Why it’s not appropriate to ask for a copy of the identity card by default and systematically before you respond to a #GDPR data access request?

The EDPB guidelines on the data subject’s rights of access contain 60 pages of very useful instructions. This article is not elaborating all of it, but only highlights the topics relative to the use of ID card photocopies, as there has been a recent case at the Belgian Data Protection Authority strongly referring to the data access request guidelines by the European Data Protection board (EDPB).

Background

In a recent publication of a case (DOS-2020-05314), the Belgian Data protection Authority decided to classify the complaint itself without any consequences, but they explicitly confirmed that the use of a photocopy of the ID card is a very bad idea in general.

A very clear reminder that you shall not systematically request a copy of the identity card

In the motivation of the case it sets a very clear reminder that it’s considered illegal to systematically request for a copy of an identity card as a condition to respond to a GDPR data access request, in accordance with the EDPB (European Data Protection Board) guidelines on the right to access.

Why is a copy of an ID card a bad idea?

The copy of the ID card contains a lot of sensitive data like your national number, that can be abused to harm you, by stealing your identity.
Using your identity data, people can open bank accounts and credits, steal your many, empty your existing bank account, … so the impact is very personal, very real and very high when your identity is stolen.

EDPB guidelines Guidelines 01/2022 on data subject rights – Right of access

The highlights

The EDPB explains in the executive overview of their guidelines that “The right of access of data subjects is enshrined in Arti. 8 of the EU Charter of Fundamental Rights. It has been a part of the European data protection legal framework since its beginning and is now further developed by more specified and precise rules in Art. 15 GDPR.“

“There are no specific requirements on the format of a request. The controller should provide appropriate and user-friendly communication channels that can easily be used by the data subject.”

“The request for additional information must be proportionate to the type of data processed, the damage that could occur etc. in order to avoid excessive data collection.”

Do not excessively demand for personal data when validation of access request

In the guidelines, the EDPB says:

“65. /../ In general, the fact that the controller may request additional information to assess the data subject’s identity cannot lead to excessive demands and to the collection of personal data which are not relevant or necessary to strengthen the link between the individual and the personal data requested.”

Copy of ID card should generally not be considered an appropriate way of authentication

EDPB guideline:

“74. Taking into account the fact, that many organisations (e.g. hotels, banks, car rentals) request copies of
their clients’ ID card, it should generally not be considered an appropriate way of authentication.

Alternatively, the controller may implement a quick and effective security measure to identify a data subject who has been previously authenticated by the controller, e.g. via e-mail or text message containing confirmation links, security questions or confirmation codes.”

Information on the ID that is not necessary for confirming the identity should be hidden

EDPB guidine 75:
“In any case, information on the ID that is not necessary for confirming the identity of the data subject,
such as the access and serial-number, nationality, size, eye colour, photo and machine-readable zone,
may be blackened or hidden by the data subject before submitting it to the controller, except where
national legislation requires a full unredacted copy of the identity card (see para. 77 below).

Generally, the date of issue or expiry date, the issuing authority and the full name matching with the online
account are sufficient for the controller to verify the identity, always provided that the authenticity of
the copy and the relation to the applicant are ensured. Additional information such as the birth date
of the data subject may only be required in case the risk of mistaken identity persists, if the controller
is able to compare it with the information it already processes.“

Inform about data minimization and apply it.

EDPB guideline 76.

“To follow the principle of data minimisation

the controller should inform the data subject about the information that is not needed and

about the possibility to blacken or hide those parts of the ID document.

In such a case, if the data subject does not know how or is not able to blacken such information, it is good practice for the controller to blacken it upon receipt of the document, if this is possible for the controller, taking into account the means available to the controller in the given circumstances.”

Making the information available in a commonly used electronic form

Following EDPB guideline, paragraph 32, the controller must provide the answer in a commonly used electronic form.

“the event of a request by electronic form means, information shall be provided by electronic means
where possible and unless otherwise requested by the data subject (see Art. 12(3)). Art. 15(3), third
sentence, complements this requirement in the context of access requests by stating, that the
controller is in addition obliged to provide the answer in a commonly used electronic form, unless
otherwise requested by the data subject. Art. 15(3) presupposes, that for controllers who are able to
receive electronic requests it will be possible to provide the reply to the request in a commonly used
electronic form (e.g. in PDF). This provision refers to all the information that needs to be provided in
accordance with Art. 15(1) and (2). Therefore, if the data subject submits the request for access by
electronic means, all information must be provided in a commonly used electronic form.”

Some practical data protection life hacks

Protecting your identity card

• keep your ID card in your pocket or wallet as much as possible.
• do NOT hand over your identity card to any party, unless it’s a legal authority (police, … )
• Quickly showing your ID card for validation is fine, but resist to the requests to get a copy of your card.
• prepare to have a masked paper copy of your ID card,
  • make sure to hide all the irrelevant, sensitive information yourself
  • keep a paper copy in your wallet
• Prepare a masked digital photo copy of your ID card, yourself.
• mask all all the irrelevant, sensitive information on your identity card, do it yourself
  • eg, use tippex to wipe out info, but you can simply scratch tippex when an official authority needs to validate your sensitive information)
  • ‘accidental’ copies will still mask your data, and you can detect if an unauthorized party scratches your ID card

From a corporate perspective

• Do not request copies of identity cards by default, there are many more practical means to verify identity in a secure way
• Only authenticate ID cards, when there are no other options.
• use electronic authentication without disclosure of sensitive data
• use an alternative means of authentication, there are many ways to do this securely
• do not keep a copy of any identity card, there are virtually NO reasons to keep a copy, quick validation is mostly enough
• delete any copy of identity cards as soon as possible…

Reference information:

• (In French) – Claim at Belgian Data protection authority – case DOS-2020-05314: https://www.gegevensbeschermingsautoriteit.be/publications/zonder-gevolg-nr.-40-2022.pdf
• EPDB Guidelines 01/2022 on data subject rights – Right of access, Version 1.0, Adopted on 18 January 2022 §§ 74-78. Available at: https://edpb.europa.eu/system/files/2022-01/edpb_guidelines_012022_right-of-access_0.pdf

‘t QVAX data retentie fabeltje: alle gegevens zijn gewist. Echt niet.

Als Belg kent u ongetwijfeld QVAX, het kaduke wachtlijst platform dat in het leven geroepen is om het dagelijks overschot aan anti-corona vaccinaties op te lossen…

Bij de lancering ging het al stevig de mist in doordat het slecht ontworpen vertragings-mechanisme de overbelasting alleen maar erger maakte.

