GDPR en dienstverlening in de private veiligheid’ van het CPS werd nagegaan hoe de private veiligheidsdiensten omgegaan zijn met de uitdagingen die het nastreven van compliance met GDPR met zich meebrengt.

GDPR versus privaat fraudeonderzoek

In de bijdrage van Stijn De Meulenaer, advocaat bij Everest Law en bestuurder van het IFA, werd toegelicht hoe privaat fraudeonderzoek in de praktijk verloopt en hoe die verhouding met GDPR zich in de praktijk afspeelt. Na een korte situatieschets beantwoordde hij enkele praktijkvragen. Enkele praktijkvragen zijn: ‘Is het nodig om een DPIA-DPO te hebben?’, ‘Wat zet je in een register van verwerkingsactiviteiten en hoe ga je daar mee om?’, ‘Wie wordt de verantwoordelijke voor GDPR en wie de verwerker?’ en ‘Wanneer mogen gegevens verwerkt worden?’.

Aansluitend ging hij in op het ontwerp van gedragscode van het Instituut voor Fraudeauditoren (IFA) waar vijf methoden van verwerking worden geviseerd en waar de link wordt gelegd met hoe zich dat verhoudt op het vlak van GDPR en welke maatregelen er genomen moeten worden om conform te zijn aan de GDPR. Hij sloot af met de rechten van de betrokkenen, vooral het recht op informatie dat toch een belangrijke consequentie is van GDPR. Finaal kwamen de bewaartermijnen aan bod, iets wat ook door GDPR geregeld wordt.

Impact van GDPR op de dienstverlening van veiligheidsadviseur

Stefanie De Greef, Competence Center Manager bij Robrechts & Thienpont, gaf tijdens de live sessie een uiteenzetting over de impact van GDPR op de dienstverlening van veiligheidsadviseurs. Na een korte inleiding over de werkzaamheden van Robrechts & Thienpont schetste ze nog eens het theoretische kader van de GDPR. Aan de hand van praktijkvoorbeelden werd de impact van GDPR op de private veiligheidssector en het spanningsveld met andere relevante wetgevingen geïllustreerd.

Eerst en vooral werd nagegaan in welke mate de GDPR-regelgeving impact heeft op de uitvoering van toegangscontroles. Dit wordt opgesplitst in drie delen:

Identiteitscontrole

Bewakingsagenten hebben de bevoegdheid om aan de toegang van een niet publiek toegankelijke plaats de identiteitsdocumenten te laten voorleggen uitsluitend op verzoek van de opdrachtgever. Hier is het toegelaten de identiteit te verifiëren maar niet om het identiteitsdocument te kopiëren of te bewaren. Indien men een bestand van persoonsgegevens wil opmaken om te registreren welke personen aanwezig zijn dan moet men rekening houden met de GDPR want GDPR is immers van toepassing op alle verwerkingen van persoonsgegevens die in een bestand zijn opgenomen of die bedoeld zijn om in een bestand op te nemen. Als verwerkingsverantwoordelijke moet men hier aan een aantal verplichtingen voldoen. Het is belangrijk duidelijk te documenteren wat de verwerkingsgrond is, het doeleinde, de bewaartermijn en de veiligheidsmaatregelen die men neemt om vertrouwelijkheid en integriteit van de gegevens te waarborgen. Dit wordt genoteerd in een register van verwerkingsactiviteiten.

Temperatuurcontrole

GBA erkent drie mogelijke situaties. Indien men via een klassieke thermometer louter de temperatuur van een persoon afleest, is er volgens GBA geen verwerking en is GDPR niet van toepassing. Een tweede mogelijke situatie is wanneer de temperatuur wordt bijgehouden in een bestand, bijvoorbeeld om te documenteren waarom aan bepaalde personen de toegang werd geweigerd. Een derde situatie is wanneer de temperatuur van personen wordt gemeten aan de hand van geavanceerde technologie zoals koortsscanners of hittecamera’s. Deze twee laatste situaties zijn volgens GBA niet toegelaten. Ook de eerste situatie is problematisch in het geval van bewakingsagenten, wegens een gebrek aan CAO of andere juridische basis.

Verwerking van biometrische gegevens

De unieke identificatie van een persoon is principieel niet toegelaten, wel een verificatie van de identiteit. Volgens GDPR is dit een bijzondere categorie van persoonsgegevens en bijgevolg bestaan er specifieke regels voor. Er zijn ook uitzonderingen mogelijk op het principiële verbod maar dan moet men beschikken over een rechtsgrond en een uitzonderingsrond die worden bepaald door de GDPR en dit is moeilijk om in te roepen in de praktijk.  Indien men zich zou kunnen beroepen op een uitzonderingsgrond en rechtsgrond, is het belangrijk dat die gegevens worden gedocumenteerd in een register.

