GDPR - deel 5: afronden

GDPR_5
Tijd om af te ronden en conclusies te formuleren.

We beginnen met het antwoord op de meest voor de hand liggende vraag:
Ja, de GDPR is van toepassing op architecten en studiebureaus.

De architect verwerkt persoonsgegevens van klanten, leveranciers, (onder)aannemers en eventueel van personeelsleden.
Hieruit volgt automatisch de verplichting om de verschillende regels van de GDPR met betrekking tot het raadplegen,
verzamelen, bijhouden en gebruiken van persoonsgegevens te volgen.

Uit de voorgaande afleveringen onthouden we:

de gegevensverwerking moet rechtmatig gebeuren.

Rechtmatige verwerking kan mits een expliciete toestemming van de persoon of op basis van een wettelijke verplichting.
Voor architecten en studiebureaus is de verwerking meestal het gevolg van een wettelijke verplichting.
Zo kan bv. het opmaken van facturen, plannen, contracten en het indienen van een bouwaanvraag niet gebeuren zonder dat er persoonlijk gegevens verwerkt worden.

Het wordt aanbevolen om een korte clausule op te nemen in uw overeenkomst waarin gesteld wordt dat
u de persoonsgegevens die u in het kader van de samenwerking van de opdrachtgever zal ontvangen,
enkel zal gebruiken met het oog op de uitvoering van de overeenkomst.
U kan verder ook specificeren dat deze gegevens in het kader van uw opdracht kunnen gedeeld worden met derden
(bv. aannemers, overheid, boekhoudkantoor e.d.)

de gegevensverwerking moet beperkt blijven tot wat echt noodzakelijk is voor het uitvoeren van de opdracht.

Zo is het bv. verboden om de gegevens van een opdrachtgever te delen met een leverancier van bouwsystemen met de bedoeling een mailing te organiseren.
Ook moeten we ons afvragen of we bepaalde gegevens echt nodig hebben voor het correct uitvoeren van onze opdracht.
Contactgegevens opnemen voor een referentielijst of de geboortedatum noteren om een verjaardagswenskaart te sturen kan enkel mits een expliciete toestemming.

de gegevens mogen slechts beperkte tijd bewaard worden.

Dit betekent dat de data enkel mogen bewaard worden voor de duur van de opdracht.
In het specifieke geval van architecten en studiebureaus vallen de meeste gegevens
onder één of meerdere wettelijke verplichting die ook de bewaartermijn bepaalt.
Zo voorziet het wetboek inkomstenbelasting voor boekhoudkundige stukken een bewaartermijn van 5 jaar.
Het wetboek BTW legt een termijn op van 7 jaar vanaf het jaar volgend op het boekjaar.
De 10-jarige aansprakelijkheid van de architect vermeldt de termijn reeds in zijn benaming.

de gegevens dienen op een adequate manier te worden beveiligd.

En dit zowel op vlak van de gebruiker(s) als de infrastructuur.
Misschien heeft niet iedereen toegang nodig tot persoonsgegevens en dienen deze te worden afgeschermd voor onbevoegde gebruikers.
De toegang tot de data door bevoegde gebruikers dient te worden beveiligd.
Het informaticasysteem (opslagmedia, database) dienen te worden beveiligd (bv. via versleutelde communicatie tussen gebruikers en server).
Uiteraard geldt de beveiliging ook voor de opslag van fysieke documenten.
Het verdient aanbeveling om enkele gedragsregels op te stellen voor het correct gebruik van de gegevens door medewerkers en externe betrokkenen.
Verder is het best om specifieke contracten op te maken met o.a. de leveranciers van uw beheerssysteem (database), cloud-opslag e.d.

de gegevensverwerking gebeurt transparant en met erkenning van de rechten van de betrokkene.

Transparantie betekent niet enkel dat u intern correct de regels naleeft maar dat u op een eenvoudige manier kan aantonen wat verwerkt wordt en om welke reden.
De verwerkingsverantwoordelijke (u als architect of ingenieur) heeft een duidelijke verantwoordingsplicht.
Zo moet u op elk moment kunnen aantonen en documenteren dat u een passend beschermingsbeleid hebt voorzien (zie hierboven)
U moet de betrokkene op de hoogte brengen van hun recht op informatie.
Die omvat de redenen van de verwerking, andere partijen die de informatie ontvangen, de bewaringstermijn,
het recht op inzage en aanpassing en zijn of haar klachtenrecht bij de Commissie voor de bescherming van de persoonlijke levenssfeer (CBPL).
Zoals reeds hoger vermeld kan dit ook best als een clausule in uw overeenkomsten worden opgenomen.


Het lijkt ons aangewezen om een minimale set van documenten op te maken zodat dit hele GDPR verhaal beheersbaar blijft.

Een protocoldocument met regels die door interne en externe medewerkers dienen in acht genomen te worden

Minimaal worden hierin volgende regels opgelijst:
  • gebruik en beveiliging van de informaticastructuur.
  • regels voor omgang met persoonsgegevens en toegangsrechten tot digitale en/of fysieke gegevens.
  • een actieschema bij het vaststellen van een datalek.
  • algemene gedragsregels voor medewerkers en bezoekers.

Een dataregister

met o.m. vermelding van
  • welke persoonsgegevens u verwerkt.
  • de reden van de verwerking.
  • wie toegang heeft tot de gegevens.
  • hoelang de gegevens worden bewaard.
  • aan welke andere partijen de data worden doorgegeven.
deze lijst is niet beperkend.

Een algemene schematische structuur van het bureau met weergave van de medewerkers

(met opgave van de functie en taakomschrijving).Het schema vermeldt dan in welke mate en hoe ze toegang hebben tot persoonsgegevens.
Dit schema kan tevens de externe 'spelers' vermelden die toegang (kunnen) hebben tot de persoonsgegevens
(installatie/onderhoud informatica systeem, software leveranciers, cloud diensten, …)



Deze vijfdelige reeks is het resultaat van internet speurwerk, seminaries, (boeiende) gesprekken met 'slimme' mensen, frustrerende contacten met overheidsdiensten.

Het leverde massa's informatie op, maar resulteert niet in een eenvoudig, éénduidig antwoord.
De basis informatie van de EU geeft zelden concrete antwoorden en bevat nog veel hiaten.
De lokale overheden lopen achter de feiten aan.
De orde van architecten en de verschillende beroepsverenigingen leveren slecht heel beperkte informatie.
Nochtans ligt hier o.i. een duidelijke taak voor hen.


Tenslotte willen wij nog meegeven dat alle informatie zonder enige garantie wordt meegedeeld.
De correctheid werd naar ons best vermogen gecontroleerd.

Wij zijn geen juristen of andere rechtelijke experten.
Deze informatie verschaffen wij als dienstverlening naar onze klanten.



GDPR - deel 5: afronden
GDPR - deel 4: eindelijk iets praktisch
GDPR - deel 3: de basisprincipes
GDPR - deel 2: het verschil
GDPR - deel 1: inleiding
AVG, GDPR, Privacy?