Het was bovendien met een Adblocker / cookie-blocker ook nog makkelijk te omzeilen ook…

Er zijn nog 250.000 wachtenden voor U,… nee 300.000…. of 400.00.

Nu hebben ze midden in de 5e Corona pandemie golf voor het booster vaccin QVAX opnieuw geactiveerd.

Als je jezelf wil aanmelden krijg je meteen een melding, ik citeer

“Als u QVAX als hebt gebruikt tijden de eerste vaccinatiecampagne, moet u weten dat alle gegevens zijn gewist. Uw QVAX Account bestaat niet meer en u zult een nieuwe moeten aanmaken.

Wees heel voorzichtig het het invullen van de juiste informatie. Maak vooral geen tikfouten in het e-mailadres (pas op voor de automatische correctie op een smartphone) en onthoud uw wachtwoord goed.”

en ook

“Let op! Als u QVAX al hebt gebruikt tijdens de eerste vaccinatiecampagne en u wilt uw account opnieuw activeren, weet dan dat dit niet mogelijk is! Alle bestaande accounts zijn verwijderd en u moet dus een nieuwe account aanmaken”

https://www.qvax.be/login

Dus dan denk je… ik maak dus een nieuwe account aan.

Dan krijg je dus deze foutmelding

“Reeds bestaand account voor dit identificatienummer (INSZ)”

Dan probeer je in te loggen, … met een password manager, …

Blijkt de login niet te werken. Dan maar even zelf proberen… Zonder success.

Dus dan maar een reset.

Met het oude passwoord, van de password manager.

DAT heeft ie dus OOK nog onthouden.

Dus, als je TOCH nog QVAX wil gebruiken om sneller aan je booster te geraken, beste jongeling, … probeer eerst in te loggen via https://www.qvax.be/login.
Als dat niet werkt, doe een password reset via https://www.qvax.be/password.

Want je gegevens zitten nog in het systeem… en voor hoelang, dat zoek je zelf maar uit.
Zolang de pandemie duurt… als we nog een serie corona golven krijgen… + 5 dagen na het einde van de laatste golf.
“Als algemene regel geldt dat de verwerkingsverantwoordelijken de persoonsgegevens niet langer
bewaren dan redelijkerwijs noodzakelijk is voor de doeleinden waarvoor zij zullen worden
gebruikt en in overeenstemming met de wettelijke en bestuursrechtelijke voorschriften.
Wij bewaren uw gegevens tot maximum 5 dagen vanaf de dag na de bekendmaking van het
koninklijk besluit dat het einde van de epidemie ten gevolge van het COVID-19 coronavirus
aankondigt.”

Dat is wat hun Privacybeleid tenminste zegt.
Het is alvast korter bij de waarheid dat ze je gegevens niet wissen.

Note-to-Self: workaround for bcc (blind copy) of meeting requests in Outlook

---

This article has also been posted on Microsoft Wiki, feel free to add suggestions and extra information.

Outlook Quick Tip: workaround for bcc (blind copy) of meeting requests

Issue

For meeting requests in Microsoft Outlook, the program does not have a bcc (aka Blind copy) option to add participants to a meeting, without publishing all personal data (mail addresses) to the other participants. 

Microsoft is aware of the issue, but hasn’t fixed the option yet.

Still you can request to have this option or request this function in Outlook, via Windows Feedback hub (hit the W10 Windows button, and type feedback) of via Microsoft Tech Community or Microsoft Q&A.

Visibility of participants to other participants

When you add participants to the “Required” or “Optional” section, they can see each others mail addresses. For smaller groups of people, that probably know each other, it’s not a big thing.

But for public events, this might be an issue. And certainly for large groups of participants, this is an overload of information.

And additionally, it might be considered as an inconvenience (or even a data breach) to publish data of other participants in a large group.

Limiting visibility to other participants

For matters of data protection it would be very handy to send the invite to the participants without exposing too much data.

Work around

As the bcc: option is missing, you can add people to the “Resources” option.

Steps

Create a new meeting request.

In the meeting options select, the “Required” or “Optional” button.

Then in the resources option, add the contacts or mail addresses of the participants.

Then add the required information to the invite, including online meeting options (Teams, …) and send the mail.

Alternative option : using iCAL file option via mail

Another option is

1.  to create an meeting in your agenda,
2. add the required meeting details (including teams invite)
3. Save the meeting as iCAL file
4. Create a mail,
   1. add the iCAL file
   2. add the the participants in bbc

References

More information can be found in these articles:

Resource option

Reddit

•  https://www.reddit.com/r/Office365/comments/khfi0a/meeting_invites_in_outlook_dont_have_a_bcc_field/

iCAL Option

Slipstick

• https://www.slipstick.com/outlook/calendar/to-cc-or-bcc-a-meeting-request/

RocketIT

• https://rocketit.com/sending-emails-to-large-groups

---

Hoe zit dat met data brokers, direct marketing en KBO? Is dat legaal? En is dat nu GDPR of niet? Hoe aanpakken?

Je kan dit document als PDF downloaden als je het offline wil lezen.

Overzichtstabel

1. In het kort
2. Publieke verplichting van de overheid om bedrijfsgegevens te publiceren
3. Direct marketing
4. Direct marketing met KBO data
5. Nog andere spelregels van toepassing?
   • GDPR
6. Wat is het GDPR probleem?
7. Wat moet je dan WEL doen als data broker of direct marketing?
8. Hoe kan je zelf misbruik tegengaan?
9. Referentiemateriaal

1. In het kort

Sinds een aantal jaren (2003) heeft de overheid, met name de Federale Overheidsdienst (FOD) Economie, het bedrijvenregister gemoderniseerd en via KBO (Kruispuntbank Ondernemingen) op internet ter beschikking gesteld. Het is een publieke en wettelijke verplichting van de overheid om dat te doen.

Maar dat register bevat natuurlijk heel wat interssante data van bedrijven en hun verantwoordelijke personen.
Niet alleen om contractuele partijen te valideren… maar ook gebruiken heel wat commerciële bedrijven de collectie om die data door te verkopen in de vorm van adressenlijsten.

Er zijn een aantal spelregels die het gebruik van die data aan banden leggen en die je moet kennen, met name de Belgische wet op KBO, de gebruikerslicenties van KBO en … GDPR die belangrijke verplichtingen oplegt voor het hergebruik van publieke data.

Maar daar vegen heel veel data brokers en direct marketing bedrijven dus gewoon hun voeten aan.

Disclaimer: niet alle databrokers schenden de wet en gebruiken wel de juiste data, door persoonlijke gegevens te verwijderen uit hun data collectie. Maar dit is eerder uitzondering dan regel.