Verder werd nagegaan in welke mate de GDPR-regelgeving impact heeft op de bewakingscamera’s. Het is belangrijk om beide regelgevingen samen te zien. Als verwerkingsverantwoordelijke heeft men dan ook 3 essentiële verplichtingen:

1. Bijhouden van een register van de verwerkingsactiviteiten

Het bijhouden van een register van de verwerkingsactiviteiten is een eerste verplichting die wordt opgelegd door de camerawet en de GDPR-wetgeving. Het gaat hier over twee afzonderlijke verplichtingen. Ze mogen wel worden geïntegreerd, maar alle informatie uit beide regelgevingen moet aanwezig zijn. Politiediensten en de GBA kunnen op ieder moment toegang vragen tot het register.

2. Plaatsen van een pictogram

Als verwerkingsverantwoordelijke is men verplicht om betrokken personen te informeren over de aanwezigheid van bewakingscamera’s, dit aan iedere toegang van de plaats die men bewaakt met bewakingscamera’s. Als verwerkingsverantwoordelijke is men verplicht om op dat pictogram een aantal gegevens op te nemen: de wettelijke basis die men hanteert, de contactgegevens als verwerkingsverantwoordelijke, postadres en eventueel emailadres of telefoonnummer van de verwerkingsverantwoordelijke. Wanneer er een DPO is aangeduid moet men op het pictogram ook de gegevens van de DPO vermelden en de website of link naar het privacy statement op de website, zodanig dat de betrokkenen weten waar ze alle informatie kunnen terugvinden.

3. Aangifteverplichting

Ten derde is men als verwerkingsverantwoordelijke verplicht het gebruik van bewakingscamera’s aan te geven aan de politiediensten, via het e-loket van de FOD Binnenlandse Zaken. Voor nieuwe systemen moet dit uiterlijk een dag voor de ingebruikname. Voor bestaande systemen en indien men de aangifte vroeger al heeft gedaan, moet men deze via het nieuwe systeem herhalen. De deadline hiervoor is 31 december 2021. De aangiftes moeten ook jaarlijks gevalideerd worden. Indien hieraan niet is voldaan, vervalt de aangifte en is men niet meer in regel met de Camerawet. Wanneer men als verwerkingsverantwoordelijke aangesloten is op een alarmcentrale heeft men ook de mogelijkheid om de aangifteverplichting door te geven aan de alarmcentrale.

Panelgesprek

De deelnemers van het webinar kregen de gelegenheid om na de presentatie enkele vragen te stellen aan Stijn De Meulenaer (Advocaat Everest & Partners) en Stefanie De Greef (Competence Center Manager, Robrechts & Thienpont).

Volgende personen namen deel aan het panelgesprek: Yannick De smet (marketing verantwoordelijke bij G4S), Kurt Verstockt (DPO Dender Schelde) , Didier Clyncke (commissaris politiezone Aalst), Nick Noël (directeur operaties-Commissaris politiezone Rupel), Carl Vanhoutte (zaakvoerder Kopevan).

Bart De Bie (partner, I-Force) modereerde het gesprek.

De eerste vraag werd gesteld over de impact van GDPR op de identiteitscontrole. Bij veel bedrijven moet men zijn identiteitskaart geven om een badge te krijgen.  Is dat een probleem volgens de GDPR?

Men is niet verplicht een bewakingsagent aan het onthaal te zetten als onderneming. Het verbod staat in de Wet op de Private Veiligheid en dat is een verbod dat niet slaat op andere onthaalmedewerkers. De Wet op de Private Veiligheid is daar wel zeer duidelijk in. Men mag als bewakingsagent de ID niet opvragen om te ruilen door een badge. Bovendien is men als burger verplicht om zijn identiteitsbewijs altijd op zak te hebben. Het hangt dus af van wie in de praktijk aan het onthaal zit.

Hierbij aansluitend vroeg men zich af wat de regels zijn omtrent het bijhouden van badgegedrag. Hoe verhoudt zich dat tot de GDPR?

Men moet altijd volgende twee stappen in beschouwing nemen: ‘Zijn het persoonsgegevens die men verwerkt en vallen die onder de GDPR?’ enerzijds en ‘Mag men die gegevens verwerken?’. Zijn het persoonsgegevens die men verwerkt dan moet men daar conform de GDPR een wettelijke grond voor hebben. In een werkgever-werknemer context kan men gebruikmaken van artikel 16 van de wet op de arbeidsovereenkomst als kapstok. Dat moet men dan in een afdwingbaar policy gieten dat transparant is naar de werknemers en in lijn is met alle andere wettelijke voorschriften.

Vanuit het bedrijf moet men ook kijken of de verwerking wel noodzakelijk is. Als dienstverlener moet men ook beschikken over een overeenkomst waar duidelijk de taak omschreven is en welke handelingen men gaat stellen ten overstaan van die persoonsgevens. De lijn met profilering is ook zeer dun. Het is een moeilijk om hier een pasklaar antwoord op te geven.

Maar wat is het onderscheid tussen een verificatie en een identificatie?