Dit artikel

• geeft je wat meer achtergrond bij de spelregels,
• legt uit wat er fout loopt en waar je moet op letten en
• geeft je ook wat tips hoe je jezelf kan beschermen tegen deze praktijk.

Samenvatting

• Direct marketing is elke communicatie, in welke vorm dan ook, gericht op de promotie of verkoop (m.u.v overheid)
• De wet verbiedt om direct marketing te doen met alle KBO data
• In geval van GDPR data zijn er nog bijkomende richtlijnen te volgen
• Neem maatregelen tegen misbruik (verwijder overbodige data of gebruik specifiek mail adres)

2. Publieke verplichting van de overheid om bedrijfsgegevens te publiceren

De contactgegevens van de entiteiten die geregistreerd zijn bij de Kruispuntbank van Ondernemingen worden beschikbaar gesteld zowel via onze “public search” website als via webdiensten / hergebruikbestanden.

Dus de KBO Webdiensten omvatten ondermeer

• Public search: https://economie.fgov.be/nl/themas/ondernemingen/kruispuntbank-van/diensten-voor-iedereen/kruispuntbank-van-0
• Open data: https://kbopub.economie.fgov.be/kbo-open-data die je kan consulteren via maandelijkse updates (gratis download, na registratie) of via API (met een gebruikskost per download)

Het ter beschikking stellen via de “public search” is in overeenstemming met artikel III.31 van het Wetboek van economisch recht en overeenkomstig artikel 1 van het koninklijk besluit van 28 maart 2014 tot uitvoering van artikel III.31 van het Wetboek van economisch recht inzonderheid de bepaling van de gegevens van de Kruispuntbank van Ondernemingen die via internet toegankelijk zijn evenals de voorwaarden voor het raadplegen ervan.

Dit laatste bepaalt dus het volgende: « Artikel 1, §1. De volgende gegevens van de Kruispuntbank van Ondernemingen zijn via het internet toegankelijk: 

• 1° het ondernemingsnummer en het (de) vestigingseenheidsnummer(s);
• 2° de benamingen van de onderneming en/of van haar vestigingseenheden;
• 3° de adressen van de onderneming en/of van haar vestigingseenheden;
• (…)
• 10° de verwijzing naar de website van [1 de geregistreerde entiteit]1, haar telefoon- en faxnummer alsook haar e-mailadres.

Deze laatste (het mail adres) is natuurlijk cruciaal en zeer interessant voor direct marketing (of als je het spam wil noemen, ook goed).

Met betrekking tot het verstrekken van contactgegevens in het kader van webdiensten/ hergebruik-bestanden, stelt de Kruispuntbank van Ondernemingen, via het volledige bestand voor hergebruik van gegevens, een aantal gegevens ter beschikking. Tussen deze gegevens, zitten ook persoonsgegevens. Het gaat om het geheel van de informatie betreffende de entiteiten natuurlijk persoon alsook de namen en voornamen van de personen die, binnen rechtspersonen, functies uitoefenen of de ondernemersvaardigheden bewijzen.

Belangrijk om te weten is ook dat je als verantwoordelijke van een bedrijf ook “declaratieve”, bijkomende contact gegevens kan toevoegen (dus je mail adres).

Zelfs als je vrijwillig contact data in KBO ingeeft, blijven dat KBO bedrijfsgegevens, maar het kan dus ook persoonlijke data zijn (zoals je mail adres) zijn die onder GDPR valt.

Later in dit artikel lees je meer daarover.

Het verstrekken van contactgegevens in het kader van webdiensten / hergebruikbestanden gebeurt in overeenstemming met artikel III.33 van het Wetboek van economisch recht en het koninklijk besluit van 18 juli 2008 over het hergebruik van openbare gegevens van de Kruispuntbank van Ondernemingen.

3. Direct marketing?

Voor we verder gaan wil ik toch even de interpretatie van “direct marketing” toelichten, want dat vind ik niet zelf uit. En ik wil ook vermijden dat er door de data brokers of de commerciële bedrijven zelf een twist aan gegeven wordt.

Bron: https://gegevensbeschermingsautoriteit.be/burger/thema-s/marketing/wat-is-direct-marketing

“De GBA stelt voor het begrip direct marketing als volgt te interpreteren:

elke communicatie, in welke vorm dan ook, gevraagd of ongevraagd, afkomstig van een organisatie of persoon en gericht op de promotie of verkoop van diensten, producten (al dan niet tegen betaling), alsmede merken of ideeën, geadresseerd door een organisatie of persoon die handelt in een commerciële of niet-commerciële context, die rechtstreeks gericht is aan een of meer natuurlijke personen in een privé- of professionele context en die de verwerking van persoonsgegevens met zich meebrengt.

Direct marketing omvat alle vormen van communicatie, ongeacht of deze gericht zijn op de promotie van goederen of diensten, de promotie van ideeën, voorgesteld of ondersteund door een persoon of organisatie, maar ook de promotie van die persoon of organisatie zelf, met inbegrip van zijn/haar merkimago of de merken die zijn/haar eigendom zijn of door hem/haar worden gebruikt, met uitzondering van de promotie die wordt uitgevoerd op initiatief van overheidsinstanties die strikt handelen in het kader van hun wettelijke verplichtingen of openbare dienstverleningstaken voor diensten waarvoor zij alleen verantwoordelijk zijn.

De berichten kunnen bijgevolg zowel uit de commerciële als de niet-commerciële sector komen, zoals de politieke sector of non-profitorganisaties.”

https://gegevensbeschermingsautoriteit.be/burger/thema-s/marketing/wat-is-direct-marketing

4. Direct marketing met KBO data

De bekendmaking van de contactgegevens is dus volledig in overeenstemming met de taken die de wetgever aan de KBO/FOD Economie heeft toevertrouwd. Voor de FOD Economie is de verwerking is dus rechtmatig in de zin van artikel 6 c) van de GDRR, aangezien die noodzakelijk is voor de naleving van een wettelijke verplichting waaraan de FOD Economie is onderworpen.

Voor het overige moet je weten dat het gebruik voor directmarketingdoeleinden van door de KBO ter beschikking gestelde persoonsgegevens verboden is.

Dit verbod komt zowel in artikel 2, §1 van bovenvermeld Koninklijk Besluit van 18 juli 2008 als in alle KBO hergebruikcontracten van de FOD Economie terug.

  Art. 2.§ 1. De openbare gegevens van de Kruispuntbank van Ondernemingen kunnen overeenkomstig de nadere regels en de voorwaarden van dit besluit, door de beheersdienst doorgegeven worden aan derden met het oog op [¹ …]¹ hergebruik.
  Derden mogen evenwel geen persoonsgegevens voor direct marketingdoeleinden gebruiken en/of herverspreiden.

artikel 2, §1 van bovenvermeld Koninklijk Besluit van 18 juli 2008

Voor de hergebruik contracten, kan je de voorwaarden terugvinden in de privacy policy en de specifieke gebruiksovereenkomsten, zoals:

• privacy policy Public search: https://economie.fgov.be/nl/themas/ondernemingen/kruispuntbank-van/diensten-voor-iedereen/kruispuntbank-van-0
• licentie public search: https://economie.fgov.be/sites/default/files/Files/Entreprises/KBO/Licentie-webservice-Public-Search-gebruiksvoorwaarden.pdf
• …

Die zeggen allemaal hetzelfde, conform de Belgische wet uiteraard:

“2.2 De licentienemer mag de persoonsgegevens niet gebruiken voor direct-marketing
doeleinden, in overeenstemming met artikel 2 van het koninklijk besluit van 18 juli 2008
betreffende het hergebruik van publieke gegevens van de Kruispuntbank van
Ondernemingen.”

Van: webservice-Public-Search-gebruiksvoorwaarden.pdf

5. Nog andere spelregels van toepassing?

De gegevens van de Kruispuntbank van Ondernemingen (KBO) zijn dus publiek, maar er is in de wet dus een uitdrukkelijk verbod om de gegevens te gebruiken voor direct marketing doeleinden.

Maar dat zijn niet alle regels die hier van toepassing zijn. Want ook GDPR is hier van toepassing, tenminste op de persoonsgegevens die in de bedrijfsdata zitten.

5.1. GDPR

Want GDPR definieert persoonsgegevens als data die een persoon (kunnen) identificeren, dus dat betekent ook dat een persoonlijk professioneel mail adres GDPR data is. Let op, niet alle data in KBO is GDPR data, want algemene bedrijfsdata valt buiten GDPR.

Waarom is de GDPR belangrijk hier?

Buiten het verbod op direct marketing, zeggen KBO en de Belgische wet NIKS over transparantie naar de betrokken bedrijven als je data kopieert uit KBO.

Dat is natuurlijk heel andere koek in GDPR, met name

• Art.5 (Beginselen inzake verwerking van persoonsgegevens)
  • ze moeten “worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is („rechtmatigheid, behoorlijkheid en transparantie”)”
• Art 6 (Rechtmatigheid van de verwerking)
  • Dit is van belang als publieke data plots gebruikt wordt voor een ander doel, bijvoorbeeld commerciële adreslijsten
  • Verhouding tussen gerechtvaardigd belang en toestemming, “wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.”

• Art. 12: Transparantie voor toepassing van Art. 13 en 14.
• Art. 13: “Te verstrekken informatie wanneer persoonsgegevens bij de betrokkene worden verzameld”
• Art. 14: “Te verstrekken informatie wanneer de persoonsgegevens niet van de betrokkene zijn verkregen”

6. Wat is het GDPR probleem?

6.1 Overheid

Ook op vlak van GDPR heeft de overheid de verplichting om deze data te publiceren, in functie van hun publieke verantwoordelijkheid.

Dit valt onder GDPR artikel 6) 1.c (wettelijke verplichting) en nog belangrijker Art.6.1.e. “taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen”

En bij het opstarten van je bedrijf, bij registratie in KBO dus, krijg je de uitleg en de privacy policy van KBO vult de andere transparantieverplichtingen aan. Je hebt niet veel keuze, het is een publieke verplichting.

6.2 Data broker / direct marketing

Maar dat verandert dus helemaal als een data broker of een direct marketing je data van KBO steelt.

Wat moeten zij dan doen, als je het volgens de regels van GDPR speelt?

Algemene taak als verwerkingsverantwoordelijke

Eerst en vooral bij het copieren van KBO data, zeker voor het gebruik voor commerciele doeleinden, met name werven van klanten, gaat het dus bijna altijd om “direct marketing”.
Het kopieren en gebruiken van KBO data is illegaal door de Belgische wet, jammer maar helaas, dat heeft niks met GDPR te maken.

Je zou dus “gerechtvaardigd belang” kunnen inroepen, maar zelfs dan zijn er belangrijke voorwaarden aan verbonden. Dat leg ik straks uit onder de verplichting van art. 14.

Transparantie

GDPR Art. 12. 1

“De verwerkingsverantwoordelijke neemt passende maatregelen opdat de betrokkene de in de artikelen 13 en 14 bedoelde informatie en de in de artikelen 15 tot en met 22 en artikel 34 bedoelde communicatie in verband met de verwerking in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal ontvangt,“

Bepaling van DAR/SAR (subject data access request), Art. 12. 3

“De verwerkingsverantwoordelijke verstrekt de betrokkene onverwijld en in ieder geval binnen een maand na ontvangst van het verzoek krachtens de artikelen 15 tot en met 22 informatie over het gevolg dat aan het verzoek is gegeven.”

Eerste direct contact betrokken persoon (Art. 13)

Art.13 is van toepassing als je de gegevens direct van de betrokken persoon krijgt.

Indirect contact (Art. 14)

Volgens Art. 14 moet je de betrokken persoon verwittigen bij het verzamelen van de gegevens als ze niet rechtstreeks van de betrokken persoon komen en de nodige details bezorgen, inclusief

• wanneer de gegevens verkregen zijn
• doeleinde verwerking;
• de ontvangers (dus de marketing bedrijven, in dit geval)
• hoelang de gevens opgeslagen worden;
• gerechtvaardigde belangen;
• de bron. (“Art. 14 §2.f de bron waar de persoonsgegevens vandaan komen, en in voorkomend geval, of zij afkomstig zijn van openbare bronnen;”)
• en nog andere info…

En nog veel belangrijker volgens Art. 14 §3, moet de betrokken persoon moet daarvan verwittigd worden, ik citeer : “

• a) binnen een redelijke termijn, maar uiterlijk binnen één maand na de verkrijging van de persoonsgegevens, afhankelijk van de concrete omstandigheden waarin de persoonsgegevens worden verwerkt;

1. b) indien de persoonsgegevens zullen worden gebruikt voor communicatie met de betrokkene, uiterlijk op het moment van het eerste contact met de betrokkene; of
2. c) indien verstrekking van de gegevens aan een andere ontvanger wordt overwogen, uiterlijk op het tijdstip waarop de persoonsgegevens voor het eerst worden verstrekt.