Identificatie aan de hand van een persoonlijk kenmerk is een systeem waarbij men bijvoorbeeld een vingerafdruklezer heeft en men toegang krijgt want het systeem zorgt voor de identificatie. Systemen die werken op basis van verificatie zijn systemen waarbij men biometrische kenmerken van personen niet centraal in het systeem bewaart, maar wel lokaal, in de zin dat men die kenmerken of gegevens bewaart op een toegangsbadge en dan verifieert het systeem dat de persoon die badge en de persoon die zijn vingerafdruk aanbiedt dezelfde persoon is. Men verifieert dus de overeenkomst tussen twee gegevens maar identificeert niet.

Over de impact van GDPR op bewakingscamera’s werd de vraag gesteld of er een modelregister is dat beantwoordt aan de vereisten van de camerawetgeving en de GDPR.

Er bestaat geen model waarin de vereisten voor beiden geïntegreerd worden. De Franse of Engelse website van de gegevensbescherming hebben wel een praktisch en bruikbaar model beschikbaar maar dat voldoet niet volledig aan de verwachtingen van de Belgische camerawet. Een template ontwikkelen dat van toepassing is op iedereen is niet mogelijk, omdat elke situatie uniek is en de doelstellingen heel divers zijn. Beide integreren in hetzelfde register is de beste oplossing. Maar hier mag men niet vertrekken vanuit het standaardregister dat bij de GBA beschikbaar is want dat is zeer theoretisch opgesteld. Het is beter om het praktisch toe te lichten.

Een praktijksituatie waar men de dag van vandaag zelf nog mee geconfronteerd wordt als één van de spelers in de markt is hoe men moet omgaan met een verwerkingsovereenkomst. Zijn private onderzoekers verwerker of verwerkingsverantwoordelijke?

Bij het tot stand komen van de GDPR werd er nagedacht over hoe men moet omgaan met de verwerkingsovereenkomst. Na lang wikken en wegen werd beslist dat de private onderzoekers verwerker zijn en met verwerkingsovereenkomsten werken die aangepast zijn aan hun specialiteit. Maar volgens sommigen zijn zij co-verwerkingsverantwoordelijken en geen verwerker.

Maar dan zien we dat de wetgever hier ook mee worstelt want in het wetsontwerp is er sprake van drie verwerkingsverantwoordelijken. De opdrachtgever voor de gegevens die hij onder zich heeft, maar als de opdrachtgever de gegevens overdraagt aan de privaat onderzoeker dan is die laatste de verwerkingsverantwoordelijke. De opdrachthouder is dan de verwerkingsverantwoordelijke voor alles wat gerapporteerd wordt.  Het gevaar daarin is dat het niet werkbaar is om drie verwerkingsverantwoordelijken te hebben bij een privaat onderzoek omdat elke verwerkingsverantwoordelijken eigen verantwoordelijkheden moet nemen, zoals het register bijhouden en die heeft ook informatieplicht. Als men dat met drie moet doen dan wordt de target bestookt van drie kanten. Dat lijkt niet wenselijk.

Daarbij aansluitend: Wat is de verwerkingsgrondslag voor een privaat onderzoeker?

Als privaat onderzoeker heeft men zelf geen gerechtvaardigd belang. Men lift mee op het gerechtvaardigd belang van de opdrachtgever, maar dat betekent niet dat men niet moet aftoetsen of het gerechtvaardigd belang in concreto ook aanwezig is. In de praktijk moet men soms op basis van GDPR tot de vaststelling komen dat men de opdracht moet weigeren omdat wat gevraagd wordt niet beantwoordt aan wat een gerechtvaardigd belang zou moeten zijn. Maar de detectie van fraude kan ook een gerechtvaardigd belang op zich zijn. Hier moet men dan de belangen afwegen tussen de persoonsgegevens die men verwerkt en zich afvragen of het in verhouding is met het doel. Als privaat fraudeonderzoeker moet men natuurlijk niet altijd met toestemming werken en dat vraagt de GDPR ook niet. Er is een werkbaar kader om dat te doen.

Wat betreft de interne en externe diensten, is er een onderscheid tussen interne en externe dienstverlening?

Het grote verschil tussen de interne en externe dienst is dat de interne dienst gemakkelijker organiseerbaar is.
Bij de interne dienst moet er geen verwerkingsovereenkomst opgesteld worden en wordt alles in een policy gegoten. Bij de externe dienstverlening moet men per definitie bij elke opdracht in een andere omgeving opnieuw nadenken over welke gegevens men bijhoudt, of dat op de correcte manier gebeurt en welke gegevens men kan gebruiken.

Vaak zien we dat bedrijven CAO nr. 81 niet geïmplementeerd hebben. Dat elementaire kader is vaak niet aanwezig en dan wordt het moeilijk een fraudeonderzoek te doen. Er is nog veel werk voor de boeg voor de Belgische ondernemingen om ervoor te zorgen dat ze die noodzakelijke kaders creëren.