En net daar gaan HEEL VEEL data brokers en direct-marketing bedrijven NOG EENS in de fout, geen transparantie, geen bronvermelding, geen details van collectie, … Een simpele vermelding in de “privacy policy” is niet voldoende…

7. Wat moet je dan WEL doen als data broker of direct marketing?

Enkele tips

• Zorg dat je een heel duidelijke en expliciete privacy en data protection policy hebt, die publiek beschikbaar is en goed leesbaar.
• Gebruik GEEN KBO data.
  • Dat is illegaal. Heeft niks met GDPR te maken, geen direct marketing met KBO data volgens de wet.
• Contacteer het prospectbedrijf via de algemene contact gegevens, via hun website, … via andere kanalen.
• Bij gebruik van algemene bedrijfsgegevens (algemeen telefoon nummer, info@bedrijf.url…) dan is GDPR niet van toepassing.
• Als je gegevens van persoon, de bedrijfsverantwoordelijke zélf ontvangt
  • Pas Art.12 -, 13 en 14 toe
  • Wees transparant, vertel waar de gegevens vandaan komen
  • Vraag bij eerste contact om toestemming, of regel een andere wettelijke grond die stand houdt.
  • Bij weigering of intrekken toestemming, verwijder data onmiddellijk, tenzij andere redenen van toepassing zijn.
• Als je contact gegevens verzamelt uit andere bronnen dan de persoon zelf,
  • VERWIJDER ALLE PERSOONLIJKE DATA, dan is het géén GDPR data.
  • Pas Art.12, 13 en 14 toe
  • Wees transparant, vertel waar de gegevens vandaan komen
  • Vraag bij eerste contact om toestemming
  • Bij weigering, verwijder de data onmiddellijk
• Onderhoud je data op regelmatige tijdstippen, vb check met de contactpersoon minstens 1x per jaar dat de data nog up to date is, bij weigering of gebrek aan antwoord: wis de data
• Beperk de data opslag tot redelijke bruikbare termijn, dat is een paar jaar. GEEN 15 jaar, zoals sommige data brokers doen. Email adressen zijn na een paar jaar niet meer vers. Er verandert vrij veel in de contact gegevens.

7. Hoe kan je zelf misbruik tegen gaan?

Dit heb ik in het kort uitgelegd in dit LinkedIn artikel: Data Protection Life Hack: stop de direct-marketing spam met je KBO data.

7.1 Proactief/preventief

Verwijder je declaratieve gegevens uit KBO

Voor de details zie: Data Protection Life Hack: stop de direct-marketing spam met je KBO data.

Declaratieve gegevens zijn optioneel, en niet strikt noodzakelijk voor de werking van KBO.
Maar het kan om bepaalde redenen toch wel handig zijn…

Zorg dat je KBO-gegevens als persoonsgegevens onder GDPR vallen

Gebruik geen algemeen mail adres. Maak het persoonlijk, dan kan je de rechten onder GDPR afdwingen.

Let op: Bij gebruik van algemene bedrijfsgegevens (algemeen telefoon nummer, info@bedrijf.url…) dan is GDPR niet van toepassing.

Natuurlijk als je graag marketing ontvangt of het nodig hebt, dan is deze discussie niet zo belangrijk.

TIP: gebruik een alias zoals uitgelegd in het LinkedIN article, zodat je je mailbox netjes kan houden.

7.2 Reactief

Als je ondanks de voorzorgen TOCH spam krijgt, die je niet wil ontvangen, kan je actie ondernemen.
Hou er rekening mee dat dit vaak tijd neemt en soms een lastige administratieve route is.

Mogelijke acties

Dus, dan zijn er een aantal mogelijke opties (- eenvoudig, +/- vergt wat werk, ++ moeilijk)

• (-) Dien een subject data acces request (DAR/SAR) in bij het direct marketing bedrijf dat je contacteert, zodat je weet
  • waar de data vandaan komt,
  • welke data ze hebben,
  • enz…
  • TIP: zorg dat je voldoende details opvraagt, zie GDPR art. 13 en 14.
• (-) Dien een DAR/SAR in bij de data broker die contact data levert
• (+/-) Stel het direct marketing bedrijf officieel in gebreke, dit is een eerste officiële klacht, los van de GDPR rechten, die vaststelt dat er een inbreuk is gepleegd. Het is wettelijk geldig om dit via mail te doen.
• (+/-)Stel de data broker officieel in gebreke, dit is een officiële klacht, los van de GDPR rechten, die vaststelt dat er een inbreuk is gepleegd. Het is wettelijk geldig om dit via mail te doen.
• (+/-) Leg een klacht neer bij de GBA, wanneer
  • blijkt dat ze illegaal data verzameld wordt
  • je GDPR rechten niet gerespecteerd worden

GDPR SAR/DAR + ingebreke stelling

Klacht bij KBO & FOD Eco

Hoewel de FOD Economie weinig kan doen aan het misbruik van data, hebben een aantal data brokers een licentie bij KBO. Dus het loont om misbruiken te rapporteren, zo dat ze actie kunnen nemen, waar mogelijk.

Klacht GBA

Op de website van de gegevensbeschermingsautoriteit vind deze link om een klacht in te dienen.

https://gegevensbeschermingsautoriteit.be/burger/acties/klacht-indienen

Wees voorbereid, neem voldoende tijd om dit goed aan te pakken,

• want ze vragen dat je eerst probeert om de klacht op te lossen met de tegenpartij.
• En ze vragen bewijs te leveren, en om je klacht goed te onderbouwen.

En besef dat een procedure met de GBA tijd neemt. Dus verwacht niet meteen resultaat op korte termijn.

Daarentegen is het wel belangrijk om klacht neer te leggen, want dat geeft ook duidelijk aan bij de GBA hoe ernstig dit probleem is, als er meerdere slachtoffers dit rapporten. Zowel binnen de sector van direct marketing, of specifiek voor een bepaald bedrijf dat de regels niet respecteert.

8. Referentie materiaal

Direct marketing en de aanbevelingen van GBA

Direct marketing en privacy: zo moet het volgens de GBA I DGDM (degroote-deman.be)

Gegevensbeschermingsautoriteit (GBA)

https://gegevensbeschermingsautoriteit.be/burger/thema-s/marketing/wat-is-direct-marketing

A quick walk-through of the new ISO29184 – Online Privacy notices and consent

Source and download: https://www.iso.org/standard/70331.html

With the publication of the GDPR in 2016, it quickly became clear that it would massively impact the direct marketing sector, simply because direct marketing runs on personal data.

On 25 may 2018, the GDPR came into force, changing the global mindset on data protection (and privacy by extension).

Anno 2020, 2 years after the publication, many enterprises, large and small still struggle to apply the data protection regulation and best practices.

And for the direct marketing companies, this is a particular difficult topic, after 4 years.

So, maybe, the newly (june 2020) published standard can provide a practical help to implement consent management. Please remind that the GDPR is a regulation/law… not a best practice with hints and tips.

For hints & tips and practical advice on GDPR, check the EDPB (previously known as WP29) website: https://edpb.europa.eu/our-work-tools/general-guidance_en (Check the Our Work & Tools menu).

While there has been a lot of guidance, communication & education on implementing a direct marketing that is compliant with GDPR and ePrivacy/eCommunication regulation and directives.

Even, for other markets than direct marketing where managing personal data is optional (meaning, not part of core business), you can use this guide to manage privacy or data protection notices for your newsletters and website.

Side note

The ISO 29184 is strictly and only about privacy notices and consent, it’s not an in depth guide for direct marketing, but it’s an essential part of it.

If you need more information on the EU ePrivacy/eCommunications directive , see here: https://eur-lex.europa.eu/legal-content/EN/ALL/?uri=celex%3A32002L0058

ISO 29184 content walk through

Document structure

After the mandatory basic chapters (Foreword, 1. Scope), the document hints to ISO 29100 in chapter 2 (Normative References) and 3. (Terms and definitions.

Important note here is that the definition of “explicit consent” has been updated to match the GDPR requirement for unambiguous affirmative consent.

Chapter 5 contains the “general requirements and recommendations”.

A major requirement (and typical for ISO compliance like in ISO9001 and ISO27001) is that you need to document the implementation of each control in this standard.

The content is structured in 5 chapters (Level 2)

1. Overall objective
2. Notice
3. Contents of notice
4. Consent
5. Change of conditions

To read the full details, you know what to do,…

But it’s interesting to see the technical/operations controls required in this standard

General conditions on privacy notice

• Provide information to all interested parties about your privacy practices, including
  • the identity and registered address of the data controller, and
  • contact points where the subject (in this standard the subject is called “PII principal”)
• Provide clear and easy to understand information
  • with regards the target audience,
  • which are usually NOT lawyers or data protection specialists),
  • taking care of the expected language of your audience
• You must determine and document the appropriate time for providing notice
  • Remember the Art. 13 and Art 14 definitions in GDPR
  • By preference, you should notify the subject immediately before collecting PII (and/or consent)
• You must provide notices in a appropriate way
  • by preference in more than 1 way,
  • to make sure the subject can find and consult the notices,
  • digitally and in a easy accessible method
  • also after initial contact
  • As also defined in many GDPR guidelines, the consent standard refers to a multilayer approach (avoiding to provide too much information at the same time, but provide the details when needed)
• Make sure that the privacy notice is accessible all the time.

Notice content

• make sure you’re absolutely clear, honest and transparent about your personal data processing
• Define, document and describe clearly
  • the processing purpose
  • each element of the processing (remember the processing definitions defined in Art. 4 of GDPR)
  • the identification of the data controller
  • the data collection details, incl
    • methods used
    • details of data collected
    • type of collection (direct, indirect, observation, inference…)
    • timing and location of collection
  • use of data, including
    • direct use without data transformation
    • reprocessing data
    • combining, like enrichment
    • automated decision making
    • transfer of data to 3rd party
    • data retention (incl backup)
  • data subject rights
    • access request
    • authentication to provide access
    • timelines
    • any fees that apply
    • how to revoke consent
    • how to file a compliant
    • how to submit a inquiry
  • Evidence about consent provided (and changed) by the subject
  • the legal basis for processing PII/personal data
  • the risks related with the data and the plausible impact to the subject privacy

Consent management

• Identify if whether consent is appropriate
  • Remember that there are other purposes and reasons for processing data, which usually have a more stable, more solid background, like
    • contracts
    • compliance with legal obligations and regulations
    • vital interest,
    • public interest
    • (legitimate interest, which is usually way more difficult to enforce or to convince the subject)
  • Informed and freely given consent
    • how do you guarantee that the subject is providing consent without any feeling of coercing, force, conditions, …
    • Independence from other processing or consent
      • Remember the GDPR guidelines where you CANNOT force consent as
  • Inform the subject which account this processing is related to
    • provide a clear description of the identifier (userID, mail, login, …)

ISO29184 also introduces the consent lifecycle, meaning that is it’s not sufficient to provide notice at first contact with the subject, but you also need to maintain, to update and to renew it on a regular basis, taking into account that the conditions of consent might change (or might have changed after initial consent).

The last part of the ISO 29184 are annexes with interesting user interface examples.

The perfect document set

To make the online privacy and consent management work, this ISO/IEC 29184 will not do on itself as the standard links to the following documents:

• (FREE, EN – FR) ISO 27000: ISMS vocabulary
• (*) ISO27001: ISMS, Information Security Management Systems
• (*) ISO27002: Code of practice for ISO 27001)
• ISO27701: PIMS, Privacy Information Management System, the privacy or data protection extension of ISO27001
• (FREE, EN – FR) ISO29100: Privacy framework
• ISO29151: Code of Practices – Privacy Framework (the ISO27002 version of ISO29100)
• ISO29134: PIA, Privacy Impact Assessment (foundation of the DPIA in GDPR)

References

Free downloads

ISO Public documents: https://ffwd2.me/FreeISO

If not available for free download, then you’ll need to purchase the ISO standards documents from the ISO e-shop or from the national standards organisation (like NBN for Belgium, NEN for Netherlands, …)

Note-to-self: Reference Articles on eID, privacy & GDPR

Following list of articles is a memory help and quick reference to interesting and useful articles from regarding the use of eID (Belgian Identity Card), related to privacy, data protection and GDPR.

This article will be updated regularlywhen interesting items are discussed or noted on workshops, discussions or other social media like LinkedIn.

eID

GBA Advisory on photocopy identity card

https://www.gegevensbeschermingsautoriteit.be/sites/privacycommission/files/documents/aanbeveling_03_2011.pdf

LinkedIN articles

Denk 2 keer na voor je een fotokopie laat maken van je identiteitskaart

(Think twice before you let someone photocopy your identity card)

https://www.linkedin.com/pulse/denk-2-keer-na-voor-je-een-fotokopie-laat-maken-van-peter-geelen-/

Het gebruik van uw identiteitskaart als waarborg? (Using your identity card as waranty. NOT.)

https://www.linkedin.com/pulse/het-gebruik-van-uw-identiteitskaart-als-waarborg-peter-geelen/

Direct Marketing

Direct marketing and protection of personal data

Click to access aanbeveling_04_2009.pdf

Interesting cases & decisions

See other post: collecting interesting cases and decisions by the Belgian DPA:

https://identityunderground.wordpress.com/2020/06/11/note-to-self-interesting-dpa-decisions-court-cases-regarding-gdpr-it-security/

Note-to-self: Interesting DPA decisions & Court cases regarding GDPR & IT Security

This is a memory help for quick references to interesting court cases and DPA decisions in regards to subject rights under GDPR.
This reference list will grow over time, but this saves on physical brain space.

BE – GBA (Privacy Commission References)

Mainframe vs Subject Rights

https://www.gegevensbeschermingsautoriteit.be/sites/privacycommission/files/documents/Be01-2019ANO.pdf#overlay-context=beslissingen-van-de-geschillenkamer

Mainframe part 2

Arrest in beroep

NL – GBA (Autoriteit persoonsgegevens)

NL – Justice

It-bedrijf moet schade door ransomware bij klant grotendeels vergoeden

https://www.security.nl/posting/660081/It-bedrijf+moet+schade+door+ransomware+bij+klant+grotendeels+vergoeden

Useful GDPR resources (Working doc)

Certification

IAPP article: 4 GDPR-certification myths dispelled (EN)

• NL: 4 GDPR certificatie mythes ontkracht
• FR:  Les 4 vérités sur la certification RGPD

EDPB (European Data protection Board)

GDPR docs: https://edpb.europa.eu/node/28

Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation – version adopted after public consultation

ENISA

Interplay between standardisation and the General Data Protection Regulation: https://www.enisa.europa.eu/events/enisa-cscg-2017/presentations/kamara

Recommendations on European Data Protection Certification

 

 

Privacy Life-Hack: het omzeilen van de registratie-walls voor “gratis” downloads. Betaal niet met jouw persoonlijke gegevens.

Wanneer was jouw laatste download van een “gratis” paper, een “gratis” eBook, of een “gratis” aangeboden document… terwijl in feite deze download werd verborgen achter een “privacy wall” of “registratie wall”?

Het is een veel voorkomende praktijk van commerciële bedrijven om jouw contactgegevens te verzamelen voor het opbouwen van hun prospectendatabase of erger (alleen de verkoop van jouw gegevens).

Met de term “Privacy Wall” , “Free Registration Wall” of “consent wall”, verwijs ik naar het equivalent van een “pay wall” wanneer je moet betalen voor toegang tot inhoud. Met een “Privacy Wall“, in plaats van geld te moeten betalen, vereist de provider dat jij je ‘gratis’ registreert om toegang te krijgen tot hun inhoud.

In dat opzicht betaal je in feite met jouw persoonsgegevens.

Onthoud: niets is gratis. Zoals ze in het Engels zeggen “There ain’t no such thing as a free lunch” (eh… Download).

Voordat ik in detail inga op het omzeilen van “Privacy Walls“, zijn er toch een paar opmerkingen over de legitimiteit van deze “Privacy Walls“.

Als je niet geïnteresseerd bent in de achtergrondinformatie, kan je direct naar de privacy life-hack sectie beneden kijken.

Welke gegevens zijn er eigenlijk nodig voor een gratis download?

Echt gratis download

In het kort, technisch gezien heb je geen persoonlijke gegevens nodig om een gratis download te laten werken. Geen! Publiceer het gewoon online en geef de URL aan iedereen.

Beveiligde Download

Maar, wat als…

• je de download wilt aanbieden voor geregistreerde leden (Ref. gerechtvaardigd belang), of
• het document wil beveiligen met Digital Rights Management (dat een unieke identitier of mail nodig heeft) en een persoonlijke download link naar de aanvrager wil sturen, of
• je een digitaal watermerk met gebruikers-id wil toepassen?

…dan is het volkomen zinvol om het e-mailadres te registreren of op te vragen…
(Maar nog steeds onder AVG Art. 13 of soortgelijke wetgeving).

In de praktijk, het echte leven: het verzamelen van jouw persoonlijke gegevens voor commerciële doeleinden…

… veel commerciële of marketing bedrijven vereisen (of dwingen) je om een uitgebreide of volledige set van persoonlijke gegevens in te vullen als voorwaarde om te downloaden… dat is absoluut niet relevant voor de download zelf. Maar het kan zinvol zijn om hun commerciële redenen en dat vertellen ze je (niet) … (Opnieuw: AVG Art. 13)

Juridische overwegingen

Allereerst is het belangrijk om te begrijpen dat in de meeste gevallen wel het legitiem is om contactgegevens te vragen, maar met een grote dubbele als voorwaarde…

Je zou legitiem belang kunnen overwegen om persoonlijke gegevens te verzamelen of de gebruikelijke toestemming van de downloader. (Ik laat de andere 4 AVG opties buiten het bereik voor dit artikel, om het simpel te houden.)

Als AVG van toepassing is (je weet: mensen in de EU,.. enzovoort) en als een verwerker persoonlijke gegevens op vraagt, moet deze voldoen aan AVG Art. 13 die bepaalt dat “informatie moet worden verstrekt wanneer persoonsgegevens worden verzameld van betrokkene “. Dit betekent dat de verwerkingsverantwoordelijke moet uitleggen welke gegevens zij verzamelen, doeleinden van verwerking, contactgegevens van de verwerkingsverantwoordelijke,…en meer.

Dat is waar het in de praktijk vaak fout gaat, de GDPR wordt (nog steeds) niet correct toegepast.

Als je bijvoorbeeld niet de vereiste privacyverklaring opgeeft op het moment van verzamelen, geraak je in de problemen, zoals bijvoorbeeld:

Als AVG niet van toepassing is, controleer dan best ook andere wetgeving die van toepassing is zoals e-commerce of eCommunication bescherming. Er is een grote kans dat andere soortgelijke wettelijke regels van toepassing zijn, vergelijkbaar met de eerder genoemde AVG-vereisten.

Wat het geval ook is, je kan jouw persoonlijke gegevens beter zelf beschermen.

Hoe kan je jouw persoonsgegevens beschermen met betrekking tot gratis downloads? Voordat ik die vraag kan beantwoorden, moet je de volgende vraag beantwoorden.

Wat wil je betalen voor een gratis download?

Sta mij toe om Matthias Dobbelaere-welvaert te citeren uit een televisie-uitzending van VIER (trafiek Axel- aflevering 6, Axel Estate een identiteit),

Korte versie via Matthias’ tweet:

'Als ik uw identiteit in handen heb, dan is uw leven voorbij'.

Intense aflevering over identiteitsdiefstal (ooit nog mijn thesisonderwerp in 2010) in Trafiek Axel @opVIER. Bekijk de volledige aflevering via https://t.co/FMLMKOOu9O. pic.twitter.com/sfz053FKN3

— Matthias Dobbelaere-Welvaert (@deJuristen) March 28, 2019

“/.. /Wat je eigenlijk moet denken, elke keer dat je een stukje van je privacy afgeeft,… moet je eigenlijk denken dat je 50 euro afgeeft, … Daar kan geld mee verdiend worden . /.. /”

Belangrijke opmerking: deze uitzending op vier, zit ook achter een registratie wall (!) …

Wil je betalen met persoonsgegevens (€50 €… KA-CHING!) voor een gratis download?

Wil je betalen met persoonsgegevens (… nog eens €50) voor bijna 50′ van hoge kwaliteit televisie over diefstal van persoonlijke gegevens…? Het is aan jou om te beslissen. Ik weet het al.

Maar… gelieve te beseffen dat in veel gevallen deze verplichte registratie (“privacy Wall”) voor gratis downloads gewoon NEP is.

Ik bedoel, alleen bedoeld om jouw persoonlijke gegevens te verzamelen, en na registratie krijg je toegang tot een openbaar, daadwerkelijk gratis download.

Als je het op voorhand wist, zou je niet registreren om toegang te krijgen. Omdat het ook niet hoeft, in de meeste gevallen.

Ik wil de voorbeelden hier niet noemen en de schuld geven, maar het kost weinig tijd om de voorbeelden op mijn LinkedIn-tijdlijn te vinden… het is heel gemakkelijk om deze voorbeelden elders op het Internet te vinden.

De privacy life-hack voor “gratis” downloads

In veel gevallen kan je de gratis download uitvoeren zonder jouw persoonlijke gegevens te gebruiken. Het probleem: je weet dat alleen na registratie. Dus…

Optie 1: gebruik een wegwerp mailadres om toegang te krijgen tot de daadwerkelijke gratis openbare link

Zoek op internet naar ‘temporary email‘ of ‘ anonymous email ‘, er zijn veel diensten die je toelaten om een wegwerp mailadres te gebruiken (zoals temp, getnada,… en mijn favoriete mailinator).

Geef ook dummy persoonlijke gegevens in, zoals voornaam, achternaam en adres…

Voordeel: snel, eenvoudig, geen gedoe, geen spam. “Hit and run”, klaar.

Nadeel (beperkt): veel gratis download providers blokkeren deze gekende anonieme mails. Anonieme mail is niet altijd bruikbaar.

Alternatief: Probeer een andere temp mailprovider of schakel over naar optie 2.

Optie 2: Activeer jouw eigen tijdelijke e-mailadres en schakel het opnieuw uit na het downloaden

Registreer je eigen internetdomein, voor een paar dollar per jaar. Vervolgens beheert je je eigen e-mail aliassen of e-mail doorstuurservers.

Je maakt gewoon een download alias zoals Download@yourveryshortdomain.root, Activeer het voor download, Download en deactiveer het na het downloaden. Gedaan.

Voordeel: snel, eenvoudig, geen spam, je hebt de controle.

Nadeel: je moet een paar dollar per jaar doorbrengen. (ongeveer 10 EUR/yr)

Alternatief: vast gratis e-mailadres…

Optie 3: gebruik een apart, gratis e-mailadres voor de downloads

Hotmail, Outlook.com, Gmail,… noem het gewoon.

Voordeel: gescheiden van jouw reguliere post

NADEEL (BELANGRIJK): je krijgt nog steeds de spam en marketing die je niet wil. Je moet jouw registratie annuleren. Ze misbruiken nog steeds jouw persoonlijke gegevens.

Conclusie & tips

Denk eerst hard na of je wil betalen met jouw persoonlijke gegevens (echt?)

Houd er rekening mee: 50 EUR voor een “gratis” Download??!! (Standaardantwoord is Nee!)

1. Indien nee, registreer met allemaal dummy gegevens
2. Zo ja, registreer met minimale persoonsgegevens

TIP: gebruik alle dummy gegevens als persoonsgegevens irrelevant zijn

TIP: gebruik een wegwerp-, tijdelijk, anoniem e-mailadres, Download en dan verdwijnen.

TIP: Voeg alleen absoluut noodzakelijke persoonlijke gegevens toe, niets meer.

TIP: Maak de registratie zo snel mogelijk ongedaan (indien van toepassing)

TIP: beheer jouw e-mailadres en-profielen (een wachtwoord-beheersapplicatie kan je helpen). Controleer ze een paar keer per jaar. Ruim ze op, waar mogelijk.

Laatste update: 2020-12-28

RGPD, GDPR, AVG, … et les jeux de mots linguistiques… ou confusions?

Au niveau de RGPD (réf. Art. 5.2), il y a une différence importante pour les francophones et les anglophones.
Téléchargez les versions ici: https://ffwd2.me/gdpr

 

Le GDPR en anglais, fait référence à “accountability”

Le RGPD (FR) parle de « responsabilité » (personnel) seulement.

 

En fait, “accountability” (EN) = rendre compte (FR)

Mais “responsability” en anglais est aussi traduit en “responsabilité” (général) en français.

Pour la bonne compréhension, il est important de savoir qu’il y a une différence.

 

“accountability” en anglais,

• veut dire “responsabilité personnel/individuelle”, rendre compte
• s’applique typiquement
  • sur 1 personne,
  • Après les faits
• Réf. au tribunal/juge

“responsability” en anglais,

• Veut dire “responsabilité générale”
• S’applique
  • Sur un group, plusieurs personnes
  • Qui planifie et prend soin des tâches, en avance/pendant

 

En plus, au niveau de GDPR, il y a une 2^ème différence important expliqué dans GDPR considérant (4)

• Privacy (EN) / vie privée (FR), versus/par contre
• Personal data (EN) / données à caractère personnel= “données personnelles” (FR)

 

Si on parle de “vie privée”, on fait référence au droits fondamentaux, et “le respect de la vie privée et familiale, du domicile et des communications …”

Si on parle des données personnelles, on fait référence à l’info et les attributs qui identifient ou peuvent identifier quelqu’un.

Donc, dans la protection des données, on devrait parler de “données personnelles”.

Et l’histoire est identique pour le néerlandophones… (NL <> FR) 😉